W sieci mnóstwo jest ludzi, którzy służą radą, jak zostać cyberprzestępcą

W sieci mnóstwo jest ludzi, którzy służą radą, jak zostać cyberprzestępcą (fot. pixabay.com)

wywiad gazeta.pl

Prokurator o polskim cyberprzestępcy: Oprócz zarabiania "Thomasowi" zależało też na sławie

Czasem wystarczy zainwestować 400 złotych, żeby ukraść miliony. W sieci mnóstwo jest ludzi, którzy służą radą, jak zostać cyberprzestępcą. O tym, dlaczego oszuści najczęściej atakują w piątek po południu i dlaczego przez źle ustawione hasło na twoim Facebooku możesz puścić swojego pracodawcę z torbami, opowiada Agnieszka Gryszczyńska, jedyna w Polsce prokurator specjalizująca się w walce z cyberprzestępczością, która może pochwalić się dyplomem ukończenia informatyki.

Kilka miesięcy temu media obiegła informacja o zatrzymaniu "najbardziej uciążliwego polskiego cyberprzestępcy".  "Thomas", bo taki wybrał sobie pseudonim, od co najmniej pięciu lat rozsyłał tysiące maili zawierających złośliwe oprogramowanie. Podszywał się pod przeróżne firmy i instytucje. A kto kliknął w zawartość fałszywego maila, tracił zawartość swojego komputera - "Thomas" szyfrował wszystkie pliki, a za przywrócenie dostępu do nich żądał okupu. W zastawianą przez niego pułapkę wpadły tysiące ludzi. Jego ulubionym celem byli prawnicy i księgowi - szybko płacili, żeby móc dalej pracować, a ze wstydu i strachu przed utratą reputacji nigdzie nie zgłaszali przestępstwa.

W marcu "Thomasa" zatrzymała policja. Dziś siedzi w areszcie, ma na koncie kilkaset zarzutów. Stawia mu je Agnieszka Gryszczyńska - prokurator, która prowadzi to postępowanie. Rozmawiamy w jej gabinecie w Prokuraturze Okręgowej w Warszawie. Wszędzie pełno akt - ponad sto tomów sprawy "Thomasa", do tego akta dotyczące innych cyberprzestępców. A na ścianach skomplikowane diagramy, z rozrysowaną strukturą kolejnych, właśnie rozpracowywanych internetowych oszustw. 

Nie była pani rozczarowana, gdy zobaczyła "Thomasa"?

Wiedziałam już wcześniej, jak on wygląda, czym się zajmuje, ile ma lat, jakie ma wykształcenie. Nie zakładałam, że to będzie jakiś elitarny, superwytrawny haker. Ale był na tyle zdolny, żeby utrzymywać się tylko z przestępstw.

Niepozorny młody mężczyzna w wyciągniętej bluzie, zatrzymany w jakiejś norze. Ale potrafił być bardzo uciążliwy.

Na razie odzyskaliśmy ponad 16 tysięcy kluczy do odszyfrowania zainfekowanych przez niego komputerów. To oznacza, że pokrzywdzonych są tysiące. We współpracy z zespołem CERT Polska z Naukowej i Akademickiej Sieci Komputerowej udostępniliśmy klucze i dekrypter pod adresem https://nomoreransom.cert.pl/vortex/. Każda osoba, której komputer został zaszyfrowany, może sprawdzić, czy dane da się odszyfrować. Pokrzywdzeni mogą też złożyć zawiadomienie o popełnieniu przestępstwa w najbliższym komisariacie, podając umieszczoną na stronie sygnaturę.

Policja zatrzymała Tomasza T. 14 marca 2018 r. (fot. policja.pl)
Policja zatrzymała Tomasza T. 14 marca 2018 r. (fot. policja.pl)

Na ile wyceniacie szkody, które spowodował "Thomas"?

Nie da się ich precyzyjnie wyliczyć. Ale można je szacować na miliony. Trafił do nas np. człowiek, któremu "Thomas" zaszyfrował napisaną już książkę i materiały do kolejnych. Wycenił stratę na 300 tysięcy złotych. Ale proszę sobie wyobrazić, że ktoś traci zdjęcia ze ślubu, narodzin dzieci, filmy z rodziną, pracę magisterską albo doktorską. Dla tych ludzi to były rzeczy bezcenne.

Straty milionowe, ale zarabiał na tym chyba przeciętnie?

"Thomas" twierdzi, że od pewnego momentu zarabiał między 500 a 2500 dolarów miesięcznie. Część pokrzywdzonych płaciła za odszyfrowanie danych. Oczywiście za pomocą kryptowalut. Podawał im w mailach informację, na jaki adres portfela mają wpłacić bitcoiny. 

W momencie zatrzymania miał 23 lata. Ale zaczynał chyba jeszcze jako nastolatek?

Najpierw oszukiwał na Allegro, jeszcze jako nieletni. Działał klasycznie: człowiek kupował coś u niego na aukcji, wpłacał pieniądze, ale nigdy nie dostawał towaru.

Jak nauczył się szyfrowania komputerów?

Nie ma żadnego wykształcenia informatycznego, jest samoukiem. Najpierw na ogólnodostępnym forum poprosił o narzędzia do oszukiwania ludzi. I te narzędzia dostał. Najpierw dawano mu je za darmo, potem część kupował. Na początku miał sporo problemów, ale w końcu stworzył całkiem spory botnet [grupa komputerów zainfekowanych szkodliwym oprogramowaniem, wykorzystywana np. do zdalnego rozsyłania spamu oraz innych ataków - przyp. red.]. Jego botnet składał się z 9 tysięcy komputerów należących głównie do osób fizycznych. To był 2013 rok, skończył 18 lat i znakomicie radził sobie z zarażaniem internautów.

"Thomas" nie był sprawnym informatykiem. Ale bardzo dobrze opanował socjotechnikę. Zarażał, rozsyłając masowo spam, uwielbiał podszywać się pod firmę P4, operatora sieci Play, użył jej do kilku kampanii. Były najskuteczniejsze. Każdy ma telefon, więc nawet jeśli dostaniemy maila z fakturą od obcego operatora, budzi to w nas zainteresowanie, chcemy zobaczyć, co jest na tej fakturze. Ludzie otwierali maile, klikali w załącznik i infekowali komputery. "Thomas" początkowo przeszukiwał je ręcznie. Na przykład jeśli trafił na bazę danych firmy księgowej, to wiedział, że jej właściciel szybko zapłaci za odszyfrowanie, żeby móc prowadzić dalej działalność, i nigdzie tego nie zgłosi z obawy przed utratą reputacji. Po jakimś czasie za kilkaset złotych zamówił na stronie z ogłoszeniami ransomware [złośliwe oprogramowanie szyfrujące zawartość komputera i żądające zapłaty okupu - przyp. red.], którym szyfrował już automatycznie całą zawartość komputera.

Zdobył wiedzę, jak szkodzić ludziom, ale początkowo nie wiedział, jak na tym zarabiać?

Gdyby lepiej dopracował monetyzację, szkody byłyby wielokrotnie większe. Na szczęście z tym ostatnim etapem sobie nie radził. Ale widać, że oprócz zarabiania zależało mu też na sławie. Na specjalistycznych stronach chwalił się liczbą zarażonych komputerów, komentował poświęcone sobie artykuły.

'Thomas' uwielbiał podszywać się pod firmę P4, operatora sieci Play. Użył jej do kilku kampanii (fot. unsplash.org)
'Thomas' uwielbiał podszywać się pod firmę P4, operatora sieci Play. Użył jej do kilku kampanii (fot. unsplash.org)

Całą wiedzę czerpał z sieci. Tak łatwo uzyskać porady na temat oszukiwania ludzi?

Łatwo uzyskać pomoc, łatwo kupić narzędzia, żeby zarażać komputery, wreszcie łatwo znaleźć współpracowników do oszustw, "słupy" czy dostęp do fałszywych dokumentów.

Wszystkie strony, z których czerpał wiedzę i narzędzia, nadal działają?

 Tak. I pojawiają się nowe.

Czy osoby, które mu pomagały, mają się czego obawiać?

Osoba, która odpowiedziała na ogłoszenie "Thomasa" i stworzyła dla niego automatyczny program do szyfrowania, usłyszała zarzuty.

Z tego, co pani mówi, wynika, że oszustwa internetowe to bardzo tanie i proste zajęcie?

Na złośliwe oprogramowanie, jeżeli mówimy o najprostszych narzędziach, wystarczy wydać około 400 złotych. Hosting może być darmowy, 14-dniowy. Domenę też można mieć za darmo albo za kilkanaście złotych. Za konta mailowe nie trzeba płacić, podobnie jak za portfele bitcoin na giełdach kryptowalut. Porady na forum można uzyskać bezpłatnie albo za niewielkie pieniądze. A zakup oprogramowania do obsługi botnetu i jego konfiguracja kosztowały "Thomasa" kilka dolarów.

Zatrzymaliście go w marcu. Ukrywał się w Belgii.

Wiedział, że są wobec niego prowadzone postępowania, dlatego wyjechał za granicę. Chwalił się w sieci, że jest poszukiwany w Polsce, więc tu nie przyjedzie. Podróżował tak, żeby nie dać się namierzyć. Za granicą bał się nawet zapisać na kurs językowy, żeby nie podać gdzieś swoich danych. W końcu jednak wpadł podczas wizyty w rodzinnych stronach, na Opolszczyźnie.

Kiedy działał za granicą, wiedzę o tym, jak infekować komputery, czerpał m.in. z arabskich stron.

Z rosyjskich też. Google Translator przetłumaczy wszystko. Zapewne chciał brać złośliwe oprogramowanie z takich źródeł, które będą jak najmniej wykrywalne w Polsce, niszowe, niezidentyfikowane, nieobjęte programami antywirusowymi.

Żeby go schwytać, o pomoc prawną zgłaszaliście się do Islandii, Bułgarii, Włoch. Co łączyło te państwa?

W Islandii miał duży serwer zarządzający kilkoma kampaniami złośliwego oprogramowania, w Bułgarii miał VPN [sieć służąca do ukrycia tożsamości w internecie - przyp. red.], do Włoch zaprowadziło nas IP logowań. Prawdopodobnie tam też znajdowały się osoby przez niego pokrzywdzone.

Żeby go schwytać, polskie służby zgłaszały się o pomoc prawną do Islandii, Bułgarii i Włoch (fot. pixabay.com)
Żeby go schwytać, polskie służby zgłaszały się o pomoc prawną do Islandii, Bułgarii i Włoch (fot. pixabay.com)

Wśród speców od bezpieczeństwa trwa dyskusja, czy to sukces, że udało się go zamknąć, czy porażka, że tyle to trwało?

Prowadzone przeze mnie postępowanie zostało wszczęte 2 czerwca 2017 roku, zatrzymaliśmy sprawcę po około dziewięciu miesiącach. Dobrze, że w końcu się udało, tym bardziej że średnio raz w miesiącu "Thomas" przeprowadzał kolejny atak, infekując sprzęt kolejnych kilkuset użytkowników internetu.  

"Thomas" dziś siedzi w areszcie. Ale to nie jest powszechne w przypadku sprawców cyberprzestępstw.

Nie jest. Jeśli złapiemy hakera zaraz po tym, jak zacznie działać, lub jeśli skala jego działalności czy liczba osób pokrzywdzonych nie są szczegółowo udokumentowane, szanse na uzyskanie tymczasowego aresztowania są niskie z uwagi na niskie zagrożenie karne. W dodatku jest to zwykle człowiek młody, niekarany.

Czasem sąd wskazuje, że nie zastosuje aresztu, bo przecież zatrzymaliśmy nośniki, komputer, telefon, więc mamy zabezpieczony materiał dowodowy i nie ma obawy matactwa ze strony podejrzanego. Ale najciekawsze informacje uzyskujemy dopiero po analizie tych urządzeń, bo wówczas ustalamy, gdzie dane są przechowywane. Większość hakerów ma je na serwerach, nie na komputerze.

A dzięki temu, że wychodzą bez aresztu...

...to pierwszą rzeczą, którą robią na wolności, jest skasowanie danych z serwera.

A "Thomas" - kiedy wyjdzie?

Za oszustwo przewidziana jest odpowiedzialność karna do ośmiu lat pozbawienia wolności. Ponieważ sprawca uczynił sobie z popełniania przestępstw stałe źródło dochodu, to kara może ulec podwyższeniu - do górnej granicy ustawowego zagrożenia zwiększonego o połowę, czyli do 12 lat.

A realnie ile dostanie? "Zawiasy"?

W tej sprawie raczej byłoby to niemożliwe. Za duża skala, zbyt wiele osób pokrzywdzonych. Można prognozować, że kara orzeczona powinna wynieść kilka lat pozbawienia wolności. Ale "Thomasowi" poza hackingiem zarzuca się również oszustwa i oszustwa komputerowe, zagrożone wyższą karą.

Czytając o "Thomasie", który wpadł, bo robił wokół siebie dużo szumu, zastanawiałem się, ilu takich "Thomasów" działa po cichu? I przypomniało mi się zestawienie firmy F-Secure, według którego przez rok było sześć milionów ataków ransomware z Rosji. Na jednego złapanego "Thomasa" ilu przypada niezłapanych?

Nie wiem. Ale wielu. Wystarczy przejrzeć, co się dzieje w sieci TOR [wirtualna sieć komputerowa zapewniająca anonimowość - przyp. red.], gdzie można kupić lub zamówić wszystko. Płatne oczywiście w kryptowalutach. Część z tych ludzi, zwłaszcza jeśli działają z Rosji, jest poza naszym zasięgiem. To wynika, niestety, z braku szybkiej i sprawnej współpracy międzynarodowej.

Jakimi metodami się posługują?

Najbardziej dochodowe i najmniej widoczne są tzw. ataki ukierunkowane. "Thomas" rozsyłał tysiące maili, licząc na efekt skali, ale atak może też być nakierowany na konkretny podmiot. Pierwszy krok to złowienie pracownika, który nie zachował czujności - np. zainfekował komputer służbowy, otwierając złośliwy załącznik z maila, albo np. użył takiego samego hasła na Facebooku jak w mailu służbowym. Z poziomu jednego zainfekowanego komputera przestępcy podglądają firmową korespondencję, uczą się, jak formułowane są maile, jak wygląda obieg faktur, jaki jest proces podejmowania decyzji, kim jest księgowa, jakie ma zwyczaje, wiedzą, kiedy będzie wysyłany duży przelew. Potrafią przygotowywać się do takiej akcji miesiącami.

W finale podszywają się np. pod kontrahenta, informując o zmianie rachunku do przelewu bankowego. I zgarniają kwoty idące w miliony. Ofiarami padają nawet największe korporacje. Pieniądze szybko przechodzą przez kilka rachunków, a na końcu trafiają do Chin, gdzie ślad po nich ginie.

Zainfekowanie komputera może nastąpić po otworzeniu złośliwego załącznika z maila (fot. pixabay.com)
Zainfekowanie komputera może nastąpić po otworzeniu złośliwego załącznika z maila (fot. pixabay.com)

To prawda, że najczęściej oszuści atakują w piątek po południu?

Jedna z najbardziej udanych kampanii "Thomasa" to podszycie się pod Generalnego Inspektora Ochrony Danych Osobowych. GIODO informował oficjalnie, że będzie kontrolował kancelarie adwokackie. W związku z tym komunikatem "Thomas" wysłał do wielu kancelarii maile, że szczegóły kontroli znajdują się w załączniku. To był czerwiec, piątek, godz. 15.30. Naprawdę sporo osób wtedy zaszyfrowało swoje komputery. "Thomas" stwierdził, że gdyby wysłał maile pół godziny wcześniej, miałby dużo lepsze wyniki, bo sporo osób już skończyło pracę.

Nasza czujność przed weekendem spada, w dodatku przestępca ma dwa dni ekstra na wypranie pieniędzy. Ludzie często wolą poczekać ze zgłoszeniem oszustwa do poniedziałku.

Jak słucham tych opowieści, przyglądam się pani gabinetowi, pełnemu akt i zawiłych wykresów z danymi na ścianach, to nijak nie przypomina mi to popularnych seriali typu CSI.

Szukanie cyberprzestępcy jest jak szukanie igły w stogu siana. Każda sprawa zaczyna się od napisania dziesiątków, jeśli nie setek postanowień o udostępnienie danych. Potem zaczyna się ich analiza. Z tego kłębowiska informacji powoli wykluwa się jakiś obraz, z tysięcy numerów IP nagle wyłuskujemy jeden lub kilka, przy których sprawca się pomylił. Albo jakiś ciekawy numer telefonu, który warto szybko sprawdzić. Zresztą przestępcy kupują karty SIM paczkami, zwykle zarejestrowane na "słupy" albo dziwne spółki. Poza tym dochodzą analizy rachunków bankowych, a ostatnio również kryptowalut. Do tego na końcu nie zawsze jest ten satysfakcjonujący moment - czyli ustalenie tożsamości sprawcy.

Coraz więcej przestępczości przechodzi do internetu. Jak na to reaguje prokuratura?

Dzieje się sporo. W części prokuratur okręgowych powstały wyspecjalizowane działy do walki z cyberprzestępczością, zaś w prokuraturach regionalnych powołano koordynatorów do prowadzenia i nadzorowania tego typu postępowań.  Krajowa Szkoła Sądownictwa i Prokuratury organizuje cały cykl szkoleń z cyberprzestępczości dla prokuratorów i dla sędziów. Są to szkolenia praktyczne, na których pokazywane są sposoby działania sprawców, metody zabezpieczania materiału dowodowego czy ustalanie pewnych danych z wykorzystaniem powszechnie dostępnych źródeł.

Pani pewnie bardzo pomaga w pracy wiedza informatyczna. Najpierw została pani dyplomowanym prawnikiem czy informatykiem?

Prawo ukończyłam w 2005, administrację w 2005, informatykę w 2007, aplikację prokuratorską w 2008 roku. W 2011 roku uzyskałam stopień naukowy doktora nauk prawnych.

Informatyka była mi potrzebna głównie w pracy naukowej, w Katedrze Prawa Informatycznego na Wydziale Prawa i Administracji UKSW. Teraz ta wiedza jest bardzo przydatna przy prowadzeniu postępowań z zakresu tzw. cyberprzestępczości.

Należy również wykazać się ostrożnością przy korzystaniu z otwartych publicznych sieci WiFi (fot. unsplash.org)
Należy również wykazać się ostrożnością przy korzystaniu z otwartych publicznych sieci WiFi (fot. unsplash.org)

A jak pani dba o swoje bezpieczeństwo w sieci? Widzę, że kamerka w laptopie niezaklejona?

W tym komputerze nie ma dostępu internetu. Ale w domu kamerki mam zaklejone. Jak mówią niektórzy: "cyberbezpieczne jest tylko to, co nie jest cyber".

Jeśli miałabym wskazać kilka podstawowych zasad, które mogą pozytywnie wpłynąć na bezpieczeństwo użytkowników internetu, to przede wszystkim nie powinniśmy używać wielokrotnie tych samych haseł np. na różnych portalach. Należy również wykazać się ostrożnością przy korzystaniu z otwartych publicznych sieci WiFi. Bo nie ma czegoś takiego jak bezpieczna otwarta publiczna sieć WiFi w hotelu czy na lotnisku. Jeżeli ktoś chce korzystać z sieci w takim miejscu, lepiej niech użyje VPN lub zestawi sobie hotspot WiFi ze swojej komórki - oczywiście zabezpieczony hasłem. Bardzo często sieć WiFi w hotelach jest wykorzystywana do infekowania użytkowników i kradzieży danych. Lepiej jest zapłacić wyższy rachunek za np. transmisję danych w roamingu podczas urlopu niż stracić pieniądze z konta bankowego.

Jeżeli korzystamy z bankowości internetowej - samodzielnie powinniśmy wpisywać adres strony banku, a nie korzystać z linków otrzymanych np. w mailu. Trzeba również sprawdzić, czy połączenie jest szyfrowane - czy jest kłódka przy adresie i jaki certyfikat się wyświetla po jej kliknięciu. Muszą się też zgadzać dane podmiotu.

Nie polecam również przeklejania numerów rachunków bankowych. Zdecydowanie bezpieczniejsze jest ich przepisanie. Jeśli już musimy wkleić numer, to trzy razy sprawdźmy, czy jest właściwy. I czytajmy zawsze SMS-y z banku, nie przepisujmy ślepo kodu. Przeczytajmy, czy rzeczywiście kwota przelewu się zgadza i czy w SMS-ie nie ma informacji o tym, że definiujemy odbiorcę zaufanego.

Prokurator Agnieszka Gryszczyńska (archiwum prywatne)
Prokurator Agnieszka Gryszczyńska (archiwum prywatne)

Z takimi umiejętnościami i wiedzą - informatyka plus prawo - mogłaby pani zarabiać w sektorze prywatnym trzy razy tyle, ile teraz. Jest pokusa?

Propozycje dostaję regularnie. Na razie jednak wciąż mam satysfakcję z tego, co robię. Mam również przyjemność współpracować z osobami zajmującymi się cyberprzestępczością zarówno z prokuratury, policji, Cert Polska, jak i innych instytucji. Chcemy pokazać, że da się coś zmienić w tym zakresie i że można coraz skuteczniej ścigać cyberprzestępców.

Dziękujemy, że przeczytałaś/eś do końca nasz artykuł. Jeżeli Ci się podobał, to wypróbuj nasz nowy newsletter z najciekawszymi i najlepszymi tekstami portalu.

KLIKNIJ, BY ZAPISAĆ SIĘ NA NEWSLETTER >>>

Szymon Jadczak. Reporter Superwizjera TVN (nominowany w 2017 r. do Grand Press w kategorii dziennikarstwo śledcze), wcześniej był producentem w TVN Turbo i ???reporterem Uwagi! w TVN (w tym czasie dostał m.in. Grand Pressa, nagrodę w konkursie NBP im. W. Grabskiego oraz nagrodę Dziennikarza Małopolski). Pracował też w "Gazecie Wyborczej" oraz Interii. Pisywał do miesięcznika "Lampa". Zajmował się aferami, służbami, ale i kulturą. Autor haseł poświęconych hiphopowi w "Tekstyliach bis. Słowniku młodej kultury". Pochodzi z Radomia i jest z tego dumny. Można go znaleźć na Twitterze: @SzJadczak.

Polub Weekend Gazeta.pl na Facebooku

Komentarze (82)
Zaloguj się
  • sigm_0

    0

    Prawo ukończyłam w 2005, administrację w 2005, informatykę w 2007, aplikację prokuratorską w 2008 roku. W 2011 roku uzyskałam stopień naukowy doktora nauk prawnych.
    oooo, prawdziwa żyletka

  • Maciek Medyj

    0

    Kiedy zaczniemy zaklejać przednie aparaty w smartfonach? A może i tylne?

  • paseo

    Oceniono 3 razy -3

    Trzy kierunki ukończone i doktorat.Kobieta.Jak się czujecie teraz,wy wszyscy...zwyczjne,prymitywne ,meskie przygłupy ???Bo przecież ten mlod człowiek to geniusz.Opanowac to wszystko ,pamietac ,co i z kim i jak zrobil.A jednak przegral z ta kobieta.Gratulacje; mamy nadzieje,ze zajdzie Pani daleko -:-)

  • artco1313

    Oceniono 1 raz 1

    każdy bank w sposób najbardziej perfidny - bo zazwyczaj bez wyraźnego poinformowania klienta - okrada miliony posiadaczy kont za 0 zł prowizjami za niemanie lub za duże manie wypłat - lub np. opłata 50 zł za wydrukowanie 1 kartki wyciągu sprzed roku - i to są straty społeczeństwa w setki miliionów złotych rocznie - a tu 1 gość okradł kilkuset ludzi na 2500 USD miesięcznie - łącznie przez 10 lat nawet pół miliona się nie zbierze - i wielki sukces geniuszu

  • prokuraturarejonowa

    0

    Powiem tak: niepozorny mężczyzna w średnim wieku, czasami w rozciągniętej bluzie przy pomocy zwykłego smartfona poczynił nieodwracalne szkody w wizerunku PiS, co się przełoży na wyniki wyborów.

    Co gorsze (dla PiS) to nie jest jego ostatnie słowo, swój niecny proceder będzie uprawiał dalej, a Pisuary nic nie zrobią bo się (słusznie) obawiają makulatury.

  • Roland Van

    Oceniono 2 razy 2

    kilka razy w tygodniu otrzymuję na firmowy adres maile z niby fakturami, listami przewozowymi itd od , DHL, FEDEX, i inne podobne. Wystarczy tylko trochę uwagi i można sobie z tym poradzić.

  • hipis3308

    Oceniono 8 razy 2

    Polacy, przestańcie słuchać kościoła, zabezpieczajcie się kupując prezerwatywy, wtedy wam naskoczą.

Aby ocenić zaloguj się lub zarejestrujX