Jak to jest być milionerem? Dobrze? Podszywając się pod skrybę Otisa z filmu Asterix i Obelix: Misja Kleopatra podjąłem dyskusję z oszustami phishingowymi, chciałem rzetelnie odpowiedzieć na to pytanie.
Phishing to plaga naszych czasów
Phishing to jeden z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS. Wykorzystuje inżynierię społeczną, czyli technikę polegającą na tym, że przestępcy internetowi próbują oszukać odbiorcę i spowodować, aby podjął działanie zgodnie z ich zamierzeniami.
Cyberprzestępcy uwielbiają podszywać się pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet naszych znajomych, starając się wyłudzić nasze dane do logowania np. do kont bankowych lub używanych przez nas portali społecznościowych. Często liczą na to, że używamy we wszystkich miejscach tych samych haseł, co już samo w sobie jest proszeniem się o kłopoty.
Zgodnie z aktualnymi raportami, phishing pozostaje najczęściej wykorzystywaną przez przestępców i najskuteczniejszą metodą oszustwa internetowego. Zgodnie z danymi IC3, komórki amerykańskiego FBI, straty z ataków naruszających biznesowe poczty e-mail (w skład tych statystyk nawet nie wchodzą ataki na prywatną pocztę) przekroczyły 2,9 biliona dolarów w 2023 roku.
Z kolei raport CERT podaje, że w Polsce w 2023 roku zablokowano ponad 360 tysięcy fałszywych stron internetowych, a około 5,5 miliona Polaków kliknęło w prowadzące do nich linki. Ofiary oszustów straciły pieniądze, dane osobowe, a nawet kontrolę nad swoimi kontami internetowymi. Najczęstsze kampanie phishingowe dotyczą inwestycji (w tym w kryptowaluty) oraz podszywania się pod Allegro, Facebooka, OLX, InPost czy PGNiG. Nawet podczas pisania tego artykułu na firmową skrzynkę mailową wpadł fałszywy e-mail od „Poczty Polskiej”.
Czujny użytkownik sieci wie, w jaki sposób rozpoznawać oszustwa internetowe. E-maile mające na celu wyłudzenie informacji często pisane są łamaną polszczyzną, w ogóle nie pochodzą z organizacji, na którą powołuje się nadawca, albo mają dziwną stopkę. Poza tym sugerują szybkie podjęcie działań „bo pieniądze przepadną”, a także zawierają skrócone linki do zewnętrznych stron internetowych (właściwie w wypadku podejrzanego linku lepiej w ogóle w niego nie klikać). Natknięcie się na phishing, który przedostał się przez filtry antyspamowe naszej skrzynki e-mail można łatwo zgłosić do CSIRT NASK za pomocą strony internetowej lub w przypadku wiadomości SMS – na numer 8080.
Jak Otis Skryba (prawie) został milionerem
Czasem zastanawiałem się, jak wytrwali są oszuści internetowi próbujący wyłudzić od danego „klienta” poufne dane. Jasne było dla mnie, że pierwsze wiadomości phishingowe wysyłane są z automatów, ale byłem ciekaw, czy na jakimś etapie inicjatywę przejmuje człowiek i w jaki sposób przestępcy próbują nakłonić kogoś, kto wydaje się wierzyć w kłamstwa przedstawiane w obietnicy szybkiego zarobku. Ostatnio pojawiła się okazja, żeby to sprawdzić.
Dostaję maila z okazją życia
Na redakcyjną skrzynkę mailową dostaliśmy wiadomość z oczywistą próbą wyłudzenia informacji. Spełniała niemal wszystkie typowe znamiona phishingu: została nadana masowo, a nadawca nie zwracał się do odbiorcy osobiście, tylko w formule „Szanowny Beneficjencie” (przetłumaczonej zresztą maszynowo z angielskiego tytułu maila). Ponadto, jak wskazywało źródło maila, nadawcą był ktoś, kto podawał się za administratora sklepu z wkrętarkami w argentyńskim mieście Mendoza, a podpisał się jako reprezentant fundacji bogatego dobroczyńcy Lee Shau-kee – Chińczyka o ogromnym majątku i filantropa. A że otrzymanie darowizny w wysokości 2 milionów euro to okazja nie w kij dmuchał, postanowiłem postąpić zgodnie z prośbą i wysłać otrzymaną wiadomość na inny, wskazany w mailu adres poczty elektronicznej.
Po przesłaniu dalej pierwszej wiadomości, praktycznie od razu otrzymałem zwrotkę z rozszerzeniem informacji o tym, jak mogę otrzymać wspomnianą darowiznę. Okazuje się, że napisał do mnie sam Lee Shau-kee, czyli ten szanowany potentat finansowy, a jako dowód, zalinkował do strony na swój temat na Wikipedii i artykułów na Forbesie. Fajnie, że postanowił oddać mi 2 miliony euro – dla niego, miliardera, to pryszcz, a dla mnie – punkt zwrotny w życiu. Potrzebuje on tylko kilku danych na mój temat, w tym podania nazwiska, daty urodzenia i numeru telefonu komórkowego. Aha, no i wręcz błaga mnie, żebym wykorzystał otrzymane pieniądze w dobry sposób. (IKSDE)
Przestawiam się jako Otis Skryba
W tym momencie pojawia się więc pierwsza próba wyłudzenia danych/namierzenia ofiary. Podając prawdziwe informacje, naraziłbym się prawdopodobnie na kolejne ataki – czy to przez wiadomości wysyłane mi przez serwisy społecznościowe, czy SMS-y. Zatem przedstawiłem się jako Otis Skryba, chcąc zorientować się, czy pan Lee Shau-kee zdaje sobie sprawę ze szczerej i czystej miłości do postaci z filmu Asterix i Obelix: Misja Kleopatra, która charakteryzuje mnie i wielu innych Polaków. A także – przy okazji – czy na tym etapie oszuści podejmują jakiekolwiek próby fact-checkingu, sprawdzając dane swoich ofiar.
Jak można było się tego spodziewać, nikt nie zwęszył podstępu. Najwyraźniej wciąż konwersowałem z botami, a nie ludźmi. Byłem zatem już o krok bliżej do tego, by Otis Skryba został obsypany złotem. Otrzymałem zwrotną wiadomość, która była już ostatnią od pana Lee Shau-kee (smuteczek). Zostałem przekierowany do pana Kelly’ego Wainscotta – kierownika oddziału Payout Bank. Albo Craynis Bank, bo nawet pan Chińczyk nie był pewien, jak nazywa się ta instytucja finansowa. Człowiek ten miał pomóc mi w złożeniu wniosku o przyznanie darowizny i otrzymaniu środków. Ponownie zostałem poproszony o podanie pełnego imienia i nazwiska, a także numeru wniosku, będącego losowym zlepkiem cyfr i liter.
Wysyłam dowód osobisty Kamila Tumulca
Na tym etapie w dalszym ciągu odpisuję na przygotowane wcześniej wiadomości, jako że nikt nadal nie personalizuje e-maili – wciąż są one bezosobowe, co jest dla mnie lekką obrazą jako dla szanowanego skryby, który wynalazł dźwig bezwysiłkowy. Tak, ta nazwa to stąd, że to taka maszyna, którą można ludzi bez trudu podnosić i opuszczać.
Kolejna wiadomość płynie od „pana Wainscotta”, który przedstawia kolejność działań: powinienem najpierw otworzyć konto tranzytowe w Craynis Bank (co wiązać się ma z minimalną opłatą 355 euro), a następnie przesłać skan dokumentu potwierdzającego moją tożsamość.
Wybrałem najtańszą opcję otwarcia rachunku w fejkowym banku oraz przesłałem skan dokumentu tożsamości. Ponieważ nie dysponowałem dowodem osobistym Otisa Skryby, posłużyłem się publicznie dostępnym skanem dowodu Kamila Tumulca – osobistości internetowej znanej z kapitalnego podpisu na „plastiku”, którego zdjęcie od lat krąży w sieci.
I tu, jak mniemam, zacząłem pisać z oszustem obsługującym tę kampanię phishingową. Nie wytknął mi, że wysłałem tylko jedną stronę dokumentu tożsamości ani nawet tego, że dane, które podałem wcześniej, nie pokrywają się z informacjami ze skanu. Podejrzewam, że załącznik, który wysłałem, nie był w ogóle otwarty. Bardzo rozsądnie – byłoby głupio, gdyby komputer oszusta został zainfekowany przez jakiś ransomware ukryty w pliku załącznika, prawda?
Kontaktuję się z oszustem
Zorientowałem się, że mam do czynienia z człowiekiem, ponieważ w powitaniu zobaczyłem nawiązanie do podanych przeze mnie danych – nadawca zwrócił się już do mnie „po nazwisku”. Musiał więc przekleić je z poprzednich maili. Wiadomość była też wyraźnie krótsza i wywierała nacisk na podjęcie decyzji w sprawie otwarcia płatnego konta. Najwyraźniej nadawca nie zorientował się, że odpowiednią informację wysłałem już wcześniej.
Żeby upewnić się, że mam do czynienia z człowiekiem, zapytałem:
Craynis bank jest chyba jakimś bardzo małym bankiem, sądząc po stronie na FB. Czy masz jakiś adres zwykłej strony internetowej banku?
Tutaj chciałem zorientować się, czy oszuści mają jakąś stronkę do przechwytywania danych logowania do banku, czy też po prostu polegają na perspektywie przejęcia danych karty płatniczej. Sam namierzyłem stronę „banku” wraz z fałszywym profilem na Facebooku. W tym momencie strona już nie działa, ale strona na Facebooku nadal „wisi”.
Na tym etapie na pewno miałem już do czynienia z oszustem, który obsługiwał moją „sprawę”. Dopytał, czy przeczytałem poprzednią wiadomość i czy dokonałem już płatności na konto europejskie, które zostało do mnie wysłane w celu otwarcia konta darowizn, zgodnie z instrukcją Pana Lee Shau-kee. Tego maila nawet nie podpisał. Najwyraźniej przeczuwał, że zaczynam z nim pogrywać.
W odpowiedzi napisałem: Przeczytałem, chciałem się upewnić, że Craynis Bank jest tak dużym bankiem, jak opisujesz. Niedługo później otrzymałem napisany na kolanie tekst – pozbawiony już jakiejkolwiek interpunkcji, ewidentnie skopiowany na szybko z translatora:
Oszuści podjęli więc ostatnią próbę wpłynięcia na mnie. Zagrałem więc oburzonego klienta i zapytałem:
Czyli muszę dokonać wpłaty, żebyście mogli otworzyć bank? Co to za praktyki? Pan Lee Shau Kee wie, że go oszukujecie?
Odpowiedzi już nie otrzymałem. Wychodzi więc na to, że Kelly Wainscott naprawdę oszukuje biednego Pana Lee Shau-kee. Ten pan Wainscott to hienaa. Kawał z niego drania, ale talentów mu nie brak! ;)
Szczerze powiedziawszy, miałem małą nadzieję, że oszuści podejmą jeszcze jakieś próby wpłynięcia na mnie, bym zalogował się do fałszywego banku przy pomocy prawdziwego hasła. Mało tego: z powodu ogromnego bałaganu w przesyłaniu wiadomości, pan cyberprzestępca nawet nie wskazał mi linku do spreparowanej w tym celu strony internetowej. A to agregat. Ja nie wiem, za co ludzie płacą takim gamoniom.
Cóż, wygląda na to, że Otis nie zostanie beneficjentem ogromnej fortuny i musi wrócić do skrybania. Ale wiecie – to nie jest tak, że to dobrze, albo że niedobrze. W końcu dzisiaj na przykład buduje maszyny, a jutro – kto wie? Dlaczego by nie – odda się pracy społecznej i będzie, ot, choćby, sadzić… doć- m-marchew…