Historia rodem z tabloidu: przedsiębiorczy australijski emeryt od blisko 7 lat zarabiał praniem pieniędzy od ofiar telefonicznego scamu tj. oszustwa “na pomoc techniczną” kończącego się zaszyfrowaniem ich plików. Czy robił to świadomie wkrótce rozstrzygnie sąd, a eksperci zajmujący się ochroną danych przypominają, by nigdy nie powierzać dostępu do naszych urządzeń zdalnym “serwisantom”, których pomocy nie zamawialiśmy.
7 lipca policja australijskiego stanu Queensland ujęła 75-latka podejrzanego o pranie pieniędzy wyłudzanych za pomocą programu ransomware. Mowa o przelewach na kwotę miliona dolarów australijskich (około 2,8 miliona złotych), których w latach 2010-2017 Australijczyk dokonywał na konta zagranicznej firmy rzekomo serwisującej komputery. Jak doszło do ich współpracy?
W 2010 roku przedstawiciel owej firmy skontaktował się z emerytem szukając lokalnego reprezentanta swojego biznesu na terenie Australii. Rolą takiej osoby miało być przyjmowanie wpłat od klientów firmy na miejscu i przesyłanie ich do zagranicznej centrali. W rzeczywistości firma – czy też podająca się za nią osoba – wcale nie naprawiała komputerów, choć jej działalność w groteskowy sposób ocierała się o “serwis IT”. Udając telefoniczne wsparcie techniczne naciągacze wmawiali ofiarom, że ich komputery zawierają groźne błędy, a następnie pod pozorem udzielania zdalnej pomocy instalowali na maszynach autorski ransomware. Planując akcję przestępcy wiedzieli, że oszustwo “na serwisanta IT” to stara taktyka, szukali więc zagranicznego “słupa”, który odciągnie od nich ewentualne podejrzenia organów ścigania. Udało się.
Biznes się kręci
Gdy 75-latek przystał na współpracę, w nocie okupowej na monitorach ofiar pojawił się numer konta banku w australijskiej miejscowości Mackay. Przelanie środków pod wskazany adres miało skutkować odzyskaniem zaszyfrowanych danych. Czy skutkowało – nie wiadomo. Pewne jest jednak, że pieniądze tam trafiały, a następnie wędrowały na konta szantażystów przez trzy firmy emeryta: JC Enterprising, JC Web Creations i ITZ Services. Jeśli przyjąć, że jego działalność trwała od stycznia 2010, do momentu przerwania procederu 75-latek transferował za granicę średnio 30 tysięcy złotych miesięcznie. Jaki procent tych kwot inkasował za swoje pośrednictwo?
Firma ANZENA zauważa, że chociaż w otwartej współpracy twórcy i dystrybutorzy ransomware mogą dzielić się zyskami nawet po połowie, tutaj 10% dla pośrednika (nieświadomego?) byłoby już wariantem bardzo optymistycznym. Nawet jednak realniejsze 3% zysku wciąż przynosiłoby blisko 900 zł miesięcznie. Chociaż 75-latek mógł je wydawać np. na potrzebne lekarstwa to raczej wątpliwe, by podczas procesu znalazł zrozumienie ofiar scamu, które nie mając backupu danych zapłaciły haracz za ich odzyskanie.
Zmieniają się miejsca i okoliczności złośliwego szyfrowania, jednak antidotum na ransomware pozostaje to samo: regularne tworzenie kopii bezpieczeństwa – przestrzega Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX – W przypadku infekcji szyfrującej wystarczy przywrócić ostatni plik backupu i spokojnie wznowić przerwaną pracę, zostawiając szantażystów z niczym. Niezależnie od tego, czy backup już mamy, czy dopiero planujemy jego zakup nigdy nie dawajmy się wciągać w rozmowy telefoniczne ani korespondencję mailową o problemach technicznych, których sami wcześniej nie zgłaszaliśmy – to proszenie się o kłopoty.
Niewykluczone, że pechowy Australijczyk był tylko jednym z wielu ogniw tworzących międzynarodową siatkę scamerów (oszustów wykorzystujących zaufanie ofiar). Według danych firmy ESET z października 2016 liczba fałszywych ataków mających przekonać użytkowników, że na ich komputerach znajduje się groźne oprogramowanie wzrosła o 10%. Chciałoby się napisać, że o tyle samo wzrosła liczba osób tworzących backup, jednak w praktyce ludzie zaczynają go tworzyć najczęściej dopiero w następstwie utraty danych. Więcej ataków “na serwisanta IT” to także większe zagrożenie dla firm, które na złośliwym szyfrowaniu mogą stracić znacznie więcej niż indywidualni użytkownicy. Wystarczy kilka dni odciętej bazy danych, by klienci odpłynęli do konkurencji występując z roszczeniami wobec byłego dostawcy.
Czy to tylko jeden przypadek?
Firma ANZENA zauważa, że w całej sprawie jest jeszcze jeden niepokojący wątek. Chodzi o łatwość z jaką analogiczny werbunek do przestępczej siatki mogą przejść (i prawdopodobnie przechodzą) starsze osoby na całym świecie. Podobnie jak w Polsce, w Australii mężczyźni kończą pracę w wieku 65 lat. Łatwo policzyć, że bohater niniejszego tekstu swoją “biznesową szansę” otrzymał w 68 roku życia. Przypadkiem? Starszy, raczej mało świadomy sieciowych zagrożeń i pewnie niezbyt zadowolony ze świadczenia emerytalnego idealnie spełniał kryteria poszukiwanego przez naciągaczy “słupa”. Obecnie nawet dla średnio rozgarniętych cyberprzestępców prześwietlenie sylwetki wybranego celu nie stanowi żadnego problemu. Mogło to upewnić szantażystów, że znaleźli swojego człowieka w Australii. Kolejne lata dobrej passy tylko utwierdzały ich w podjętej decyzji, którą musiało zachwiać dopiero piątkowe aresztowanie. Pierwsza rozprawa pechowego 75-latka odbędzie się 3 sierpnia.
