ski. Dotyczył on działalności tzw. Gru- py Pocztowej. Pod tą niewinną nazwą kryje się prawdopodobnie międzyna- rodowa grupa przestępcza, która od- powiada za podobne działania prze- prowadzone m.in. w Hiszpanii, Wiel- kiej Brytanii czy Australii. W trakcie ata- ków w naszym kraju przestępcy wy- korzystywali logotyp i nazwę Poczty Polskiej. Wiadomości miały rzekomo informować o nieodebranej przesyłce, ale tak naprawdę zawierały link, który po przekierowaniach prowadził użyt- kowników (w zależności od wykorzy- stywanej przez nich przeglądarki) do pliku .exe bądź .apk. Następnie komu- nikat zawarty na stronie internetowej prosił o pobranie pliku „PDF”, urucho- mienie go na komputerze, a w dalszej kolejności zaniesienie wydrukowanej wersji dokumentu do punktu odbioru przesyłek. W rzeczywistości internau- ci pobierali na swoje urządzenia złośli- we oprogramowanie o nazwie Torren- tLocker, które szyfrowało pliki na dys- ku użytkownika, a za ich odszyfrowa- nie żądało okupu.
Zdaniem specjalistów Grupa Poczto- wa jest aktywna przynajmniej od 2013 roku. Jak zaznaczają eksperci, tylko w drugiej połowie sierpnia w interak- cję z fałszywą stroną weszło ponad 15 tys. unikalnych adresów IP, z których większość pochodziła z Polski. Spo- śród nich aż 6388 pobrało szkodliwe oprogramowanie. Oznacza to skutecz- ność na poziomie 41,4 procent, co sta-
nowi wysoki odsetek jak na atak tego typu.
Terroryści i bankierzy
Podczas październikowej konferencji odbyły się także inne interesujące po- kazy. Bardzo ciekawym problemem jest odzyskiwanie pieniędzy od banku przez firmy, które padły ofiarą cyber- ataku. Są w naszym kraju firmy praw- nicze, które się tym zajmują. Przedsta- wicielem jednej był obecny na Secu- re 2015 Michał Kluska, który posłużył się kilkoma przykładami – banków au- striackich i polskich. Jak dowodził, ta- ki atak jest kombinacją socjotechni- ki i nowoczesnych metod włamania. Atak następuje zazwyczaj pod koniec tygodnia, w godzinach popołudnio- wych, kiedy w firmie nie ma już naj- ważniejszych osób. Do przedsiębior- stwa przychodzi fałszywy mejl (czasem z zagranicy) dotyczący przelewu okre- ślonej kwoty. Po otrzymaniu przelewu przestępcy rozdzielają kwotę na kilka mniejszych i rozsyłają na różne kon- ta. W takich wypadkach należy szybko poinformować organy ścigania – każdy dzień opóźnienia utrudnia przeciwak- cję. Michał Kluska uważa, że pieniądze bardzo łatwo stracić, ale trudno odzy- skać – niektóre firmy odzyskiwały tylko niewielki ułamek. Doświadczenie po- kazuje też, że po wyczyszczeniu konta banki bardzo niechętnie wypłacają po- krzywdzonym pieniądze. O ile za grani- cą można na to liczyć, o tyle polskie in-
stytucje finansowe nie spieszą się z re- kompensatą strat.
Nietuzinkowa była prezentacja Piotra Koniecznego, szefa zespołu bezpie- czeństwa z niebezpiecznik.pl. Założy- ciel firmy pokazał, jak prowadzi się nie- standardowe audyty systemów bez- pieczeństwa. W porozumieniu z szefo- stwem firm niebezpiecznik.pl dokonuje kontrolowanych włamań do systemów firmowych, przejmuje konta i w sposób uzgodniony z zarządem dezorganizuje pracę przedsiębiorstwa. Jak twierdzi Konieczny, podczas takich kontrolowa- nych audytów „wyprowadzono” z firm kilka milionów złotych.
Adam Haertle, specjalista z dziedzi- ny bezpieczeństwa w firmie UPC, za- prezentował informacje o tym, w jaki sposób służby specjalne wykorzystu- ją metadane, czyli dane z billingów pochodzące od operatorów teleko- munikacyjnych, do walki z terrorysta- mi i różnymi tajnymi służbami. Chyba najbardziej spektakularny przykład po- chodził z Włoch, a dotyczył porwania osoby podejrzanej przez włoski wy- miar sprawiedliwości o współpracę z przestępcami. Żmudna analiza połą- czeń doprowadziła do odkrycia, że za zniknięciem człowieka stały tajne służ- by USA, które prowadziły nielegalną operację. Z kolei Sławomir Jasek poka- zał, w jaki sposób włamać się do samo- chodu – rzecz jasna będącego częścią internetu rzeczy, czyli wyposażonego w różne interfejsy elektroniczne. w
nr 17–18 (275–276) • listopad 2015
iT Reseller 31