Zawodowo tropi hakerów. Nam opowiada, jak kradną pieniądze z banków

Jest bardzo kontrowersyjna. Z jednej strony ktoś żąda pieniędzy za nieujawnianie wykradzionych danych klientów, równocześnie wykrada milion złotych. Można to uznać za zwyczajną próbę szantażu. Odpowiednie instytucje powinny ocenić działanie banku, jak i samego hakera.

Jeśli rzeczywiście powiadomione instytucje nie zareagowały, byłoby to bulwersujące. Jeśli to oczywiście prawda, ponieważ na tę chwilę opieramy się wyłącznie na twierdzeniach hakera. Równie dobrze mogły zostać podjęte jakieś wewnętrzne działania, o których nie wiemy. Trzeba będzie poczekać na weryfikację tych informacji.

Ataki na banki to rzecz powszechna i banki tego nie ukrywają, ale nie ujawniają szczegółów. Mam nadzieję, że tym razem rozpocznie się dyskusja na temat bankowych zabezpieczeń, gdyż pojawi się przy tej okazji możliwość edukowania użytkowników. Że trzeba zmieniać hasła. Że w takiej sytuacji trzeba od razu zastrzec karty kredytowe. Często użytkownicy mają takie same hasła do wielu systemów, również posiadając konta w różnych bankach. To otwiera drogę hakerom do wykradania ich danych.

Bank posiada cały szereg zabezpieczeń. Nie mam co do tego wątpliwości. Jednak, jak twierdzi sprawca, dostał się do serwera banku poprzez luki w systemie, które nie zostały załatane. Może to brzmi banalnie, gdyż wszyscy to powtarzają w odniesieniu do przeciętnego Kowalskiego, ale taka jest prawda. Podstawą bezpieczeństwa, tym, co przeciętny Kowalski może zrobić, jest posiadanie legalnego oprogramowania, które pozwala na regularne aktualizowanie systemu w momencie, gdy takie aktualizacje się pojawiają. Programy antywirusowe, choć z opóźnieniem, to jednak działają.

W przypadku banków wiadomo, że system antywirusowy nie jest tym, który mógłby bank ochronić. Ale już aktualizacje być może tak. W przypadku historii z bankiem, jeśli było tak, jak opowiada sprawca, to właśnie brak takich aktualizacji mógł spowodować, że powstała luka w systemie bankowym, przez którą mógł on się do niego dostać.

Dziury zawsze się znajdują w systemach komputerowych. Niektóre można powiedzieć ”krążą w podziemiu”. Są znane wąskiej grupie przestępców, którzy wykorzystują je do ataków. Zależy im, by jak najdłużej pozostawały nieodkryte. Jednak największym problemem zawsze jest człowiek. Może być bardzo wiele bardzo wyszukanych zabezpieczeń, natomiast jeśli zawini człowiek, to wszystkie zabezpieczenia zdadzą się na nic. Każdy może wprowadzić hakera do swojego komputera przez zarażonego pendrive'a lub przez zainfekowaną stronę. Możemy mieć bardzo wyszukane systemy, ale jeżeli nie mamy osób przeszkolonych, które wiedzą, jak jak ich używać i jak reagować w sytuacji wystąpienia incydentu to wówczas nowoczesne systemy niewiele nam dadzą, gdyż atak w ogóle może nie zostać zauważony. W tym przypadku wygląda to tak, że haker od dłuższego czasu miał główny serwer banku pod kontrolą i nikt tego nie wykrył. Działania zostały podjęte dopiero później.

Można tak powiedzieć.

Scenariusz tego ataku na pewno wyklucza amatora. Mechanizmy, które zostały wykorzystane są dość skomplikowane, wymagały wiedzy programistycznej i szczegółowej analizy systemów, które pozwoliły na wykradzenie danych i pieniędzy. Jest możliwe, że pojedyncza osoba mogła dokonać takiego ataku.

Są również ataki wymagające zaangażowania większej ilości zasobów. Wymagają sporej liczby komputerów, żeby jednocześnie zaatakować i przeciążyć serwer tak, żeby przestał poprawnie działać. Wymaganych jest wtedy wiele jednoczesnych połączeń, ale często do takich ataków stosuje się tzw. komputery zombie. Wtedy atakującymi są zarażone komputery. Ich użytkownicy nie mają świadomości, że w danym momencie przeprowadzają jakiś atak. Czasem takie działania mają za zadanie zamaskowanie właściwego ataku, który odbywa się w międzyczasie.

Przypadek, o którym mówimy, nie wymagał takich operacji. Równie dobrze mogła to być jedna osoba, która miała odpowiednią wiedzę, jak i zespół osób.

Wie to on i bank. Jeżeli rzeczywiście poziom, do jakiego się dostał, był taki, jak sam opisuje – że przejął pełną kontrolę nad głównym systemem bankowym – to był w stanie wytransferować te pieniądze na inne konta przez siebie założone. Mógł zrobić wszystko.

Mógł zmienić numery rachunków podczas dokonywania przelewów. Z punktu widzenia użytkownika banku, który dokonuje przelewu za prąd, wodę wyglądałoby to jakby operacja przebiegła poprawnie. Na ekranie wszystko się zgadza, wysyła przelew. Ale na serwerze dochodzi do podmiany. W efekcie przelane pieniądze idą na inny niż wskazany rachunek.

Można sprawdzić, na jakie konta pieniądze zostały przelane. O ile w systemie bankowym nie zostały one zatarte. Z jakich adresów dokonywano połączeń. Na podstawie poszlak zawęzić grupę podejrzanych i wtedy zabezpieczyć ich osobiste komputery. Tam można doszukiwać się dowodów. Jeżeli była to osoba tak sprytna, by umieścić rachunki bankowe np. w instytucjach, które nie współpracują z policją i nie ujawnią właściciela rachunku, to będzie trudno odzyskać pieniądze.

Użytkownik wykorzystał lukę, dostał się do sieci, i pracował na systemach bankowych. To nie wymagało żadnego konkretnego sprzętu. Wystarczył komputer, z którego się łączył. Oczywiście, jeśli chciał zacierać swoją obecność, to pewne zastosował dodatkowy sprzęt podczas nawiązywania komunikacji. Mógł łączyć się z różnych miejsc. Można sobie wyobrazić, że na niejednym polskim osiedlu są sieci, które są źle zabezpieczone. Albo nawet wcale. Mógł usiąść z laptopem na ławce pod blokiem i z wykorzystaniem Bogu ducha winnego przypadkowego użytkownika dokonać włamania. Jeśli policja będzie miała adres IP, z którego dokonywał ataku, to dotrze do użytkownika tej niezabezpieczonej sieci. To mogłoby skomplikować pracę organom ścigania. Sprzęt nie jest potrzebny, wiedza jak najbardziej tak.

Zaskoczyło mnie to, że tak głęboko udało mu się wejść do systemu bankowego. Mam nadzieję, że to pojedynczy przypadek. Jeśli wszystko, co haker opowiada, jest prawdą, to jest to jeden z ciekawszych ataków, jakie w ostatnim czasie się wydarzyły. Od wielu lat nie mieliśmy w Polsce do czynienia z atakiem na tak dużą skalę. Nie przypominam sobie tak rozległego ataku, który zostałby ujawniony.

Myślę, że wręcz przeciwnie. Szczęście w nieszczęściu, że sprawa została ujawniona. Daje nam to szansę, by jak najwięcej się o tym dowiedzieć i wyciągnąć wnioski na przyszłość. Jestem przekonany i wierzę w to głęboko, że wszystkie banki będą teraz przyglądały się swoim systemom zabezpieczeń. Że będą wkładały również środki finansowe, by zabezpieczyć się jeszcze lepiej. Mam nadzieję, że nie popadną w samozadowolenie twierdząc, że akurat nie oni, a kto inny został skutecznie zaatakowany.

Nawet jeśli do takich sytuacji dochodziło, to tego nie wiemy, gdyż nie były one ujawniane. Bank zrobi jednak wszystko, by takie informacje nie dostały się do publicznej wiadomości. W tym przypadku mieliśmy jednak do czynienia z sytuacją, gdy bank raczej nie chciał się dogadać.

Raczej odnajdywaniem i opisywaniem śladów, które mogą pomóc w wykryciu sprawcy. Naszą rolą jest zabezpieczenie elektronicznego materiału dowodowego i przeanalizowanie go na zlecenie różnych firm, czy służb. Komputer zawsze zostawia jakieś ślady. Pytanie na ile sprytna była osoba, na ile zatarła swoją działalność. Niektórzy nie dbają o zacierania śladów, inni nie wiedzą, jak to robić.

Mogę powiedzieć, że bardzo często udaje się znaleźć coś, co potem prokuratura czy inne służby mogą wykorzystać na dalszym etapie postępowania. Czasem analiza śladów trwa kilka dni, ale bywa też, że wiele miesięcy.