Nie tylko Brejza i Wojtunik. Ofiarami ataków są tysiące zwykłych ludzi, a państwo rozkłada ręce
– Ofiarami spoofingu od lat padają tysiące osób. Ale trzeba było, by cyberprzestępcy wzięli na cel osoby publiczne, by o problemie zaczęły mówić mainstreamowe media, a rząd obiecał jakieś działania – mówi naTemat.pl Gosia Fraser, niezależna dziennikarka specjalizująca się w tematyce prywatności i cyberbezpieczeństwa.
Przeczytaj też: Atak na rodzinę Wojtunika. Do córki b. szefa CBA ktoś zadzwonił z wiadomością, że "tata nie żyje"
Anna Dryjańska: "Zasadnicze pytanie, jakie trzeba postawić w kontekście zastraszania opozycji, jest takie: skąd ci ludzie mają telefony działaczy opozycji oraz (co znacznie trudniejsze) naszych dzieci? Odpowiedzi najprostsze są często prawdziwe: robią to służby, a telefony mają z Pegasusa" – tak mec. Roman Giertych komentuje serię cyberataków na przedstawicieli opozycji i ich rodziny. Zgadzasz się z taką oceną?
Gosia Fraser: Nie wiemy, kto stoi za tymi atakami, dlatego byłabym bardzo ostrożna z ferowaniem wyroków. Atakowanie ludzi Pegasusem to jedna sprawa – państwo wystąpiło przeciw swoim obywatelom, którzy ośmielają się krytykować władzę.
Ale to, co się dzieje teraz, to klasyczny spoofing, czyli podszywanie się pod czyjś numer komórki czy adres mejlowy.
”Klasyczny spoofing”? Brzmi tak, jakby to było coś powszechnego.
Bo to jest powszechne. Ofiarami spoofingu od lat padają tysiące osób. W polskim internecie o tym zjawisku pisze się od dekady. Ale trzeba było, by cyberprzestępcy wzięli na cel osoby publiczne, by o problemie zaczęły mówić mainstreamowe media, a rząd obiecał jakieś działania.
To smutna sytuacja, bo zwykli ludzie, którzy padają ofiarami spoofingu, są bardziej bezradni niż osoby publiczne. Trzeba było znanych nazwisk, by coś drgnęło.
Czy spoofing i Pegasus są w jakikolwiek sposób powiązane?
Głośne przypadki spoofingu zbiegają się w czasie z kolejnymi doniesieniami o nielegalnej inwigilacji Pegasusem, ale to nie znaczy, że muszą za nimi stać te same środowiska polityczne lub osoby.
Powtórzę: nie wiemy, kto podszywa się pod osoby publiczne.
Wiadomo jednak, że to nie muszą być służby i nie potrzebują do tego Pegasusa. Spoofing to taki rodzaj cyberprzestępstwa, które można popełnić bardzo łatwo. W sieci dostępne są darmowe narzędzia, które umożliwiają przeprowadzenie takiego ataku. Wystarczy minimalna wiedza techniczna.
Oczywiście. Wystarczy, że wiesz jakiego narzędzia szukasz i znasz numer telefonu lub mejl ofiary.
Mec. Giertych stawia jednak słuszne pytanie, gdy zastanawia się, skąd sprawcy mają numery przedstawicieli i ich dzieci. To naprawdę interesująca kwestia.
Numery części osób publicznych są publicznie dostępne. Przestępcy mogli je pozyskać, zbierając dane rozsiane w różnych miejscach sieci. W przypadku telefonów posłów mogą to być na przykład informacje kontaktowe na ich stronach internetowych.
Jednak w przypadku dzieci osób publicznych nie wydaje się to prawdopodobne. Tu raczej doszło do pozyskania numerów w inny sposób – albo ktoś w dobrej wierze udostępnił je cyberprzestępcom, albo je wykradli. Skłaniam się do tej drugiej opcji. Wystarczyło, że zhakowali jakiegoś dziennikarza.
I znowu: żeby zainfekować telefon dziennikarza nie trzeba Pegasusa. Wystarczy, że taka osoba kliknie złośliwy link, a sprawcy dzięki zainstalowanemu na telefonie ofiary złośliwemu oprogramowaniu mogą pobrać jej listę kontaktów. Zhakowana osoba nawet nie wie, że ktoś jej się włamał.
Mówisz, że ofiarami spoofingu padają tysiące osób rocznie. Co konkretnie robią im cyberprzestępcy?
W Polsce podszywanie się ma przede wszystkim na celu wyłudzenie danych do bankowości.
Na przykład dzwoni do ciebie twój bank – tak ci się pokazuje na wyświetlaczu – a jego pracownik prosi cię o login, pesel, nazwisko panieńskie matki itp. Tyle że to nie jest twój bank, tylko oszust, który “przybrał” jego numer telefonu.
A ty w pośpiechu lub stresie możesz mu te dane podać, zwłaszcza, że cyberprzestępcy stosują komunikaty, które silnie oddziałują na emocje.
“Bez podania tych danych straci pani dostęp do konta”, “bez tych informacji niemożliwe będzie odebranie lub wysłanie przelewu”… – to ataki z wykorzystaniem socjotechniki, która potrafi być niezwykle skuteczna, bo bazuje na naszych słabych stronach. Wszyscy je mamy, jesteśmy ludźmi.
Podnosisz mi ciśnienie samymi przykładami.
Widzisz? Właśnie o to w tym chodzi: byś się zdenerwowała i opuściła gardę.
Dlatego – tu kolejna rada dla czytelniczek i czytelników – jeśli dostajesz komunikat od banku, dostawcy internetu, poczty itp., który cię stresuje, a zwłaszcza taki, w którym dają ci deadline, bo inaczej stanie się coś złego, np. stracisz pieniądze, stronę internetową, paczkę, to prawdopodobnie wziął cię na cel cyberprzestępca.
Kolejna rada: nie klikajcie w linki w sms-ach. Lepiej nie kliknąć w prawdziwe łącze niż wejść w złośliwe.
Okej, ale czasami komunikaty są stresujące, choć pochodzą od prawdziwych nadawców. Podobnie z deadlinami.
Warto wyjaśnić sprawę osobiście: pójść do swojego banku, odwiedzić dostawcę internetu, wstąpić na pocztę. Tam możesz ustalić, czy komunikat jest prawdziwy, czy nie.
Nie można zadzwonić?
O ile wybierzesz numer z palca – to tak.
Czyli spoofing w Polsce polega przede wszystkim na wyłudzaniu danych bankowych. Chodzi o wyczyszczenie konta?
Niekoniecznie. Czasami faktycznie cyberprzestępcy idą na całość. Są jednak i tacy, którzy naciągają nas na przelew, bo np. "trzeba dopłacić do paczki", albo "twoje zakupy w sklepie internetowym nie zostały opłacone".
Spoofing może polegać też na tym, że ktoś wykrada nasze dane, a potem je sprzedaje komuś, kto zrobi z nich użytek.
Nasze dane mogą też posłużyć do zaciągnięcia w naszym imieniu kredytu lub innego zobowiązania, o którym dowiemy się, kiedy przyjdzie wezwanie do zapłaty należności. Kradzież tożsamości jest bardzo prosta i najczęściej możliwa przez nasze własne błędy.
No i wreszcie są tacy, którzy wrabiają innych w fałszywe alarmy bombowe. Wtedy do nieświadomego “sprawcy” wkracza policja i może się zrobić naprawdę nieprzyjemnie.
Czy tzw. zwykli ludzie też doświadczają makabrycznego spoofingu, którego ofiarami padają teraz osoby publiczne? Kłamstwa o śmierci bliskiej osoby z "jej" numeru telefonu, groźby karalne…
I to jak! Przede wszystkim oni tego doświadczają. Ofiarami tego typu spoofingu często padają kobiety prześladowane przez byłych mężów lub partnerów. Napisałam niedawno tekst na temat tego, jak nowe technologie mogą być wykorzystywane do krzywdzenia.
Przemocowiec wie, że jego eks nie odbierze od niego telefonu, więc podszywa się pod numer osoby, której ta kobieta ufa, np. przyjaciółki czy rodziców. I gdy kobieta odbiera, facet zaczyna jej grozić. Z moich obserwacji wynika, że to bardzo powszechny sposób nękania.
A co pokazują statystyki?
W Polsce nie ma oficjalnych statystyk. Zresztą policja nagminnie odmawia odnotowywania spoofingu – czy finansowego, czy przemocowego. Funkcjonariusze nie przyjmują zgłoszeń, bo nie wiedzą, jak mieliby się wziąć za ściganie cyberprzestępców. Nie ma dochodzeń. Ludzie zostają z tym sami.
Zresztą, o czym my tu mówimy. Sama miałam kiedyś stalkera, który nie wyróżniał się specjalnie wiedzą techniczną, ale policjanci i tak nie potrafili ustalić jego danych. Oczekiwali, że sama przeprowadzę śledztwo i wskażę im prześladowcę, a moim obowiązkiem nie jest ustalanie niczyjego IP i dostarczanie tych danych policji.
Skoro jest tak źle w prostych sprawach, to czego oczekiwać od stróżów prawa w bardziej skomplikowanych?
Na Zachodzie też jest taka cyberbezradność, czy nasze państwo jest z wyboru dzieckiem we mgle?
Na Zachodzie problem jest zbadany, opisany i zmierzony. W Polsce jeszcze przed chwilą żyliśmy w cudacznym przeświadczeniu, że cyberprzestępczość nas nie dotyczy.
Gdy prześledzisz debaty w mediach, to szybko zauważysz, jakie to wszystko jest oderwane od rzeczywistości, akademickie. A niestety cyberprzestępczość w Polsce jest i ma się dobrze, bo państwo jej nie zwalcza. Cierpią konkretne osoby – tysiące osób.
Odpowiedzialność zrzuca z siebie zarówno rząd, jak i inne instytucje, które powinny się tym zajmować. Minister Cieszyński z resortu cyfryzacji zainteresował się spoofingiem dopiero wtedy, na celowniku znalazły się osoby z pierwszych stron gazet, choć od dawna jako eksperci głośno mówimy o problemie.
Kłopoty z cyberbezpieczeństwem występują nie tylko na poziomie centralnym, ale i w samorządach.
Podasz przykład cybernieodpowiedzialności władzy samorządowej?
Bardzo proszę: Gdańsk wprowadził pilotażowy program opasek dla seniorów. Monitorowanie tętna, lokalizacji starszej osoby, alarmowanie o upadku, te sprawy. Brzmi fajnie, nie?
Ale gdy zapytałam ratusz o zabezpieczenie tych danych, zrobiło się nieprzyjemnie. Najpierw odsyłano mnie przez tydzień między różnymi urzędnikami. Następnie ktoś udzielił mi odpowiedzi: miejsce, gdzie gromadzone są dane, jest otoczone płotem.
Że co?
Dobrze słyszałaś: mówią, że dane są bezpieczne, bo są otoczone płotem. A ostatecznie, pani, która udzieliła mi takiej odpowiedzi, w poczuciu zażenowania w końcu poprosiła mnie, bym jej nie cytowała w tekście.
Kolejny przykład, tym razem z rządu. W 2018 roku pojawiły się sygnały, że doszło do naruszenia bezpieczeństwa dostępu do bazy PESEL. Napisałam do MON i Ministerstwa Cyfryzacji z pytaniem, czy potwierdzają, czy zaprzeczają tym doniesieniom. Po czterech latach nadal nie mam odpowiedzi i myślę, że nigdy jej nie dostanę.
To się w głowie nie mieści.
Co mam ci powiedzieć?
Że eksperci od cyberbezpieczeństwa dostają od państwa śmieszne pieniądze, więc uciekają do sektora prywatnego i bynajmniej nie zmienią tego dopłaty ministra Cieszyńskiego, bo chodzi też o kulturę pracy? Że służby mają braki kadrowe i sprzętowe? Że z ministerstw poodchodzili urzędnicy, którzy ogarniali sprawę? Że jesteśmy w tak ciemnym miejscu, że nikt niczego nie kontroluje?
Powiedz mi na koniec coś pozytywnego. Choć jedną rzecz.
No cóż, pozytywne jest to, że na kłopotach znanych osób ze spoofingiem mogą skorzystać normalsi. Rząd dostrzegł, że problem istnieje, a to pierwszy krok do jego rozwiązania.
A problem jest ogromny. Jak wykazały badania Krajowego Rejestru Długów i serwisu chronPESEL aż 45 proc. Polaków dostało ostatnio fałszywe sms-y lub mejle.
Kolejna pozytywna rzecz jest taka, że mimo iż państwo zawodzi na całej linii także w sferze edukacyjnej, to są miejsca, gdzie możesz się nauczyć jak zwiększyć swoje cyberbezpieczeństwo.
Jest CyberDefence24.pl, Niebezpiecznik, Panoptykon i Zaufana Trzecia Strona. Eksperci dzielą się swoją wiedzą w sieci. Jestem jedną z takich osób. W celach edukacyjnych prowadzę newsletter Techspresso i konto na Instagramie, gdzie uczę, jak bezpiecznie korzystać z internetu i gadżetów elektronicznych.
Bardzo prostym, przystępnym językiem mówię ludziom co robić, a czego nie, by zadbać o swoje cyberbezpieczeństwo. Podaję konkretne, codzienne przykłady. Docieram tam, gdzie nie zapuszczają się rządowi urzędnicy – do zwykłych ludzi.
Cały czas mam jednak nadzieję, że państwo przyjmie na siebie odpowiedzialność za cyberbezpieczeństwo obywateli. Afera Pegasusa i inne ataki na osoby publiczne stwarzają okazję do tego, by władza zajęła się tym na poważnie.
Posłuchaj "naTemat codziennie". Skrót dnia w mniej niż 5 minut