Cyberkryminalni odc. 4 – Wielki skok na e-banki

Funkcjonariusz operacyjny z Komendy Głównej Policji w Warszawie, ujawniający jedynie imię – Mariusz – jechał ulicą Puławską, słuchając radia i pogwizdując pod nosem. Ostatni dzień kwietnia zbliżał się do końca, a to oznaczało, że powoli zaczyna się długi weekend – cztery wspaniałe dni, z którymi będzie mógł zrobić co tylko zechce: bez stresu, nerwów i napięcia towarzyszących zwykle jego pracy w jednostce policji.

Nagle zaświergotała komórka. Dzwonił jego znajomy ze szkoleń, obecnie dyrektor departamentu bezpieczeństwa jednego z największych polskich banków. Zanim Mariusz odebrał telefon, przemknęły mu przez głowę dwie myśli. Pierwsza, że telefon o 18 tuż przed długim weekendem oznacza dużą sprawę, a druga, że w związku z tym jest więcej niż prawdopodobne, iż nie będzie miał w tym roku długiego weekendu. Cóż, należy to przyznać otwarcie – jego przypuszczenia potwierdziły się.

Dwa w jednym

– To podróba, ale absolutnie perfekcyjna – głos w słuchawce był wyraźnie zdenerwowany. Wkrótce napięcie udzieliło się również Mariuszowi. Poprosił o chwilę przerwy, zjechał na pobocze i zgasił silnik. Chciał być absolutnie skoncentrowany podczas tej rozmowy, żeby nie przeoczyć żadnego szczegółu. A sprawa wyglądała tak: jeden z klientów banku odebrał godzinę temu email, w którym poinformowano go, że coś niedobrego dzieje się z jego kontem. W treści znajdował się odsyłacz, którego kliknięcie przeniosło go na stronę banku w Sieci. Tam klient dowiedział się, że z powodu poważnej usterki serwisu musi zalogować się w panelu awaryjnym, gdzie poproszono go o podanie kilku kolejnych haseł jednorazowych.

– Na szczęście facet nie był aż tak nierozsądny – kontynuował opowieść dyrektor. – Podejrzewając oszustwo, zadzwonił na naszą infolinię i zapytał, czy faktycznie mamy awarię. Od słowa do słowa, opowiedział całą historię, a operatorka przełączyła go do mojego wydziału. No i tak ustaliliśmy, że ktoś postawił w Sieci kopię naszego serwisu, a teraz rozsyła oszukańcze emaile. Ale jest jeszcze coś gorszego… – dyrektor zawahał się na moment. – Właściwie to nie wiem, czy powinienem o tym mówić, ale tego obawiamy się najbardziej. Chodzi o zatruwanie DNS. Słyszałeś kiedyś o tej technice?

Brudny serwer

– Tak – odpowiedział Mariusz i natychmiast zrozumiał obawy dyrektora. Zatruwanie DNS to diabelska sztuczka: złodziej hakuje serwer DNS u dużego dostawcy Sieci, po czym podmienia Interesujące go rekordy. Jeśli podmieni te z adresami domen banku, zaczną się oszustwa na masową skalę, bo przecież nikt ze zwykłych ludzi się nie domyśli, że wpisując w przeglądarkę adres swojego e-banku, w rzeczywistości trafia na fałszywki przygotowane przez hakerów.

– Mamy sygnały z sektora bankowego, że w Polsce były już przypadki zatruwania serwerów DNS – odezwał się dyrektor. – Dlatego uważamy, że najprościej byłoby zablokować serwer z podróbką. Tyle że to może zrobić tylko policja. Trasy pakietów wskazują na Australię. Podeślę ci nasze logi.

– Podeślij – powiedział funkcjonariusz Mariusz i rozłączył się. Potem zawrócił i z piskiem opon ruszył z powrotem na komendę. Choć nie powiedzieli tego głośno, obydwaj wiedzieli, że największym problemem jest obecnie czas – każda minuta działania fałszywki zwiększała prawdopodobieństwo przeprowadzenia skutecznego ataku hakerskiego.

Niestety, mylili się obydwaj. Czas to nie był największy problem. Ten największy, jak to zwykle bywa z dużymi problemami, pojawił się dopiero w odpowiedniej chwili, wywracając wszystko do góry nogami.

Zablokować to początek

Analiza logów z banku i zbudzony w środku nocy przedstawiciel lokalnego dostawcy Internetu z antypodów wskazali, że maszyna z podrobioną witryną banku stoi w prywatnym mieszkaniu gdzieś na przedmieściach Sydney. Mieli adres, mieli dowody, na co więc czekać?

– Tak, wiem, że u was jest druga nad ranem, ale nie mamy wyboru. Trzeba natychmiast zablokować ten serwer! – rzucił Mariusz w słuchawkę. Na drugiej linii miał dyżurnego funkcjonariusza z australijskich służb do walki z cyberprzestępczością. Przed sekundą wysłał mu regulaminowy faks z opisem przestępstwa i prośbą o zablokowanie serwera.

Normalnie taka sprawa zajęłaby co najmniej kilka dni i zahaczyła o szczebel ministerialny obydwu krajów. Jednak już od kilku lat większość państw Unii Europejskiej, Ameryka, Kanada i – na szczęście – Australia dopuszczały stosowanie procedur uproszczonych, na które w rozmowie powoływał się Mariusz. Zadziałało. Usłyszał “OK”. Teraz trzeba czekać.

Jak Feniks z popiołów

Po kilku minutach serwer z podróbką zniknął z Sieci. Mariusz poinformował o tym bank i odetchnął. Choć czekało go jeszcze mnóstwo pracy, był przekonany, że najgorsze już za nim. Mylił się. Po kolejnych kilku minutach otrzymał telefon z banku, że fałszywka znów funkcjonuje. Tym razem logi wskazywały na jeden z krajów południowo-wschodniej Azji.

– To przecież niemożliwe – mruknął do siebie Mariusz. A jednak po kliknięciu odnośnika, który figurował w przesłanym z banku emailu, zobaczył na własne oczy, że fałszywka odrodziła się jak Feniks z popiołów. Myśl, że wszystko trzeba będzie zaczynać od początku, nie napawała go szczególnym optymizmem. Wtedy przyszło olśnienie. Mariusz ponownie zadzwonił do dyżurnego funkcjonariusza z Australii. Nie mógł prosić o udostępnienie danych z serwera, którego adres IP zablokowano, ponieważ znajdował się on w prywatnym mieszkaniu. Na to potrzebny był nakaz, który da się załatwić dopiero za kilka ładnych godzin, gdy w Sydney na dobre rozpocznie się dzień. Mógł za to poprosić dostawcę Internetu, który zablokował adres serwera, o logi dla tego adresu z ostatnich kilku godzin. Tak zrobił i już po chwili siedział przed monitorem, przeglądając zapisy. Szybko zauważył, że australijski serwer służył wyłącznie jako zasłona dymna. W rzeczywistości stanowił swego rodzaju tunel, którym przesyłano dane z innego adresu IP.

U źródła zła

– Właściwa maszyna stoi w Atlancie w Stanach Zjednoczonych – powiedział do siebie funkcjonariusz. Szybko, jeszcze z pominięciem procedur policyjnych, wysłał email ze stopniem ważności “wysoki” do administratora tamtejszej sieci komputerowej, w kilku zdaniach opisując całą sprawę. Zaraz potem zadzwonił i po minucie rozmowy udało mu się przekonać administratora, by ten zablokował dostęp do podejrzanego serwera.

Teraz telefon do lokalnej policji. Szczęście mu dopisywało. Po pierwsze znał jednego z tamtejszych pracowników operacyjnych ze szkolenia w Interpolu, a po drugie w Atlancie był środek dnia. W krótkiej przyjacielskiej rozmowie uzyskał więcej, niż się spodziewał – bezpośredni dostęp do zasobów hakerskiego serwera.

Przeglądając je szybko, Mariusz stwierdził, że na serwerze zgromadzono fałszywki jeszcze siedmiu innych polskich banków oraz 40 zagranicznych, głównie portugalskich. Na pierwszy rzut oka widać było, że hakerzy szykowali akcję na ogromną skalę.

Epilog

Opisana sytuacja trwała niecałe 30 minut. Zaledwie tyle potrzebował funkcjonariusz operacyjny Mariusz, aby w zarodku zdławić jedną z największych akcji hakerskich wymierzonych w polski sektor bankowy. Jednak zdławić to nie to samo co rozwikłać i schwytać winnych.

A z tym ostatnim może być różnie: analiza logów z właściwego serwera – tego z Atlanty – wykazała, że sprawcą całego zamieszania była międzynarodowa szajka hakerska, której członkowie logowali się z kilku krajów Unii Europejskiej – Polska do nich nie należy – oraz prawdopodobnie z Rosji.

Obecnie trwa analiza kryminalistyczna, dająca nadzieję na powiązanie tej sprawy z podobnymi przypadkami z przeszłości. Jeśli to się uda, pojawi się więcej tropów, choć już w tej chwili wiadomo, że nie będzie łatwo. Do tej pory udało się ustalić z całą pewnością jedno: właściciel serwera z Australii nie miał pojęcia o tym, że jego maszyna jest wykorzystywana przez hakerów.

Jakie informacje chcieli przechwycić hakerzy

Fałszywki banków proszą o podanie kilku kolejnych liczb z listy haseł jednorazowych.

Fałszywka innego polskiego banku prosi o podanie numeru PESEL oraz skojarzonego z nim hasła dostępu do konta.

Fałszywka portugalska wymagała podania identyfikatora, a po nim hasła.

Zatruwanie DNS – nowa technika włamań hakerskich

Metoda polega na wysłaniu do serwera DNS (Domain Name Server, czyli serwera przechowującego nazwy domen) fałszywego rekordu kojarzącego nazwę domeny z adresem IP. Serwer zapamiętuje go na kilka godzin i przez ten czas zwraca wszystkim pytającym – głównie przeglądarkom, które muszą ustalić adres IP ładowanej strony na podstawie jej nazwy literowej – adres fałszywej witryny.

Oto jak to działa: poprawnie działający serwer DNS powinien zapamiętywać tylko odpowiedzi na pytania, które sam zadaje. Dzieje się tak wtedy, gdy nie potrafi on znaleźć we własnych zasobach adresu określonej domeny. Jednak po odpowiednim zhakowaniu serwer zapamiętuje również odpowiedzi na pytania, których sam nie zadał. Metoda jest bardzo niebezpieczna, ponieważ pojedynczy serwer DNS obsługuje często wszystkich klientów określonego dostawcy Internetu. Po zatruciu urządzenia są oni kierowani w miejsce, które przeznaczył dla nich haker.

Zatruwanie serwerów DNS to zapewne wynalazek rosyjskich hakerów. Po raz pierwszy technika ta została zastosowana podczas ataku na infrastrukturę internetową w Estonii, który miał miejsce w maju ubiegłego roku.