Metoda na groźbę albo alarm. Jak przestępcy próbują nami manipulować

"Wpakuję ci nóż desantowy w brzuch, jak Stefan W. temu (...) Adamowiczowi" - to fragment listu z pogróżkami, który w ostatnich dniach dostał Donald Tusk. Przewodniczący Platformy Obywatelskiej przeczytał go w filmie zamieszczonym na swoim facebookowym profilu. W liście grożono też śmiercią bohaterce Powstania Warszawskiego Wandzie Traczyk-Stawskiej. Podobny list, o czym poinformował w sieci, otrzymał też Radosław Sikorski. A także inni politycy opozycji.

W tym samym czasie listy z pogróżkami otrzymali też dziennikarze. Przynajmniej kilkunastu, głównie śledczy, z różnych redakcji. Nie wchodząc w szczegóły - ich treść jest powiązana z tym, co dostali politycy, praktycznie są pisane według jednego szablonu. Zmieniono tylko nazwiska.

Donald Tusk za groźby obwinił Jarosława Kaczyńskiego, Radosław Sikorski zrzucił winę na TVP. Dziennikarze zaczęli łączyć groźby z tematami, którymi aktualnie się zajmują. Jednak według informacji Wirtualnej Polski żaden z tych tropów nie jest właściwy.

Mamy dwie wiadomości: dobrą i złą. Dobra jest taka, że groźby, które dostali w ostatnim czasie politycy i dziennikarze, stanowią niewielkie zagrożenie dla ich adresatów. Zła - osoba lub osoby, które je wysyłają, prawdopodobnie nigdy nie poniosą odpowiedzialności karnej za to, co robią.

Kaskada za kaskadą

Ludzie zajmujący się cyberprzestępczością nazywają zjawisko, z którym właśnie mamy do czynienia, kaskadą lub atakiem kaskadowym. W jednym czasie z tego samego adresu lub kilku powiązanych adresów mailowych wysyłanych jest znaczna liczba takich samych lub podobnie sprofilowanych maili. Mogą zawierać groźby, ale równie dobrze ostrzegać przed podłożonymi bombami.

Po raz pierwszy o kaskadach zrobiło się głośno w maju 2019 r. Wtedy to przy okazji egzaminów maturalnych. 6 maja 122 szkoły z całej Polski - m.in. w Krakowie, Warszawie i Nowym Sączu - zgłosiły, że dostały ostrzeżenia o podłożeniu bomby. Egzamin nie odbył się w jednej szkole, w kilkudziesięciu był opóźniony.

Centralne Biuro Śledcze Policji wiedziało, że coś się szykuje, już kilka dni przed maturami. 2 maja zawiadomiło Centralną Komisję Egzaminacyjną o działaniach mających na celu "sparaliżowanie egzaminów maturalnych". Ich wiarygodność funkcjonariusze ocenili jako "niską", ale zalecili, by poinformować o wszystkim dyrektorów.

Szybko zareagowali politycy. "Różni szatani za tym stoją, ale prędzej czy później ci szatani znajdą się tam, gdzie ich miejsce, czyli w więzieniu" - zapowiadał w maju 2019 r. Joachim Brudziński, ówczesny szef Ministerstwa Spraw Wewnętrznych i Administracji. Jednak jego słowa nie sprawdziły się. Prokuratura Okręgowa w Warszawie umorzyła sprawę fałszywych alarmów bombowych 2 czerwca 2020 r. z powodu niewykrycia sprawcy.

Lepiej poszło śledczym zajmującym się fałszywymi alarmami w przedszkolach. To też kaskada - również z 2019 roku. "Wszyscy zdechniecie. W przedszkolu jest bomba, wybuchnie jutro w południe, wszyscy będziecie gryźć piach za to, co mi zrobiliście" - maila o takiej treści 26 i 27 czerwca 2019 roku dostało 1066 przedszkoli w całej Polsce.

Dziś wiemy, że była to sprawka Janusza K. i jego grupy hakerskiej, rozbitej we wrześniu 2020 r. K. siedzi w areszcie, a lista jego zarzutów puchnie z każdym miesiącem. Odpowie m.in. za to, że koledze-przestępcy, który miał go oszukać, wgrał na komputer treści pedofilskie, a potem zawiadomił policję. W efekcie niewinny mężczyzna na kilka miesięcy trafił do aresztu.

Zemsta i zarobek

Po co hakerzy wysyłają informacje o fałszywych alarmach bombowych i co ma to wspólnego z groźbami pod adresem Tuska oraz innych polityków i dziennikarzy? Cyberprzestępcy z grubsza wiedzą, jak działają polskie służby dedykowane zwalczaniu ich działalności. Temu poświęcone są specjalne fora, o tym dyskutuje się w darknecie, czyli części sieci ulubionej przez osoby niedziałające zgodnie z prawem.

Nie jest tajemnicą, że policjantów i prokuratorów zwalczających cyberprzestępczość jest mało. Tych dobrze znających się na swoim fachu, jeszcze mniej. A spraw przybywa z każdym rokiem.

W przypadku większości przestępstw popełnianych w wirtualnej rzeczywistości liczy się czas. Fałszywe sklepy, fałszywe bramki do przeprowadzania płatności albo profile w serwisach zakupowych z czasem są "ubijane" przez instytucje odpowiedzialne za bezpieczeństwo w sieci.

Ale żeby skutecznie ścigać przestępców, służby powinny natychmiast zabezpieczyć ślady po tego typu oszustwach - numery IP, bilingi, monitoringi i wiele innych. Przestępcy o tym wiedzą. Wiedzą też, że gdy odciągną śledczych od pracy, np. fałszywymi alarmami bombowymi, istnieje duża szansa, że ślady, które zostawili, ulegną zatarciu. I często mają rację.

Jest jeszcze inna grupa cyberprzestępców, która stara się dezorganizować pracę służb z czystej złośliwości, chęci zemsty, pobudek ideologicznych. Często robią to dla uzyskania rozgłosu - dlatego tak ważne jest, żeby nie nagłaśniać podobnych przypadków. Ale metody mają podobne do tych, którzy robią to dla zarobku.

Groźby zamiast bomb

Policja dość szybko i sprawnie poradziła sobie z fałszywymi alarmami bombowymi. Dziś maile, które przychodzą, są szybko analizowane przez przeszkolonych ludzi, nadaje im się właściwy priorytet i wdraża odpowiednie procedury.

Dlatego cyberprzestępcy coraz częściej z alarmów bombowych przesiedli się na groźby. Na ogromną skalę odczuli to sędziowie, prokuratorzy i inni pracownicy wymiaru sprawiedliwości po wycieku danych z Krajowej Szkoły Sądownictwa i Prokuratury, do którego doszło w lutym 2020 r. Prawdopodobnie przez błąd pracowników z zarządzanej wówczas przez obecną Pierwszą Prezes Sądu Najwyższego Małgorzatę Manowską instytucji wyciekły dane kilkudziesięciu tysięcy ludzi.

Wkrótce przynajmniej 400 sędziów i prokuratorów otrzymało groźby bazujące na tym wycieku.

Ludzie zajmujący się cyberbezpieczeństwem tego typu groźby dostają regularnie. Do tego dochodzi podszywanie się pod nich, używanie maili i innych danych wskazujących na nich. Próby wyłudzenia danych.

Niestety - cyberprzestępcy są zazwyczaj dość dobrze przygotowani, a ich tropienie mocno utrudnia polskie prawo, niedostosowane do rzeczywistości XXI w., oraz brak ludzi i pieniędzy na ściganie tego typu przestępstw. Nierzadko się zdarza, że specjaliści od cyberprzestępczości zamiast łapać bandytów, muszą naprawiać błędy gorzej wyszkolonych kolegów.

Pech dziennikarza

Na własnej skórze przekonał się o tym na początku października dziennikarz "Gazety Wyborczej" z Zielonej Góry Piotr Bakselerowicz. Do jego mieszkania weszli policjanci i zażądali wydania służbowego laptopa i telefonu. Jak twierdzili, za ich pośrednictwem wysyłano groźby do lokalnego posła PiS. Według informacji Wirtualnej Polski, za tą sprawą może stać ta sama osoba lub grupa osób, która wysłała maile z pogróżkami do Tuska i dziennikarzy.

Nasi rozmówcy zajmujący się cyberprzestępczością tłumaczą, że haker lub hakerzy każdego dnia starają się wynajdywać w sieci niezabezpieczone urządzenia i infekują je złośliwym oprogramowaniem, przejmując nad nimi kontrolę. Tak działał m.in. opisywany wcześniej Janusz K. i jego grupa. Tak działają też ludzie odpowiedzialni za obecne kaskady z groźbami.

Pół biedy, jeśli zainfekowany komputer zostanie wykorzystany np. do kopania kryptowalut. Gorzej, jeśli zostanie użyty do wysyłania maili z groźbami. Według informacji Wirtualnej Polski, to właśnie się stało w przypadku dziennikarza "Gazety Wyborczej" z Zielonej Góry.

Ale można powiedzieć, że w tej traumatycznej zapewne sytuacji i tak miał szczęście. Bo według naszej wiedzy w skali kraju nie brakuje przypadków, gdy osoby, których komputery zostały zainfekowane, zostają zatrzymane i są im stawiane zarzuty.

Co robić?

Obecna kaskada gróźb została wysłana z maila w domenie jednego z najpopularniejszych serwisów internetowych w Polsce. Ale śledczy od cyberprzestępczości nie pozostawiają złudzeń. Dotarcie do sprawcy nie będzie łatwe, o ile w ogóle będzie możliwe. Na końcu uda się zapewne znaleźć wyjście na kolejny zainfekowany komputer człowieka, który nie miał nic wspólnego z grożeniem Tuskowi lub Sikorskiemu. Wykonanie kolejnego kroku w tym śledztwie może być bardzo trudne.

Jak zatem powinniśmy się zachowywać, żeby nie paść ofiarą cyberprzestępców, lub gdy padniemy ofiarą podobnej kaskady? Podstawą jest zachowanie rozsądku w poruszaniu się po sieci, nieklikanie w przypadkowe linki, nieotwieranie niechcianych maili. Także regularne instalowanie uaktualnień.

A gdy już dostaniemy maila z groźbami lub informacją o alarmie bombowym, nie wpadajmy w panikę. Zabezpieczmy maila. Zgłośmy sprawę na policję. Pamiętajmy też, że przestępcom chodzi o uzyskanie rozgłosu i wywołanie w nas strachu.