Szantażyści atakują

Niezależnie od współpracy z organami ścigania nasza kancelaria wyznaczyła nagrodę w wysokości 100 tys. zł za pomoc w ustaleniu sprawców i dostarczenie dowodów ich winy – mówi w rozmowie z „Wprost” mecenas Zbigniew Drzewiecki, wspólnik zarządzający Kancelarią Drzewiecki, Tomaszek i Wspólnicy. Sytuacja jest poważna. Po raz pierwszy w Polsce ofiarą hakerów padła kancelaria prawna. I to jedna z największych. Hakerzy skutecznie zaatakowali serwer firmy świadczącej kancelarii usługi informatyczne. W efekcie uzyskali dostęp do części danych kancelarii. Sami przestępcy twierdzą, że posiadają m.in. korespondencję prywatną, umowy z klientami oraz dane opatrzone klauzulą poufności. A nie chodzi o pierwszą lepszą kancelarię – prowadzi ona m.in. sprawy pozwu zbiorowego kredytobiorców Banku Millennium oraz pozwu ofiar Amber Gold przeciwko Skarbowi Państwa.

Zrobieni w konia trojańskiego

Sprawa wyszła na jaw m.in. dlatego, że hakerzy skontaktowali się z twórcami specjalistycznego serwisu internetowego Zaufana Trzecia Strona. Włamywacz posługiwał się pseudonimem Fiat126pTeam. Żądał okupu wynoszącego pół miliona euro. – Nie znamy pełnego zakresu ataku, ale wszystko wskazuje na to, że włamywacze uzyskali dostęp co najmniej do poczty elektronicznej wielu pracowników kancelarii oraz do dysków zawierających dokumentację prowadzonych spraw. Oznacza to, że w ich rękach mogły się znaleźć dokumenty klientów firmy oraz jej wewnętrzne materiały – wyjaśnia proszący o anonimowość administrator zajmującego się problematyką bezpieczeństwa w sieci serwisu Zaufana Trzecia Strona. Kancelaria zapewnia, że nie uległa szantażowi. Twierdzi, że złożyła zawiadomienie na policji oraz do Centralnego Biura Śledczego. – Postępowanie jest na wczesnym etapie – mówi Małgorzata Turlewicz z warszawskiej prokuratury okręgowej.

Zakończone sukcesem włamanie na serwer firmy informatycznej poprzedziła próba ataku bezpośrednio na kancelarię. Fikcyjna belgijska firma wysłała na skrzynkę poczty elektronicznej specjalnie spreparowaną wiadomość. Jak ustalił "Wprost", udawała ona wiarygodną ofertę współpracy firmy otwierającej przedstawicielstwo w Polsce (firma posiadała nawet stronę WWW) i szukającej kancelarii, która może świadczyć obsługę prawną. W wiadomości był również link do rzekomego dokumentu zawierającego szczegóły oferty. Próba wczytania dokumentu owocowała wyświetleniem rzekomego błędu, którego usunięcie wymagało instalacji dodatkowego oprogramowania. Oprogramowanie było de facto koniem trojańskim. Ta próba ataku została jednak wykryta i uniemożliwiona przez systemy zabezpieczeń.

Zdaniem administratora serwisu Zaufana Trzecia Strona niewykluczone, że za włamaniem stoi ten sam haker (lub grupa hakerów), który kilka miesięcy temu zaatakował Plus Bank. Stopień zaawansowania ataku może świadczyć o tym, że nie byli to początkujący włamywacze i wcześniej również prowadzili swoją działalność, lecz pod innymi pseudonimami. Z jego analiz wynika, że hakerzy prawdopodobnie tworzą grupę międzynarodową.

Niektóre tropy wiodą na Wschód. Sprawcy korzystają bowiem z narzędzi lub usług wytwarzanych w krajach rosyjskojęzycznych. Konkretny koń trojański użyty w ataku jest sprzedawany wyłącznie klientom posługującym się językiem rosyjskim. Wskazują na to używane przez nich narzędzia i infrastruktury. Wiadomo, że rosyjskie przestępcze podziemie internetowe jest wyjątkowo rozbudowane i sprofesjonalizowane, a włamywacze z wielu krajów często z tego korzystają. Język korespondencji i komunikatów hakerów wskazuje z kolei na Polaków, w dodatku dobrze wykształconych.

Wirtualne chmury nad internautami

Wiele wskazuje na to, że na jednej kancelarii się nie skończy. Po pierwszym udanym ataku hakerzy rozsyłają kolejne starannie spreparowane wiadomości do firm księgowych i handlowych w całej Polsce. Ryzyko ponownego wykradzenia danych jest bardzo duże, ponieważ wiedza użytkowników internetu na temat ochrony komputerów przed złośliwymi programami jest niewielka. Zdaniem specjalistów, aby dokonać włamania do systemu informatycznego, nie trzeba wcale ponadprzeciętnych zdolności i wyrafinowanych metod, którymi posługują się członkowie Fiat126pTeam. Wystarczy zwykły koń trojański na małym dysku pamięci zewnętrznej, popularnym pendrivie, który może zostać przemycony do biura przez hakera udającego stażystę lub też wręczony w prezencie jako darmowy gadżet promocyjny. Wówczas ofiara sama wprowadzi do komputera groźnego wirusa. Podobnym zagrożeniem jest korzystanie z publicznych, niezabezpieczonych sieci WiFi oraz umieszczanie plików w chmurze, czyli wirtualnym dysku w internecie.

Fala dociera do Polski

Najsłynniejszym przykładem naruszenia prywatności użytkowników dysków wirtualnych jest zeszłoroczne włamanie do serwisu iCloud, gdzie swoje pliki przechowują posiadacze urządzeń firmy Apple. Do sieci wyciekły nagie zdjęcia ponad stu celebrytek, m.in. znanej z filmów „Igrzyska śmierci” i „Poradnik pozytywnego myślenia” laureatki Oscara Jennifer Lawrence. Erotyczne selfies gwiazd Hollywood pojawiły się na zapewniającym anonimowość portalu 4chan, skąd w szybkim tempie kopiowano je do serwisów sieci społecznościowych, takich jak Twitter czy Facebook. Szum medialny, jaki powstał wokół afery, jedynie zwiększał zainteresowanie internautów wykradzionymi plikami. Ostatecznie Apple udało się naprawić błąd w systemach zabezpieczających iCloud, ale właściciele iPhone’ów i iPadów na długi czas stracili zaufanie do wirtualnej chmury.

Oprócz prywatnych firm i kont internetowych ofiarą cyberataków coraz częściej padają także największe instytucje państwowe. W lipcu tego roku ujawniono, że hakerzy włamali się do federalnej bazy danych amerykańskich urzędników, kradnąc poufne dane ponad 20 mln osób. Przestępcy uzyskali dostęp do informacji m.in. o życiu osobistym, stanie zdrowia i historii finansowej pracowników wojska, Agencji Bezpieczeństwa Narodowego i wysokich rangą przedstawicieli Departamentu Stanu. Był to prawdopodobnie największy tego rodzaju atak w historii Stanów Zjednoczonych. O jego przeprowadzenie podejrzewane są Chiny.

Ta fala najwyraźniej dociera też do Polski. Pod koniec czerwca na warszawskim lotnisku Okęcie doszło do blokady naziemnych systemów informatycznych Polskich Linii Lotniczych LOT. W jej wyniku dziesięć samolotów obsługujących połączenia krajowe i międzynarodowe nie opuściło pasa startowego, a kilkanaście innych zostało opóźnionych. Utrudnienia dotknęły 1,4 tys. pasażerów. Przewoźnik poinformował na swoim facebookowym profilu, że stał się przedmiotem ataku teleinformatycznego.

We wstępnym raporcie o przyczynach awarii specjaliści Agencji Bezpieczeństwa Wewnętrznego postawili hipotezę, że to błąd ludzki w obsługującej LOT zewnętrznej firmie IT mógł być powodem paraliżu na lotnisku. Polska linia zamówiła jednak własny, niezależny raport, z którego wynika, że doszło do przestępstwa. Śledztwo w tej sprawie prowadzi warszawska prokuratura.

Szkolić do upadłego

Polskie prawo nie reguluje szczegółowo, jak firmy i instytucje mają chronić klientów przed kradzieżą ich danych przez hakerów. Najlepiej uregulowany jest sektor finansowy, nie ma jednak jednolitych regulacji dla większości firm komercyjnych. Nie da się przyłożyć jednej miary i zabezpieczenia trzeba dobrać proporcjonalnie do wartości przetwarzanych informacji i poziomu zagrożeń. Odpowiedzialność spoczywa zatem w rękach szefów firm, które przechowują wrażliwe dane swoich klientów. Zbigniew Drzewiecki, wspólnik zarządzający zaatakowaną kancelarią, zapewnia, że jego firma była dobrze zabezpieczona. Także według zapewnień firmy informatycznej stosowała ona niezbędne zabezpieczenia, takie jak np. system operacyjny charakteryzujący się dużą odpornością na malware, firewall, programy antywirusowe, system zabezpieczający hasła oraz złożone weryfikacje haseł.

Wiele wskazuje na to, że ataki będą się powtarzać. Informacje posiadane przez kancelarie prawne to dla szantażystów cenne kąski. Chodzi nie tylko o dane dotyczące operacji biznesowych, ale także np. spraw rozwodowych. Nic dziwnego, że będąca światowym liderem w dziedzinie rozwiązań sieciowych firma Cisco w Annual Security Report za 2015 r. kancelarie prawne umieściła na siódmym miejscu najbardziej atrakcyjnych celów ataków cyberprzestępców.

Karol Mroziński

Jak chronić dane w firmie?

Według specjalistów zagrożenia atakiem hakerów nie da się wyeliminować w 100 proc., nawet stosując najostrzejsze procedury bezpieczeństwa. Ale można je zmniejszyć. Przede wszystkim trzeba zmienić mentalność pracowników: wyczulić ich na potencjalne zagrożenia, szkolić do upadłego i regularnie testować ich zachowanie. Mało która firma robi to w wystarczającym stopniu i konsekwentnie.

1. Nie otwieraj podejrzanych załączników. Jeśli kontaktuje się z tobą nieznana firma, upewnij się telefonicznie, że chce nawiązać kontakt.
2. Korzystaj z najnowszych wersji programów antywirusowych.
3. Nie zostawiaj sprzętu elektronicznego bez opieki w miejscach publicznych.
4. Nie korzystaj z ogólnodostępnych sieci WiFi.
5. Nie przyjmuj dysków zewnętrznych niewiadomego pochodzenia.
6. Regularnie zmieniaj hasła dostępu do serwisów społecznościowych i poczty elektronicznej. Wybieraj hasła trudne do odgadnięcia.
7. Korzystaj z zaufanych firm informatycznych z certyfikatami jakości bezpieczeństwa.