Politycy coraz częściej twierdzą, że ich konta w mediach społecznościowych zostały przejęte przez cyberprzestępców. Nie muszą za tym wcale stać obce służby czy wyrafinowani hakerzy. Kradzież haseł bywa prosta jak bułka z masłem
Co łączy szefa Amazona Jeffa Bezosa, CEO Tesli Elona Muska, premiera Indii Narendrę Modiego oraz byłego prezydenta USA Donalda Trumpa z posłami PiS: Joanną Borowiak, Markiem Kuchcińskim i Marcinem Kamilem Duszkiem? Ich konta w mediach społecznościowych zostały niedawno zhakowane. O ile jednak w przypadku zagranicznych osób publicznych ataki zostały potwierdzone, o tyle w przypadku polskich posłów eksperci zajmujący się cyberbezpieczeństwem nie są pewni, czy do włamów rzeczywiście doszło.

Dziwna fala

Pod koniec listopada Marek Kuchciński ogłosił na Twitterze, że jego konto na Facebooku zostało zhakowane. Dodał też, że sprawę zgłoszono Ministerstwu Cyfryzacji. Wywołał tym falę kpin, ponieważ wspomniany resort został wcześniej zlikwidowany. Post wkrótce zniknął z sieci.
19 listopada poseł PiS Marcin Kamil Duszek miał się pochwalić na Facebooku nową sekretarką, wprost nazywając ją „ślicznotką, której koledzy posłowie będą zazdrościć”. Post wzbudził konsternację wśród obserwatorów profilu polityka, ale prawdziwy szok przeżyli oni dopiero wtedy, gdy w komentarzach z profilu Duszka zaczęto publikować kolejne zdjęcia, tym razem półnagiej kobiety. Po tym, jak podniosła się wrzawa, poseł stwierdził, że ktoś włamał się na jego konto. „Sprawa została zgłoszona i mam nadzieję, że jak najszybciej zostanie wyjaśniona” – dodał. W rozmowie z dziennikiem „Fakt” opowiadał, że już wcześniej miewał problemy ze swoim kontem w mediach społecznościowych.
Wcześniej, pod koniec października, o włamaniu na konto na Twitterze poinformowała posłanka PiS Joanna Borowiak. Niedługo po tym, jak na jej profilu został zamieszczony wulgarny post dotyczący protestów kobiet po ogłoszeniu wyroku Trybunału Konstytucyjnego w sprawie aborcji. „Możecie sobie protestować, ile chcecie. Jak powiedział Jarosław Kaczyński, zdanie narkomanek-prostytutek i zabójców dzieci nie będzie mieć wpływu na podejmowane decyzje” – brzmiał fragment wpisu. Posłanka tłumaczyła później, że treści publikowane na jej profilu mają na celu zdyskredytowanie jej i jej partii oraz służą budowaniu negatywnych emocji oraz szerzeniu napięć w społeczeństwie.
Coraz częściej opinia publiczna słyszy z ust polityków tłumaczenie, że wulgarne i kontrowersyjne wpisy albo niestosowne zdjęcia to nie efekt nieroztropności czy złamania zasady „piłeś, nie pisz”, lecz wynik działania np. obcych służb działających na szkodę Polski. Eksperci zajmujący się cyberbezpieczeństwem powątpiewają, wskazując, że przejęcie kontroli nad czyimś kontem w mediach społecznościowych wcale nie musi wymagać pogłębionej wiedzy z zakresu łamania zabezpieczeń systemów komputerowych. Bo – jak kiedyś stwierdził najsłynniejszy haker na świecie Kevin Mitnick – najsłabszym ogniwem nie jest technologia, lecz człowiek.

123456…

Tezę Mitnicka potwierdza chociażby opublikowana w listopadzie coroczna lista najczęściej spotykanych haseł przygotowana przez firmę NordPass (producenta oprogramowania do przechowywania haseł dostępowych). W celu dokonania analizy zbadano bazę danych zawierającą prawie 276 mln pozycji. Zaledwie 44 proc. z nich okazało się być unikalnymi hasłami – pozostałe to powtórki prostych, relatywnie łatwych do zgadnięcia haseł. Najczęściej wykorzystanym zabezpieczeniem było hasło „123456” (u 2,5 mln użytkowników). W ciągu roku wyciekło ono 23,5 mln razy. Drugim najpopularniejszym hasłem było „123456789”, trzecim „picture1”, na czwartym miejscu znalazł się „password” (ang. hasło). Złamanie tego typu zabezpieczeń zajmuje hakerom dosłownie moment.
W pułapkę tworzenia dość oczywistych haseł wpadają nawet najważniejsi politycy świata. W kwestiach cyberbezpieczeństwa bywają oni tak samo nieświadomi jak przeciętni zjadacze chleba. Tuż przed wyborami prezydenckimi w USA badacz spraw bezpieczeństwa Victor Gevers pochwalił się, że po raz drugi udało mu się odgadnąć hasło logowania Donalda Trumpa do serwisów Twitter oraz LinkedIn. W 2016 r. brzmiało ono „yourefired” (to legendarna fraza używana niegdyś przez Trumpa w programie telewizyjnym „The Apprentice”). Ostatnie hasło miało zaś brzmieć „maga2020!” – skrót od „Make America Great Again”, czyli sloganu używanego jeszcze w poprzedniej kampanii prezydenckiej. Gevers nie przedstawił publicznie dowodów na swoje osiągnięcie, jednak holenderski dziennik „De Volksrant” twierdzi, że po udanym włamie z badaczem skontaktowała się Secret Service (służby odpowiedzialne za bezpieczeństwo prezydenta USA), aby podziękować za wskazanie problemu.
Bywa jednak tak, że nawet jeśli użytkownik ustali nieco bardziej skomplikowane hasło dostępowe, to potem używa go w wielu różnych serwisach, portalach czy sklepach internetowych. Tomasz Zieliński, ekspert ds. cyberbezpieczeństwa i redaktor naczelny czasopisma „Informatyk Zakładowy”, tłumaczy, że o ile zhakowanie Facebooka czy Twittera wymagałoby bardzo specjalistycznej wiedzy, o tyle w przypadku małego sklepu z ręcznie robionymi zabawkami czy forum hodowców żółwi bywa proste jak drut. – Skoro jednak internauci mają wszędzie te same hasła, to wyciek z jednego źródła daje cyberprzestępcom dostęp do wielu ich kont – wskazuje Zieliński.
Bazy zawierające miliony wykradzionych haseł często lądują w sieci – przeważnie wtedy, gdy hakerzy uznają je już za nieprzydatne. A dokładniej, gdy sprawdzą wszystkie te hasła pod kątem możliwego zalogowania się do banków czy kont PayPal. Nikt nie ma bowiem wątpliwości, że zdecydowana większość hakerów działa w celu osiągnięcia korzyści finansowych, a nie zdyskredytowania polityków. Czasem kradzież konta czy e-maila służy też cyberprzestępcom do rozprowadzania spamu. Skuteczniej wysyła się bowiem oszukańcze oferty z kilku milionów adresów e-mailowych czy kont, bo wtedy serwisy czy filtry antyspamowe rzadziej potrafią takie wiadomości zidentyfikować. To, czy dany adres e-mailowy bądź hasło można znaleźć w którejś z tego typu bazie danych, da się zweryfikować, np. korzystając z witryny www.haveibeenpwned.com, która śledzi informacje o wyciekach w sieci.
Grzegorz Ławnik, IT project manager w Billennium, mówi, że przejęcie dużej liczby haseł internautów bywa łatwe jak bułka z masłem. Ekspert zauważa, że choć prawie każdy z użytkowników smartfonów korzysta z internetu mobilnego, to np. w pociągu lub na lotnisku bardzo często podłącza się do otwartej sieci Wi-Fi. Wystarczy więc, aby cyberprzestępca pojawił się w pociągu albo na terminalu z przenośnym routerem, stworzył sieć o nazwie „PKP” albo „Lotnisko”, aby mógł podglądać wszystkie przesyłane w jej ramach hasła oraz aktywności – w tym dane dostępowe do kont społecznościowych i bankowych. – Wydaje się to nieprawdopodobne, ale w praktyce wiele osób traci ważne informacje właśnie w podobny sposób – przekonuje Grzegorz Ławnik.
Jeszcze łatwiej przejmuje się hasła, wysyłając do internautów SMS-y. Wystarczy, żeby cyberprzestępca wysłał w imieniu np. Facebooka czy LinkedIn link do zmiany hasła albo prośbę o zalogowanie. – Istnieją anonimowe konta, z których łatwo wysyłać tego typu oszukańcze SMS-y. Wiele osób wciąż nabiera się na tę sztuczkę. Przejęcie ich kont to wówczas kwestia kilkunastu sekund – opowiada Ławnik. Taka sytuacja zdarzyła się publicyście Rafałowi Ziemkiewiczowi. W połowie listopada z jego facebookowego konta zaczęły być publikowane chińskie reklamy. Dziennikarz przyznał potem, że dał się nabrać na ostrzeżenie z Facebooka o próbie włamania i prośbę o zmianę hasła. – Tak to się właśnie często odbywa. Nikt nam nie kradnie haseł, sami podajemy je obcym ludziom na tacy – komentuje Tomasz Zieliński.

Broń się!

W jaki sposób należy zatem chronić się przed przejęciem haseł? Tomasz Zieliński mówi, że użytkownicy, w tym także politycy, powinni używać możliwie jak najbardziej skomplikowanych haseł (np. wygenerowanego losowo ciągu znaków) i po prostu zapisywać je w przeglądarce internetowej bądź nawet w darmowym menedżerze haseł (oprogramowanie do przechowywania danych dostępowych). – Znacznie trudniej jest bowiem hakerom uzyskać dostęp np. do chmury Google’a, w której przechowywane są dane, czy do pliku zapisanego na komputerze bądź urządzeniu użytkownika – przekonuje Zieliński.
Ekspert dodaje, że coraz więcej serwisów jest na stałe zalogowane na komputerach internautów bądź w aplikacjach na smartfony. – Jeżeli więc kiedykolwiek pojawia się na naszym prywatnym urządzeniu żądanie zalogowania, to powinniśmy zachować szczególną czujność. To może być bowiem próba wyłudzenia danych – przestrzega Tomasz Zieliński.
Serwisy internetowe zdają sobie sprawę, jak naiwni bywają ich użytkownicy. Z tego też powodu standardem staje się konieczność tzw. logowania dwuskładnikowego. Dla instytucji finansowych w unijnej dyrektywie PSD2 wprowadzono wręcz obowiązek jego stosowania. Chodzi o to, aby samo hasło nie wystarczało do zalogowania się do portalu czy serwisu transakcyjnego, lecz aby użytkownik musiał wykonać dodatkową akcję w celu potwierdzenia danego żądania, np. przepisując do serwisu kod podany w wysłanym przez administratora SMS-ie. Problem w tym, że ten dodatkowy środek bezpieczeństwa też okazuje się w praktyce zawodny.
Najnowszy, opublikowany w listopadzie raport Europolu „Internet Organised Crime Threat Assessment (IOCTA) 2020” wskazuje, że najnowszym niepokojącym zjawiskiem w zakresie cyberprzestępczości staje się tzw. SIM swapping. To wyrafinowany sposób przestępstwa wycelowany w konkretne osoby i zakładający nie tylko łamanie systemów komputerowych, lecz także wykorzystywanie naiwności ludzi. Na czym polega? W skrócie: przestępcy pozyskują dane dotyczące konkretnej jednostki, np. poprzez włamy na prywatne konta w mediach społecznościowych, wykorzystując złośliwe oprogramowanie lub przy użyciu fałszywych stron logowania (tzw. phishing). Następnie kontaktują się z operatorem telefonii komórkowej ofiary i wykorzystując pozyskane dane (albo czasem po prostu przekupując pracownika firmy), żądają przeniesienia numeru telefonu na własną kartę SIM. Gdy ta operacja się udaje, przestępca ma już dane dostępowe do kont użytkownika i odbiera SMS-y potrzebne do przeprowadzenia np. transakcji z konta bankowego. Ofiara nawet nie wie, że wykradane są jej pieniądze, ponieważ jej karta SIM zostaje zablokowana przez operatora. Hakerzy wykorzystali SIM swapping we wrześniu 2019 r. do włamu na twitterowe konto... szefa Twittera Jacka Dorseya. Przez kwadrans publikowali w jego imieniu rasistowskie wpisy.
Użytkownicy mogą wzmocnić swoją ochronę, używając takich aplikacji jak np. Google Authenticator, która generuje kody weryfikacji dwuetapowej w telefonie. Dzięki niej, póki ktoś nie przejmie fizycznie urządzenia, będzie niezwykle trudno zalogować się na konta bez wiedzy jego posiadacza. Czy warto? Tomasz Zieliński nie ma wątpliwości, że tak. – Jeżeli komuś się wydaje, że zdobycie duplikatu jego karty SIM jest trudne, to jest w dużym błędzie. Dostawcy usług telekomunikacyjnych nie zdają bowiem egzaminu w zakresie ochrony naszego numeru – mówi Zieliński.
Opowiada, jak odwiedził placówkę swojego operatora telekomunikacyjnego, podał numer abonencki i poprosił o duplikat karty SIM. Pracownik wyjął nową kartę, zakodował na niej numer i wręczył bez dodatkowych pytań. – Byłem zdumiony, bo nawet nie poprosił o mój dowód osobisty. Powiedział, że to przecież mało prawdopodobne, żeby ktoś wiedział, jak się nazywam, i podał mój numer abonencki. I że klienci wolą, jak jest szybko, poza tym nie każdy ma przy sobie dowód tożsamości – opowiada Zieliński.
To, że człowiek bywa najsłabszym ogniwem bezpieczeństwa, potwierdziło się również przy okazji głośnego włamu na 130 twitterowych kont należących do znanych osób, m.in. Joego Bidena, Jeffa Bezosa, Billa Gatesa, Baracka Obamy czy Elona Muska. W lipcu 2020 r. hakerzy zaczęli wydzwaniać do pracowników serwisu i korzystając z podstępu, uzyskali hasła dostępowe do ich kont pracowniczych, umożliwiających edycję treści użytkowników. Użyli 45 znanych użytkowników do wysłania wiadomości o tym, że jeśli ktoś niezwłocznie prześle swoje aktywa w bitcoinach na wskazany adres, to celebryta publikujący wpis podwoi ich wartość. Z bloga Twittera dowiadujemy się, że hakerzy przeglądali również wiadomości prywatne 36 osób oraz pobrali wszystkie dane siedmiu użytkowników serwisu.

Polityka stać, nas nie

Jak więc doszło do włamów na konta rodzimych polityków? Grzegorz Ławnik uważa, że najmniej prawdopodobne jest, że za przejęciem kont stoją obce służby. W tzw. darknecie (niedostępnej w komercyjnych przeglądarkach części internetu) coraz częściej daje się znaleźć usługi typu „CaaS” (Cybercrime as a Service) umożliwiające zapłatę za złamanie haseł dostępowych lub przeprowadzenie ataku na określoną osobę. Płacimy, wskazujemy cel i czekamy na efekt. Trochę jak przy zabójstwie na zlecenie. Ale tu zabójstwo jest co najwyżej wizerunkowe. Czy doczekamy się efektu? Wątpliwe – zdecydowana większość takich ogłoszeń to oszustwo.
Zdaniem Grzegorza Ławnika nie potrzeba jednak wykwalifikowanego hakera, aby złamać hasła posłów. – Po wyroku Trybunału Konstytucyjnego politycy prawicy trafili na celownik zwłaszcza młodych ludzi. Można sobie wyobrazić, że zamiast iść na protest, ktoś zechce skompromitować paru polityków w sieci. Wielu umiejętności technicznych do tego nie potrzeba – mówi Grzegorz Ławnik.
Według eksperta części włamów na te konta w ogóle nie było. Po prostu rządzący dają się ponieść emocjom i publikują kontrowersyjny wpis, który później – po namyśle lub za namową partyjnych kolegów – decydują się usunąć. Albo też chcą wysłać znajomej osobie komentarz lub zdjęcie, a omyłkowo publikują je w swoich sieciach społecznościowych. W takich przypadkach najlepszą wymówką jest właśnie atak hakerski.
– Posłowie powinni być transparentni i podzielić się z opinią publiczną informacją, w jaki sposób błyskawicznie udaje im się odzyskiwać rzekomo przejęte konta. Wszak normalnemu użytkownikowi zajmuje to nawet kilka dni. Tymczasem posłowie publikują zdjęcia nagich kobiet wieczorem, a rano piszą, że doszło do ataku hakerskiego. To spore osiągnięcie – ironizuje Tomasz Zieliński.
Jest jeszcze jedno podejrzenie: że politycy celowo publikują dziwne wpisy, a potem mówią o ataku hakerskim. Po co?
– Żeby zaistnieć. Celowo wkładają kij w mrowisko, zajmując stanowisko w jakiejś zażartej dyskusji i robią szum wokół własnej osoby. A potem mówią, że doszło do włamu. To w pewien sposób nobilitujące, że ktoś chciał zhakować danego posła i media tym żyją choćby i przez jeden dzień – mówi Grzegorz Ławnik.
I coś w tym jest – wszak politycy wiele nie tracą, gdy ich konta zostają zhakowane. Paradoksalnie to przeciętniacy powinni mieć się bardziej na baczności w sieci. Bo w razie przejęcia kont będą musieli sami borykać się ze sprawą. – Nie będąc osobą publiczną, mniej skrupulatnie ukrywa się też swoje tajemnice. A więc to, że przeciętny użytkownik nie jest na celowniku wielu osób, nie oznacza, że ma mniej do stracenia niż politycy czy celebryci – konkluduje Grzegorz Ławnik. ©℗
Najsłabszym ogniwem bezpieczeństwa jest człowiek. Tak było przy okazji głośnego włamu na twitterowe konta m.in. Joego Bidena, Jeffa Bezosa, Billa Gatesa, Baracka Obamy czy Elona Muska