Śledztwo TrueStory
Telefoniczni podszywacze siedzą w rosyjskim darknecie
Wiele wskazuje na to, że za akcją „hakowania” telefonów polityków stoją użytkownicy forum, które swoje początki bierze w Rosji. Wcześniej ta grupa była odpowiedzialna m.in. za skuteczny atak na Internetowe Forum Policyjne.
Telefoniczne ataki na opozycję
Politycy, dziennikarze i inni ludzie związani z szeroko pojętą opozycją są ostatnio nękani fałszywymi telefonami. Modus operandi jest zazwyczaj taki sam – po odebraniu telefonu z numeru bliskiej osoby albo innego odzywa się syntezator mowy Ivona, który zaczyna grozić nam lub tej bliskiej osobie albo oświadcza, że ta osoba nie żyje. Po kilku sekundach się rozłącza.
Z telefonów niektórych osób wykonano także połączenia do służb, informując o rzekomych bombach albo oskarżając znajomych o pedofilię. Ofiarami tego procederu padli chociażby były szef CBA Paweł Wojtunik, senator Krzysztof Brejza, posłanka Paulina Matysiak, były polityk Roman Giertych, adwokat Jacek Dubois, dziennikarz Oko.press Daniel Flis i dziennikarz WP Szymon Jadczak, a także szereg zupełnie przypadkowych osób.
Spoofing – jak działa?
Powiedzmy na samym początku, że operacja wcale nie polega na „zhakowaniu” czyjegoś telefonu, jak za pomocą niesławnego Pegasusa. Do podszycia się – nazywanego w branży spoofingiem – zwyczajnie nie jest to potrzebne. Nie rozumieją tego organy ścigania, które zatrzymują rzekomo zhakowane urządzenia na nieokreślony czas śledztwa. Cały proces odbywa się tymczasem na poziomie telefonii komórkowej.
Metoda przypomina działanie popularnych programów typu Skype, z których można wykonać połączenie głosowe na telefon za pośrednictwem łącza internetowego (VoIP – Voice over IP). Podobne usługi oferują różne firmy telekomunikacyjne – pomaga to w obniżeniu kosztów połączeń przy wykonywaniu np. pracy handlowca. W tych programach można ustawić sobie konkretny numer telefonu jako ten, który ma się wyświetlać przy połączeniu.
I już. Nie ma tu żadnej dalszej filozofii, jeśli nie wdawać się w technikalia. O ile Skype czy firma telekomunikacyjna przy połączeniu podaje dany numer za zgodą właściciela (naszą), o tyle osoba, która wie, co robi, jest w stanie podłączyć się do serwera odpowiedzialnego za wykonywania połączeń VoIP i wykonać je tak, żeby osobie trzeciej wyświetlał się numer naszej ofiary bez jej zgody.
Sprawca wykupuje dostęp do takiego serwera, przy czym istotne jest to, że z uwagi na globalizację sieci komórkowych nie musi on w ogóle znajdować się w Polsce.
Następnie przy użyciu programu jest on w stanie zaprezentować wybrany przez siebie numer. W internecie można już zresztą bez żadnego problemu znaleźć zagraniczne strony internetowe, które za opłatę zrobią to wszystko za nas. Kiedyś nie widziano w tym nic złego ani dziwnego. Od 2009 r. istniał portal Wykrecnumer.pl, przez który można było połączyć się z kimś na takiej samej zasadzie. Sprawca został jednak skazany karnie z tytułu dywersji informatycznej.
Kto za tym stoi? Medialne spekulacje
Oczywiście, należy postawić sobie dwa założenia. Po pierwsze, akcja spoofingu dotycząca postaci życia publicznego ma charakter zorganizowany, a po drugie, sprawcy wiedzą, że działają wbrew prawu. Można zatem raczej odrzucić korzystanie przez nich z apek dostępnych w sklepie Androida i założyć, że raczej działają na własną rękę. Hipotezy, kto za tym stoi, są naprawdę różne. Szymon Jadczak twierdzi, że to element operacji, której celem ma być ośmieszanie polskich służb. Wojciech Czuchnowski w „Wyborczej” odjeżdża i mówi o „nieznanych sprawcach” zatrudnionych oczywiście przez „skompromitowaną władzę”.
Zdecydowanie większy sens ma sprawdzenie opinii portali branżowych. Na portalu Niebezpiecznik.pl mówi się o „podszywaczu” albo grupie „podszywaczy”. Okazuje się bowiem, że przed osobami kojarzonymi z opozycją podszywacze atakowali właśnie osoby związane z branżą bezpieczeństwa w IT – Adama Haertlego z portalu Zaufana Trzecia Strona albo Tomasza Klima ze strony Payload.
Ślady prowadzą na anonimowe fora internetowe, czyli tzw. imageboardy (służą głównie do wymiany obrazków – past – od copy-paste: kopiuj-wklej) albo czany (skrót od angielskiego channel – kanał). Użytkownicy tych stron znani są z wykonywania hacków i niewybrednych kawałów. O niektórych z nich z całą pewnością wiadomo, że przez ostatnie kilka lat były miejscem zgromadzeń dla sprawców alarmów bombowych w szkołach i innych placówkach.
Winni użytkownicy anonimowego forum?
Poszlaki prowadzą na forum Lolifox, dostępnego jedynie dla znających konkretny adres użytkowników przeglądarki TOR (zapewnia anonimowość w sieci). Świadczy o tym przynajmniej kilka przesłanek. Po pierwsze, gdy Tomasz Klim miał być spoofowany, usłyszał słowa o tym forum. Na swojej stronie ujawniał on zresztą powiązania użytkowników tego forum z alarmami bombowymi. Po drugie, o działalności „lisów” czy „pierdolisów” można spokojnie poczytać na innych otwartych imageboardach. Można założyć z pewną dozą ostrożności, że część użytkowników różnych tego typu portali to te same osoby.
Po trzecie, na jednym z czanów pojawił się post osoby podającej się za „rzecznika prasowego Lolifox”, w którym można przeczytać, że „wiele pomysłów ze szuflady z pomysłami odleżało swoje i działają z cudownymi efektami. 2022 póki co jest przepotężny, a mam nadzieję, że będzie mocniej”.
Po czwarte zaś, z dawnymi alarmami bombowymi obecny spoofing polityków i dziennikarzy łączy modus operandi – działania wydają się zdecentralizowane, ale ze wspólnym motywem, który je łączy. Tym bardziej że część numerów osób poszkodowanych jest wykorzystywana do kolejnych fałszywych alarmów.
Wspólnym mianownikiem jest zaś wywoływanie szeroko pojętego chaosu i destabilizacji. A komu takie działania są na rękę, to przecież wiemy.
A co tu robią Rosjanie?
Paradoksalnie ewentualny udział w tym działaniu rosyjskich służb wcale nie musi być wykluczony, jak twierdzą niektórzy powielający narrację o zwykłych kawalarzach. Lolifox był pierwotnie rosyjskim czanem, na którym dopiero udostępniono Polakom kilka podstron. Niektóre posty wyglądały również tak, jak gdyby ktoś próbował inspirować kolegów do dalszych działań. Przygotowane zostały pełne poradniki, co i jak robić.
Ponadto obecne działania związane ze spoofingiem służą wyłącznie dalszemu umacnianiu podziałów, na czym zgodnie z maksymą „Is fecit, cui prodest” zyskują przede wszystkim wrogowie Polski. Fałszywe telefony są natychmiast kojarzone z Pegasusem, mimo że to kompletnie dwie różne sprawy – a w kręgach opozycyjnych natychmiast wina jest zrzucana na służby. Być może prawidłowo – tyle że ich przedstawiciele rozkazy biorą z Kremla.
Zadbaj o własne bezpieczeństwo. Na ile się da
Co możemy zatem z tym wszystkim zrobić? Przedstawiciele branży cyberbezpieczeństwa podają wprost, że niewiele. Należy zacząć od tego, by nie ufać żadnym numerom, które do nas dzwonią, nawet jeśli to numer bliskiej osoby. Jeśli odzywa się ktoś o nieznanym głosie albo wręcz automat – prawdopodobnie jest to próba oszustwa.
Przede wszystkim zaś nie powinniśmy podawać prywatnego numeru telefonu gdzie popadnie, w szczególności nie na dostępnych publicznie stronach internetowych. Każda osoba publiczna powinna zresztą zadbać, by mieć dodatkowy, prywatny numer, dostępny tylko dla przyjaciół i rodziny. Pisaliśmy zaś już na naszym portalu o tym, jak banalnie proste jest zdobycie numerów telefonów do polityków.
W szczególności zaś odradzamy samodzielne próby poszukiwania sprawców. Tym zajmują się najpewniej odpowiednie służby. Od 12 stycznia funkcjonuje nawet specjalne Centralne Biuro Zwalczania Cyberprzestępczości. Zdajmy sobie jednak sprawę, że szansa na złapanie spooferów nie jest zbyt wielka. Wprawdzie można sprawdzić u operatora sieci, skąd przyszły połączenia, dojść do tego, kto połączył się z serwerem służącym do połączeń VoIP, a tam znajdą się dane kogoś, kto zapłacił za dostęp.
Jeśli sprawca nie popełnił błędu i zadbał o swoją anonimowość, to tu trop się urwie – ale prędzej czy później nawet najlepsi się pomylą. Niestety, część służb kompletnie nie wie, co robi. Świadczyć może o tym choćby rekwirowanie telefonów ofiar jako dowodów w sprawie, mimo że na samym urządzeniu fizycznie nie będzie żadnych śladów zdarzenia.