Kto stał za spoofingiem? Trop przez giełdy kryptowalut

Podszywali się pod numery telefonów znanych osób i głosem z syntezatora przekazywali fałszywe informacje. Dotąd wpadli tylko dwaj domniemani inspiratorzy takich działań. Jednak mogą być kolejni. Prokuratura wystąpiła z pytaniami z czterech krajów – USA, Australii, Niderlandów i Francji w śledztwie dotyczącym siatki hakerów, którzy trzy lata temu dokonali ataków spoofingowych na osoby publiczne – dowiedziała się „Rzeczpospolita”.

– Skierowane zostały wnioski o międzynarodową pomoc prawną oraz europejskie nakazy dochodzeniowe do kilku państw. Postępowanie pozostaje zawieszone w oczekiwaniu na ich realizację – mówi „Rz” prok. Mateusz Martyniuk, rzecznik Prokuratury Regionalnej w Warszawie.

Dwóch oskarżonych o zamieszczenie w darknecie instrukcji wykonania ataków

Zmasowane ataki zaczęły się jesienią 2021 r. i trwały z przerwami przez kilka miesięcy. Jak pisała „Rz”, miały identyczny modus operandi – „dzwoniący” podszywali się pod numery telefonów m.in. polityków i stosując metodę tzw. spoofing caller ID, głosem z automatu informowali m.in. o rzekomej śmierci kogoś z bliskich, pożarze w domu czy podłożeniu bomby. Ofiarą ich działań padł m.in. były szef CBA Paweł Wojtunik, poseł PO Borys Budka z żoną, znany adwokat oraz prokurator.

Prokuratura Regionalna w Warszawie i policyjne Centralne Biuro Zwalczania Cyberprzestępczości dotąd ustaliły dwie osoby zamieszane w te ataki – obie w darknecie zamieściły instrukcję wykonania spoofingu telefonicznego.

Najpierw, jesienią 2022 r., wpadł Krzysztof J., informatyk, który – według śledczych – używając nicku „Diabolo de Vilious” zamieścił na forum „Cebulka” w sieci TOR szczegółową instrukcję wykonania spoofingu. A także linki do przeprowadzenia ataków i nagrania z kilku dokonanych ataków. O jego zatrzymaniu pisała „Rz”. Później za to samo wpadł niejaki Daniel G. Zostali oskarżeni o pomocnictwo „nieustalonym sprawcom do podszywania się pod numery telefonów osób trzecich i wykonywania połączeń głosowych zawiadamiających o nieistniejącym zdarzeniu”. Ich procesy toczą się przed warszawskim sądem rejonowym (Daniela G., od nowa, bo jego uniewinnienie uchylił sąd drugiej instancji).

Czytaj więcej

Przestępczość

Kim był haker, który nękał polskich polityków?

Haker stojący za akcją podszywania się pod znane osoby miał walutę cyfrową pozwalającą na anonimowe transakcje. Śledczy nie wykluczają, że ktoś go opłacał.

Hakerzy rozliczają się kryptowalutami. Ten trop może doprowadzić do całej siatki

Jednak śledczy uważają, że za atakami stała powiązana ze sobą grupa hakerów działająca w darknecie. Kto konkretnie? Pomocne mogą być odpowiedzi z krajów, do których poszła seria pytań. I tak, do władz Stanów Zjednoczonych – o informacje na temat jednej z domen internetowych i „dane ustalonego użytkownika portalu GitHub”.

Pytania do władz Australii skierowano „w celu uzyskania informacji posiadanych przez administratora giełdy kryptowalutowej CoinJar na temat czterech osób ustalonych jako użytkownicy forum darknetowego, których powiązano z opublikowaną na ww. forum instrukcją wykonywania połączeń z użyciem mechanizmu Caller ID Spoofing do celów przestępczych” – wskazuje nam prokuratura.

– Informacje te pozwolą na zweryfikowanie tożsamości wspomnianych osób oraz na ustalenie, czy brały one udział w procederze prania brudnych pieniędzy poprzez zakupy kryptowalut i dalszy ich transfer. A także – czy usługi te były powiązane z przestępstwami popełnionymi z wykorzystaniem spoofingu i czy były opłacane przez te osoby za pomocą kryptowalut – mówi „Rz” prok. Mateusz Martyniuk.

Podobne są pytania do władz Niderlandów – tu chodzi o informacje od administratora giełdy kryptowalutowej BTC Direct. Z czterech osób wskazanych we wnioskach dwie to Krzysztof J. i Daniel G. Kim są pozostali – nie wiemy.

Czytaj więcej

Gospodarka

Główne cele cyberprzestępców na 2022 r. Królować będzie dezinformacja

Łańcuchy dostaw, kryptowaluty i tokeny NFT to główne cele cyberprzestępców na 2022 rok. W sieci królować ma dezinformacja – ostrzegają eksperci.

Kryptowaluty, zwłaszcza monero, są ulubioną walutą darknetu i hakerów dokonujących ataków w sieci. Już ustalono, że posiadał je Krzysztof J. Czy odpowiedzi z zagranicy przyniosą przełom w śledztwie?  

– Pozwolą wiele hipotez badawczych zweryfikować. Jeśli ktoś posiada konto na giełdzie kryptowalut, zawsze dla organów ścigania ciekawa jest analiza przepływów finansowych. Hakerzy płacą kryptowalutą także za strukturę informatyczną, której użyli do popełnienia przestępstwa. W ten sposób można ustalić np., gdzie kupili serwer związany z atakiem, czy powiązać ich z jakimiś transakcjami, z kim i za co się rozliczali – wskazuje nam jeden ze śledczych od walki z cyberprzestępczością.

Czytaj więcej

Biznes

Zaskakujące dane o atakach hakerskich w Polsce

Według oficjalnych statystyk liczba cyberprzestępstw popełnianych w Polsce jest stabilna lub nawet spada. W rzeczywistości jest zupełnie inaczej.

Informacje uzyskane w ramach pomocy prawnej z czterech krajów mogą okazać się więc bardzo cenne. – Siła anonimowości w internecie jest duża, pytanie, jakie będą skutki pomocy prawnej i jakie błędy popełnili sprawcy – wskazuje nasz rozmówca.

Na trop Krzysztofa J. naprowadził śledczych – jak pisaliśmy – unikatowy nick „Diabolo de Vilious”, którego użył kilka lat wcześniej, rejestrując się na forum miłośników komputerów (podał wtedy swoje prawdziwe dane).