Polscy hakerzy zabrali się za kancelarie prawne

Kto mnie trosz­kę zna, ten pew­nie sły­szał czę­sto powta­rza­ne prze­ze mnie powie­dzon­ko – żaden haker w Pol­sce jesz­cze nie zabrał się za kan­ce­la­rie praw­ne. Mówię to czę­sto, gdy roz­ma­wiam o cyber­bez­pie­czeń­stwie i cyber­prze­stęp­czo­ści ze zna­jo­my­mi, o tym jakie mamy ata­ki i na czym mogą one pole­gać. Mojej uwa­dze nie uszło do tej pory, że tak napraw­dę nie mie­li­śmy nigdy wcze­śniej żad­ne­go poważ­niej­sze­go ata­ku na jakie­kol­wiek kan­ce­la­rie praw­ne – adwo­ka­tów, rad­ców, nota­riu­szy czy komor­ni­ków. Nie będę przy tym ukry­wał, że lwia część kan­ce­la­rii posia­da żenu­ją­cy poziom zabez­pie­czeń infor­ma­tycz­nych. Zasad­ni­czo, to powie­dzieć posia­da już tutaj sta­no­wi nad­uży­cie. Dane tam po pro­stu leżą i cze­ka­ją. Cze­ka­ły do teraz. Bo nie­ste­ty wresz­cie hake­rzy zabra­li się za kan­ce­la­rie w Polsce.

Z zasko­cze­niem prze­czy­ta­łem dzi­siej­szy wpis na Zaufa­nej Trze­ciej Stro­nie o nie­uda­nej pró­bie ata­ku na kan­ce­la­rię praw­ną. Zachę­cam do jego lek­tu­ry, co pomo­że Ci zro­zu­mieć dal­szą treść moje­go wpi­su. Począt­ko­wo z arty­ku­łu wyni­ka­ło, że mamy do czy­nie­nia z ata­kiem ukie­run­ko­wa­nym w kon­kret­ne­go adwo­ka­ta. Nie­co póź­niej jed­nak oka­za­ło się, że to pierw­szy zgło­szo­ny do ser­wi­su przy­pa­dek więk­szej kam­pa­nii sca­mo­wej, któ­ra od poło­wy sierp­nia jest wymie­rzo­na w kan­ce­la­rie prawne.

Sam sche­mat ata­ku jest bar­dzo… zwy­czaj­ny. Opie­ra się na socjo­tech­ni­ce i kon­wen­cjo­nal­nych roz­wią­za­niach uży­wa­nych od daw­na przez hake­rów. Praw­nik dosta­je wstęp­ne zapytanie-ofertę nawią­za­nia współ­pra­cy. Po odpo­wie­dzi – natu­ral­nie wyra­że­niu zain­te­re­so­wa­nia – dosta­je pierw­sze infor­ma­cje o nowym klien­cie i plik ze szcze­gó­ła­mi. Wszyst­ko napi­sa­ne popraw­ną pol­sz­czy­zną, z nor­mal­nej dome­ny, bez spre­pa­ro­wa­nych nagłów­ków. Mówiąc po praw­ni­cze­mu – zacho­wa­na nale­ży­ta sta­ran­ność :>. Pró­ba otwar­cia pli­ku koń­czy się nie­po­wo­dze­niem, trze­ba doin­sta­lo­wać odpo­wied­nią wer­sję pro­gra­mu wyświe­tla­ją­ce­go pli­ki MS Word… Oczy­wi­ście insta­la­cja koń­czy się zain­fe­ko­wa­niem kom­pu­te­ra opro­gra­mo­wa­niem, któ­re jesz­cze dzi­siaj rano było iden­ty­fi­ko­wa­ne jako zło­śli­we jedy­nie przez 6 z 56 naj­po­pu­lar­niej­szych pro­gra­mów anty­wi­ru­so­wych. Sza­le­nie sku­tecz­ne w swo­jej prostocie.

Co się dzie­je dalej z kom­pu­te­rem ofia­ry? Tego póki co nie wie­my (Z3S bada spra­wę) ale obec­nie może­my się domy­ślić, iż w grę wej­dzie kil­ka popu­lar­nych sce­na­riu­szy dzia­ła­nia takie­go oprogramowania:

1. zaszy­fro­wa­nie zapi­sa­nych na kom­pu­te­rze ofia­ry pli­ków i zażą­da­nie oku­pu (czy­li ran­som­wa­re – pisa­łem o tym na blo­gu przy oka­zji infor­ma­cji o Cryptolockerze)
2. pod­mia­na nume­rów kont ban­ko­wych pod­czas reali­za­cji prze­le­wów (pisa­łem o tym komen­tu­jąc wystą­pie­nie Łuka­sza Sie­wier­skie­go z CERT Pol­ska)
3. spo­koj­ne dzia­ła­nie w tle, prze­chwy­ty­wać hasła dostę­pu do kont pocz­to­wych i innych usług, gro­ma­dze­nie danych o praw­ni­ku i prze­sy­ła­nie ich do atakującego
4. opro­gra­mo­wa­nie może wysy­łać na ser­we­ry ata­ku­ją­ce dane klien­tów i pro­wa­dzo­nych spraw

Szcze­gól­nie cie­ka­we w sto­sun­ku do kan­ce­la­rii praw­nych są warian­ty 3 i 4. Trój­ka może skut­ko­wać np. pod­mie­nie­niem fak­tu­ry wysta­wia­nej przez praw­ni­ka klien­to­wi i prze­sła­niem jej do kon­tra­hen­ta, któ­ry zapła­ci za usłu­gi bez­po­śred­nio na kon­to hake­rów (coś na kształt ata­ku ukie­run­ko­wa­ne­go APT, o któ­rym pisa­łem kie­dyś). Czwór­ka nato­miast to ide­al­na opcja do szan­ta­żu. Wypły­nię­cie więk­szej ilo­ści pouf­nych danych raczej nie spodo­ba­ło­by się żad­ne­mu klien­to­wi jakie­go­kol­wiek praw­ni­ka. Myślę, że nie jeden praw­nik był­by skłon­ny wie­le zapła­cić byle­by tyl­ko jego dane nie zosta­ły opu­bli­ko­wa­ne, a on sam nie stra­cił klien­tów i nie poniósł kon­se­kwen­cji praw­nych dopro­wa­dze­nia do takie­go naru­sze­nia tajem­ni­cy. O tym jak taki wyciek może wyglą­dać pisa­łem kie­dyś tutaj. Kon­se­kwen­cje takie­go wycie­ku to jed­nak temat na oso­bą notkę.