Ciągły, dynamiczny rozwój społeczeństwa informacyjnego od początku był monitorowany przez zorganizowane grupy przestępcze, upatrujące w nim szereg nowych możliwości popełniania czynów sprzecznych z prawem. Bez względu na to, o jaką technologię czy usługę internetową chodzi, przestępcy sięgają po nią jako jedni z pierwszych, wykorzystując ją do własnych celów. Coraz częściej obserwujemy cyberprzestępczość jak rodzaj usługi świadczonej przez podziemie internetowe – od zlecania poszukiwania luk i podatności w oprogramowaniu, wykorzystania ich przez specjalnie w tym celu tworzone narzędzia, poprzez wynajem infrastruktury przestępczej (botnety, trojany bankowe, ransomware) aż po swoisty „outsourcing”, czyli popełniania kierunkowych przestępstw zlecanych przez osoby nie posiadające własnej wiedzy informatycznej. Szczególnie niebezpieczne są ataki APT – zaawansowane, długotrwałe zagrożenia polegające na dokładnym rozpoznawaniu planowanych celów przed rozpoczęciem ataku, wykorzystaniem tej wiedzy oraz zaawansowanych metod socjotechnicznych do jego przeprowadzenia, a po uzyskaniu dostępu do systemu komputerowego utrzymanie jego infiltracji w tajemnicy, aby móc sprawować nad nim kontrolę przez jak najdłuższy okres czasu.

1. Jan Klima
Cyberprzestępczość –
wyzwaniem w pracy Policji
NaczelnikWydziału dw. z Cyberprzestępczością
KWP w Krakowie

2. Cyberprzestępczość to czyny przestępcze
dokonane przy użyciu sieci łączności
elektronicznej i systemów informatycznych
lub skierowane przeciwko takim sieciom
lub systemom.
Cyberprzestępczość - definicja

3. 0
500
1000
1500
2000
2500
3000
3500
4000
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
Art. 267 kk - hacking
wszczęte stwierdzone

4. 0
500
1000
1500
2000
2500
3000
3500
4000
4500
5000
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
Art. 287 kk - oszustwo komputerowe
wszczęte stwierdzone

5. 0
500
1000
1500
2000
2500
3000
3500
4000
Art. 286 kk (internetowe) w garnizonach w 2016 r.
wszczęte stwierdzone

6. 0
100
200
300
400
500
600
700
800
900
Art. 267 i 287 kk w garnizonach w 2016 r.
art. 267 kk wszczęte art. 267 kk stwierdzone art. 287 kk wszczęte art. 287 kk stwierdzone

7. 0 100 200 300 400 500 600 700
190a§ 2
202
256
267§1
267§2
268§2
268a
269§1
269a
269b
271
286 §1internetowe
286§ 1 poprzez ogłoszenie
287
Dynamika
Artykułkk
Wskaźnik dynamiki cyberprzestępstw 2014/2015 Małopolska
zakończone wszczęte

8. • Badania – poszukiwanie luk i podatności w oprogramowaniu oraz sprzedaż
takich informacji,
• Tworzenie narzędzi do popełniania przestępstw (exploity, keyloggery, boty,
downloadery itp.), służących ukrywaniu złośliwego oprogramowania
(obfuskatory, szyfratory itp.), narzędzia spamerskie oraz sprzęt do pozyskiwania
danych (skimmery, urządzenia podsłuchowe itp.),
• Infrastruktura cyberprzestępcza – wynajęcie stworzonego wcześniej botnetu,
udostępnienie platformy internetowej do samodzielnego skonfigurowania
narzędzi przestępczych, utrzymywanie platformy do kupna/sprzedaży narzędzi
i informacji o sposobach popełniania przestępstw,
• Swoisty „outsorcing” - zlecenie popełniania cyberprzestępstw bez własnej
wiedzy informatycznej.
Cyberprzestępczość jako rodzaj usługi
świadczonej przez podziemie internetowe

9. Oferta sprzedaży botnetu

10. Konsola zarządzania wynajmem botnetu
Źródło: dataspace.pl/botnet/

11. Konsola zarządzania botnetem

12.  190 § 1 kk – stalking,
 190a § 2 – podszywanie się pod inną osobę, fałszywe profile,
 202 kk – treści pedofilskie,
 256 kk – ekstremizm polityczny – treści faszystowskie,
 267 § 1 kk – nieuprawnione uzyskanie informacji (hacking),
 267 § 2 kk – podsłuch komputerowy (sniffing),
 268 § 2 kk – udaremnienie uzyskania informacji,
 268a kk – udaremnienie dostępu do danych informatycznych,
 269 § 1 i 2 kk – sabotaż komputerowy,
 269a kk – rozpowszechnianie złośliwych programów oraz cracking,
 269b kk – tzw. „narzędzia hakerskie”,
 271 kk – handel fikcyjnymi kosztami,
 286 kk – oszustwo ( w tym popełniane za pośrednictwem Internetu np. na Allegro),
 287 kk – oszustwo komputerowe,
 310 § 1 i 2 kk – przestępstwa wymierzone w instrumenty płatnicze, np. skimmingu.
Cyberprzestępczość w artykułach kodeksu karnego

13. • E-mail z linkiem do :
• faktury (Orange, Play, Plus, Tauron itp.),
• polecenia zapłaty,
• nakazu sądowego,
• wpisu do rejestru dłużników,
• oferty handlowej,
• strony w sieci,
• wygranej na loterii,
• itd., itp. …
• Oprogramowanie z niewiadomych źródeł,
• Otrzymany/znaleziony pendrive.
Wykorzystanie złośliwego oprogramowania

14. Atak na kancelarie prawnicze
Źródło: www.zaufanatrzeciastrona.pl
Wiadomość nie wzbudziła żadnych podejrzeń.
Adwokat odpisał wyjaśniając zakres usług
kancelarii i przesyłając kilka pytań.

15. Strona firmy

18. SPRAWCA :
• podszywa się pod znane, oficjalnie działające firmy,
• oferuje atrakcyjne wynagrodzenie i warunki pracy,
• po przesłaniu CV prosi o skan dokumentu tożsamości,
• stosuje różnego rodzaju zabiegi socjotechniczne
w celu uzyskania skanu,
• prosi o przelanie niewielkiej kwoty (np. 1 zł) na wskazane
konto,
• od wykonania w/w próśb uzależnia „przyjęcie do pracy”.
Fałszywe oferty pracy – kradzież tożsamości

19. Dane z dokumentu tożsamości mogą posłużyć do:
• zaciągnięcia kredytu (pożyczki) na nasze nazwisko,
• założenia firmy (sklepu internetowego),
• utworzenia rachunków bankowych,
• zakupów ratalnych,
• założenia fałszywych profili na portalach społecznościowych,
• szkalowania innych w naszym imieniu,
• sprzedaży danych,
• innych, niezgodnych z prawem celów …

20. Profesjonalnie wyglądająca strona nie świadczy o jej wiarygodności …

21. Profesjonalnie wyglądająca reklama na FB …

22. Sklep internetowy Markowy Styl - efekty
• tymczasowe aresztowanie,
• dozór Policji i zakaz opuszczania kraju dla drugiego sprawcy,
• przez 1,5 miesiąca przez rachunek sklepu „przepłynęło” 400.000 zł,
• około 1000 pokrzywdzonych,
• 170.000 zł. zabezpieczono na rachunkach bankowych sprawców.

23. Oszustwa

24. www.fejspodgladacz.pl

25. Loterie, karty podarunkowe …

26. • Sprawcy rozsyłali do wielu użytkowników SMSy typu:
„Płatna usługa PREMIUM została włączona. Koszt 4,25
zł/dzień, aby wyłączyć wyślij ag.tak na numer 925 00”,
• w rzeczywistości wysłanie SMS o treści „ag.tak” powoduje
włączenie usługi,
• faktyczny koszt wysłania SMS to 30,75 zł brutto.
Nowe pomysły …

27. Działali głównie na portalu Facebook
Przestępcy swoje konkursy adresowali głównie do młodych osób i reklamowali je
na Facebooku poprzez podstawione osoby i fałszywe funpage mające po kilka,
a nawet kilkaset tysięcy "polubień" oraz pozytywne komentarze.
Oszuści zatrudniali młode osoby, nie znające się na przepisach prawa, oferując im łatwy
zarobek dużych pieniędzy, namawiali do tworzenia fikcyjnych profili na portalu Facebook,
których zadaniem było wystawiane nieprawdziwych postów i komentarzy, informujących
o rzekomym „wygraniu bonu” z zaproszeniem do wzięcia udziału w oferowanych
konkursach/loteriach.

28. Stanisław K.
Lider grupy odpowiedzialny za
usługi SMS Premium
Firma PM - oficjalny organizator
konkursów/loterii oraz właściciel
setek stron www
Daniel S.
Lider grupy odpowiedzialny za
tworzenie stron www
(programista)
Marcin Rz., Kamil G., Katarzyna W. i inni (ponad 30 osób)
Osoby zatrudnione przez głównych figurantów
do tworzenia fikcyjnych profili na portalu Facebook
z reklamą działających konkursów/loterii

29. co najmniej 160.000 osób …Pokrzywdzeni
co najmniej 4.000.000 złotych …Straty
fejs-podgladacz.pl, megabony.pl, kingprizes.pl itp.Pomysły

30. Realizacja sprawy – 6 marca 2017 r.
• Przeszukania w 9 miejscach na terenie kraju,
• zatrzymano 9 osób (w tym jedną poszukiwaną
3 listami gończymi do innej sprawy),
• zabezpieczono dokumentację finansową, sprzęt
komputerowy, telefony itp.
• i bonus  - w miejscu zamieszkania głównego figuranta
ujawniono plantację konopi indyjskich – 300 sadzonek
o wysokości 120-180 cm,
• 4 zatrzymanych zostało tymczasowo aresztowanych.

31. Operacja „TRIANGLE”

32. Grudzień 2014 r. – pierwsze informacje
• rachunek bankowy założony w polskim banku na obywatela Nigerii,
• adres klienta podany w banku to jeden z krakowskich
apartamentowców,
• logowania do bankowości elektronicznej z różnych IP z terenu
Polski,
• wpłaty z rachunków otwartych na obcobrzmiące nazwiska,
• wypłaty na polskie karty w bankomatach w Nigerii i Beninie,
• wpływ na rachunek 14.000 € z jednej z firm medycznych z Wielkiej
Brytanii (grudzień 2014 r.),
• komunikat SWIFT z brytyjskiego banku, iż w/w transakcja jest
fraudowa.

33. Podjęte czynności pozwoliły na stwierdzenie,
że na terenie Polski działa zorganizowana grupa przestępcza
dokonująca wyłudzeń znacznych kwot pieniężnych (za pomocą
phishingu i pharmingu) od zagranicznych korporacji,
jak i prania pieniędzy oraz ich transfer za granicę.
Osoby działające na terenie Polski są częścią
międzynarodowej grupy przestępczej.

34. GREETING IN THE NAME OF OUR LORD JESUS CHRIST.
I AM MRS OLIVIA SMITH, A WIDOW TO LATE MR. JAMES SMITH. I AM 81 YEARS OLD, I
AM NOW A NEW CHRISTIAN CONVERT, SUFFERING FROM LONG TIME CANCER OF THE
BREAST,FROM ALL INDICATION MY CONDITIONS IS REALLY DETERIORATING AND IT IS
QUITE OBVIOUS THAT I WONT LIVE MORE THAN THREE MONTHS, ACCORDING TO MY
DOCTORS,THIS`IS BECAUSE THE CANCER STAGE HAS GOTTEN TO A VERY BAD STAGE.
MY LATE HUSBAND KILLED DURING THE U.S. RAID AGAINST TERRORISM IN AFGHANISTAN,
AND DURING THE PERIOD OF OUR MARRIAGE WE COULDNT PRODUCE ANY CHILD.
MY LATE HUSBAND WAS VERY WEALTHY AND AFTER HIS DEATH, I INHERITED ALL HIS
BUSINESS AND WEALTH. THE DOCTORS HAS ADVISED ME THAT I MAY NOT LIVE FOR
MORE THAN THREE MONTHS, SO I NOW DECIDED TO DIVIDE THE PART OF THIS WEALTH,
TO CONTRIBUTE TO THE DEVELOPMENT OF THE CHURCH IN AFRICA, AMERICA ASIA,
AND EUROPE. I PRAYED OVER IT,. I AM WILLING TO DONATE THE SUM OF
9,000.000.00 MILLION U.S DOLLARS,TO THE LESS PRIVILEGED. PLEASE I WANT YOU TO NOTE
THAT FUND IS LYING IN A SECURITY COMPANY.
LASTLY, I HONESTLY PRAY THAT THIS MONEY WHEN TRANSFERRED WILL BE SURE FOR
THE SAID PURPOSE, BECAUSE I HAVE COME TO FIND OUT THAT WEALTH ACQUISITION
WITHOUT CHRIST IS VANITY. MAY THE GRACE OF OUR LORD JESUS THE LOVE OF GOD
AND THE FELLOWSHIP OF GOD BE WITH YOU AND YOUR FAMILY I AWAIT URGENT REPLY.
YOURS IN CHRIST.
MRS OLIVIA SMITH
REPLY ME WITH MY PRIVATE EMAIL: olivia_smith34@aol.com
Oryginalny tekst rozsyłanej wiadomości

35. Dalsze ustalenia
Ustalono, że organizatorem procederu prania brudnych pieniędzy na terenie Polski jest
K. O., hakerem grupy jest E. U., natomiast nadzoruje ich ze strony międzynarodowej
grupy przestępczej James F. posługujący się szwedzkim paszportem.
W marcu 2015 r. został zatrzymany pierwszy członek grupy, Olaniyi O.,
niezwłocznie po przylocie do Polski. Sąd zastosował wobec niego tymczasowe
aresztowanie na okres 3 miesięcy.
W maju 2015 roku otrzymano informację z Europolu, że we Francji został zatrzymany
James F., poszukiwany przez szwedzką Policję jako podejrzany o pranie brudnych
pieniędzy. Po przekazaniu stronie szwedzkiej został tymczasowo aresztowany.

36. Współpraca międzynarodowa
Pod egidą EUROPOLU powołano z policją szwedzką
Joint Investigation Team
Międzynarodowe czynności policji polskiej, włoskiej, hiszpańskiej,
brytyjskiej i belgijskiej koordynował Europol i Eurojust.
Operacja otrzymała krypt. „TRIANGLE”

37. Operacja „TRIANGLE”
W czerwcu 2015 roku Centralne Biuro Śledcze wspólnie
z Wydziałem d/w z Cyberprzestępczością
oraz Strażą Graniczną dokonało realizacji materiałów.
Zatrzymano 6 osób, wobec wszystkich sąd zastosował tymczasowe aresztowanie.
Zabezpieczono m.in. 160.000 zł w gotówce, komputery i telefony komórkowe.
Równolegle na terenie kilku krajów były podjęte
podobne działania policyjne.
W sumie na terenie Europy zatrzymano 49 osób.

38. Ekspertyza komputera K.O. – polskiego lidera grupy
• 80 używanych rachunków bankowych,
• logowanie do bankowości elektronicznej na rachunki bankowe
założone na różne osoby,
• zlecanie przelewów międzynarodowych,
• kilkadziesiąt używanych adresów email,
• korzystanie ze strony handlującej danymi kart kredytowych,
• zakup danych kilkuset kart płatniczych,
• płatności za pomocą tych danych w Internecie.

39. Ekspertyza komputera E.U. – hackera grupy
• program do seryjnego rozsyłania wiadomości oraz jego logi,
• program służący do ukrywania adresu IP,
• gotowe listy adresów email,
• malware w pliku pdf stanowiący załącznik do rozsyłanych
wiadomości e-mail,
• po infekcji komputera program łączył się z serwerem C&C,
gdzie magazynował dane zebrane przez keylogera,
• logi zaawansowanego keyloggera,
• pliki tekstowe zawierające dane dostępowe do systemów
teleinformatycznych.

40. Główny wniosek biegłego
„Użytkownik komputera przekazanego do badań brał
udział w procesie przejmowania kontroli nad
komputerami w sieci Internet oraz przejmowania
tożsamości internetowej w ten sposób,
że przeprowadzał atak na komputery poprzez
przesłanie zainfekowanej wiadomości, a następnie
odbierał dane przesłane z tych komputerów przez
program rejestrujący pracę klawiatury.”

41. Dalsze ustalenia
• szereg pokrzywdzonych zagranicznych podmiotów gospodarczych,
• po przejęciu kontroli nad komputerami pokrzywdzonych firm
dokonywano modyfikacji numerów rachunków bankowych,
• płatności trafiały na polskie rachunki bankowe,
• wypłaty gotówkowe i transfery zagraniczne,
• grupa wyprała co najmniej 8 mln zł,
• na rachunkach bankowych zabezpieczono ok. 1 mln. zł.

43. Kilka uwag – problemy …
• niska świadomość społeczeństwa dotycząca
cyberprzestępczości,
• bardzo wysoka skuteczność socjotechniki,
• specyfika dowodów cyfrowych,
• problemy we współpracy w przypadkach ustaleń za granicą
(np. Facebook, Google …),
• anonimowe serwery poczty elektronicznej,
• kryptowaluty,
• sieć TOR …

44. Co nas czeka … ?
• rozwój zagrożeń atakami APT;
• wycieki baz danych, haseł dostępowych, danych osobowych itp.;
• zagrożenia dla platformy Android;
• zagrożania typu ransomware;
• wykrycie i wykorzystanie nowych luk w zabezpieczeniach (OpenSSL, Shellshock);
• ataki na oprogramowanie bankomatów (to wciąż Windows XP !);
• ataki na protokoły sterowników przemysłowych;
• ataki na wirtualne systemy płatności (w tym bitcoinowe);
• botnety (w tym Mac OS X);
• wykorzystanie „Internetu rzeczy” ...

45. Jan Klima
Wydział dw. z Cyberprzestępczością KWP w Krakowie
jan.klima@malopolska.policja.gov.pl