Na komórkę Pawła Wojtunika dodzwonić się nie można. Były szef CBA zawsze uważał, od kogo odbiera telefony, ale po tym, co wydarzyło się ostatnio, w słuchawce odzywa się jedynie poczta głosowa.
Jest czwartek 20 stycznia. Chwilę przed godz. 22 dzwoni telefon córki Wojtunika. To „tata” – na ekranie wyświetla się jego zdjęcie, numer też się zgadza. Dziewczyna odbiera, ale zamiast głosu ojca słyszy inny, kobiecy: „Twój tata nie żyje, nie oddycha, dzwonię z jego telefonu” – słyszy. Jest przerażona, niewiele myśląc, rozłącza się.
Kilka minut później Paweł Wojtunik odbiera telefon od żony. Córka zadzwoniła do niej zapytać, czy wie, co stało się ojcu. Ten, cały i zdrowy, zapewnia, że żyje i już dzwoni do zrozpaczonej córki, żeby jej to przekazać.
– To najbardziej brutalny z ataków, które spotykają mnie i moją rodzinę od sześciu lat, czyli odkąd odszedłem z CBA – mówi Wojtunik w rozmowie z „Polityką”. Dodaje, że tydzień wcześniej doszło do podobnego zdarzenia. Z adresu mailowego jego drugiej córki, która nie skończyła jeszcze 16 lat, ktoś groził lokalnym samorządowcom i komendantom policji śmiercią. Wojtunik nie wie, kto stoi za tymi atakami, nie ma jednak wątpliwości, że są odpowiedzią na jego działalność – dawne próby odpolitycznienia CBA oraz aktualne wywiady, w których krytykuje służby specjalne za aferę z Pegasusem.
– Zrobię wiele, by te ataki zakończyć – zapewnia Wojtunik, który wyznaczył 20 tys. zł nagrody w zamian za informacje, które pomogą ustalić sprawcę ataku na jego rodzinę. – Jestem dużym chłopcem, byłym gliniarzem. Wiem, na co się pisałem i za co dziś ponoszę konsekwencje, ale mieszanie w to dzieci jest przekroczeniem granicy nieprzekraczalnej nie tylko dla mnie, ale też dla niegdysiejszych bandytów.
„Ktoś z twoich bliskich nie żyje”
Były szef CBA jest kolejną osobą, która w ostatnim czasie padła ofiarą spoofingu. – Precyzyjnie atak, o którym rozmawiamy, nazywa się CallerID Spoofingiem i polega na zadzwonieniu do kogoś, tak aby temu komuś pojawił się na ekranie numer ofiary, pod którą podszywa się sprawca – tłumaczy Piotr Konieczny, szef portalu Niebezpiecznik.pl. – Takie podszywanie jest możliwe ze względu na specyfikę działania sieci telekomunikacyjnych. Tak naprawdę pozwalają one każdemu abonentowi przedstawić się dowolnym numerem. Większość operatorów sprawdza, czy ich klienci, inicjując rozmowę, ustawiają „swoje” numery, ale niektórzy tego nie robią. I właśnie z internetowych bramek tych niektórych operatorów skorzystać może każdy, kto chce się pod kogoś podszyć. Niestety, jeśli sprawca poprawnie zanonimizuje swój adres IP, to namierzenie, kim on jest, nie będzie możliwe – dodaje.
Z początku technikę tę stosowali przestępcy, którzy podszywając się pod numery infolinii polskich banków, okradali ludzi. W ostatnim czasie lawinowo rośnie liczba przypadków wykorzystywania spoofingu do siania strachu i chaosu. Na przykład poprzez wysyłanie gróźb albo zgłaszanie fałszywych alarmów bombowych, jak podczas imprezy sylwestrowej TVP.
Można też, jak w przypadku Pawła Wojtunika, okłamać kogoś, że ktoś z jego bliskich nie żyje. Tę metodę przestępcy powtórzyli ostatnio wobec prof. Marcina Matczaka, który odebrał telefon z numeru należącego do infolinii CBA z informacją, że jego syn nie żyje. „Oczywiście Michałowi nic nie jest. Po krótkim zdenerwowaniu tym telefonem uznałem, że jest on dobrym powodem, by nadal robić to, co dotychczas, tylko bardziej” – napisał na Twitterze Matczak.
„To będzie twój ostatni telefon”
Żeby jednak próbować oszukać kogoś w ten sposób, trzeba najpierw znać członków jego rodziny i relacje, które ich łączą. W przypadku prof. Matczaka było to dość proste – jego syn, znany pod pseudonimem Mata, jest sławnym raperem, Matczak zaś bardziej niż prawnik czy publicysta znany jest ostatnio jako „tata Maty”. To łatwy cel.
Mniej ambitni przestępcy ograniczają się zwykle do gróźb. Te odebrał ostatnio Aleksander Twardowski, wrocławski przedsiębiorca, który zainicjował zrzutkę na telefon zaufania dla dzieci, pozbawiony finansowania przez rząd. „Jesteś pedofilem i ruchasz te dzieciaczki. Zamorduję cię za to. To będzie twój ostatni telefon, ale nie zaufania, tylko potępienia. Żadne pieniądze nie wydłużą twojego życia. Jeśli będzie trzeba, to będę ryzykował. Obyś tylko zniknął już dziecioj...bco” – takie groźby czytane przez syntezator mowy usłyszał, gdy odebrał anonimowy telefon. Postanowił oddzwonić. „Osoba, która odebrała, przeprosiła i wyjaśniła sytuację. Powiedziała, że zna sprawę i nie ma z tym nic wspólnego. Wcześniej otrzymała już kilka telefonów od ludzi, którzy otrzymali groźby z jej numeru” – wyjaśniał w rozmowie z „Wyborczą” Twardowski.
Córka mecenasa Romana Giertycha groźby usłyszała w zeszły czwartek. „Pół godziny temu otrzymałam telefon z groźbami śmierci, jeśli powiemy jeszcze choćby słowo o Pegasusie. Numer telefonu podszywał się pod kancelarię mec. Dubois – przyjaciela mojego taty. To naprawdę straszne, co się dzieje…” – napisała na Twitterze.
Swoją historię w jednym z artykułów opisał też Szymon Jadczak, dziennikarz śledczy Wirtualnej Polski: „Parę dni temu na wyświetlaczu telefonu zobaczyłem, że dzwoni do mnie koleżanka, też dziennikarka. Po odebraniu połączenia usłyszałem, jak syntezator mowy kobiecym głosem grozi, że »zaj… mnie jak kur…«. Gdy skontaktowałem się z właścicielką numeru, okazało się, że ona odebrała połączenie z mojego numeru z podobnym zestawem gróźb”.
Groźby usłyszał ostatnio też Mateusz Czuchnowski, syn dziennikarza śledczego „Gazety Wyborczej” Wojciecha Czuchnowskiego, gdy odebrał telefon z numeru należącego do infolinii CBA (tak jak prof. Matczak).
Lista pokrzywdzonych w ten sposób jest dłuższa. Są na niej m.in. politycy: Szymon Hołownia, poseł koła Polskie Sprawy Paweł Szramka oraz posłanka Lewicy Paulina Matysiak.
Areszt za spoofing? Tak, ale dla ofiary
Kolejna metoda na sianie chaosu to zgłaszanie fałszywych alarmów bombowych. Oczywiście z cudzych numerów. Na przykład żony posła Krzysztofa Brejzy, z której numeru ktoś rozsyłał wiadomości o podłożeniu ładunków w różnych miejscach kraju.
„Cyberprzestępcy próbują wykorzystać spoofing do podsycania politycznych sporów. Słuchajmy głosu ekspertów i nie dajmy się rozegrać – każda poszkodowana osoba może liczyć na profesjonalne wsparcie państwowych instytucji” – napisał na Twitterze Janusz Cieszyński, sekretarz stanu ds. cyfryzacji. Pod jego numer też ktoś się podszył i dzwonił do Komendy Stołecznej Policji.
Wbrew temu, co pisze Cieszyński, nie każdy poszkodowany „może liczyć na profesjonalne wsparcie państwowych instytucji”. Przekonał się o tym Hubert Znajomski, 21-letni aktywista z Lublina, wiceszef struktur Wiosny Roberta Biedronia w tym mieście. Jak opisała „Gazeta Wyborcza”, Znajomski został zatrzymany i aresztowany, gdy z jego numeru ktoś wykonał fałszywy alarm bombowy do szpitala powiatowego we Włodawie. „To zemsta za śmierć ojca” – odezwał się męski głos w słuchawce. Znajomski przyznaje: jego tata przed rokiem zmarł na covid w szpitalu, tyle że nie we Włodawie, a w położonym 60 km dalej szpitalu w Łęcznej.
Policjanci zapukali do drzwi działacza Wiosny 6 stycznia ok. godz. 10. Przeszukali mieszkanie, piwnicę, zabezpieczyli i zabrali telefon, tablet i laptop. Jego samego zabrali do komendy powiatowej we Włodawie (mieszka w Łęcznej). Po ponad sześciu godzinach i interwencji adwokata wynajętego przez jego matkę Znajomski opuścił komendę. Bez zarzutów, ale też sprzętu elektronicznego, na którym prócz rzeczy osobistych były informacje dotyczące działalności partyjnej Wiosny i Nowej Lewicy. Prawdziwy sprawca nadal nie został zatrzymany.
Siedlecka: Spoofing i gejbomber. Przypomina się dawna afera
Ostrożny Polak po szkodzie
To, że cyberprzestępcy upodobali sobie ostatnio spoofing jako narzędzie wywoływania strachu, nie znaczy, że przestali go używać do okradania ludzi. Wciąż nie brakuje przypadków podszywania się pod urzędników czy pracowników banków.
„Dostajemy sygnały od klientów, że oszuści podszywają się pod numer infolinii ZUS. Bądź ostrożny! Numer i nazwę dzwoniącego, które wyświetlają się na ekranie telefonu, da się zafałszować. Nie podawaj dzwoniącemu danych osobowych, w tym danych logowania do PUE ZUS” – alarmował niedawno Zakład Ubezpieczeń Społecznych.
Banki też alarmują, choć ich komunikaty na stronach internetowych nie każdy przecież czyta. Ostrożność zwykle przychodzi po szkodzie; szczęśliwi ci, którym udało się jej uniknąć. Jak Grażyna Bukowska, była dziennikarka telewizyjna. W styczniu odebrała telefon przypisany do infolinii banku, w którym ma konto. Mężczyzna przedstawiający się jako jego pracownik poinformował ją, że zauważyli nieautoryzowany przelew z jej konta na kwotę 700 zł. Podał swój numer identyfikacyjny i zapewnił, że za chwilę wyśle SMS potwierdzający jego tożsamość. Tak też się stało. Następnie namawiał do zainstalowania aplikacji w telefonie, wysłania esemesa odmawiającego zrealizowania transakcji, zmiany hasła w serwisie internetowym i wpisania go w treść wiadomości w celu potwierdzenia.
„Na szczęście w tym momencie syrena już wyje i czerwona lampa miga jak wściekła” – napisała Bukowska na Facebooku. „Rozłączam się, słysząc jeszcze, jak Pan mówi, że to dla mojego bezpieczeństwa i że jak się rozłączę, to bank nie ponosi odpowiedzialności. Blokuję natychmiast karty. Dzwonię do banku, zgłaszam sprawę, proszę o zablokowanie kont. I oczywiście dowiaduję się, że proceder trwa od kilku miesięcy, a na stronie banku jest ostrzeżenie. Czerwonym drukiem”.
Spoofing. Jak się bronić?
Piotr Konieczny: – To, czy połączenie było zespoofowane, może określić operator, ale niestety z wielu powodów (koszty, wyzwania technologiczne) w Polsce się tego nie robi.
Rząd zapewnia, że pracuje nad prawnymi i technologicznymi rozwiązaniami, które ukrócą zjawisko spoofingu. Wspomniany pełnomocnik rządu do spraw cyberbezpieczeństwa Janusz Cieszyński poinformował ostatnio o wspólnych pracach z rynkiem telekomunikacyjnym nad tym, aby „wprowadzić rozwiązania, które pozwolą jednoznacznie zidentyfikować, że dane połączenie pochodzi z zaufanego źródła”.
Chodzi o to, by odbiorca został uprzedzony o ataku, czyli otrzymał informację, że połączenie (bądź SMS) pochodzi nie z tego numeru, który mu się wyświetla na telefonie. „Chcemy zaproponować proste oznaczenie, na przykład takie, w którym przychodzące połączenie byłoby poprzedzone gwiazdką, co pozwoliłoby jednoznacznie ustalić, że coś jest nie tak; ponieważ dodanie takiego dodatkowego znaku oznacza, że dane połączenie nie wyświetli nam się tak, jak mamy je zapisane w naszej książce telefonicznej (w telefonie)” – tłumaczył Cieszyński.
– Nawet jeśli operatorzy porozumieją się z rządem w kwestii finansowania mechanizmów wykrywania i zapobiegania spoofingowi, to nie spodziewam się, że zmiany wejdą w życie od razu – zaznacza szef portalu Niebezpiecznik.pl. –Zwykli ludzie nie mają szans, aby samodzielnie się zorientować, że dzwoni do nich podszywacz. Dlatego powinniśmy pamiętać, aby rozmówców identyfikować w inny sposób niż po numerze, zwłaszcza jeśli nie rozpoznajemy ich głosu. Albo przerzucić się na szyfrowane komunikatory, bo tam – ze względu na nowsze protokoły i kryptograficzne uwierzytelnianie rozmówców – problem spoofingu nie występuje.
Czytaj też: Groźny spam z Afryki Zachodniej