Jak złodzieje okradali konta bankowe klientów sieci Play

W czerwcu i lipcu 2015 złodzieje ukradli z kont klientów banków kilkaset tysięcy złotych. Poszkodowanych klientów łączyło jedno – telefon w sieci Play i seria otrzymanych nocą SMSów z kodami do autoryzacji przelewów, których nie zlecali.

Tydzień temu zgłosił się do nas przestępca, który opisał w jaki sposób przez dwa miesiące zeszłego roku okradano konta bankowe nieświadomych użytkowników. Wydarzenia opisane przez przestępcę udało się nam zweryfikować i potwierdzić w wielu niezależnych źródłach a także poznać ich dokładny przebieg m. in. z ust jednej z ofiar ataków.

Innowacyjna usługa

Wszystko zaczęło się pod koniec roku 2010 kiedy to sieć Play zaoferowała swoim klientom coś, czego nie proponował wtedy żaden operator – usługę pod nazwą TelePlay. Usługa polegała na możliwości uruchomienia wirtualnego telefonu obsługującego ten sam numer co telefon fizyczny, lecz za pomocą komputera i strony internetowej. Turyści oraz osoby mieszkające za granicą docenili ten produkt – mogli dzwonić i odbierać połączenia oraz wymieniać SMSy nie ponosząc kosztów roamingu. TelePlay funkcjonował do ok. 20 lipca 2015, kiedy to nagle, bez żadnego wyjaśnienia najpierw zawieszono aktywację nowych kont a po kilku tygodniach całkowicie wyłączono usługę.

Zamknięcie usługi zaskoczyło nawet świetnie poinformowanego rzecznika sieci, Marcina Gruszkę. Choć obiecał nową usługę, to klienci musieli na nią trochę poczekać. Kiedy na rynek wszedł Telefon okazało się, że połączenia można nawiązywać i SMSy wysyłać, ale z odbierania będą nici. Domyślacie się już, co było powodem wyłączenia TelePlay? Jeśli nie, to odpowiedź znajdziecie poniżej.

Niemiła pobudka

Szukając ofiar przestępców trafiliśmy na Łukasza, który stracił kilkadziesiąt tysięcy złotych w nocy z 17 na 18 czerwca 2015. Krótko przed północą na jego komórkę zaczęły dochodzić dziwne wiadomości. Nie usłyszał ich przez sen i i dopiero następnego dnia rano z przerażeniem zobaczył, że ktoś wyprowadził z jego konta wszystkie zgromadzone tam środki. Zdążył zrobić zrzuty ekranu ze swojego telefonu. Wyglądało to tak:

Ciąg wydarzeń był następujący:

ok. 23:47 komunikat sieciowy o treści TelePlay: Zalogowano sie wlasnie do uslugi TelePlay. Jesli to nie Ty, wyslij SMS o tresci NIE pod bezplatny numer 18353 (1TELE). www.tele.play.pl

23:47 SMS o treści Wlaczono TelePlay. Uruchamiasz usluge pierwszy raz? 14 dni masz gratis! Dzwon z komputera jak z telefonu! Usluga odnawiana automatycznie co miesiac za 3,69zlzVAT. Jak wylaczyc? Wyslij POMOC pod bezplatny numer 18353 (1TELE). www.tele.play.pl

23:48 przelew na 1 PLN na konto A w tym samym banku co konto ofiary (test przestępców)

23:48 przelew na 1 PLN na konto B w tym samym banku

23:50 przelew na 30 000 na konto B

23:53 Zmiana hasła dostępowego do kanału Internet

23:53 przelew na 30 000 na konto B

23:55 przelew na 30 000 na konto B

00:04 zawarcie umowy kredytowej

00:09 przelew na 39 000 na konto C

00:14 przelew na 40 000 na konto C

Gdy Łukasz obudził się krótko po 5 rano znalazł swoje konto uboższe o 169 tysięcy złotych, z czego 40 000 pochodziło z kredytu, którego nie brał. Natychmiast skontaktował się z bankiem gdzie poprosił o zablokowanie wszystkich transakcji. Część przelewów wysłanych do kantoru online udało się odzyskać, ponieważ przestępcy nie zdążyli ich zamienić na walutę, reszta została wypłacona w bankomacie. Wszystkie odzyskane środki są nadal zablokowane w banku na rachunkach na które trafiły feralnej nocy.

Powyższy przebieg wydarzeń pasuje także do scenariusza, w którym przestępcy skradzione środki od razu wypłacają z bankomatów. To tłumaczy 3 przelewy tuż przed północą i dwa po północy. Wynajęty słup mógł stać pod bankomatem i wykorzystać fakt, że o północy następuje wyzerowanie limitów wypłat gotówkowych. Wyjaśnia to także użycie więcej niż jednego konta – przy tak dużych kwotach jakie skradziono w powyższym przykładzie wypłata wszystkiego z jednego konta nawet z dwukrotnym wykorzystaniem limitu dobowego jest niemożliwa.

Spora grupa okradzionych

W sieci nie brakuje relacji osób okradzionych w bardzo podobny sposób w czerwcu i lipcu 2015 roku. W każdej historii powtarza się ten sam scenariusz. Najpierw w środku nocy na telefon działający w sieci Play i obsługujący tokeny autoryzacyjne banku przychodzi informacja o aktywowaniu usługi TelePlay. Chwilę później pojawia się fala SMSów informujących o zaciągniętym kredycie w banku (często na kwoty nawet kilkudziesięciu tysięcy złotych), zrywaniu lokat oraz przelewach wychodzących na inne konta w tym samym banku. Gdy zrozpaczeni klienci próbują zablokować transakcje patrząc na przychodzące SMSy, nocna obsługa infolinii banku przyjmuje od nich reklamacje a w tym samym czasie konta czyszczone są do zera. Oto inna relacja:

Mnie spotkało dokładnie to samo, w niedzielę 19 lipca godzina 20:40 (około) otrzymywałam takie same smsy co Państwo, od razu weszłam na konto, widziałam 11 tysięcy, natychmiast zmieniłam hasło po czym weszłam jeszcze raz – pieniędzy już nie było – przelew został dokonany. Wcześniej – może 5 minut przed tą akcją dostałam smsa od play – „usługa teleplay została aktywowana” coś w tym stylu. Zaznaczę, że nic nie włączałam, a wręcz nie wiedziałam o istnieniu takiej opcji. Natychmiast dzwoniłam na mlinię – podobnie zgłoszenie trwało jakoś 50 minut, po czym o godzinie 22:00 pojechałam na komendę policji zgłosić kradzież. Do dziś nic nie wiadomo, wszystko jest w zawieszeniu do wyjaśnieniu w prokuraturze w Białymstoku.

Inne przykładowe relacje znajdziecie tu, tu i tu. Jest ich dużo więcej. Najstarszy namierzony przez nas przypadek pochodzi z 9 czerwca. W sumie znaleźliśmy w internecie 3 ofiary okradzione w połowie czerwca i 6 ofiar okradzionych w dniach 17-19 lipca 2015. Pozwala to przypuszczać że ofiar mogło być więcej.

Jak mogło dojść do tych kradzieży?

Krok pierwszy kradzieży, czyli identyfikacja ofiar

Jak pewnie myślicie nie jest prosto opróżnić czyjeś konto w banku. Zasadniczo się z Wami zgadzamy, jednak przestępcy są kreatywni i przy odrobinie szczęścia, braku rozsądku po stronie operatora sieci komórkowej i nierozważności użytkowników byli w stanie opracować wydajny i skuteczny system czyszczenia rachunków bankowych. A wyglądało to tak.

Kluczem do wypłaty środków jest przejęcie kontroli nad otrzymywanymi wiadomościami SMS. Operator sieci Play znacząco to zadanie ułatwił przestępcom poprzez usługę TelePlay. Co prawda by ją aktywować trzeba było wysłać SMS o określonej treści na wskazany numer, ale istniała także druga, łatwiejsza dla przestępcy droga, a był nią serwis Play24. Klienci sieci Play, którzy założyli konto w Play24 i autoryzowali je otrzymaną wiadomością SMS mogli, za pomocą tego samego loginu i hasła co do Play24, aktywować usługę TelePlay. Nie musieli w tym celu ani wysyłać SMSa, ani odczytywać kodu jednorazowego z otrzymanego SMSa. Wystarczyło kilka kliknięć myszki i TelePlay działał. Co prawda Play wysyłał na telefon użytkownika wiadomość o aktywacji usługi a następnie o każdym logowaniu, ale nie był to mechanizm przeszkadzający przestępcom.

Jak przestępcy znajdowali klientów sieci Play? Jedną z metod o których słyszeliśmy było skanowanie przejętych skrzynek pocztowych pod kątem wiadomości z fakturami z sieci Play. Dzięki niefrasobliwości użytkowników, którzy używają tego samego hasła do wielu serwisów, przestępcy dysponują dostępem do tysięcy loginów i haseł do skrzynek pocztowych. Ich przejrzeniem zajmował się specjalny program (np. zwany Fryzjer), który identyfikował skrzynki klientów sieci Play które następnie były ręcznie weryfikowane przez przestępców.

Krok drugi kradzieży, czyli infekcja

Gdy przestępcy wiedzieli już, kto ma telefon w Play, wysyłali do takich osób wiadomości ze złośliwym oprogramowaniem. Oczywiście były one odpowiednio przedstawione – mogły udawać faktury, wiadomości od windykatora czy inne rzekome dokumenty, które trzeba szybko przeczytać. Gdy użytkownik zainfekował swój komputer przestępcy mogli zacząć podsłuchiwać i wykradać jego hasła. W ten sposób zdobywali hasło do bankowości elektronicznej, gdzie sprawdzali saldo rachunków oraz do serwisu Play24. We wszystkich znanych nam scenariuszach ataku występował element zainfekowania komputera ofiary złośliwym oprogramowaniem – niestety ofiary kradzieży również się do nich przyczyniały.

Krok trzeci kradzieży, czyli wielkie czyszczenie rachunku

Gdy przestępcy mieli już wytypowaną ofiarę, znali jej login i hasło do rachunku bankowego oraz do serwisu Play24, aktywowali usługę TelePlay. Umożliwiała ona otrzymywanie przez internet SMSów skierowanych do komórki ofiary. SMSy docierały jednocześnie do strony WWW którą obserwował przestępca oraz do telefonu ofiary, dzięki czemu poszkodowani mogli zorientować się, że dzieje się coś niedobrego. Niestety nawet natychmiastowy telefon do banku nie pomagał zablokować konta ze względu na wolne działanie procedur bankowych i dużą szybkość działania przestępców.

Przestępcy logowali się do rachunku i kradli co mogli. Zrywali lokaty, brali kredyty i przelewali wszystkie możliwe do wydobycia środki na konta założone na podstawione osoby – tzw. słupy – w tym samym banku. Dzięki temu przelewy docierały natychmiast na konta kontrolowane przez przestępców.

Krok czwarty kradzieży, czyli duże pranie

Wyprowadzone środki były szybko prane. Scenariusze były różne – wyprowadzone środki mogły trafiać do kantorów internetowych, mogły też być używane do zakupów dóbr elektronicznych (np. kody do gier) lub wypłacane z bankomatów. Bardziej skomplikowany był scenariusz zakupu bitcoinów. Wymagał oczywiście odpowiednich przygotowań – oprócz kont słupów przestępcy rejestrowali konta w różnych serwisach pośredniczących w płatnościach internetowych. Na rachunki założone na skradzione skany dokumentów w serwisie Paysera (z limitem transakcji do 10 tysięcy euro) wpłacali kradzione pieniądze poprzez serwisy obsługujące przelewy natychmiastowe. Serwis obsługujący przelewy widziały przelew z banku z poprawną autoryzacją, bank widział prawidłowy kod z SMSa, zatem do transakcji dochodziło zgodnie z procedurami. Z Paysera środki lądowały na przykład na koncie Webmoney, skąd wędrowały na giełdy kryptowalut i znikały w portfelach BTC.

Inny scenariusz

Powyższy scenariusz pochodzi ze zweryfikowanej przez nas opowieści przestępcy, jednak z sektora bankowego usłyszeliśmy także o innym możliwym scenariuszu wydarzeń. Około 23 czerwca 2015 jeden z botnetów – Slave – zaczął znienacka kraść nie tylko loginy i hasła do konta bankowych, ale także do serwisu Play24.pl. Było to pewnym zaskoczeniem dla obserwatorów tego zachowania, jednak po lekturze tego artykułu zaskoczenie mija – przestępcy mogli najpierw infekować komputery, a potem wykorzystywać fakt, że niektóre z ofiar były klientami sieci Play. Możliwe jest także, że przestępcy dysponowali już pulą wykradzionych loginów i haseł do serwisu Play24 – mogli je zbierać na długo przed odkryciem metody (bot kradł np. wszystkie hasła zapisane w przeglądarce) a potem tylko po nie sięgnąć gdy okazały się przydatne. Wygląda zatem na to, że metoda kradzieży krążyła po środowisku przestępców od maja 2015. Pierwsze kradzieże na których ślady natrafiliśmy miały miejsce w połowie czerwca, wtedy też do sieci Play trafiły pierwsze reklamacje klientów. Trzeba było jednak fali kradzieży z 17-19 lipca, by usługę w końcu wyłączono.

Co na to Play

Tydzień temu poprosiliśmy firmę Play o odpowiedź na kilka pytań dotyczących tej sprawy. Niestety mimo trzykrotnego przesłania pytań zarówno do rzecznika prasowego jak i do całego zespołu prasowego oraz prób nieformalnych kontaktów do tej pory nie otrzymaliśmy żadnej odpowiedzi ani nawet informacji, że taka jest przygotowywana.

W trakcie zbierania informacji o incydentach otrzymaliśmy linka do nieco zapomnianego posta na nieistniejącym już forum przestępczym ToRepublic, gdzie w kwietniu 2014 użytkownik o pseudonimie lisowy.ziom pisał w poradniku dotyczącym usługi TelePlay:

WYKORZYSTANIE DO PRZEKRĘTÓW

[…] Na pewno wielu z Was przyszło do głowy, zeby założyć taką usługę na czyjś numer mając dostęp do jego telefonu przez krótki czas (żeby odebrać te dwa kody jednorazowe do rejestracji i aktywacji). Moze nawet dałoby się przez socjotechnikę wyciągnąć zdalnie te dwa kody jednorazowe od danej osoby (lub sprytny phishing). Niestety wysyłany jest SMS o aktywacji usługi. […] Wyobraźcie sobie… wgląd we wszystkie smsy, biling połączeń, HASŁA JEDNORAZOWE DO TRANSAKCJI W BANKU, wysyłanie smsów (np. premium, szantaże) bez jego wiedzy czy chociażby rozmowy na jego koszt. […] Akcję można wykonać w nocy (zakładając że mamy jego hasło i login do banku, czy coklwiek tam planujemy zrobić) – ofiara śpi, my logujemy się do teleplay dopiero wtedy – idzie powiadomienie na telefon, które zostanie przespane ;) i działamy, odbierając wszystkie kody jednorazowe do odpowiednich serwisów i używając je zanim ofiara się obudzi. Minus taki że dźwięk smsa może ją obudzić.

Oznacza to, że mimo iż ryzyka związane z TelePlay były dobrze znane – w tym również przestępcom – Play nie zabezpieczył odpowiednio możliwości aktywacji usługi. Gdy Łukasz, którego historię opisaliśmy powyżej reklamował w Playu w czerwcu atak na swoje konto TelePlay w odpowiedzi usłyszał, że reklamacja nie zostanie rozpatrzona, ponieważ usługa jest bezpłatna przez pierwsze 14 dni zatem nie ma podstaw do reklamacji. Play odmówił również Łukaszowi wyłączenia możliwości aktywowania usługi TelePlay w przyszłości.

Kto jest temu winien

Postaramy się odpowiedzieć krótko, bo dłuższe rozważania będą prowadzić prawnicy. Bez wątpienia winni są przestępcy którzy okradali cudze konta. Po drugiej stronie najbardziej winny wydaje się Play, który zaprojektował krytyczną z punktu widzenia użytkownika usługę odbierania wiadomości SMS tak, że mogła być aktywowana bez świadomego działania klienta. Winni są też klienci, którzy zainfekowali swoje komputery złośliwym oprogramowaniem. Winne są także banki, które potrafiły w kilka sekund przyznać w środku nocy kredyty na kilkadziesiąt tysięcy złotych a nie potrafiły wykryć anomalii związanej z opróżnianiem konta ani zablokować transakcji natychmiast po zgłoszeniu klienta. Rola operatora telekomunikacyjnego oraz banku w tym przestępstwie jest tym większa, że to własnie te podmioty miały wiedzę i zasoby które mogły z powodzeniem uniemożliwić oszustwa. Sąd będzie miał trudny orzech do zgryzienia, klienci mogą nigdy nie doczekać się swoich pieniędzy a przestępcy szukają kolejnych sposobów oszukania systemu.

Aktualizacja 2016-03-09

Play odpowiedział, choć nie poinformował nas o odpowiedzi i musieliśmy znaleźć ją sami. Rzecznik przez 8 dni nie znalazł czasu nawet na 3 słowa emaila, ale na szczęście publikacja artykułu pomogła. Oczywiście zabrakło informacji o tym dlaczego tak krytyczna usługa nie była odpowiednio zabezpieczona, ale najbardziej podoba nam się fragment:

PS: Zastanawiam się też, dlaczego ten tekst pojawił się akurat wczoraj wieczorem? Dziwny zbieg okoliczności.

Bierzemy najwyraźniej udział w tak głęboko zakonspirowanej konspiracji, że nawet nie wiemy o co chodzi.