E-komornik, uporczywy oszust komputerowy, zatrzymany przez policję

dodał 29 czerwca 2016 o 07:45 w kategorii Prawo, Złośniki  z tagami:
E-komornik, uporczywy oszust komputerowy, zatrzymany przez policję

Jeśli w ciągu ostatnich dwóch lat otrzymaliście na swoja skrzynkę pocztową wiadomość od rzekomego komornika sądowego, a wraz z nią link do złośliwego oprogramowania, to nadawcą zapewne był zatrzymany własnie oszust.

Mało jest w Polsce przestępców komputerowych, którzy tak konsekwentnie trzymają się jednego wzorca wiadomości. Przestępca, który pod koniec roku 2014 zainicjował kampanię „na komornika” poza drobnymi wyjątkami nie zmieniał jej przez następne dwa lata. Zainfekował setki firmowych komputerów oraz wykradł i wykorzystał gigabajty danych. Na szczęście jest już za kratami.

Dzień dobry, tu policja

Kilka dni temu w ręce polskiej policji wpadł długo poszukiwany E-komornik – przestępca, który swój pseudonim w kręgach organów ścigania zawdzięczał regularnym wysyłkom wiadomości podszywających się pod komorników (prawdopodobnie znamy także jego pseudonim używany w sieci Tor, jednak ze względu na dobro śledztwa nie możemy go tutaj ujawnić). Przestępca został zatrzymany na gorącym uczynku w trakcie wysyłania kolejnych setek wiadomości do przedsiębiorców w całej Polsce. Jego namierzenie było sporym sukcesem, możliwym dzięki zaangażowaniu i współpracy wielu osób. Nie da się także ukryć, że i sam przestępca trochę organom ścigania pomógł, praktycznie nie zmieniając od dwóch lat swoich zwyczajów korzystania z cudzego internetu. Choć dysponował mobilnym warsztatem przestępczym w swoim samochodzie (był w stanie wygodnie pracować w niem przez wiele godzin), to wpadł w miejscu swojego zamieszkania. Najwyraźniej zgubiło go lenistwo i rutyna.

Dzień dobry, tu komornik sądowy

Patent „na komornika” musiał być skuteczny, ponieważ przestępca regularnie tworzył kolejne jego warianty. Najstarszy przykład znaleźliśmy na stronie CERT Polska. To wpis z grudnia 2014, opisujący wiadomość z linkiem do pliku z rozszerzeniem .PDF.EXE.

Komornik

Komornik (źródło: cert.pl)

Tylko w ostatnich 6 miesiącach znaleźliśmy co najmniej 5 innych próbek. Przykładowe wiadomości to:

  • od Komornika Sądowego z wyrokiem Sądu Rejonowego Lublin-Zachód w Lublinie VI Wydział Cywilny
  • „Zajęcie Wierzytelności” od Kancelarii Komornika Sądowego przy Sądzie Rejonowym dla Warszawy – Woli w Warszawie Rafała Wojtyny
  • od Komornika Sądowego przy Sądzie Rejonowym dla Wrocławia-Śródmieścia Krzysztofa Markowskiego
  • „Komornicze zajęcie egzekucyjne konta bankowego” od Komornika Sądowego Warszawa
  • „ZAWIADOMIENIE O WSZCZĘCIU EGZEKUCJI Z NIERUCHOMOŚCI” od Komornika Sądowego Przy Sądzie Rejonowym w Nowym Dworze Mazowieckim Andrzej Lipnicki
  • od Komornika Sądowego przy Sądzie Rejonowym w Lublinie Romana Kaczorowskiego

Treść przykładowej wiadomości wyglądała tak:

Temat: ZAWIADOMIENIE O WSZCZĘCIU EGZEKUCJI Z NIERUCHOMOŚCI
Data: Tue, 2 Feb 2016 22:16:53 +0100
Nadawca: Komornik Sądowy <kontakt@komornikkancelaria.c0.pl>
Komornik Sądowy przy Sądzie Rejonowym w Nowym Dworze Mazowieckim Andrzej Lipnicki zawiadamia, że 08-02-2016 roku zostanie wykonana egzekucja komornicza w Państwa nieruchomości.
Egzekucja jest prowadzona na podstawie tytułu wykonawczego, który stanowi:
Wyrok Sądu Okręgowego w Szczecinie I Wydział Cywilny z dnia 21-07-2015r., sygn. akt I ACa 324/15 zaopatrzony klauzulą wykonalności z dnia: 15-12-2015r.

Wyrok wraz z uzasadnieniem: pobierz sygn. akt I ACa 324/15

_ _ _ _ _ _ _ _ _ _ _ _
Komornik Sądowy
przy Sądzie Rejonowym w Nowym Dworze Mazowieckim
Andrzej Lipnicki

Innym przykładem ataku tego samego przestępcy była wiadomość pt. „INFORMACJA O ZAMIARZE WSZCZĘCIA KONTROLI SKARBOWEJ”. Link w wiadomości z reguły prowadził do darmowego hostingu, gdzie przechowywany był plik EXE zamaskowany pod postacią .PDF.EXE lub np. .PIF. W pliku nieodmiennie znajdował się popularny keylogger Ardamax, który zapisywał naciskane klawisze i umożliwiał wykradanie danych z dysku ofiary na wskazany w konfiguracji serwer FTP. Początkowo przestępca korzystał z darmowych serwerów FTP, potem inwestował już w komercyjne usługi polskich dostawców (opłacane przez SMSa).

Dzień dobry, tu recydywista

Co ciekawe, przestępca ten był wcześniej znany policji. Zatrzymany został już w roku 2013 przez kieleckich policjantów we Wrocławiu. Znaleziono wtedy przy nim niezły arsenał – ponad 150 pieczołowicie ponumerowanych kart SIM, 13 kart bankomatowych do kont założonych na cudze nazwiska, sześć telefonów komórkowych oraz dwa laptopy. Straty związane z oszustwami na portalach z ogłoszeniami oraz na Allegro szacowano wówczas na ponad pół miliona złotych. Sprawa się ślimaczy, ponieważ skradzione pieniądze wypłacał poza granicami kraju, m.in. w Chorwacji i we Włoszech (korzystając przy tym z peruki i ciemnych okularów).

Kolekcja kart przestępcy

Kolekcja kart przestępcy

Mimo iż w trakcie trwającego postępowania przestępca dokonywał kolejnych czynów zabronionych i zainfekował setki komputerów przedsiębiorców, wykradał z nich dane, podszywał się pod ich kontrahentów i dokonywał innych oszustw oraz kradzieży, prokurator nie wnioskował o jego aresztowaniu i zastosował dozór policyjny. Jeśli zatem dostaniecie kolejnego emaila „od komornika”, przekażcie pozdrowienia ciągle niezreformowanej prokuraturze, która potrafiła postawić jedynie zarzuty z art. 267 kk oraz autorom przepisów kodeksu karnego, którzy nadal uważają, że kara maksimum dwóch lat za masowe rozsyłanie koni trojańskich, budowanie i wykorzystywanie botnetu jest w zupełności wystarczająca.