– To droga donikąd – powiedział zdecydowanym tonem starszy sierżant Grzegorz Piaskowski. Zszedł z katedry, wyłączył projektor i odsłonił ciężkie zasłony. Sierpniowe słońce wpadło do sali konferencyjnej Zespołu do Walki z Przestępczością Komputerową Komendy Wojewódzkiej Policji w Katowicach, wydobywając z mroku twarze pozostałych policjantów. Szef zespołu, inspektor Artur Kubiak, milczał, wpatrując się w leżące przed nim akta.
Sprawa była naprawdę zagmatwana. W czerwcu portal Allegro poinformował komendę o dużym oszuście działającym na terenie Śląska. W zespole szybko nadano mu ksywę Majewski – od jednego z nicków, jakich używał przy wyłudzeniach. Fałszywych kont Majewski założył w tym czasie ponad dziesięć. Posługując się głównym – Mmajewski70 – oszukał aż 120 osób. Zawsze działał w podobny sposób: najpierw uczciwa sprzedaż drobnych akcesoriów, żeby uzyskać pozytywne komentarze, a potem na aukcję trafiały drogie, nieistniejące przedmioty w okazyjnych cenach.
Anonimowość perfekcyjna
Po wyłączeniu projektora Kubiak zapatrzył się w pusty ekran. Wiedział, że mapka operacyjna niewiele pomoże, ponieważ w tego rodzaju sprawach zwykle mechanizm zachowywania anonimowości jest podobny: oszust wyszukuje najpierw lokalizacje, najczęściej w uboższej części miasta, gdzie na klatkach brak domofonów. To daje mu łatwy dostęp do skrzynek pocztowych. Następnie zakłada konto na Allegro, podając jako swój adres skrzynki, do której uzyskał dojście. Allegro wysyła na niego list aktywacyjny… i gotowe – złodziej ma aktywne konto, które nie jest fizycznie powiązane z jego osobą. W ten sam sposób oszust może założyć niepowiązane z nim konto bankowe.
Inspektor Kubiak odsunął akta i popatrzył na Piaskowskiego. – A co z analizą numerów IP? – zapytał. – Przecież musiał skądś wchodzić na Allegro.
– Na początku logował się z kawiarenek internetowych. Ale to było dawno, więc trop się rozmył. Potem używał Neostrady. Sprawdziliśmy zarejestrowanych użytkowników, ale wydają się z oszustwami zupełnie niepowiązani. Przypadkowi goście. Możliwe, że się do nich włamał. Ale mógł też korzystać z ich maszyn zdalnie przez Internet, jeśli zainstalował tam sieć typu VNC albo jakiegoś trojana – wyjaśniał starszy sierżant Piaskowski.
– Można to jakoś sprawdzić? – zapytał Kubiak, poprawiając się w fotelu.
– Nie za bardzo. Musielibyśmy sprawdzać wszystkich znajomych tych osób, z których sieci dokonano oszustw. Dużo pracy, a efekt niepewny. Zostają bankomaty, z których Majewski wypłacał pieniądze. Niestety, nie ma jednego ulubionego, a miejsc, w których podejmował gotówkę, jest co najmniej siedem. Nie wiemy, kim jest ten gość ani jak wygląda. W takich warunkach zasadzka wydaje się nie mieć sensu. Jest jednak jeszcze coś… – Piaskowski zrobił retoryczną pauzę dla wzmocnienia napięcia. Poskutkowało. Po sekundzie pozostali członkowie zespołu wpatrywali się w niego, czekając na ciąg dalszy.
– Na dzień dzisiejszy Majewski przepadł jak kamień w wodę – podjął wątek Piaskowski. – Od jakiegoś czasu nie ma oszustw w podobnym stylu na Allegro. A to może oznaczać dwie rzeczy: albo delikwent zawiesił działalność na dobre, albo z jakichś przyczyn nie możemy powiązać z nim jego nowych kont. Moim zdaniem trzeba poczekać. Jeśli będzie działał dalej, to wcześniej czy później popełni jakiś błąd.
Kubiak kiwnął głową, że się z nim zgadza. Policyjna intuicja podpowiadała mu, że tak właśnie należy postąpić – nie tracić czasu na akcje, które mają nikłe szanse powodzenia, tylko po prostu poczekać. No więc czekali. Kilka miesięcy, ale opłaciło się.
Trop z Chorzowa
– Myślisz, że to ta sama sprawa? – zapytał Kubiak, patrząc na okalające policyjny parking, okryte śniegiem drzewa za oknem. W ręku trzymał komórkę, a na drugiej linii miał naczelnika Komendy Miejskiej Policji w Chorzowie.
– Tak. Dwa nicki, których używał Majewski, pojawiły się także w naszej sprawie: SuperBogatyPan i Skorusek. One z kolei prowadzą do kilkunastu innych nicków – albo poprzez numer konta bankowego, albo przez sposób logowania. Poza tym mechanizm oszustwa jest identyczny. Gość zakłada fałszywe konta na Allegro. Na razie sprzedaje chińską tandetę, żeby zebrać pozytywne komentarze, ale niedługo przyjdzie czas na żniwa. Musimy działać, zanim zacznie oszukiwać.
Chwilę jeszcze rozmawiali, dokładnie porównując informacje dotyczące obu spraw. Później Kubiak rozłączył się i czekał na emaila ze szczegółami sprawy. Wydrukował go w dwóch egzemplarzach i zadzwonił po Piaskowskiego. – Przeczytaj i powiedz, co o tym sądzisz – powiedział, gdy starszy sierżant wszedł do gabinetu.
– Myślę, że to nasz Majewski, tyle że dużo sprytniejszy, bo pierwsze, co rzuca się w oczy, to duża liczba miejsc, z których facet loguje się na Allegro. Myślę, że wykorzystuje sieci bezprzewodowe. Albo się do nich włamuje, albo korzysta z niezabezpieczonych. Tak czy inaczej, będzie ciężko go namierzyć. W kwestii bankomatów też niewiele się zmieniło. Jest ich wiele, a my ciągle nie wiemy, jak gość wygląda. Moim zdaniem ciągle za mało danych do przeprowadzenia akcji w terenie. – Czyli czekamy? – zapytał Kubiak. Rozmówca w odpowiedzi skinął głową.
Pętla się zaciska
Tym razem czekali niezbyt długo. Pomógł przypadek. W czasie jednego z rutynowych patroli policjant z Chorzowa spostrzegł mężczyznę, który zaparkował obok budki telefonicznej i uruchomił laptopa. Podejrzewając – oczywiście całkowicie błędnie – że kierowca kradnie impulsy telefoniczne, policjant sporządził notatkę służbową, zapisując m.in. numer samochodu. Notatka trafiła na komendę policji w Chorzowie. Tam funkcjonariusze powiązali ową sytuację z włamywaniem do sieci bezprzewodowych i przekazali notatkę do zespołu Kubiaka. Na wszelki wypadek ustalono tożsamość kierowcy, bo na razie nie było podstaw, aby objąć go ściślejszą kuratelą – przecież używanie laptopa w pobliżu budki telefonicznej nie jest przestępstwem.
W tym samym czasie zespół Kubiaka obserwuje konta bankowe Majewskiego i ustala, że ma on pewien zwyczaj: gdy kwota z oszustw przekroczy określony próg, sprawca wypłaca ją prawie w całości. Robi to w jednym z kilku ulubionych bankomatów.
Ostatni element tej układanki dostarczył sam Majewski. Występując pod jednym ze swoich nicków na Allegro, podał w opisie aukcji telefon kontaktowy do siebie. Zrobił to zapewne przez roztargnienie. Na taki ruch tylko czekał starszy sierżant Piaskowski, który w pewien marcowy ranek wręczył Kubiakowi małą karteczkę.
– To jego telefon – powiedział. – Konto Majewskiego jest pełne. Dziś albo jutro będzie podejmował kasę. Jeśli włączy komórkę, zastosujemy nawigator. Myślę, że teraz albo nigdy.
Kubiak zastanowił się. Wiedział, że pośpiech to zły doradca, a jedna zła akcja oznacza, iż roczna praca zespołu pójdzie na marne. Ale instynkt podpowiadał mu, że tym razem złapią ptaszka na gorącym uczynku. – Zdejmijcie misia – mruknął.
Pomoc od nawigatora
Następnego dnia rano Piaskowski odetchnął, ponieważ okazało się, że Majewski włączył telefon – mogli więc używać nawigatora. Jest to system usług, które każdy operator polskiej telefonii komórkowej musi udostępnić policji. Korzysta się z tego prosto: pracownik operacyjny wysyła zapytanie o konkretny numer SMS-em, a po chwili operator przysyła odpowiedź ze współrzędnymi poszukiwanej komórki.
Niestety, system ten nie jest zbyt precyzyjny, ponieważ bazuje na pomiarze mocy danego telefonu, jaki rejestrują pobliskie stacje przekaźnikowe (BTS). Operator zna lokalizację tych stacji i ich położenie w terenie, więc stosując odpowiednie algorytmy, może określić współrzędne włączonego telefonu – z dokładnością do ulicy, dwóch ulic w mieście.
Zasadzka przed Belgiem
– Zawsze to coś – powiedział do siebie Piaskowski. Znajdował się teraz przed supermarketem Belg w Katowicach. Obserwująca bankomat ekipa zadzwoniła do niego przed godziną z informacją, że telefon Majewskiego jest gdzieś w pobliżu. Przyjechał natychmiast i dołączył do grupy. Wysłał kolejne zapytanie do nawigatora. Odpowiedź bez zmian: telefon Majewskiego ciągle włączony i ciągle w okolicy. Tylko gdzie? Wokół tyle samochodów. Piaskowski rozejrzał się i poczuł coś na kształt ukłucia w sercu. Niedaleko od nich stał samochód. Typ i kolor odpowiadał temu, o którym donosił meldunek chorzowskiej policji. Rejestracja też. Oczywiście mógł to być przypadek, ale czy nie za dużo tych przypadków? Poza tym facet w środku korzystał z laptopa. Zatrzymać… czy poczekać teraz aż podejdzie do bankomatu. Będzie mocniejszy dowód w sądzie.
Uważając, żeby nie rzucać się w oczy, Piaskowski wykonał zdjęcie samochodu podejrzanego. Chwilę potem ten uruchomił silnik i ruszył. Powoli. Więc nie dostrzegł pułapki. Dyskretnie podążyli za nim: dwie ekipy w cywilnych samochodach. Najważniejszy jest teraz odczyt z nawigatora – jeśli podawane przez niego współrzędne będą się pokrywały z lokalizacją pojazdu podejrzanego, to znaczy, że policjanci są na właściwym tropie.
Na gorącym uczynku
– Nawigator nie kłamie – powiedział jeden z operacyjnych. Uśmiechał się, więc telefon Majewskiego był w samochodzie, który śledzili. Znajdowali się obecnie na osiedlu Paderewskiego, spory kawałek od Belga, więc o pomyłce nie mogło być mowy. Mimo to dla pewności odczekali jeszcze pół godziny.
Zatrzymanie nie wyglądało spektakularnie, bo Majewski był kompletnie zaskoczony. Po pierwsze nie mógł uwierzyć, że ktoś go namierzył, a po drugie wystawiał właśnie na Allegro kolejne wirtualne przedmioty, co było zajęciem dość emocjonującym.
Krótkie przeszukanie zaowocowało mnóstwem dowodów: przy podejrzanym znaleziono kartę bankomatową pasującą do konta Majewskiego, telefon, którego numer pojawił się na jednej z jego aukcji, oraz prawdziwą dowodową bombę – notatnik, w którym oszust prowadził coś w rodzaju ewidencji (jakie konta ma obecnie aktywne, jakie są już zablokowane, jakie planował założyć).
Analiza pokazuje prawdę
Przeszukanie dysku twardego laptopa odbyło się zgodnie z procedurą: w laboratorium i przez bloker – patrz Cyberkryminalni 1 – żeby nie stracił mocy dowodu. Znaleziono na nim narzędzia hakerskie do ataków na sieci bezprzewodowe oraz programy do przechwytywania haseł do kont email, kont bankowych, a nawet do kont na Allegro.
Porównując dane z komputera oszusta z jego notatnikiem, odkryto jeszcze jeden wątek przestępczej działalności Majewskiego. Okazało się, że część kont nie została przez niego założona (z wykorzystaniem fałszywej tożsamości), ale po prostu przejęta – poprzez włamania do sieci i kradzież haseł. Wydaje się, że to niemożliwe, bo przecież zarówno banki, jak i Allegro stosują bezpieczny protokół HTTPS, którego szyfrowanie jest nie do sforsowania nawet dla hakerów. Jak zwykle jednak pomogli sami poszkodowani i spryt oszusta.
Odbywało się to tak: Majewski, podsłuchując kogoś, przechwytywał najpierw jego adres email oraz hasło do skrzynki pocztowej. Te dane nie są, niestety, szyfrowane podczas przesyłania, więc nie jest to problem, jeśli dysponuje się odpowiednim programem hakerskim.
Mając email, Majewski sprawdzał, czy osoba o takim adresie ma konto na Allegro albo w banku. Jeśli tak, to próbował się na nie zalogować, używając hasła do skrzynki pocztowej. Najczęściej mu się udawało, ponieważ – jak wynika z policyjnej analizy – aż 80% użytkowników używało tego samego hasła zarówno do poczty, jak i do innych serwisów.
Epilog
Na podstawie materiału dowodowego przedstawiono Majewskiemu zarzuty oszustwa, uzyskiwania informacji dla niego nieprzeznaczonych oraz nielegalnego używania programów komputerowych. Sąd Rejonowy w Chorzowie zastosował środek zapobiegawczy w postaci tymczasowego aresztowania. Sprawa ciągle jest w toku.