12:28
7/1/2020

Zawsze warto zajrzeć do właściwości dokumentu Worda! Swoje nazwisko w polu “autor” może tam zostawić nawet sprawca poważnego oszustwa będący doświadczoną osobą z branży IT.

We wrześniu tego roku Departament Sprawiedliwości USA informował o zatrzymaniu mężczyzny nazwiskiem Hicham Kabbaj. Miał on okraść swojego pracodawcę na ponad 6 mln dolarów. Kabbaj działa prosto – stworzył fasadowe przedsiębiorstwo o nazwie Interactive Systems i jako to przedsiębiorstwo wystawił 52 faktury na sprzętowe firewalle, serwery oraz inne usługi i urządzenia. Potem opłacał te faktury jako odpowiednio wysoko postawiony manager w dużej firmie z branży IT.

Po zatrzymaniu 48-latka postawiono mu dwa zarzuty – oszustwa elektronicznego (za co w USA można dostać do 20 lat więzienia) oraz uczestniczenia w transakcji własności pozyskanej w wyniku przestępstwa (za to grozi do 10 lat za kratkami).

3 stycznia tego roku Departament Sprawiedliwości poinformował, że Hicham Kabbaj przyznał się do czynu oszustwa i zgodził się na przepadek mienia w postaci domów na Florydzie i w New Jersey. Ponadto Kabbaj zgodził się na zapłacenie odszkodowania w wysokości ponad 6 mln dolarów. Na tym moglibyśmy skończyć, ale w tej sprawie był jeszcze jeden drobny smaczek.

Rekonstrukcja wydarzeń :) (fotka z DepositPhotos)

4 pechowe faktury

Kabbaj wystawiał swoje fałszywe faktury w okresie od sierpnia 2015 roku do maja 2019 roku. Jeśli wierzyć temu co mówi LinkedIn, Kabbaj został w maju 2015 r.  zatrudniony na stanowisku “Director of Operations” i wtedy stał się odpowiedzialny za infrastrukturę dużej firmy świadczącej usługi dla internetowych marketerów i wydawców. Potem piął się w górę, ale najwyraźniej swój przestępczy proceder zaczął uprawiać krótko po uzyskaniu wystarczających do oszustwa uprawnień. Nawiasem mówiąc Kabbaj pracował w branży od roku 1999. Mogłoby się wydawać, że taki człowiek nie popełni podstawowych błędów.

Z aktu oskarżenia odtajnionego po zatrzymaniu wynika, że 4 spośród 52 faktur wystawionych przez Interactive Systems wysłano w formacie dokumentu Worda. W tych czterech plikach, we właściwościach dokumentu, Hicham Kabbaj był wskazany jako autor.

Oszust nie dbał również o inne szczegóły. Mylił daty i czasami zapominał wpisać numery seryjne do faktur albo tendencyjnie powtarzał przedmiot zamówienia.

Poza tym z lektury aktu oskarżenia nie wynika, by śledztwo w tej sprawie było szczególnie trudne. Konto fałszywej firmy założył w banku sam Kabbaj. Skrytka pocztowa tej firmy również była założona na dane Kabbaja(!). Współpracownicy oszusta doskonale wiedzieli, że coś jest nie tak. Mieli pełną świadomość, że w ich centrach danych nie ma sprzętu dostarczonego przez firmę Interactive Systems, a nie tylko Kabbaj widział wystawione przez nią faktury.

Nawet jeśli Hicham Kabbaj nie był mistrzem opsecu to w jakiś sposób niezwykłe wydaje się przegapienie tak głupiego szczegółu jak pole “autor” w metadanych dokumentu.

Metadane to dobry (dodatkowy) ślad

Niejeden mistrz zbrodni przegapia metadane. Przykładem z naszego podwórka niech będzie serwis naciągający na SMS-y, którego regulamin w metadanych wyraźnie wskazywał na pewnego pana znanego w branży Premium SMS-ów.  Ale uwaga! W tym miejscu powinniśmy dokonać istotnego zastrzeżenia!

Metadane można zmanipulować specjalnie w celu mylenia tropów dlatego nigdy nie traktuje się ich jako głównego czy niepodważalnego śladu. Nie myślcie też, że Kabbaj został zatrzymany na podstawie samych metadanych. W istocie zostawił on sporo śladów i zachował się w pewnych kwestiach jak totalny amator.

Zawsze interesujące jest nadużywanie pozycji “głównego informatyka” w procederze oszustwa. Naszym zdaniem długo nic nie przebije informatyka urzędowego z Poznania, który stworzył sobie “wirtualną rodzinę” i brał na nią zasiłki :).

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. Wpadł w rutynę i tyle. Tyle lat wystawiania FVAT kto by nie wpadł hehe

  2. Ja chętnie poczytam o tych oszustach, których nie wykryto. Obiecuję nie paplać.

  3. Szkoda tylko, że nikt nie bierze pod uwagę, że zostawione dane wcale nie muszą należeć do włamywacza. Mogą celowo wprowadzać w błąd śledczych. Co za problem wrobić “słupa”?

    Dzisiaj hakerzy są naprawdę mega inteligentni, a dzięki niebezpiecznikowi i tego typu podobnym portalą stają się jeszcze bardziej madrzejsi ^^ .

    • @studencik
      “Szkoda tylko, że nikt nie bierze pod uwagę, że zostawione dane wcale nie muszą należeć do włamywacza.”

      Nikt?

      “Metadane można zmanipulować specjalnie w celu mylenia tropów dlatego nigdy nie traktuje się ich jako głównego czy niepodważalnego śladu.”

      Nie czytasz z uwagą.

    • Rzeczywiście, dopiero teraz zauważyłem, że przedostatni akapit nie istnieje.

    • Jarek 2020.01.07 15:53
      Wynika z tego, że można komuś podrzucić np. pornografię dziecięcą, albo zmanipulować dowody w sprawie ?
      Załóżmy taki scenariusz.
      Ktoś się włamuje do mieszkania. Wyciąga z kompa dysk ofiary. W swoim kompie zmienia daty i godziny w biosie. Wgra powiedzmy 10 zdjęć porno dzieci. Zmieni datę w biosie. Znowu wgra 100 zdjęć itd. Zmieni datę i usunie kilka zdjęć. Znowu doda zdjęcia itd. Ciężko biędzie kryminalnym wyczaić bez głębokiej analizy :)

    • “Wynika z tego, że można komuś podrzucić np. pornografię dziecięcą, albo zmanipulować dowody w sprawie ?” – dlatego uważam, że karane powinno być rozpowszechnianie, pozyskiwanie ale nie samo posiadanie. Władza mając takie “Pegasusy” może każdego niewygodnego wsadzić do więzienia i zabić “za pedofilię” rękami więźniów podrzucając nielegalne materiały. Św.p. Leppera oskarżono o gwałt i w pierwszej instancji “sąd na telefon” odrzucił w ramach “swobodnej oceny dowodów” zeznania ponad 130 świadków w postaci pasażerów i załogi samolotu LOT, że w momencie rzekomego gwałtu był na pokładzie samolotu 6km nad ziemią i kilkaset km od czynu. Tytuły “Lepper skazany za gwałt” były na pierwszych stronach. Notki, że sąd apelacyjny zmieszał z błotem sąd pierwszej instancji i uniewinnił Leppera były na np. 6 stronie Gazety Wyborczej i malutką czcionka brzmiały “Sąd apelacyjny z przyczyn proceduralnych uniewinnił A. Leppera z zarzutu o gwałt”. Ale Lepper nie miał się z czego cieszyć – dopadł go “Zawodowy Samobójca”… I niektórzy śmieją się z Kaczyńskiego, że nie ma smartfona, tylko starą Nokię z monochromatycznym ekranem – kto się będzie śmiał ostatni?

    • > I niektórzy śmieją się z Kaczyńskiego, że nie ma smartfona, tylko starą Nokię z monochromatycznym ekranem – kto się będzie śmiał ostatni?

      Przecież materiały pedofilskie można podrzucić na tysiąc sposobów. Nie tylko do telefonu.

      Stara Nokia ma plusy i minusy. Fakt, bardzo trudno (choć nie jest to niemożliwe!) się na nią zdalnie włamać. Ale

    • > I niektórzy śmieją się z Kaczyńskiego, że nie ma smartfona, tylko starą Nokię z monochromatycznym ekranem – kto się będzie śmiał ostatni?

      Przecież materiały pedofilskie można podrzucić na tysiąc sposobów. Nie tylko do telefonu.

      Stara Nokia ma plusy i minusy. Fakt, bardzo trudno (choć nie jest to niemożliwe!) się na nią zdalnie włamać. Ale nie ma np. szyfrowanej komunikacji end-to-end.

  4. “We wrześniu tego roku Departament Sprawiedliwości USA informował o zatrzymaniu mężczyzny nazwiskiem Hicham Kabbaj.”

    Z tego co mi wiadomo, w tym roku jeszcze nie było września…

  5. Dołożyłbym mu jeszcze z 10 lat pierdla za FVAT w DOC-ach.

    • W DOC-ach czy w DOCX-ach?

    • W USA czy UK możesz wystawić fakturę na odwrocie biletu kolejowego lub serwetce i jest ona uważana za poprawną i nit jej nie zakwestionuje.

    • Co masz do faktur w doc’u? Też wystawiam w Wordzie faktury, a księgowa na ich podstawie przygotowuje jpk. To odpowiednik faktur wystawianych ręcznie, tylko bardziej estetyczny. W mojej branży (usługi związane z projektami dla klientów indywidualnych) to bardzo wygodne rozwiązanie – przy kilkunastu fakturach miesięcznie nie opłaca się inwestować w dodatkowy program do fakturowania.

    • > Co masz do faktur w doc’u? Też wystawiam w Wordzie faktury, a księgowa na ich podstawie przygotowuje jpk

      U siebie możesz trzymać faktury nawet w formacie Flasha, ale mam nadzieję że wysyłasz je ludziom jednak w PDF-ach, które da się odczytać na każdym systemie i nie rozjeżdżają się z byle powodu. Format DOC to microsoftowa katastrofa pod każdym względem, niekompatybilny nawet z samym sobą.

    • Przecież każdy wie, że word jest do umów, a do faktur to excel :p

    • @Art72 Jestem tylko prostym wklepywaczem faktur w korpo, ale jak dla mnie przesłanie komuś edytowalnej faktury jest co najmniej bardzo odważne ;) chyba że wysyłasz wydruk, a nie plik Worda, ale tu raczej nie o taki przypadek chodzi

    • @rach mistsz

      Chodzi Ci może o to, że przyzwyczajanie klientów do przesyłania faktur i innych dokumentów mailem w docach skutkuje zwiększeniem podatności odbiorców na phishing? No jest tak. Szczególnie w kombinacji z typową konfiguracją Windowsa (ukryte rozszerzenia powodujące widoczność .doc.exe jako .doc itd) i typowym jego użytkownikiem, który szybciej działa niż myśli. Jest też aspekt ułatwionej manipulacji danymi w takim dokumencie, czy to przez odbiorcę czy w ramach MitM.

      Czyli nie tyle w czym faktura została wystawiona, ale jak dostarczona klientowi ma tu znaczenie.

  6. > Metadane można zmanipulować specjalnie w celu mylenia tropów dlatego nigdy nie traktuje się ich jako głównego czy niepodważalnego śladu

    A co to są “niepodważalne ślady”?

    Można fałszować metadane, to można i dane, zwłaszcza zapisane na nośniku elektronicznym.

    Można fałszować (albo podrzucić cudze) odciski linii papilarnych, można podrzucić cudze DNA na miejscu przestępstwa etc. etc.

    • Wynika z tego, że można komuś podrzucić np. pornografię dziecięcą, albo zmanipulować dowody w sprawie ?
      Załóżmy taki scenariusz.
      Ktoś się włamuje do mieszkania. Wyciąga z kompa dysk ofiary. W swoim kompie zmienia daty i godziny w biosie. Wgra powiedzmy 10 zdjęć porno dzieci. Zmieni datę w biosie. Znowu wgra 100 zdjęć itd. Zmieni datę i usunie kilka zdjęć. Znowu doda zdjęcia itd. Ciężko biędzie kryminalnym wyczaić bez głębokiej analizy :)

    • @klonM

      Niestety masz rację.

      Trzeba bardzo kompetentnego biegłego do wykrycia faktu podrzucenia zdjęć na dysk.

      Jednakże jeżeli podrzucił je ktoś kto dokładnie wie jak dany system plików działa od środka, wykrycie takiej podrzutki może być wręcz niemożliwe nawet przez najlepszych biegłych.

    • HJS 2020.01.13 09:18
      Wykrycie tego w dysku SSD jest chyba praktycznie niemożliwe? Dane nie są zapisywane tak samo jak w HDD co stanowi problem. Jak użytkownik nadpisze kilka razy komórkę to według mnie ma już pozamiatane. Szkoda ,że niebezpiecznik nie robi takich artykułów :(

    • Jedyne co może zdradzić to ew. jakieś ślady cyfrowe przy montowaniu dysku oraz niepokrywające się godziny zgrywania z godzinami, w której ta ofiara mogłaby przebywać w mieszkaniu.

      Atakujący musiałby więc dokładnie wiedzieć, o której godzinie ofiara wraca do mieszkania i włącza komputer. Wytypować kilka bezpiecznych dni i na tej podstawie zmieniać godziny i dni wgrywania.

    • > Jedyne co może zdradzić to ew. jakieś ślady cyfrowe przy montowaniu
      > dysku oraz niepokrywające się godziny zgrywania z godzinami, w której
      > ta ofiara mogłaby przebywać w mieszkaniu.

      Może tak być. Jednak jeżeli wgrywający zboczone materiały potrafi bawić się w niskopoziomowe edytowanie właściwości plików, i-węzłów i innych struktur w danym systemie plików, to może fałszować wspomniane przez Ciebie ślady cyfrowe.

      Dyski SSD to oddzielne zagadnienie, bo ich firmware potrafi robić dziwne rzeczy.

      Nasuwa się jednak pytanie: czy robiąc kopię binarną dysku czy to SSD, czy to HDD, biegli analizują firmware tego dysku? I jeśli tak, to jak dogłębnie? Sądziłem, że z zasady zgrywa się tylko zawartość wszystkich sektorów i tyle.

  7. WORD – otwórz dokument => PLIK => Wyszukaj problemy => Przeprowadź inspekcję dokumentu => inspekcja => i pousuwać wszystko

    • DRUKARKA -> Panel sterowania -> Wyłącz drukowanie mikroznaczników.
      Działa tak samo jak w WORDzie

  8. Kolejny BTK wpadł ;)

  9. Ciekawe, ilu takich Kabbajów jest w polskich spółkach państwowych..

  10. Tendencyjnie powtarzał przedmiot zamówienia?
    A nie Notorycznie? Bo tendencji na podstawie przedstawionych danych nie widać…

  11. Nie był zbytnio inteligentny.

  12. Nawet …zgodził się na przepadek mienia. Na szczęście ufff… co by to było jak by się nie zgodził. Naoglądał się pewnie Olsena i zrobił to jak oni, na rympał. A controlling jak to w korpo śpi.

Odpowiadasz na komentarz Wechsler162+

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: