8 kwietnia 2021

Czy wyciek danych z Facebooka zaowocuje falą ataków phishingowych na klientów banków? „Zauważyliśmy już coś niepokojącego”. Jak się bronić?

Czy wyciek danych z Facebooka zaowocuje falą ataków phishingowych na klientów banków? „Zauważyliśmy już coś niepokojącego”. Jak się bronić?

Wyciek danych z Facebooka zaalarmował polskich bankowców. W „ciemnej stronie” sieci znalazły się – dostępne dla każdego – bazy danych setek milionów użytkowników, w tym z Polski. Wśród nich e-maile i numery telefonu przypisane do kont facebookowych. Te dane mogą kusić złodziei naszych pieniędzy. „Zauważyliśmy wzrost aktywności phishingu, nie wykluczamy, że próbują atakować naszych klientów z użyciem tych danych” – mówi przedstawiciel jednego z banków. Nie ma powodów do paniki, ale warto zwiększyć ostrożność

Wyciek danych 533 mln użytkowników Facebooka – w tym 2,5 mln z Polski – może mieć konsekwencje dla części z nas. Co prawda wśród wykradzionych danych nie ma zbyt wielu takich, które można byłoby uznać za strategicznie istotne, ale wśród nich są adresy e-mail i numery telefonów. A to już sporo, biorąc pod uwagę, że żyjemy w cyfrowym świecie, w którym nawet takie dane mogą mieć wartość.

Zobacz również:

Co dokładnie wykradziono Facebookowi? Zapraszam do przejrzenia krótkiego podsumowania tego megawycieku. Od razu uspokajam: nie zdekonspirowano żadnych haseł, więc przynajmniej nie trzeba wykonywać żadnych nerwowych ruchów. Co nie znaczy, że nie należy wzmocnić ostrożności. Wyciek danych może mieć pewne niemiłe konsekwencje, o ile zrobimy coś głupiego.

Na Homodigital.pl, czyli subiektywnie o technologii jest artykuł „Jak dopadł nas wyciek z Facebooka”, który opisuje historię zaprzyjaźnionego z naszym serwisem Pana X. Stracił on dostęp do swojego konta na Facebooku i nie tylko (nie mamy pewności, że miało to związek z wyciekiem, ale mogło mieć ze względu na koincydencję czasową). W artykule znajdziecie też informacje o tym, jak sprawdzić, czy też padliście ofiarą wycieku danych z Facebooka.

Z jednego z banków dowiedziałem się dzisiaj, że na poważnie badają pewną hipotezę dotyczącą powiązania wycieku danych z Facebooka (a właściwie ich udostępnieniem, bo prawdopodobnie dane zostały ukradzione już kilka miesięcy temu, teraz dopiero „wyciekła” informacja na ten temat oraz zostały udostępnione w darknecie same dane – tutaj więcej o darknecie) z wzrostem intensywności ataków phishingowych na jego klientów.

Czytaj koniecznie: Prywatność w sieci. Jak chronić ją przed hakerami, szpiegami, złodziejami i… rządem? Krótka lista rzeczy, które warto zrobić, żeby surfować bezpiecznie

Czytaj też: Masz stronę internetową, e-sklep, bloga? Publikujesz w sieci? Jedną z podstawowych usług potrzebnych do ich działania jest hosting. Jak wybrać taki, z którym nie przeżyjesz „blackoutu”?

Wyciek danych z Facebooka a twoje pieniądze w banku. Lepiej uważać

Przestępcy, którzy korzystają z udostępnionych za darmo w sieci naszych danych jako użytkowników Facebooka, mogą wysyłać nam fałszywe e-maile, podszywając się pod bank. Najczęściej jest to informacja o tym, że musimy zresetować nasze hasło ze względów bezpieczeństwa, albo z jakiegoś innego powodu zalogować się do banku. Nazywa się to phishingiem i może przybrać bardzo perfidną formułę. E-mail może być wysłany z adresu wyglądającego identycznie jak ten, z jakiego wysyła nam komunikaty nasz bank (o ile złodziej dowie się, w którym banku mamy konto – a może spróbować to zrobić, jeśli mamy proste hasło do e-maila i zostanie ono odgadnięte)

Klikając w „podstawiony” w e-mailu link „do banku” i wpisując na stronie internetowej kontrolowanej przez przestępców login i hasło do bankowości elektronicznej oddajemy im dostęp do naszego konta bankowego. To oczywiście jeszcze za mało, żeby ukraść nam pieniądze, ale po krótkim „spacerze” po ROR-ach, kontach oszczędnościowych i depozytowych danego klienta przestępcy są w stanie wytypować ofiarę, nad którą warto „popracować”. Wybierają zwykle takich konsumentów, którym można ukraść co najmniej kilkadziesiąt tysięcy złotych.

Mając nasz numer telefonu – a on też niestety jest na liście danych, które wyciekły z Facebooka – mogą np. sfingować SMS-a z informacją, która ma nas znieczulić na ich kolejny krok (np. „za kilka minut otrzymasz instrukcję zabezpieczenia pieniędzy w związku z wykrytym przez nas błędem systemowym, zatwierdź ją w swoim telefonie komórkowym”).

Chodzi oczywiście o nakłonienie nas do bezrefleksyjnego zatwierdzenia transakcji przelewu lub zlecenia zmian na koncie, przygotowanego przez przestępców w kolejnym kroku. Przelew – o ile nie przeczytamy dokładnie jaką transakcję zatwierdzamy – poleci oczywiście na rachunek należący do złodziei. A zlecenie będzie dotyczyło zmiany numeru telefonu służącego do zatwierdzania transakcji bankowych.

Po „odpięciu” naszego telefonu od bankowości elektronicznej przestępcy mogą próbować „przypiąć” do niej swój telefon i już bez problemu transferować pieniądze z naszego rachunku. A my nawet się o tym nie dowiemy, bo potwierdzenia wykonanych transakcji nie będą już do nas przychodziły.

Czytaj też: Pan Kamil jest biedniejszy o 200.000 zł. Wszystko przez to, że telekom pozwolił „sklonować” kartę SIM do jego telefonu

Jakkolwiek bankowcy, którzy badają niepokojący wzrost przypadków phishingu nie mają bezpośrednich dowodów na to, że ma on związek z ujawnieniem danych użytkowników Facebooka, to zauważyli niepokojące trendy, które mogą to potwierdzać (o szczegółach, ze względów bezpieczeństwa, nie chcą mówić).

Czytaj też: Zarządzanie hasłami dla opornych. Jak je zabezpieczyć przed złodziejami haseł?

Uwaga na fałszywe aktualizacje aplikacji wysyłane SMS-ami

Jeśli nasze e-mail i numer telefonu wpadną w ręce ludzi mających większe umiejętności złodziejskie, to możliwy jest jeszcze jeden atak, z wykorzystaniem smartfona. Na numer, w którego posiadaniu są przestępcy, może zostać wysłane powiadomienie o konieczności instalacji jakiegoś oprogramowania, aktualizacji jakiejś aplikacji itp.

Oczywiście chodzi tylko o to, byśmy kliknęli link w SMS-ie (takie powiadomienia zwykle przychodzą SMS-ami), zaś w tym linku znajduje się wirus, za pomocą którego przestępcy mogą przejmować kontrolę nad naszym smartfonem albo np. czytać SMS-y autoryzacyjne, które bank nam wysyła.

Mając login do naszego konta w banku, hasło do tego konta oraz możliwość czytania SMS-ów autoryzacyjnych przychodzących na nasz telefon można już dość łatwo wyprowadzić pieniądze z naszego konta. Ratunkiem może być właściwie tylko nasz refleks (bo przychodzące powiadomienia o przelewach mogą nas zaalarmować, o ile w porę je odbierzemy i o ile przestępcy nie będą ich zdalnie kasowali).

Pewnym zabezpieczeniem przed tymi wszystkimi nieprzyjemnościami jest dwuskładnikowe uwierzytelnianie przy logowaniu, które mają obowiązek stosować banki. Teoretycznie powinno być tak, że każde logowanie z nowego urządzenia powinno być potwierdzane przez klienta nie tylko loginem i hasłem, ale też kodem jednorazowym albo poprzez autoryzację mobilną. Jeśli system działa prawidłowo, powinniśmy dostać na nasze telefon SMS-a albo powiadomienie push o tym, że logujemy się do banku i z prośbą o potwierdzenie tego ruchu.

Chyba, że wcześniej złodzieje wyślą nam SMS-a o treści np. „potwierdź logowanie do swojego banku, żeby potwierdzić swoje dane i uniknąć zablokowania konta”, a my to łykniemy, niczym młode pelikany i rzeczywiście potwierdzimy zleconą przez przestępców czynność.

Czytaj też: Dlaczego nasze smartfony są tak kiepsko zabezpieczone? Jak zadbać o to, żeby urządzenie, które jest skarbnicą naszej prywatności, było trudniejsze do zhakowania?

Vishing, czyli „telefon z banku”

Nie można też wykluczyć, że uzyskane przez przestępców numery telefonu zostaną wykorzystane do prób wyłudzenia naszych danych dostępowych do kont bankowych – albo innych wrażliwych danych, np. nazwiska panieńskiego mamy – przez telefon. Niestety, o ile coraz większa część z nas stara się uważać na e-maile przychodzące z dziwnych adresów, to rzadko bierzemy na poważnie scenariusz, że ktoś mógłby być na tyle bezczelny, aby podszywać się pod pracownika banku.

A tymczasem jest to nie tylko możliwe, lecz coraz częściej się dzieje. Oczywiście nikt nie zapyta nas o login i hasło do bankowości elektronicznej – to by było zbyt podejrzane – ale wspomniane wyżej nazwisko panieńskie matki oraz informacje o tym jakie produkty bankowe posiadamy może być przydatna.

Nie wiem czy są banki, które nadal mają tę dziurę, ale kiedyś zdarzało się, że przez telefon, podając telekod i nazwisko panieńskie matki, można było np. dopisać nowy rachunek do przelewów zaufanych (takich, które można wypuścić bez autoryzacji SMS-em lub aplikacją mobilną). Wydaje mi się, że dziś jest to już niemożliwe, ale nie wiem czy we wszystkich bankach. Mając taki „skarb” w ręku złodzieje już na pewno spróbują w jakiś sposób dobrać się do naszego loginu i hasła do banku, bo to ostatni krok, który dzieli ich od naszych pieniędzy.

Czytaj też: „Halo, dzwonię z banku. Proszę podać datę urodzenia”. A połączenie z nieznanego numeru. Co robić: rozłączyć się, uwierzyć? Jak zweryfikować rozmówcę?

Wyciek danych to „normalka”. Nie ma co panikować. Wystarczy zwykła podejrzliwość, żeby się obronić

Oczywiście: można zmienić numer telefonu i e-mail, żeby uniknąć przykrych konsekwencji wycieku danych z Facebooka. Ale to tylko krótkoterminowe remedium. Generalnie trzeba żyć tak, jakby nasz login i hasło do banku były w każdej chwili w posiadaniu złodziei. Czyli tak, jakby wyciek danych był wydarzeniem permanentnym.

Mając z tyłu głowy takie prawdopodobieństwo nie klikamy żadnych linków w e-mailach „z banku”, nie klikamy żadnych linków w SMS-ach od nieznanych nadawców oraz bardzo uważnie czytamy zarówno SMS-y autoryzacyjne, jak i powiadomienia push o transakcjach. Zanim cokolwiek autoryzujemy, zawsze upewniamy się, czy to jest coś, co chcemy zatwierdzić.

No i – dotyczy to zwłaszcza tych, którzy kupują lub sprzedają na OLX i innych tego typu tablicach ogłoszeń – nigdy nie poddajemy się prośbom o to, żeby zapłacić za coś (albo przyjąć płatność) poprzez kliknięcie podesłanego linka. To zawsze my inicjujemy transakcję płatniczą. Jeśli damy się nabrać na kliknięcie czegokolwiek, mogą nas spotkać takie konsekwencje, jakie niedawno opisałem na „Subiektywnie o finansach”.

Stosowanie tych kilku prostych zasad w zupełności wystarczy, żeby nie dać się okraść. Nie ma co wpadać w panikę. Nawet jeśli nikt nie ukradł naszych danych z Facebooka, to mógł je ukraść w inny sposób (przecież e-maile i numery telefonu zostawiamy w dziesiątkach różnych miejsc w sieci). Wyciek danych to dziś, niestety, „normalka”. Uratuje nas wrodzona podejrzliwość i ostrożność.

Czytaj więcej na ten temat: Akceptujesz „ciasteczka”? Oddajesz nieświadomie więcej wiedzy na swój temat, niż myślisz

Czytaj też: Czy cyfryzacja twojej firmy może uszczęśliwić klientów? Które jej aspekty mają największe znaczenie?

———–

Posłuchaj podcastu „Finansowe sensacje tygodnia”, odc. 49

W tym odcinku podcastu „Finansowe sensacje tygodnia” rozmawiamy o tym, ile kosztuje – i o ile podrożeje w najbliższym czasie – woda, o tym czy moglibyśmy naśladować Brytyjczyków i też otworzyć restauracje oraz puby na świeżym powietrzu, o tym jak banki pomagają nam uniknąć… opłat bankowych oraz o rowerowej bańce spekulacyjnej. W ciągu roku wzrost cen gotowych rowerów sięgnął 25%, a części rowerowych – o połowę. O co tu chodzi? Zapraszam do posłuchania!

Skorzystaj z najlepszych bankowych okazji od Maćka Samcika

Sprawdź „Okazjomat Samcikowy” – aktualizowane na bieżąco rankingi lokat, kont oszczędnościowych, a także zestawienie dostępnych dziś okazji bankowych (czyli 200 zł za konto, 300 zł za kartę…). I zacznij zarabiać. Masz zero na lokacie i koncie oszczędnościowym? Zarabiaj przynajmniej tak:

>>> Ranking najwyżej oprocentowanych depozytów

>>> Ranking kont oszczędnościowych. Gdzie zanieść pieniądze?

>>> Przegląd aktualnych promocji w bankach. Kto zapłaci ci kilka stówek?

obrazek tytułowy: Austin Distel/Unsplash

 

Subscribe
Powiadom o
4 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
BdB
6 miesięcy temu

Taka baza danych pozwala oszustom na spersonalizowany atak. Dzwonią rzekomo z banku, mówią konkretnie do nas po imieniu i nazwisku, zapowiadają, że zaraz wyślą maila z linkiem… Mało kto wtedy podczas rozmowy zweryfikuje poprawność linka (jak durny Citibank potrafi wysłać coś co na ekranie wygląda jak link do strony A, a w rzeczywistości kieruje do strony B).

gosc
6 miesięcy temu

Dwa dni temu serwis cybernews.com poinformował, że na sprzedaż zostały wystawione dane 500 mln użytkowników LinkedIn zawierające imię i nazwisko, telefon ,email, miejsce pracy itp. Sprzedający upublicznił dane 2mln użytkowników aby udowodnić, że jest w posiadaniu takiej bazy danych. Scraped data of 500 million LinkedIn users being sold online, 2 million records leaked as proof https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/ Serwis cybernews.com dodał te dane (2mln użytkowników) do swojej własnej bazy wycieków: https://cybernews.com/personal-data-leak-check/ Co do Facebooka to polecam artykuł: [AKTUALIZACJA #3] Dane 533 milionów użytkowników Facebooka wyciekły https://niebezpiecznik.pl/post/facebook-wyciek-dane-533-milionow-uzytkownikow/ Można się z niego dowiedzieć, że serwis https://haveibeenpwned.com/ udostępnił sprawdzenie, czy ktoś jest ofiarą tego wycieku.… Czytaj więcej »

gosc
6 miesięcy temu

„Teoretycznie powinno być tak, że każde logowanie z nowego urządzenia powinno być potwierdzane przez klienta nie tylko loginem i hasłem, ale też kodem jednorazowym albo poprzez autoryzację mobilną.” Są sytuacje, w których przestępcy potrafią bardzo dobrze podszyć się pod urządzenie klienta, którego konto chcą przejąć. Polecam artykuł z3s o wykradaniu ciasteczek, które umożliwiają przestępcom logowanie się do serwisów internetowych bez znajomości loginu i hasła. Czasami można ominąć nawet 2FA. Gdzie przestępcy kupują dostępy do kont Polaków i polskich firm https://zaufanatrzeciastrona.pl/post/gdzie-przestepcy-kupuja-dostepy-do-kont-polakow-i-polskich-firm/ Ciekawą funkcją Marketu Genesis jest możliwość pobrania gotowego fingerprintu przeglądarki. Po „zakupie” wybranej ofiary możemy wygenerować specjalny plik, który następnie… Czytaj więcej »

wiesiek
6 miesięcy temu

jedyna skuteczna obrona -nie miec tam konta ,lub miec ,ale na slupa-na nr tel slupa .

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!