Kradzież „na przedłużacz”. I to inteligentny! Pamiętacie, jak na samym początku funkcjonowania technologii zbliżeniowej wiele osób obawiało się „wysysania” danych z naszych kart płatniczych? Krążyły legendy o tym, jak to w autobusie lub tramwaju źli ludzie z czytnikami mogą inicjować transakcje i przekazywać dane na zasadzie „przedłużacza”. Niestety te czasy wróciły, tyle że „przedłużaczem” może być nasz własny smartfon. Przeróbkę starego pomysłu na kradzież pieniędzy z pomocą technologii zbliżeniowej nieomal „przetestował” ostatnio jeden z moich znajomych
Banki od kilku tygodni przed tym ostrzegają. Był też – mniej więcej miesiąc temu – komunikat CERT (czyli instytucji monitorującej internet w poszukiwaniu nowych oszustw) w tej sprawie. Zwykle czytamy takie komunikaty i ostrzeżenia z przekonaniem, że zagrożenie nas nie dotyczy, bo niby dlaczego ktoś miałby chcieć akurat nas okraść. Ale bolesna prawda jest taka, że dzięki automatyzacji ataków można w krótkim czasie „pomacać” dużą liczbę osób z nadzieją, że ktoś się nabierze.
- Tak Duńczycy przygotowują się na kryzys? Bank centralny wydał nowe zalecenie dotyczące form płatności w sklepach [POWERED BY EURONET]
- Przesiadka na mniejszego konia da zarobić? Akcje polskich małych i średnich spółek mogą przejąć pałeczkę hossy od gigantów [POWERED BY UNIQA TFI]
- Jest nowy ETF oparty na polskich indeksach akcji! I to… dwóch naraz! Czy to ma sens? TFI PZU chce ściągnąć polskie pieniądze na polską giełdę [POWERED BY PZU]
Ale oczywiście większą szansę mają ataki „celowane”, wymierzone w konkretnego posiadacza większej gotówki na koncie lub wyższego limitu na karcie. Jeden z moich znajomych został tak właśnie zaatakowany. Na szczęście obyło się bez strat, ale, szczerze pisząc, wcale nie tak wiele brakowało, by dał się nabrać. Mimo że łatwowierny nie jest.
Kradzież „na przedłużacz”. Banki ostrzegają
„Rdzeniem” takiego ataku jest wyłudzenie danych karty pozwalających na zdalne wypłacenie pieniędzy z bankomatu. Niestety to, co stało się dla nas wielką wygodą, czyli technologia zbliżeniowa, może być też czynnikiem ryzyka. Kiedyś, chcąc ukraść komuś pieniądze z konta lub karty, trzeba było fizycznie mu tę kartę ukraść, ewentualnie „pożyczyć” i skopiować pasek magnetyczny. A potem (lub przedtem) podejrzeć PIN przy jakiejś transakcji. Teraz jest prościej – trzeba „tylko” nakłonić ofiarę do dwóch prostych rzeczy: podania PIN-u do karty w podsuniętej aplikacji i zbliżeniu karty do modułu NFC w smartfonie.
Z tego, co niedawno napisał CERT, to jeden z nowych „modeli” kradzieży pieniędzy z naszych kont i kart. Złodzieje wysyłają fałszywe informacje o konieczności odinstalowania aplikacji mobilnej banku i zainstalowania nowej wersji („by uniknąć kradzieży pieniędzy”). Link do nowej aplikacji jest wysyłany SMS-em. Po jej ściągnięciu klient jest prowadzony „za rączkę”, by podał jak najwięcej danych, w tym PIN do karty. A w finale klient tę kartę powinien zbliżyć do smartfonu z zainstalowaną aplikacją.
Złodzieje mają PIN i dzięki aplikacji przechwytują dane do przeprowadzenia transakcji zbliżeniowej przy bankomacie.
Bankomat (ani żaden inny terminal) nie „zobaczą”, że to złodziejska transakcja, bo z punktu widzenia operacyjnego jest to normalna transakcja – zgadza się PIN, a wygenerowane dane są zgodne z tymi, które zostały zdefiniowane na karcie płatniczej. Można więc ukraść pieniądze, nie mając karty fizycznej ani cyfrowej – wystarczy sprytny „przedłużacz”.
Bankowcy dają jedną, prostą radę: nie odinstalowujemy aplikacji mobilnej swojego banku na podstawie jakiejkolwiek zewnętrznej porady czy polecenia. Żaden bankowiec nigdy nie będzie oczekiwał od swojego klienta, żeby ten odinstalował aplikację. Jeśli dostaniecie takie polecenie, obojętnie jaką drogą, nie reagujcie albo zawiadomcie bank i policję. Jak to możliwe, że mój znajomy mimo wszystko prawie się dał nabrać?
Kradzież „na przedłużacz”: jak zrobić to dobrze?
Otóż to nie była „przypadkowa” komunikacja. Zadzwonił do niego ktoś podający się za pracownika banku. I to zadzwonił z numeru telefonu, z którego zwykle dzwoni bank. W ramach połączenia, zanim członek szajki złodziejskiej się odezwał, było słychać ten sam motyw muzyczny jak przy telefonie na infolinię. Przestępca przeprowadził fachową „autoryzację” klienta. Przedstawił się, zapytał, czy po drugiej stronie jest pan taki a taki, zamieszkały pod takim a takim adresem. A potem powiedział, że z przyczyn bezpieczeństwa musi poprosić o przeinstalowanie aplikacji do nowej wersji. I że takie telefony z działu cybersecurity dostają wszyscy klienci private bankingu.
Minutę po zakończeniu rozmowy przyszedł link do aplikacji (aktywny tylko przez pięć minut, a jakże). Aplikacja bardzo przypominała layoutem tę bankową. Klient miał podać swój numer oraz zdefiniować nowe hasło. A podanie PIN-u do karty i zbliżenie karty do telefonu miało być procedurą pozwalającą na ponowne „spięcie” karty z kontem klienta. I gdyby mój znajomy nie zauważył na jednym z ekranów czegoś podejrzanego (nie napiszę czego, żeby złodzieje nie mieli okazji tego naprawić), to by się dał nabrać. Fraud „na przedłużacz” mógł się udać.
Skąd złodzieje wiedzieli, w którym banku niedoszła ofiara ma konto? Skąd wiedzieli, że jest klientem private bankingu? Skąd znali numer telefonu i adres? Tego oczywiście nie wiemy, ale jest bardzo prawdopodobne, że po prostu włamali się do skrzynki e-mail ofiary i przez kilka tygodni monitorowali ją. A na tę skrzynkę przychodziły rachunki za prąd i telefon (niektóre niezahasłowane) z różnymi cennymi danymi, przyszedł też wyciąg z karty (klient go otworzył, podając kod, ale potem – już w wersji odkodowanej – przesyłał na swój inny e-mail).
Na podstawie tych danych złodzieje mogli opracować wiarygodny wzór ataku. Wiedzieli z którego „banku” mają zadzwonić (używając technologii, da się „podłożyć” fałszywy numer telefonu jako ten, z którego się dzwoni), jakich danych klienta użyć, żeby się uwiarygodnić w jego oczach, jakie dane powinny znajdować się w podesłanej podróbce aplikacji (private banking), PIN do karty, o jakiej nazwie klient powinien podać. Gdyby złodzieje nie zrobili pewnego drobnego błędu w layoucie fałszywej aplikacji, klient by się nie zorientował, co się dzieje.
Chcesz być bezpieczny? Nie możesz wierzyć nawet… własnej matce
Wniosek? Oczywiście nie reagujemy na żadne prośby, groźby i polecenia z zewnątrz (z banku, od firmy kurierskiej, od policjanta, prokuratora, urzędnika skarbowego), abyśmy coś kliknęli, coś ściągnęli, coś zainstalowali. W smartfonie robimy tylko rzeczy, które sami zainicjujemy. Nie ma innej szansy, by się obronić. Metoda „na przedłużacz” jest groźna. Ale niedługo zaczną się fraudy, w których będzie do nas dzwonić nasza własna matka i prosić o pieniądze. Nie ma żartów. Nie reagujemy nawet na prośby własnej matki. Chyba że to my do niej zadzwonimy.
A drugi wniosek? Zabezpieczajmy pocztę, najlepiej podwójnym uwierzytelnianiem. Wiadomo, to upierdliwe, każdorazowe zalogowanie się do poczty zajmuje więcej czasu. Nawet jeśli nie jesteśmy tak naiwni jak swego czasu Michał Dworczyk – typ przekazywał otwartą pocztą poufne dokumenty – to i tak z naszej poczty da się bardzo dużo wyczytać na nasz temat. I jeśli ktoś szykuje celowany atak, to właśnie od włamu na naszą skrzynkę e-mail zacznie przygotowania.
No i niestety trzeba się nauczyć nowej rzeczy: do tej pory byliśmy przekonani, że nikt nam nie ukradnie pieniędzy, jeśli mamy aplikację mobilną banku i uważnie czytamy treść SMS-ów autoryzacyjnych lub powiadomień push dotyczących transakcji. Nawet jeśli ktoś dostanie się na nasze konto (zna login i hasło), to żeby wyprowadzić nam pieniądze, musi nas „zbajerować” i doprowadzić do tego, że sami autoryzujemy przelew, który złodziej zlecił w naszym imieniu.
Niestety to już nieaktualne. Żeby ukraść nam pieniądze z konta (za pośrednictwem karty) metodą „na przedłużacz” wystarczy de facto tylko PIN od tej karty. Plus złodziejska aplikacja na naszym telefonie i karta w zasięgu modułu NFC. Oraz odpowiednio dobrze „sprzedana” klientowi historia.
————————-
CZYTAJ O INNYCH SPOSOBACH ZŁODZIEI:
———————————-
ZAPISZ SIĘ NA NASZE NEWSLETTERY:
>>> W każdy weekend sam Samcik podsumowuje tydzień wokół Twojego portfela. Co wydarzenia ostatnich dni oznaczają dla Twoich pieniędzy? Jakie powinieneś wyciągnąć wnioski dla oszczędności? Kliknij i się zapisz.
>>> Newsletter „Subiektywnie o Świ(e)cie i Technologiach” będziesz dostawać na swoją skrzynkę e-mail w każdy czwartek bladym świtem. Będzie to podsumowanie najważniejszych rzeczy, o których musisz wiedzieć ze świata wielkich finansów, banków centralnych, najpotężniejszych korporacji oraz nowych technologii. Kliknij i się zapisz.
———————————-
WIĘCEJ O CYBERBEZPIECZEŃSTWIE:
———————————
ZAPLANUJ ZAMOŻNOŚĆ Z SAMCIKIEM:
Myślisz, że nie masz szans na żywot rentiera? Że masz za mało oszczędności? Że za mało zarabiasz? Że nie umiał(a)byś dobrze ulokować pieniędzy, gdybyś je miał(a)? W tym e-booku pokazuję, że przy odrobinie konsekwencji, pomyślunku i, posiadając dobry plan, niemal każdy może zostać rentierem. Jak bezboleśnie oszczędzać, prosto inwestować i jak już teraz zaplanować swoje rentierstwo – o tym jest ten e-book. Praktyczne rady i wskazówki. Zapraszam do przeczytania – to prosty plan dla Twojej niezależności finansowej. Polecam też trzy inne e-booki: o tym, jak zrobić porządek w domowym budżecie i raz na zawsze wyjść z długów, jak bez podejmowania ryzyka wycisnąć więcej z poduszki finansowej i jak oszczędzać na przyszłość dzieci.
———————————
ZOBACZ SUBIEKTYWNY KANAŁ W YOUTUBIE:
„Subiektywnie o Finansach” jest też na Youtubie. Raz w tygodniu „Magazyn Subiektywnie o Finansach”, a poza tym rozmowy o Waszych pieniądzach z mądrymi ludźmi, komentarze i wideofelietony oraz poradniki i zapisy edukacyjnych webinarów. Koniecznie subskrybuj kanał „Subiektywnie o Finansach” na platformie Youtube.
zdjęcie tytułowe: Hansuan Fabregas/Pixabay
