Internet obiegła w ostatnich godzinach kolejna masakryczna historia o tym jak, przy udziale operatora telekomunikacyjnego można ukraść komuś pieniądze z konta dzięki… najzwyklejszemu w świecie przekierowaniu połączeń telefonicznych na inny numer.
Okazuje się, że u przynajmniej kilku operatorów takie przekierowanie jest możliwe po podaniu tylko kilku danych: PESEL-u i nazwiska panieńskiego matki klienta. I tę słabość potrafią wykorzystać złodzieje, by dostać się na nasze konta.
- Szwecja radośnie (prawie) pozbyła się gotówki, przeszła na transakcje elektroniczne i… ma poważny problem. Wcale nie chodzi o dostępność pieniędzy [POWERED BY EURONET]
- Kiedy bank będzie umiał „czytać w myślach”? Sztuczna inteligencja zaczyna zmieniać nasze relacje z bankami. I chyba wiem, co będzie dalej [POWERED BY BNP PARIBAS]
- ESG w inwestowaniu: po fali entuzjazmu przyszła weryfikacja. BlackRock mówi „pas”. Jak teraz będzie wyglądało inwestowanie ESG-style? [POWERED BY UNIQA TFI]
Wejść na konto bez loginu i hasła? To możliwe
Teoretycznie rzecz wydaje się nie do zrobienia. Jak można dostać się na czyjeś konto mając tylko jego PESEL i nazwisko panieńskie matki? A login? A hasło? A SMS autoryzacyjny?
Z ostrzeżenia, które wystawił w ostatnich godzinach mBank wynika, że to jednak możliwe, o ile złodziej skorzysta z nietypowego rozwiązania: nie będzie próbował włamać się do konta używając loginu i hasła, lecz poprzez… sparowanie z tym kontem innego telefonu, niż ten należący do klienta.
W mBanku parowanie nowego smartfona z aplikacją mobilną odbywa się dwustopniowo. Najpierw trzeba ściągnąć aplikację ze sklepu Google lub z AppStore, potem uruchomić ją i podać PESEL oraz nazwisko panieńskie matki, a wreszcie czekać na połączenie głosowe z mBankiem.
Podczas rozmowy z automatem podawane jest kilkucyfrowe hasło, które trzeba wpisać w aplikacji. Dzięki temu bank wie, że osoba, która prosi o przyłączenie aplikacji mobilnej do konta (w domyśle: klient) to ten sam delikwent, który wcześniej podał swoje dane osobowe i że ma w ręku tego samego smartfona, na którego ściągnął aplikację. Czyli: swój gość.
Przekierowanie połączeń na numer złodzieja i… gotowe
Gdzie tkwi luka? Jeśli złodziejowi uda się przeprowadzić u operatora telekomunikacyjnego operację przekierowania połączeń głosowych na inny numer, to… mBank zadzwoni do złodzieja, a nie do klienta! Co zaś trzeba zrobić, żeby w firmie telekomunikacyjnej ustawić przekierowanie? Czasem wystarczy tylko PESEL i nazwisko panieńskie matki.
Pomysłowy złodziej – a z publikacji na Niebezpiecznik.pl wynika, że są już pierwsze ofiary – połączył dwa słabe punkty w uruchamianiu usługi telekomunikacyjnej i bankowej.
Czytaj: Jak okradziono czytelnika serwisu Niebezpiecznik.pl
Z punktu widzenia telekomu przekierowanie połączeń na inny numer to niegroźna procedura i nie ma powodu, by wymagać od klienta wielu danych do jej uruchomienia (kwestia wygody). Bo nawet jeśli ktoś przekieruje połączenia w moim imieniu na jakiś inny numer, to jak może mi w te sposób zaszkodzić?
Z kolei mBank uznał (też dla wygody klienta), że przy parowaniu smartfona z kontem bankowym nie będzie go prosił o loginy i hasła – wystarczy PESEL i nazwisko panieńskie matki oraz wymiana haseł z automatem (żeby potwierdzić, że osoba „zgadza się” ze smartfonem). Przecież tu nie chodzi o zakładanie nowego konta, tylko o przypięcie kolejnego smartfona do zarządzania już istniejącym, więc po co szaleć z zabezpieczeniami?
Poza tym przez smartfona i tak nie można wyprowadzić z konta dużych pieniędzy (domyślny limit transakcji do 5000 zł).
Jak, znając tylko PESEL i nazwisko matki klienta, dostać się na jego konto bankowe?
Czego potrzebuje złodziej, żeby przeprowadzić kradzież pieniędzy z naszego konta nie znając ani loginu, ani hasła, ani nie potrzebując żadnych SMS-ów autoryzacyjnych? Well, wystarczy PESEL oraz nazwisko panieńskie matki oraz wiedza o tym u którego operatora i pod jakim numerem telefonu mamy zarejestrowaną usługę telekomunikacyjną.
Jak te dane pozyskać? Można włamać się na konto pocztowe i porządnie je przetrzepać (na pewno kiedyś wysyłaliście komuś skan dowodu, prawda?), można zadzwonić do ofiary i podać się za pracownika telekomu, który przeprowadza weryfikację i prosi pilnie o podanie potrzebnych informacji… Opcji jest sporo.
Nie jest to robota ani łatwa, ani szybka (a potencjalny zarobek niewielki, ze względu na ograniczenia wartości transakcji, które można zlecić przez smartfona), ale wykonalna, co widać na konkretnych przykładach okradzionych ludzi. O tym, że to nie przelewki świadczy też wystawione przez mBank ostrzeżenie.
Tutaj znajdziesz: ostrzeżenie mBanku przed nowym zagrożeniem
Pięć zasad, które uchronią przed atakiem
Jak się ustrzec przed takim atakiem? Dobra wiadomość jest taka, że zapewne ten konkretny trik jest już spalony. Bank pewnie trochę zaostrzy weryfikację tożsamości przy parowaniu przez klienta smartfona z kontem, zaś telekomy – weryfikację przy zleceniach przekierowania numeru. Tym niemniej ten przestępczy patent musi nas na kilka rzeczy uczulić.
Czytaj też: Top 5 sposobów cyberzłodziei, by nas okraść. Na który dasz się nabrać? Oby na żaden…
Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny lepiej nas chronić?
1. Czytajmy SMS-y z banku i nie tylko z banku
Zarówno telekom, jak i mBank poinformują nas SMS-em o zmianach w konfiguracji usług. Telekom wyśle SMS-a, iż zgodnie z rzekomo naszym życzeniem przekierowuje rozmowy na inny numer, zaś bank – że zmienia się przypięcie smartfona do aplikacji mobilnej na inne urządzenie. Czytanie SMS-ów i szybka reakcja zwykle wystarcza, by przechytrzyć przestępców.
2. Zabezpieczajmy dobrze hasła do poczty elektronicznej…
…i ustawmy sobie powiadomienia o logowaniach z nowych urządzeń (w niektórych serwisach, jak np. w poczcie Google, jest to w standardzie, nie trzeba nic ustawiać). Jeśli ktoś przechwyci nasze hasła do poczty i się zaloguje – dostaniemy informację.
3. Nie podawajmy żadnych istotnych danych przez telefon
Jeśli zadzwoni do nas ktoś podający się za bankiera, pracownika telekomu, albo – dajmy na to – papieża, i będzie chciał poznać jakieś nasze dane osobowe, natychmiast się rozłączajmy. Bezpieczne są te połączenia, które sami nawiązujemy. Te, które do nas przychodzą, zawsze mogą pochodzić od oszustów, złodziei lub wyłudzaczy.
4. Ustawmy w bankowości internetowej niskie limity na transakcje przez smartfona
To jest zewnętrzne urządzenie, bez przerwy podpięte do internetu, mające furę aplikacji i mało programów antywirusowych. Lepiej żeby przez smartfona nie można było wyprowadzić z konta zbyt dużych pieniędzy.
5. Ustawmy w banku powiadomienia o wszystkich ruchach na koncie.
Niech bank informuje nas SMS-ami o zmianach salda, zleceniach płatniczych, przypięciach, odpięciach i wszystkim co dzieje się na koncie. Czytając te SMS-y szybko dowiemy się o jakichś niepokojących wydarzeniach.
Czytaj też: Wirusy masowo wykradają nam loginy i hasła? Te banki zaczynają używać do logowania klientów… ich głosu
Czytaj też: Wyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi?
Czytaj też: Perwersja? Ten wirus zaatakuje twoje pieniądze wtedy, kiedy czujesz, że są najbezpieczniejsze
ilustracja tytułowa: Mimzy/Pixabay.com
