16 stycznia 2018

Telekom może pomóc złodziejowi ukraść pieniądze z twojego konta? To możliwe! Jak się bronić?

Internet obiegła w ostatnich godzinach kolejna masakryczna historia o tym jak, przy udziale operatora telekomunikacyjnego można ukraść komuś pieniądze z konta dzięki… najzwyklejszemu w świecie przekierowaniu połączeń telefonicznych na inny numer.

Okazuje się, że u przynajmniej kilku operatorów takie przekierowanie jest możliwe po podaniu tylko kilku danych: PESEL-u i nazwiska panieńskiego matki klienta. I tę słabość potrafią wykorzystać złodzieje, by dostać się na nasze konta.

Czytaj też: Wirus zaatakuje cię na smartfonie. Podszyje się pod aplikację bankową i spróbuje ukraść pieniądze. Jak się bronić? Przeczytaj

Wejść na konto bez loginu i hasła? To możliwe

Teoretycznie rzecz wydaje się nie do zrobienia. Jak można dostać się na czyjeś konto mając tylko jego PESEL i nazwisko panieńskie matki? A login? A hasło? A SMS autoryzacyjny?

Z ostrzeżenia, które wystawił w ostatnich godzinach mBank wynika, że to jednak możliwe, o ile złodziej skorzysta z nietypowego rozwiązania: nie będzie próbował włamać się do konta używając loginu i hasła, lecz poprzez… sparowanie z tym kontem innego telefonu, niż ten należący do klienta.

W mBanku parowanie nowego smartfona z aplikacją mobilną odbywa się dwustopniowo. Najpierw trzeba ściągnąć aplikację ze sklepu Google lub z AppStore, potem uruchomić ją i podać PESEL oraz nazwisko panieńskie matki, a wreszcie czekać na połączenie głosowe z mBankiem.

Podczas rozmowy z automatem podawane jest kilkucyfrowe hasło, które trzeba wpisać w aplikacji. Dzięki temu bank wie, że osoba, która prosi o przyłączenie aplikacji mobilnej do konta (w domyśle: klient) to ten sam delikwent, który wcześniej podał swoje dane osobowe i że ma w ręku tego samego smartfona, na którego ściągnął aplikację. Czyli: swój gość.

Przekierowanie połączeń na numer złodzieja i… gotowe

Gdzie tkwi luka? Jeśli złodziejowi uda się przeprowadzić u operatora telekomunikacyjnego operację przekierowania połączeń głosowych na inny numer, to… mBank zadzwoni do złodzieja, a nie do klienta! Co zaś trzeba zrobić, żeby w firmie telekomunikacyjnej ustawić przekierowanie? Czasem wystarczy tylko PESEL i nazwisko panieńskie matki.

Pomysłowy złodziej – a z publikacji na Niebezpiecznik.pl wynika, że są już pierwsze ofiary – połączył dwa słabe punkty w uruchamianiu usługi telekomunikacyjnej i bankowej.

Czytaj: Jak okradziono czytelnika serwisu Niebezpiecznik.pl

Z punktu widzenia telekomu przekierowanie połączeń na inny numer to niegroźna procedura i nie ma powodu, by wymagać od klienta wielu danych do jej uruchomienia (kwestia wygody). Bo nawet jeśli ktoś przekieruje połączenia w moim imieniu na jakiś inny numer, to jak może mi w te sposób zaszkodzić?

Z kolei mBank uznał (też dla wygody klienta), że przy parowaniu smartfona z kontem bankowym nie będzie go prosił o loginy i hasła – wystarczy PESEL i nazwisko panieńskie matki oraz wymiana haseł z automatem (żeby potwierdzić, że osoba „zgadza się” ze smartfonem). Przecież tu nie chodzi o zakładanie nowego konta, tylko o przypięcie kolejnego smartfona do zarządzania już istniejącym, więc po co szaleć z zabezpieczeniami?

Poza tym przez smartfona i tak nie można wyprowadzić z konta dużych pieniędzy (domyślny limit transakcji do 5000 zł).

Jak, znając tylko PESEL i nazwisko matki klienta, dostać się na jego konto bankowe?

Czego potrzebuje złodziej, żeby przeprowadzić kradzież pieniędzy z naszego konta nie znając ani loginu, ani hasła, ani nie potrzebując żadnych SMS-ów autoryzacyjnych? Well, wystarczy PESEL oraz nazwisko panieńskie matki oraz wiedza o tym u którego operatora i pod jakim numerem telefonu mamy zarejestrowaną usługę telekomunikacyjną.

Jak te dane pozyskać? Można włamać się na konto pocztowe i porządnie je przetrzepać (na pewno kiedyś wysyłaliście komuś skan dowodu, prawda?), można zadzwonić do ofiary i podać się za pracownika telekomu, który przeprowadza weryfikację i prosi pilnie o podanie potrzebnych informacji… Opcji jest sporo.

Nie jest to robota ani łatwa, ani szybka (a potencjalny zarobek niewielki, ze względu na ograniczenia wartości transakcji, które można zlecić przez smartfona), ale wykonalna, co widać na konkretnych przykładach okradzionych ludzi. O tym, że to nie przelewki świadczy też wystawione przez mBank ostrzeżenie.

Tutaj znajdziesz: ostrzeżenie mBanku przed nowym zagrożeniem

Czytaj też: Kradzieże pieniędzy z naszych kont. Sądy każą bankom zwracać pieniądze. Albo udowadniać „rażące niedbalstwo”!

Pięć zasad, które uchronią przed atakiem

Jak się ustrzec przed takim atakiem? Dobra wiadomość jest taka, że zapewne ten konkretny trik jest już spalony. Bank pewnie trochę zaostrzy weryfikację tożsamości przy parowaniu przez klienta smartfona z kontem, zaś telekomy – weryfikację przy zleceniach przekierowania numeru. Tym niemniej ten przestępczy patent musi nas na kilka rzeczy uczulić.

Czytaj też: Top 5 sposobów cyberzłodziei, by nas okraść. Na który dasz się nabrać? Oby na żaden…

Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny lepiej nas chronić?

1. Czytajmy SMS-y z banku i nie tylko z banku

Zarówno telekom, jak i mBank poinformują nas SMS-em o zmianach w konfiguracji usług. Telekom wyśle SMS-a, iż zgodnie z rzekomo naszym życzeniem przekierowuje rozmowy na inny numer, zaś bank – że zmienia się przypięcie smartfona do aplikacji mobilnej na inne urządzenie. Czytanie SMS-ów i szybka reakcja zwykle wystarcza, by przechytrzyć przestępców.

2. Zabezpieczajmy dobrze hasła do poczty elektronicznej…

…i ustawmy sobie powiadomienia o logowaniach z nowych urządzeń (w niektórych serwisach, jak np. w poczcie Google, jest to w standardzie, nie trzeba nic ustawiać). Jeśli ktoś przechwyci nasze hasła do poczty i się zaloguje – dostaniemy informację.

3. Nie podawajmy żadnych istotnych danych przez telefon

Jeśli zadzwoni do nas ktoś podający się za bankiera, pracownika telekomu, albo – dajmy na to – papieża, i będzie chciał poznać jakieś nasze dane osobowe, natychmiast się rozłączajmy. Bezpieczne są te połączenia, które sami nawiązujemy. Te, które do nas przychodzą, zawsze mogą pochodzić od oszustów, złodziei lub wyłudzaczy.

4. Ustawmy w bankowości internetowej niskie limity na transakcje przez smartfona

To jest zewnętrzne urządzenie, bez przerwy podpięte do internetu, mające furę aplikacji i mało programów antywirusowych. Lepiej żeby przez smartfona nie można było wyprowadzić z konta zbyt dużych pieniędzy.

5. Ustawmy w banku powiadomienia o wszystkich ruchach na koncie.

Niech bank informuje nas SMS-ami o zmianach salda, zleceniach płatniczych, przypięciach, odpięciach i wszystkim co dzieje się na koncie. Czytając te SMS-y szybko dowiemy się o jakichś niepokojących wydarzeniach.

Czytaj też: Wirusy masowo wykradają nam loginy i hasła? Te banki zaczynają używać do logowania klientów… ich głosu

Czytaj teżWyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi?

Czytaj też: Perwersja? Ten wirus zaatakuje twoje pieniądze wtedy, kiedy czujesz, że są najbezpieczniejsze

ilustracja tytułowa: Mimzy/Pixabay.com

 

10
Dodaj komentarz

avatar
7 Comment threads
3 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
10 Comment authors
blad201Maciej SamcikwandrzejRobal_plAutor Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
pm7
Gość
pm7

„1. […] Czytanie SMS-ów i szybka reakcja zwykle wystarcza, by przechytrzyć przestępców.” Chyba, że złodziej atatkuje np. o 5 rano. „3. Nie podawajmy żadnych istotnych danych przez telefon Jeśli zadzwoni do nas ktoś podający się za bankiera, pracownika telekomu, albo – dajmy na to – papieża, i będzie chciał poznać jakieś nasze dane osobowe, natychmiast się rozłączajmy.” Niby dobra rada, ale banki notorycznie oczekują, że udowodnimy kim jesteśmy zanim powiedzą, czego chcą. Kiedyś niektóre banki oferowały „hasło zwrotnego kontaktu telefonicznego”, dzięki czemu mogli udowodnić, że to oni dzwonią, ale jakoś mało popularne to chyba. „4. Ustawmy w bankowości internetowej niskie… Czytaj więcej »

Autor
Gość
Autor

„Architektura Androida izoluje aplikacje jedna od drugiej, co teoretycznie umożliwia zachowanie wysokiego poziomu bezpieczeństwa nawet gdy zainstaluje się wirusa.” – Większej bzdury o najgorszym „OS” na świecie jeszcze nie przeczytałem.

Tomek
Gość
Tomek

Doskonała uwaga odnośnie punktu 3. Właśnie miałem pisać do autora bloga aby zwrócić na to uwagę. Jest duża dysproporcja w wymaganiach autoryzacji między bankiem a klientem. Kilka miesięcy temu otrzymałem telefon z jednego z banków w którym miałem konto. Bank nie chciał ujawnić o co chodzi bez autoryzacji rozmówcy-klienta. W połowie odpytywania pytania wydały mi się zbyt szczegółowe więc spytałem jak mogę zweryfikować że pani po drugiej stronie słuchawki faktycznie reprezentuje bank a nie próbuje wyłowić ode mnie danych. Nie otrzymałem odpowiedzi. Poza związkiem przyczynowo-skutkowym (poprosiłem o kontakt tel., za chwilę dzwoni bank więc mam podstawy sądzić że to faktycznie… Czytaj więcej »

Rusek
Gość
Rusek

W nowej aplikacji Aliora jest identyczna aktywacja aplikacji co w mBanku. Też dzwoni automat z kodem. Skopiowali całkowicie złą procedure.

Antoni
Gość
Antoni

Potwierdzam, nowa aplikacja Aliorbanku na ten sam mechanizm co mBank.

Patryk
Gość
Patryk

Ja od dwóch lat walczę z IdeaBank o zaprzestanie prób autoryzacji między innymi nazwiskiem panieńskim matki jak dzwoni przedstawiciel banku z ofertą. Ostatecznym rozwiązaniem okazało się cofnięcie zgody na tego typu kontakt.

Robal_pl
Gość
Robal_pl

Nie używać aplikacji mBanku (i innych banków…). Akurat mBank ma całkiem przyjazną stronę www dla telefonów.

wandrzej
Gość
wandrzej

Może autor jest w stanie pokusić się o analizę czy w tym przypadku złodziej jednak okradł mBank a nie klienta?
Klient może wykazać przecież, że zgodnie z procedurami bankowymi nie powierzył nikomu swojego hasła ani loginu i to mBank nie dopilnował jego pieniędzy i powinien za to odpowiadać.

blad201
Gość

@Samcik – Założenie z 24 stycznia było poprawne – mBank zwrócił pieniądze i zmienił sposób parowania smartfona. Update informacji na niebezpiecznik.pl:
https://niebezpiecznik.pl/post/podwojny-plus-dla-mbanku-zwrocil-pieniadze-okradzionemu-klientowi-i-zmienil-sposob-instalacji-swojej-aplikacji-mobilnej/

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij

Gratulacje! Jesteś zapisany