Jak autoryzacja przelewu w aplikacji mBanku uratowała klienta przed przestępcami

dodał 17 lutego 2019 o 16:27 w kategorii Prawo, Socjo  z tagami:
Jak autoryzacja przelewu w aplikacji mBanku uratowała klienta przed przestępcami

Jednym z pierwszych, a zarazem najtrudniejszych kroków, jakie muszą wykonać przestępcy na drodze do kradzieży pieniędzy, jest dotarcie do swoich ofiar. To zadanie jest bardziej złożone niż mogłoby się wydawać.

Internetowi złodzieje muszą cały czas dopracowywać swoje metody, muszą działać ostrożnie, by zbyt szybko nie zostali namierzeni, a jednocześnie na tyle odważnie, żeby dotrzeć do swojej grupy docelowej. Nie jest zbyt odkrywczym stwierdzenie, że wymarzoną grupą docelową dla oszustów są ludzie, których łatwo oszukać – jeszcze lepiej, jakby sami ustawiali się w kolejkach do zostania oszukanymi. Mimo że brzmi to dość absurdalnie, takie sytuacje zdarzają się od kilku lat. Codziennie.

W polskim środowisku złodziei internetowych obecnie dużą popularnością cieszą się portale aukcyjne i sprzedażowe połączone z fałszywymi panelami szybkich płatności. Na czym polegają takie oszustwa? Jest to ewolucja leciwej (ale wciąż stosowanej) metody już przez nas opisywanej, różni się tylko sposób pozyskania ofiary.

Zapraszamy do prześledzenia historii naszego Czytelnika, któremu z pomocą rozwiązania bezpieczeństwa oferowanego przez bank udało się uratować swoje pieniądze przed złodziejami.

Poznajmy Jacka. Jacek jak setki innych internautów został oszukany. Co sprawia, że jego historia jest warta opisania? Jacek w odpowiednim momencie wykazał się czujnością i nie stracił swoich pieniędzy. Oprócz tego bardzo dobrze udokumentował atak na swoje pieniądze.

„Komu, komu, bo idę do domu” – oszustwo na Allegro to już nie cegła w paczce

Przestępcy wytrwale poszukują nowych metod oszustw, na pewno nie można odmówić im kreatywności ani wytrwałości, wciąż udoskonalają cały proceder. Jednym z udoskonaleń jest sposób pozyskiwania ofiar. Chcieliście się kiedyś czegoś szybko pozbyć i wystawiliście to na aukcji po okazyjnej cenie? Ja tak, odzew był ogromny. Nie wiem, czy podobne doświadczenia były inspiracją dla przestępców, ale poszli oni nawet o krok dalej – chcą oddać za darmo przedmioty warte kilkaset, a nawet kilka tysięcy złoty. Kto nie chciałby dostać czegoś za darmo? Tu następuje pierwszy etap weryfikacji, sito, przez które do przestępców trafiają osoby napalone na darmowe gadżety o dużej wartości. Wizja otrzymania czegoś za darmo często potrafi wyłączyć zdrowy rozsądek i uśpić czujność.

Szczęśliwcy, otrzymują od oszusta informację, że wystarczy jedynie opłacić koszty transportu i przesyłka z towarem zostanie wysłana. Żeby było jeszcze prościej i wiarygodniej, ofiara dostaje link do opłacenia przesyłki. Tam wybiera swój bank i wpisuje dane logowania, a następnie pod pretekstem dokonania opłaty za przesyłkę wysyła wszystkie swoje oszczędności na giełdę bitcoinową lub dodaje rachunek przestępcy do listy zaufanych odbiorców.

Tak samo było w przypadku Jacka. Nasz znajomy miał dużo szczęścia, akurat ktoś na OLX chciał oddać za darmo teleskop.

Szybkie wyszukiwanie obrazem w Google pozwoliło nam zidentyfikować oryginalną aukcję eBay, z której zdjęcia pobrał oszust.

(https://www.ebay.com/itm/332807972156)

Po przeczytaniu oferty Jacek postanowił skontaktować się z wystawiającym ogłoszenie.

Przestępca wysłał Jackowi SMS z linkiem do panelu szybkich płatności, gdzie w łatwy sposób można opłacić przesyłkę – przestępcy też idą z duchem czasu i dbają o user experience, nieczytelny i siermiężny panel mógłby zniechęcić wymagającego „klienta”.

Po kliknięciu w link Jacek został przekierowany na stronę imitującą panel Dotpay. Zwróćmy uwagę, że adres nie ma nic wspólnego z Dotpayem.

Jacek ma konto w mBanku. Po kliknięciu w ikonkę mTransfer został przekierowany na stronę udającą system transakcyjny mBanku. Ponownie spójrzmy na adres WWW, nie ma nic wspólnego z mBankiem.

Jacek jednak nie zauważył niczego podejrzanego i wprowadził swoje dane do logowania.

Po uzyskaniu loginu i hasła przestępcy zalogowali się na konto ofiary. Licząc na nieuwagę, próbowali zlecić przelew nie na 16 zł, a na 2761,49 zł. Tutaj napotkali problem, gdyż Jacek używa oferowanej przez mBank usługi mobilnej autoryzacji.

Zdecydowanie polecamy ten sposób potwierdzania transakcji, żądania autoryzacyjne przesyłane w aplikacji mobilnej są o wiele bardziej bezpieczne niż te przesyłane za pomocą SMS-ów. Oprócz tego, że żaden malware zainstalowany na telefonie nie dobierze się do autoryzacji w aplikacji mobilnej banku, to komunikaty te nie mają ograniczeń ilości znaków i są o wiele bardziej czytelne. To właśnie czytelny komunikat w aplikacji mBanku sprawił, że nasz bohater zorientował się, że został oszukany i natychmiast odrzucił dyspozycję przelewu złożoną przez przestępców.

Ciekawość kazała sprawdzić Jackowi, co się stanie, kiedy powtórzy próbę zapłaty i ponownie spróbuje zalogować się do banku z użyciem fałszywego serwisu. Nie musiał długo czekać na kolejny krok przestępców – postanowili zmienić metodę autoryzacji transakcji na SMS-y.

Co by się stało, gdyby klient Jacek zamiast mobilnej autoryzacji używał kodów SMS? Przestępcy na swojej stronie wyświetliliby komunikat proszący o podanie kodu autoryzacyjnego przelewu na 16 zł. Czy wtedy próba oszustwa zostałaby zauważona? Możemy zaryzykować stwierdzenie, że przez sporą część klientów bankowości nie. Ofiara na tym etapie już kilkakrotnie musiała wykazać się brakiem czujności. Po raz pierwszy, wierząc, że ktoś chce jej za darmo oddać sprzęt warty kilka tysięcy złotych, po raz kolejny – podając login i hasło do banku na podejrzanej stronie pod adresem niemającym nic wspólnego z bankiem. Najlepszą chyba rekomendacją mobilnej autoryzacji mBanku jest fakt, że przestępcy próbowali zmienić sposób autoryzacji na kody SMS.

Jacek w formie trollingu podjął ostatnią próbę kontaktu.

Następnego dnia z samego rana OLX wysłało do Jacka alert bezpieczeństwa informujący go, że oferta, na którą odpisywał, była oszustwem. E-mail zawierał praktyczne porady i instrukcję, co oszukany powinień zrobić, by ratować swoje pieniądze. Takie działanie – pomimo że nieco spóźnione – należy mocno pochwalić.

Podsumowanie

Jakie kilka porad możemy wynieść z tej historii?

  • Login i hasło do swojego banku podajemy na stronie banku. Nigdzie indziej. Kropka. Zwróćmy uwagę, że nawet strony szybkich płatności nie wymagają od nas podania hasła na swojej stronie, zawsze odsyłają nas na stronę banku.
  • Autoryzacja transakcji w aplikacji mobilnej jest dużo bezpieczniejsza niż tradycyjne SMS. Mamy pewność, że kod autoryzacyjny nie zostanie przechwycony przez malware na telefonie, a oprócz tego dostajemy dużo czytelniejsze powiadomienia.
  • Wszystkie podejrzane sytuacje zgłaszajmy do swojego banku. Każdy duży bank ma mocno rozwinięty zespół bezpieczeństwa, który będzie w stanie nam pomóc w przypadku ataku na nasze środki. Nie bójmy się zgłaszać incydentów, jeżeli nie mamy pewności, czy coś jest phishingiem, poprośmy bank o pomoc.
  • Zgłaszajmy do portali aukcyjnych wszystkie podejrzane aukcje. Pozwoli to administracji szybciej reagować, uchroni potencjalne ofiary i trochę skomplikuje życie przestępców.
  • Nie wierzmy, że ktoś obcy z internetu chce nam oddać coś wartościowego za darmo – czy to nigeryjski książę, czy „Mateusz” z OLX. Chęć szybkiego wzbogacenia się może być bardzo kosztowna.