17.02.2018 | 19:09

Adam Haertle

Jak bank uchronił klientkę przed nią samą oraz przed przestępcami

Lubimy czytać Wasze historie. Ich lektura jest dla nas bardzo pouczająca. I mimo że przeczytaliśmy ich naprawdę sporo, to ciągle potraficie nas zaskakiwać i pokazywać, że rzeczywistość wyprzedza naszą wyobraźnię. Tak było także i tym razem.

Gdy opisujemy ataki na polskich internautów, często krótko po publikacji zgłasza się do nas kilka osób z informacją, że też padli ofiarami podobnego lub identycznego oszustwa. Nie inaczej było po naszym artykule o atakach podszywających się pod markę Dotpay.

„Trochę to było podejrzane”

Napisała do nas Czytelniczka. Pierwszego emaila cytujemy poniżej w całości. Zanim jednak skomentujecie artykuł, przeczytajcie go do końca.

Dzień dobry. Pisze ponieważ jakiś czas temu chciałam coś kupić przez olx. Umówiliśmy się że sprzedającym na kuriera i on go zamówił ja miałam tylko opłacić , dostałam link ale przy próbie otwarcia włączyły się zabezpieczenia antywirusowe. Spróbowałam że starego komputera którego do niczego nie używam mimo tego że trochę to było podejrzane i udało się strona dotpay się wyswietlila. Niestety był problem że zrobieniem przelewu więc odpuściłam. Jakiś czas po tym zdarzeniu próbowałam zalogować się na swoje konto bankowe a tu niespodzianka , nie mogłam się zalogować mimo tego że nigdy nie pomyliłam hasła do konta a taka właśnie informacja się wyswietlala. Jeszcze go nie odblokowalam choć minęło dwa miesiące , loguje się przez profil męża do tego konta żadne pieniądze nie zginęły , bo bym to zauważyła ale podejrzewam że konto ktoś zhakowal. Jak je teraz zabezpieczyć w banku ?

Po lekturze tej wiadomości kilka razy przecieraliśmy oczy i szczypaliśmy się w ramię, by upewnić się, że ta wiadomość się nam nie przyśniła i dobrze ją przeczytaliśmy. Niestety jak widzicie treść wiadomości nie pozostawiała wiele wątpliwości. Czytelniczka była ofiarą jednego ze znanych scenariuszy ataku. Oszust wystawia atrakcyjną ofertę w serwisie OLX, ofiara chce skorzystać, kontaktuje się z oszustem i następnie otrzymuje link do „opłacenia kuriera”, gdzie przestępca, identycznie jak w innym oszustwie, próbuje wyłudzić dane do logowania do banku oraz kod zatwierdzający zdefiniowanie przelewu zaufanego dzięki fałszywej stronie Dotpay.

Zrzut ekranu analogicznego scenariusza oszustwa

„Przy próbie otwarcia włączyły się zabezpieczenia antywirusowe”

Tu następuje kulminacja opowieści. Ofiara klika w linka i system antywirusowy lub przeglądarka sygnalizują, że strona, na którą próbuje wejść, jest niebezpieczna. Taki alert mógł wyglądać na przykład tak:

Nie mogąc pokonać przeszkody (dobrze zaprojektowany mechanizm bezpieczeństwa, który nawet w miarę zdeterminowanemu klientowi nie pozwala zrobić sobie krzywdy), ofiara postanowiła zalogować się z drugiego komputera, gdzie nie miała systemu antywirusowego. Jak sama mówi „trochę to było podejrzane” albo udało się i strona „Dotpay” się wyświetliła. Horror zatem trwa dalej. Ofiara podjęła próbę realizacji „przelewu”, oddając przestępcom prawdopodobnie dane uwierzytelniające do rachunku, a być może także kod jednorazowy. Nie podjęła żadnych dalszych działań. Gdy jakiś czas później próbowała zalogować się na konto, okazało się, że jej hasło nie działa. Tym też nieszczególnie się stresowała, ponieważ z konta męża mogła zweryfikować sytuację na swoim rachunku i nie zauważyła by środki z konta zniknęły.

„Zawsze wszystko dokładnie sprawdzam”

Poradziliśmy Czytelniczce jak najszybszy kontakt z bankiem i zapytaliśmy, czy możemy podzielić się z Wami jej historią. Odpowiedziała:

Jak najbardziej, właśnie dzięki takim wpisom w internecie wpadłam na to że ktoś mógł zhakowac moje konto bankowe. Zawsze wszystko dokładnie sprawdzam a tym razem głupio się przyznać ale dałam się chyba podejść.

Gdy dążyliśmy do wyjasnienia dalszych okoliczności zdarzenia dowiedzieliśmy się, że:

osoba od której chciałam kupić ta rzecz (to była rzecz dla dziecka), podała mi niby swój adres bo podejrzewam teraz że nie był prawdziwy. Mało tego proponowałam że mogę podjechać odebrać osobiście, ale zero odezwu na ta prośbę tak samo jak na prośbę podania numeru konta osobistego do normalnego przelewu( czyli robię wplate bezpośrednio do kupującego jak na allegro a on opłaca kuriera). Po tym już wogole nabrałam podejrzeń, ale pewnie już było za pozno.  Jak po tygodniu czy dwóch, po próbie zalogowania na konto okazało się że jest błędne hasło, mimo tego że wpisywałam prawidłowe to zadzwoniłam do banku i okazało się że konto faktycznie jest zablokowane. Jedyny plus to taki że do jednego konta mam kartę kodów a do innego tokena być może dlatego nie zginęły pieniądze z konta bo nie posiadam kodów SMS.

Wygląda zatem na to, że zbieg okoliczności (inna metoda uwierzytelnienia) mógł szczęśliwie utrudnić zadanie złodziejowi. Zapytaliśmy, jak wyglądała reakcja banku i usłyszeliśmy, że:

Jeśli chodzi o bank to pko bo sa. Jak poszłam do nich to jedynie nowe hasło do konta dostałam i to wszystko, mimo tego że powiedziałam o wszystkim.

Najwyraźniej Czytelniczka udała się do oddziału, gdzie udzielono jej jedynie pomocy w odblokowaniu konta i nikt nie był zainteresowany analizą historii kradzieży. Trzeba jednak oddać honor bankowi, który konto Czytelniczki zablokował – i to prawdopodobnie mogło także przyczynić się do uratowania jej środków na rachunku.

Co robić z takimi ludźmi?

Długo myśleliśmy nad tą sprawą. Nie da się ukryć, że ofiara maksymalnie ułatwiła zadanie przestępcy:

  • zignorowała wyraźne sygnały oszustwa (brak możliwości odbioru osobistego, unikanie zwykłego przelewu)
  • zignorowała ostrzeżenie przeglądarki / antywirusa (!!!)
  • zignorowała incydent i zgłosiła go dopiero gdy okazało się, że ma zablokowane konto w banku.

Czy to znaczy, że jest sama sobie winna? Tak. Czy to znaczy, że powinniśmy pozwalać na to, by została okradziona? Zdecydowanie nie. Pozwalając osobom zachowującym się tak jak w powyższym przykładzie na bycie ofiarami przestępstwa napędzamy zyski złodziei i motywujemy ich do dalszych wysiłków w dokonywaniu kolejnych oszustw. Jeśli faktycznie mamy dążyć do poprawy bezpieczeństwa transakcji finansowych w sieci, to musimy walczyć o bezpieczeństwo każdego użytkownika – nawet tego, który bardzo chce zrobić sobie krzywdę.

Nie wiemy, czy w tym scenariuszu ostatecznie o wyniku ataku zadecydował przypadek (inna metoda uwierzytelnienia), niekompetencja atakującego (być może popełnił jakiś błąd) czy interwencja banku (prawdopodobna ze względu na zablokowany rachunek). Wiemy, że mechanizmy bezpieczeństwa zadziałały. Komputer nie chciał pozwolić na wejście na stronę oszusta, a bank konto zablokował. Powyższy przykład pokazuje, że musimy rozwijać takie mechanizmy bezpieczeństwa, których klient, nawet mimo nieświadomie złych intencji, nie będzie w stanie sam ominąć. Wiele pracy jeszcze przed nami.

Jedno z rozwiązań

Oprócz opisywania takich incydentów na stronie, przekazujemy także wiedzę o tym, jak wyglądają ataki, na spotkaniach z pracownikami firm w całej Polsce. Często dopiero demonstracja ataku na ekranie przemawia do wyobraźni potencjalnych przyszłych ofiar. Zrób prezent sobie, swojej firmie i pracownikom i zaproś nas na wykład – przyjedziemy, opowiemy, nauczymy i ostrzeżemy.

Powrót

Komentarze

  • 2018.02.17 20:14 Adam

    Książkowa historia kiedy użytkownik próbuje obejść wszystkie zabezpieczenia jakie ma by dać się okraść. To samo jest z reklamami i programami je blokującymi.
    Ludzie korzystają z AdBlocków, ale wyłączają je gdy jakaś treść się nie wyświetla, naiwnie myśląc, że tam się kryje tylko bezpieczna reklama.
    Ręce opadają…

    Odpowiedz
    • 2018.02.17 22:09 gosc

      Z reklamami to nie był najlepszy przykład,
      ponieważ sama reklama nie musi być zła, tak jak każdy dodatek na stronie.

      Odpowiedz
      • 2018.02.17 23:12 Lolecki Tadeusz

        Chodzi zapewne o reklamy wyswietlane na stronach oferujacych nielegalne streamy z widowisk sportowych.

        Odpowiedz
  • 2018.02.17 20:55 starszy oborowy

    Komentarz może być tylko jeden „ło matko!”

    Odpowiedz
  • 2018.02.17 22:25 K.

    Ej, ale duże brawa za to, że kobieta podzieliła się swoją historią, zwłaszcza że ewidentnie trochę się wstydzi swojej głupoty. To jest bardzo fajne podejście ;)

    Ja też czytam Wasz blog regularnie i niby powinnam być wyczulona na wszystko, a mimo to kiedyś też zrobiłam głupstwo. Weszłam na stronę, którą zresztą już kiedyś oglądałam, a tam nie wyświetlały się czcionki. Pojawiło się za to okienko komunikatu, że trzeba ściągnąć odpowiednią czcionkę. No i ja w przypływie geniuszu, kliknęłam „Ściągnij”. Zareagowałam dosłownie sekundy po kliknięciu, wyszłam z karty, otworzyłam nową i zaczęłam googlać, opisując skrótowo ten przypadek. Oczywiście dowiedziałam się, że strona była zawirusowana, że trojan. Nie wiem, jakim cudem nic się nie stało, skanowałam potem system na lewo i prawo, możliwe, że jednak to ściąganie przerwałam, zanim zassało wirusa. Ale czemu kliknęłam tę zgodę? Naprawdę zrobiłam to odruchowo, bez udziału mózgownicy, nie mogłam potem zrozumieć, dlaczego tak idiotycznie postąpiłam.

    Także ja na przykład rozumiem dosyć dobrze takie zaćmienia umysłu. Trzeba się swoją głupotę dzielić z ludźmi, może komuś się tym jednak pomoże :)

    Odpowiedz
  • 2018.02.17 22:34 q

    Mi kiedyś zablokowano kartę bankową tylko dlatego że tankowałem dwa razy na tej samej stacji tego samego dnia. Niestety karty nie udało się odblokować.

    Odpowiedz
  • 2018.02.17 23:00 PatrykM

    Dziwi mnie, że klienta cieszy się że miała token a nie sms, bo dzięki smsom widać czego dotyczy dana transakcja i można smsa zignorować gdy okaże się, że przestępcy „w tle” robią sobie przelew, który my mamy autoryzować.
    Co do blokady konta, być może przestępcy próbowali „wbić” się na wskazanie tokena które już wygasło a które wczesniej przejeli na „podstawionej” stronie dotpay. To dziwne w sumie bo znam przypadki gdzie własnie już nastapiła kradzież po podaniu wskazania tokena a następnie przestępcy specjalnie blokowali konta (wystarczy do blokady konta znać identyfikator a hasło dowolne, trzy razy i blokada) aby czas sobie płynął aż klient się zorientuje że kasy na koncie brak (procedura odblokowania trochę trwa).

    Odpowiedz
  • 2018.02.18 00:20 rr

    To jaki to był bank? PKO BP czy Pekao SA? Zrozumieliście co ta pani napisała?

    Odpowiedz
    • 2018.02.18 00:29 Adam

      PKO BP to też spółka akcyjna.

      Odpowiedz
      • 2018.02.18 08:26 WladimirPutin

        Chodzi o literówkę „PKO bo sa” takiego banku chyba nie ma :) tez się zastanawiałem o który chodzi.

        Odpowiedz
  • 2018.02.18 01:22 robert

    co przypomina bardzo starą historię, gdy w czasach linuksów w komputerach naukowców pewien profesor szukał na uczelni z dyskietką w ręku kogoś, kto pomoże mu uruchomić program, najwyraźniej przysłany e-mailem przez kolegę naukowca bez wyjaśnienia; na szczęście zanim znalazł kogoś z podatnym komputerem, spotkał admina…

    Odpowiedz
  • 2018.02.18 08:24 cesasz

    Jej konto bylo zablokowane bo pewnie probowala sie logowac z uporem maniaja jak „haker” zminil jej haslo. Po paru blednych probach – blokada konta…
    Ale to tylko moje przypuszczenia…

    Odpowiedz
    • 2018.02.23 07:37 Artur

      Niekoniecznie.
      Bywa, że malware zostawia wyraźne ślady w żądaniach http. Czasem nawet witryna banku zawiera skrypty aktywnie wykrywające malware. Bywa, że połączenia od atakującego są na tyle specyficzne, by je rozpoznać. W takiej sytuacji bank może zablokować transakcję albo całkowicie zablokować możliwość logowania. Jak poprosisz infolinię o odblokowanie dowiesz się, że masz nowe niezamawiane binarki na kompie :)

      Odpowiedz
  • 2018.02.18 08:57 Andrzej

    Mnie też chciano oszukać na olx.
    Przypadek sprawił, że nie straciłem pieniędzy.
    Zgłosiłem sprawę do prokuratury i lawina urzędów ruszyła.
    Teraz oszust siedzi.
    Warto nie odpuszczać w takich sytuacjach.

    Odpowiedz
    • 2018.02.18 23:43 Zenon

      Andrzej, nie bądź taki – podziel się historią w całości :-)
      Mnie oszukano i mimo wyroku sądu oszust buja na wolności (przypadek sklepu RAM.net).

      Odpowiedz
  • 2018.02.19 13:19 Pomysl

    Adam proponuje zorganizować plebiscyt NetworkDarwin Awards. To będzie hit tym bardziej ze coraz więcej takich historii :)

    Odpowiedz
  • 2018.02.20 16:49 Ja

    Zdumiewające jest, że w roku [currentyear] ludzie wciaż dają się nabrać na tak banalny phishing, który wręcz bije po oczach swoją oczywistością (ludzie, czy serio można nie sprawdzać odruchowo, wręcz kompulsywnie URLa strony, którą otwieracie, zwłaszcza jeśli jest to strona uwierzytelniająca?).

    Czasem wydaje mi się, że prawo do korzystania z komputerów powinno być regulowane niczym prawo do prowadzenia pojazdów mechanicznych

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak bank uchronił klientkę przed nią samą oraz przed przestępcami

Komentarze