Codziennie słyszymy o próbach kradzieży pieniędzy z Waszych kont, jednak z reguły złodzieje posługują się znanymi nam wcześniej sprawdzonymi metodami. Czasem zdarza się, że trafiamy na coś nowego wartego wysłania ostrzeżenia.
Od jednego z naszych Czytelników dostaliśmy informację o nowym scenariuszu oszustwa, przed którym warto ostrzec Was i Waszych znajomych, zanim padną ofiarami kradzieży. Metoda nie jest wyrafinowana, jednak wcale to nie oznacza, ze nie będzie skuteczna.
Z punktu widzenia ofiary
Atak oczami ofiary wygląda dość niewinnie. Zaczyna się od prośby od znajomego, przesyłanej przez Facebooka z jego prawdziwego konta. Znajomy informuje, że do ważnego zakupu zabrakło mu dosłownie kilku złotych i prosi o pomoc w uzupełnieniu brakującej kwoty. Kwota jest symboliczna, znajomy mniej lub bardziej zaufany, zatem część ofiar ulega prośbie. Znajomy podsyła link do płatności internetowej w jednym z popularnych serwisów typu Przelewy24, BLuecash czy Dotpay. Ofiara klika w linka, wybiera swój bank, loguje się, potwierdza przelew na kilka złotych, dostaje SMSa, wpisuje kod jednorazowy i traci ze swojego rachunku zupełnie inną, znacznie większą kwotę. Jak to możliwe?
Z punktu widzenia sprawcy
Przestępca zaczyna od przygotowania fałszywej witryny pośrednika płatności i stron logowania do najpopularniejszych banków. Następnie loguje się na cudze, wcześniej przejęte konto Facebooka i wysyła do wszystkich znajomych pierwszej ofiary link do „płatności internetowej” – a tak naprawdę kontrolowanego przez siebie serwera. Gdy ofiara wybiera swój bank ze strony „płatności”, przestępca pokazuje stronę „logowania do banku”. Tam ofiara podaje swój login i hasło, którym przestępca natychmiast loguje się w prawdziwym banku i zleca stworzenie przelewu zaufanego na cudze konto (np. na giełdę bitcoin lub kantor internetowy). Bank wysyła do ofiary SMSa z kodem potwierdzającym stworzenie przelewu zaufanego, a przestępca w swoim fałszywym serwisie wyświetla okienko z prośbą o podanie kodu „w celu autoryzacji transakcji”.
Jeśli ofiara nie zwróci uwagi na:
- fakt, że nie znajduje się na stronie pośrednika płatności
- fakt, że nie loguje się na stronie swojego banku
- fakt, że w SMSie znajduje się sformułowanie „definicja przelewu zaufanego”
to z jej konta może zniknąć spora kwota. Teraz pewnie zapytacie, kto nie zwraca uwagi na tak podstawowe elementy bezpieczeństwa? Otóż niestety są takie osoby – i zapewniamy, że wśród Waszych znajomych także się takie znajdą. Banki potrafią wychwytywać takie anomalie i niektóre z nich radzą sobie z tym całkiem dobrze, jednak nie ma gwarancji, że każdy przypadek złapią na czas. Warto zatem ostrzec znajomych, by nie dali się złapać na takie próby wyłudzenia „na przelew na kilka złotych” – a najlepiej zgłaszali je np. nam lub swojemu bankowi.
Aktualizacja: Jak słusznie wskazuje autor serwisu Bądź bezpieczny identyczny scenariusz ataku został już opisany dwa tygodnie temu. Znajdziecie tam także scenariusz rozmowy z oszustem – nadal używa tego samego.
Komentarze
Serio ktoś się na to może nabrać ? Z drugiej strony sposób „na wnuczka” działa dobrze, więc z tym też jest jakaś szansa.
Mam przy tej okazji pytanie. Ale do kogoś kto ma / miał z takimi przekrętami do czynienia.
Czy w opisanym scenariuszu bank zwróci pieniądze?
coś czuję że w tym przypadku raczej nie.
Czy znacie przypadki kiedy bank po oszustwie/ wyłudzeniu / phisingu czy innym przekręcie płatnościowym, zwrócił / albo odmówił – i jakie to mniej więcej sytuacje były.
Pytam, bo sam się zastanawiam, kiedy np podaję dane karty do płatności np na Amazonie, czy bookingcomie, aliexpressie, sam się nie proszę o trzepanie konta (w razie kradzieży ich baz danych)…
Zależy od banku, kwoty, scenariusza, dowodów, sędziego itd ;)
Platnosc karta jest najbezpieczniejsza mozliwa forma platnosci ze wzgledu na istnienie chargeback – udajesz sie do banku i prosisz o zwrot stodkow pobranych z karty. Korzystalam, dziala bez problemu, chociaz pani doradca klienta z bzwbk pierwszy raz miala do czynienia z czyms takim i musiala najpierw skonsultowac sie z szefem :)
A ja polecam BLIKa – kod jest jednorazowy, i ważny przed 2 minuty. Dodatkowo transakcję trzeba potwierdzić na komórce.
Natomiast w przypadku kart chargeback to jednak procedura, i trzeba ją przejść, postresować się itp.
No właśnie ta możliwość mnie zawsze zastanawiała. To jest standardowa procedura, dostępna niezależnie od banku i operatora karty?
Jak rozumiem-dziala tak, że w każdej chwili można anulować dowolną transakcje i w tym momencie pieniądze zostaną wycofane z konta nadawcy i zwrócone w formie gotówki posiadaczowi karty? Można to zrobić np tydzień po zarejestrowaniu płatności?
Czy nie daje to łatwego pola do nadużyć? Wyobraźmy sobie, że płacę karta za samolot albo nocleg na Bookingu.Po zakończeniu wycieczki Idę do banku, proszę o realizację chargeback. Pieniądze oczywiście znikną z kont odbiorców u będą mieli oni moje pełne dane ale czy realnie ktoś będzie ścigał oszusta za drobne kwoty? Zresztą-zawsze można wyrobić kartę na „kolekcjonerski” dowód co skutecznie utrudni zagranicznym firmom namierzenie delikwenta (szczególnie jeśli mówimy o kwotach do kilkuset pln).
Wie ktoś jak to wygląda w praktyce?
Po to są karty przedpłacone!
tylko problem w tym że banki wycofują takie karty
Dokładnie tak została okradziona moja córka. Konto w AliorB. Brak limitu, studentka bez dochodów, wpływy mies. ok. 800 zł. Najpierw była próba UWAGA na 3 Euro, później 3 tys., następnie 7 tys. Bank przejął odpowiedzialność.
Nie wiem jak w innych bankach ale np. w BZ WBK’a dla przelewów zaufanych niema potwierdzenia SMS’a (lub ja takiego nie mam aktywowanego) ale przy dodawaniu osoby zaufanej jest potwierdzenie co powinno wzbudzić podejrzenie ofiary. :)
Jak dla mnie to dość prymitywny sposób wyłudzania danych :P
Od kiedy mam konto w banku to zawsze podczas logowania się do banku nigdy nie podaję za pierwszym razem prawidłowego hasła do konta…
Jak przejdzie to znaczy, że phishing :)
DOBRE! :D
mozna tez ustawic powiadomienia sms/email szczegolnie na duze transfery i logowania
Genialne!
OK, dobra – to ja pytam jako zupełny laik, pytam bez złośliwości czy czegoś tam. Też mam konto przez internet i zastanawia mnie co mi da wpisanie złego passwordu? Nawet jeśli fałszywa strona mnie przepuści dalej to chyba nie wyświetli mi mojego rachunku, z jego historią, przelewami, obciążeniami i saldem. Pytam poważnie bo intryguje mnie ta sprawa i ostatnio sporo wiedzy „inwestuję” w swoje sieciowe bezpieczeństwo. Dzięki z góry za oświecenie
Fałszywa przepuści dalej, prawdziwa nie. Prosty test czy jest prawdziwa.
Komuś (Ktosiowi?) Chodziło o to, że po podaniu fałszywych danych twórca strony phishingowej nie będzie miał możliwości pobrania salda ani numeru rachunku więc na wyswietlonej stronie tego wszystkiego nie będzie (albo będą losowe dane).
Troche ryzykowne z podawaniem za pierwszym razem zlego hasla. Sa w PL banki, ktore zliczaja ilosc blednych logowan w cyklu zycia konta (nie tylko od ostatniego blednego logowania). Jeden z nich zlicza np do 50 – potem trzeba wydzwaniac do BOku lub – w przypadku jednego z nich – osobiscie isc do banku i odblokowac konto. W sumie niezly „ddos” bo jakby zapuscic skrypciola, ktory generuje losowo nr-y kont (w przypadku 2 bankow jest to latwe) i wymusic bledne logowanie to w ktoryms momencie tluste tylki w banku musialyby popracowac i zrobiloby sie dziwnie z kolejkami jak za komuny.
Złudne nadzieje – podasz błędne hasło na fałszywej stronie, ona za pomocą tych danych się nie zaloguje do prawdziwego systemu, to i Tobie na ekranie wyświetli komunikat o błędzie logowania – przecież to jest proste! I gdzie jest Twój spryt?
To jest głupi pomysł, bo sprawca może w tle sprawdzić czy podane przez ciebie hasło jest poprawne, próbując się zalogować nim do banku. Fałszywa strona na której jesteś zareaguje poprawnie – w przypadku błędnego hasła, wyświetli komunikat że dane są niepoprawne.
Jedyne dobre metody to: sprawdzenie na pasku adresu czy jesteśmy na właściwej stronie, czy jest ona zabezpieczona certyfikatem, czytanie treści SMSów z kodami jednorazowymi, używanie programu antywirusowego, nie nabieranie się na fałszywe maile, nie uruchamianie keygenów/cracków z torrentów, itp.
Ja od jakiegoś czasu celowo mylę się przy logowaniu do banku z podejrzanych linków (np przy szybkich płatnościach). Jeśli taka strona przepuści mnie z błędnym loginem i hasłem, to zamykam stronę.
Wcześniej podawałem fałszywe dane, gdy ktoś dzwonił 'z banku’, 'od operatora komórkowego’, 'od operatora energetycznego’. Jeśli zareagowali na fałszywe dane, to ok, A jak nie, to rozmowa się kończyła, lub kończyła zawarciem jakiejś dziwnej umowy na nieistniejącego człowieka.
Mega sprytne. Świetny pomysł. :)
A ja się pytam jaki jest numer nrb rachunku na które jest wykonywane zlecenie
Jeśli potrzebujesz służbowo to napisz na adres kontaktowy ze skrzynki służbowej.
SMSy autoryzacyjne w PKO zawierają tez kwotę płatności i jej numer tego dnia, więc tam ten trik nie wypali
W każdym banku zawierają, ale nie każdy to sprawdza. ;)
Blix tak samo
> Ofiara klika w linka, wybiera swój bank, loguje się, potwierdza przelew na kilka złotych, dostaje SMSa, wpisuje kod jednorazowy i traci ze swojego rachunku zupełnie inną, znacznie większą kwotę. Jak to możliwe?
„Ofiara wkłada rękę do otworu z napisem „zgniatarka”, wciska przycisk i traci rękę. Jak to możliwe?!?!?”
komentarz. Prawie oplulem ekran ze smiechu. Debile – powinienes kabaret zalozyc.
Może to nie do końca będzie merytoryczny komentarz ale aż się prosi zapytać w jakim środowisku trzeba się obracać, żeby w coś takiego się wpakować? Znajomi, którym zabrakło kilku złotych na ważne zakupy? Poziom gimbazy albo meneli spod mostu. Nie $r4m kasą ale bez przesady. Sam nigdy nie poproszę przez „link” e-mail czy FB znajomych o drobne i nie zostanę o to poproszony. Takie tematy omawia się przy flaszce i w kwotach co najmniej czterocyfrowych.
Spoko, na takich jak Ty przygotuje się nieco inną metodę phishingu i tyle! Metoda „na wnuczka” też ma kilka wariantów (teraz jest też mutacja” – metoda „na policjanta”).
Nie obrażaj!
66% najuboższego społeczeństwa zarabia poniżej 2776zł brutto (dane z 2012r). Czterocyfrową kwotę, i to z jedynką na początku, widują tylko raz w miesiącu i to tylko przez moment. Taka „prośba” wcale nie oznacza, że ktoś jest jakimś degeneratem. Nie wspominając już rzeszy studentów/uczniów/młodych dla których takie prośby są całkiem normalne.
(przepraszam za znowu niemerytoryczny komentarz)
No ciekawe ilu na to złapie taki cwaniaczek-niedorozwój???
Znam lepszy sposób, który podaję aby Was uświadomić jak banalnie łatwo stać się słupem.
Przedstawiony sposób jest jedynie wynikiem moich obserwacji – jakie możliwości daje oszustom dzisiaj INTERNET.
1.wystawiamy ofertę udzielenia pożyczki/chwilówki bez BIK… w popularnym serwisie ogłoszeń/gazecie czy gdziekolwiek.
2. trafia się pierwszy chętny, którego prosimy o podanie wszystkich danych, ksero dowodu osobistego i prawa jazda w celu weryfikacji/potwierdzenia tożsamości.
3. Prosimy zainteresowanego o wykonanie przelewu potwierdzającego tożsamość – z konta bankowego ze zgodnymi danymi. Kwota przelewu to 1zł, która zostanie zwrócona. Po weryfikacji trwającej kilka minut zostanie udzielona pożyczka. Przelew zostanie wykonany na konto, z którego zrobiono przelew weryfikacyjny.
W rzeczywistości Oszust zakłada konto bankowe/klona, które jedynie trzeba aktywować wykonując przelew. Ale na to nabierze się najwyżej 2% chętnych. Więc podaję alternatywny punkt 3 – który daje realne możliwości wyłudzenia dużych pieniędzy.
3.Mając wszystkie dane naszego słupa łącznie z kserem jego dokumentów wyrabiamy te same dokumenty załączając nasze aktualne zdjęcie.
W tym celu korzystamy z następujących stron:
http://www.prawko-dowod.pl
https://www.clubcard.com.pl
Od siebie dodam tyle, że zakupione dokumenty z podanych wyżej stron „w celach kolekcjonerskich” są identyczne jak prawdziwe! W droższej opcji zawierają znaki wodne,holagramy i wszystykie te same zabezpieczenia jak prawdziwe.
Mając takie dokumenty słupa ze swoim aktualnym zdjęciem w dobie tak rozwiniętego internetu można zrobić wiele. To kwestia wyobraźni.
Posiadanie tego typu dokumentów w Polsce jest legalne i można śmiało nawet przy kontroli Policji je pokazać.
Przestępstwem natomiast jest posługiwanie się nimi!