Klienci banków go nienawidzą! Zobacz jak jednym prostym trikiem… Niestety od pewnego czasu klienci polskich banków padają ofiarami nietypowego, całkiem sprytnie wymyślonego i wdrożonego ataku internetowych złodziei.
Nie ma tygodnia w którym nie słyszelibyśmy o przypadku kradzieży środków z konta Bogu ducha winnego klienta bankowości elektronicznej który padł ofiarą oszustów. Kradzież pieniędzy z konta powszechnie kojarzona jest ze złośliwym oprogramowaniem. Jednak zmuszenie ofiary, żeby zainfekowała swój komputer, a następnie potwierdziła kodem SMS nieautoryzowaną operację wymaga od przestępców dość sporo wysiłku, dodatkowo trzeba złośliwe oprogramowanie dystrybuować, hostować, zorganizować konta słupa, zarządzać całym procederem – jest to proces wymagający dobrej organizacji i infrastruktury . Na dokładkę zespoły bezpieczników w bankach działają dość prężnie i starają się utrudnić złym ludziom życie, przez co przestępcy zmuszeni są szukać innych sposobów kradzieży pieniędzy.
Najpierw przejęte konto Facebooka
Ostatnio modne staję się inne podejście.
Cześć babciu, jesteś w stanie mi opłacić kartę do telefonu na 22zł?
Taką wiadomość dostała Babcia jednego z naszych czytelników. Wiadomość wysłana na Facebooku przyszła z konta jej wnuczka. Jak można się domyślić konto wnuczka zostało przejęte. Przestępca przestudiował historię ostatniej korespondencji i do bliskich znajomych wysłał spersonalizowane wiadomości prosząc o niewielkie kwoty doładowań. Wiadomości dość wiernie oddawały charakter relacji między nimi, część ofiar do samego końca nie mogła uwierzyć, że dała się oszukać. Z informacji które do nas trafiły wynika, że złodziej potrafił korespondować ze swoimi ofiarami i nawet organizować im czas na najbliższe dni, umawiać się w ich imieniu na basen czy do kina.
Nasza Babcia na szczęście przejrzała oszusta, skontaktowała się z wnuczkiem telefonicznie i poinformowała go o zajściu. Przyłapany na gorącym uczynku złodziej zaczął robić jej wyrzuty, że własny wnuczek jest wart dla niej mniej niż paczka papierosów i żeby natychmiast wykonała przelew na 22zł to zostawi jego konto w spokoju. Przypadków jak ten znamy kilka, siostra pomogła bratu czy kolega koleżance. Przestępca dokładnie przeczytał archiwum rozmów przez co był całkowicie wiarygodny dla swojego rozmówcy.
22 PLN? O co chodzi?
Z pozoru niewinny przelew na niską kwotę byłby w tym scenariuszu opłakany w skutkach i mógłby się skończyć wyczyszczeniem konta ofiary. Jak to możliwe? Otóż wiadomość wysłana przez oszusta zawierała link do integratora płatności DotPay, a przynajmniej do czegoś co jak DotPay wygląda. Przestępcy postarali się nawet o zieloną kłódeczkę i kupili certyfikat SSL. Strona znajdowała się pod adresem:
https://dotpay.pl.platnosc.link/
i wyglądała tak:
Gdy ofiara po wejściu na fałszywą stronę wybierała bank, była przekierowywana na podrobioną stronę bankowości internetowej. Również tu przestępca postarał się być wiarygodny i linki do bankowości skonstruowane były tak by zmylić mniej świadomych użytkowników, np.:
https://centrum24.platnosc.link/ https://ipko.platnosc.link/ https://mbank.platnosc.link/
a wyglądały następująco:
Po „zalogowaniu się” ofiara oddawała przestępcom dostęp do swojego konta. Najprawdopodobniej w tym momencie przestępca zacierał ręce po czym wykonywał przelew weryfikacyjny na jedną z giełd bitcoinowych. Co w całym procederze bardzo ważne, przy okazji dodawał jej rachunek do listy zaufanych rachunków, tak by przyszłe przelewy nie wymagały potwierdzeń SMSowych. Na telefon ofiary przychodził SMS z prośbą o zatwierdzenie przelewu na 22 PLN. Okradzione osoby najwyraźniej uznając, że wszystko zgadza się z własnie wykonywaną operacją, więc bez większego zastanowienia przepisywały kod na stronie przestępców. Podobny scenariusz ataku opisywaliśmy już pół roku temu, jednak wówczas przestępcy byli mniej zaawansowani – nie „podstawiali” fałszywych stron banku i jedynie definiowali przelew zaufany, przez co łatwiej było ofierze zauważyć atak.
Przestępcy nie są grupą zawodową cieszącą się dużym zaufaniem, można więc założyć, że ofiara która da się nabrać ma poważny kłopot. Przestępca bez żadnej trudności może wyprowadzić całość środków zgromadzonych na koncie – a przecież chodziło tylko o drobną przysługę i przelew na 22 PLN.
Ktoś się jeszcze na to nabiera?
Tak.
Co robić?
Po pierwsze, gdy ktoś prosi Cię o przelew, zweryfikuj jego prośbę innym kanałem kontaktu. Wyślij SMS, zadzwoń. Nigdy nie możesz mieć pewności czy konto Twojego rozmówcy nie zostało przejęte i ktoś właśnie nie próbuje Cie okraść.
Po drugie, zawsze upewnij się, że wpisujesz login i hasło na stronie swojego banku, a nie na stronie która tylko ją udaje. Jeżeli coś budzi Twoje podejrzenia bezzwłocznie skontaktuj się z bankiem.
Komentarze
Bardzo ciekawy materiał, rzeczywiście. Zastanawiam się nad jednym – przesłałbym linka do niego mojej, powiedzmy, babci, mamie, tacie, ale podejrzewam, że jako osoby nietechniczne nie będą chciały/w stanie przejść przez cały artykuł. Czy nie zastnawialiście się nad jakimiś skrótami dla „zwykłych zjadaczy chleba”?
„Klienci banków go nienawidzą! Zobacz jak jednym prostym trikiem…”
Przepraszam, czy to onet?
Słowo klucz „ironia”.
Czy teraz każdy Wasz artykuł będzie się zaczynał od takiej ironii nawiązującej do clickbaitu?
Czy zawsze musi się znaleźc Janusz z kołkiem w tyłku i czepiać się wszystkiego?
To już nie można wymagać jakiegoś poziomu? Dopisz coś jeszcze o „maści na ból d*”, podobnej klasy argument, jak „kij w tyłku”.
Akurat w takiej sytuacji – owszem, musi.
Stosowanie takich zabiegów kojarzy mi się z dennymi pudelkami i zdecydowanie nie należy do dobrych praktyk pisania artykułów. Tym bardziej technicznych.
Osobiście mam na to alergię i jak tylko zobaczyłem ten piękny wstęp, to od razu się wk…. i mój stan emocjonalny pozostał nie zmieniony aż do tej pory. Dziękuję.
@Darek myślę że ad presonam nie było tutaj potrzebne. Chyba że autor „Z” to Ty i poczułeś tutaj atak na swoją osobę. Jeśli tak to wiedz, że to nie był atak na Ciebie.
Bardzo lubię Z3s, lubię czytać ich teksty. Miałem też przyjemność posłuchania Adama na żywo na jednej z konferencji. Zwyczajnie nie spodziewałem się tutaj ani clickbaita i chyba za wcześnie dla mnie było na załapanie ironii ;)
Wszystkiego dobrego.
Naczelna zasada Internetu: jeśli nie masz do czego się przywalić, przywal się do jakiejś totalnie nieistotnej pierdoły…
Akurat tutaj popieram Janusza. Też mam na to alergię.
Raczej nie lubią Was na imprezach, co?
A co jeśli nie chodzę na imprezy?
Dokładnie… też mnie to zaczyna denerwować. Jest to zbyt często nadużywane
Słowo klucz „autyzm”;)
Kocham Internet za takie wpisy……….
Przestępcy nie są żadną grupą zawodową.
Złodziejstwo to nie zawód. To obraźliwe dla pracujących ludzi.
Kradzież to nie praca.
Praca jest wtedy, kiedy WNOSIMY JAKĄŚ WARTOŚĆ do życia.
Tworzymy coś, a nie niszczymy.
Złodziejstwo to zaprzeczenie tego.
Znam wiele osób które nic nie wnoszą, a pracują całe życie.
… tak, montują kierunkowskazy w Audi i BMW :-)
Niszcząc, również można tworzyć. Przykładowo niszcząc stary budynek, można stworzyć fundamenty pod nowy.
Mówisz, że złodziej nie pracuje?. Czyli jak Policjant złapie złodzieja to znaczy, że Policja też nie pracuje?.
Kiedyś też myślałem, że złodziej to nie „zawód”, ale taki opryszek musi się sporo napracować, aby dostać nagrodę.
A jak bandzior ci rozbije szybę i uszkodzi drzwi to co, nie generuje dochodu narodowego? :-)
Nie.
https://pl.wikipedia.org/wiki/Metafora_zbitej_szyby
Wlasnie po to wymyslono internety. Dla takich ripost, dla ludzi ktorzy z pewnoscia wiedza wiecej niz Ty. Kocham Cie :)
Zgodnie z twoim tokiem rozumowania należałoby przeprowadzać naloty dywanowe na losowo wybrane miasta, aby ożywić w nich gospodarkę.
Zgodnie z twoim tokiem rozumowania brunatne koszule niszczące w Niemczech w XX wieku żydowskie sklepy napędzały gospodarkę i przyczyniały się do wzrostu PKB.
Ale złodzieje, z opisanej wyżej metody wnoszą bardzo dużo inwencji, pomysłowości, wiedzy. Jak rząd Cię okrada to nazywa to podatkami :)
Odpaliłem internet w telefonie, włączyłem Facebooka – pierwsze co mi się wyświetliło – Wasz artykuł. Za sekundę push z aplikacji mBanku właśnie na ten temat.
I dobrze! :) Grunt że działają.
Już teraz wiem dlaczego banki dodatkowo weryfikują telefonicznie przelewy na konta giełd kryptowalut. Wcześniej myślałem, że to po prostu konkurencja.
Też mam takie telefony. Co jest o tyle zabawne że robię takie przelewy kurde dokładnie co tydzień, o podobnej godzinie. W pewnym momencie mogliby już sobie darować, robię wszystko żeby być powtarzalny.
I to wlasnie lubia prestepcy.
I komu by przeszkadzało aby dawać ludziom świadomym tokeny elektroniczne do transakcji bankowych? Było i jakieś pustaki marketingowe wycofali. Mogę za nie płacić, ale żeby były jako opcja.
Ja nie chce mieć wygodnie. Wygoda zawsze oznacza obniżanie bezpieczeństwa.
W bankach spółdzielczych są jeszcze tokeny
W kazdym sensownym banku sa tokeny, ale badzmy realistami: takich bankow jest malo, poniewaz token jest dla banku b. drogi w utrzymaiu. Stad wciska sie frajerom SMSy i karty-zdrapki – jak straca pieniadze, to bank nie odda nawet zlotowki, jako ze byla to wina klienta.
W Pekao SA tokeny są od dawna. Używam już kolejnego.
mBank wymaga kodu jednorazowego przy definiowaniu „zaufanego” odbiorcy, inne banki wydaje mi się że też…
Tak, ale jeśli robisz to razem z przelewem… A kod jest wyłudzany od ofiary.
No właśnie. I to jest element, który wymaga poprawy w bankach – trzeba im zwrócić uwagę, aby w SMSie pisali nie tylko o przelewie, ale także o tworzeniu zaufanego odbiorcy. Być może to pozwoli uniknąć kradzieży przynajmniej tym bardziej świadomym.
A kto czyta takie sms? Człek prosty widzi kod, każe mu go wpisać w na stronie banku to wpisuje. Zabezpieczenia już teraz są dobre, po prostu ludzie sami sobie winni a jak ktoś głupi to niech płaci za beztroskę.
Hmmm… ale czy jest wymagany tylko jeden kod autoryzacyjny w tym wypadku (robi przelew + dodaje zdefiniowanego odbiorcę), czy trzeba go podać dwukrotnie?
Z tego co pamietam w MBANK trzeba bylo 2 kody podawac na przelew i na dodanie do zaufanych, w sms wszystko opisane
Na 100% w mBanku przychodza 2 kody, wiec tracisz jedynie 22 PLN. Oczywiscie nalezy sie jeszcze polapac i zresetowac haslo, ciekawe jak w innych bankach.
Afair możesz jednym checkboxem zaznaczyć, żeby od tej chwili przelew dla tego odbiorcy był zaufany (ergo nie wymagał więcej potwierdzenia SMSem).
Pewno artykuł spisany z jakiejś obcojęzycznej strony – Polska ma najlepiej zorganizowany i najnowocześniejszy system bankowy. WE WSZYSTKICH bankach by dodać odbiorcę do zaufanych należy powtórnie podać kod. W ogóle polecam płacić kodem BLIKa – wówczas wcale nie tzreba się logować do banku.
Lepiej kartą w porównaniu do BLIK ma chargeback
Dlatego nie ma to jak fizyczne tokeny. Żadne aplikacje na telefonie. Tylko token, bez którego nic nie zrobisz (do logowania za każdym razem jest generowany kod i tak samo do każdego przelewu jest generowany inny kod). Nawet jeżeli raz się natniesz na oszustwo to nikt bez tego tokena (fizyczna kradzież i znajomość pinu) kasy co nie ukradnie. Jedyna możliwość to podstawienie danych adresata (ale i na to jest sposób, bo bank nie od razu realizuje przelew, oraz można skorzystać z wcześniej utworzonych templatek). Dodatkowo token jest mały.
Dla tego ataku fizyczny token NIC nie da. Przestępca przecież wyłudza kod. Czy wyłudzi z smsa czy z tokena to jest mu bez różnicy.
A właśnie, że da bo do każdej operacji potrzebne jest przepisanie kodu wyświetlanego na stronie bankowej podczas wypełniania danych przelewu. Te kody generowane są przez bank (dla każdej operacji) i jeżeli nie będą się zgadzać to token będzie się pluł, że kod weryfikacyjny jest błędny i do transakcji nie dojdzie. Mało tego, jeżeli ktoś inny siedzi zalogowany na stronie banku do danego konta, to przy próbie zalogowania się przez innego użytkownika ten pierwszy albo zostanie wylogowany, albo ten drugi nie zaloguje się. Tak jak napisałem – kody są generowane dla każdej sesji, tak więc to co widzi ofiara musiałoby być aktualizowane w tej samej sekundzie przez atakującego na komputerze ofiary. Poza tym w wielu bankach można zablokować dodawanie adresatów za pomocą ebankingu i wtedy trzeba udać się do banku. Utrudnia to życie klientowi, ale także i atakującemu.
Nie zgodzę się, iż token sprzętowy jest w tym przypadku lepszy. Token sprzętowy nie będzie pokazywał, jaką operację autoryzujesz.
Spoko… aplikacja / przeglądarka może być zarażona i pokazywać ci błędne dane przelewu… ;) Dzięki, wolę token. :)
SMS z banku czesto zawiera informacje czego dotyczy zatwierdzana transakcja.
To teraz naucz swoją emerytowaną Matkę lub Babcię używania tych tokenów. Problem jest w tym, że starsi ludzie dorwali się do internetów i smartfonów, kompletnie nie rozumiejąc pewnych rzeczy, a na pewno zagrożeń.
A żeby tylko starsi ludzie… Kolega zapewne nie ma dzieci?
@Monter
Powiem Ci ciekawostkę, że w moim otoczeniu panie emerytki się ponauczały tokenów, bo się cierpliwie uczyły, uczyły aż nauczyły. A ich panowie mężowie przedsiębiorcy nijak, ani w ząb, oni wszystko wiedzą, nikt nie będzie im tłumaczył, oni nie mają czasu (i dlatego m.in. jeden wszędzie koniecznie chce mieć to samo hasło, inny nie hasłuje ajfona z którego robi przelewy itd., trzeci subskrybuje co jakiś czas „usługi przez sms” wpisując kody gdzie popadnie).
Ale tak ogólnie to się z Tobą zgadzam, że ilość niezaawansowanych użytkowników systemów ostatnio bardzo wzrosła i jest to problem. Skutecznie wytłumaczyć osobie nieogarniającej i niechętnej do nauki, jak powinna używać dowolnego rozwiązania bezpieczeństwa (nawet tak podstawowego jak login & hasło) jest prawie niemożliwe. Co jakiś czas naiwnie próbuję, to wiem ;)
Czy udało Wam się ustalić, które CA tak hojnie rozdaje certyfikaty SSL?
@Tomasz
jaki widzisz powód, aby nie wydać certyfikatu dla domeny platnosc.link
Potrzebna była by treść SMS od banku, ale jeżeli bank w wiadomości nie zająknał się nawet w sprawie dodania definicji przelewu zaufanego to moim zdaniem wina leży po jego stronie i w razie sporu sądowego klient może to wykazać.
Let’s Encrypt
https://crt.sh/?q=%25platnosc.link
A gdyby tak przeglądarka albo jakiś dodatek do niej, pogrubiała albo pulsowała domeną w adresie? W tym przypadku by to zadziałało. Gdyby była końcówka .pl to też ktoś mógłby zwrócić uwagę że coś adres jest za długi. Albo dodatek w którym robimy sobie listę ważnych adresów www, np. mbank.pl, i kiedy w przeglądarce pojawi się ciąg liter mbank ale bez .pl to dostajemy jakieś ostrzeżenie. Może dałoby się zrobić takie zabezpieczenie? :)
Np. programbankowy.com – powodzenia.
przecież adres jest podzielony na dwa segmenty czarny i szary,
mi tam pogrubia ;)
firefox 53.0.3 @ mint18
Ale domena jest wyróżniania – zarówno w IE jak i Chrome jest czarną czcionką (wobec ciemnoszarej dla pozostałej jej części). Tylko mało kto na to patrzy.
Nie wiem czy zauważyłeś, ale np. kolor czcionki używany w pasku adresu Firefox jest szary , natomiast nazwa samej domeny w kolorze czarnym
A wystarczy zainstalować linuksa, zwłaszcza że wchodzi nowa wersja środowiska kde
o czym ty mówisz? chyba nie zrozumiałeś przekazu, bo nie ma różnicy czy to linux windows android czy ios..
Wm PKO BP by dodać rachunek do rachunków zaufanych potrzeba potwierdzić kodem SMS. Więc tu się raczej nie da. Do tego raczej płacę kodem BLIKa, więc nie muszę się logować na konto. I tak polecam wszystkim.
PS. Wnuk by do mnie zadzwonił i mam jego konto na swojej liście, więc żadne linki bym i tak nie klikał.
Czy kwestia hasła maskowanego jak w bzwbk nie rozwiąże niebezpieczeństwa zalogowania się przez niepowołaną osobę?
Wyjaśniając komuś, na czym polegało podstawienie strony podobnej do strony banku i co to jest nazwa domeny, postanowiłem też pokazać jak należy weryfikować „zieloną kłódkę”, w szczególności porównując z informacjami publikowanymi przez bank.
I co przeczytałem:
Odcisk palca SHA1 dla certyfikatu wystawionego dla strony informacyjnej mBanku dostępnej pod adresem http://www.mbank.pl ma wartość da 55 24 49 69 fa 2c d1 8f e6 14 4b 24 f1 3b 9c d5 88 82 9e a1.
A certyfikat przedstawia się:
CN=www.mbank.pl, O=mBank S.A.
numer seryjny: 0D:C8:08:19:90:65:32:09:95:7B:4A:18:44:14:0D:70
wystawiony przez: DigiCert SHA2 Extended Validation Server CA
Odcisk SHA1: DA:77:43:A2:8D:0D:89:72:06:48:80:2A:98:A0:E4:75:6B:E1:FB:19
Dla porządku dodam, że dla serwisu transakcyjnego online.mbank.pl, odciski SHA1 podany na stronie i wyświetlony dla certyfikatu, są zgodne.
Ja się tylko dziwię, że jeszcze nikt nie używa na dużą skalę https://en.wikipedia.org/wiki/Internationalized_domain_name i Punycode do fake’owania domen, bo co jak co, ale TLD typu .link odstają jak diabli.
reka w gore kto widzial w banku informacje jak wyglada podpis strony https banku.
U mnie nie ma szans to zadziałać. Jestem odporny na wszystkie tego typu ataki. Pewnie dlatego, że mam mniej niż 22zł na koncie…
Dla często bywających w swoim banku, jest jeszcze jedna możliwość sprawdzenia czy jesteśmy tam gdzie chcemy. Klikamy w certyfikat i patrzymy ile razy weszliśmy na daną stronę. I znając życie liczba przy lewym certyfikacie będzie 1 albo zero(nie wiem jak to maszyna zlicza), ja natomiast wejść mam 2494 i wiem że jak liczba jest mniejsza to już wałkiem śmierdzi.
Niebiezpiecznik lezy
This page (https://niebezpiecznik.pl/) is currently offline. However, because the site uses Cloudflare’s Always Online™ technology you can continue to surf a snapshot of the site. We will keep checking in the background and, as soon as the site comes back, you will automatically be served the live version
Error 502 Ray ID: 367dbdc2ca092af7 • 2017-05-31 23:33:59 UTC
Bad gateway
Wiecie cos?
Ale shitstorm pod artem, jeden janusz wart drugiego janusza… :D