info:niebezpiecznik.plCiekawą kradzieżZaloguj lub Zarejestruj się aby zobaczyć!jeden z użytkowników Wykopu. Jego Tata najpierw odebrał SMS-a z T-Mobile, że ustawiono przekierowanie rozmów przychodzących na jego numer na inny numer telefonu, a następnie zorientował się, że ktoś ukradł mu pieniądze z konta w banku.
Jak przebiegał atak?
Z naszych ustaleń wynika, że przestępca uzyskał dostęp do skrzynki pocztowej ofiary.. Jak? To pozostaje zagadką. Mógł poznać hasło ofiary, które wyciekło z innego serwisu i było takie samo jak do skrzynki e-mail, mógł wcześniej przeprowadzić atak phishing na ofiarę. Analiza korespondencji, która się znajdowała się na skrzynce ofiary, pozwoliła przestępcy na pozyskanie kilku informacji na temat ofiary, co najmniej takich jak jego PESEL i nazwisko panieńskie matki. Nie jest tajemnicą, że sporo osób korzysta z e-maila do przekazywania np. skanów umów ubezpieczycielom czy innym podmiotom…
Przekierowanie numeru telefonu na inny po stronie T-Mobile
Bogatszy o tę wiedzę, przestępca ustawił przekierowanie rozmów przychodzących z numeru telefonu ofiary na swój numer telefonu (79667176x). Jak? Z naszych ustaleń wynika, że ofiara nie miała żadnego “internetowego konta w T-Mobile”, do którego hasło możnaby odzyskać przez kontrolowaną już na tym etapie skrzynkę e-mail ofiary. Przestępca musiał więc wydać dyspozycję przekierowania numeru inaczej. Zapewne skontaktował się z infolinią T-mobile i tam uwierzytelnił się jako ofiara. Wielu danych nie musiał mieć. Wedle naszego czytelnika wystarczy PESEL i nazwisko ofiary. To trochę …skandaliczne:
Zaloguj lub Zarejestruj się aby zobaczyć!
T-Mobile na szczęście informuje abonenta SMS-em, że jego numer został “przekierowany” na inny. Te SMS-y ofiara dostała, ale niestety nie od razu zrozumiała, czym to może grozić i nie zareagowała w porę kontaktem z operatorem.
Zaloguj lub Zarejestruj się aby zobaczyć!
Zwróćcie uwagę, że nie ma przekierowania SMS-ów. Przekierowane zostały tylko połączenia telefoniczne.
Kradzież pieniędzy z konta w mBanku
Chwilę po przekierowaniu rozmów, z konta ofiary w mBanku zniknęły pieniądze. Jak? Skoro przestępca nie dysponował loginem i hasłem do konta bankowego ofiary? Jak? Skoro aby zmienić numer telefonu przypisany do konta w mBankuZaloguj lub Zarejestruj się aby zobaczyć!albo móc odebrać SMS na starym numerze (a przestępca nie jest w stanie odbierać SMS) albo dysponować dowodem i zrobić to w placówce (a przestępca nie ma dowodu ofiary i jest to ryzykowne) albo wysłać wniosek potwierdzony notarialnie (znów przestępca nie ma dowodu ofiary i jest to ryzykowne)?
Strzelamy, że przestępca na tym etapieZaloguj lub Zarejestruj się aby zobaczyć!, którą ktoś może aktywować w imieniu innej osoby bez konieczności znajomości loginu i hasła tej osoby do jej konta bankowego, o ile zna następujące dane:
- PESEL
- nazwisko panieńskie matki
- i ma możliwości odebrania połączenia (nie SMS-a!) głosowego na numerze ofiary (automat mBanku czyta PIN, który trzeba przepisać)
Zaloguj lub Zarejestruj się aby zobaczyć!
Proces aktywacji aplikacji mobilnej mBanku
Jak widać, na tym etapie przestępca miał wszystko, czego potrzebował aby aktywować aplikację mobilną mBanku. Po aktywacji, bez znajomości loginu i hasła ofiary, przestępca był w stanie wyprowadzić środki przelewem (zapewne na jedną z giełd kryptowalut, jak to zwykle bywa).
Zaloguj lub Zarejestruj się aby zobaczyć!
Domyślne limity dla aplikacji mBanku
Na szczęście, w tym wariancie ataku, aplikacja mobilna mBanku ma po stronie banku nałożoneZaloguj lub Zarejestruj się aby zobaczyć!. Nie można za jej pomocą wyprowadzić z konta więcej niż 5000 złotych. Więc szczęście w nieszczęściu — starty ofiary powinny być raczej niewielkie w porównaniu do innych ataków, w których ludzieZaloguj lub Zarejestruj się aby zobaczyć!.
Zaloguj lub Zarejestruj się aby zobaczyć!
Domyślny limit w aplikacji mBanku
Warto też odnotować, że po takim dopięciu aplikacji mobilnej, mBank wysyła SMS-a na numer telefonu właściciela konta, a więc może się on dowiedzieć, że zaraz może stracić pieniądze. O ile w porę SMS-a odczyta…
Zaloguj lub Zarejestruj się aby zobaczyć!
Wygoda a bezpieczeństwo w bankach…
Niektórych może zastanawiać, dlaczego mBank przy kojarzeniu aplikacji mobilnej z kontem nie prosi o podanie loginu i hasła. My się domyślamy powodu technicznego, ale żeby być pewnym, skierowaliśmy w tej sprawie do mBanku oficjalne zapytanie. Powód nietechniczny jest oczywisty. Łatwość konfiguracji, która jest równoważona minimalizowaniem ryzyka ewentualnej kradzieży środków przez domyślny limit na wypłatę przez aplikację. To oznacza, że zapewne takich ataków, jak opisany w tym artykule, mBank nie odnotowuje jeszcze zbyt wiele i nie stanowią istotnego (czyt. kosztownego dla banku) problemu.
Dostępność bankowych usług a ich bezpieczeństwo to swoją drogą ciężki orzech do zgryzienia. Chyba najboleśniej w Polsce przekonał się o tym BZ WBK, który kiedyś wpadł nie niezbyt rozsądny pomysł wyłączenia dwuskładnikowego uwierzytelnienia swoim klientom dla pewnych transakcji i bardzo szybko bardzo mocno tego pożałował, por.Zaloguj lub Zarejestruj się aby zobaczyć!.
Mam konto w (m)Banku — co robić, jak żyć?
1. Przede wszystkim, stosuj unikatowe hasła, czyli inne do każdego konta i włącz dwuskładnikowe uwierzytelnienie na swojej skrzynce e-mail. To od nieautoryzowanego dostępu do skrzynki e-mail zaczął się opisywany w artykule atak. Dwuskładnikowe uwierzytelnienie najlepiej skonfigurować w oparciu o token U2F np. Yubico. Jak to zrobić i dlaczego właśnie w tak opisaliśmy w artykuleZaloguj lub Zarejestruj się aby zobaczyć!. Niezależnie od tego jaki ktoś ma stosunek do firmy Google, naszym zdaniem to GMail daje przeciętnemu internaucie największe bezpieczeństwo,Zaloguj lub Zarejestruj się aby zobaczyć!.
2. Dobrze byłoby też zablokować możliwość przekierowania swojego numeru telefonu na inny po stronie operatora, ale niestety nie są na znane takie blokady w przypadku sieci T-Mobile. Prawdą też jest, że ktoś może Wam złośliwe przekierowanie ustawić na wiele sposobów i czasem prosta technika na pracowniku operatora wystarczy. To jest poważny problem, ale niestety nie będziecie w stanie nic na to zaradzić. Dlatego lepiej po prostu kupić dodatkową kartę SIM (nowy numer) i ten numer, niepodawany nikomu i nigdzie niewykorzystywany skonfigurować jako numer do SMS-ów z kodami po stronie banku. Tak, jest to upierdliwość, bo trzeba będzie nosić ze sobą dodatkową kartę SIM. No cóż, bezpieczeństwo wymaga poświęceń.
Z naszego krótkiego researchu wynika, że najlepsza będzie karta prepaid w Plusie/Plush. Dla tych kart Plus nie oferuje w ogóle możliwości włączenia przekierowania połączeń. Czy to przez infolinie, czy krótkim kodem. Dla numerów abonamentowych w Plusie, przekierowanie jest możliwe, ale tylko krótkim kodem wprowadzanym z telefonu, nie przez infolinię.
3. Zmień limit w banku dla aplikacji mobilnych. Ustaw go na zero, jeśli nie korzystasz z aplikacji mobilnej. W mBanku robi się to w Ustawienia –> Bezpieczeństwo –> Limity:
Zaloguj lub Zarejestruj się aby zobaczyć!
Zauważ, że wcale nie potrzebujesz aplikacji mobilnej mBanku. Operacje na swoim koncie możesz robić po prostu za pomocą przeglądarki internetowej na telefonie. Więc spokojnie możesz “wyzerować” te limity. Pamiętaj, że instalowanie jakiejkolwiek dodatkowej aplikacji, która nie jest nam niezbędna (a aplikacja mBanku do takiej kategorii należy) zwiększa ryzyko innych ataków. A bo sciągniemy nie tą co potrzeba, a bo na Androidzie ktoś nas zainfekuje i wykradnie dane z tej aplikacji, a bo producent aplikacji będzie miał dostęp do naszych danych na telefonie, takich jak książka kontaktowa czy lokalizacja, co może mieć negatywny wpływ na naszą prywatność. Oczywiście możesz też uznać, że aplikacja jest wygodna i opisane wyżej “ryzyka” nie są dla Ciebie problemem — ważne żebyś wiedział, czym grozi brak wyzerowania limitów jeśli masz numer telefonu w T-Mobile, a ktoś zna nazwisko panieńskie Twojej mamy i Twój PESEL.
Zaloguj lub Zarejestruj się aby zobaczyć!
Na sam koniec warto wspomnieć o jeszcze 3 trikach, które warto zastosować, a które nie tylko minimalizują ryzyko kradzieży środków, ale także pozwalają szybko wykryć ewentualny nieautoryzowany dostęp do naszego rachunku:
Zaloguj lub Zarejestruj się aby zobaczyć!także dla innych typów transakcji. Przede wszystkim dla kart płatniczych (robi się to w innym miejscu niż limity dla konta). O tym dlaczego, mówiliśmy w drugim odcinku naszegoZaloguj lub Zarejestruj się aby zobaczyć!. Zaloguj lub Zarejestruj się aby zobaczyć!o przelewach wychodzących w ustawieniach konta. Dowiesz się, jeśli jakieś środki opuszczą Twój rachunek, a po dodatkowej konfiguracji, dostaniesz też informację, że ktoś zalogował się do twojego konta w serwisie internetowym banku lub uwierzytelnił się jako ty na mLinii. Jeśli to nie byłeś ty — powiadom jak najszybciej bank. Zaloguj lub Zarejestruj się aby zobaczyć!. Dzięki temu, ktoś kto włamie Ci się na pocztę, nie będzie w stanie poznać wysokości twojego salda, szczegółów rachunku, historii ostatnich operacji i innych danych, które mogą być przydatne w atakach socjotechnicznych m.in. na infolinię banku.
Jeśli niestety czytasz ten artykuł jako ofiara, którą ktoś okradł, to pamiętaj aby zastrzec swój dowód osobisty, jeśli miałeś jego obraz lub dane, które się na nim znajdują na e-mailu (imię, nazwisko, pesel, numer i serię). Przestępcy często wyrabiają tzw. “dowód kolekcjonerski” na pozyskane w ten sposób dane i za pomocą takiego dowodu wnioskują o pożyczki w różnych firmach i bankach. Pożyczek nie spłacają a dług dotyczy …twojego PESEL-u. Dowód możesz zastrzec w każdym banku lub na policji.
Aktualizacja 13.01.2018, 17:57
W pierwszej wersji tego artykułu znajdował się akapit sugerujący, że jedną z metod ochrony jest instalacja aplikacji mBanku zanim zrobi to przestępca. To miało blokować możliwość instalacji kolejnych kopii aplikacji. Niestety, sprawdziliśmy i konsultant na mLinii z którym rozmawialiśmy wprowadził nas w błąd. Zainstalowanie aplikacji nie blokuje możliwości spięcia kolejnej jej kopii na innym urządzeniu z tym samym kontem bankowym. Ktoś, kto ma PESEL, panieńskie matki i przekierowany numer ofiary, jest w stanie dopiąć do jej konta kolejną aplikację mobilną mBanku. Błędny akapit usunęliśmy i zamiast niego wstawiliśmy poradę dotyczącą zmniejszenia limitów transakcji aplikacji mobilnej na zero.
Zapoznaj się też z naszym darmowym poradnikiem dotyczącym tego jak bezpiecznie korzystać z bankowości internetowej pt.Zaloguj lub Zarejestruj się aby zobaczyć!. Pokaż go swoim rodzicom i księgowym w firmie.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!