Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przestępcy próbują aktywować bankowości elektroniczne ofiar na swoim sprzęcie. Uważajcie!
O temacie ostrzega CERT Orange (w kontekście ING), a równolegle otrzymaliśmy niezależną informację (klient mBank), którego w ten podobny sposób próbowano atakować.
Jak widzicie ofiara używa Androida, a ktoś próbuje skonfigurować jej bankowość elektroniczną na iPhone (na zupełnie innym numerze).
Generalnie jest to możliwe, ale wymaga zazwyczaj (w różnych bankach może być różnie):
- Znajomości pewnych danych ofiary (np. numer telefonu, PESEL, nazwisko panieńskie matki) – ale te dane często przestępcy mogą znać bądź z wycieków bądź w wyniku sprytnego użycia socjotechniki
- Akceptacji aktywacji nowej instalacji przez właściciela konta – tutaj przestępcy używają różnego rodzaju socjotechniki, aby wymóc na nas taką akceptację
Jeśli zobaczycie tego typu komunikat jak na zrzucie, od razu skontaktujcie się z bankiem. Swoją drogą, niektóre banki mają całkiem sprawne systemy antyfraudowe, potrafiące automatycznie zablokować stosowny kanał (czy nawet całe konta) – ostatnio testowaliśmy mBank i wypadło to całkiem dobrze :-) Również jeśli chodzi o sprawne odzyskanie dostępu.
Z drugiej strony – jeszcze raz: żaden system antyfraudowy nie pomoże, jeśli pod jakimś pozorem zaakceptujemy przestępcom aktywację bankowości mobilnej na ich urządzeniu.
Jeśli ktoś z Was / Wasz znajomy miał podobną historię – dajcie nam znać (sekurak@sekurak.pl) – za fajne zgłoszenia czekają sekurakowe gadgety :-)
~Michał Sajdak
Poprawcie sobie błąd w artykule. Mówicie o kliencie mBanku natomiast screen tyczy się ING. Pozdrawiam
Jest OK, czyli CERT informuje o ING, my mamy info o kliencie mBank
Mbąk jest aż za dobry w blokowaniu kont. Akt notarialny podpisany, jeszcze przelew na konto sprzedającego mieszkanie. Wiadomo, kwota rzędu pół miliona. Dzwoni konsultant i chce części numeru karty – do weryfikacji, że ja to ja. Karty ze sobą nie mam, więc trzeba jechać do oddziału. Tam wyjaśnienie, odkręcenie i zlecenie przelewu zajmuje godzinę.
Mam odczucie, że dzwoniący konsultant nie powinien pytać o fragment numeru karty, bo to brzmi jak próba wyłudzenia. Mbąk sam się prosi o wpadkę.
Bankowosc na smarphonie to krok wstecz jesli chodzi o bezpieczenstwo.
Dlaczego w przypadku korzystania z PC musisz miec 2 niezalezny czynnik – SMS, token? Ktory jest poza juryzdykcja PC?
A w przypadku smartphona ktory de facto jest obecnie mini-PC z opcja dzwonienia juz ten wymog ginie?
Morduja bezpieczenstwo w imie „wygody” to pozniej tak jest…
Sms jako 2fa to proszenie się o nieszczęście. Równie dobrze można wcale nie korzystać z tego rodzaju uwierzytelnienia – ogarnięty gimnazjalista jest w stanie przeprowadzić atak przez sim swap.