Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Dzwonią z autentycznych numerów infolinii bankowych – wyłudzają kody SMS autoryzujące transakcje. Możecie stracić oszczędności życia
Zwięzły i precyzyjny opis sytuacji przedstawił zespół CERT Polska:
Ostrzegamy przed bardzo dobrze przygotowanym atakiem telefonicznym, w którym przestępcy próbują uzyskać kod SMS potrzebny do utworzenia odbiorcy zaufanego. W konsekwencji umożliwia to kradzież środków z konta. Atakujący dzwonią do ofiar podszywając się pod numer telefonu infolinii banku i proszą o kod SMS, najczęściej w bardzo nachalny sposób. Co ważne, numer infolinii nie jest pod kontrolą przestępców, dzwoniąc pod niego połączymy się z bankiem. Niestety telefonia GSM umożliwia podszycie się pod dowolny numer telefonu (tzw. spoofing). Przestępcy wykorzystują do tego celu wyspecjalizowane serwisy.
O technice tej jako pierwszy powiadomił nas Idea Bank, ale z informacji medialnych wynika, że inne banki też są tak atakowane. Przekażcie posta znajomym, niezależnie w jakim banku mają konto i pamiętajcie aby zgłaszać takie telefony na https://incydent.cert.pl – pozwoli to nam skuteczniej pracować z bankami w zakresie zwalczania tego typu praktyk.
Podsumujmy najistotniejsze kwestie:
- Atakujący dzwonią z realnego numeru infolinii bankowych (można to zrealizować gotowymi – nawet on-lineowymi – narzędziami realizującymi podszycie się pod dowolny numer GSM) – nie jest to atak ani na bank, ani na sieć GSM; jest to wykorzystanie pewnej nieprzyjemnej właściwości sieci komórkowych (wszyscy ufają wszystkim)
- Atakujący wykradają kod umożliwiający zdefiniowanie tzw. zaufanego odbiorcy = mogą realizować w przyszłości przelewy na własne konto, bez posiadania dodatkowych kodów SMS
- Pamiętajmy, że aby wykraść środki, atakującym nie wystarczy sam kod przesłany SMS-em – potrzebują jeszcze Waszego loginu / hasła do bankowości (czyli drugiego czynnika uwierzytelniającego)
- Nie powinniśmy podawać żadnych kodów autoryzacyjnych w przypadku kiedy ktoś do nas dzwoni (niezależnie z jakiego numeru). Najlepiej w ogóle nie podawać numerów autoryzujących transakcje w rozmowie telefonicznej.
- Czytajmy kody z SMS-ów. Kody nie są uniwersalne (mogące autoryzować każdego rodzaju transakcję) – tylko unikalne per konkretny typ autoryzowanej operacji. Czyli jeśli robicie przelew a otrzymujecie kod opisany jako 'dodanie nowego autoryzowanego kontrahenta’ – to prawdopodobnie jest realizowany na was atak.
–ms
Trochę dużo wymagań – login, hasło i jeszcze kod z sms. Są jakieś przypadki gdzie ktoś to wszystko podał?
Wątpię, trzeba by mieć IQ pomidora lub jakaś dysfunkcję mózgu.
Wasza wiara w typowego zjadacza chleba jest niemalże budująca. ;’)