Dzwonią z autentycznych numerów infolinii bankowych – wyłudzają kody SMS autoryzujące transakcje. Możecie stracić oszczędności życia

31 sierpnia 2019, 20:22 | W biegu | komentarze 3
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Zwięzły i precyzyjny opis sytuacji przedstawił zespół CERT Polska:

Ostrzegamy przed bardzo dobrze przygotowanym atakiem telefonicznym, w którym przestępcy próbują uzyskać kod SMS potrzebny do utworzenia odbiorcy zaufanego. W konsekwencji umożliwia to kradzież środków z konta. Atakujący dzwonią do ofiar podszywając się pod numer telefonu infolinii banku i proszą o kod SMS, najczęściej w bardzo nachalny sposób. Co ważne, numer infolinii nie jest pod kontrolą przestępców, dzwoniąc pod niego połączymy się z bankiem. Niestety telefonia GSM umożliwia podszycie się pod dowolny numer telefonu (tzw. spoofing). Przestępcy wykorzystują do tego celu wyspecjalizowane serwisy.

O technice tej jako pierwszy powiadomił nas Idea Bank, ale z informacji medialnych wynika, że inne banki też są tak atakowane. Przekażcie posta znajomym, niezależnie w jakim banku mają konto i pamiętajcie aby zgłaszać takie telefony na https://incydent.cert.pl – pozwoli to nam skuteczniej pracować z bankami w zakresie zwalczania tego typu praktyk.

Podsumujmy najistotniejsze kwestie:

  • Atakujący dzwonią z realnego numeru infolinii bankowych (można to zrealizować gotowymi – nawet on-lineowymi – narzędziami realizującymi podszycie się pod dowolny numer GSM) – nie jest to atak ani na bank, ani na sieć GSM; jest to wykorzystanie pewnej nieprzyjemnej właściwości sieci komórkowych (wszyscy ufają wszystkim)
  • Atakujący wykradają kod umożliwiający zdefiniowanie tzw. zaufanego odbiorcy = mogą realizować w przyszłości przelewy na własne konto, bez posiadania dodatkowych kodów SMS
  • Pamiętajmy, że aby wykraść środki, atakującym nie wystarczy sam kod przesłany SMS-em – potrzebują jeszcze Waszego loginu / hasła do bankowości (czyli drugiego czynnika uwierzytelniającego)
  • Nie powinniśmy podawać żadnych kodów autoryzacyjnych w przypadku kiedy ktoś do nas dzwoni (niezależnie z jakiego numeru). Najlepiej w ogóle nie podawać numerów autoryzujących transakcje w rozmowie telefonicznej.
  • Czytajmy kody z SMS-ów. Kody nie są uniwersalne (mogące autoryzować każdego rodzaju transakcję) – tylko unikalne per konkretny typ autoryzowanej operacji. Czyli jeśli robicie przelew a otrzymujecie kod opisany jako ‚dodanie nowego autoryzowanego kontrahenta’ – to prawdopodobnie jest realizowany na was atak.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Trochę dużo wymagań – login, hasło i jeszcze kod z sms. Są jakieś przypadki gdzie ktoś to wszystko podał?

    Odpowiedz
    • Olga

      Wątpię, trzeba by mieć IQ pomidora lub jakaś dysfunkcję mózgu.

      Odpowiedz
      • Daniel

        Wasza wiara w typowego zjadacza chleba jest niemalże budująca. ;’)

        Odpowiedz

Odpowiedz