Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Halo tu bank. Wykryliśmy nietypową transakcję. Proszę teraz…” Phishing roku?
Zobaczcie na ten wątek, który pozwoliliśmy sobie przetłumaczyć:
- Halo tu twój bank. Wykryliśmy podejrzaną transakcję kartą kredytową w Miami. Czy pan ją wykonywał?
- Nie
- OK, w celu weryfikacji że rozmawiam z Piotrem proszę o podanie swojego ID logowania do banku.
- Dziękujemy. Zaraz otrzyma Pan, z banku kod PIN, który proszę przeczytać.
- <na SMS-a przychodzi kod z prawdziwego numeru banku>
- Dziękujemy, kod się zgadza.
- Przeczytam panu kilka ostatnich transakcji. Proszę powiedzieć czy pan je wykonywał…
- Tak…
- W porządku, proszę podać kod PIN do karty abyśmy mogli ją zablokować
- AAAAAAAAAAAAAAA! [jeśli podałbyś tu PIN tracisz $$$ z karty]
Co tu się wydarzyło? Zobaczmy to jeszcze raz:
- Halo tu twój bank. Wykryliśmy podejrzaną transakcję kartą kredytową w Miami. Czy pan ją wykonywał? [telefon do ofiary z opisem dość pilnej / niemiłej sytuacji ]
- Nie
- OK, w celu weryfikacji że rozmawiam z Piotrem proszę o podanie swojego ID logowania do banku [ wyciągnięcie loginu do bankowości ]
- Dziękujemy. Zaraz otrzyma Pan, z banku kod PIN, który proszę przeczytać. [ użycie normalnej funkcji resetu hasła w bankowości ]
- <na SMS-a przychodzi kod z prawdziwego numeru banku> [ do ofiary przychodzi pin do resetu hasła ]
- Dziękujemy, kod się zgadza. [ napastnicy mają dostęp do konta ]
- Przeczytam panu kilka ostatnich transakcji. Proszę powiedzieć czy pan je wykonywał… [ uwiarygodnienie faktu: jesteśmy na pewno z banku ]
- Tak…
- W porządku, proszę podać kod PIN do karty abyśmy mogli ją zablokować [ tutaj mogłoby nastąpić niemal dowolne krytyczne pytanie, w tym przypadku prawdopodobnie atakujący posiadali dane karty ofiary, brakowało PIN-u ]
- AAAAAAAAAAAAAAA! [jeśli podałbyś tu PIN tracisz $$$ z karty]
Chwilowy eksperyment przestępców, a może to nowa fala, która dojdzie i do nas?
–ms
Ok., ale jak koledzy wysyłają sms z „prawdziwego numeru banku”? Oraz w jaki sposób uzyskują informacje o transakcjach przed uzyskaniem PINu do karty? Włam na komputer klienta?
jest kilka możliwości a) spoofing numeru b) odpalają procedurę resetu hasła na normalnej stronie bankowej (przypadek z newsa)
Tak jak pod spodem dodano wyjaśnienie, co tam się działo w tle: użycie funkcji resetu hasła (bo login znają) triggeruje wysłanie smsa faktycznie od banku. TU jest wprawdzie szansa, że oszukiwany się może połapać po treści smsa, jeśli ta zdradza co się dzieje (ale sam pamiętam, jak korzystałem z MilleNet, że był pin/token 6cyfrowy i stały komunikat bez szczegółów).
Informacje o transakcjach: po zalogowaniu do bankowości internetowej (mogą to zrobić, hasło zresetowali, ustawili nowe) można je zobaczyć (chyba, że to ich pokazania serwis internetowy wymagałby kolejnego hasła, ale idę o zakład, że tak nie jest). Atak może być też bezpośrednio na rachunek- historię rachunku już wiem na pewno, że pokazują bez dodatkowej autoryzacji po zalogowaniu.
I tu właśnie atak niekoniecznie musi być na kartę, można np. dodać nowy nr konta do zaufanych przelewów, wyprowadzając oszczędności życia ofiary :P w końcu jaki problem poprosić o kolejny token sms np. celem zgłoszenia wydania nowej karty? [tudzież dowolnej innej wymówki]
Pierwszą transakcję podają jakąś randomową – ta ma być fikcyjna. Późniejsze czytają już po resecie hasła patrząc na historię
Dlatego nigdy się nie autoryzuje jak to do mnie ktoś dzwoni – bo to pierw oni powinni się autoryzować.
Co jest o tyle śmieszne i dziwne, że zawsze jak dzwoni do mnie bank to nawet nie chcą powiedzieć kto i w jakiej sprawie dzwoni „Dzień dobry, dzwonię z banku, czy z panem X?”. Bez informacji jaki bank ;)
A to getin czy idea? A może jeszcze inny bank sie wstydzi przedstawić. Bo z tych dwóch to jakos sie boją i dzwonią z egzotycznych nr. Zawsze inny.
Dobre!
Ale mam coś podobnego: pewnego dnia w swoim banku musiałem wydać pewną dyspozycję wiążącą się z formą pisemną (wniosek przesłany pocztą do banku). Po paru dniach najwyraźniej przesyłka dotarła bo dzwonili do mnie, ale rozmowa wyglądała tak:
– dzień dobry, dzwonię z banku (brak nazwy, nie przedstawienie się), czy rozmawiam z Panem X Y (tu moje imię i nazwisko)?
– a kto pyta (postanowiłem wziąć ich pod włos)? Jaki bank, bo nie dosłyszałem?
– nie mogę Panu powiedzieć z jakiego banku dzwonię dopóki nie potwierdzi Pan danych (hit)
– moment, ale to Pani do mnie dzwoni, nie przedstawia się i nie podaje nazwy banku…
– nie mogę podać nazwy banku (dalej się nie przedstawia)
– aha, no to ja nie mogę dalej z Panią rozmawiać, skoro Pani się nie może przedstawić, bo skąd mam wiedzieć czy to nie reklama lub próba wyłudzenia danych? (klik).
Po tej rozmowie (domyśliłem się kto i po co) dodzwoniłem na infolinię banku i uzyskałem info, że… takie są procedury i koniec. Po wyłożeniu im łopatologicznie jak taki telefon może zostać odebrany lub jakie ta procedura ma luki rozmówczyni obiecała sprawę przekazać wyżej.
Było to jakiś czas temu, ciekawe czy cokolwiek zmieniono. Do dziś też nie wiem po co oddzwanianie do wniosku z moim podpisem na ich własnym druku.
Trzeba być ułomnym żeby się na to nabrać ( każdy SMS przynajmniej w mbank jest opisany co autoryzuje to raz, dwa po co komuś pin na odległość ? Bardziej chyba kod z tylu karty. Dodatkowo przy płatności online mamy potwierdzenie kodem SMS
Błędem było już podanie ID do banku. Cała reszta jest normalna, to znaczy opiera się na głupocie usera, który dopiero przy pytaniu o pin zrobił AAAAA!
tak, choć to taka strategia małych kroczków. Ludzie myślą (szczególnie w stresie/pod presją): „ID do banku, przecież to nie jest tajne”
Dla tego dobrze jest jak bank ma opcje potwierdzania przelewów za pomocą np sms lub karty z kodami choć pewnie też dadzą radę to ominąć
Podoba mnie sie to. Pomijajac wszystko, cenie u ludzi cechy który pomogly im to w taki sposob rozegrac : ) Sposob wykorzystania ich moze sie nie posobac ale 'pomyslowosc’ jak najbardziej na tak, a procz tego swietny przyklad 'hackowania glowa’ i ludzi a nie komputery – psychoanaliza, przewidywanie, takie szachy troche, ale chuj tam. Inspirowani sztuka podstepu Mitnicka.. I tak czysto statystycznie na koniec, ile dziennie telefonow wykonaja, loteria teoretycznie do kogo sie dodzwonia ale obstawiam, ze przy 'dobrym rozegraniu’ 50% maja JAK W BANKU.. : )
Dzisiaj otrzymałem podobny telefon. Informowano mnie ze podono jakieś podejrzane transakcje na karcie miałem. Dopytywałem z jakiego banku dzwonią ale zorientowałem się że dzwonił bot.