Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Mieszkance powiatu lubartowskiego skradziono z konta 300 000 zł. Wyrobili w imieniu ofiary duplikat karty SIM…
O akcji donosi Policja, uzupełniając materiał o filmik, ukazujący wypłatę części skradzionych środków przez osobę zamieszaną w przestępstwo.
Jak do tego doszło? Zacznijmy od końca. Powiedzmy, że ktoś posiada dane logowania do bankowości ofiary – nazwijmy ją roboczo panią Matyldą. Czy przestępca może przelać wszystkie pieniądze na swoje konta? No nie może, bo transakcje należy dodatkowo potwierdzić kodem z SMS, bądź np. appką mobilną banku. Większość osób potwierdza transakcje kodem (źródło: intuicja autora wpisu), zatem przestępca potrzebuje mieć możliwość odczytywania SMSów kierowanych na numer telefonu pani Matyldy. Tutaj dochodzimy do sedna ataku opisywanego przez Policję:
przestępca udaje się do salonu GSM:
– puk puk jestem panią Matyldą [tutaj podaje dane ofiary, czy wręcz przestawia sfałszowany dowód osobisty; dane może pozyskać np. z jednego z wycieków czy realizując prosty rekonesans w sieci]. Przestała mi działać karta SIM. Proszę o duplikat.
– ależ oczywiście, bardzo proszę nową kartę SIM, wszystko będzie działać jeszcze dzisiaj. A może przy okazji chciałaby pani nowiutkiego iPadzika? Mamy teraz taką super promocję!
– dziękuję, dobrego dnia, mam pilne przelewy do zrobienia
Karta SIM pani Matyldy będzie lada moment wyłączona (straci ona tym samym sygnał komórkowy), ale jeśli posiada umowę z ~rozsądną kompanią telekomunikacyjną, to otrzyma wcześniej SMS-a o planowanej dezaktywacji karty. Tak też się stało w tym przypadku. Policja pisze:
Na numer telefonu zgłaszającej przyszła wiadomość sms od operatora sieci, że zgodnie z dyspozycją operator przyjął zlecenie wymiany karty sim. Karta sim pokrzywdzonej została zdezaktywowana. W tym samym czasie zadzwoniła ona do banku w którym posiadała rachunki bankowe i została poinformowana o wypłacie środków z obu kont bankowych na łączną kwotę ponad 300 000 złotych. Kobieta natychmiast zgłosiła sprawę kradzieży w lubartowskiej komendzie.
Tempo akcji trochę się nam podkręciło, bo mamy i wspomnianego SMSa o dezaktywacji. Mamy również świetną reakcję pani Matyldy – powiązanie dezaktywacji karty SIM z możliwymi problemami w banku. Mamy wreszcie kiepską informację – mimo błyskawicznej reakcji, z konta zniknęło już 300 000 zł! Z naszej strony dodajmy, że po udanej duplikacji karty SIM przestępcy mogą odczytywać SMSy (ale i rozmowy – co jest mniej ważne w tym scenariuszu) kierowane na numer telefonu pani Matyldy. Co dalej? Nastąpił (częściowo udany!) pościg za pieniędzmi wysłanymi do tzw. słupa:
W wyniku podjętych czynności została zatrzymana osoba na której dane osobowe zostało założone konto, gdzie środki zostały przelane. Jest to 32-letnia mieszkanka Warszawy. W wyniku szybko podjętych działań i czynności ponad 200 tysięcy złotych udało się odzyskać.
Pozostaje jeszcze wyjaśnić dwie rzeczy:
- Jak przestępca uzyskał dane do konta bankowego ofiary? Scenariusze mogą być różne: działanie złośliwego oprogramowania (również takiego na smartfon – np. fałszywa appka związana z przesyłką znienacka prosi nas o dane logowania do banku); sprytna socjotechnika – np. oszuści podszywający się pod prawdziwe numery infolinii bankowych; mogłaby to też być próba np. zresetowania dostępu do banku (posiadając numer telefonu i dane osobowe ofiary)
- Jak uchronić się przed atakiem? Mamy tutaj kilka możliwości:
a) włączenie autoryzowania transakcji tylko za pomocą appki bankowej
b) czujność w przypadku nagłej/trwałej utraty sygnału GSM (warto zadzwonić do banku! przy czym pamiętajcie że nie będzie to takie oczywiste, bo właśnie… utraciliście trwale sygnał GSM)
c) nie dajcie się złapać na socjotechnikę (różne akcje na dopłatę, reklamy w Google, które mogą Was skierować na „lewe” strony bankowe, wspomniane wcześniej złośliwe oprogramowanie czy fałszywi konsultanci bankowo podszywający się pod prawdziwe numery infolinii bankowych…)
d) rozważcie posiadanie osobnego, „poufnego” numeru GSM (można to czasem prosto zrealizować w formie wirtualnej karty e-sim), którego nie będziecie używać np. do zakupów w sieci (dane wyciekną, ktoś ma powiązanie Waszego numeru GSM z danymi osobowymi). Tym numerem można autoryzować transakcje (jednak i tak bezpieczniejsze będzie używanie w tym celu appki bankowej).
Przy okazji – jeśli chcecie zobaczyć więcej tego typu ataków (i wiedzieć jak się przed nimi chronić) – zapraszamy na nasze szkolenia cyberawareness dla pracowników biurowych. Tutaj z kolei możecie zobaczyć jak chronić się przed śledzeniem, nękaniem i kradzieżą swoich danych.
–Michał Sajdak.
A jaki operator komórkowy w tym „pomógł” ?
No ciekawe jaki. Bo w P4 jakiś czas temu wyrabiałem nano sim. Operator wysyłał 3 wiadomości o zleceniu wymiany karty sim w odstępie wysłane w odstępach : 1h, 2h, 1,5h. Z podanym numerem na infolinię aby zgłosić jeśli to nie ja zlecałem wymianę karty. Także duży plus dla P4, że szczegółowo informują i nie tylko jednym smsem.
Appki bankowe to krok naprzód, ale najbezpieczniejsze są tokeny sprzętowe. Według mnie powinny być obowiązkowo wspierane przez banki i dostępne dla wszystkich za ewentualną dopłatą. Chętnie bym nabył.
Czemu nie telefon? Z uwagi na ryzyko ataku na niego (niezałatany w porę OS i złośliwa appka może przejąć kontrolę nad appką bankową). Scenariusz wydaje się nierealny, ale wystarczy spojrzeć na statystyki popularności wersji Androida i zadać sobie pytanie: ile % używa niespatchowanego systemu z krytycznymi dziurami bezpieczeństwa?
Niestety świadomość problemu jest niska a ceny nowych smartfonów wysokie.
Token, to z kolei większe ryzyko phishingu. Wyobraź sobie, że wszedłeś nie na mBank, tylko na rnBank. Logujesz się (przestępca też). Przestępca widzi interfejs banku -> wyświetla go Tobie. Wydaje Ci się, że potwierdzasz przelew na 50 zł -> potwierdzasz przelew do przestępcy na 500000 zł.
Token nie pokazuje komu i ile przelewasz. SMS pokazuje. Aplikacja też. Chyba, że chodzi o klucz U2F – uodparnia na phishing, bo jest „nieprzedłużalny”. Ale jeśli masz wirusa, który w locie podmienia numer konta… :)
Rozwiązaniem przejmowania SIM-ów, byłaby weryfikacja bajeczki, że karta SIM nie działa – np. trzeba ją okazać, albo pracownik sprawdza, że faktycznie nie loguje się od x czasu.
Ale mój komputer jest wielokrotnie bardziej bezpieczny od mojego telefonu.
Na dodatek nie ma żadnej kontroli nad wydawaniem dupliktów karty SIM.
Ja wiem, że mocno odbiegam od statystycznego Kowalskiego, ale w moim przypadku karta zdrapka byłoby od wiele bezpieczniejsza do tego co jest teraz z SMSami.
A jak już jesteśmy przy apkach na telefony, to dyrektywa PSD2 wprowadzała autoryzację która jak pisałeś wymaga abyśmy wiedzieli jaką akcję wykonujemy, czyli nie ufamy urządzeniowi z którego ją wykonujemy.
To jaki ma sens logiczny „bankowanie z komórki” jak potwierdzenie transakcji widzimy na komórce z której robimy przelew i w założeniu mamy jej nie ufać.
I co to zmienia? Nic, Banki mają swoje aplikacje do bankowania i tyle. Sens? Logika?
Jak wyglądają uaktualnienia (poprawki bezpieczeństwa) dla komórek, to pozwole sobie nawet nie pisać, bo jest tragicznie. :(
Token sprzętowy ze zmiennym w czasie kodem? Czy token typu wyzwanie odpowiedź? Bo w opisanym w artykule przypadku pierwszy rodzaj ochroni konto. Ale ma podatność na inny atak. Aby daleko nie szukać kilka lat temu Tomasz T. vel Thomas vel Armaged0n zakupił na garść dolarów szkodliwy program który u ofiary podmieniał w locie numer rachunku bankowego, w przypadku gry ofiara używała funkcji kopiuj-wklej.
https://cert.pl/posts/2013/10/uwaga-malware-podmieniajacy-numer-konta-kopiowania-ze-schowka-windows/
Ofiara w takim przypadku zleca przelew szkodliwy program podmienia nr rachunku a zlecenie potwierdzone tokenem wysyłane do realizacji. W tym przypadku nie widzi co potwierdza jaki przelew i do kogo. Analogicznie do haseł ze zdrapki.
Dlatego jednak w tym przypadku apka do potwierdzania lepsza. Bo masz szczegóły transakcji z jakiego konta na jakie i jaka kwota.
Zdecydowanie popieram że jeśli transakcje / logowanie są powiązane z nr telefonu to należy używać do tego osobnego nr telefonu. To nie wychodzi drogo.
Pytam o to już chyba 7 raz w tym roku, na różnych
stronach; czy operatorzy GSM celowo robią kopię tych kart SIM a ich pracownicy mają udział w tych kradzieżach ???
I kiedy ktoś weźmie za to odpowiedzialność..
To tak jak z tymi premium smsami, których operatorzy GSM nie potrafią zablokować latami…
Albo tymi pracownikami banku, co przypadkiem przelewają miliony omijając zabezpieczenia, bo ktoś zadzwonił i podał się za właściciela…
Mnie naprawdę zastanawia, dlaczego operatorzy nie chcą otrzymać WIEEEELO-miliardowej kary (po prostu strata im się należy!) za uczestnictwo w tym procederze, a pracownicy – chcą siedzieć w tym miejscu roboty, nawet jeśli nie nadają się do GSM‐ów.
A ty umiesz odróżnić dowód „kolekcjonerski” od zwykłego? Tym bardziej, że wartwa elektroniczna nie jest obowiązkowa
A ja potrafię wykonać telefon aby sprawdzić czy jest aktywny. :)
Prosta i krótka instrukcja: https://www.gov.pl/documents/1963407/2777240/weryfikacja_autentycznosci_dowodu_osobistego_25_06_2019.pdf
Omówienie zabezpieczeń innych dokumentów: https://www.gov.pl/app/rdp/web/rdp
Dodatkowo możesz sprawdzić czy ktoś nie posługuje się unieważnionym dowodem: https://www.gov.pl/web/gov/Sprawdz-czy-dowod-osobisty-jest-uniewazniony-lub-zawieszony
„Dodatkowo możesz sprawdzić czy ktoś nie posługuje się unieważnionym dowodem”.
Niestety, aby sprawdzić, trzeba dodać swoje dane do _kolejnej_ bazy.
Z podlinkowanej strony:
„Kto może sprawdzić
Każdy, kto ma profil zaufany (eGo) lub e-dowód. […]
Jeśli chcesz zalogować się e-dowodem, potrzebna ci skrzynka ePUAP”.
Czy są ataki na apki bankowe? Telefon nie root’owany. Odrzucam też ściągnięcie fałszywej apki. Czy można uzyskać dostęp do apki bankowej przez złośliwą apkę, coś w stylu przejęcia przychodzącego sms’a.
to zależy, np od wersji systemu
„włączenie autoryzowania transakcji tylko za pomocą appki bankowej”
To tylko odrobinę spowolni atak, bo przestępca może zainstalować tą aplikację i sobie ją aktywować na swoim telefonie.
zmieńie qwa banki albo dupy ruszcie..Apkę do oddychania jeszcze sobie zróbcie
A czemu operatorzy nie zrobią prostego zabezpieczenia. Wysłanie SMSa i sprawdzenie czy dotarł jeśli tak proces wymiany karty jest wydłużany i potrzeba np. Najpierw odebrać telefon, albo pojawić się w oddziale?
Ba, czemu nikt nie zadzwoni na numer, który rzekomo nie działa?
Czynność którą potrafi wykonać kilkuletnie dziecko i którą też można banalnie prosto zautomatyzować:
Ale w ramach szybszej obsługi klienta i aby klient był zadowolony zamiast klienta czasem obsługujemy i zadawalamy złodzieja. :(
Pewnie z tego samego powodu z którego większość osób nie czyta podpisywanych umów.
Taki atak jest kierowany. Komu się chwaliła ile ma na koncie?
Może nie musiała, wystarczy insider z banku jako wspólnik.
Dokładnie, czemu autor artykułu o srcurity nie wie że na nowym telefonie można aktywować aplikację banku bez problemu
Autor z tej strony :) Ten wątek jest rzeczywiście do większego rozpoznania, bo w różnych bankach jest różnie – tak zupełnie na szybko: https://direct.money.pl/artykuly/porady/jak-przeniesc-aplikacje-mobilna-na-nowy-telefon
Nieco podobnie jak z problemami: a) czy można bez fizycznej wizyty w banku przypomnieć login & zresetować hasło do bankowości (posiadając telefon i pewne dane) b) czy można w bankowości elektronicznej względnie prosto zmienić sposób autoryzacji na SMSy
Różne banki zapewne sobie kalkulują (wygoda dla klientów; obciążenie infolinii; bezpieczeństwo)
Pandemia też dopomaga – maseczki na całą twarz nie są niczym nadzwyczajnym, a kamera sobie może…
Pytanie do ludzi, ktorzy polecaja/uzywaja apek mobilnych.
Czy zeby taka apke aktywowac nalezy podac login/haslo do bankowosci elektronicznej?
Bo jesli tak to w tym momencie to zabezpieczenie staje sie 1FA no moze 1,5FA. Jesli przestepca na kontrole nad urzadzeniem ma dostep do konta.
W przypadku PC + SIM – musi zdobyc oba ( realne 2fa ).
Szkoda ze bankowi nie maja mozliwosci zabezpieczenia konto YubiKeyem bo to rozwiazaloby praktycznie wszystkie mozwliwe problemy bezpieczenstwa.
Posiadanie poufnego numeru można wbrew pozorom i tak o kant tyłka rozbić.
Dlaczego?
Ano dlatego, że wystarczy, że raz zadzwonicie do Banku(czy gdzie indziej) z innego numeru, raz go podacie w innym celu i naraz ten numer znajduje się jako numer wykorzystywany do autoryzacji.
Przerabiałem temat z dwoma Bankami, gdzie podawałem w umowie numer stacjonarny (i tylko ten – właśnie aby było bezpieczniej, bo komórkę moją mnóstwo osób zna, a stacjonarny nie). Po latach jak przyszło co do czego to dzwonili na komórkę przy potwierdzeniu przelewu. :)
Oczywiście nikt nie potrafił wyjaśnij jak to się stało – na pewno ja podałem, jasne.
Zostawiam prawie wszędzie też unikalne emaile i jaki jest efekt?
Ano taki, że wystarczy, że raz ktoś dostanie inny email i się zaczyna. Serwis samoobsługowy założony na unikalny email a w wrazie „sprawy” maile lecą raz na jeden, raz na drugi. Ten drugi nigdzie nie występuje i nie występował w ich serwisie „samoobsługowym”, ale raz go moja matka podała agentowi aby wysłał propozycję umowy ubezpieczenia.
I wystarczy.
Po to firmy/Banki mają systemy CRM, żeby takie informacje zbierać i z nich korzystać, dlatego tej rady niestety nie widzę w praktyce. :(
P.S.
Tematu RODO nie zamierzam tutaj poruszać, bo RODO wbrew pozorom nie działa, jak się nie ma za soba prawnika np. Firma wysyła SPAM dot. szkoleń RODO z poniższą podstawą prawną. – SERIO :)
„UWAGA: Wysłanie maila, którego Państwo otrzymali nie wymaga uzyskania od Państwa zgody a tym samym nie stanowi naruszenia przepisów prawa.
Uzasadnienie:
Na gruncie RODO, zgodnie z motywem (47) „Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora (..) . Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Oznacza to, że podstawą przetwarzania Państwa danych osobowych nie jest zgoda osoby, której dane dotyczą
Na gruncie Ustawy o Świadczeniu Usług Elektronicznych – korespondencja elektroniczna nie wymaga uzyskania zgody na przesłanie informacji handlowej drogą elektroniczną, ponieważ od 21 stycznia 2013 r. zmianie uległa treść art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (UŚUDE), który obecnie stanowi, „Art. 10. 1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.” Zgodnie zatem ze znowelizowanym brzmieniem art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną – dozwolone jest przesyłanie niezamówionej informacji handlowej na firmowy adres poczty elektronicznej przedsiębiorstwa. Zgodnie z wyrokiem NSA z dnia 28 listopada 2002 r. (II SA 3389/2001) – jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Stanowisko to zostało potwierdzone w wyroku WSA w Warszawie z dnia 16 listopada 2011 r. (II SA/Wa 1009/2011).
Na gruncie Prawa Telekomunikacyjnego i zapisów Art. 172 – nie jest wymagane wyrażenie zgody przez abonenta lub użytkownika końcowego dla celów marketingu bezpośredniego z użyciem telekomunikacyjnych urządzeń końcowych w sytuacji, gdy nie używa automatycznych systemów wywołujących, co w aktualnym kontekście ma miejsce.”
Przeciez to jakas kpina! Juz rozumiesz dlaczego w ameryce biora pistolet i sprawy w swoje rece? 😁😁
Jak podales tylko stacjonarny, to jak zatwierdzales przelewy na koncie?
Jak to jak SMS. Na stacjonarne też dochodzą. A ca odczytywane głosowo.
Potwierdzam, bank (ING) sobie dzwonił już nie raz na mój numer podany tylko i wyłącznie w celu SMS z 2FA. Rodo nie pomaga że nie podałem w innym celu bo ich IOD uważa że mieli podstawę ustawową w celu ochrony interesów administratora (i przy okazji porzucenia ochrony mnie!). Nie chroni to także przed atakiem z insiderem w banku jako wspólnikiem, który wyszukuje ofiary z odpowiednim kapitałem i sprawdza od razu numer do autoryzacji.
Dlatego od 18 lat w jednym Inte ligo używam kart zdrapek z jednorazowymi kodami.
I tym sposobem nie wiesz, czy potwierdzasz przelew na 50 czy na 5000 zł, czy może dodajesz rachunek słupa do zaufanych.
jasne, wysyłam kod ze zdrapki smsem w kosmos…
o czym ty piszesz?
może najpierw zobacz, jak działa zdrapka
Jakiś czas temu jeszcze w WBK były tokeny sprzętowe a później z nich zrezygnowali, pewnie w innych także.
To ja się pytam z kim banki grają ? z kim trzymają „sztamę” ?
Powtórzę to po raz kolejny, że aby sprzedać produkt, to banki, operatorzy tak ułatwiają cały proces, że jest on łatwy dla tych dla których być nie powinien … kosztem oczywiście zwykłego człowieka.