NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Grupa o której mowa będzie podszywać się już mniej – została niedawno rozbita przez Centralne Biuro Zwalczania Cyberprzestępczości.
Atakujący wykorzystywali technikę spoofingu GSM – czyli podszywali się pod prawdziwe numery infolinii bankowych. Innymi słowy – widzisz połączenie z prawdziwego numeru, podanego na stronie bankowej – to pewnie dzwoni do Ciebie bank? Otóż niekoniecznie.
Scam scenariusz wyglądał np. tak:
do pokrzywdzonej zadzwonił mężczyzna podający się za pracownika działu bezpieczeństwa jednego z polskich banków, oświadczając, że środki pieniężne zgromadzone na rachunku bankowym tej osoby są zagrożone i jest pilna potrzeba, aby wpłacić je na rachunek techniczny
W jaki sposób niby te środki mogą być “zagrożone”?
Np. rzekomo złożono wniosek kredytowy i teraz “możemy pomóc ochronić pieniądze przed tym fałszywym kredytem” – oczywiście po przelaniu środków na “rachunek techniczny” – pieniądze znikają.
Czasem w akcji może być wykorzystane również podszywanie się pod nadawcę SMSa, wtedy cała akcja może wyglądać tak (zwróć uwagę na sfałszowaną nazwę nadawcy):
✅ Najlepiej w takiej sytuacji się rozłączyć oraz samodzielnie wybrać prawidłowy numer do banku – potwierdzając czy dana historia rzeczywiście ma miejsce
✅ Część banków ma możliwość weryfikacji konsultanta w appce bankowej (bardzo dobra opcja – korzystajmy z niej)
❌ Niestety nie ma skutecznej ochrony przed spoofingiem (podszywaniem się pod numer GSM czy pod nadawcę SMSa).
PS
O tej oraz innych aktualnych technikach hackerskich oraz ochronie przed nimi opowiemy niebawem na praktycznym szkoleniu cyberawareness dla firm – zapraszamy :-)
~ms
Bzdura. Jest jeden prosty sposób ochrony przed spoofingiem: nie mieć telefonu. Niestety, coraz więcej organizacji wymaga go, chyba po to by można było stać się ofiarą spoofingu lub dostawać reklamy.
Ale bzdurę żeś napisał. Nawet jeśli to troling to i tak miernie.
Po co w takiej sytuacji dzwonić do banku z prośbą o potwierdzenie? Jeśli pracownik prosi o przelew na rachunek techniczny w celu ochrony środków, czy nie daje to wystarczającej pewności co do tego że to nie bank dzwoni? ;) “Najlepiej w takiej sytuacji” udawać przejętego i mocno nierozgarniętego użytkownika, który bardzo chce zabezpieczyć swoje setki tysięcy na koncie, ale ciągle coś mu nie wychodzi. Im dłużej się popastwimy nad takim oszustem, tym mniejsza szansa że w międzyczasie kogoś innego nabierze. Można też spróbować poćwiczyć swoją socjotechnikę i przekonać “pracownika banku” że w celu zabezpieczenia wypłaci się środki z konta, a przy odrobinie szczęścia pomogą je zabezpieczyć wysyłając policjanta. :D
Co to za dział bezpieczeństwa który wymaga przelania środków na nowe konto żeby uniemożliwić oszustom wzięcie kredytu?
A skąd ma o tym wiedzieć 60-latek?
Jeśli nie będą o tym trąbić w teleekspresie, TV-Rydzyk i nie będzie to wplecione w najnowszy odcinek Klanu, to tacy ludzie nigdy nie załapią o co tu chodzi.
Z weryfikacją konsultanta w apce bankowej może być różnie i w dużej mierze zależy od implementacji po stronie banku. Już zdarzają się pierwsze przypadki gdy scammer jednocześnie dzwoni do ofiary i do banku, w związku z czym ofiara otrzymuje prawdziwe powiadomienie że ktoś podający się za nią właśnie rozmawia z konsultantem.
https://www.reddit.com/r/UKPersonalFinance/comments/1cih3kd/been_scammed_over_18000_through_my_chase_account/
Nie ma co się dziwić, że ludzie dają się nabrać na ten czy inny sposób, są przypadki gdzie do oszustwa pociągnięci byli fachowcy z branży i prawie dali się naciągnąć. Moim zdaniem każdego można zrobić, kwestia tylko chwili, sposobu itd.. Dlatego tak ważne jest zgłaszanie podobnych przypadków do takich firm jak Sekurak, do banków, CERTu itd.. Ponieważ tylko w ten sposób kolejne metody są demaskowane.
Ja nie dalbym sie nabrac wiec nie kazdego. Takie cos na kilometr smierdzi, a po rozbiciu calej tej dziwnej prosby, formy sformulowan, stylistyki, nazewnictwa, etc widac cala mase dziwnych szczegolow.