Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Podał się za klienta banku, poprosił na infolinii o zmianę numeru telefonu do SMS-ów. Bank: OK. Z konta zniknęło 150 000 PLN

10 maja 2020, 15:55 | W biegu | komentarze 24

Scenariusz ataku przed, którym ostrzega Policja podaliśmy w tytule. Zacytujmy większy fragment:

Do jednego z banków zadzwonił mężczyzna, który przedstawił się jako właściciel konta. Poinformował pracownika banku, że ma problem z zalogowaniem się na swój rachunek. W trakcie weryfikacji danych mężczyzna oświadczył, że nie zgadza się numer telefonu znajdujący się w bazie i podał nowy, uzyskując w ten sposób dostęp do autoryzacji. Na tym rozmowa się zakończyła. Po dwóch dniach, do banku, osobiście zgłosił się prawdziwy właściciel konta, chcąc uzyskać pomoc, gdyż faktycznie nie mógł się zalogować na swoje konto. Po dokładnym sprawdzeniu okazało się, że hasło dostępowe do jego konta zostało zmienione, a z konta zniknęło 150 tysięcy złotych.

Tym razem zdecydowanie zawiodły procedury bankowe. Jak widać, ktoś posiadając pewne dane osobowe był w stanie odebrać SMSy autoryzujące transakcje, a być może również zmienić hasło dostępowe do bankowości – w każdym razie otrzymać pełen zestaw danych, umożliwiający dostęp do konta.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Lompi

    A banki dalej będę klientom wmawiać że nie ma potrzeby wdrażania jako drugi etap logowania kluczy sprzętowych U2F, bo mają wdrożone PSD2 i nie ma potrzeby wdrażania dodatkowych metod zabezpieczających. I oczywiście nie mam na myśli obowiązkowego wykorzystania kluczy a dobrowolnej możliwości której w chwili obecnej brak w jakimkolwiek z polskich banków.

    Odpowiedz
    • Jizek

      No, jak ostatnio na LinkedIn któryś z mBanku zaczął chwalić zespół tagując dziesiątki nazwisk jacy oni to nie byli wspaniali, ile to nie zrobili, to od tej słodyczy mnie zemdliło. Dziesiątki obsadzonych stanowisk, a 2FA nie ma, serwis transakcyjny z wersji na wersję coraz bardziej żenujący z coraz większą liczbą błędów, jedyne co potrafią w temacie bezpieczeństwa to wstawić czerwony pasek z ostrzeżeniem. Amatorka.

      Odpowiedz
    • Nick

      Nie wiem jak u innych, ale w mBanku wymagają potwierdzenia w aplikacji, nawet jak wykonujesz czynności przy okienku w salonie. Mam nadzieję, że przy takiej operacji jak zmiana numeru telefonu też tego wymagają.

      Odpowiedz
  2. Marle

    tja procedury, ale przy zatrudnianiu pracownika, który miał spółe ze złodziejem

    Odpowiedz
  3. Arkadiusz

    Pomyślmy jakie dane podajemy dzwoniąc na infolinię? Poszkodowany już wcześniej je stracił (podał, zostały wykradzione)… Nie można ot tak zadzwonić do baku i powiedzieć: „dzień dobry, nazywam się Jan Kowalski, numer telefonu chciałbym zmienić”. Trzeba podać zazwyczaj, pesel ewentualnie datę urodzenia, podać nazwisko panieńskie matki, czasami w jaki sposób otrzymujemy faktury czy inny taki dups który powinien znać tylko właściciel konta. Nie ma co teraz wylewać brudów na banki (nie nie lobbuje na ich korzyść). Po prostu uważam, że nasze niechlujstwo w ochronie swoich danych jest w 90% przyczynieniem do tego typu sytuacji.

    Odpowiedz
    • Tomasz

      Mam inne doswiadczenia.
      To banki swoimi niebezpiecznymi procedurami (tzn. brakiem bezpiecznych procedur) przyczyniaja sie do utraty danych osobowych!

      Chyba prawie wszystkie banki, w ktorych mam konta, maja ryzykowna (i antydydaktyczna!) procedure wymagajaca uwierzytelnienia sie mnie, ale nie banku!

      Tzn. ktos dzwoni z nic mi nie mowiacego numeru, przedstawia sie, ze jest z takiego-a-takiego banku i pyta, czy to ja. Po czym wymaga ode mnie podania roznych poufnych danych (np.: pesel, nazwisko panienskie matki). Ja oczywiscie reaguje nieufnie i mowie, ze nie mam pewnosci, czy jest tym za kogo sie podaje.

      A w ogole w jakiej w ogole sprawie dzwonia? Oni odpowiadaja, ze nie moga powiedziec, zanim ja sie nie uwierzytelnie! Wlasciwie to szantaz i to bez znajomosci skutkow.

      Odmowa kontynuacji takiej rozmowy moze spowodowac problem dla klienta. Konkretny przyklad: bank o nazwie T-mobile Uslugi Bankowe (jedna z marek Alior Banku) tak robi. A po weekendzie okazalo sie, ze przez to nie wypuscili mojego waznego przelewu (konsultant nie zgodzil sie odpowiedziec na pytanie, w jakiej sprawie dzwoni).

      A ze banki wymagaja uwierzytelnienia sie nawet jesli dzwonia z jakims spamem kredytu, to nie wiadomo, ze chodzi o cos rzeczywiscie waznego, np. o potwierdzenie wychodzacego przelewu.

      Odpowiedz
      • Jacek

        Osobiście wielokrotnie spotkałem się z sytuacją (w co najmniej dwóch bankach), że dzwonili do mnie i próbowali mnie „uwierzytelniać”. Zawsze konsekwentnie odmawiam tłumacząc, że stosując taką procedurę przyzwyczajają klientów do zachowań, które łatwo można wykorzystać w celu wyłudzenia danych osobowych. Zdarzyło mi się nawet napisać w tej sprawie do departamentu bezpieczeństwa banku ale bez efektu. Przestałem się więc „kopać z koniem”. Widać, że teraz ktoś z sukcesem wykorzystuje ich złe procedury i, powiedzmy wprost, głupotę.

        Odpowiedz
    • Dawid

      Masz rację. Dobrze przemyślana sugestia.
      Można jeszcze dodać: Jak nosisz przy sobie plik kart kredytowych, to zapisz w bezpieczne miejsce 3 cyfry kontrolne i je zdrap nożem. Wtedy nieco utrudnisz złodziejowi szybki dostęp do pieniędzy na koncie i dasz sobie czas na zastrzeżenie kart.

      Odpowiedz
    • Ed

      Może warto spróbować przekonać dzwoniącego, że się oddzowni. Ale niestety… to nie zmieni ogólnego obrazu :(

      Odpowiedz
  4. Andrzej

    VW Bank Direct mial kiedys tokeny sprzetowe. Sam korzystalem dosc dlugi czas.
    Niestety – odeszlo to w niepamiec.

    Odpowiedz
    • Marle

      razem z kontami dla klientół indywidualnych, ale pare miesiecy wczesniej jeszcze zdazyli zmienic wszystkim metode uwierzytelniania na sms , wnerwili mnie na do widzenia

      Odpowiedz
  5. Wujek Pawel

    Wystarczy zamiast SMSow apka bankowa generujaca kody tak jak Google Authenticator.

    Odpowiedz
  6. tokenkalkulatorowy

    Ciekawy byłby token kalkulatorowy.
    Mnożymy godzinę logowania przez tajną sześciocyfrową liczbę. Zostawiamy 3 pierwsze cyfry i mnożymy przez inną tajną sześciocyfrową liczbę i przez dzień miesiąca. Zostawiamy pierwsze 5 cyfr jako hasło z tokena. Kiedyś z banku dostałem Digipass https://pl.wikipedia.org/wiki/Plik:Vasco_Digipass_250.jpg Na ekraniku zmieniała się liczba.
    W czasie rzeczywistym złodziej z keyloggerem i podglądem pulpitu i tak będzie logować się jako klient i podstawi dosłownie wszystko. Najłatwiejsze zabezpieczenie dla zielonych ludzi to chyba [ubuntu,linux] live [CD,USB].

    Odpowiedz
  7. Kasia

    Ktory bank . Moze warto podac zeby ostrzec innych Polakow. Jeslu to prawda to czego się boicie: pozwu ?

    Odpowiedz
  8. Tomasz

    Ktos wie, w ktorym banku sie to wydarzylo? Google mi nie pomoglo.

    Odpowiedz
  9. Grzegorz

    Dla mnie to jest kpina, że do tej pory banki (dowiadywałem się w kilku) nie wprowadziły alternatywnej metody autoryzacji logowania, przy pomocy klucza U2F. Powiem więcej, konsultanci na infoliniach bankowych nie wiedzą co to jest. Ewidentne „igranie z ogniem” kosztem klientów.

    Odpowiedz
  10. Dawid

    Dlaczego są zamki w drzwiach? Dzieci nie znają odpowiedzi na to pytanie. Jak dorosną, to ich rodzice poinformują, że coś nie gra z tym światem. Że nie mają nikomu obcemu otwierać, że jak wyjeżdżają na wakacje, to domowe rolety trzeba zasunąć tak szczelnie jak się tylko da, a najlepiej to dobrze poinformować jeszcze sąsiadów, że nas chwilę nie będzie. A to wszystko w obawie przed tym, że ktoś inny nagle mógłby się cieszyć ich ciężko zapracowanym szczęściem.
    Może nie bez powodu Ktoś mądry nakazał nam gromadzić skarby tam, gdzie rdza, czy złodziej nam ich nie zabiorą…?
    ew. Mateusza 6 19, 20

    Odpowiedz
  11. Zed

    Osobiście miałem podobną sytuację ale z ubezpieczycielem mieszkania. Bez żadnej weryfikacji zaktualizowałem swoje dane na nowe.
    Nie tylko banki nie mają procedur.

    Odpowiedz
  12. Tommmmiii

    Nie wiem czemu, ale obstawiam któryś z banków spółdzielczych.

    Odpowiedz
  13. Piotr

    No to może trzeba iść w krypto…

    Odpowiedz
  14. prost

    Przeczytałem powyższe komentarze i mam swoje uwagi:
    1) Najbezpieczniej jest trzymać pieniądze na koncie bez dostępu przez internet i telefon – chodzimy do oddziału banku i autoryzujemy wszystko podpisem. Jeśli ktoś już się upiera przy koncie internetowym to nie powinien trzymać na nim dużych pieniędzy.
    2) Co do telefonów z banku to najlepiej mieć wszystkie zgody marketingowe na NIE. Wtedy nie powinni dzwonić, a jeśli dzwonią to znaczy, że sprawa jest ważna (albo dzwonią oszuści) – wtedy najlepiej się rozłączyć i zadzwonić na infolinię banku.
    3) Klucze U2F same w sobie nie wystarczą ponieważ nie chronią np przed atakami typu web injection – złośliwy program może zainicjować przelew; podmienić numer konta itp

    Odpowiedz
    • klient bankow

      Ad 2). I tak dzwonią. Np. Citibank obchodzi brak zgód marketingowych w ten sposób, że dzwoni i PYTA, czy może przedstawić ofertę. Regularnie co parę miesięcy. Co z tego, że się nie godzę. I tak już oderwał mnie od pracy, innego zajęcia albo zmusił do wyciągania telefonu na ulicy. Dopytałem konsultanta, co zrobić, aby przestali. Nie da się. Mogą zaznaczyc maksymalnie na bodajże kilka miesięcy, żeby nie dzwonili, a potem znowu mogą zadzwonić. Kija nie ma te gady.

      Odpowiedz
      • prost

        Ja nigdy nie miałem z tym problemów. Kiedyś wycofałem wszystkie zgody marketingowe i telefony z banków ustały (zresztą z innych firm również). Citibank zadzwonił dopiero kilka lat później kiedy złożyłem dyspozycje zamknięcia konta aby zapytać o przyczynę. Sugeruje złożyć z powodu takiego telefonu reklamacje.

        Odpowiedz
    • Astur

      Klucz U2F wystarczy, pod warunkiem, że jest inteligentnie używany. Podobnie jak klucz fizyczny nie opowinien być zostawiany w zamku po wejściu do mieszkania, klucz U2F nie powinien być stale włączony. Kluczem może być smartfon ze specjalną aplikacją i połączeniem przez NFC. Nawet, gdy w systemie jest złośliwy program, to pojawienie się znienacka żądania autoryzacji powinno zaalarmować właściciela. Chyba że jest z gatunku tych, co gotowi są wyrzucić za okno fizyczne klucze, gdy tylko ktoś tego zażąda.

      Odpowiedz

Odpowiedz