Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Policja: proszę przekazać login / hasło do bankowości! Starsza pani: OK. Straciła 92 000 zł.
W zasadzie można by tu postawić kropkę i skwitować – przed nami nowa generacja oszustw na wnuczka / policję. Po co przestępcy mają przeszukiwać mieszkanie czy dom jak mogą po prostu zadzwonić i w ten sposób kraść dziesiątki tysięcy? Scenariusz jest/był następujący:
W piątek, 13.12.2019 r., do jednej z mieszkanek miasta [Lublina] zadzwonił mężczyzna. Przedstawił się on jako policjant, który chce ochronić 50-latkę przed oszustwem. Według fałszywego funkcjonariusza środki na koncie miały być zagrożone. W związku z tym poproszono kobietę o zmianę sposobu logowania, a następnie udostępnienie loginu i hasła. Pokrzywdzona straciła 92 tys. złotych.
Sposób pozyskania kodu autoryzującego „transakcję kradzieży” pozostawiamy w sferze domysłów. Inną, nieco podobną historię opisywaliśmy jakiś czas temu. Wtedy to mieszkanka Szczytna niemal straciła 800 000 PLN. W oszustwo również byli zamieszani „policjanci” i bankowość elektroniczna.
–ms
Szkoda ! Ale jak widac, na glupote nie ma rady.
PIS miał to zlikwidować.
Kary za małe a starsze pokolenie wierzy w uczciwość.
Mnie to ani trochę nie dziwi że ludzie – nie tylko starsi! – tak się zachowują.
Policja może sobie zapewniać (w kampaniach informacyjnych ostrzegających przed oszustami) że „nie dzwoni” i „nie prosi o pieniądze”. Ale już policyjne rady „chroń swoje dane osobowe” są śmieszne.
Policja legitymuje ludzi spisując PESEL, numer dowodu, adres zamieszkania i inne dane. Wszystko do papierowego notesika, który zdarza się policji zgubić – niedawno na Śląsku tak się stało. I te dane są recytowane przez radio – w małych miejscowościach nieszyfrowane, wszystko czystym tekstem! – a potem często trafiają do policyjnej bazy KSIP, skąd policjanci sprzedają je znajomym detektywom chcącym się dowiedzieć więcej o „figurancie”.
Rady w stylu „bądź nieufny” nie mają żadnego sensu w państwie, w którym policjant umundurowany może Cię wylegitymować, przeszukać, wejść do domu bez postanowienia sądu (sic!) czy rozebrać do naga (sic!). Wszystko dlatego że „istnieje uzasadnione podejrzenie”, a jedyne co możesz zrobić to się żalić już po przeprowadzeniu tych czynności – polecam lekturę Ustawy o Policji.
Nie dziwota, że ludzie na dźwięk słowa „policja” tracą odruchy obronne.
TL;DR
Myślę, że przy metodzie na wnuczka zasadnicze pytanie jest skąd atakujący posiada informacje o ewentualnej przyszłej ofierze. A jeżeli nie da się zapobiec wyciekowi takich informacji [1] to należy uświadamiać przyszłe, niedoszłe jeszcze ofiary za wczasu. O ile to jest możliwe.
[1] Nie da się zapobiegać w 100% wyciekowi takich informacji na pewno
Na przemyślu policja zajmuje sie sutenerstwem to w małopolsce dla odmiany, oszustwami :V
Moja mama w Lublinie miała podobną sytuację, co ciekawe pseudo policjant prosił o oddzwonienie na 997 co mama uczyniła
i odebrał ten pseudo policjant (voip UPC). Całe szczęście była na tyle przytomna zadzwoniła z komórki i do mnie. Niestety, próbą oszustwa i fraudem na VoIP nikt nie była zainteresowany a zwłaszcza policja.
Moj znajomy jakis czas temu mial podobne doświadczenie. Zostal poproszony o zweryfikowanie rozmówcy poprzez numer 112. Oddzwonił posługując sie telefonem bezprzewodowym dect. Jak latwo można sie domyslec „policjant” zostal pozytywnie zweryfikowany. Napastnik, w celu udramatyzowania sytuacji zostal „zweryfikowany” jako funkcjonariusz ABW. Jednakże, ten że mój znajomy jest na bieżąco edukowany przez piszącego te słowa, coś go zaniepokoiło. Poszedł na fizycznie istniejący komisariat. napastnik już więcej nie zadzwonił.
Po przeanalizowaniu logów stacji bazowej oraz słuchawki (ów znajomy używa „ciut” lepszego telefonu dect) okazalo sie ze ze słuchawką w chwili próby weryfikacji rzekomego „policjanta” połączona była nie wlasciwa stacja bazowa lecz zupełnie inna, sadzac po sile sygnalu nie tak znowu odlegla.
Standard DECT przewiduje co prawda szyfrowanie transmisji, jednakże w celu zachowania zgodności GAP poszczególni producenci w różny sposób interpretują ten zapis.
Naprawdę? Ktoś oddaje login, hasło, kod autoryzacyjny do swojego konta i przez myśl mu nawet nie przejdzie żeby skontaktować się z pracownikami banku? Obecnie każdy bank ma na swojej stronie napisane, aby NIKOMU nie oddawać danych do swojego konta, karty do konta, nie podawać numerków, itd. Policja na swoich stronach ma napisane dokładnie to samo. W TV i internecie trąbią o tym od lat. Wystarczy dosłownie 5 minut zastanowienia, aby w głowie pojawiły się wszystkie czarne scenariusze „co się może stać, jeśli to komuś oddam” i „do czego oni tego potrzebują, przecież takie dane wyciąga się przez sąd/prokuraturę”. Podejrzewam, że scenariusz tego ataku jest zgoła inny:
50 letnia pani której już nie chce się pracować, wpadła na pomysł, że zostanie oszukana. W porozumieniu z inną osobą, która wykonała do niej fakowy numer telefonu, stwierdziła, że wyciągną wszystkie pieniądze z jej konta, po kilku dniach zgłoszą sprawę na policję podrzucając śmieszną historyjkę o „starszej pani która ma konto, internet, korzysta z telefonu i bankowości elektronicznej, ale jakimś cudem ma kłopoty z myśleniem – można to uwiarygodnić chorobą”, a następnie będą liczyć na zwrot pieniędzy z banku. W tym momencie jej zgromadzone oszczędności zostaną bardzo szybko podwojone. Na swoje konto „odzyskałaby” pieniądze z banku, a wyprowadzone pieniądze w gotówce podzielą między sobą. Nie róbmy sobie żartów, osoba 50 letnia nie jest niedołężna. Jeśli ktoś aktywnie korzysta z nowoczesnych mediów, to na pewno wie, jak ich użyć choćby w podstawowym zakresie i co się z tym wiąże. Ja mam rodziców po 60, oni zaczęli używać komputera 2, może 3 lata temu. Ojciec to był tak przewrażliwiony, że bał się numeru konta komukolwiek wysłać, nie mówiąc już o loginie do banku. Do dzisiaj zakupów w internecie nie robi, jedynie przelewy do urzędów. Moja mama stwierdziła, że się do tego nie nadaje i pozostała przy graniu w proste gierki na telefonie (starszym, bo smartfona nie używa), a sprawy bankowe załatwia przy okienku lub przelewem na poczcie. Zdecydowanie nie są to najbardziej obeznane technicznie osoby, nie czytają serwisów o bezpieczeństwie i oglądają TVP (niestety, ale to pokazuje pewną świadomość i porównanie do tej rzekomo poszkodowanej 50 latki), a mimo wszystko nie oddalimy swoich pieniędzy losowej osobie. Wiem to, ponieważ moja mama dostała telefon „na wnuczka”, co ją bardzo rozbawiło. Dlatego policja powinna przyjrzeć się dokładniej tej sprawie, a bank wypowiedzieć tej pani umowę (dopóki nie udowodnią jej winy – ze względu na rażące niedbalstwo).
Mogło być tak jak napisałeś.
Ale mogło być też tak, że na hasło „policja” pani przekazała wszystko, co kazali. Policja ma w Polsce gigantyczne uprawnienia.
A słyszałeś o niemieckim wynalazku płatniczym jakim jest SOFORT ? Płatność online w sklepach internetowych, w momencie płacenia tym SOFORTEM system prosi o login i hasło + potem o kod z smsa lub zdrapki. Rzekomo aby ukrócić oszustwa. Jak nie słyszałeś to poczytaj. Najlepsze jest to że część Niemców uznaje to za niegroźne a nawet normalne.
Starsza pani 50-latka? No wiecie co…
No wiesz, post pisali dwudziestolatkowie ;)