Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Polka oddała we Włoszech telefon do naprawy. Po jakimś czasie zniknęło z jej konta 87000 euro. Policja ostrzega.
Intrygujący przypadek opisuje policja w Nysie:
Na początku maja do naszej komendy zgłosiła się kobieta, która powiadomiła o popełnieniu oszustwa. Jak oświadczyła na terytorium Włoch przekazała swój telefon do naprawy. Jak się później okazało, z jej konta zniknęło około 87 000 euro. Najprawdopodobniej do tego przestępstwa doszło, gdy telefon był w naprawie.
Być może – jak czasami przy takich naprawach bywa – pani została poproszona o podanie danych dostępowych do telefonu (PIN, być może logowanie do swojego konta Apple/Google)…
Jak potencjalnie mogło dojść do kradzieży? Może poszkodowana miała ustawiony taki sam PIN do bankowości mobilnej jak do telefonu? A może zainstalowano jedną z appek, dzięki której można było kontrolować telefon / mieć zdalny oraz interaktywny dostęp do telefonu? Jak chwali się TeamViewer:
It is even possible for your device (Samsung, Sony*, Asus, Lenovo, HTC, LG, ZTE, Huawei, Alcatel One Touch / TCL and more) to be remotely controlled, allowing the technician to access your device as if it were in their own hands.
Oczywiście warto pamiętać, że policja użyła terminu „najprawdopodobniej” (Najprawdopodobniej do tego przestępstwa doszło, gdy telefon był w naprawie), zastanawiające jest też niezadziałanie bankowych systemów antyfraudowych oraz poradzenie sobie przez przestępców z ew. limitami kwot przelewów w bankowości mobilnej.
Wracając do tematu, OK, ale jak postępować jeśli potrzebujemy rzeczywiście naprawić telefon?
- Jeśli wymagane jest pozostawienie telefonu na dłuższy czas to wcześniejsze: wykonanie kopii zapasowej oraz bezpieczne wyczyszczenie telefonu do stanu zerowego (systemy mobilne mają taką wbudowaną opcję). Idealnie stosujmy tę zasadę zawsze (niezależnie od czasu na jaki mamy pozostawić telefon w serwisie).
- Nie podawać PINu / PINu do karty SIM / hasła do swojego konta (Apple/Google). Bez posiadania tego najprawdopodobniej bardzo ciężko będzie komuś dostać się do Twoich danych – chyba że np. nie stosujesz kolejnych dwóch rekomendacji:
- Posiadać nieoczywisty PIN
- Usunąć z telefonu ewentualną zewnętrzną kartę pamięci
- Poprosić technika o możliwość patrzenia mu na ręce w trakcie naprawy („po prostu jestem ciekawy co się wydarzyło”
Podzielcie się też swoimi spostrzeżeniami odnośnie serwisu telefonów / czynnościami, które wykonujecie przed przekazaniem sprzętu do naprawy.
~ms
To ile tych eurasów zniknęło w końcu ? :)
870 czy 87 tyś?
Dobra, albo szybko poprawiliście albo mam coś z oczami :) do usunięcia
W linku nadal macie błąd :) 870 000
Ja swój telefon w razie potrzeby serwisuję sam. Ale mimo wszystko w trakcie naprawy patrzę sobie na ręce. ;)
To i tak uważaj na atak typu „ Shoulder surfing” ;)
Wydaje mi się, że należy się zalogować do bankowości internetowej i wyłączyć bankowość mobilną.
A jak wyczyścisz telefon w którym padł ekran lub który został zalany? Po przywróceniu go do życia i tak masz dostęp do wszystkiego albo haslo to cztery jedynki. Jeśli serwisant był nie uczciwy to mógł co tylko chciał. Nawet gdyby bank coś zauważył to i tak zadzwonią na numer który w ręku ma serwisant. A tak w spokoju mógł robić to małymi kroczkami lub w aplikacji bankowej zwiększyć limit. Nie jest tajemnicą że mBank, pko czy bnp miały niechlubne historie gdzie kasa zniknęła a ich zajebiste systemy nie zadziałały. Winny był klient.
Daje się telefon z wyjętą kartą SIM itd.
I tutaj pytanie, czy w sytuacji gdy właśnie uszkodzony jest ekran nie można wyczyścić telefonu (i wylogować się) zdalnie? Z poziomu konta Google/iCloud?
Wyjmujesz kartę sim, zmieniasz hasło do banku, oddajesz telefon do serwisu.
I potwierdzasz operację na telefonie (2FA), ale zaraz… przecież nie działa :D.
Wkładasz kartę sim do innego telefonu. Potwierdzasz zmianę hasła.
Wyrejestrować urządzenie można z pozycji strony internetowej. Wtedy można skorzystać z komputera lub np telefonu partnera/partnerki. Mnie bardziej „śmieszy” możliwość pobrania płatności po czasie. Kiedyś w jednej z firm za granicą płaciłem kartą kredytową i kilka miesięcy później inna (kolejna) opłata została mi pobrana. Nic nie mogłem zrobić (dowiedzieć się co to) bo to weekend. Po kontakcie telefonicznym z polskim oddziałem (ten zagraniczny nie był chętny do rozmowy po angielsku i najzwyczajnej w świecie rozłączał się lub nie odbierał) i napisaniu reklamacji pieniądze odzyskałem w kilka dni. Bank jedyne co zasugerował to zmiana karty, gdyż według nich płacąc za pomocą POS kasę można i po wielu miesiącach stracić, wystarczy, że właściciel POS wklepie cenę i zatwierdzi. Na szczęście posiadacz karty może włączyć powiadomienia o transakcji. Zmiana pinu do karty w takim przypadku nic nie da (w międzyczasie, zanim ta płatność została pobrana zmieniłem pin).
Nie była przypadkiem pochodzenia brazylijskiego ? Czyżby awernes fail ? Czy tylko czekamy na powrót Tuska, aby tytuł zmienił się na Gruzinka oddała telefon w Ukrainie …
Ale jak zadzwoni, po co PIN? Nie wpadł bym na to żeby oddając telefon do serwisu zostawić kartę SIM i kartę pamięci w telefonie. Co do uszkodzonego wyświetlacza z bankami jest tak że można z innego zaufanego urządzenia cofnąć autoryzację dla tego uszkodzonego (przynajmniej w ING) co nie zmienia faktu że pozostają inne wrażliwe dane.
przy uszkodzonym wyswietlaczu, mozna rowniez zdalnie zainicjowac reset telefonu
btw.
jak sam sobie naprawiam telefon to moje rece nie pozwalaja mi patrzec na to co robia zebym czasem „know how” nie wykradl
Robię backup, czyszczę telefon do stanu fabrycznego, przywracam po zwrocie z serwisu.
otóż to :)
Jak wyczyścisz telefon skoro jest uszkodzony???
kobieca intuicja jej podpowie kiedy się uszkodzi/zepsuje i wtedy robi kopie zapasową i kasuje wrażliwe dane a potem zanosi do serwisu.
A wystarczyło odinstalować aplikację banku, a po powrocie do kraju zrobić wipe telefonu i zainstalować wszystko od nowa. Rozumiem, że czyszczenie telefonu na wyjeździe może nie być zachęcające, ale wystarczyło odinstalować tylko jedną apkę przed naprawą żeby mieć spokój.
To nie te czasy, gdzie ma się jedno konto w banku. Przy autoryzacji 2FA czasem posiadanie sprawnego tel. jest po prostu konieczne, jeśli nie chce się wydzwaniać po bankach i innych serwisach.
Artykul potwierdza moja teze ze duzo bezpieczniej korzystac z bankowosci na PC niz na telefonie. Choc i to ostatnio psuja. Za kazdym razem musze klikac ze nie chce traktowac urzadzenia jako zaufane – tylko dajta mnie SMSa …
„Nie podawać PINu / PINu do karty SIM / hasła do swojego konta (Apple/Google).”
Rada trochę „z czapy” i szkodliwe dla samego klienta. Kart SIM klienta przeważnie się w serwisie nie bierze i oddaje przy przyjmowaniu smartfona do naprawy. Ze względu chociaż na wkładanie przez serwisanta karty SIM testowej. Mogło by dojść do pomyłki lub zgubienia.
W serwisach nie autoryzowanych przeważnie nie ma konieczności usuwania danych, dlatego wiele osób decyduje się tam na naprawę.
Często kopia zapasowa nie obejmuje danych wielu aplikacji, które mają dane w katalogu /data/data//no_backup lub ustawione w pliku manifest:
android:allowBackup=”false”
android:fullBackupContent=”false”
W takim wypadku często klient nie chce resetu urządzenia do ustawień fabrycznych.
Celowe nie podanie PINu, symbolu blokady to w zależności od podejścia do tego tematu serwisu, brak gwarancji na usługę lub gwarancja z wieloma wyłączeniami, bo nie zawsze da się urządzenie dokładnie przetestować przed/po naprawie w takim wypadku i ocenić jego sprawność.
(przykładowo zwykła wymiana wyświetlacza OLED, klient ma ustawiony ciemny motyw i nie widać wady zakładanej części, bo bez odblokowania nie można ustawić jasnego motywu)
Serwisant nie ma czasu na grzebanie w danych klienta!
Brak pinu/symbolu to często poważny problem dla serwisanta w definitywnej naprawie usterki lub wychwyceniu np. innych usterek w wyniku upadku. Często ujawniają się np. po poluzowaniu/wykręceniu śrub trzymających płytę główną.
Klient często robi sobie sam szkodę nie podając tych informacji.
Dodatkowa usterka nie wykryta przed naprawą oczywistego elementu do wymiany może już sprawić, że naprawa stanie się nieopłacalna. A tak klient zapłaci mimo nieopłacalności lub dostanie urządzenie częściowo naprawione.