Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Poznań – kobieta dostała SMSa z prośbą o dopłatę do paczki (1,49 zł). Straciła błyskawicznie kilkaset tysięcy złotych z konta. Jak to możliwe?
Trzy tysiące, pięć tysięcy – jakoś można jeszcze przeboleć. Trudniej jeśli traci się oszczędności życia w wysokości kilkuset tysięcy złotych – a taką właśnie historię opisuje poznańska policja.
24 września br. poznanianka otrzymała SMS-a od firmy kurierskiej z którego treści wynikało, że przesyłka którą zamówiła, nie zostanie jej dostarczona, ponieważ jest za ciężka. Aby ją otrzymać i tym samym uniknąć zwrotu do nadawcy musi uregulować kwotę 1,49 zł klikając w podany link.
Co się dzieje po kliknięciu w taki link? Mogą dziać się różne rzeczy ;) często przestępcy przejmują dane logowania do banku, kod z SMS wpisuje sama ofiara, nie spodziewając się podstępu (i jednocześnie nie czytając dokładnie SMS-a – często ofiara autoryzuje dodanie zaufanego odbiorcy – do którego można wykonywać przelewy bez konieczności dalszego potwierdzania SMS-em; GAME OVER – konto puste).
W każdym razie:
Początkowo nic nie wzbudziło podejrzeń kobiety, ponieważ często robiła drobne zakupy przez internet. W tym wypadku było podobnie. Obecnie czekała na dostarczenie kolejnej paczki. Niczego nie świadoma kobieta, odruchowo kliknęła na link podany w wiadomości, który przekierował ją na stronę banku i uregulowała brakująca należność. Wtedy jeszcze nie wiedziała, że zarówno wiadomość, jak i strona banku nie są prawdziwe.
Kolejnego dnia rano, zobaczyła na swoim telefonie kilka powiadomień sugerujących dokonanie nieautoryzowanych transakcji płatniczych z jej konta bankowego. Już wtedy widziała ze została oszukana. W ten sposób straciła kilkaset tysięcy złotych [dokładna kwota to być może ~250 000 PLN – przyp. sekurak]
Jak się ustrzec?
- Dokładnie czytajcie SMSy z banku przed przepisaniem z nich kodów
- Nie klikajcie w linki prowadzące „do banku” – dotyczy to zarówno SMSów jak i wiadomości e-mail
- Nie ściągajcie żadnych appek, na które dostajecie namiary w SMS-ach, e-mailach.
Zauważyłeś jakiegoś podejrzanego SMS-a czy e-maila? Podeślij info do nas.
–ms
do bólu można powtarzać, że dopłat do paczek nie ma, dla kuriera nie jesteśmy stroną, jak sprzedawca nie zapłaci to on się martwi, ale ludzie nadal „odruchowo” klikają w te bzdury
Nie trzymajcie całego hajsu w jednej kieszeni / na jednym RORze
Jeśli ktoś ma parę tysi to dziwne żeby po bankach po tysiaku na rorze trzymał
Chyba czas, żeby banki dały możliwość w ogóle zablokowania funkcji dodawania odbiorców zaufanych…
A kasa poleciala od razu na gielde klepto walut? Jak tak to chyba czas najwyzszy aby banki opoznialy np. o 24h takie przelewy na gruba kase w tamtym kierunku i przynajmniej dwoma kanalami probowaly potwierdzic.
Masz kanał online i kanał sms.
Jeszcze trochę i będziesz czytał na głos numer konta i kwotę.
Ta 2 kanały – jasne.
W aplikacji bankowej na nieaktualizowanej komórce. W której dostęp do SMSów ma każda aplikacja do byle czego jak inpost do otwierania paczkomatów.
Bardzo bezpieczne. ;)
@Bankowanie
Wystarczy mieć dumbfona z kartą SIM, której nr przypisany jest TYLKO do banku i który używany jest TYLKO do sms-ów autoryzacyjnych.
Taaa, jasne. I osobny telefon do każdego banku. Do tego prywatny, służbowy i chodzić z neseserem pełnym telefonów, płacić za to 400 – 500 zł mc (bo na kartę też wymaga doładowania, a jak dzwonisz do banku to z telefonu który podałeś)…
@Rumcajs
linux live cd lub usb z przełącznikiem read-only.
Chodzi o dwa kanaly kontaktu z klientem. Telefon + informacja w apce. Dzwoni bank do klienta, a klient odczytuje kod wygenerowany w apce albo wyslany na maila. SIM swap w takiej wystuacji moznaby utrudnic poprzez wylogowanie z apki na poprzednim telefonie poprzedzony wyraznym komunikatem. A najlepiej jakby klient mial stacjonarny, tam sim swapa nie zrobisz.
Boli? Musi.
Tylko tak ludzie się nauczą czytać, sprawdzać i pilnować.
To takie proste ciociu gdy się mówi o innych
Oczywiście, że bank powinien oddać. Należy im się po dupie za brak mechanizmów antyfraudowych.