Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Przestępcy próbują aktywować bankowości elektroniczne ofiar na swoim sprzęcie. Uważajcie!

14 stycznia 2022, 16:08 | W biegu | komentarzy 6

O temacie ostrzega CERT Orange (w kontekście ING), a równolegle otrzymaliśmy niezależną informację (klient mBank), którego w ten podobny sposób próbowano atakować.

Jak widzicie ofiara używa Androida, a ktoś próbuje skonfigurować jej bankowość elektroniczną na iPhone (na zupełnie innym numerze).

Generalnie jest to możliwe, ale wymaga zazwyczaj (w różnych bankach może być różnie):

  • Znajomości pewnych danych ofiary (np. numer telefonu, PESEL, nazwisko panieńskie matki) – ale te dane często przestępcy mogą znać bądź z wycieków bądź w wyniku sprytnego użycia socjotechniki
  • Akceptacji aktywacji nowej instalacji przez właściciela konta – tutaj przestępcy używają różnego rodzaju socjotechniki, aby wymóc na nas taką akceptację

Jeśli zobaczycie tego typu komunikat jak na zrzucie, od razu skontaktujcie się z bankiem. Swoją drogą, niektóre banki mają całkiem sprawne systemy antyfraudowe, potrafiące automatycznie zablokować stosowny kanał (czy nawet całe konta) – ostatnio testowaliśmy mBank i wypadło to całkiem dobrze :-) Również jeśli chodzi o sprawne odzyskanie dostępu.

Z drugiej strony – jeszcze raz: żaden system antyfraudowy nie pomoże, jeśli pod jakimś pozorem zaakceptujemy przestępcom aktywację bankowości mobilnej na ich urządzeniu.

Jeśli ktoś z Was / Wasz znajomy miał podobną historię – dajcie nam znać (sekurak@sekurak.pl) – za fajne zgłoszenia czekają sekurakowe gadgety :-)

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. info

    Poprawcie sobie błąd w artykule. Mówicie o kliencie mBanku natomiast screen tyczy się ING. Pozdrawiam

    Odpowiedz
    • Jest OK, czyli CERT informuje o ING, my mamy info o kliencie mBank

      Odpowiedz
  2. KlientHipoteczny

    Mbąk jest aż za dobry w blokowaniu kont. Akt notarialny podpisany, jeszcze przelew na konto sprzedającego mieszkanie. Wiadomo, kwota rzędu pół miliona. Dzwoni konsultant i chce części numeru karty – do weryfikacji, że ja to ja. Karty ze sobą nie mam, więc trzeba jechać do oddziału. Tam wyjaśnienie, odkręcenie i zlecenie przelewu zajmuje godzinę.

    Odpowiedz
    • Część numeru karty

      Mam odczucie, że dzwoniący konsultant nie powinien pytać o fragment numeru karty, bo to brzmi jak próba wyłudzenia. Mbąk sam się prosi o wpadkę.

      Odpowiedz
  3. Batrek

    Bankowosc na smarphonie to krok wstecz jesli chodzi o bezpieczenstwo.
    Dlaczego w przypadku korzystania z PC musisz miec 2 niezalezny czynnik – SMS, token? Ktory jest poza juryzdykcja PC?
    A w przypadku smartphona ktory de facto jest obecnie mini-PC z opcja dzwonienia juz ten wymog ginie?
    Morduja bezpieczenstwo w imie „wygody” to pozniej tak jest…

    Odpowiedz
    • B

      Sms jako 2fa to proszenie się o nieszczęście. Równie dobrze można wcale nie korzystać z tego rodzaju uwierzytelnienia – ogarnięty gimnazjalista jest w stanie przeprowadzić atak przez sim swap.

      Odpowiedz

Odpowiedz