Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wielkopolska: obchodzili bankowe autoryzacje SMS-ów (z pomocą SIM swap). Za ukradzione środki kupowali złoto
Od pewnego czasu ataki klasy SIM swap to już nie ciekawostka. Jak czytamy na stronach prokuratury:
Prokuratura Okręgowa w Ostrowie Wielkopolskim prowadzi postępowanie przeciwko członkom zorganizowanej grupy przestępczej, którzy przełamując zabezpieczenia sieci internetowej jednego z banków świadczących usługi bankowości elektronicznej, dokonali nieuprawnionych wypłat środków pieniężnych z kont podmiotów gospodarczych z południowej Wielkopolski w wysokości ponad 718.000 zł.
Ciekawe w ataku jest wykorzystanie możliwości duplikowania karty SIM ofiary:
W toku śledztwa ustalono, iż 2 lipca 2019 r. posługując się zduplikowanymi kartami SIM i za pośrednictwem sieci Internet, działając w celu osiągnięcia korzyści majątkowej bez upoważnienia i przełamując zabezpieczenia, dokonali kilkunastu transakcji, dokonując wypłat na ustalony rachunek bankowy. Następnie środkami tymi dokonali zapłaty za zamówione dzień wcześniej 14 sztabek złota.
Warto pamiętać, że do skutecznego ataku potrzebny jeszcze jest dostęp do konta ofiary w bankowości elektronicznej (tu np. uważajcie w co klikacie, czy na jakim komputerze logujecie się do banku). Oczywiście żeby wykonać przelew potrzebny jest jeszcze drugi (poza hasłem) czynnik – najczęściej jest to SMS. Ten z kolei można zdobyć w wyrabiając (nielegalnie) duplikat karty SIM (przestępcy podszywają się pod ofiarę, kontaktując się z operatorem telekomunikacyjnym, możliwe są też zmowy z pracownikami operatorów). Wasz telefon traci w tym momencie połączenie z operatorem – nie otrzymacie nawet SMS-ów mówiących o realizowanej transakcji.
Co jeszcze możemy zrobić? Skorzystać z innego sposobu autoryzacji transakcji – część banków oferuję taką opcję np. w bankowości mobilnej.
Trzech podejrzanych zostało aresztowanych na 3 miesiące, grozi im do 10 lat więzienia.
–ms
Próbowałem w kilku Bankach dowiedzieć się, jak bezpieczne są ich aplikacje mobilne i jaką dają gwarancję na ich używanie. W rozmowach telefonicznych cud, miód, orzeszki, ale jak poprosiłem o pisemną gwarancję bezpieczeństwa ich używanie (ewentualnie email), to nikt nie chciał nic takiego dać.
Czy wiecie, jaka konkretnie gwarancję w tej dziedzinie dają polskie banki?
Pozdrawiam
Janusz
Certyfikatu czy gwarancji to nikt nie da. Nawet ludzie od pentestów :)
Czyli państwo z kartonu podpierane papierowymi bierkami przez firmy zewnętrzne ;o)
Primo co to takiego „polskie” banki. Secvndo jak sam zauważyłeś szmery, bajery pompki rowery ale żeby na piśmie to już nie koniecznie. Otóż właśnie to. Taka gwarancja byłaby podstawą do ewentualnych roszczeń. Banki ech… szkoda gadać.
Chcesz gwarancji zakop w dobrej miejscówce trochę złota. Czy też kruszcu innego typu. ;-( Banki są od okradania porządnych ciężko pracujących ludzi. I tyle. :-(
Co to polskie banki? Nie jest tak tragicznie – w top 10 cztery polskie: https://pl.wikipedia.org/wiki/Lista_bank%C3%B3w_dzia%C5%82aj%C4%85cych_w_Polsce
zeby wyrobic duplikat karty sim potrzeba wlasciciela i jego dowodu? To k***a policja gdzie jest skoro NIE WIEDZA kto wyrabia te duplikaty? przeciez latwo jest do tego dojsc kto to robi, ale zyjemy w państwie z kartonu