Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Włamywali się na konta lekarzy na gabinet[.]gov[.]pl i wypisywali recepty na środki narkotyczne. Jak ominęli logowanie bankiem / mObywatelem / profilem zaufanym?
Jak informuje CBZC, pozyskane dane lekarzy pochodziły z wycieków. Ale zaraz, zaraz przecież żeby zalogować się do centralnego systemu gabinet.gov.pl potrzebny jest mObywatel albo logowanie bankiem. Zwykłym loginem i hasłem się nie da. No to czytaj dalej.
Cyberzbójom udało się pozyskać na tyle wrażliwe dane z wycieków (np. dane dokumentów tożsamości), że byli w stanie ❌ założyć konta bankowe na lekarzy. A jak już jest konto bankowe, to standardowo “można logować się bankiem” do gabinet.gov.pl
A po co tam się włamywali? Zacytujmy ponownie CBZC:
- “Wystawienie podrobionych recept elektronicznych na leki receptowe zawierające w swoim składzie środki odurzające i substancje psychotropowe”
- “posługiwanie się danymi osobowymi lekarzy, w celu (…) usiłowania wyłudzenia kredytu, ukrywania środków płatniczych pochodzących z korzyści związanych z popełnieniem czynu zabronionego”
“Wobec podejrzanych zastosowano środki zapobiegawcze w postaci tymczasowego aresztowania. Obecnie wobec wszystkich oskarżonych stosowane są wolnościowe środki zapobiegawcze, w tym dozór Policji, poręczenia majątkowe oraz zakaz opuszczania kraju. Oskarżeni przyznali się do popełnienia zarzucanych im czynów, a 5 z nich złożyło wnioski o dobrowolne poddanie się karze”.
Jedna, prosta do wdrożenia rada, która zapobiegłaby całemu procederowi: zastrzeż PESEL (możesz to zrobić z appki mObywatel, w szczególności nikt nie założy na Twoje dane konta bankowego).
PS
To nie pierwszy tego typu przykład. Niedawno informowaliśmy: przejęto konto lekarza w aplikacji Medfile; atakujący wypisywał recepty na środki narkotyczne.
~Michał Sajdak
Czyli zgubila ich chciwosc, gdyby pozostali tylko przy receptach to pewnie proceder trwal by nadal. Srodki zapobiegawcze inne niz areszt to zart.
Areszt ma zabezpieczać postępowanie.
Jeśli np się przyznali, nie ma ryzyka matactwa, zagrożenia wysoką karą itp,
to areszt nie jest konieczny.
Nigdy nie zrozumiem czemu do profilu zaufanego można logować się z każdego banku, czemu nie da się jakoś zawęzić, że np chcę logować się z np PKO BP + mobywatel + mdowód i resztę zablokować. Ale nie, tak się nie da, zawsze zalogować się można dowolną metodą, więc przejęcie dowolnego konta bankowego/ założenie nowego i pyk mamy dostęp (przy czym prawie zawsze to musi być konto potwierdzone w oddziale, bo konta założone w 100% online nie mają dostępu do profilu zaufanego).
Owszem jest zastrzeżenie pesel, ale i tak wybór metod logowania moim zdaniem powinien być dostępny, a nie, że zawsze wszystko aktywne.
Witam,
Z tym ograniczaniem metod logowania to dobry pomysł a jeszcze lepszy aby w profilu każdy sobie wybrał jedną lub kilka dozwolonych metod logowania np. profil zaufany oraz bank1 i bank2.
Pozdr., GB.
Nie trzeba logować się bankiem, który może być jedynie instytucja potwierdzającą tożsamość. Można uruchomić mechanizm dwuskładnikowego logowania z hasłem i wtedy autoryzacja bankowa jest zbędna. Z drugiej strony brak zastrzeżenia numerów PESEL… no cóż
A czy jest jakaś usługa/metoda, aby sprawdzić w którym banku obecnie posiadam konto?
Chyba OGNIVO KIRu moze w tym pomoc?
https://www.kir.pl/nasza-oferta/klient-indywidualny/centrum-wymiany-informacji/centralna-informacja
No to lekarz nie ma jakiegoś podglądu ile wystawił recept? Czy kapali po 5 ale zachciało im się go okraść?
Nie wiem czy to prawda, ale chłopak z mojej rodziny pracuje w Niemczech, i pomimo zastrzeżenia PESEL wziął tam kredyt, znaczy w Niemczech. Widać… zastrzeżenie to nie wszystko