Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zadzwonił „pracownik działu bezpieczeństwa banku”. Po prostej socjotechnice mieszkanka Małopolski straciła 41 000 zł. Uważajcie!
Nieco enigmatyczną sprawę, którą postaramy się nieco rozwikłać, opisuje Policja:
Sądeczanka przed południem odebrała telefon od mężczyzny, który podał się za pracownika działu bezpieczeństwa banku i zapytał, czy tego dnia robiła jakiś przelew. Kiedy zaprzeczyła, poinformował ją, że prawdopodobnie doszło do włamania na jej konto i że placówka musi zgłosić to na Policję. Polecił, by kobieta szybko zainstalowała w swojej komórce aplikację umożliwiającą zdalny dostęp do telefonu, by szczegółowo sprawdzić, co dzieje się z kontem.
Warto pamiętać, że nie jest wielkim problemem aby przestępca zadzwonił z numeru należącego do infolinii banku. Nie musi tutaj w żaden sposób 'hackować banku’, bo prostu dzięki zaszłościom w protokołach sieci komórkowej, dzwoniąc ze swojego urządzenia, może wybrać dowolny numer który pokaże się ofierze.
Czy z kolei appka zapewniała rzeczywiście zdalny dostęp do telefonu?
Kiedy aplikacja zaczęła działać, fałszywy pracownik banku polecił, by kobieta zalogowała się do swojego konta. W momencie, gdy wpisywała hasło, login oraz inne dane, oszust widział, co wpisuje i miał pełny dostęp do jej rachunku.
Z opisu powyżej wynika, że wystarczyłaby „zwykła” podstawiona appka bankowa – mogłaby ona bez problemu wykraść dane logowania do banku, ew również kod SMS wymagany do logowania w standardowej bankowości.
Mężczyzna okłamał ją, że tego dnia ktoś zaciągnął w imieniu kobiety trzy kredyty i że można je łatwo anulować. By to zrobić, podał kobiecie trzy sumy rzekomych pożyczek, a ona miała tylko zatwierdzać PIN-em przychodzące wiadomości. Błędem z jej strony było to, że skupiała się na kwotach, a nie na treści, ponieważ jak się później okazało, były to potwierdzenia wykonania przelewów za zakupy w markecie ze sprzętem elektronicznym.
Tutaj mamy kolejne zamieszanie w opisie (kobieta zatwierdziła „lewe operacje” w prawdziwej bankowej appce mobilnej? A może w tej podstawionej appce mobilnej podała jednak kody SMS, które umożliwiały przestępcy na autoryzowanie transakcji?).
W każdym razie na pewno przestępca dostał się do konta bankowego oraz zlecił „lewe” przelewy, które w ferworze stresu kobieta zatwierdziła (nie czytając szczegółów wiadomości).
Szczęśliwie dzięki szybkiej reakcji, pieniądze (41 000zł) prawdopodobnie uda się szybko odzyskać:
Na szczęście pracownicy marketu, którym transakcje wydały się podejrzane, zablokowali wysyłkę towaru, a kobieta może liczyć na zwrot pieniędzy.
Jakie wnioski?
- Pamiętajcie, że telefon o ataku hackerskim to może być zwykła podpucha (jakiś czas temu opisywaliśmy historię zlecenia przelewów aż na kwotę 1,5mln zł – księgową skłonił do tego telefon ostrzegający o „hackerach”)
- Pamiętajcie, że numer telefonu z którego ktoś dzwoni, może być sfałszowany (aby zweryfikować prawdziwość kontaktu z banku, możemy się rozłączyć i sami zadzwonić na infolinię bankową)
- Nie instalujcie żadnych aplikacji (dotyczy telefonów ale też zwykłych komputerów), które dzwoniąca osoba „poleca”.
- W trakcie autoryzacji transakcji dokładnie czytajcie SMSy / powiadomienia w appce mobilnej banku.
–ms
I tak codziennie ktos na ten sam patent. Moze gdyby zrobic odcinek Klanu, Na Wspolnej i Trudnych Spraw na ten temat to wtedy ludzie zaczeliby myslec?
O to to! Od dawna tak mówię. Skoro w ramach „misji” potrafią przemycić olewanie fałszywych wnuczków, wysyłanie chłopów na badanie prostaty czy chodzenie na mammografię, to i o przestępstwach internetowych powinni informować.
No i jeszcze ktoś powinien złożyć wizytę pod adresem do wysyłki towaru.
Stałbyś pod paczkomatem i czekał na słupa ?
Nic to nie da. Przesyłki są zamawiane pod adres gdzie nie ma posesji lub jest dawno nie zamieszkany budynek. W dniu dostawy paczkę od kuriera odbiera „słup” który waruje tam przez cały dzień.
Pewnie paczkomat. Ale jakby się przyłożyli, to mogliby pociągnąć sprawę i zgarnąć gościa przy odbiorze.