Telekomunikacja jak na dłoni
Wiadomości Od przekierowania połączeń telefonicznych po kradzież pieniędzy z konta bankowego

Od przekierowania połączeń telefonicznych po kradzież pieniędzy z konta bankowego

msnet 16 Stycznia 2018 17:09

5 1

zlodziej

Pewien mężczyzna przekonał się na własnej skórze, jak niewiele potrzeba, by ktoś okradł nasze konto bankowe przy użyciu aplikacji mobilnej.

Użytkownik serwisu Wykop.pl opisał historię swojego ojca, który najpierw otrzymał od sieci T-Mobile SMS-a z informacją o przekierowaniu wszystkich połączeń na obcy numer telefonu, a niewiele później odkrył, że z jego konta w mBanku zniknęło kilka tysięcy złotych. Serwis Niebezpiecznik.pl opublikował możliwy przebieg zdarzeń, które doprowadziły do kradzieży.

Pierwszym krokiem było uzyskanie dostępu do skrzynki pocztowej ofiary, w sposób znany tylko przestępcy. Ponieważ okradziony mężczyzna wykorzystywał pocztę e-mail do przesyłania na przykład skanów umów ubezpieczeniowych, włamywacz mógł tam znaleźć dokument zawierający dane potrzebne do dalszej części ataku. A tych danych, ja się okazało, nie potrzeba wiele. W T-Mobile wystarczy zadzwonić na infolinię i podać numer PESEL i nazwisko posiadacza danego numeru telefonu, by zatwierdzić dyspozycję przekierowania połączeń. Na szczęście magentowa sieć przynajmniej wysyła wiadomości SMS z informacją o włączeniu przekierowania.

tmobile przekierowanie sms

Następnym krokiem działania przestępcy było dostanie się na konto bankowe ofiary. Wydawać by się mogło, że nie powinno to mieć miejsca bez podania identyfikatora klienta banku i hasła. Można zmienić numer telefonu przypisany do konta, ale do tego potrzebna jest albo możliwość odbierania wiadomości SMS na starym numerze, czego złodziej nie miał, albo wizyta w oddziale banku z dowodem tożsamości, co jest ryzykowne, gdy nie jest się tym, za kogo się podaje. Jak jednak ustalił Niebezpiecznik.pl, przestępca na tym etapie zainstalował aplikację mobilną mBanku i ją aktywował w imieniu posiadacza konta. Nie było tu potrzeby podawania loginu i hasła, jeśli się dysponowało takimi danymi, jak PESEL i nazwisko panieńskie matki, a także miało się możliwość odbierania połączeń telefonicznych, które bankowy automat wykonywał na numer telefonu powiązany z kontem.

aplikacja mbank aktywacja

W opisywanym wyżej przypadku przestępca dysponował wszystkimi niezbędnymi danymi ofiary oraz mógł odbierać połączenia przychodzące na jej numer. Mógł więc bez problemu aktywować aplikację mobilną mBanku i wykonać - zgodnie z nałożonymi domyślnie limitami - 5 przelewów po 1000 zł każdy. Na szczęście dla ofiary ataku nie skończyło się to większymi stratami.

Należy tu jeszcze dodać, że mBank wysyła na numer właściciela konta wiadomość SMS z informacją o połączeniu z kontem nowego urządzenia. Jednak taką wiadomość należy w porę odczytać i odpowiednio zareagować, na przykład kontaktując się z bankiem w celu anulowania połączenia. Oczywiście mBank nie widzi w tym wszystkim swojej winy, za to wskazuje sieć T-Mobile jako winowajcę oferującego zbyt łatwy sposób przekierowania połączeń na inny numer telefonu.

Przypadek opisany przez portal niebezpiecznik.pl wynika z niewystarczających zabezpieczeń procesu przekierowywania rozmów po stronie operatora komórkowego. Zlecenie przekierowania rozmów jest w naszej ocenie krytyczną operacją i powinno wymagać tzw. silnego uwierzytelnienia, opartego na elementach będących w posiadaniu wyłącznie uprawnionego właściciela telefonu. Bazowanie wyłącznie na podstawowych danych osobowych klienta, łatwych do pozyskania przez przestępców, jest niewystarczające. Jesteśmy w kontakcie z T-Mobile i wspólnie pracujemy nad bezpiecznym rozwiązaniem. Monitorujemy również podejrzane transakcje, które mogą być dokonywane przez przestępców i podejmujemy stosowne działania - napisał mBank w swoim oświadczeniu.




Proces parowania aplikacji mobilnej za pomocą połączenia głosowego i użyte w nim metody zabezpieczające przed atakami podlegały skrupulatnej ocenie ryzyka. Bank świadomie wybrał proces oparty na połączeniu telefonicznym, ze względu na znacznie większe ryzyko nieuprawnionego przechwycenia wiadomości SMS.

Jak się w takim razie zabezpieczyć przed utratą swoich nieraz ciężko zarobionych pieniędzy? Przede wszystkim należy używać silnych i unikalnych haseł do kont w różnych usługach oraz aktywować - jeśli jest to możliwe - dwuskładnikowe uwierzytelnianie w skrzynce e-mail. Przydałoby się też zablokowanie możliwości przekierowania wszystkich połączeń na inny numer, ale sieć T-Mobile tego nie oferuje, w innych zapewne też o to jest ciężko. Można też specjalnie na potrzeby bankowe kupić kartę prepaid, która będzie przeznaczona wyłącznie do odbierania wiadomości SMS i połączeń ze strony banku, a dodatkowo nie da się na tym numerze złożyć dyspozycji przekierowania w tak prosty sposób, jak w T-Mobile.

Z naszego krótkiego researchu wynika, że najlepsza będzie karta prepaid w Plusie/Plush lub Orange. Dla kart pre-paid Plus i Orange w ogóle nie oferują możliwości włączenia przekierowania połączeń. Czy to przez infolinie, czy krótkim kodem. Dla numerów abonamentowych w Plusie, przekierowanie jest możliwe, ale tylko krótkim kodem wprowadzanym z telefonu, nie przez infolinię - czytamy na stronie niebezpiecznik.pl.

Jak się dowiedział cytowany serwis, równie łatwo, jak w T-Mobile, można zlecić przez infolinię przekierowanie numeru w Play i Virgin Mobile. Wystarczy PESEL, nazwisko właściciela numery i adres e-mail.

Kolejne zabezpieczenie to wyzerowanie limitów transakcji dostępnych poprzez aplikację mobilną. Te same operacje można wykonać logując się na stronę banku przez przeglądarkę internetową w telefonie, co w świetle opisanego powyżej ataku może okazać się bezpieczniejsze.

mbank limity

Zauważ, że wcale nie potrzebujesz aplikacji mobilnej mBanku. Operacje na swoim koncie możesz robić po prostu za pomocą przeglądarki internetowej na telefonie. Więc spokojnie możesz "wyzerować" te limity. Pamiętaj, że instalowanie jakiejkolwiek dodatkowej aplikacji, która nie jest nam niezbędna (a aplikacja mBanku do takiej kategorii należy) zwiększa ryzyko innych ataków. A bo ściągniemy nie tą co potrzeba, a bo na Androidzie ktoś nas zainfekuje i wykradnie dane z tej aplikacji, a bo producent aplikacji będzie miał dostęp do naszych danych na telefonie, takich jak książka kontaktowa czy lokalizacja, co może mieć negatywny wpływ na naszą prywatność. Oczywiście możesz też uznać, że aplikacja jest dla Ciebie na tyle wygodna, że ewentualna strata 5000 PLN i opisane wyżej "ryzyka" są do zaakceptowania ? ważne żebyś wiedział, czym grozi brak wyzerowania limitów, jeśli masz numer telefonu w T-Mobile, a ktoś zna nazwisko panieńskie Twojej mamy i Twój PESEL.

Warto także aktywować powiadomienie e-mail lub SMS (albo jedno i drugie) o każdej transakcji wykonanej z użyciem pieniędzy zgromadzonych na naszym koncie bankowym. Pozwoli nam to szybko zareagować na informację o operacji bankowej, której nie zlecaliśmy. Nie powinniśmy też przechowywać naszych wrażliwych danych osobowych, takich jak numer PESEL oraz seria i numer Dowodu Osobistego lub jego skany w miejscu, do którego potencjalny przestępca mógłby się włamać i dzięki temu stworzyć duplikat dokumentu, którym będzie się mógł posłużyć w celu na przykład zaciągnięcia kredytu na nasze dane. Pamiętajmy też, że Dowód Osobisty możemy zastrzec.

Jeśli niestety czytasz ten artykuł jako ofiara, którą ktoś okradł, to pamiętaj aby zastrzec swój dowód osobisty, jeśli miałeś jego obraz lub dane, które się na nim znajdują na e-mailu (imię, nazwisko, pesel, numer i serię). Przestępcy często wyrabiają tzw. "dowód kolekcjonerski" na pozyskane w ten sposób dane i za pomocą takiego dowodu wnioskują o pożyczki w różnych firmach i bankach. Pożyczek nie spłacają a dług dotyczy ...twojego PESEL-u. Dowód możesz zastrzec w każdym banku lub na policji.

Źródło tekstu: Niebezpiecznik.pl     

w sumie: 78
  • 0

    62. ~$$$$$$$$  2018-01-17 20:59:44  host: public-gprs351910.centertel.pl

    @Henio

    Jak robisz przelew na obce kon to z aplikacji to zatwierdzasz go wpisując ten sam PIN, którym się logujesz, i to wystarczy. Jedynym ograniczeniem jest limit przelewów z apki mobilej, który jest max. 10k, a nominalnie jest 5k i limit pojedynczej transakcji 1k, i tyle miał ten gościu okradziny ustawione, ponoć tylko 4k mu ukradli bo ostatni przelew zablokował na infolinii

  • 0

    63. ~Olo  2018-01-18 01:25:36  host: public-gprs398535.centertel.pl

    @62 Bzdury chłopie piszesz. Dostajesz kod SMS z banku. Z informacja o kwocie i rodzaju transakcji. Identycznie jak przez kompa. Przynajmniej tak jest w ING

  • 0

    64.  2018-01-18 08:06:01

    Heniio - przeniesienie na numery międzynarodowe jest chyba niemożliwe?

  • 0

    65. ~n0n3  2018-01-18 08:14:59  host: user-94-254-167-90.play-internet.pl

    @62 łatwość aktywacji aplikacji w połączeniu z autoryzacją operacji pin'em ustalonym w tejże głęboko dyskredytują mBank....

  • 0

    66.  2018-01-18 08:24:31

    65 - to sobie sprawdź Getin Bank. Tam, to dopiero jest lipa....

  • 0

    67. ~  2018-01-18 09:04:20  host: public-gprs353124.centertel.pl

    @63 Olo

    Należysz do osób "nie wiem, ale się wypowiem", więc lepiej zamilcz jak nie wiesz jak jest w mbanku, bo nawet konta tam nie masz.

  • 0

    68.  2018-01-18 09:07:23

    67 - jak więc wygląda smsm autoryzacyjny w mBanku?

  • 0

    69.  2018-01-18 09:31:53

    68 - to zależy czego dotyczy. Zawsze w opisie są podane: - w przypadku przelewów, początkowe i końcowe numery kont, kwoty i wreszcie unikalny kod wpisywany w serwisie transakcyjnym. - w przypadku zmiany usług, opis dokonywanej czynności ( np. zmiana limitów ) początkowe i końcowe numery konta, na którym są dokonywane zmiany, no i kod do wpisania w serwisie transakcyjnym.

  • 0

    70. ~bla  2018-01-18 09:37:06  host: cxm109.internetdsl.tpnet.pl

    ...ale autoryzacją dla operacji zlecanych z aplikacji mobilnej mBanku jest... PIN zdefiniowany podczas instalacji tej aplikacji!!!

  • 0

    71. ~  2018-01-18 09:55:16  host: public-gprs353124.centertel.pl

    @wlo
    Sprawa jest głośna od kilku dni, Niebezpiecznik dokładnie to opisał, a takie osoby jak ty, czy @olo jeszcze nie mogą tego ogarnąć, co dopiero ludzie, którzy z netem mają do czynienia od święta.

    Włamanie się do apki mobilnej, a nie na konto na stronie, w apce mbanku przelewy na obce konta potwierdzenamy pinem, a jedynym ograniczeniem jest limit, ile k..a razy można to pisać, że tyle nieogarow jest to szok...

  • 0

    72.  2018-01-18 15:54:28

    71 - ja nie próbuję wnikać nawet w to co jest opisane w newsie. Mam inny pogląd na te sprawy, którego nie będę przytaczał, żeby nie urazić co niektórych bardziej "czułych" ;-)
    Generalnie powiem, zę używam karty płatniczej/kredytwj odkąd są (nie odkąd mogę, bo pełnoletni są od dawna moi synowie już, których spłodziłem też będąc dawno pełnoletnim), tak samo bankowości elektronicznej - też w bankach, które podobno były okradane tak czy inaczej - i nigdy mi grosz z konta nie zniknął ;-)

  • 0

    73. ~e  2018-01-18 16:02:23  host: user-94-254-164-177.play-internet.pl

    ... i czego to pozornie dowodzi? że lękliwie zapytam... Ci co jeździli doroszkami mogli mieć podobny pogląd o tych szaleńcach z automobili. Postęp nie jest domeną starych ludzi.

  • 0

    74.  2018-01-18 18:52:14

    73 - do mnie pytanie? Jeśli tak, jeśłi masz problemy ze zrozumieniem, to odpowiadam.
    Dowodzi to tego, że okraść można tylko idiotę, który nie zachowuje podstawowych (!!) zasad podczas korzystania z tych "dobrodziejstw" ;-)

  • 0

    75. ~Olo  2018-01-18 22:04:49  host: public-gprs396980.centertel.pl

    @74 wlo z takim zabezpieczeniem jak ma Mbank to nie tylko idiotę okradniesz. Apka nie posiada praktycznie żadnych zabezpieczeń ale najlepsze jest logowanie do konta w tradycyjny sposób. Brak podstawowego zabezpieczenia w postaci hasła maskowanego.
    Dla przykładu w ING dostaje sms autoryzacyjny nawet jak zrobię przelew na swoje konto oszczędnościowe.

  • 0

    76.  2018-01-18 22:21:00

    75 - i mówisz, zę to mistrzostwo świata? Dobry bank klientowi daje wybór - czy chce autoryzacji zawsze czy nie. Czy tylko w przypadku przelewów na wybrane rachunki. Czy opróćz loginu i hasła do konta także autoryzacja ma byż esemesem.
    Niczym mnie nie zaskakujesz - ja np. mam ustawine rachunki z autoryzacją jak i bez autoryzacji.

  • 0

    77. ~pabloki  2018-01-18 22:27:47  host: user-5-173-65-187.play-internet.pl

    76 wlo w mbanku powiedzieli mi że klient ma wybór , może określić czy chce autoryzacji na własne rachunki . można ustawić autoryzacje smsem - bezpłatnie . można ustawić tak jak masz u siebie.

  • 0

    78.  2018-01-18 23:03:35

    77 - ja nie wiem. Czytam co piszecie. Nie rozumiem tylko, czemu piszecie takie bzdury, skoro można autoryzować przelewy na własne rachunki?
    Przeczytaj ostatnie zdanie 75 - po cholerę gość to pisze?

  • 0

    79. ~Olo  2018-01-19 05:55:58  host: public-gprs396409.centertel.pl

    Wlo ja tylko podałem przykład jak jest w innym banku. Ale skoro w mBanku jest opcja autoryzacji sms to nie ma tematu. Gość dał d..y to go okradli.

  • 0

    80.  2018-01-19 08:25:20

    79 - po co więc wypowiadasz się o zabezpieczeniach banku, którego nie znasz? Argument, że Twój bank autoryzuje esemesem jakiś przelew, to raczej normalność a nie nic zadzwyczajnego - nawet jeśli jest to przelew na konto w tym samym banku czy rachunek tego samego klienta ;-)

  • 0

    81. ~Olo  2018-01-19 09:08:02  host: public-gprs396409.centertel.pl

    @80 Ty się tu udzielasz praktycznie na każdy temat. Mam rozumieć ze taki kozak z Ciebie ze znasz się na wszystkim?

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-54-92-197-82.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.

Ankieta

Gdzie znajduje się Twój telefon, gdy idziesz spać?

Co dziesiąty Polak przyznaje, że śpi ze smartfonem w łóżku

 

Zobacz wynik | Opinie (10)

Archiwum Ankiet