Wiadomości
Od przekierowania połączeń telefonicznych po kradzież pieniędzy z konta bankowego
Pewien mężczyzna przekonał się na własnej skórze, jak niewiele potrzeba, by ktoś okradł nasze konto bankowe przy użyciu aplikacji mobilnej.
78
Udostępnij na fb
Udostępnij na X
Wykop.pl
T-Mobile
mBanku
Niebezpiecznik.pl
Przypadek opisany przez portal niebezpiecznik.pl wynika z niewystarczających zabezpieczeń procesu przekierowywania rozmów po stronie operatora komórkowego. Zlecenie przekierowania rozmów jest w naszej ocenie krytyczną operacją i powinno wymagać tzw. silnego uwierzytelnienia, opartego na elementach będących w posiadaniu wyłącznie uprawnionego właściciela telefonu. Bazowanie wyłącznie na podstawowych danych osobowych klienta, łatwych do pozyskania przez przestępców, jest niewystarczające. Jesteśmy w kontakcie z T-Mobile i wspólnie pracujemy nad bezpiecznym rozwiązaniem. Monitorujemy również podejrzane transakcje, które mogą być dokonywane przez przestępców i podejmujemy stosowne działania
Proces parowania aplikacji mobilnej za pomocą połączenia głosowego i użyte w nim metody zabezpieczające przed atakami podlegały skrupulatnej ocenie ryzyka. Bank świadomie wybrał proces oparty na połączeniu telefonicznym, ze względu na znacznie większe ryzyko nieuprawnionego przechwycenia wiadomości SMS.
Z naszego krótkiego researchu wynika, że najlepsza będzie karta prepaid w Plusie/Plush lub Orange. Dla kart pre-paid Plus i Orange w ogóle nie oferują możliwości włączenia przekierowania połączeń. Czy to przez infolinie, czy krótkim kodem. Dla numerów abonamentowych w Plusie, przekierowanie jest możliwe, ale tylko krótkim kodem wprowadzanym z telefonu, nie przez infolinię
Play
Virgin Mobile
Zauważ, że wcale nie potrzebujesz aplikacji mobilnej mBanku. Operacje na swoim koncie możesz robić po prostu za pomocą przeglądarki internetowej na telefonie. Więc spokojnie możesz "wyzerować" te limity. Pamiętaj, że instalowanie jakiejkolwiek dodatkowej aplikacji, która nie jest nam niezbędna (a aplikacja mBanku do takiej kategorii należy) zwiększa ryzyko innych ataków. A bo ściągniemy nie tą co potrzeba, a bo na Androidzie ktoś nas zainfekuje i wykradnie dane z tej aplikacji, a bo producent aplikacji będzie miał dostęp do naszych danych na telefonie, takich jak książka kontaktowa czy lokalizacja, co może mieć negatywny wpływ na naszą prywatność. Oczywiście możesz też uznać, że aplikacja jest dla Ciebie na tyle wygodna, że ewentualna strata 5000 PLN i opisane wyżej "ryzyka" są do zaakceptowania ? ważne żebyś wiedział, czym grozi brak wyzerowania limitów, jeśli masz numer telefonu w T-Mobile, a ktoś zna nazwisko panieńskie Twojej mamy i Twój PESEL.
Jeśli niestety czytasz ten artykuł jako ofiara, którą ktoś okradł, to pamiętaj aby zastrzec swój dowód osobisty, jeśli miałeś jego obraz lub dane, które się na nim znajdują na e-mailu (imię, nazwisko, pesel, numer i serię). Przestępcy często wyrabiają tzw. "dowód kolekcjonerski" na pozyskane w ten sposób dane i za pomocą takiego dowodu wnioskują o pożyczki w różnych firmach i bankach. Pożyczek nie spłacają a dług dotyczy ...twojego PESEL-u. Dowód możesz zastrzec w każdym banku lub na policji.
