Zapewne słyszeliście już o wielkiej aferze, jaką jest
kradzież pieniędzy z kont klientów mBanku. Bank ten był szczególnie narażony na
ataki złodziei z powodu przeprowadzanego rebrandingu oraz scalenia oferty
mBanku z Multibankiem.
Maciej Samcik bardzo dobrze opisał sytuacje, w których z
kont w mBanku wyparowały bajońskie sumy pieniędzy, od kilkunastu do kilkudziesięciu tysięcy złotych dla każdego z
okradzionych klientów. Do tego wystarczył jeden SMS autoryzacyjny … i poznanie danych do logowania.
Szczegóły kradzieży
W każdym z tych przypadków niezbędne było zatwierdzenie kodem SMS operacji dodania odbiorcy zaufanego.
Złodzieje wcześniej musieli w jakiś sposób uzyskać od swoich
„celów” dane do logowania. Najczęściej miało to miejsce po zainstalowaniu wirusa na komputerze lub telefonie. Inną
możliwością było przekierowanie ruchu sieciowego na własne serwery (np. łącząc
się przez publiczne sieci WiFi).
Następnie złodzieje stosowali różne podstępy aby wymóc na
klientach zatwierdzenie kodem SMS wspomnianych już transakcji. Te sposoby były najróżniejsze.
Jak ktoś jest zainteresowany szczegółami to odsyłam na blog Macieja Samcika.
Czy jedynymi winnymi są klienci banku?
Moim zdaniem nie do końca. Gdyby chodziło o przelewy na
kwoty do kilku tysięcy, to zgodziłbym się z tym stwierdzeniem.
Natomiast w sytuacji, w której klient rzekomo bierze pożyczkę,
robi przelew z karty kredytowej, a następnie wszystkie te środki są przelewane
na jeden numer konta, to gołym okiem widać, że coś może być nie tak. Wystarczyłby
krótki telefon z banku przed puszczeniem takiego przelewu, aby uchronić przed
kradzieżą.
Mi już kilka razy zdarzyło się, że Alior Bank wykrywał
podejrzaną transakcję kartą i czekał na moją interwencję.
W kilku bankach spotkałem się też z komunikatem
ostrzegającym przed tego typu kradzieżami. Są to m.in. Bank Millennium, BZ WBK
oraz Citi Handlowy.
Jak ustrzec się przed kradzieżą?
- Przede wszystkim należy uważnie czytać SMS-y autoryzujące.
- Najlepiej nie łączyć się z
bankiem z niezaufanych komputerów / sieci
- Jak widzimy podejrzany
komunikat na stronie banku to należy zachować zasadę ograniczonego
zaufania
- Sam kilkukrotnie miałem
podejrzenie, że strona banku wygląda jakoś inaczej. Czasami też w pasku
adresowym zamiast pełnego adresu banku widniał zapis przetłumaczony na
adres IP. W takich wypadkach nigdy nie kontynuowałem logowania. Z tego co
pamiętam ten problem wystąpił w przypadku mBanku oraz Alior Sync, ale
równie dobrze może to być inny bank.
- Nie należy też instalować na swoich telefonach aplikacji z
nieznanego źródła.
- Problem z poprzedniego
punktu można rozwiązać posiadając prosty telefon zamiast smartfona.
- Stosując dywersyfikację
(patrz niżej)
Dywersyfikacja
Muszę przyznać, że opisywane kradzieże mocno mnie zszokowały.
Bynajmniej nie chodzi o fakt ich wystąpienia. Przede wszystkim nie mogę
uwierzyć, że ktoś w mBanku trzyma tak duże pieniądze. Wystarczy spojrzeć na ranking
lokat lub ranking
rachunków oszczędnościowych, gdzie mBanku nie uświadczycie. Uwaga. mBank
wprowadził całkiem ciekawą ofertę lokat na 3% dla nowych środków, która już by
się w tym rankingu pojawiła.
Sam większość oszczędności trzymam na rachunkach
oszczędnościowy i lokatach w mniej obleganych bankach, dzięki czemu po pierwsze
pieniądze te zarabiają chociaż ciut więcej niż wynosi inflacja, a po drugie jak
ktoś włamałby mi się do jednego banku to stracę tylko część pieniędzy.
Zresztą sytuacja taka jak u klientów mBanku nie byłaby
możliwa, ponieważ SMS dajmy na to z Meritum Banku od razu wzbudziłby mój
niepokój, jako że nie wykonuję tam żadnych operacji.
Wnioski
Wniosków można wysnuć kilka. Po pierwsze trzeba baczniej przyglądać się wiadomościom SMS
otrzymywanych od banków. Po drugie, uważać trzeba na to, gdzie się logujemy na
strony banku i jakie aplikacje ściągamy na naszego smartfona. Po trzecie, nie warto trzymać całości kapitału w jednym
banku. W razie problemów czy to z dostępem do konta czy takimi jak
opisywane dzisiaj, nie stracimy wszystkich pieniędzy a zaledwie ich część.
10 komentarze :
Trzymanie takich kwot na zwykłym rachunku rozliczeniowym to głupota i marnotrawstwo. No i jak można autoryzować nieznane transakcje?? Zwłaszcza że w SMSie z m banku wyraźnie jest napisane czego dotyczy autoryzacja...
Głupota, a gdzie trzymać w dzisiejszych czasach jak nic się nie opłaca?
No całkowicie się z tobą zgadzam ale niech każdy posiadacz konta w mbanku powie z ręką na sercu czy nie zdarzyło się autoryzować coś w pośpiechu przelewając coś komuś. Należy być czujnym jednak każdy ma słabszy dzień i koncentracja może być słabsza + pośpiech i mamy nieszczęście. Dobrze było by gdyby mbank jakoś zaczął się tym interesować i spróbował coś poprawić (dodatkowa autoryzacja dla większych kwot + częstych przelewów), możliwości jest sporo. Tego również oczekuje od mojego banku, oprócz mojej czujności.
Dołączam się do pytania. Gdzie trzymać pieniądze? Niby duże, ale nie na tyle, aby pozawalały na kupienie mieszkania, czy działki.
Śliczna strona to jak widać nie wszystko. Wina jednak leży tu po obu stronach. Użytkownicy takich kont powinni pilnować tego co robią. Z drugiej strony nie każdy dostosował się do obecnej sytuacji. Niektóre osoby i firmy posiadają rachunki internetowe, ponieważ potrzebują ich do kontaktów z klientami. Nie powoduje to jednak, by nadążali za rozwojem cywilizacji. Tych właścicieli kont powinien chronić bank przez odpowiednie oprogramowanie i uświadamianie swych klientów, a nie umywanie rąk.
Jako czytelnik Niebezpiecznika dodałbym jeszcze jedną ważną radę - zawsze aktualizuj swoje oprogramowanie (czy to na komputerze, czy firmware swojego sprzętu - zwłaszcza routera). Z założenia każda aktualizacja wnosi kolejne usprawnienia i zabezpieczenia, więc nie należy zapominać o regularnym sprawdzaniu najnowszych wersji i aktualizowaniu a zabezpieczymy się w ten sposób przed większością "ataków".
Wine ponosi mgang bo robi wszystko żeby ludzie korzystali z haseł przesyłanych w sms zamiast z list papierowych.
W sumie... brak hasła maskowanego, gdy za 1 razem weszli na fałszywą stronę złodzieje musieli by zgadnąć 60% hasła aby się zalogować na prawdziwej w tym samym czasie. Do tego brak obrazka gdzie złodzieje musieli by zgadnąć obrazek 1 z np. 20. Lepiej omijać ten bank, bank bez obrazka i hasła maskowanego to jak ser szwajcarski...
Mam wrażenie, że nikt z komentujących nie wie jak do kradzieży doszło. Po pierwsze strona mBanku nie ma z tym nic wspólnego, ofiara ataku łączyła się ze stroną, która wyglądała jak mBankowa (nawiasem mówiąc był to stary, a nie nowy system) i podawał dane autoryzujące jakąś aktualizację konta. W tym czasie atakujący logował się do prawdziwego mBanku danymi klienta i wykorzystał SMS autoryzujący do dodania zaufanego konta, w ten sposób tekst w SMSie, był bardzo zbliżony do tego co myślał, że robi atakowny. Później już tylko szybki przelew atakującego i tyle. Słabym ogniwem nie jest mBank czy kod na SMS, ale człowiek.
I racja, hasło maskowane na pewno by nie zaszkodziło.
Czytając ten artykuł uświadomiłam sobie jak nieuważna jestem. Nie czytam treści smsów autoryzujących przelewy, nie zwracam uwagi na stronę www mojego banku. Studiuję i nie mam na koncie kilkunastu czy kilkudziesięciu tysięcy, ale mam swoje ciężko zarobione oszczędności, które jak widzę przez własną nieostrożność mogę łatwo stracić. Dzięki temu artykułowi na pewno stanę się ostrożniejsza.
Prześlij komentarz