Niemal każdy użytkownik Internetu natknął się w pewnym momencie na ostrzeżenie “nie zdradzaj swojego hasła nikomu”. I rzeczywiście słusznie, ponieważ od tego typu działań zaczyna się historia phishingu. Pierwsze ataki polegały właśnie na próbach wyłudzenia hasła podszywając się pod pracownika lub wręcz administratora serwisu, którego hasło dotyczyło.

Pomysł stary, metody coraz nowsze

Świadomość użytkowników stale rośnie, jednak nasze bezpieczeństwo wciąż jest narażone. Ataki przyjmują coraz bardziej wysublimowaną formę – pojawiają się podrobione strony bankowości internetowej czy strony do dokonywania płatności błyskawicznych imitujące znane serwisy. Bardziej lub mniej dopracowane, jednak praktycznie zawsze zawierające jakieś wady, które wprawne oko dostrzeże. Brak certyfikatu, adres strony, który wyraźnie wskazuje, że nie jest to strona banku (np. baannk.pl zamiast bank.pl) czy wręcz błędy i literówki w treści strony pozwalają rozpoznać nawet dobrze wykonaną podróbkę.

Metody oszustw cały czas ewoluują i docieramy w historii do punktu, w którym może się okazać, że nie możemy już dłużej ufać wyłącznie własnym oczom. Powodem powstania tego artykułu jest atak phishingowy, który znacznie wyróżnia się na tle “konkurencji”. Opis ataku znaleźliśmy tutaj.

Absolutny hit wśród oszustów

Ten konkretny przypadek wymierzony jest w użytkowników Steama – i choć nie polega na kradzieży gotówki wprost, to konta na tej platformie mogą być warte od kilkuset do nawet kilku czy kilkunastu tysięcy złotych. Atak polega na wymuszeniu uwierzytelnienia poprzez zalogowanie na swoje konto Steam. Taka praktyka jest zupełnie normalna – niemal codziennie do setek zaufanych serwisów możemy zalogować się swoim kontem Google lub Facebook – hasło nie jest przekazywane nigdzie dalej, do serwisu trafia wyłącznie wynik autoryzacji. Działanie takie nie jest zatem w ogóle podejrzane. Po wyświetleniu okienka do logowania w nowym oknie (tak jak dzieje się to zazwyczaj) otrzymujemy formularz do wprowadzenia loginu i hasła. W pasku okna widnieje poprawny adres, co więcej – zaopatrzony w szyfrowanie i prawidłowy certyfikat. Przyciski okienka zachowują się standardowo, jedynie próba przeciągnięcia go w inne miejsce nie powiedzie się.

Wszystko to jest idealnie spreparowaną iluzją. Nowe okienko, które zobaczyliśmy nie jest tak naprawdę nowym oknem – na pasku zadań możemy zobaczyć, że przeglądarka ma tylko jedną instację, zaś kliknięcie prawym przyciskiem na górny pasek również nie wyświetli poprawnego menu. Tak jak i wspomniane przeciągnięcie go w inne miejsce. Widok ten został po prostu wyświetlony w przeglądarce tak, aby imitował nowe okienko przykrywające dotychczasową treść.

Czy jesteś bezpieczny w sieci?

W tym momencie warto odpowiedzieć sobie szczerze na pytanie – kiedy ostatnio logując się na jakiekolwiek konto przez zewnętrzną autoryzację (np. Facebookiem) poddaliśmy nasze okienko logowania takim zabiegom? Sprawdziliśmy czy rzeczywiście jest nowym oknem, próbowaliśmy je przesunąć? Czy tylko rzuciliśmy okiem na pasek adresu i sprawdziliśmy czy zielona kłódka świadczy o bezpiecznym połączeniu?

Nadchodzi czas, kiedy nasze oczy mogą okazać się niewystarczające do zapewnienia nam bezpieczeństwa. Wcześniej widząc podejrzaną maszynę z napisem “zaufaj mi, jestem bankomatem” – po prostu z niej nie korzystaliśmy, dziś musimy sprawdzać czy nawet standardowo wyglądający bankomat nie ma zainstalowanej nakładki skanującej naszą kartę czy kamery odczytującej nasz kod PIN. Dokładnie tak samo z dużą rezerwą powinniśmy podchodzić do każdego okna logowania, którego nie znamy – dotknąć, sprawdzić, a nie tylko obejrzeć.

Dbajcie o swoje bezpieczeństwo w sieci.

Artykuł Nie ufaj swoim oczom, gdy chodzi o Twoje bezpieczeństwo pochodzi z serwisu TestHub.pl.

Pan Grzegorz i mBank

Do redakcji niebezpiecznika 13 lipca zgłosił się klient mBanku, nazwany na potrzeby artykułu Grzegorzem. Jego firmowe konto zostało opróżnione z pieniędzy tzw. “przelewem ekspresowym SORBNET”. 40 minut od zauważenia awarii telefonu powiązanego z kontem bankowym skontaktował się z Grzegorzem bank pytając o podejrzane transakcje na koncie. Mimo tak błyskawicznej reakcji pracowników mBanku pieniądze niestety zniknęły, a bank obiecał Grzegorzowi odpowiedź na reklamację w ciągu 30 dni (albo nawet 60 dni, jeśli sprawa okaże się skomplikowana).

Jak informuje Grzegorz:

W dniu wczorajszym zostałem okradziony na bardzo duże sumy pieniędzy. Kilka nieautoryzowanych przelewów. Sprawa oczywiście w ciągu kilku chwil wykryta przez mBank (otrzymałem telefon z mBanku – chyba, bo pewności już nie mam, mam podejrzenia) i pytaniem o awarię telefonu i czy dokonywałem dużych przelewów. Na informację, że owszem awaria karty SIM małżonki miała miejsca jakieś 40 minut temu, i że ja przelewów ani żona nie dokonywaliśmy, Otrzymałem informację o fakcie prawdopodobnie włamania na nasze konto i zalecenie bym zgłosił to również pilnie na Policję. Po sprawdzeniu konta stwierdziłem, że z konta dwoma przelewami expressowymi wypłynęły całe nasz pieniądze. Naprawdę duże. Kilkaset tysięcy. W przeciągu pół godziny później byłem już na Policji i będąc nawet jeszcze na Policji w trakcie składania zawiadomienia zgłosiłem równolegle oficjalnym kanałem na infolinii mBanku reklamację. Wczoraj popołudniu małżonka pobrała w salonie duplikat karty SIM, gdyż telefon nadal nie działał. Skojarzyłem fakt pytania pracownika mBanku o awarię telefonu i sprawdziłem kiedy wcześniej był wykonywany duplikat. Okazało się, że był wykonywany w dniu wczorajszym pół godziny przed przelaniem pieniędzy. Niestety pracownik Orange nie chciał (chyba nie mógł) udzielić mi informacji gdzie, w jakim salonie (czy w ogóle w salonie) i na jakiej podstawie wystawiono duplikat. Poinformował mnie że musi się z tym zwrócić prokuratura.

Duplikat karty SIM sieci Orange

Zadziwiające dla redaktorów niebezpiecznika jest to, iż złodzieje bezproblemowo wyłudzają duplikat karty SIM podszywając się pod klienta Orange, a sam klient nie jest w stanie uzyskać informacji od operatora o czynnościach dokonanych w jego imieniu. Niebezpiecznik automatycznie zapytał o to Orange i uzyskał od nich następująca odpowiedź:

Nie mamy żadnych wewnętrznych wytycznych odnośnie udzielania lub nie klientowi informacji na temat wydania karty SIM. Jeśli klient zostanie zweryfikowany zgodnie z naszym standardem, to powinien dostać taką informację. Nie znając szczegółów tego konkretnego przypadku nie potrafię odpowiedzieć czy błąd popełnił nasz doradca czy np. klient nie udzielił wystarczających informacji do poprawnej weryfikacji.

Analiza ataku

Z ustaleń redakcji niebezpiecznika wynika, iż:

1. Złodziej jakoś pozyskał login i hasło ofiary do banku. Nie wiadomo jak: czy było to złośliwe oprogramowanie na komputerze ofiary, czy phishing.
2. Wyłudzenie duplikatu karty SIM nastąpiło w Płocku, w fizycznym salonie (co Grzegorz ustalił własnymi znajomościami), a złodziej posłużył się podrobionym dowodem osobistym (tzw. dowody kolekcjonerskie można zamówić przez internet za ok. 300 PLN). Czytelnik poznał nawet nazwisko konsultanta, ale rozumie, że wydał on kartę temu, kto pokazał dowód. Być może nagrania z kamer monitoringu ujawnią przestępce, albo osobę, którą posłużył się do wyrobienia duplikatu.
3. Pieniądze z konta Grzegorza zostały najpierw przesłane na konto w BOŚ, a stamtąd miały trafić na giełdę kryptowalut BitBay. Przelew został jednak w porę zatrzymany

Podsumowanie

Szybka reakcja pracowników mBanku finalnie uchroniła Grzegorza przed utratą środków. Pieniądze, co prawda opuściły jego konto bankowe, lecz finalnie środki udało się zablokować w BOŚ-u. Jak wynika z rozmowy przeprowadzonej przez niebezpiecznika z Grzegorzem zostały mu już zwrócone. W mniej niż 10 dni. To oznacza, że współpraca na linii mBank–BOŚ–BitBay była bardzo sprawna. Nie wiadomo co było powodem, iż pracownik mBanku postanowił zadzwonić do Grzegorza. Czy czynnikiem decydującym o oflagowaniu transakcji był transfer dużej kwoty szybkim przelewem. Transfer na nieznane konto, czy może wykonanie tych operacji z nowego adresu IP. Brawo zarówno dla mBanku za sprawne rozwiązanie sprawy i dla redakcji Niebezpiecznik za nagłaśnianie takich spraw i udzielanie rad, jak zachowywać się w przeróżnych przypadkach.

Wszystkich głębiej zainteresowanych tematem zapraszam bezpośrednio do wpisów chłopaków, którzy jak zawsze odwalili kawał dobrej roboty przy analizie całej sprawy. Dodam, że nie jest to odosobniony przypadek i pojawiło się ich więcej, ale szczegóły dostępne na stronie niebezpecznik.pl

Grafika tytułowa: pexels.com/ Źródło: niebezpiecznik.pl/post/duplikat-karty-sim-kradziez-bank-mbank-bzwbk

Artykuł Okradanie klientów banków poprzez duplikat karty SIM pochodzi z serwisu TestHub.pl.