11:55
11/6/2019

To niesamowite, ale wciąż są osoby, które łapią się na najpopularniejszy od ponad roku atak “Na dopłatę 1PLN“. Na Niebezpieczniku opisywaliśmy go już dziesiątki razy w różnych wariantach. Stworzyliśmy nawet galerię SMS-ów do których wszystko się zaczyna. Ale ofiar, które tracą oszczędności CAŁEGO swojego życia, wciąż nie brakuje. Co gorsza, nawet niektórzy techniczni, pracujący w IT ludzie, nie do końca wiedzą na czym ten atak dokładnie polega.

Mamy więc do Was jedną, gorącą prośbę. Udostępnijcie, prześlijcie, wyszerujcie ten artykuł każdemu, kogo znacie. Zarówno Waszym technicznym, jak i nietechnicznym znajomym. Niech w końcu KAŻDY w Polsce, kto korzysta z internetu, będzie świadomy na czym polega ten przekręt. Przekręt, który wedle naszych szacunków wygenerował więcej strat w Polsce niż znana wszystkim metoda “na wnuczka”.

Zacznie się od linka do płatności przesłanego SMS-em

Atak, w jednym z najpopularniejszych wariantów zaczyna się od otrzymania wiadomości SMS proszącej o dopłatę, bo paczka okazałą się cięższa. Kwoty są różne, zazwyczaj małe (0,76PLN, 1PLN) i nie zawsze podawane w treści SMS-a:

Wysyłany przez złodziejów SMS jest podpisany nazwą znanej firmy, np. Inpostu, DHL lub Biedronki. To dlatego Twój telefon pokaże tego fałszywego SMS-a zaraz pod prawdziwymi SMS-ami, które otrzymałeś od tych firm. To dodaje wiarygodności, ale pamiętaj że SMS-a każdy może wysłać z dowolnej nazwy, niezależnie od tego, czy będzie to DHL, Inpost, KURIER, Mama, czy TVN. W polu nadawcy można wpisać cokolwiek.

Złodzieje w ramach jednej akcji rozsyłają tysiące SMS-ów na losowe numery Polaków. Ponieważ treść jest dość ogólna:

“Ze względu na wagę zamówionego przedmiotu, wymagana jest dopłata aby Twoja przesyłka ruszyła w drogę”

To wśród osób, które otrzymają takiego SMS-a na pewno będzie kilkadziesiąt, jeśli nie kilkaset, które właśnie czekają na jakąś przesyłkę. Część z nich pewnie dopiero co złożyła zamówienie w jakimś sklepie (jak w przypadku prezentowanym na zrzucie ekranu powyżej). Takie osoby będą najbardziej podatne na ten atak.

Jeśli nie zauważą, że link wcale nie prowadzi do prawdziwego adresu strony kuriera lub pośrednika w płatnościach (DotPay, PayU, Przelewy24), to stracą wszystkie pieniądze jakie mają na koncie w banku.

Nie zauważysz, że to nie jest prawdziwa strona pośrednika (DotPay, PayU, Przelewy24)

O pomyłkę nietrudno, bo strony podstawiane przez przestępców są wyglądem identyczne jak strony prawdziwego pośrednika w płatnościach, pod którego podszywają się przestępcy.

W dodatku, na małym ekranie telefonu, często adres strony (tzw. URL) znika po chwili od załadowania strony lub nie jest w pełni widoczny bo nie mieści się w całości na ekranie.

Na tym etapie, chcesz dokonać niewielkiej opłaty, żeby Twoja paczka ruszyła w drogę, działasz rutynowo. W końcu nie raz opłacałeś coś w internecie. Wiesz, że trzeba wybrać bank, podać login i hasło, a następnie przepisać kod, jaki bank Ci wyśle SMS-em lub przez aplikację mobilną. I wszystko wygląda tak, jak podczas prawdziwej płatności — poza adresem strony banku.

Nie zauważysz, że to nie jest prawdziwa strona Twojego banku

Myślisz, że logujesz się do swojego banku, ale logujesz się na stronie podstawionej przez złodzieja (popatrz na adres):

Dzięki temu, złodziej dysponuje już Twoim loginem i hasłem do konta w banku i w tej samej chwili loguje się na Twoje konto w banku. Po zalogowaniu, definiuje na Twoim koncie nim tzw. odbiorcę zaufanego, czyli rachunek, na który będzie można przesyłać pieniądze z konta ofiary BEZ konieczności każdorazowego potwierdzania takiego przelewu kodem z SMS. Ale żeby takiego odbiorce zaufanego zdefiniować na Twoim koncie, złodziej musi poznać kod jaki SMS-em przesyła Ci bank, aby potwierdzić operację dodania zaufanego odbiorcy.

I Ty złodziejowi ten kod podasz… Bo w tym momencie widzisz przed sobą formularz potwierdzania przelewu na tę złotówkę, którą musisz dopłacić kurierowi za “cięższą” paczkę:

Wiesz, że aby potwierdzić przelew, musisz przepisać kod z SMS-a przesłanego przez bank. I taki SMS w tym momencie otrzymujesz. Ale — co widać w treści SMS-a, a czego ofiary nie zauważają — nie jest to SMS dotyczący potwierdzenia przelewu 1 PLN z rachunku ofiary na rachunek kuriera. SMS z kodem, jaki ofiara otrzymuje, to SMS dotyczący transakcji, którą na jej koncie w tym momencie wykonuje złodziej, czyli wspomnianej wcześniej “definicji odbiorcy zaufanego”, co zresztą w treści SMS-a jest, niestety nie zawsze jasno, wskazane:

  • Tak wygląda to w mBanku w treści SMS:
  • Tak wygląda to w mBanku w aplikacji mobilnej:
  • Tak wygląda to w PKO BP w SMS:

Uważamy, że banki mają tu jeszcze pole do ulepszeń, jeśli chodzi o jasność komunikatów.

Nie przeczytasz uważnie SMS-a od banku i stracisz oszczędności całego swojego życia

Jeśli nie zorientujesz się, że kod w SMS dotyczy innej operacji (definicja odbiorcy zaufanego) niż tej, którą właśnie wykonujesz (przelew złotówki), bo zawsze odruchowo, rutynowo szukasz “tych podkreślonych cyferek na końcu SMS-a” i automatycznie je przepiszesz, byle szybciej, to prześlesz złodziejowi kod, którego on potrzebuje do zakończenia operacji dodania do Twojego konta odbiorcy zaufanego. Sekundę później na konto tego odbiorcy zaufanego złodziej prześle całą gotówkę, którą masz na swoich rachunkach.

W ten właśnie sposób Polacy tracą oszczędności całego swojego życia.

UWAGA!
Nie zawsze złodziej okradnie Cię przez “odbiorcę zaufanego”. Czasem od razu zrobi 1 szybki przelew na konto słupa. Wciąż jednak dokładnie czytając SMS-a będziesz w stanie wykryć rozbieżności w stosunku do tego, co widzisz na formatce przelewu który wykonujesz, a tego czego dotyczy SMS z banku.

Jak się przed tym atakiem zabezpieczyć?

Aby nie paść ofiarą tego ataku, zawsze przed potwierdzeniem każdej transakcji finansowej dokładnie przeczytaj treść SMS-a z banku (lub powiadomienia w aplikacji mobilnej banku) i upewnij się, że dotyczy ona takiej transakcji jaką właśnie wykonujesz. Zgadzają się zarówno kwoty jak i numerów rachunków. Jeśli nie — jak najszybciej zadzwoń na infolinię bankU i opisz sytuację.

Uważne czytanie SMS-ów (i powiadomień w aplikacji mobilnej banku) to Twoja ostatnia deska ratunku, jeśli wcześniej nie zauważyłeś błędnego linku do strony pośrednika płatności w SMS-ie od złodziejów (zdarza się) i niepoprawnego adresu URL swojego banku podczas logowania się na telefonie komórkowym (zdarza się).

Możesz także zmienić limity dziennych transakcji na swoim koncie (dotyczy operacji na rachunkach i kartach). Każdy bank to umożliwia. Nie uchroni Cię to przed stratą pieniędzy w tym ataku, ale uchroni Cię to przed stratą wszystkich oszczędności, bo złodziej nie będzie mógł wytransferować więcej pieniędzy na rachunek “zaufanego odbiorcy” niż kwota dziennego limitu. Chyba, że ten limit będzie probował zmienić, ale to wymaga kolejnego SMS-a i daje ci jeszcze jedną szansę na zorientowanie się, że coś jest nie tak.

Prześlij ten artykuł znajomym!

Serio. Prosimy, błagamy! W imieniu kilkunastu ofiar każdego dnia od ponad roku. Wyślij linka do tego artykułu każdemu, kogo znasz i wiesz, że korzysta z internetu lub ma konto w banku. Choć takie ataki wykonywane są regularnie (nawet po kilka razy dziennie!) od ponad roku, to wciąż każdego dnia przestępcy okradają kolejnych Polaków. Wiemy, bo codziennie zgłaszają się do nas poszkodowani, z których każdy traci od kilku do kilkudziesięciu tysięcy złotych, a czasami i więcej. Następną ofiarą może być ktoś Tobie bliski. Więc jeszcze raz — prześlij każdemu znajomemu link do tego artykułu, aby (w kolejności od najważniejszych):

  • — zawsze czytali uważnie treść SMS-ów z banku
  • — zawsze sprawdzali adres strony podczas wpisywania hasła do konta w banku
  • — wyczulili się na SMS-y o dopłacie
  • — ustawili limity na transakcje w swoim banku już dziś

Ten atak to tylko jeden z kilku, którymi aktualnie cyberprzestępcy atakują i okradają Polaków. Dlatego…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

PS. Wyślijcie ten artykuł także swoim technicznym znajomym. Nawet osoby pracujące w branży nie zawsze wiedzą na czym polega ten atak:

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

160 komentarzy

Dodaj komentarz
  1. Ja zauważyłem, że ten link udostępniają tylko techniczni. Pozostali pewnie i tak ignorują ten materiał :( nikt nie ponyśli, ze może być obiektem ataku :(

    • Trochę racji w tym niestety masz. Spora część e-maili od ofiar, które do nas piszą zaczyna się od “Nigdy bym nie pomyślał, że to spotka mnie…”

    • Kiedy w końcu operatorzy polscy przy każdym SMS-ie z zagranicy dopiszą [Zagraniczny uważaj], a dla polskich SMS-ów zaczną sprawdzać skąd wyszedł i dopuszczać tylko SMS-y z numerem telefonu w nagłówku i tak by ten numer był zgodny z numerem z którego wysłano? To by skończyło ten phishing prawdopodobnie na zawsze, przynajmniej w kraju.

      CZY TO TAKIE TRUDNE???

  2. Niestety oprócz naiwnych użytkowników są też zacofane banki.
    1. Nieporozumieniem jest też konieczność wpisywania całego hasła w niektórych serwisach bankowych, a nie np. tylko losowych kilku znaków. Losowe 4 czy 5 znaków z powiedzmy 15-znakowego hasła nie dałoby oszustowi dostępu do konta. Co więcej lewa witryna wymagająca podania całego hasła wzbudziła by podejrzenia.
    2. Kody SMS są przeżytkiem.

    • 1. Oszust poprosi dokładnie o te same znaki, albo o wszystkie znaki. Wierz lub nie, wiele osób wpisze wszystkie bez większej refleksji.
      2. SMS nie ma tu nic do rzeczy. To samo (jak pokazaliśmy na screenach wyżej) działa też jak masz autoryzacje przez aplikację mobilną.

    • Może i te 5 znaków nie da oszustowi stałego dostępu do konta, ale jednorazowy już tak – i to raczej wystarczy. Strona która w czasie rzeczywistym sprawdzi o jakie znaki pyta bank i zapyta o takie same to nie jest żaden rocket science.

    • Hasła maskowane to zło. ;)

    • Kolejny z efektem Dunninga-Krugera. Krótko bredzisz i pokazujesz, że w ignorancji w bezpieczeństwie IT masz poziom EXPERT.

    • Kiedyś miałem rachunek w BZWBK i największym upierdlistwem było ichniejsze “maskowanie” hasła. W większości przypadków moje stosowane hasła są pozbawione jakiegokolwiek sensu, czy logiki. Wpisuję je dzięki “pamięci mięśniowej” palców ;-) Bez układu klawiatury przed oczyma nie potrafię ich odtworzyć w głowie. I jeżeli miałem podać czwarty, ósmy, czy dwunasty znak hasła… yyy… notepad, wpisać CAŁE hasło, a następnie kursorami znaleźć o co proszą. Bzdura!

      Teraz, kiedy korzystam z menadżera haseł, wiele by to nie pomogło. A jeszcze na telefonie, gdzie używam do wprowadzania innej niż systemowa (domyślna) klawiatura?

      Losowo mogę podawać cyfry z PESELu ;-)

    • > 1. Nieporozumieniem jest też konieczność wpisywania całego hasła
      > w niektórych serwisach bankowych, a nie np. tylko losowych kilku
      > znaków. Losowe 4 czy 5 znaków z powiedzmy 15-znakowego hasła
      > nie dałoby oszustowi dostępu do konta.

      To co piszesz, to tylko wrażenie, ułuda, wydaje się, że tak jest trudniej, bo Tobie jest trudniej wpisać takie hasło.
      Ale złoczyńcom nie jest trudniej – zobacz sobie jak to ładnie tutaj ktoś opisał:
      https://wampir.mroczna-zaloga.org/archives/235-o-haslach-maskowanych.html
      i tutaj:
      https://wampir.mroczna-zaloga.org/archives/1058-hasla-maskowane-znowu.html

    • Jestem techniczny, nie potwierdziłbym takiego przelewu, bo w żadnym z smsów nie jest podana kwota – a tę zawsze sprawdzam w smsie.

      Patrząc na wyuczone zachowanie opisane wyżej, czy nadal jestem podatny na ten atak?

      (poza tym ze w życiu nie wszedłbym w linka z smsa)

    • Prosze, tylko nie to: podaj 3 znak z hasla, a potem podaj 7 znak z hasla. Przeciez przy silnym hasle nie ma bata – musisz je sobie napisac na kartce i liczyc palcem. A to slabe zabezpieczenie. Kto to w ogole wymyslil?

    • Prosze nie! Pytanie o 5,7,10 znak hasła praktycznie uniemożliwia efektywne korzystanie z menadżera haseł.

    • Były kiedyś takie ataki. Mimo konieczności uzupełniania znaków w haśle (zamiast wpisywania całego hasła) było zdobywane całe hasło. Wyskakiwały “błędy w logowaniu” i po kolejnej próbie podałeś całe hasło. Jak ktoś nie załapał, że 10-ty “błąd” to nie jest normalne – to miał pecha:) Na szczęście już to – mam nadzieję – się skończyło, bo banki blokują dostęp po kilku błędnych próbach logowania.

  3. Droga Redakcjo ma pytanie,

    czy mogę za Waszą zgodę przesłać link do moich klientów? Prowadzę działalność komercyjną i nie chciałbym być posądzony o kradzież efektów Waszej pracy.

    PS. Wasz wykład w Poznaniu zrobił wrażenie na wielu moich znajomych.

    • Przesyłaj, nie pytaj. Niech jak najwięcej osób się dowie o tym, jak to działa i nie da się na to złapać.

    • Dziękuję :)

      Wypiję za Wasze zdrowie w czwartek.

    • “czy mogę za Waszą zgodę przesłać link do moich klientów?”
      Tego jeszcze nie grali. Pytać się o zgodę do podzielenia się linkiem do strony xD
      “Prowadzę działalność komercyjną i nie chciałbym być posądzony o kradzież efektów Waszej pracy.”
      To chcesz podzielić się linkiem do artykułu czy skopiować artykuł do np. worda i przesłać plik po znajomych xD

    • Czemu przesłanie linku miałoby być kradzieżą efektów pracy? Jest wręcz przeciwnie, propagowaniem tej pracy. Kradzieżą byłoby skopiowanie całej treści i wklejenie w maila, a do tego podpisanie swoim imieniem.

    • @ettorot nie frustruj sie tak; czuc, ze jakis kulturalny czlowiek pyta o pozwolenie, a tu jakies heheszki

    • @Luke

      Masz dobre intencje ale niestety mylisz się ;)
      To co opisujesz byłoby SKOPIOWANIEM czyjejś pracy a nie kradzieżą. To są dwa odrębne pojęcia i należy jej rozróżniać.
      Jak ukradniesz komuś auto to ten ktoś traci całkowicie do auta dostęp. Nie może nim jeździć, nie może go sprzedać, etc. Jak komuś “skopiujesz” auto to masz dwa auta a osoba od której skopiowałeś może nawet nie być tego świadoma. A to czy kopiowanie jest etyczne, słuszne, etc. to zupełnie inna sprawa ;)
      Pozdrawiam

  4. “banki mają tu jeszcze pole do ulepszeń”? Toż to eufemizm! Dlaczego w aplikacji mobilnej w takim mBanku nie mogę zobaczyć czerwonego, pogrubionego komunikatu “Dodajesz nowego odbiorcę zaufanego!” Dlaczego to nie może być wyróżnione tak, żeby człowiek od razu zorientował się, że to inna operacja niż przesłanie przelewu na 1 zł? Odpowiadam – ponieważ mam wrażenie, że zwykle tymi apkami zajmują się developerzy, którzy się nie zajmują bezpieczeństwem a nawet nie zajmują się UI takich aplikacji. To są klasyczne aplikacje pod tytułem – programiści programistom.

    • W aplikacji mbanku w przypadku przelewu/płatności PayU ZAWSZE pokazana jest nazwa odbiorcy, rachunek oraz KWOTA.
      Jeśli nie widzisz kwoty przelewu/płatności powinno Ci to dać do myślenia.
      Problemem jest fakt, że ludzie nie myślą.

    • A wiesz, że ludzie też mogą chcieć definiować przelewy zaufane i co wtedy? Też dasz wielki czerwony ekran?

      Problem nie jest UI aplikacji, a brak myślenia u ludzi. Trzeba czytać… wszystko i myśleć co się robi.

    • @Piotr a czemu nie? Czerwony ekran nie zabrania dodania odbiorcy, tylko ma zwrócić uwagę.
      Problemem są mętne komunikaty, które niezorientowanemu użytkownikowi nie powiedzą, że dodaje odbiorcę zaufanego.

      Wszyscy są mądrzy dopóki się nie złapią, a później nie zauważy braku kwoty i jest “ojej, NAWET taki geniusz jak ja się złapał, to było trudne…”

    • Widać, ze nigdy nie miałeś do czynienia z klientami. Co byś nie wymyślił, Ci rzadko czytają treść komunikatów. To nie aplikacje są problemem, ale użytkownicy.
      Jest wiele sytuacji w której trzeba zwrócić komuś uwagę na ważność komunikatu. Tu czerwony ekran, tam czerwony – i już użytkownik się uodparnia na tą formę ostrzeżeń.
      Czy to taki problem spojrzeć na treść SMS-a i zrozumieć jaką operację autoryzujemy?
      Czy to takie trudne wyczulić się na sytuacje, kiedy to nie my inicjujemy operację bankową?
      Skoro to nie wzbudza podejrzeń użytkownika, to skąd wiara, że akurat Twoje pomysły “obudzą” delikwenta?
      .. naiwność?

    • @ciekawy mam, ale nie robię im zagadek typu “jeśli brakuje kwoty to DOMYŚL SIĘ, że >>nowy odbiorca<>definicja przelewu<< to dodawanie odbiorcy zaufanego".

      UX leży i kwiczy, ale po co poprawiać, skoro pewnie większość i tak nie przeczyta.

    • Jeden się uodporni, inny skorzysta. Aplikacje są dla ludzi. Więc jestem za czerwonym obramowaniem, a jak się komuś nie podoba, to niech sobie odpowiednią opcją w konfiguracji wyłączy i wszyscy będą zadowoleni, i ludzie, i beton który się na wszystko uodparnia.

      Ale ja się nie dziwię, że to wszystko jest robione byle jak, skoro większość zatrudnianych programistów to ludzie po studiach, a tam nikt nie uczy życia, upraszczania itd. Zresztą ja nie wiem czego uczą te szkoły, chyba niczego. Tacy ludzie ani się wysłowić nie potrafią, widzą wszędzie problem, komplikują wszystko i wydaje im się, że upraszczają. A do tego mają kompleks niższości, udowadniają swoje racje… Jedyne co chyba naprawdę umieją, to właśnie umieją się sprzedać. I to chyba dlatego mamy takie g…o jakie mamy.

    • Też jestem za tym. Można coś zmienić, żeby człowiek miał jakieś inne info niż przy zwykłym przelewie. Nie trzeba dużo, oczywiście i tak się ktoś nabierze, skoro potrafią wysłać kasę wnukowi, chociaż nie mają wnuka… Tak czy inaczej, w większości przypadkó zwróci to uwagę wielu osób.
      Oprócz tego jak ktoś pisał-dodatkowy sms przy pierwszym zaufanym przelewie to też sposób, żeby chociaż opóźnić kradzież konta, wtedy jest większa szansa, że ktoś się zorientuje.
      Ludzie czasem robią głupie rzeczy, ale wydaje mi sie, że banki też powinny coś zrobić w tym kierunku, banki i może operatorzy GSM.

  5. Ciekawostka, która mnie ostatnio spotkała – zastanawiam się czy nie związana z tym sposobem wyłudzenia. W bankowości internetowej PKO BP (iPKO) nawet jeżeli podczas tworzenia odbiorcy zaufanego zaznaczę opcję aby nie wymagał kodów jednorazowych przy przelewie to pierwszy przelew i tak wymaga podania kodu. Kiedyś tak nie było a ostatnio mi się to zdarzyło pierwszy raz, z 10 razy sprawdzałem treść sms-ów czy wszystko jest ok. Czy ktoś miał podobnie i może to potwierdzić?
    Swoją drogą jest to jakieś zabezpieczenie – złodziej będzie musiał wyłudzić dodatkowy kod a to już może zastanowić ofiarę.

    • Miałem tak, ale w Santanderze – musiałem zmienić numer rachunku w szablonie i przy pierwszym przelewie zapytało o kod SMS, kolejne już szły bez kodu. Trochę to utrudni zadanie złodziejom, ale pewnie zaraz wymyśla jakiś komunikat żeby nieświadomy ludzik wpisał drugi kod :(

    • Potwierdzam. U mnie też pierwszy przelew z dodatkowym kodem (używam zdrapek bo wg mnie bezpieczniej niż sms). Nie wiem jak kolejne bo akurat jeszcze nie musiałem przelewać ponownie do danego odbiorcy.

  6. Rozmiar strat w każdej takiej kradzieży można zminimalizować poprzez… nietrzymanie na jednym koncie oszczędności całego życia.

    • Chyba nie trzymanie w jednym banku.
      Jeśli masz konto oszczędnościowe w banku, w którym posiadasz również “podstawowe” konto, najczęściej masz dostęp do obu jednym loginem.
      W przypadku wykradzenia danych i dodania kontaktu zaufanego, łatwo opróżnić wtedy wszystkie konta.

    • @Paula,
      Właśnie Kuba, jak niewiele kto, dobrze napisał “nietrzymanie”.
      Jest to rzeczownik, a jak wiemy ze szkoły podstawowej, takie twory piszemy razem. :)
      Wpisz np. w google: “nietrzymanie moczu”.

  7. Chyba hasło maskowane do bankowości może tu trochę pomóc.

    • Nic nie pomoże.
      Atakujący wtedy poprosi o te same znaki co oryginalna strona banku. Nie pozna całego hasła, racja, ale i tak wyczyści całe konto przy jednym logowaniu.

    • Nie, to jest jeszcze gorsza opcja niż zwykłe pole hasła, bo:
      a) uniemożliwia stosowanie długich haseł i
      b) uniemożliwia zastosowanie programów zapamiętujących hasła.
      Powyższe dyskwalifikuje stosowanie maskowania, ale nawet gdybyś chciał, to aby wpisać takie hasło po literce:
      a) musisz zapisać sobie gdzieś hasło na kartce, w telefonie itp., albo
      b) musi być proste, abyś mógł wpisać z głowy literkę 1, 3, 7, 8 i 12
      Obie opcje mijają się z sensem stosowania haseł w ogóle.

    • Keepass ma opcję wpisania hasła maskowanego. Uzupełniając hasło maskowane keepass wyświetla ekran z ciągiem cyfr, na którym trzeba wybrać te, o które pyta strona.

    • > chyba hasła maskowane…

      Chyba nie :D
      Tak Ci się wydaje, bo Tobie jest trudniej. Przestępcy nie jest.
      https://wampir.mroczna-zaloga.org/archives/235-o-haslach-maskowanych.html

  8. Może czas na podpisywane elektronicznie wiadomości SMS? Mogłyby być np
    weryfikowane przez operatorów telekomów i odpowiednio oznaczane na telefonach.
    Ale to z pewnością marzenia…

  9. Po dokładnym przeczytaniu komunikatów dalej nie widzę w żadnym słowa “zaufany”, więc nie dziwne, że ludzie się łapią. Jak wysyłam pieniądze do kogoś pierwszy raz to dla mnie jest to “nowy odbiorca”, a jak określam komu i ile przelewam to jest to “definicja przelewu”. Jedyne czego brakuje to kwota przelewu. Te komunikaty SĄ NIEJASNE, mówienie o “polu do ulepszeń” to jakby nic nie powiedzieć. No ale lepiej założyć, że głupi ludzie szukają tylko kodu do przepisania, można się dowartościować.

    • Masz rację, wyżej w komentarzach jakiś wybitny developer mówi coś w stylu “Panie, jakie tam UI? Jakie komunikaty? Ludzie so głupie i co zrobisz? Nic nie zrobisz.” tak jak gdyby strony i komunikaty nie miały być tworzone dla ludzi, a dla samego tworzenia i nie miały uwzględniać właśnie tego jacy my ludzie jesteśmy. Na przykładzie tych smsów widać jak słabo bank dba o najprostszą możliwą komunikację. Oczywiście nic nie poradzimy na pewną część użytkowników, którzy z różnych względów będą oporni, roztargnieni, śpieszący się i przez różne psychologiczne mechanizmy dadzą się oszukać. Ale myślę że jasne komunikaty pomogłby by częsci ludzi i nawet dla tego % ludzi warto to wszystko poprawić i nawet ustandaryzować we wszystkich bankach jednocześnie, tak by wyrobić w klientach nawyk sprawdzania definicji, kwoty i odbiorcy. Tymczasem jak w każdym banku jest inaczej, często niechlujnie to bardzo możliwe że człowiek w pośpiechu ignoruje ten bałagan. BTW, dzisiaj jest ALERT o burzach, mój telefon wpada pod 3 nadajniki i zazwyczaj dostaje 3 różne smsy, w każdym to samo tylko innymi słowami. Nawet taki prosty komunikat jest niechlujny i z różnymi błędami.

  10. Bardzo mnie wkurza ta funkcjonalność w banku (odbiorcy zdefiniowani)
    Nie używam tego w ogóle i chętnie bym sobie taką możliwość wyłączył

    • A ja używam. Ma to dla mnie tą zaletę, że nie muszę autoryzować operacji, na konta które są już przeze mnie sprawdzone. Wysyłając pieniądze na takie konta nie muszę się zastanawiać, czy konto/kod jest właściwy. Wystarczy to zrobić raz, kiedyś wcześniej.
      Oczywiście ideałem byłoby aby ktoś kto chce mógł to sobie wyłączyć – pytanie po co? Nie korzystasz to Ci to w niczym nie przeszkadza. Podobnie jak ktoś kto nie używa kart kredytowych nie musi niczego wyłączać – nie zamawia karty – to jej nie ma :)

    • @jonasz

      IMO funkcjonalność, której się nie używa, jak najbardziej przeszkadza. Bo się jej nie używa (tym samym nie rozwijając umiejętności korzystania z niej), a jest wielką furtką do nadużyć.

      O ile prostsze byłoby życie “zwykłego człowieka”, gdyby chcąc mógł rzeczywiście skutecznie zablokować dokonywanie z poziomu ebankowości takich operacji, jak dodawanie odbiorców zaufanych i branie kredytu. Do wyłączenia/włączenia blokady wymagana wizyta w placówce.

      Póki co, banki nie udostępniają takiej możliwości, bo im się opłaca dostarczać każdemu klientowi pełen wachlarz usług, żeby bez wysiłku skorzystał z którejś pod wpływem impulsu. A jak go ktoś okradnie – no cóż, trudno.

      Jako ciekawostkę powiem, że niektóre osoby całkowicie rezygnują z bankowości internetowej, jako terenu którego się nie da zabezpieczyć (przez ten rok poznałem trzech takich) i chodzą do banku ze wszystkim.

  11. Eh wystarczy wykupic bramke ussd w indiach za 20$ na miesiac, odpalic przekierowania kodem na telefonie ofiary i zaden sms nie bedzie juz problemem…

    • Od kiedy da się SMSY przekierować panie janie

    • Od zawsze, tak samo jak mozna przekierowac rozmowy, tak samo mozna przekierowac smsy, dane mobilne i wszystkie inne uslugi, kazda usluga ma swoj kod, numer ktorego uzywa sie wysylajac wiadomosc ussd – poczytaj troche zanim sie znow wypowiesz paniczu.

  12. To już lepiej mieć osobny numer do potwierdzeń SMS z banku na jakimś dumbphonie i nigdzie poza bankiem go nie podawać.

    • I co to da? :) Atakujący nie musi znać numeru/sposobu w jaki potwierdzasz/autoryzujesz przelew.

    • @Piotr Konieczny

      Jeśli dobrze rozumiem, @jjjj chodzi o taki scenariusz:

      1. otrzymujesz kod sms na urządzenie, z którego NIE możesz technicznie zalogować się do banku
      2. do banku logujesz się na innym urządzeniu, zależnym od Twojej polityki bezpieczeństwa (przykładowo – PC z osobną zabezpieczoną przeglądarką, w której na sztywno zapisane są adresy banków i pośredników płatności, z alertami na niezgodność)

      Nie zabezpiecza to oczywiście użytkownika w 100%, ale daje dodatkowe warstwy zabezpieczenia. Po pierwsze – spowalnia działanie użytkownika. To już połowa sukcesu. Najwięcej błędów popełnia się na szybkich odruchach.
      Po drugie – w przeglądarkach na PC widać wiele informacji, które w przeglądarkach mobilnych są poukrywane (pierwszy z brzegu przykład – poziom prezentacji adresu strony). Dodatkowo, można którąś instancję przeglądarki pctowej skonfigurować tak, żeby dało się wejść tylko na rzeczywiste adresy banków i pośredników, i tylko z niej na te adresy wchodzić.
      Po trzecie, w przeglądarkowym interfejsie banku dużo widać. Dużo trudniej się pomylić niż na urządzeniu mobilnym.

      Można jeszcze przyjąć procedurę, że na stronie pośrednika płatności wybierać zawsze opcję “zwykły przelew”, pobierać dane do niego, i osobno wchodzić do banku (nie z linku pośrednika tylko ze swojego zapisanego), żeby wpisać dane przelewu.

      Oczywiście to nie są rozwiązania dla każdego. Mają podstawową wadę, że wymagają co najmniej dwóch urządzeń, nie da się wszystkiego wyklikać na smartfonie ;) Ale u niektórych osób (szczególnie starsze pokolenie) tego typu rozwiązania sprawdzają się nieźle.

    • Zapomniałem o najważniejszym (to przez ten upał).

      0. Smsa phishingowego otrzymujesz na urządzenie, z którego nie masz przejścia jednym kliknięciem do dalszych operacji

  13. Tyle błędów trzeba popełnić, żeby dać się okraść tą metodą, że to się w głowie nie mieści, a jednak są tacy ludzie.

  14. Pomagaja tez banki hasel, jak na przyklad “LastPass”. Kiedy logujesz sie do banku za ich pomoca jestes pewien ze jestes na dobrej stronie…

    • Właśnie że skutecznie chronią … jeśli się logujesz do banku (prawdziwego) słusznie zauważyłeś że z “automatu” wypełnia ci login i hasło. Tutaj w przypadku oszustwa – adres URL fałszywego banku jest inny. Automat NIE zadziała i NIE WYPEŁNI z automatu loginu i hasła. Nie wiem jak Tobie, ale mi się od razu zapali czerwona lamka ostrzegawcza. Zupełnie inna kwestia to wykradnięcie hasła głównego.

    • Czesław: przecież Piotr właśnie to napisał….

  15. Banki w Polsce robią zdecydowanie za mało by chronić swoich klientów. Ten wałek na odbiorcę zdefiniowanego jest przecież w użyciu od wielu lat a wciąż masa ludzi daje się na to nabrać. W banku w którym mam rachunek (nie jest to Polska) nie ma czegoś takiego jak ODBIORCA ZDEFINIOWANY. Od zawsze uważałem i uważam, że ta funkcjonalność to otwarta furtka dla złodziei.

    • Moim zdaniem takie funkcje powinny istnieć, ale powinno się stanowczo zmienić procedurę. Przy potencjalnie bardzo niebezpiecznych funkcjach (odbiorcy zaufani, zmiany limitów, potwierdzanie wniosków o kredyt etc) to nie powinien być sms. Powinno być połączenie głosowe, w którym zanim usłyszymy kod, ze 3 razy zostanie nam podana informacja, że chcemy dodać odbiorcę zaufanego, do którego przelewy będą mogły być wysyłane bez wcześniejszego potwierdzenia, że taka opcja jest często stosowana przez przestępców, i będą oni mogli wyciągać pieniądze bez potwierdzenia kodem, a jeżeli na prawdę chcemy, żeby do odbiorcy o numerze xxxxxx można było wysyłać pieniądze bez konieczności potwierdzania tego kodem, musimy przepisać ten a ten numer. Trick z koniecznością jednak wpisania tego kodu na pierwszy przelew też nie jest zły. Żeby za dużo nie modyfikować, nawet dopisanie do każdej tego typu operacji komunikatu “TO NIE JEST PRZELEW”, w przypadku autoryzacji mobilnej w bardzo wyróżniający się sposób, mogłoby wiele zmienić.

    • Właśnie dlatego piszę, że banki w Polsce za słabo chronią konsumentów w kwestii bezpieczeństwa. Przestępcy od czyszczenia kont od wielu, wielu lat używają socjotechniki by przejąc login i hasło po czym ustawić sobie odbiorcę zdefiniowanego. Skoro dzieje się to od wielu lat a kampanie reklamowo/edukacyjne banków nie zdają egzaminów bo wciąż masa ludzi daje się okraść to znaczy, że banki nie robią wystarczająco dużo by chronić klientów. Jeśli banki nie są w stanie zmienić procedury ustalania odbiorcy zdefiniowanego tak by klient miał świadomość, że jednym kliknięciem może ktoś przelać wszystkie środki na słupa to niech zlikwidują możliwość definiowania odbiorcy zdefiniowanego.

  16. Jakimś sposobem na ten problem jest przerzucenie się na blik, przynajmniej dla małych płatności. Dla małych bo dla większych zwykle każdy uważnie czyta komunikaty, ale w przypadku bardzo małych kwot jak 1zł, ludzie często nie czytają bo myślą że jedyne czym w takiej sytuacji ryzykują to tylko tą złotówką…

    • To żaden sposób. Jeśli nie czytasz ze zrozumieniem SMS-a z banku / powiadomienia w aplikacji mobilnej banku, to uważasz że ze zrozumieniem przeczytasz takie samo powiadomienie z BLIK-a? Spoiler alert: nie.
      Popatrz na te kradzieże z wykorzystaniem BLIK-a:
      https://niebezpiecznik.pl/post/uwazaj-na-ludzi-pod-bankomatami-ze-smartfonami-w-reku-lub-takich-z-laptopami-w-samochodzie/
      https://niebezpiecznik.pl/post/blik-facebook-skan-dowodu-oszustwo/

    • Ale BLIK ma tą zaletę że nie trzeba podawać loginu i hasła żeby z niego skorzystać. Więc w przypadku takiego przelewu jak w tym artykule co oszust zrobi? Przeleje sobie ten 1zł i co dalej? Skoro zdefiniowanego przelewu nie utworzy przy pomocy BLIK-a, a hasła i loginu do konta również nie pozna to nic więcej nie zrobi.

      Natomiast co do podlinkowanego artykułu to w tamtym przypadku większym problemem jest socjotechnika i nie weryfikowanie tego z kim faktycznie ma się do czynienia niż sam BLIK. Wprawdzie BLIK ma tą wadę że nie jesteśmy w stanie stwierdzić kto faktycznie skorzysta z przekazanego kodu. Np. w przypadku przelewu oszust musiałby dodatkowo przekonać ofiarę że zmienił nr konta co jest już trudniejsze, choć też możliwe co sami opisywaliście np. w artykule “Jak ukraść miliony z polskich firm jednym e-mailem lub listem?”.
      W każdym razie na pewno a zaletą BLIK-a jest to że nawet jeśli już stalibyśmy się ofiarą oszustwa to ze względu na limity BLIK-a nikt nam nie wyczyści konta do zera, a z dwojga złego lepiej stracić małą kwotę niż nawet wszystko.

    • Piotrze, ależ się na tego BLIKa zacietrzewił.
      Akurat w przypadku tego ataku to operacja płatności nie wymagająca logowania do banku całkowicie go ukróci. To jest powód czemu na fałszywej stronie PayU nie ma BLIKa. Tak samo w mBanku gdzie mTransfer od dłuższego czasu można autoryzować kodem BLIK.

    • Observerze, chyba nie do końca rozumiesz, że to nie metoda płatności jest problemem w tym ataku. Problemem jest to, że ludzie tak jak przepisują kod z SMS-a (w którym mają napisane, że robią przelew na 17 000 zamiast na 1 PLN) lub klikają na akceptuj w aplikacji mobilnej banku tak samo klikną na akceptuj w aplikacji/ekranie BLIK-a.

    • Jak ktoś zatwierdza przelew o wysokiej wartości (powyżej 1tys. złotych) bez pomyślenia co robi to już nie ma dla niego ratunku. Ale w przypadku, gdy płatność na niewielką kwotę ma uśpić czujność, a posłużyć do dodania odbiorcy zaufanego to BLIK jak najbardziej jest pomocny. Stracisz tylko tyle kasy ile samemu zaakceptowałeś.

  17. Jakimś rozwiązaniem jest też powiadamianie SMSowe o każdym obciążeniu na rachunku powyżej jakiejś kwoty. Mam coś takiego w mBanku właśnie i to mogłoby pomóc w zidentyfikowaniu fałszywej transakcji, choć pewnie tego SMSa też by nikt nie przeczytał uważnie. Gorzej jak konto słupa też jest w mbanku i pieniądze nie czekają na sesję elixir.

    • Rozwiązania są dla ludzi, dla robotów są programy, czyli coś co należy zrobić by osiągnąć cel, całą resztę traktuje jako zbyteczny komentarz. Zauważyłeś? Komentarze są dla ludzi, kompilator kodu je pomija. I taka jest właśnie różnica, człowiek zawsze przeczyta sms-a całego i nie da się nabrać, a robot zrobi wszystko by osiągnąć cel i z reguły go osiąga.

  18. Eee…
    Kochanieńcy, ale ten felieton jest niestety w formie nieakceptowalnej osób, które należą do grona zwykłych użytkowników i zajmują się w życiu jeszcze wieloma innym rzeczami.

    Wydaje się wam, że trafi do nich obrazek wycięty z Simsonów?

    Nie.
    Całkowicie zdyskwalifikuje tę treść w ich oczach.

    Dlatego byłoby dobrze, aby pod tym artykułem znalazł się gotowy plik w pdf, napisany nudnym, biurokratycznym językiem, który byłby zrozumiały dla pozostałej części ludzkości.

  19. Chyba najlepiej mieć oddzielne konto do takich zakupów. Albo karta prepaidowa typu Revolut, którą można szybko doładować, trzymać małe kwoty i w miarę bezboleśnie się pozbyć.

    • Ludziom intelektualnie leniwym i nieinteresującym się bezpieczeństwem nie można pomóc na siłę. Tylko tacy nie mają później prawa płakać, że nie wiedzieli.

      Nie trzeba być “komputerowcem” ani geniuszem, by treść tego i większości poradników na Niebezpieczniku zrozumieć. Tak samo jak nie trzeba być geniuszem ani rajdowcem, żeby zdać prawo jazdy i nauczyć się zasad bezpieczeństwa ruchu drogowego. Komputer lub co gorsza tablet albo telefon może kupić każdy, włączyć i od razu działa. Mało kto zawraca sobie głowę bezpieczeństwem, ludzie ufają wszystkiemu, co przeczytają albo usłyszą. Kierując pojazdem można przede wszystkim zrobić krzywdę komuś, używając komputera czy telefonu – głównie sobie, ale też swoim bliskim i współpracownikom.

  20. URL maciekkurier.info/oplata244

    Brzmi prawdziwie już lecę dopłacić. Przepraszam za reakcję ale głównie takie mam przemyślenia jak widzę takie próby ataków. Prewencja bezpieczeństwa powinna już działać od samego początku a nie w momencie wykonywania przelewu. Widzisz taki adres i powinieneś już wiedzieć, że złodziej chce Cię okraść.

  21. Banki powinny uwierzytelniać adresy ip z jakich loguje się klient. Jeśli adres jest niezaufany bank powinien wykonać telefon do klienta.

    • Bredzisz. Ludzie na VPNach maja tysiac IPkow…

    • @Michał

      Ale czasem trzeba łączyć się z bankiem przez VPN, i jest to najczęściej w takim środowisku, że odebranie telefonu od banku też nie wchodzi w grę

  22. Mbank ma jeszcze jedną rzecz za uszami, w momencie robienie normalnego przelewu zdążyło mi się dwa razy zdefiniować odbiorcę zadufanego bo bank proponuje to tak przy okazji.

  23. Ja po prostu nie kupuję nic w internecie, ani nie loguję się do banku.
    Kupuję tylko w sklepach stacjonarnych, a jak mam jakąś sprawę w banku, to idę do placówki.
    Nikt mnie tą metodą nie oszuka.

    • Nie musi, Sam sie dajesz dymac ;-)

    • W ubiegłym wieku wszyscy tak robiliśmy. A w głębokim średniowieczu to pewnie w ogóle nikogo nie okradziono z pieniędzy. Gratulacje, wygrałeś owcę!

    • Nie tą, to może inną. Przypadki aktywacji bankowości mobilnej na czyimś koncie już się zdarzały.

  24. Czy może mi ktoś wyjaśnić jak w XXI wieku w ogóle możliwe są takie rzeczy? Przecież ktoś wysłał takiego esa – fizycznie lub przez automat ale z prawdziwego numeru, który powinien mieć swojego właściciela. Pieniądze przelewane są na konto, które musi mieć właściciela. Tajemnica operatora czy bankowa czy państwowa nie ma tu nic do rzeczy – wchodzi policja, żąda dostępu do danych i takie dane powinny być dostępne.
    Koniec, kropka.

    • Poczytaj sobie czym są konta na słupa, poczytaj o ukrywaniu anonimowości w internecie o tor, o bramkach sms itp. wtedy zrozumiesz dlaczego to nie takie proste. Koniec, kropka.

  25. Przy okazji.Ludzie!Nie trzyma się wszystkich jaj w jednym koszyku!Ta stara mądrość ludowa warta jest przypomnienia bo choć czasy się zmieniły nadal jest nader aktualna.Dziś naprawdę nie jest problemem mieć dwa konta w dwóch różnych bankach.Najlepiej na jedno przyjmować pensję i robić z niego wyłącznie opłaty stałe (czynsz,najem,media),a na drugie sobie przelewać pieniądze na pozostałe wydatki.Dla większej dywersyfikacji lepiej skorzystać z banków,które nie należą do jednej grupy kapitałowej.Z przyczyn praktycznych warto też zwrócić uwagę jakie karty nam oferują bo dobrze jest mieć dwie różne,gdyż czasem awarię ma VISA i płacić nie można,a czasem MasterCard jest bezużyteczny.
    Dodam jeszcze,że wiele banków oferuje limity transakcji jednorazowych,ile razy w życiu płacicie za dom przelewem?Ile bezgotówkowo opłacacie zakup nowego samochodu?Można ustawić limit jednorazowej transakcji,limit dzienny,limit tygodniowy…Pewnie nie w każdym banku,ale warto się dowiedzieć i ustawić.Oczywiście wszystko to też można zmienić buszując w ustawieniach konta,ale bandyta taką zmianę też będzie musiał potwierdzić kodem.Jeśli ktoś jest zorganizowany na tyle,że potrafi zaplanować większość wydatków i ma stałą lub nieznacznie zmieniającą się pensję to może sobie darować dostęp internetowy,a nawet telefoniczny do jednego konta,tego na które przychodzi wypłata.Zlecenia stałe na opłaty i zlecenie stałe przelewanie konkretnej kwoty na wydatki na drugie konto załatwią sprawę.Częściej niż cztery razy do roku nie trzeba się będzie stawiać w banku by coś zmienić.Może to już się wydawać przesadą,ale zważywszy na to,że ludzie trzymają na jednym koncie oszczędności życia i je tracą naprawdę warto to przemyśleć.Każdemu się wydaje,eee tam,mnie to nie spotka,a potem przychodzi pomroczność jasna i zonk.

    • @SaycoRa

      Nic dodać nic ująć, bardzo dobra procedura

  26. mam tylko jedno pytanie, gdzie polska policja w tym ? od roku nie potrafia sobie z tym poradzic? serio ?

    • Pewnie mają w tym swój udział.

    • Mają to w doopie! Co innego mają na głowie,np.muszą wystawić określoną ilość mandatów,by wpłynęła do budżetu państwa kwota, wymyślona wcześniej przez piszących jego projekt,itp.Poza tym oni nie są od zwalczania przestępczości,tylko są jej moderatorami.Muszą zadbać by jej poziom nie był zbyt wysoki,bo motłoch zacznie się burzyć,ani zbyt niski,by ten sam motłoch nie wymyślił sobie czasem,że można by zmniejszyć ilość środków budżetowych na organy i resorty! :-D

  27. Rozwiązanie: niech w kodach do przepisania znajdzie się słowo “przelew” albo “dodajzauf” np “przelew123456”. Wtedy nie ma opcji żeby nie wiedzieć co się robi. Gorzej gdy atakujący zamiast dodawać zaufanego od razu spróbuje zrobić przelew. Może warto odejść od kodów sms na rzecz potwierdzania transakcji w aplikacji banku, żeby móc wyświetlać wielkimi literami co się wlasciwie autoryzuje.

    • mBank już jakiś czas temu wprowadził takie zabezpieczenie

  28. Czy naprawdę jeszcze ktoś się na to łapie. Założenie że komputery są dla osób umiejących je obsługiwać nic a nic się nie zestarzało przez 40 lat. Wszyscy inni powinni sobie odpuścić albo się ubezwłasnowolnić.

    • @tomb

      Kiedyś też tak mówiłem, ale to już nie przejdzie. Cyfryzację masz w każdej dziedzinie życia. Każdy członek społeczeństwa chcąc nie chcąc jest do niej zmuszony (choćby przez procedury urzędowe, zdrowotne, szkolne). Tego nie da się cofnąć. Trzeba edukować i trzeba budować jak najbezpieczniejsze rozwiązania (jedno nie wyklucza drugiego).

  29. A w jaki sposób oszuści są w stanie uzyskać status domeny bezpiecznej (w materiałach widzę, że przy domenie oszustów jest https oraz zamknięta kłódka

    • letsencrypt.com – darmowe certyfikaty.

      Zamknięta kłódka od kilku lat już nie oznacza, że nawiązuje połączenie z bezpieczną stroną. Teraz są potrzebne specjalne certyfikaty, które przeglądarka dodatkowo sprawdza i wtedy wyświetla przy kłódce zielony napisem na kogo są wystawione.

    • Ale niebieska kłódka czy zielona? (Firefox bynajmniej).
      Niebieska kłódka – połączenie szyfrowane, ale nie wiadomo z kim.
      Zielona kłódka – /nadawca/ zweryfikowany przez /trzecia_strona_zaufania/, przykładowo “VeriSign” + szyfrowanie.
      Albo Niebezpiecznik mówił kiedyś o zielonej kłódce jako /favicon/.

    • Zamknięta kłódka to NIE jest status domeny BEZPIECZNEJ. To straszne, że kiedyś tak ludziom wbijano do głów i teraz tak trudno to wyprostować.
      Ta kłódka oznacza tylko tyle, że:
      a) strona używa HTTPS
      b) certyfikat został wystawiony (w uproszczeniu) dla domeny, z którą się łączysz.
      I nic poza tym.
      Jeśli domena (przykładowo) mbnak (kropka) pl jest wolna, to mogę ją sobie zarejestrować i za 0 PLN wygenerować dla niej certyfikat SSL korzystając z Let’s Encrypt. Nikt nie sprawdza, kto i po co zarejestrował tę domenę, ani jakie treści są na jej stronie WWW.

    • Kłódka nic ważnego nie znaczy, to prosty temat. Obok kłódki powinien znajdować się jeszcze napis z pełną nazwą certyfikatu czy coś takiego i wtedy już jest trudniej. Był gdzieś kiedyś poradnik na ten temat. Myślę, że można to wygooglować jakoś.

    • Jak to ktoś kiedyś określił: “Kłódka nie znaczy, że połączenie jest bezpieczne, a tylko, że połączenie jest szyfrowane. Więc równie dobrze możesz sobie prowadzić szyfrowaną konwersację z samym diabłem”.

    • Widzę komentarze o rozszerzonych certyfikatach, gdzie obok kłódki jest nazwa banku. Niestety, takie zabezpieczenie też niczego nie gwarantuje; można zarejestrować firmę o podobnej nazwie i kupić EV na nią. Specjaliści od bezpieczeństwa od dawna argumentują, że te certyfikaty to tylko droga mrzonka. Przeglądarki internetowe stopniowo zwracają na nie coraz mniejszą uwagę, kiedyś pewnie w ogóle przestaną je wyróżniać.

      Polecam poczytać: https://www.troyhunt.com/extended-validation-certificates-are-dead/

  30. Mysle ze mozna prosto wytlumaczyc:
    Haslo do banku podajesz tylko wtedy jesli strone banku wpisales z palca albo wybrales z ulubionych. Kropka. Bez wyjatkow.

  31. Coś jednak słabe info, mam konto w MBanku i w każdym SMS dotyczącym przelewu jest podana jego kwota, zawsze.

    • W opisanym przypadku powiadomienie nie dotyczy przelewu. Dotyczy dodania odbiorcy zaufanego. “Przelew” to tylko przykrywka, pozór do wyciągnięcia kodu jednorazowego.

  32. Czy może mi ktoś wytłumaczyć skąd taki otrans ma certyfikat SSL widoczny na zdjęciu?

    • Było to już wyżej poruszane; w skrócie: certyfikat to tylko szyfrowanie, gwarantuje, że nikt po drodze nie podsłucha i nie zmodyfikuje przesyłanych danych. Nie masz jednak gwarancji, że ten, kto jest po drugiej stronie jest zaufany.

      Komentarz: https://niebezpiecznik.pl/post/uwaga-na-smsy-od-w-sprawie-przesylek/#comment-712020

    • 1. Rejestrujesz dowolną dostępną domenę i generujesz darmowy certyfikat SSL Let’s Encrypt
      2. …
      3. profit

  33. Przelew całej kwoty z konta bezpośrednio po dodaniu nowego odbiorcy zaufanego raczej zostanie zablokowany przez dział antyfraudowy banku.

    • Jednak 2-3 przelewy dziennie na niższe kwoty mogą przejść niezauważone.

  34. Przy takich sytuacjach kod do przepisania powinien wyglądać tak: nowy_odbiorca_zaufany_kod – w końcu nie robi się tego często. I wiele innych fajnych pomysłów padło tu w komentarzach – na przykład kod podany głosowo wraz z parukrotnym ostrzeżeniem. Czemu banki nie wprowadzą tak prostych zmian, które ocaliłyby sporą część z tych ofiar?

  35. Chciałbym zobaczyć jak wyglądają panele logowania, do innych banków.

  36. Żeby nie stracić oszczędności całego życia, warto utworzyć sobie subkonto oszczędnościowe z, którego przelewy dokonywać można tylko na konto główne i takie przelewy są chronione SMSem. A na koncie głównym zostawić tylko kwotę na bieżące wydatki.

    W takim przypadku do zrealizowania przelewu konieczne byłyby 2 SMSy (do zdefiniowania odbiorcy zaufanego + do przelewu na konto główne).

    • Poszedłem o krok dalej. Konto z oszczędnościami życia mam w innym banku i loguje się na nie na systemie odpalanym z pendrive i to tylko wtedy kiedy muszę ruszyć oszczędności.

  37. Można ustawić limit przelewu i potwierdzanie każdego przy pomocy SMS

    • Osoby które potrafią ustawić blokady i limity nie dadzą się oszukać. Wiesz jak działa odbiorca zdefiniowany/zaufany?

  38. “A przepraszam, o jaką złotówkę chodzi w dopłacie ?” – zanim dokonałbym płatności bankowej, zadałbym powyższe pytanie sprzedającemu, a następnie w biurze obsługi dostarczyciela przesyłek.

    • witam,
      mnostwo komentarzy ale zadnego o kartach kredytowych. strony do szybkich pltnosci maja opcje wykonania platnosci za posrednictwem karty bankowej, najlepiej kredytowej. dodatkowo sa darmowe serwisy gdzie mozna wygenerowc karte pltnicza typu prepid i korzystc z danej krty na potrzeby wykonanka platnosci na male kwoty.
      podstawowa zasada pospiech lub niedbalosc usypia czujnosc.
      taka ciekawostka nie zwiazana z tematem, w chinach maja ciekawy patent na klawiatury terminalow platniczych – cyfry kazdorazowo wyzwietlane sa w innym ukladzie.

  39. Swojej zonie oczywiscie wysylalem artykuly na ten temat jakies pół roku temu ale oczywiscie albo nie przeczytala albo zapomniala o tym.
    Miesiac temu dostala smsa. Wybrala Payu i podala login i haslo na fakeowej stronie banku. Strona sie zawiesila i dopiero w tym momencie cos zaswitalo i zadzwonila do mnie.
    Nakazalem zalogowac sie do banku tylko nie przez telefon i natychmiast zmienic hasło.
    Co ciekawe nic nie ukradli. Zaden sms autoryzacji nie przyszedł. Później strona z smsa była juz niedostępna.

    • @Paweł

      Najprędzej nie przeczytała, osoby co dostają te linki do artykułów, wchodzą na stronę, patrzą pół sekundy bez zrozumienia na zaskakującą ich formę, i się wyłączają (widziałem to nie raz). Dobrze że tak się to skończyło.

  40. Dlaczego TVN?

  41. Na taki atak nabieraja sie tylko Ci, co nie maja doswiadczenia w kupowaniu. Nigdy nie ma zadnej doplaty bo niby skad ma byc skoro juz bylo wszystko oplacone. Proste i logiczne prawda? No nie dla wszystkich.

  42. 1) czemu poprawiacie złodziejskiego smsa na polskie literki ? (pierwszy screen od góry).
    Łamana polszczyzna itd. już mówi samo za siebie.

    2) może i nie wiem bo nie wiem ale czy kurierzy w firmach logistycznych posiadają swoje własne strony ??

    ps. wszyscy na wszystko kichają (instytucje prywatne i te nie…)

  43. Mam wrażenie, że jakiś dziwnie naciągany jest ten problem. Przecież żeby złodziejowi powiodła się taka transakcja musiałby się logować do konta ofiary jednocześnie z nim, a który bank pozwala na takie pierdoły: logowanie do tego samego konta z dwóch różnych miejsc w tym samym czasie, są jeszcze takie w Polsce?

    • Nie czytałeś uważnie. Ofiara nie loguje się do banku tylko przesyła dane logowania do złodzieja i tylko on się loguje do banku.

    • @Dawid

      Nie, nie. Użytkownik nie loguje się na konto. On tylko podaje dane logowania na podstawionej fałszywej stronie. Za ich pomocą na konto loguje się tylko oszust.

  44. Jest jeden praktyczny sposob “na zmylenie” zlodzieja. Gdy przychodzi pierwszy sms z kodem “dla higieny” wpisuje zmyslony kod. Gdy zlodziej wpisze lewy kod a bedzie niedobry to bank wysyla mi powiadomienie, ze cos “nie wyszlo”. Wtedy wiem, ze jest walek. Jeden telefon na infolinie i jest blokada.

  45. Zawsze przed logowaniem sprawdza się certyfikat:
    -nazwę firmy która go wystawiła
    -okres ważności
    -odcisk SHA-256
    Inna sprawa to treść SMS’ów z banku
    Mbank:SMS”Definicja przelewu z rach.W aplikacji:Definiowanie przelewu
    Jak dla mnie to wygląda jak normalny przelew. Nie ma informacji o rachunku zaufanym
    PKO BP SMS:Nowy odbiorca-rachunek
    Brakuje klucza zaufany.

  46. Tak się zastanawiam co trzeba mieć w głowie, aby oszczędności życia trzymać na koncie w banku z którego dokonywane są jakiekolwiek płatności. Zdecydowanie bezpieczniej jest posiadać konto w innym banku do którego logujemy się tylko aby ruszyć oszczędności, a drugie założone w innym do bieżących rozliczeń. Nawet jeśli padniemy ofiarą oszusta to wyczyści nam konto na którym trzymamy grosze na waciki.

  47. Dla mnie bzdurą w wykonaniu banków jest możliwość robienia przelewu bez potwierdzenia do świeżo zdefiniowanego odbiorcy zaufanego, zwłaszcza, jeśli nigdy wcześniej nie robiliśmy przelewów na taki numer konta. Toć to na milę śmierdzi fraudem! Gdzie są te wszystkie super-kuper zabezpieczenia autyfraudytowe?

    – Zalogowałeś się z jakiegoś dziwnego miejsca na świecie (VPN) do systemu bankowego, definiujesz odbiorce zaufanego, do którego nigdy wcześniej nie wykonywałeś przelewów i chcesz od razu przetransferować wszystkie swoje pieniądze na koncie na to konto? – System Antyfraudytowy – spoko, to na pewno nie oszustwo.
    – Chcesz przelać wszystkie swoje pieniądze na konto oszczędnościowe w tym samym banku, przypisane do tego samego systemu, z tego samego urządzenia co zawsze i IP w Polsce? – System Antyfraudytowy – ALARM! Próba wyłudzenia kasy! Podaj kod z SMS albo się wal!

  48. Niebezpiecznemu, nie rozumiem uwagi o przeglądarkach mobilnych. Przecież to, że nie widać całego adresu poprawia bezpieczeństwo, a nie je zmniejsza! Więcej osób się nabierze na adres typu znanadomena.oszukanadomena.com, gdy wszystkie strony pokazują pełny adres; gdy zaś przeglądarka pokazuje tylko domenę, która zazwyczaj jest krótka, dziwnie długi napis może kogoś zaalarmować.

    • W jednym poście sam sobie zaprzeczasz. W mobilnych nie widać całego adresu więc zmniejsza to bezpieczeństwo.

  49. Dlatego polecam kody na zdrapki.

  50. Schemat postępowania przestępców z tego artykułu zbliżony jest jakoś do tego artykułu: https://www.trojmiasto.pl/wiadomosci/W-maskach-wyplacali-pieniadze-z-bankomatu-n135318.html

  51. Heh, mnie kiedyś – jeszcze w czasie telefonii stacjonarnej analogowej załatwili mimo że podawało się 4 z 8 cyfr hasła. Niestety człowiek był niedouczony i złapał się na socjotechnikę. Nie wziął pod uwagę że telefon stacjonarny był przejęty lub podsłuchiwany.
    Przy tonowym wyborze 4 cyfr zalogowało na infolinię ale w wyniku ingerencji wyłączył się mikrofon i głośnik. Rozmowę infolinia przerwała a ja spróbowałem ponownie i wówczas system kazał podać tonowo akurat 4 pozostałe cyfry z hasła. Potem się oczywiście zaczęła nerwówa z bankiem. Zniknęły hasła jednorazowe, pojawiła się dyspozycja na tokeny sms ale co najgorsze w stacjonarnym oddziale banku, wskazałem na swoim koncie numer telefonu który nie jest mój a oni… go skasowali. Zamiast zapisać i zgłosić incydent. Użytkownik czasami ma prawo się nie znać. Ale bank…?

  52. Moją znajomą obrobili w ten sposób, ale finał był trochę inny skorzystali z Blika. Rozumiem że przy takim procederze nie muszą mieć kont słupa, pytanie tylko jak powiązali nowego Blika ?

    • Wypłacili blikiem kasę z bankomatu.

  53. Uff, na szczęście nie mam żadnych oszczędności :D

  54. Dość sporo jest różnych ataków w ostatnich latach. Może jakieś podsumowanie z konkretnymi danymi statystycznymi, choćby na podstawie maili które do was spływają?

  55. Czy podrobione strony banków/płatności są podpisane prawdziwymi certyfikatami? Jeśli tak to skąd oni je biorą? Na screenach widzę kłódki, a brak wykrzykników czy ostrzeżeń o nieważnych/nieznanych wystawcach certyfikatów.

    • A co za problem zamówić darmowy certyfikat na daną domenę?

  56. Ciekawe jest to, że kilka godzin wcześniej, nim dostałem SMSa od kuriera Maćka odebrałem “pustą rozmowę z numeru 61 658 01 15 – grała tylko muzyka. Ciekaw jestem, czy przestępcy nie robią w ten sposób testu potencjalnego adresata.

  57. W Bankowosci brakuje niestety mechanizmu do oflagowania rachunku jako potencjalnego uczestnika fraudu, tak by ktorykolwiek bank mogl oflagowac w innym banku rachunek takim atrybutem. Atrybut by mógl blokować możliwość wypłaty środków z rachunku i automatycznie oflagować inne rachunku do ktorych były przelewy od daty wystapienia pierwotnego incydentu.

    Mając taki mechanizm bankowe zespóły zagrożeń mógłby specjalnie dawać złodziejom dostep do specjalnego klienta, ktory automatycznie by flagował ich konta słupy. Nie potrzeba by było czekać na reakcje policji czy prokuratury, tylko 10 minut po ataku na świadomego klienta banku który by się skontaktował z Bankiem, konto słupa byłoby spalone, i w zwiazku tym wszelkie proby atakow na masowa skale nie miałyby żadnego sensu przeprowadzania ( wbrew pozorom, zdobycie konta slupa jest ciezkie ).

  58. A ja ostatnio kupowałem na Oponeo i zaraz przyszedł mi SMS o dopłacie 83 grosze i link do fałszywego dotpay. Odpaliłem ten adres na komputerze, kliknąłem na link do “mojego” banku, i pojawiła się bardzo dobrze podrobiona strona logowania, oczywiście z fałszywym adresem na pasku przeglądarki.
    jako login podałem 8 cyfr “z czapki” i hasło Spadajleszczu!
    I okazało się że nie było błędu logowania.
    Swoją drogą ciekawe, czy po przeczytaniu “hasła” od razu odpuścili sobie procedurę. :)
    Dlatego moja rada jest taka: jeśli masz jakiekolwiek wątpliwości, podaj fałszywe dane logowania. Jeśli to rzeczywiście panel logowania banku, natychmiast wyskoczy błąd logowania. Na podrobionej stronie nie będzie błędu.

  59. A co jak trzymasz “Oszczędności Życia” na koncie oszczędnościowym?

    Nawet jak złodziej sobie zdefiniuje przelew bez potwierdzenie to i tak będzie potrzebował jeszcze jednego SMS-a, żeby przelać z oszczędnościowego na ROR.

  60. To że ufają tego typu sms to mówi o ich inteligencji. Kupujac towar zgadzam się na PODANĄ PRZEZ SPRZEDAJĄCEGO CENĘ TOWARU I KOSZT PRZESYŁKI. JAK BYM MIAŁ DOPŁACAĆ DO PRZESYŁKI TO REZYGNUJĘ I NIECH ODDAJE KASĘ LUB WYSYŁA NA SWÓJ KOSZT OBNIŻAJĄC MARŻĘ. W końcu to ja nie mam obowiązku znać firmy z którą sprzedający zawiera umowę na przewóz towaru.

  61. Świetny artykuł… Wielkie dzięki! Niby oczywiste, ale czasem kiedy zmęczenie i pęd życia uśpi czujność takie wiedza bardzo pomaga. Już wysłałam do znajomych, i również tych całkiem inteligentnych ;)

  62. Tylko historia kolegi z pracy potwierdzająca że nawet najbardziej ostrożni się zapominają (a pracujemy w branży dosyć bliskiej niebezpiecznikowi ;)). Kolega zamówił coś na AliExpress, czekal juz dosyć długo i zaczynał się niecierpliwić gdy nagle dostał SMS’a niby ze ‘swojego banku’ żeby dopłacić do przesyłki. Kliknął, zatwierdził i zrobiło mu się gorąco bo załapał że dał się nabrać.
    Natychmiast zadzwonił do banku, gdzie okazało się że konto zaczęło być opróżniane dosłownie w tempie expresowym, jakby to robił bot: momentalnie wcięło 500, pozniej 1500, pozniej 2000PLN… wszystko w przeciągu kilku minut. Bank uwzględnił reklamację ale szybkość z jaką kasa znikałą z konta jest zatrważająca :/

  63. […] Więcej o metodzie „na dopłatę 1 PLN” przeczytamy [tutaj]. […]

  64. Witam,
    Właśnie otrzymałam takiego dziwnego SMS z prośbą o wpłatę kwoty 1,01 zł . Akurat czekam na przesyłkę i przypomniałam sobie ten artykuł . Sprawa od razu wydałai się dziwna bo: zamówiłam przesyłkę za pobraniem i przesyłka jest na Zalando darmowa, i link do strony nieszyfrowanej Gdzie to zgłosić ?? Nawet nie wchodzę w link co jakiś śmieci sobie nie ściągnąć.

    • Podeślij nam screenshota na redakcja @ niebezpiecznik.pl

  65. Poszło na wskazany adres , pozdrawiam

  66. Najlepszą zasadą jest płacenie w internecie kartą i tylko kartą. Fałszywe strony płatności nie oferują takiej opcji i już wiemy, że coś jest nie tak. Płatność kartą zawsze można reklamować. Pozdrawiam

  67. Uwaga. Oni nie okradają Was, ale BANK! Nie dajecie się spławić. To BANK jest *odpowiedzialny* za wpłacenie pieniędzy właściwej osobie i dysponowanie pieniędzmi zgodnie z *wolą* właściciela rachunku. I to bank jest odpowiedzialny za identyfikację właściciela. Jak to robi to już jego sprawa. Czy na dowód osobisty czy przez stronkę w internetach i smsy, czy pyta wróżki – to jego sprawa. Bank ma zidentyfikować właściciela konta i bierze odpowiedzialność za operację. Nie było Waszą wolą wykonać dany przelew? Składacie reklamację i w tym momencie pieniądze muszą wrócić na Wasze konto, a oszust internetowy właśnie oszukał bank i jego systemy identyfikacji właściciela, a nie Was. Nie dajcie się zbyć bankom. Bank musi *udowodnić* że przelał pieniądze zgodnie z Waszą *wolą*, a nie zgodnie z kodem z smsa. Smsy, kody i inne zabezpieczenia to wewnętrzna sprawa banku – *jego* a nie Wasze zabezpieczenia. Nawet jak własnoręcznie przepisałeś podstawiony kod – wadliwość oświadczenia woli się kłania.

  68. Po tym artykule pojawi się zapewne nowa kampania w stylu “zaloguj się do banku i potwierdź smsem nowe limity na transakcje w swoim banku”.
    Z głupotą nie da się walczyć ani jej wyleczyć. Mówią na to: selekcja naturalna.

  69. Nikt normalny nie czyta takich rzeczy!
    Pierdzielnijcie mema z kotkami czy coś, to wtedy jest szansa, że ludzie zwrócą na wasz apel uwagę.

  70. Wczoraj dostała smsa z próba wyłudzenie pieniędzy na kwotę 3,58 podaję adres https://twojoperator.com/9963

  71. Czy mam iść z tym na policję, nie wiem co mam zrobić. Nie chce żeby ktoś jeszcze ucierpiał jeśli nie zareaguję

  72. Selekcja naturalna, jeśli ktoś widzi taki SMS i wysyła pieniądze… ciężko mi wyobrazić taką osobę. Jest to osoba która nie powinna mieć dostępu do mediów,telefonu,komputera. Jest to osoba której powiesz że cos jest czarne a naprawdę jest białe i ona uwierzy ze jest czarne… selekcja naturalna… wole takie przestępstwa, mafie niż mafie 20 lat temu i tyle w temacie.

  73. Piszę tu bo chyba Reply nie pod każdym wpisem…
    https://wampir.mroczna-zaloga.org/archives/1058-hasla-maskowane-znowu.html
    “wyświetlić komunikat o błędnym haśle i wyświetlić ponownie formatkę logowania (podstępnie pytając o inne znaki),”

    W znanych mi bankach po błędnym podaniu hasła bank ZAWSZE prosił o te same znaki.

    Tłumacząc, że dla zwiększenia bezpieczeństwa jeden z banków na początku pandemii zrezygnował z hasła maskowalnego – wpisuje się całe. Nijak nie mogę zrozumieć jak to zwiększa bezpieczeństwo.

    W kwocie w SMS-ie łatwo przesunąć przecinek i będzie podobna, dopasować nr rachunku (nawet częściowo wykropkowany) już trudniej – chociażby suma kontrolna na początku.

  74. […] przez nas atakiem były tzw. “SMS-y na dopłatę“, których różne warianty (na kuriera, na komornika, na dezynfekcję) opisywaliśmy na wielokrotnie na Niebezpieczniku. Tygodniowo […]

  75. […] obserwowanym przez nas atakiem były tzw. “SMS-y na dopłatę“, których różne warianty (na kuriera, na komornika, na dezynfekcję) opisywaliśmy wielokrotnie na Niebezpieczniku. Tygodniowo […]

  76. […] Nawet jeśli wiadomość wyświetla się w wątku pod prawdziwymi smsami od np. poczty. Tak jak w tym artykule od […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: