19:21
17/3/2022

To nie jesteście sami. Wiele osób zgłasza nam w ostatnich dniach, że choć nigdzie się nie logują, to otrzymują od Google lub Facebooka SMS-y z kodami służącymi do logowania. I to w dodatku z opisem w cyrylicy! Osoby niepokoją się i …po części słusznie. O co chodzi?

Te kody Google i Facebook wysyłają podczas logowania. Po tym, jak ktoś wprowadzi już login i hasło, ale ponieważ ma skonfigurowane dwuskładnikowe uwierzytelnienie, to wymagane jest wprowadzenie jeszcze kodu z SMS. Ten kod, to właśnie “drugi składnik”. Dopiero jego wpisanie pozwoli zalogować się na konto.

Pytanie dlaczego ten kod dostają go osoby, które się w danej chwili nie logują? I dlaczego treść SMS-a jest w cyrylicy? Możliwości jest kilka…

Ktoś Cię prawie zhackował

Jeśli otrzymałeś taki SMS, to ktoś poznał Twoje hasło do konta Google lub Facebook. I próbował zalogować się na Twoje konto. Ale mu się to nie udało, bo na szczęście (brawo Ty!) skonfigurowałeś na swoim koncie dwuetapową weryfikację / dwuskładnikowe uwierzytelnienie i włamywacz potrzebuje jeszcze jednorazowego kodu, właśnie tego, który serwis przesłał Ci SMS-em.

Dlaczego ten SMS jest w obcym języku? (tu: ukraiński). Bo serwisy wysyłają ten kod bazując na ustawieniach przeglądarki i metadanych połączenia osoby, która się loguje.

To niekoniecznie oznacza, że ktoś, kto chciał włamać się na Twoje konta jest z Ukrainy. Równie (jeśli nie bardziej) prawdopodobne jest to, że to Rosjanie/Białorusini (korzystając z VPN-ów i ukraińskich locali w przeglądarce) robią false-flag operation i sprawdzają czy Twoje hasła, które znajdują się w różnych wyciekach, pasują do Twojego GMaila, Facebooka (oraz zapewne innych kont — o czym jednak nie wiesz, bo nie miałeś tam ustawionego dwuskładnikowego uwierzytelnienia).

Ale jest też druga możliwość…

Ktoś pomylił się w numerze telefonu

I zakładając konto, zamiast swojego numeru, chciał podpiąć Twój numer. To teoretycznie możliwe, chociaż patrząc na skalę tych zgłoszeń, które otrzymujemy, małoprawdopodobne, żeby nagle ktoś tak masowo zaczął się mylić…

Wspomnijmy tu jeszcze o jednej ciekawej możliwości, bardzo OSINT-owej. W niektórych serwisach, wprowadzając czyjś numer telefonu, można uzyskać pewne dane na temat właściciela. Ale może się to wiązać z wysłaniem przez ten serwis wiadomości na wskazany numer telefonu (np ma to miejsce na ścieżce odzyskiwania hasła). Wspominamy o tym przy okazji, bo nie do końca takie możliwości dają akurat przywołane w tym artykule Facebook i Google. No ale wiedzieć warto. W ogóle jakby ktoś chciał wiedzieć więcej z tematyki OSINT/OPSEC, to zapraszamy do zobaczenia nagrania naszego osintowego LIVE

Dostałem SMS z kodem, a nie logowałem się nigdzie! Co robić, jak żyć!

Po pierwsze, podziękuj sobie, że włączyłeś dwuskładnikowe uwierzytelnienie. Po drugie, zastanów się, czy hasło, którego używasz do serwisu, jaki przesłał Ci SMS-a na pewno nie jest używane przez Ciebie w innym miejscu. Bo pewnie jest i właśnie stamtąd wyciekło. Jak już to ustalisz, zmień je w obu miejscach. I zacznij w końcu korzystać z managera haseł.

A po trzecie, najważniejsze, rozważ ulepszenie zabezpieczenia Twojego konta przed przejęciem i atakami phishingowymi i zamiast dwuskładnikowego uwierzytelnienia z kodem przez SMSy, ustaw je w oparciu o klucz U2F. Poniżej krótki opis, dlaczego warto to zrobić, choć na klucz przyjdzie wydać ok. 150 PLN…

PS. Warto też rzucić okiem na nagranie naszego mini-szkolenia o tym jak przygotować się na wyciek danych i co zrobić, jak już do niego dojdzie. Bo skoro ktoś ma jedno Twoje hasło, to ma też pewnie dostęp do innych Twoich danych, które wyciekły. Do końca dnia, z kodem CYRYLICA można to nagranie kupić za połowę ceny (bez obaw, zdążysz się z nim zapoznać, bo dostęp otrzymujesz na 30 dni). Kod wpisz w tym formularzu.

Przeczytaj także:





Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

30 komentarzy

Dodaj komentarz
  1. No dobra a co jeśli pojawią się w końcu dane które wyciekły z Samsunga i ktos je zacznie wykorzystywać – rozumie że może skutkować czymś czego sobie wielu użytkowników nie wyobraża tzn – dostępem do danych w menadżerze jak by nie patrzeć haseł pod nazwą “Sejf”
    Co jeśli faktycznie Knox stanie sie historia – Co robić jak żyć? ;) Moze powinniście kilka słów o tym napisać

  2. > Rosjanie/Białorusini (korzystając z VPN-ów i ukraińskich locali w przeglądarce) robią false-flag operation
    Podejrzewam że przeciętny polak nie jest w stanie odróżnić rosyjskiego od ukraińskiego. Oficer prowadzący nie podumał że w polsce cyrlica = ruski

  3. A czy przypadkiem nie ma dostępnego w panelu/ustawieniach Google/Facebooka, wglądu w historię logowania?

  4. Cos o wycieku z Samsunga by się przydało, nawet klucze kryptograficzne potracili, brzmi na prawdę grubo i niepokojąco a w mediach cisza. Liczę na jakiś merytoryczny wpis

  5. Kolejny artykuł na zlecenie o brzydkich Rosjanach tylko…
    Tylko ,że te SMSy są po ukraińsku a nie po rosyjsku pisane. Trochę wiedzy by się przydało. Rosjanie piszą cyrylica od ponad 1000 lat a Ukraińcy wymyślili sobie język po IIWŚ a państwo mają od 30 lat. Tak więc zapis ukraiński jest trochę podobny do polskiego co widać w tekście powyżej

    • Arturze, przeczytaj całość artykułu a nie tylko tytuł. Wtedy zauważysz, że jest w nim informacja o języku ukraińskim.

    • Arturze, idź być głupi do Moskwy.

    • Putiniści ciągle w akcji, mimo że z przelewami ostatnio coraz gorzej …

      Po co czytać artykuł i odnosić się do niego merytorycznie? Przecież nie za to dostają kasę. Kasa jest za sianie zamętu, gloryfikację bandyckich najeźdźców i dehumanizację ofiar, choćby nawet w tak głupi i nieudolny sposób jak tutaj.

      Polecam książkę “Trolle Putina”.

    • Artur ma chyba problemy z czytaniem w języku polskim – cyrylicę zna za to doskonale ;-)

    • za wiki “Najdawniejsze ślady języka ukraińskiego pojawiają się już w XII–XIII wieku w tekstach rusko-cerkiewno-słowiańskich, pisanych w zachodniej części południowej Rusi na obszarze halicko-wołyńskim. Na przełomie XIII–XIV w. podstawowe cechy fonetyki ukraińskiej były już ukształtowane.”

  6. Jest niezła stronka, na której mozna sprawdzić wycieki danych : https://haveibeenpwned.com

    • Gratuluję refleksu, Niebezpiecznik pisze o tej stronie (i podobnych serwisach) co najmniej od 2017 roku ;-)

  7. Jeśli te smsy to rzeczywiście próby logowania na masową skalę do kont Google/FB, to trzeba założyć że na podobną skalę odbywa się również atak na konta bez uwierzytelniania dwuskładnikowego i w tej sytuacji się on udaje.

    Ewentualnie jest jeszcze jedno wyjaśnienie, że ktoś wysyła na przypadkowe numery przypadkowo wygenerowane kody udające smsy z Google/FB, ale wtedy chyba tylko w celu siania zamętu.

  8. KTO normalny otwiera takie przesylki ??Zadna instytucja NIE wysyla ani emaili ani SMS z zadaniem logowania i/lub danymi do tego celu.
    Kasuje sie bez otwierania.

    • A gdzie ty tam widzisz jakiekolwiek żądanie zalogowania się?

  9. Tak trochę z innej beczki: od kiedy sobie dodałem na Andku język rosyjski do klawiatury wirtualnej (bo czasem coś trzeba w ruskim necie poszukać), to jedna apka zwartusiała i zaczęła po rosyjsku do mnie pisać – taka prosta apka do sprawdzania zajętości pamięci masowej, rysuje ładne drzewko, pokazując które podkatalogi ile ważą. Dzięki temu łatwo sprawdzić gdzie się śmieć gromadzi, komu cache wyczyścić, a która apka w ogóle jest żerna i może ją odinstalować. Najbardziej żerny jest Signal, nieststy, trzeba go regularnie oczyszczać z idiotycznych filmików przesyłanych przez znajomków. Ech… edukowanie pospólstwa kosztuje mnie emocjonalnie.

  10. Sprostowanie: alfabet rosyjski, ukraiński, itp. to grażdanka, a nie cyrylica! Historycznie ujmując, pierwotnym alfabetem była głagolica, potem cyrylica, a w wyniku reformy cyrylicy powstała właśnie. grażdanka, która jest w użyciu współcześnie.

  11. możliwe, że Ukraińcy zakładają w Polsce konta google i podając numer telefonu (swój ukraiński) nie zauważają albo nie wiedzą, że trzeba zmienić prefix

    • Też tak myślę, przy logowaniu w Polsce podają numer 123 456 789, a serwis zamiast na +038123 456 789 wysyła potwierdzenie na +48123 456 789. Change my mind.

  12. Kiedyś była możliwość żeby wygenerować taki kod przechodząc procedurę odzyskiwania hasła, więc to nie znaczy że nasze hasło wyciekło. Oczywiście jeżeli ten mechanizm działa jak dawniej

  13. A to jeszcze pikuś. Do mnie wydzwania na potęgę weryfikacja telefoniczna Google.

  14. Czy mam juz paranoje i nie potrzebnie podejrzewam, że telefony osób które dostają te smsy są “pod nadzorem” osób trzecich i ich nr są wykorzystywane do zakładania fake kont na google i fb?

  15. Na mój prywatny profil FB średnio dwa razy w tygodniu ktoś próbuje się dobijać. Wolę nie wiedzieć, jakim zombie byłoby konto, gdyby nie podwójne uwierzytelnianie.

    • To oznaczałoby, że Twoje dane wyciekły w wielu miejscach. Zalecam zmianę danych dostępowych do konta – zarówno hasła jak i maila/telefonu.

  16. “na klucz przyjdzie wydać 150 PLN”. Klucze trzeba mieć min.2, bo jak mamy jeden jedyny i go zgubimy, zepsujemy itp to mogiła.

    • Dobrze mieć więcej niż jeden. Ale wcale nie “trzeba” mieć dwóch. Są mechanizmy awaryjne na wypadek zgubienia klucza.

  17. Jest jeszcze jedna możliwość – ktoś celowo rozsyła takie wiadomości, żeby wywołać panikę wśród lemingów.

  18. Wiele osób nadal używa tego samego hasła na wielu serwisach.

  19. Ej, z innej beczki, a co z tym najnowszym oszustwem przy użyciu kodu QR?

  20. No i w czym problem? Przecież Polska popiera ataki hackerskie.

Odpowiadasz na komentarz Wojtmen

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: