20:56
24/7/2018

Od co najmniej pół roku na terenie Polski grasuje sobie szajka sprytnych złodziejów. Zbierają informacje na temat ofiary i okradają jej internetowe konta w banku. Robią to w bardzo ciekawy sposób — podszywając się pod ofiarę w salonie operatora GSM i wyrabiając duplikat karty SIM. To daje im dostęp do numeru telefonu ofiary …i kodów służących do potwierdzania przelewów, jakie na ten numer SMS-em wysyła bank. Zobaczcie jak na przestrzeni ostatnich miesięcy okradziono w ten sposób na kilkaset tysięcy złotych Grzegorza i Wandę. Oraz kilka innych osób.

Kradzież z mBanku dzięki duplikatowi karty SIM od Orange

13 lipca zgłosił się do nas klient mBanku, którego na potrzeby tego artykułu będziemy nazywali Grzegorzem. Z firmowego konta Grzegorza tzw. “przelewem ekspresowym SORBNET” wyprowadzono bardzo duże sumy pieniędzy (praktycznie wyczyszczono rachunek do zera). W tym przypadku ciekawe było tempo wydarzeń. Grzegorz z żoną zauważyli awarię karty SIM w telefonie, a już 40 minut później skontaktował się z nimi bank pytając o podejrzane transakcje.

Mimo tak błyskawicznej reakcji pracowników mBanku (brawo!) pieniądze zniknęły, a bank obiecał Grzegorzowi odpowiedź na reklamację w ciągu 30 dni (albo nawet 60 dni, jeśli sprawa okaże się skomplikowana). Oddajmy głos Grzegorzowi:

W dniu wczorajszym zostałem okradziony na bardzo duże sumy pieniędzy. Kilka nieautoryzowanych przelewów. Sprawa oczywiście w ciągu kilku chwil wykryta przez mBank (otrzymałem telefon z mBanku – chyba bo pewności już nie mam, mam podejrzenia) i pytaniem o awarię telefonu i czy dokonywałem dużych przelewów.
Na informację że owszem awaria karty sim małżonki miała miejsca jakieś 40 minut temu i że ja przelewów ani żona nie dokonywaliśmy, otrzymałem info o fakcie prawdopodobnie włamania na nasze konto i zalecenie bym zgłosił to również pilnie na Policję.
Po sprawdzeniu konta stwierdziłem że z konta dwoma przelewami expressowymi wypłynęły całe nasz pieniądze. Naprawdę duże. Kilkaset tysięcy. W przeciągu pół godziny później byłem już na Policji i będąc nawet jeszcze na Policji w trakcie składania zawiadomienia zgłosiłem równolegle oficjalnym kanałem na infolinii mBanku reklamację.
Wczoraj po południu małżonka pobrała w salonie duplikat karty SIM gdyż telefon nadal nie działał. Skojarzyłem fakt pytania pracownika mBanku o awarię telefonu i sprawdziłem kiedy wcześniej był wykonywany duplikat. Okazało się że był wykonywany w dniu wczorajszym pół godziny przed przelaniem pieniędzy. Niestety pracownik Orange nie chciał (chyba nie mógł) udzielić mi informacji gdzie, w jakim salonie (czy w ogóle w salonie) i na jakiej podstawie wystawiono duplikat. Poinformował mnie że musi się z tym zwrócić prokuratura.

Co za ironia losu, złodzieje zadziwiająco łatwo coś wyłudzają podszywając się pod klienta, a następnie prawdziwemu klientowi odmawia się informacji o czynnościach dokonanych w jego imieniu. Spytaliśmy Orange, czy informacja o pobraniu karty SIM powinna być udzielona, a jeśli nie, to dlaczego? Rzecznik Orange Wojciech Jabczyński uważa, że to mógł być błąd pracownika.

Nie mamy żadnych wewnętrznych wytycznych odnośnie udzielania lub nie klientowi informacji na temat wydania karty SIM. Jeśli klient zostanie zweryfikowany zgodnie z naszym standardem, to powinien dostać taką informację. Nie znając szczegółów tego konkretnego przypadku nie potrafię odpowiedzieć czy błąd popełnił nasz doradca czy np. klient nie udzielił wystarczających informacji do poprawnej weryfikacji.

Wróćmy do sedna — włamania na konto w mBanku i kradzieży pieniędzy. Z naszych ustaleń wynika, że:

  1. Złodziej jakoś pozyskał login i hasło ofiary do banku. Nie wiadomo jak: czy było to złośliwe oprogramowanie na komputerze ofiary, czy phishing.
  2.  

    Zauważmy, że w przypadku prawdziwych bankowych trojanów, po infekcji komputera ofiary, przestępca nie musi mieć dostępu do jego telefonu. W większości przypadków wystarczy atak “Man in the Browser“, czyli poczekanie aż ofiara będzie zlecała jakąś płatność i podmiana w tle kwoty i/lub rachunku docelowego. Wiąże się to z ryzykiem wpadki — mBank informuje w SMS o kwocie i rachunku docelowym transakcji. Być może przestępcy widząc spore sumy na koncie ofiary nie chcieli ryzykować wpadki i “spalenia” tak bogatego klienta?

    Z kolei w przypadku phishingu, jeśli ofiara była na tyle naiwna, że podała login i hasło, to zazwyczaj na fałszywej stronie prosi się o przepisanie kodu z SMS i ofiary to robią (por. ataki z lewym Dotpay’em). Taki atak wymaga w większości przypadków wymaga jednak ręcznej obsługi i być może przestępcy po wykradzeniu hasła prostu nie zdążyli zlecić transakcji i odebrać kodu z SMS.

    Wreszcie, dane logowania można pozyskać po infekcji komputera zwykłym keyloggerem (nawet sprzętowym). A taki łatwo wgrać na firmowym komputerze. Być może (bo konto było firmowe) Grzegorz zalogował się na “cudzym” komputerze w firmie, albo nawet na takim do którego dostęp mieli klienci… To zresztą wcale nie musiał być komputer w firmie. Lobby hotelowe świetnie nadaje się na takie keyloggerowe instalacje…

  3. Wyłudzenie duplikatu karty SIM nastąpiło w innym mieście, w fizycznym salonie (co Grzegorz ustalił własnymi znajomościami), a złodziej posłużył się podrobionym dowodem osobistym (tzw. dowody kolekcjonerskie można zamówić przez internet za ok. 300PLN).
  4. Zauważymy, że jeśli przestępcy mieli czas na podrobienie lub zamówienie dowodu, to znaczy, że login i hasło znali od dłuższego czasu.
  5. Pieniądze z konta Grzegorza zostały najpierw przesłane na konto w BOŚ, a stamtąd miały trafić na giełdę kryptowalut BitBay. Przelew został jednak w porę zatrzymany.

 
Podsumowując, tylko szybka reakcja mBanku uchroniła Grzegorza przed stratą gotówki. I choć pieniądze opuściły bank, a mBank wspominał o 60 dniach rozpatrywania reklamacji, to finalnie środki udało się zablokować w BOŚ-u i jak wynika z naszej dzisiejszej rozmowy z Grzegorzem, zostały mu już zwrócone. W mniej niż 10 dni. To oznacza, że współpraca na linii mBank–BOŚ–BitBay była bardzo sprawna.

Nie wiemy co spowodowało, że pracownik mBanku postanowił zadzwonić do Grzegorza. Czy czynnikiem decydującym o oflagowaniu transakcji był transfer dużej kwoty szybkim przelewem, transfer na nieznane konto, czy może wykonanie tych operacji z nowego adresu IP. Ważne, że się udało. Jeszcze raz brawa!

Pytanie jak poszło w pozostałych przypadkach… bo 12 lipca w ten sam sposób okradzionych zostało więcej osób. A wiemy to od tajemniczego informatora, który tego samego dnia, którego zgłosił się do nas Grzegorz napisał:

W Żywcu w dniu wczorajszym 7 osób zostało okradzione z pieniędzy. Zgłosił się do mnie klient któremu skradziono kilka set tysięcy z konta firmowego w mbanku. Wektor ataku jest ciekawy: u operatora sieci komórkowej wyrabiają duplikat karty SIM. Klientowi wyłącza się telefon – aktywuje się z duplikowana karta SIM. Po kilkudziesięciu minutach przychodzi informacja że komputer który połączył się z bankiem jest zainfekowany. Zaraz potem znikają pieniądze z konta.
Przelewy są robione na konto w Banku Ochrony Środowiska a następnie kupowane są bitcoiny. Sprawa została przejęta przez Policję Gospdarczą. Dzień później dostałem komputer do przeskanowania “bo są w nim wirusy”. Po przeskanowaniu znalazło 9 wirusów: 4 pliki z KMS od cracowania office reszta opisana jako “być może niepożądana aplikacja”. Skanowanie programem NOD32. Wątpię że komputer brał udział w pozyskaniu danych potrzebnych do ataku.

Kradzież z BZWBK, bo T-Mobile wydał duplikat karty SIM

Ale Grzegorz i pozostałych kilka osób z Żywca to nie pierwsze ofiary kradzieży z wykorzystaniem duplikatu karty SIM. Jeszcze w styczniu zgłosiła się do nas Czytelniczka (dalej zwana Wandą), której wyczyszczono konto w BZWBK bo T-Mobile wydał złodziejom duplikat jej karty SIM. Co ciekawe, tu oszust wyłudził duplikat w salonie “fizycznym” nie na podstawie podrobionego dowodu, a na podstawie upoważnienia notarialnego (oczywiście podrobionego). Żeby było śmieszniej, wskazany na upoważnieniu notariusz nawet nie istniał, a poza tym numer dowodu Czytelniczki nie zgadzał się z tym podanym na upoważnieniu.

Złodziej korzystając z duplikatu karty SIM uzyskał “kody startowe” i login do konta w BZ WBK. Złodziej najprawdopodobniej udawał na infolinii banku, że zapomniał danych logowania i poprosił o ich ponowne przesłanie/przypomnienie.

Po kradzieży środków z konta w BZWBK przestępca próbował też dobrać się do konta Wandy w PKO BP, ale bezskutecznie. Dzięki swoim znajomościom, nasza Czytelniczka ustaliła w którym salonie pobrano kartę SIM. Podobno nie był to jedyny przypadek w tym konkretnym salonie (miejscowość Błonie k. Warszawy). Ale to nie koniec szokujących informacji w sprawie tego incydentu. Usiądźcie wygodnie.

Córka czytelniczki zrobiła to samo co złodzieje…

W czasie, gdy doszło do opisywanej przez nas powyżej kradzieży, Wanda była za granicą. Swój telefon zostawiła córce. Nieświadoma kradzieży córka, pewnego dnia zauważyła, że karta SIM w telefonie przestała działać. Zadzwoniła więc do biura obsługi klienta T-Mobile, podała się za matkę i wyprosiła przesłanie nowej kart SIM drogą kurierską na adres swojej firmy (niezwiązanej z matką). Kurier, który przybył z duplikatem karty nie sprawdził dokumentów córki i wydał jej przesyłkę z kartą SIM. Na pytanie czy dowód osobisty będzie potrzebny do odbioru przesyłki kurier ze zdziwieniem odparł, że: “absolutnie, nie ma takiej potrzeby, ponieważ nadawca przesyłki tego nie wymaga“.

To jest niesamowite! Córka ofiary wyłudzenia karty SIM sama wyłudziła kartę SIM aby pomóc matce.

Ale to jeszcze nie koniec!

Wanda odkrywa jak prosto można było ją okraść

Gdy Wanda wróciła do kraju, nie mogła się dostać na swoje konto (oszust zmienił hasła). Czytelniczka uzyskała więc kody startowe dzwoniąc na infolinię BZ WBK. Wtedy odkryła, jak została okradziona. Otóż procedura wymagała udzielenia odpowiedzi na 3 pytania dotyczące danych osobowych.

  1. trzy pierwsze cyfry PESEL,
  2. sposób autoryzacji przelewów – sms czy token?,
  3. adres do korespondencji.

Skąd złodziej miał te informacje? Otóż dane ofiary, to PESEL i adres znajdowały się w pewnym rejestrze publicznym, więc oszust po prostu je odczytał. Tak jak mógłby to zrobić każdy z Was. Jeśli chodzi o sposób autoryzacji przelewów, to jest dość oczywiste, że większość ludzi używa autoryzacji SMS.

Mimo tych niedociągnięć Bank BZ WBK nie chciał uznać reklamacji. Zaproponował ugodę dopiero gdy nasza Czytelniczka wystąpiła do sądu (w chwili pisania tego tekstu ugoda nie została jeszcze zawarta).

Oczywiście pytaliśmy o tę sprawę zarówno T-Mobile jak i BZ WBK. Chcieliśmy zwłaszcza potwierdzić, czy np. odnotowano kilka przypadków wyłudzeń kart SIM w tym jednym salonie, albo czy uzyskanie kodów startowych przez infolinię BZ WBK jest faktycznie tak proste. Obu firmom daliśmy sporo czasu na odpowiedź, ale przez pół roku odpowiedzi nie dostaliśmy — oczywiście, jeśli nagle, po publikacji tego artykułu, sprawa nabierze dla banku i operatora odpowiedniego priorytetu, to z chęcią opublikujemy w aktualizacji zaległe odpowiedzi. Tak czy inaczej — śledzimy dalsze losy sprawy Wandy i będziemy Was o nich informować.

Metoda “na duplikat SIM” działa też za granicą


Wyrabianie duplikatu karty SIM i stosowanie go do kradzieży pieniędzy jest popularne także za granicą. Już w roku 2013 były takie ataki wskazywano jako coraz bardziej popularne, a zaledwie tydzień temu o problemie “SIM swap fraud” pisał Motherboard. Co ciekawe, za granicą przestępcy przejmują nie tylko rachunki bankowe ale również konta użytkowników Instagrama (które sprzedają za Bitcoiny).

Bo — choć do tej pory o tym nie wspomnieliśmy — to powinniście wiedzieć, że przejęcie cudzego numeru przez klon karty SIM może oznaczać nie tylko wyczyszczenie konta w banku ale również przejęcie kont w serwisach społecznościowych (generalnie wszędzie tam, gdzie SMS pełni rolę elementu autoryzacji lub uwierzytelnienia).

Nawet jak nie masz nic w banku, możesz być ofiarą

To że nie masz pieniędzy na rachunku w banku, wcale nie oznacza, że możesz spać spokojnie. Numer telefonu zapewne zostawiłeś GMailowi, Facebookowi a może nawet Signalowi, czy innemu komunikatorowi do “poufnych konwersacji”. A to znaczy, że jeśli ktoś wyrobi klona Twojej karty SIM, to może dostać się do Twoich kont i danych. Co tam znajdzie i czy będzie to dla Ciebie kompromitujące?

Zdecydowanie najgroźniejsze będzie użycie duplikatu karty SIM do przejęcia konta Google — przestępca po prostu przejdzie procedurę “przypomnienia hasła” z wariantem resetu przez kod SMS. A potem przejmie każde inne konto, które zarejestrowaliście z wykorzystaniem tego adresu e-mail…

Z tego powodu Instagram i inne serwisy decydują się na wprowadzenie nowej formy autoryzacji, która bazuje na aplikacji w telefonie a nie na karcie SIM. Musicie tylko pamiętać, że jeśli wybierzecie uwierzytelnienie przez Google Authenticator albo inną aplikację do jednorazowych kodów i 2FA, to powinniście, jeśli to możliwe, USUNĄĆ numer telefonu ze swojego konta. Właśnie po to, aby nikt nie wykorzystał go awaryjnie do resetu “zapomnianego” hasła. Można to zrobić nawet jeśli macie skonfigurowane dwuskładnikowe uwierzytelnienie!

W przypadku Google warto też włączyć Advanced Protection, czyli zestaw zabezpieczeń, które sprawią, że trudniej będzie komuś włamać się na Wasze konto Google lub zresetować do niego hasło (reset przez SMS nie będzie możliwy — ale coś za coś, musicie kupić co najmniej 2 klucze U2F):

Jak chronić się przed atakiem z duplikatem karty SIM?

Wszystko jest w rękach Twojego operatora, więc załóż, że ktoś po prostu — jeśli się postara — zawsze będzie w stanie taki duplikat zdobyć. Zabezpieczyć przed tym się nie da, ale można:

  • MONITOROWAĆ. Jeśli karta SIM w Twoim telefonie nagle przestała działać to znaczy, że masz ogromny problem. Jeśli dostrzeżesz coś takiego, natychmiast kontaktuj się z bankiem i operatorem (wiemy… nie jest to łatwe jeśli SIM nie działa).
  • ZMIENIĆ NUMER TELFEONU w kluczowych usługach. Np. bankowi i PayPalowi podać taki, którego nikt nie zna. Co prawda, jeśli zarejestrujesz go na swoje imię i nazwisko a przestępcy mają kreta u operatora, to i tak mogą dowiedzieć się jakie numery posiadasz i sprawdzić, który z nich jest skojarzony z Twoim kontem w banku. Ale zawsze to jakaś dodatkowa ochrona. Na wyłudzenia kart SIM są szczególnie narażone osoby, których dane znajdują się w rejestrach publicznych, np. KRS — bo poza numerem telefonu potrzeba też numeru PESEL ofiary.
  • USTAWIĆ POWIADOMIENIA O TRANSAKCJACH I LOGOWANIU W BANKU np. po zainstalowaniu aplikacji mobilnej banku. Tak, telefon nie będzie mieć internetu, jeśli ktoś wyrobi duplikat karty i powiadomienia mogą nie przyjść w porę. Ale jest szansa, że będziecie wtedy na Wi-Fi i jednak przyjdą.
  • NIE DAĆ SIĘ ZHACKOWAĆ. W przypadku banku, sama kontrola nad numerem telefonu na wiele się nie zda, najwyżej złodziej zepnie z Twoim kontem aplikację mobilną i okradnie Cię do jej limitu (w mBanku jest to maksymalnie 5 000 PLN). Tragedii nie będzie (por. Jak przestępcy przekierowali mu telefon w T-Mobile i okradli konto w mBanku). Do prawdziwej kradzieży potrzebne jest jeszcze login hasło do konta. Jak nie przekazać go złodziejowi? Wystarczy nie dać się zainfekować trojanem i nie dać się złapać na phishing.

    O tym jak tego dokonać napisaliśmy już wiele na naszych łamach, ale jeśli chciałbyś dostać te informacje “w pigułce” w przystępnej formie, tak żeby nawet osoba nietechniczna zrozumiała czego nie powinna robić w internecie, to zapraszamy na nasz wykład pt. “Jak nie dać się zhackować?“:

    W trakcie wykładu pokazujemy jak poprawnie zabezpieczyć Twój komputer i telefon przed hackerami, scamerami i cyberprzestępcami. Mówimy też jak bezpiecznie kupować w internecie i jak ograniczać ryzyko kradzieży pieniędzy z kont bankowych. Zagadnienia przeplatamy pokazami prawdziwych ataków na żywo. Wszystko trwa ok. 3h. Zapraszamy! Spotkasz nas w następujących miastach:

    Obecnie, na każde z wydarzeń pierwszych kilkadziesiąt biletów można zdobyć po niższej cenie w przedsprzedaży. Kto pierwszy, ten lepszy!

P.S. We wszystkich polskich i zagranicznych przypadkach kradzieży pieniędzy bądź kont z wykorzystaniem duplikatu karty SIM pojawia się pewien wspólny element — czynnik ludzki. Telekomy to ogromne instytucje, zatrudniające masę różnych ludzi, zlecające czynności różnym podwykonawcom, dysponujące wieloma różnymi rozwiązaniami do jednej czynności, zorientowane na obsługę szybką i wygodną. Jednocześnie telekomy są kimś w rodzaju dostawcy usług tożsamości a ich produkt (karta SIM), znów ze względu na wygodę dostawców usług internetowych, czy bankowości online, strzeże dostęp do wielu naszych tajemnic i pieniędzy. W takiej sytuacji tylko szczelne procedury mogą uchronić przed problemami. A w firmie, która ma kilkaset oddziałów w Polsce i kilka tysięcy pracowników, zawsze uda się znaleźć taką osobę, która wbrew procedurom, wykaże się nadmierną empatią, chęcią pomocy, albo po prostu będzie posiadała braki w znajomości procedur i czegoś nie sprawdzi tak dokładnie jak powinna. Trzeba tylko spróbować do skutku jak w przypadku tego klienta T-Mobile.

Coś o tym wiemy, bo po styczniowych doniesieniach od Wandy rozpoczęliśmy w redakcji mały test. Na przestrzeni ostatnich miesięcy odwiedziliśmy kilka oddziałów różnych operatorów i na wiele różnych sposobów staraliśmy się w sposób zupełnie nieautoryzowany wyrobić duplikaty kart SIM kilku wybranych ofiar (bez obaw, ofiary się zgodziły). No i parę razy nam się udało. Ale to temat na osobny artykuł. Niniejszym zapowiadamy jego publikację w jeszcze w tym tygodniu. Stay tuned!

Przeczytaj także:

250 komentarzy

Dodaj komentarz
  1. Technicznie zostało mnóstwo ale to na prawdę mnóstwo śladów. Kwestia tylko ich powiązania.

  2. Dlatego majac konto w mbanku z uporem maniaka trwam przy liscie hasel. Koszt 15 pln nie spowoduje, ze przerzuce sie na smsy. Zwlaszcza, ze mbank nie potrafi do tej pory wdrozyc maskowanego hasla, nie korzysta z 2FA do logowania i jeszcze blokuje uslugi (np. koszyk przelewow, przelew wielorazowy) klientom, ktorzy odmawiaja korzystania z SMS.
    Ale coz… moze stac ten bank na zwrot kasy klientom, ktorzy udowodnia, ze dolozyli wszelkich staran…

    • 19 pln, nie 15 niestety. Wychodzi po 40 groszy za przelew, skandal moim zdaniem. Ale dobrze, że chociaż taką opcję oferują.
      A co do maskowanych haseł, nie wiem czemu ludzie mają na to aż takie ciśnienie, to nie podnosi bezpieczeństwa w znaczący sposób, a tylko wnerwia niemiłosiernie (nie można managera haseł stosować).

    • Maskowane hasło to relikt przeszłości, który idealnie nadaje się do piętnowania przy każdej możliwej okazji. Po pierwsze uniemożliwia stosowanie haseł o dowolnej długości (np. 50 znaków), po drugie uniemożliwia użycie managerów haseł, a po trzecie wymaga albo prostego hasła do zapamiętania i policzenia w nim znaków, albo zapisania np. na kartce i odczytywania z niej wybranych znaków.
      Tym samym bezpieczeństwo rozwiązania jest niższe, niż zwykłe hasło, bo tak naprawdę przed niczym nie chroni. Trojan czy inny MitM może wyświetlić stronę dwukrotnie, by w efekcie uzyskać pełne hasło, gdy ty będziesz nadal przeświadczony o ochronie.

    • Lista haseł nie ochroni Cię przed opisanym w artykule atakiem Man in the Browser. Autoryzujesz przelew hasłem jednorazowym, a trojan w tle podmieni kwotę i nr konta. W przypadku SMS-a przynajmniej możesz sprawdzić w jego treści, co tak naprawdę zatwierdzasz.

    • Maskowanie haseł to szkodliwy idiotyzm który nie ma jakiegokolwiek uzasadnienia.

      Ale na szczęście, porządne menedżery haseł sobie radzą. W Keepass jest to funkcja “override default sequence” w usyawieniach danego wpisu, zakładka “Auto-type” (trzeba użyć PICKCHARS).

    • Maskowanie haseł chroni przed keyloggerami więc jakiś sens ma i nie trzeba sobie zapisywać hasła na kartce żeby podać odpowiednie znaki(-_-) można w myślach kolejno “odczytywać” wpisywane znaki-nie trzeba znać na pamięć numerów kolejnych znaków[!]. Maskowane hasła mają długość 15-20 znaków i pewnie mało kto używa dłuższych haseł.
      Nie wiem czy manager haseł jest bezpiecznym rozwiązaniem (może jakiś artykuł na ten temat?). Domyślam się, że po przejęciu hasła do manager dopiero byłoby nieprzyjemnie…

    • Hasła jednorazowe nie chronią przed tym atakiem.
      Mając podstawowe dane można zmienić sposób autoryzacji na SMSową za pomocą mLinii (taka zmiana nie wymaga podania hasła jednorazowego).

    • No i co? Myślisz że mając listę kodów jesteś bardziej bezpieczny? To ci powiem dlaczego Banki odchodzą od list kodów. Do drukowania używana jest koperta (a w zasadzie fanfold kopert) zabezpieczona przed podglądnięciem pod światło wraz z (UWAGA!) kalką, i dodatkową wartwą papieru (perforowany na krawędzi) doczepioną do koperty która to powinna trafić do niszczarki po drukowaniu. Po wykonaniu wydruku na specjalnej drukarce igłowej pracownik “rozrywa” koperty na sztuki, usuwając taśmę perforowaną a następnie w systemie jest przypisywany dany numer listy do danego konta (zaleznie od banku może to być proces automatyczny). Jak już wspomniałem pozostałością wydruku jest dodatkowa listwa papierowa na której widać fizyczny odcisk tego co było drukowane (kalkowane). Jest to potrzebne po to by nie było widać odcisku na samej kopercie, stąd dodatkowa taśma. Tak to wygląda, że w bankach brak odpowiedniuej kontroli nad ludźmi. Nie jest możliwe stanie nad kimś 8h/ na dobę i pilnowanie czy nie skitra do kieszeni “odbitki” albo przed zniszczeniem nie zrobi zdjęcia pod odpowiednim kątem albo po porstu nie zapamięta hasła nr 2 i 3 (pierwszy kod aktywuje listę , ostatni usuwa) a następnie nie sprzeda tych informacji komuś z zewnątrz. Do tego cała procedura jest czasochłonna a to generuje koszty. Dlatego SMS jest za darmo, bo banki liczą pieniądze a wasze bezpieczeństwo jest dla nich ważne ale nie tak jak zysk. W bazach po stronie banku listy są zapisane jako hashe (niesolone) więc po prostu wystarczy wygenerować tęczową tablicę dla kolejnych liczb od 000000 do 999999. Napisanie tego w bashu i wygenerowanie tablic to maksymalnie godzian. Później wyszukanie i dopasowanie hasha do konkretnej wartości z listy haseł to maks kilkanaście sekund (zwykły grep na pliku). Takie to jest bezpieczeństwo w Bankach jeżeli chodzi o INSIDE JOB. Zgłosiłem temat zarządowi i dostawcy systemu w jednym z polskich Banków. Do dziś bez zmian . Z tego co wiem (rozmowy przy różnych okazjach) podobnie jest w innych bankach.Gdybym miał na coś stawiać to tylko token sprzętowy

  3. dobry tekst, poprawcie tylko : szajka sprytnych złodziejów -> szajka sprytnych złodziei

  4. Po niższej cenie w przedsprzedaży…… Link nie działa

  5. mBank nie przestaje zadziwiać – zadzwonili na kartę wyłączoną 40 minut wcześniej? ;o)

    • Przyjęto kartę żony a zadzwonili do męża. Chyba.

    • Z tekstu to wprost nie wynika.
      Poza tym karta była aktywna tyle, że miał ją złodziej i to on by odebrał połączenie.
      Co za tym idzie – dzwonienie banku z pytaniami o podejrzane przelewy w tym przypadku nie uchronią przed utratą środków, chyba że poda się zupełnie inny nr do takich połączeń albo bank zapyta o coś, czego złodziej nie będzie wiedział (choć rozeznanie w tym konkretnym przykładzie raczej mieli spore).

    • Może mąż był właścicielem głównym konta a żona współwaścicielką?

  6. @Monter: TL;DR?? Przecież w tekście jest to wyjaśnione. Bank zadzwonił na telefon współmałżonka. Poza tym można zostawić bankowi kilka numerów kontaktowych.

  7. Wygląda to na atak spersonalizowany. W mbanku chyba musi być kret, wskazujący osoby z większymi sumami na koncie. :) Ja tam akurat mam kody papierowe, ale to i tak nie rozwiązuje sytuacji. W sumie w każdym banku powinno być połączenie smsów i sprzętowego tokena – ale nigdzie tak nie ma.

    • BZWBK miał kiedyś sprzętowe tokeny. Ciekawe czy jeszcze ktoś używa?

    • W Inteligo możesz wybrać sms, kartę kodów, albo token (tutaj w formie aplikacji na smartfoba)

    • Ale za to wprowadzili tak zwaną mobilną autoryzację. Bardzo fajna rzecz. Bezpieczniejsze nic SMS i token. Nie sprawdzałem tylko czy ktoś znający hasło i login nie byłby w stanie przełączyć autoryzacji na SMS…

  8. Właściciel witryny http://www.bilety24.pl niepoprawnie ją skonfigurował. Program Firefox nie połączył się z nią, aby chronić użytkownika przed kradzieżą informacji. Jednak nie działa

    • U nas i na Chrome i na FF poszło… Jaką wersje przeglądarki macie i jaki OS (wklejcie najlepiej pełnego UA)

    • @Piotr Konieczny
      Przecież to spam… Bardzo sprytny.

  9. Dlatego w mBanku nie trzymam oszczędności. Nie wiem może się mylę ale mam wrażenie że mbank to najczęściej atakowany bank w pl. Hajs trzyma się w zupełnie innym banku bez apek w telefonie itp

    • Też nie bardzo się sprawdzi bo jak złodziej zrobi “duplikat” kolekcjonerski dowodu to i z banku marmurkowego wypłaci w gotówce wszystko albo zleci przelew bo powie że kupuje od rolnika działkę/ samochód czy coś droższego. Chyba że mówisz o banku typu bank spółdzielczy w małym mieście na 100 klientów a kasjerką jest twoja kuzynka ;)

  10. Ja to się muszę skupić, żeby to wszystko ogarnąć. Ja nie wiem jak mają sobie radzić ludzie w wieku moich rodziców, którzy nawet jeśli jako tako korzystają z internetów i smartfonów, to szczegółów nie załapią. Wypadałoby w ogóle nie korzystać z bankowości internetowej. Nawet nie wiem czy istnieją jeszcze takie RORy.

    • Rodzice muszą zapamiętać, żeby wszystko co chcą robić w banku robić na ipadzie przez jedną aplikację. I nigdzie indziej.

    • “Na ipadzie”?

      W jakim swiecie zyjeci? Rownoleglym? Tam nie ma atakow na nadpsute jabluszka?

    • @Piotr Konieczny
      Tym razem przegiąłeś z ipadem. Proponuję przypomnieć sobie aferę fappening. Chyba wszystkie zdjęcia, które wyciekły były robione jabłuszkami.

    • Popatrz o kim rozmawiamy. Nie ma rozwiązań idealnych ale da się je całkiem dobrze dostosować do modelu ryzyka. Wielu bezpieczników o tym zapomina i na siłę wymusza na normalnych ludziach “rady” które bardziej im szkodzą niż pomagają. Gwarantuje Ci, że jesli osoba o której rozmawiamy w tym wątku (a więc nietechniczny rodzic) do opłaty rachunków i przelewów będzie korzystać z iPada, to znacznie, bardzo znacznie, utrudni robotę internetowym złodziejom.

    • Sorry ale to jest sprzedawanie pseudobezpieczenstwa a nie zadne uwzglednianie modelu zagrozen.
      Roznica w ataku jest miedzy “uzyj zestawu M” a “uzyj zestawu J”. Pozostaje jeszcze pol alfabetu innych zestawow…
      Jesli atak byl szyty na miare (a byl) to zadna roznica jablko, andrut czy malomieki.
      Roznica jest tylko dla sprzedawcy jabluszek.

    • To iPad będzie więcej warty, niż matka ma na koncie. Słabe te Waszej rady. ;-)

    • Mamy za to jedną niesłabą, śmieszku: nie ma rad uniwersalnych. Niestety, ciężko to niektórym zrozumieć (bo nie jest to łatwe do zrozumienia z wszystkimi implikacjami, nawet dla osób technicznych), ale zabezpieczenia buduje się pod konkretny model zagrożeń. Dlatego używanie dużych kwantyfikatorów nie ma za bardzo sensu w przypadku Twojej matki. Ale zakładając, że większość “nietechnicznych” rodziców ma jednak coś na koncie, bo całe życie pracowali, to zainwestowanie kilkuset złotych w to, żeby syn/córka mogli spać spokojnie (i mniej troubleshootingować IT-problemy rodziców) jest naprawdę dobrym pomysłem. I warto to zrobić, choćby dlatego, że żyjemy w takich czasach, gdzie nietechniczne osoby wręcz zmusza się do tego, aby swoimi pieniędzmi zarządzały przez internet (dla banków — co zrozumiałe — jest to tańsze). Osoby które nie dorastały z technologią i się na niej nie znają łatwo jest złapać na różne wektory ataku. Taki iPad wiele z nich ogranicza sam, a jeśli dodatkowo nauczy się rodziców kiedy/do czego z niego korzystać, to większość najpopularniejszych zagrożeń znika. I o to chodzi.

    • No przecież dałem minkę, no. Przecież się z Wami zgadzam. Takie to miało być śmieszkowie potwierdzenie Waszych słów, że nie ma rad uniwersalnych.

    • @Piotr Konieczny 2018.07.25 10:12

      No nie do końca się zgadzam. Blokowanie czegoś w interfejsie czy zubażanie funkcjonalności tak by prowadziły za rączkę to żadne zabezpieczenie ani zaleta danego urządzenia nad innymi (no może na takie “dobro” wygląda, bo czegoś się nie da zrobić), tylko produkowanie analfabetów. Od myślenia co się robi jest człowiek, a nie producent urządzenia czy softu. Tak naprawdę granica leży gdzieś pomiędzy, a coraz więcej ludzi i serwisów technicznych zdaje się promować przesuwanie jej w kierunku zwalania odpowiedzialności na tą złą “technikę” co to nie pomyślała za człowieka. Chwilówki też “zabijają” a czy ktoś komuś kazał je podpisywać? Ludzie giną na przejściach dla pieszych, a kazał kto przełazić na czerwonym lub przebiegać na ostatni moment? 90% kierowców jeździ 100+ km/h po mieście i przelatuje na czerwonym, a robi coś ktoś z tym, poza tworzeniem statystyk wypadków?
      Stałe blokowanie jakichś popularnych lub coraz to nowszych wektorów ataku tylko w samym sofcie to droga donikąd, bo wszystkich się nie da przewidzieć i wyeliminować, jeżeli właściciel ma IQ kalafiora to zrobi to, o czym ktoś inny nawet by nie pomyślał. Jak tak dalej pójdzie (z tym softem i blokadami zamiast nauki myślenia co się robi) to cofniemy się do ery telefonów na korbkę i liczydeł…
      Producenci rozwiązań i oprogramowania też mają swoje za uszami, bo często z powodu minimalizacji kosztów świadomie idą na skróty.
      Dziwne czasy nastały, jeśli brać pod uwagę głupawe uśmieszki gdy tylko ktoś się pochwali, że świadomie używa dumbphone-a, zamiast zauważenia iż być może dba bardziej o swoje dane i bezpieczeństwo.
      A japko jest tu o tyle kontrowersyjne, że: a). nie jest w niczym diametralnie lepsze, ale za to jest kosmicznie drogie; b). pomijacie w takich momentach inne rozwiązania, co może być faktycznie odbierane jako lokowanie produktu.

    • @monter: pisałem to wiele razy, dlaczego iPad lepszy (choć jak ktoś chce tracić więcej czasu to może też rodzicom dokonfigurować Androida, ale nie rekomenduje, bo)

      – iPad z automatu dostaje aktualizacje. Błyskawicznie. Zdalne ataki, MMS-ami, exploitami drive-by-download, BlueTooth nie są wtedy groźne (patrz BlueBorn i StageFright). Na Andku będą zagrożeniem średnio rok dłużej. I to jest główna (i wystarczająca) przewaga.
      Ale dodatkowo:
      – iPad ma sklep, który jest “ograniczony”. I to jest w tej sytuacji zaleta. Nikt nie ściągnie malware, jakby nagle rodzic zachciał sobie sprawdzić co to jest ten WhatsApp co to wszyscy z niego korzystają. (Choć jak tablet ma być wykorzystywany jedynie do obsługi płatności to i tak Parental Lockiem można poblokować dogrywanie aplikacji na obu systemach, dla większej pewności).
      – Gdyby inna aplikacja została przejęta (por. watering hole, supply-chain), to i tak nie będzie miała wpływu ani dostępu dodanych aplikacji bankowej na iPadzie.

      Na Androidzie więcej da się zrobić. Także więcej złego. To w tej sytuacji o której rozmawiamy jest wadą, a nie zaletą.

    • A ja myślę, że to słuszna rada. iPad kosztuje jakieś 1300zł, jest prosty w obsłudze podobno (ja tam jednak wolę 3 przyciski z Androida) i sklep aplikacji jest podobno lepiej filtrowany niż Google, więc mniejsza szansa, że rodzic przypadkiem zaciągnie jakiś syf. Czyli, wystarczy rodzica nauczyć, że ten sprzęt, to jedyne, gdzie podaje bankowe hasło i NIGDZIE indziej.

      Jako wyższy poziom to by można wziąć ipada z SIM i tam właśnie dołożyć taką dedykowaną kartę, której numeru nikt nie zna.

      Co do tego, że rodzic może mieć na koncie mniej oszczędności, niż wartość iPada, to może dla takich kwot faktycznie nie warto inwestować – to też element dostosowania zabezpieczeń do ich przedmiotu.

    • Albo kupić tableta z androidem 5 za 300zł. Zrootować zrobic backup systemu przez TWRP, wywalić boltware i usługi google play ustawić firewalla przez iptables. Zainstalować aplikacje banku, odinstalować wszystko oprócz core appów (między innymi systemu, UI, instalatora pakietów apk, launchera, ustawień) ale odinstalowujemy bluetootha, kamerę, usługi gps itp. upewnić się 9000 razy że wszystko ok, odinstalować manager pakietów, odrootować przez recovery i gotowe. Wirus nie ma jak się zainstalować a nasz tablet ma jedynie appkę banku i potrzeba naprawdę grubego exploita do przejęcia tego a większość i tak kończy się na instalacji złośliwego apka więc jesteśmy bezpieczni. Jak chcemy przywrócić tablet do pełni funkcjonalności to mamy backup z przed zmian. I tak za 300zł + przesyłka i kilka godzin max mamy hiperbezpieczny tablet służący tylko do bankowości.

    • @XOr — świetny pomysł! A teraz zaczep kogoś na ulicy i zapytaj, czy będzie w stanie ;) Ale pomysł na biznes jest. Przy czym ja bym nie zainwestował dla rodziców (nic personalnego — po prostu bałbym się, że jako świeży produkt, straci wsparcie a firma upadnie).

    • @X0r
      Przydałby się tutorial do tego, najlepiej na konkretnym przykładzie (a nie czysto teoretyczny). Może to też dobry temat dla Nbzp – takie przerobione sprzęty można by nawet sprzedawać pod swoją marką!

    • @Piotr Konieczny 2018.07.25 11:44

      Spoko, ale ja nadal uważam, że problemem nie jest soft czy marka sprzętu tylko to coś, co siedzi przed ekranem i bezmyślnie klika.
      Moja Matka jest od dawna na emie i ma znajomych w swoim wieku. Wszyscy mają smartfony z Androidem, jedni nowe, inni stare padła i nie słyszałem jak dotąd o żadnym fraudzie, malware, itd. Nie wiem jak tamci, ale Matka nie klika nic bezmyślnie, nie instaluje, czyta komunikaty nie odbiera dziwnych połączeń, myśli co robi a jak czegoś nie rozumie to anuluje i przy najbliższym spotkaniu z rodziną pyta o co chodziło. Więc da się żyć na andku z full dostępem do sieci, banku, e-mail i nie trzeba od razu mieć coś 3x droższego. Jak ktoś ma IQ kalafiora to ani japko ani wymyślne procedury przed niczym go nie uchronią.

    • Ja ani moi rodzice nigdy nie złamali nogi na nartach. Czy w takim razie prawdą jest, że nikt nie łamie nóg na nartach? :) Pisałem wyżej — nie ma uniwersalnych rad. W tym wątku staramy się maksymalnie uniezależnić od głupoty użytkownika i ograniczyć jego złe wybory. Zawsze znajdziemy kogoś, kto ominie wszystkie zabezpieczenia. Tak jak i zawsze znajdziemy kogoś, kto potrafi przeżyć skok z 10 piętra na ziemię…

    • @Monter
      przykładem takiego sprzętu jest (bardzo nieudane) zoom.me czyli elektroniczna ramka na zdjęcia chodząca na androidze (oczywiście tak słabo napisana apka że da się z niej uciec)
      Ja sam zrobiłem takiego przerobionego tableta nawet przedwczoraj tylko ten mój nie służy do bankowości a do przęglądania allegroi aliexpress oraz sprawdzania maila dla starszych osób w rodzinie. Użyłem do tego lenovo tab2 a7 10-f (kupowalny za “grosze” https://allegro.pl/nowy-tablet-lenovo-tab-2-a7-10f-wifi-gps-8gb-quad-i7438210928.html) wszystko śmiga. Opcjonalnie jak ktoś jest paranoikiem (jak ja) to można jeszcze zainstalować opensourcową klawiaturę (powiększoną dla osób starszych)

    • Gdyby taki projekt powstał to open source jak już bo nieotwartego chyba nikt by nie kupił i update zawsze moze wypuszczac spolecznosc. Chociaz zastanawiam sie czy mozliwosc updetowania nie rozwaliła by bezpieczeństwa bo dodatkowa apka – dodatkowe wektory ataku. Nawet mozliwosc update z recovery umożliwia jakieś scamy. Jeżeli urządzenie ma być idiotoodporne to funkcjonalność musi byc ograniczona

    • @X0r – a możesz nakierować na poradnik jak takie coś samemu zrobić od A do Z?

      @Piotr Konieczny – spoko. Ja nigdy nie jeździłem na nartach. Czyli co, wsiadam w środek transportu, wdrapuję się na górę, zakładam narty i jazda? Nie, bo wiem, że muszę się najpierw nauczyć i jestem świadom co może się stać. Czy to, że wielu tak “wsiada i heja” nie tylko w odniesieniu do nart stanowi, że nagle wszystkie dostępne narty mają być tak zrobione, żeby można było jeździć bez nauki od razu w trybie profi, a inne “niebezpieczne” przestały być w ogóle dostępne? Bo chyba do tego dążymy. Telefony i tablety – mają być na rynku tylko takie, żeby chroniły użytkownika i myślały za niego? A jak ktoś chce zrobić coś więcej, nie będzie mógł, bo dla niepełnosprytnych musi być bezpieczniej i łatwiej? To mi przypomina stary mem – obrazek z widokiem PC AT i klawiaturą na jakiej są tylko dwa przyciski (music i porn). Już teraz wielu ludzi przez takie akcje stało się kalekami – mało kto umie jeździć autem bez ESP/ABS albo z napędem na tył, zwykle kończy się to stłuczką lub owinięciem wokół drzewa – analfabetyzm motoryzacyjny, obecnie pogłębiany przez asystentów pasa ruchu i autonomiczność, cokolwiek by nie oznaczała.

      Reasumując, po części oboje mamy rację, ale ja jestem zdania iż ograniczanie złych wyborów – tak, ale przez edukację a nie poprzez zakładanie blokad, ograniczeń i wymyślanie ułatwień, w trybie myślenia za człowieka.

    • Dokładnie — nie jezdziles nigdy na nartach, a musisz (tu: bank cie zmusza do online). I ja Ci daję iPada i mówię, zapnij pasy! A w naszej konwencji, Twoja jazda na nartach ma wyglądać tak: https://www.evernote.com/shard/s165/sh/7ff5eaad-0966-4157-953d-b1b3ee5c6310/b0ba62fa81557339 — do celu się przemieścisz, krzywdy (raczej) sobie nie zrobisz :)

    • Znacznie taniej wyjdzie pendrive z Linuxem, i tylko na nim logowanie na konto.

    • Myślę, że lepiej gdyby Piotr zaczął wypowiedź w ten sposób:
      Do przelewów, najlepiej mieć osobne urządzenie (najlepiej iPada) i osobny telefon z kartą sim. Urządzenia służące tylko i wyłącznie do bankowości.

    • @Monter
      nie używałem gotowych poradników i nie wiem czy takowe istnieją

    • Zamiast kupowania tego iPada nie prościej po prostu takiej babci pozostać przy banku “marmurkowym” (jak to je miłośnicy mBanku nazywają) i zarządzać kontem poprzez wizyty w placówce banku?

      Wychodzi drożej, niż bankowość online – trzeba tych kilka złotych za przelew np. płacąc jakiś rachunek zapłacić i pewnie też tych kilka złotych na miesiąc pobiorą za prowadzenie konta – ale to nadal nie są jakieś gigantyczne kwoty.

      Moja babcia ma od lat konto w Banku Spółdzielczym, z kart płatniczych ani niczego w tym rodzaju (nawet z bankomatów) nie korzysta, pieniądze z konta pobiera w okienku banku, rachunki też tam opłaca – i jest szczęśliwa, a okraść ją na drodze “komputerowej” byłoby ciężko. Ewentualnie dałoby się, chyba, wykraść pieniądze z jej konta tym samym sposobem, w który tutaj wyrabiano duplikaty kart SIM – ale przypuszczam, że banki poważniej do tej sprawy podchodzą, niż salony operatorów komórkowych, i weryfikują podpis (na zleceniu przelewu czy wypłaty gotówkowej). Poza tym jeszcze jednym poziomem zabezpieczeń jest to, że pracownicy banku babcię znają i gdy ktoś obcy wylegitymuje się jej dowodem, prawdopodobnie się zorientują (o ile nie będzie to jakiś nowy pracownik). No i takie zagrożenie istnieje od zawsze, odkąd tylko istnieją banki.

    • Prościej. Albo i nie, bo nogi, bo bank nie ma placowki w pobliżu.

  11. W mBanku można w systemie transakcyjnym zmienić limity dziennych przelewów, np. na 5 000 zł. Dodatkowo jest opcja do zaznaczenia, która w przyszłości pozwoli zmieniać limity jedynie na infolinii. Także jeśli będzie potrzebny przelew na 10 000 to dzwonimy na infolinię, zmieniamy limit i wykonujemy przelew (potwierdzamy SMS) po czym ponownie prosimy konsultanta o zmianę. Trochę z tym zachodu jest, ale testowałem wielokrotnie i 2 minuty na taką operację spokojnie wystarczają.

    • “W mBanku można w systemie transakcyjnym zmienić limity dziennych przelewów, np. na 5 000 zł.”
      Już widzę limit 5000 na koncie firmowym …

  12. Na obrazku napisane, że przelew ekspresowy jest do 5k, natomiast jegomość w wywiadzie mówi, że dwoma przelewami zrobili go na pareset k, możliwe? ;)

    • Przelew firmowy jest do kilkuset tysięcy. Więc da się.

    • u mnie nie ma takiej mozliwosci. na printscreenie zalaczonym do artykulu – tez nie (zielone logo = profil firmowy)

    • Bo podobno SORBNET jest widoczny jeśli masz autoryzację SMS, nie autoryzacje przez aplikację mobilną.

    • Potwierdzam, że konta firmowe mają opcję SORBNET w 15 minut bez limitu https://imgur.com/a/ULcjwNh

    • SORBNET jest widoczny w godzinach dostępności w systemie SORBNET zarówno mBanku jak i banku docelowego, jak kiedyś taki przelew robiłem to musiałem zrobić go w godzinach 10-15 w dzień roboczy… i paradoksalnie SORBNET pozwala na przelewanie większych kwot niż ELIXIR.

  13. ym. pan pisze “z konta dwoma przelewami expressowymi wypłynęły całe nasz pieniądze. Naprawdę duże. Kilkaset tysięcy.” ale w mbanku ekspres to max 5tys pln. moze chodzi o Swift?

    • Expres Elixir. Na firmowych w BZWBK do 100k PLN.

    • ale pisza wyraznie ze mbank a nie bzwbk. a tam niezaleznie czy konto firmowe czy nie – max 5tys. pln

    • W mBanku jest opcja przelewu SORBNET w 15 minut bez limitu dla kont firmowych https://imgur.com/a/ULcjwNh

  14. Czy autoryzacja transkacji przez apkę (nie SMS) jest bezpieczniejsza?

    • Jest.

    • Pod warunkiem, że do apki 2FA nie da się odzyskać dostępu przez przypomnienie hasła SMSem ;-)

    • Ktorej apki? Tej co sobie bank wgral do sklepu czy tej ktora podmienil chetny na kwasne jablka?

    • W przypadku ataku przez podrobiony dowód czy akt notarialny NIE. Złodziej zresetuje wszytko, łącznie z apką, mając dostęp do danych personalnych i klonu SIMa.

    • Rozważam przesiądnięcie się z jednego systemu autoryzacji na drugi, ale wciąż czuję opór, bo zakładając że przelewy wykonuję z jednego peceta, a smsy autoryzacyjne przychodzą na telefon, mam dwa odseparowane urządzenia i prawdziwe 2FA, gdzie złamanie jednego z nich nie daje złodziejowi kontroli nad moim kontem. Tymczasem po zainstalowaniu apki w telefonie, on sam staje się jedynym punktem autoryzacji – jego złamanie pozwala okraść mnie z pieniędzy?

      Czy mógłbym poprosić o możliwie wyczerpującą listę argumentów (rodzajów ataku?) przemawiających za apką w miejsce smsów?

    • Dziękuję za odpowiedzi i sprecyzuję pytanie:

      Chodzi mi o aplikację mBanku, na której (po zalogowaniu) może potwierdzać operację zmiast haseł SMSowych. Rozumiem, że to chroni przed kopiowaniem SIMa bo hasła przychodzą na apkę – a nie numer telefonu. Jednocześnie problemem może być to, że znając hasło/login do banku i wyrabiając kopię SIMa złodziej wciąż może zarejestrować apkę na swoim telefonie. Dobrze rozumiem?

      – Czy można (konkretnie w mBanku) jakoś zablokować możliwość rejestracji przez złodzieja apki na swoim telefonie? Jak to zrobić?
      – Jeśli nie – to dobrze rozumiem, że apka przed niczym nie zabezpiecza, bo jak masz: Login, hasło i kopię SIMa to i tak złodziej zrobi wszystko łącznie z aktywacją apki na swoim telefonie?

      Czy zatem dobrze rozumiem, że przed tym atakiem (Login, hasło i kopię SIMa) autoryzacja przez apkę w ogóle nie zabezpiecza i w związku z tym najbezpieczniejsze są papierowe hasła jednorazowe?

      Dziękuję raz jeszcze.

    • Pekao działa trochę inaczej – ma apkę, której konkretna instancja na konkretnym urządzeniu z konkretnym PIN-em odblokowującym (różnym od tego do telefonu) jest przypisana do konta. Pewne operacje można potwierdzić kodem z apki po jego wygenerowaniu, inne wymagają potwierdzenia jeszcze przez challenge-response (ostatnie cyfry numeru konta do przelewu + cztery cyfry wygenerowane przez bank). Apka sama w sobie działą offline, połączenia potrzebuje tylko do powiązania się z kontem (jest to jednorazowe), samego ponownego powiązania nie można dokonać nie dysponując już powiązaną apką bądź nie uwierzytelniając się na infolinii banku (gdzie weryfikacja jest bardzo, bardzo szczegółowa).

  15. W mbanku, jeżeli korzysta się z karty kodów zamiast sms, to w ogóle nie da się błyskawicznego przelewu zrobić. ;) Dotychczas mnie to denerwowało, ale teraz potraktuję to jako security feature.

  16. Ciekawa odpowiedź rzecznika operatora:
    “[…]Nie znając szczegółów tego konkretnego przypadku nie potrafię odpowiedzieć czy błąd popełnił nasz doradca czy np. klient nie udzielił wystarczających informacji do poprawnej weryfikacji.”

    Skoro Wanda wyrobiła nową kartę SIM, to znaczy że jednak udzieliła wystarczających informacji do poprawnej weryfikacji. No chyba że procedura wyrabiania nowej karty SIM w Orange nie wymaga “poprawnej weryfikacji” – to by nawet wynikało z artykułu.

  17. Nie dam sobie ręki za to obciąć, ale gdzieś w roku 2001/2002 kolega elektronik twierdził, że jest w stanie duplikować karty gsm i wtedy działają obie. Gdy dzwonił jeden telefon to dzwonił i drugi. Nie wkręcał mnie – nie opowiadał bajek – zajmował się naprawami często specjalistycznego sprzętu, których to napraw inni nie chcieli się podjąć.

    Nie wiem czy było to możliwe i czy obecnie nie jest to możliwe, ale pobieżny rzut oka do Internetu pokazuje, że tak – jest możliwe. Więc tu jest możliwy jeszcze inny rodzaj ataku – telefon trafiający do nieuczciwego zakładu naprawy telefonów może przejść proces kopiowania karty – o ile oczywiście karta będzie w telefonie i będzie dała się sklonować. Później wystarczy tylko czekać na dogodną okazję.

    • Robilismy tak w poznych latach 90. Zestaw do kopiowania kart sim do nabycia wysylkowo w sklepie Conrad za z tego co pamietam ok. 200pln na tamte czasy. Dzialalo to tak, ze zalogowane do sieci byly dwie karty (oryginal i klon), ale mogla odbierac telefony/sms ta, ktora ostatnia wykonala polaczenie wychodzace. Na pewno dzialalo to w Erze i Idei. Co wiecej Era w tamtym czasie oferowala taka usluge legalnie pod nazwa Tandem czy cos takiego. To nas zainspirowalo do zakupow w Conradzie.

    • Tak, stare karty dawało się klonować (https://www.elektroda.pl/rtvforum/topic19078.html). Dzisiejszych już nie, co najwyżej operator dwóm różnym nadaje ten sam numer ale włączenie jednej automatycznie wylogowuje drugą z sieci.

    • My około 10-12 lat temu mieliśmy taki przypadek że w paczce do firmy jako wypełniacz przyszły karty sim do simplusa. Kolega wziął jedną i doładował. Nie minęło dużo czasu jak ktoś do niego zadzwonił i powiedział żeby przestał używać tego numeru, bo to numer córki która właśnie jest w szpitalu i nie można się do niej dodzwonić. Wydaje mi się, że środki też mu znikały jak ta druga osoba dzwoniła lub wysyłała smsy, a druga osoba podobno miała abonament.

  18. Tak się zastanawiam… Dlaczego wydaje się duplikat karty SIM skoro karta oryginalna jest zalogowana w sieci??? Wystarczy aby pracownik salonu zadzwonił na duplikowany numer i sprawdził czy rzeczywiście karta uległa uszkodzeniu.

    • Złodziej kradnie Ci telefon. Telefon jest wciąż włączony. Chcesz zrobić duplikat. Mają Ci zabronić?

    • Do wyrobienia karty jest wiele “ale”:
      – nie działa
      – działa różnie
      – klient chce mniejszy rozmiar karty
      – klient chce większy rozmiar karty
      – klient “zgubił” kartę i wie, że działa gdzieś ten telefon ale nikt na niego się nie odzywa – wierzymy na słowo jeśli klient z dowodem się zgadza :)

      W procedurach nie ma nic o konieczności dzwonienia na dany nr telefonu, żeby sprawdzić czy karta jest aktywna. Pracuję w jednym z telekomów i szczerze powiedziawszy po wejściu RODO wymieniamy karty tylko i wyłącznie właścicielowi z dowodem osobistym, żadne upoważnienia nie mają mocy prawnej. Przed RODO była to wymiana na dowód + upoważnienie notarialne.

      Jeżeli karta nie działa – klient tak twierdzi – to jeśli ma ją przy sobie sprawdzamy i nie obciążamy klienta za wymianę. Jeśli chce płacić – tak naprawdę “jego broszka”.
      Szczerze nie spotkałam się jeszcze z podrobionym dokumentem tożsamości, ale jest wiele ludzi, którzy tych dokumentów przy sobie nie mają i mają problem żeby w ogóle po taki dokument iść.
      Jako pracownik sprawdzam dowód osobisty seria numer, pesel w systemie czy się zgadza. Często w systemach seria i nr dowodu są albo nieaktualne albo wpisane niezgodnie z procedurami np spotkałam się z dowodem AAA111222. Automatycznie wtedy aktualizujemy ten dowód i koło się zatacza….

    • Wystarczy wymóg wcześniejszego zablokowania karty, po sensownej weryfikacji oczywiście.
      Tzn nie wydajesz duplikatu, dopóki stary jest sprawny i niezablokowany. To by zmniejszyło znacznie czas na dokonanie ataku, bo oryginalny sim musiałby być od razu zablokowany, więc aktywacja i atak z drugim sim’em trzeba było by w salonie dokonać

    • Wydaje się duplikat, bo nie mają procedur, żeby zadzwonić na ten numer i zweryfikować osobę, która prosi o duplikat i wymyśla bajeczkę o utraconej karcie SIM.

    • Czy po tych kradzieżach procedury się zmieniły, czy operatorzy olali problem?

    • W sumie moze pomogloby ustalanie jakiegos hasla potrzebnego do wydania duplikatu przy podpisywaniu umowy….

    • @Krysia ale tu weryfikacja była jak najbardziej sensowna – dowodem osobistym.
      Problemem jest ew. bierność policji. Ktoś używa podrobionego dowodu (wyrobionej sim karty na podrobiony dowód) i go jeszcze nie złapali.

  19. Ku*rwa, ile jeszcze musi uplynac wody w kiblu, zeby banki opoznialy o 7 dni lub do momentu potwierdzonego kontaktu z klientem wszystkie przelewy na krytogieldy?

    • No to zamiast na gielde bedzie wysylal SWIFTA na karaiby…

    • A dlaczego miałby to robić, skoro istnieją ludzie, którzy normalnie w świecie zarabiają na giełdach?

  20. Kiedyś spytałem u swojego operatora, czy mogę mieć drugą kartę z identycznym numerem. Wtedy wydawało mi się to wygodne. Nie było takie coś możliwe. Na szczęście. Mam nadzieję, że dzisiaj też tak jest.

    A teraz czytam, że w T-Mobile można mieć dwa telefony z identycznym numerem.
    http://www.t-mobile.pl/pl/dlaciebie/obsluga-klienta/uslugi/tandem

    Boję się, że takich “uśpionych” duplikatów kart może być więcej. Jedna w telefonie przyszłej ofiary, a druga sobie czeka. Abonament ten sam, klient nic nie wie o drugiej karcie. Aż tu nagle…

    Zasada ograniczonego zaufania podpowiada mi, że nie wszyscy pracownicy (np. T-Mobile) muszą być uczciwi.

    A artykuł podniósł ciśnienie.

    • A toś się kolego przebudził ;o) Oferta o nazwie “Tandem” była jeszcze w Erze, od kiedy to nie wiem, ale na pewno w roku 2000, bo sam wtedy takie sprzedawałem ;-D W sieci masz wątki z 2005-2008, więc to cały czas jest kontynuowane.
      Dziś korzystają z tego głównie firmy pracujące w trybie ciągłym. Telefony trzeba ładować, a jak jest praca zmianowa to łatwiej wziąć drugi aparat z tym samym nr a swój odłożyć do ładowania, niż przekładać kilka razy dziennie kartę SIM.

  21. W Płocku powiadacie? Na jakieś 80% kamera uchwyciła osobę która tu była, truman show jest tu na każdym skrzyżowaniu a jeśli duplikat był wydawany w którejś z galerii Wisla/Mazovia to szansa jeszcze większa. =)

    • Tylko czy policji będzie chciało się szukać, może tylko za pół roku opublikują niewyraźne zdjęcie w internecie, jak często robią.

  22. Pierwsza uwaga do artykułu jest taka, że jeśli do resetu numeru użytkownika i hasła użyto fałszywego dowodu (aktu notarialnego) w oddziale, to nie jest to atak na użytkownika tylko na bank. Więc teoretycznie użytkownik ma do założenia sprawę sądową i musi poczekać. Podobna sprawa z duplikatem SIMa u operatora. Choć chętnie poczytam akta sądowe.

  23. Podniescie trololo bo pyszczy ze lezy…

    Chyba pierwszy raz ktos na Was zwrocil uwage… gratulacje… Znaczy ze poruszyliscie wlasciwy kamyczek…

  24. Ja mam Linuxa więc z trojanam8 problemu nie ma. Telefon na matkę z moim dowodem osobistym ciekawe jak ktoś wyrobi duplikat karty w tej sytuacji albo jak ktoś mnie okradnie

  25. Klonowanie kart SIM operatora? W świecie nerdów od sieci jesteście dobrzy, ale telko kompletnie nie wasza dziedzina #wiemcopisze
    Chyba że jest to karta SIM sprzed 1997 roku i nie jest to Orange.

    • Chodzi o wydanie duplikatu karty przez operatora, a nie o klonowanie karty SIM po tym jak ją ukradniesz. Operator wydaje nową kartę, starą wyłącza.

  26. Konsultant musiał chyba współpracować bo dowody za 300 zł są tak marnej jakości, że od razu by się skapnął.

  27. 14 czerwca padłem ofiarą tego procederu .Odpowiedz na reklamację w Play – wymiana karty wg procedur …. Odpowiedz na reklamację w Mbanku -z przykrością stwierdzają ,że logowanie nastąpiło na moje dane ,hasła na podany w banku nr telefonu więc reklamacji nie uwzględniają …. Gość chodzi po Świdnicy(5 krotnie) a później po Wałbrzychu(3 krotnie) i 3 godziny po przelewie próbuje podjąć pieniądze z bankomatu i nie zostaje ujęty ….
    Wcześnie Mbank ”puszcza ” 8 przelewów w tym 7 sorbnet ”pod rząd” na kwotę 199 000…
    Dobrze….?????

    • A co policja robi? Przecież wizerunek złodzieja, dzięki monitoringowi jest znany?

  28. Jednej spawy nie znalazłem – a mianowicie bank dzwoni do Grzegorza a karta SIM działa u przestępców? Wynika z tego, że p. Grzesio do kontaktów miał inny telefon? Czy potwierdzenie przelewów to potwierdzenie w aplikacji w telefonie?
    Przecież teraz nasi “harcerze” mogą przejąć wszystkie konta przestępców jak i przeciwników politycznych. :)

    • Zlodziej wyrobił duplikat SIM żony, a bank zadzwonił do pana Grzegorza

  29. Czy operatorzy umożliwiają całkowite zablokowanie możliwości wydawania duplikatu karty sim?

    Wolę już na zawsze stracić numer niż pieniądze.

  30. Właśnie, poprosimy o listę bezbiecznych operatorów, którzy nie wydają duplikatów kart i nie umożliwiają przekierowania rozmów.

    • Coś czuję ze takowych nie ma :(

    • Jeśli nie ma, to znaczy że jest to pomysł na nową usługę dla istniejących telekomów.

  31. Takie ataki w usa na ludzi ze srodowiska krypto juz od jakiegos czasu sa popularne. Socjotechnika na telekomy i samemu nie ma sie zbytnio jak zabezpieczyc.

  32. Odwalacie kawal dobrej roboty, moze dzieki Wam operatorzy sie ogarna tak jak banki zaczely, dzieki!!

  33. Czy jakikolwiek bank w Polsce wprowadził już U2F? Przecież to by było idealne rozwiązanie do potwierdzania przelewów/jako drugi składnik logowania.

    • Nie wprowadził i nie zanosi się.

    • > Piotr Konieczny 2018.07.25 11:45 | # |
      > Nie wprowadził i nie zanosi się.

      Sam z dwa lata temu pisałem do mBanku w sprawie wsparcia dla Yubikey, ale zostało to zignorowane. Skoro wiadomo, że i aplikacje mobilne i autoryzacja sms nie gwarantują bezpieczeństwa, dlaczego banki mają taki opór przed wdrażaniem faktycznie bezpiecznych produktów? Lub tylko nie umożliwiają ich stosowania? Implementacja nawet z dodatkowymi testami nie wydaje się szczególnie kłopotliwa. Za to na zmiane kolorków interfejsu, która nikomu się nie podoba i zmniejsza czytelność strony, czas i zasoby jakoś znajdują.

      Ciekawe, co mają zrobić ludzie, którzy stracili kilkaset tysięcy zł. Nie było w tym żadnej ich winy, nic nie mogli więcej też zrobić. Zostaje im chyba tylko pozywać i banki i telekomy. Banki nie stosują bezpiecznych metod autoryzacji mimo, że od dawna jest powszechna świadomość (m.in. dzięki Niebezpiecznikowi) zagrożeń, nie zawsze też reagują na czas. A korzystanie z bezpiecnzych metod, utrudniają (40gr za autoryzację przelewu kartą kodów?) lub uniemożliwiają.

      Największy problem jest z telekomami. Swoimi procedurami nie mają się co zasłaniać, to ich wewnętrzna sprawa. Fakty są takie, że wydały osobom nieuprawnionym duplikaty karty SIM, w wyniku czego umożliwiły kradzież znacznych środków. Niech udowodnią, np na podstawie monitoringu, że to osoba poszkodowana sama odebrała kartę. Jeżeli nie, to ich problem.

      Jak instytucje zapłacą kilkanaście razy nawet po kilkaset tysięcy złotych odszkodowań, gwarantuję że szybko znajdą skuteczne metody by wyeliminować te coraz powszechniejsze nadużycia.

    • Dawno temu, pierwszy bank, który wprowadził w Polsce bankowość internetową (nieistniejący już bank PBG SA, przejęty potem przez Pekao SA), dawał do autoryzacji przelewów tokeny sprzętowe. Potem przez jakiś czas w części banków tokeny sprzętowe były używane przy kontach firmowych (m.in. w PKO BP). A potem niestety już zrobiło sie gorzej… :(

    • @raj – też się dziwię, że tokeny sprzętowe prawie poznikały. Mam token RSA w Toyota Banku (bezpłatny) i w Credit Agricole (7 zł/mies), a dawniej większość banków je miała. Jeszcze niedawno lokaty w BGŻ były z podobnym tokenem – teraz nie wiem.

  34. Jakby bilety24.pl serwowały pełny łańcuch certyfikatów dla CA “DOMENY SSL OV Certification Authority” to może Firefox by się nie pluł o niewłaściwą konfigurację. Albo chociaż sam pośredni, bo AddTrust External Root jest wbudowany. https://certyfikatyssl.pl/faq/instalacje-certyfikatow-ssl/domeny-pl-ssl-root-ca.html

    • Firefox nie korzysta z adresów w AIA w certyfikacie?

  35. kiedyś za czasów nierejestrowanych kart tak kradziono złote numery typu 500 500 500, 888 888 888. Wymyślasz sobie ładny numer, i idziesz do salonu i prosisz o jego duplikat. Nawet na ładne oczy bez dowodu go wydawali 15 lat temu. Numer sprzedajesz na allegro za 10k na licytacji, tylko nowy właściciel musi się trochę poużerać z dzwoniącym poprzednim właścicielem.

  36. Posiadając takie “znajomości”, ofiary mogłyby należeć do tej samej (albo konkurencyjnej) szajki.

  37. Chciałem wyrobienie nowej katry SIM w T-mobile. W salonie dali mi nową kartę SIM ale jej nie akywowali. Przez CZAT na stronie T-mobile w rozmowie z konsultantem, dowiedziałem ze otrzymana karta SIM nie jest jeest przypisana do mojego nr tel. Po weryfikacji czyli imię i nazwisko oraz PESEL i po podaniu nr karty SIM przypisano mi go do mojego numeru i uaktywniono tą nowa kartę SIM.

    Wynika z tego ze wytarczy znać nr tel. PESEL i imię i nazwisko i moża się podpiąć pod dowolny nr tel.
    Nie był to kontakt telefoniczny tylko zwykły czat ze strony Tmobile, a łączączyłem sie przez TOR.

  38. Gdyby Ci sprytni Panowie chcieli sie przejechac do Dublina na wakacje… https://www.irishmirror.ie/news/irish-news/crime/80-main-banks-vulnerable-sim-8321896 Bo tutaj takie wiadomosci sa dosc czesto ;)

  39. “1.trzy pierwsze cyfry PESEL,
    2.sposób autoryzacji przelewów – sms czy token?,
    3.adres do korespondencji.”

    Tragedia. Zakładając, że złodziej ma jako takie rozeznanie o swojej ofierze, to:

    ad. 3 – adres zna lub bez problemu ustali. Do korespondencji prawie zawsze jest taki sam. Jeżeli konto firmowe – tym bardziej.
    ad. 2 sms lub token, 95% pewnie sms, więc można strzelać w ciemno. W najgorszym razie 50/50
    ad. 1 to mnie rozwaliło. Ustalić cały pesel w wielu przypadkach jest możliwe, zwłaszcza jeżeli mamy już jakieś informacje o celu i mamy motywację, żeby ten pesel zdobyć. Natomiast 3 pierwsze cyfry… wiesz kiedy cel ma urodziny (np. z FB;) i znasz datę, masz dostęp do skrzynki mailowej, to wiesz kiedy sklepy wysyłają urodzinowe kody rabatowe. Nie znasz daty? Nie szkodzi, wystarczy, że wiesz ile ma lat i już masz 2 pierwsze cyfry, a trzecia cyfra to 1 (75%) lub 0 (25%)

    Czyli żadne wyzwanie dla kogoś komu zależy. Nawet zdając się na ślepy los w co drugim przypadku wystarczy tylko znać adres i wiek ofiary

    • @Kamil
      “a trzecia cyfra to 1 (75%) lub 0 (25%)”
      Odwrotnie. :)

      Poza tym zgadzam się, że taka weryfikacja w BZWBK to parodia.

    • No tak technicznie, to jeszcze trzecią cyfrą może być 2, 3, 8 lub 9.

    • W ogóle pomysł wykorzystywania numeru PESEL – czyli informacji JAWNEJ (!) – do uwierzytelniania klienta w takich miejscach jak banki, telekomy itd. jest chory. To tak, jakby zrobić logowanie bez hasła, tylko samą nazwą użytkownika.
      Należałoby do tego celu używać jakichś innych danych, takich które faktycznie powinna znać tylko dana osoba, a byłyby trudne do zdobycia przez osoby postronne.

  40. Slucham już drugi dzien o tym w radiu szczecin.

    Wypowiadał się też Marcin Maj z niebzpiecznika.

    Nie dacjecie mi odpoczac od security nawet na urlopie ;)

  41. jak mogła się niewystarczająco zweryfikować skoro dostała duplikat karty? no nie róbcie sobie jaj

  42. “Jak chronić się przed atakiem z duplikatem karty SIM?”

    Phi, dawno zrezygnowałem z opcji odzyskiwania haseł, bo jak są potrzebne to działają tylko w rękach złodzieja xD
    Uwaga, zdradzam najbezpieczniejszą metodę: Ustaw 10-cio etapową weryfikację. Rozwiązanie każdej zagadki zapisz na kartce i schowaj do szafy w domu z tytułem “Kody Atomowe”.

  43. Rozwiazanie jest proste: zrezygnowac z kart SIM. Zastapic loginem i haslem lub przywiazac numer do numeru serujnego telefonu i sprawa rozwiazana

    • I w czym to pomoże? Przyjdzie oszust z podrobionym dowodem do salonu i zresetuje hasło lub zmieni przypisany numer seryjny…

  44. Wydaje się, że w tym przypadku sprawdziłoby się rozwiązanie z obsługą bieżącego rachunku przez autoryzacje telefoniczną oraz przechowywaniem “większych” środków na dodatkowym rachunku (najlepiej na osobnym identyfikatorze, aby nie był widoczny w systemie wraz z bieżącym), z którego przelewy trzeba by potwierdzać kodami jednorazowymi z kartki/zdrapki. Niestety mBank obecnie nie umożliwia takiego rozwiązania.

  45. Złodzieje zostawili wiele śladów, co na to policja?

  46. Jeżeli U2F to klucz sprzętowy, to od wielu lat jest stosowany w bankach spółdzielczych. Klucz, który wygląda jak zwykły pendrive USB i dodatkowo, żeby go aktywować należy wpisać numer PIN (podobnie jak do karty)

  47. Co do keylogerów, BMiM, to można zminimalizować ryzyko wyłączając na stronie logowania java script. Problemem jest tu sam bank, który na swojej stronie przy wyłączonym java script nie pozwoli na logowanie. Swobodnie można logować sie na gmaila po wyłączeni java script w przeglądarce. Hasło podajemy metodą przeciągnij / upuść z managera haseł na keepass.

    • Malware na komputerze może włączyć sobie JS (mówiąc obrazowo ;) — wszystko może.

    • Przy włączonym java script jest widoczna inna strona logowania, niż przy wyłączonym. Da się to wizualnie wyłapać. Przykład: gmail.

  48. Wszystko to jest przytłaczające. Cóż nam po np. Yubikey jak w większości usług można go dezaktywować za pomocą autoryzacji sms (np. na wypadek zgubienia). Rozwiązanie polegające na usuwaniu nr. telefonu np z konta Google może mieć fatalne konsekwencje na wypadek zgubienia Yubikeya. Nie wszystkie serwisy wspierają autoryzację sprzętową. Duplikat karty sim to jeden problem, konsekwencje finansowe wydania duplikatu osobie nieuprawnionej powinien ponosić telekom ale oczywiście to pewnie skomplikowana prawnie sprawa. Do tego dochodzi też możliwość przechwytywania wiadomości przez rząd – co obecnie nie jest jakieś nieprawdopodobne – po to by włamać się na konto społecznościowe. Autoryzacja sms wydaje się kiepskim rozwiązaniem – niestety nie ma skutecznej alternatywy.

    • Oj, chyba nie przeszedłeś przez skojarzenie Yubikey’a z kontem Google… Na starcie Google sugeruje
      A) dodanie 2 kluczy (na wypadek zguby pierwszego)
      B) spisanie kodów awaryjnych (jak nie masz klucza, możesz tym kodem raz ominąć uwierzytelnienie, aby klucz odpiąć i dodać kolejny).

  49. Piotr. Nie korzystałem jeszcze zważywszy na koszt takiego wdrożenia. Pisałem skrótowo – chodzi mi o fakt, że takie rozwiązanie jest totalnie nieatrakcyjne dla większości użytkowników indywidualnych. Kto wyda 400 zł na klucze sprzętowe, do tego nawet posiadając dwa trzeba na nie uważać. Jak ktoś dużo np. podróżuje jeden zostawi w domu drugi ma ze sobą. Zgubi ten przy sobie i już ma problem. Te klucze zadziałają u Googli ale już np. u innego usługodawcy jak ZOHO niekoniecznie. Pozostają jeszcze inne konta jak FB, Twitter etc. Nie wspominając banków, które nie wspierają tego rozwiązania. Wiem, że pekaos sa ma chyba sprzętowy token za opłatą.

  50. Nie tylko Ipad dostaje aktualizacje.

    Mam w cegłofonie LineageOS, i co tydzień jest aktualizacja systemu bazowego.
    Jest też appka LineageOS Changelog, do śledzenia zmian w systemie
    i zgłaszanych na stronie AOSP błędów.

    Kłopot jest tylko ze sterownikami, Np Snapdragon 430 chodzi tylko z kernelem Linux-3.18,
    i jeśli linia Linux-3.18 straci wsparcie, to nie znajdę zgodnych sterowników, żeby mu wgrać np kernel Linux-4.9 albo Linux-4.14.

    Pozdro

  51. Więc tak. Kont BOŚ również skradzione (służy tylko jako przekaźnik kasy na giełde krypto). Jak to w przypadku przelewów na duże kwoty (tym bardziej do giełdy kryptowalut) bank kontaktuje się z właścicielem konta, czy to napewno autoryzowana transakcja. Właściciel konta odpowiedział że nie ma pojecia skąd te pieniądze a już napewno to nie on robił przelew. Pyk BOŚ założył blokade, kasa uratowana. Następnym razem, mniejsze kwoty i wysylać odrazu przez Inpay. Pytanie jaki mają patent na wyrabianie kart.

  52. A telekomy w trakcie procedury wyrabiania karty nie mogły by w zawaluowany sposób informować posiadacza pierwszej. Np ustawiany sobie jakieś zdanie: Pozdrowienia od cioci x. ( Która nie istnieje lub nie żyje). Jeśli ktoś by ukradł telefon a my wyrabiany nową kartę to nic mu to nie mówi. A w przypadku gdy ktoś inny wyrabia kartę a my dostajemy takiego SMS to od razu rzucamy się na infolinię i informujemy że coś jest nie tak i złodziej jest łapany na gorącym uczynku.

  53. Piotr zobacz jeszcze to:
    Clearly I need to work on expressing myself clearly. If you want to keep 2FA, you can remove your phone number, as long as you have another, non-Yubikey- or backup-code-based method of authentication, like the Google Authenticator.

    So you can have Yubikey -> Phone -> Backup codes, or Yubikey -> Google Authenticator -> Backup codes. But you cannot have Yubikey -> Backup codes, not matter how many Yubikeys you add.

    In addition to the Yubikey, you need another method of 2FA, either phone for SMS authentication, or a (Google) Authenticator, and another Yubikey or backup codes do not count in Google’s setup.

  54. Po raz nie wiem już który supertajny kod o nazwie PESEL ułatwia sprawy.

  55. Fajnie, że bank szybko zareagował, ale jakby wprowadzili U2F lub nawet TOTP to sytuacja wcale nie miałaby miejsca.

    W takiej sytuacji raczej ciężko chwalić mbank, bo tak na prawdę mogli tego typu ataków uniknąć, ale z jakichś powodów tego nie zrobili.

    Idą za to ostro w apli mobilne, ale tutaj ciężko mówić o bezpieczeństwie, bo o ile sam blik wydaje się bezpieczny, to już platforma na której najczęściej działa(android) nie ma nawet aktualizacji bezpieczeństwa bez crapware(a jak telefon troszkę starszy to wcale).
    W porównaniu do systemów na kompa, android leży i kwiczy pod względem bezpieczeństwa.

    • “Android nie ma nawet aktualizacji bezpieczeństwa”
      “W porównaniu do systemów na kompa, android leży i kwiczy pod względem bezpieczeństwa.”

      >nie wiem ale się wypowiem

      Jak nie jesteś idiotą to jesteś bezpieczny bo aby coś zepsuć trzeba
      a) Pobrać ze sklepu play apkę o nazwie w stylu “Trash Royale hack 2019 no scam” albo “jedna aplikacja do wszystkich banków” bo w popularnych apkach tego problemu nie ma.
      b) zainstalować coś z poza sklepu play z jakiegoś superhackedapks.ru
      c)trafić na apkę z exploitem ale takich w sklepie play raczej nie ma (za duże ryzyko spalenia 0daya a inne zostaną wykryte)

      W pierwszych 2 przypadkach musisz potwierdzić że dajesz aplikacji dane uprawnienia i ponownie potwierdzić uprawnienia do administracji urządzeniem. W trzecim przypadku będzie wielki popup TA APLIKACJA MOŻE BYĆ NIEBEZPIECZNA (czy jakoś tak) podczas instalacji i trzeba rozwinąć menu i potwierdzić że mimo to chcesz zainstalować

    • @X0r
      1. Jak cytujesz, to nie wybieraj sobie kawałka zdania który bez reszty nie ma sensu.
      2. Dopiero projekt treble robi coś z aktualizacjami, ale to dalej nie jest to co na kompach.
      3. Sam treble też jest dopiero od wersji 8 no i oczywiście jeżeli dla twojego teelfonu nie ma aktualizacji do wersji 8 to nic Ci po tym.
      4. W przeciwieństwie do systemów na kompach, systemy na smartfonach są silnie brandowane bo i telekomy i producenti sprzętu działają za zamkniętym sofcie, czyli mogą do aktualizacji wrzucić co chcą.
      5. Komp może mieć 12 i więcej lat i dalej być na najnowszym sofcie z poprawkami bezpieczeństwa instalowanymi z repozytorium systemu. W smartfonach z androidem max to chyba 3 lub 4 lata, a później już trzeba kombinować. Chyba nie chcesz mi powiedzieć, że topowy smartfon za 4 lata będzie gorszy sprzętowo nić jakiś nowy loend?
      Ale nowy loend będzie miał oficjalnie możliwość instalacji systemu z poprawionymi dziurami.
      6. Same aplikacje spoza sklepu, rootowanie czy instalowanie innych romów to już zupełnie inny temat.

  56. …a czy autoryzacja mobilna, jak ją mBank nazywa, czyli przez ich aplikacje, nie jest dobrym rozwiązaniem w tej kwestii?

    • Nic nie zmienia, ponieważ mając skopiowanego SIMa, znając hasło i podstawowe dane atakujący może zmienić metodę autentykacji (np. na SMS) albo zainstalować i autoryzować apkę na swoim telefonie.

    • @misio jak to nic nie zmienia, nawet jak ktoś posiada kody do bankowości, zaloguje sie itp to aby zmienić sposob autoryzacji z apki na sms (chce to zrobić bo wyrobił sobie duplikat) to aby dokonać takiej zmiany trzeba ją autoryzować jeszcze starym sposobem czyli apką. Czyli chyba się nie da zmienić tak sobie sposobu autoryzacji a o próbie zmiany jeśli jesteśmy w zasięgi wifi dowiemy się z pusha i można alarmować bank

    • @Wuuuuu – No właśnie na typ polega problem, że aby zmienić sposób autoryzacji NIE TRZEBA tego autoryzować jeszcze starym sposobem (czyli apką lub SMS lub kodami papierowymi).

  57. W Getinie radzą, że żeby uchronić się przed tym atakiem, można m.in. włączyć powiadomienia SMS informujące o logowaniu do konta. Geniusze… Strach się bać.

  58. Przelew błyskawiczny to nie Sorbnet.

  59. Mbank namawia do korzystania z autoryzacji przez aplikację, czy to jest rzeczywiście najbezpieczniejsze rozwiązanie, jak oceniacie? Nie da się tego przechwycić?

  60. A co z tokenem sprzętowym wydawanym przez Toyota Bank? Tam przelewy i zrywanie lokat wymaga podania hasła i kodu z tokena. Czy ten bank jest przez to bezpieczniejszy?

    • @Bartek, to wszystko zależy od tego co można zrobić przychodząc do banku z lewym dowodem/lewymi papierami.

  61. Ja korzystam z Google authentizator i usuwanie nr telefonu w Google mogło by być problemem z odzyskaniem konta. Co jeśli zgubimy lub sformatujemy telefon? Google authentizator już nie ma a nawet mając telefon (po formacie) nie odzyskamy konta bo nie mamy ustawionego nr telefonu w Google do odzyskania konta.

  62. Jeśli dobrze pamiętam to sugerowaliście że mobilna autoryzacja przez aplikację bankową może być bezpieczniejsza właśnie przez tego typu ataki (przekierowanie połączeń, kopia karty SIM itd). Z tym że mobilną autoryzację w banku aktywuje się przeważnie autoryzując ją…. numerem telefonu. Czy przypadkiem przez to nie znikają wszystkie zalety mobilnej autoryzacji? Przykład: jeśli ktoś ma dostęp do loginu i hasła (Tak jak w opisywanej historii) i sklonuje kartę SIM to co mi z tego że mam autoryzację przez aplikację bankową skoro złodziej aktywuje sobie na swoim telefonie aplikację bankową (np w mbanku autoryzują ją sms/dzwoniąc więc dodzwonią się na SIM złodzieja) tym samym “odłączając” moją aplikację bankową jako tą do autoryzacji (bo może być tylko jedna).

  63. Jak przypominam sobie ostatnią wymianę karty SIM w salonie Orange to stwierdzam, że niepotrzebnie się tak męczyli z podrabianiem dokumentów.
    Ja przyszedłem, powiedziałem w jakiej sprawie, pani zapytała o numer więc podałem.
    Po chwili jak znalazła zapytała mnie: “Pan X?” (wymieniając moje nazwisko), a ja potwierdziłem.
    Parę minut, 25 zł, a dowodu nawet nie zdążyłem wyciągnąć… Najszybsza wizyta w telekomie ever, bo zazwyczaj w salonach ciężko się o cokolwiek doprosić jak nie mają z tego zysku (nie tylko w Orange).

  64. Skoro niebezpiecznik miał od stycznia informacje, że ta metodą są okradani ludzie, to dlaczego tak późno o tym napisaliście?

  65. Ciekawe czasy nadeszły. Dzięki U2F moja skrzynka pocztowa jest zabezpieczona lepiej niż moje konto w banku z pieniędzmi :(

  66. Google w swojej dokumentacji dot G. Cloud wspomina o nowych kluczach Titan Security Keys. Dziś można też przeczytać w wielu newsach. Jednocześnie zainteresowanych tematyką kompatybilności z innymi serwisami kieruje do ciekawgo zestawienia. O ile usługi internetowe kompatybilne z poszczególnymi rodzajami kluczy można znaleźć na stronaxh Yubico, to zestawienie banków jest ciekawe. Niestety to nie nasze podwórko….
    https://www.dongleauth.info

  67. Można poprosić o informację czy faktycznie spostrzeżenie Pana Huberta dot. aplikacji mbanku może być trafne? Dysponując nr. telefonu i hasłem oszust może aktywować aplikację co za tym idzie uzyskać dostęp do tokenów?

    • @Tom, nie wiemy jak złodzieje uzyskali użytkownika i hasło. Jeśli przez atak na infolinię / oddział banku to tak samo można zrobić z aplikacją.

  68. A wystarczyłoby, żeby operator dzwonił do osoby, która domaga się wymiany karty SIM i w przypadku gdyby osoba, która odebrała nie wyraziła zgody na wyrobienie duplikatu zatrzymywał klienta i kierował go do puszki.

  69. Jak bank się skontaktował z właścicielem, skoro ten nie miał aktywnego telefonu? Można założyć, ze domyślnym numerem kontaktowym jest właśnie ten zduplikowany. Czyli z Kom się bank skontaktował?

    Jakim cudem konsultant zapytał akurat o problemy z telefonem, a do tego, żeby sprawdzić wiarygodność… zadzwonił na telefon?

    • @Luc

      Okradziono małżeństwo, złodziej wyrobił duplikat karty sim żony, bank zadzwonił na telefon jej męża.

  70. Wszystko fajnie, brawa za reakcję, ale nie odnosicie wrażenia że mBank bardzo często (częściej niż inne banki) przewija się w kontekście ataków?

  71. Nie wiem, czy tak łatwo pobrać nowy SIM. Mam umowę rodzinną w PLAY i umowa nie jest na mnie. Chciałem wymienić micro na nanoSIM i nie dało rady. Potrzebne było notarialne upoważnienie od osoby, która podpisała umowę. Tutaj albo jacyś znajomi pracowali w sieci, albo pracownik miał w poważaniu swoją pracę, albo podrobiono upoważnienie, albo złodzieje zatrudnili się na jakiś czas u operatora (może dalej pracują dla niepoznaki?). Ogólnie czynnik ludzki jest tutaj winny, więc powinien beknąć operator.

    • “Tutaj albo jacyś znajomi pracowali w sieci, albo pracownik miał w poważaniu swoją pracę, albo podrobiono upoważnienie, albo złodzieje ”

      Przeczytałeś artykuł? Doczytałeś do fragmentu:
      “tu oszust wyłudził duplikat w salonie “fizycznym” nie na podstawie podrobionego dowodu, a na podstawie upoważnienia notarialnego (oczywiście podrobionego). Żeby było śmieszniej, wskazany na upoważnieniu notariusz nawet nie istniał” ?

      Oj, przecież ten artykuł czyta się jak niezłą powieść.

  72. Zlodziej miał fałszywy dowód na dane tego okradzionego.

  73. Czy znacie jakiś bank gdzie można korzystać z z U2F? Zrobiłem pobieżny research i kiepsko to wygląda…

  74. Nawiązując do tematu. Choć nie jestem pewien, czy to ma związek ale przed chwilą miałem dziwny telefon z ankietą. Jakiś Pan twierdził, że to na potrzeby jakiegoś badania. Nie mniej jednak pytania były związane z usługami bankowymi. Chciał wiedzieć z usług jakiego banku korzystam i wiele innych informacji związanych z metodami płatności itp. Kolejne pytania padły w kontekście operatora telefonii komórkowej. Jaki operator, rodzaj karty sim itp.
    Co ciekawe nr nie był zastrzeżony… 22 496 86 00. Jak wiedzę na liście połączeń wcześniej kontakt z tego numeru miałem w okolicach 13 marca. Ktoś jeszcze miał z nim styczność?

  75. Dlatego w dzisiejszych czasach najlepszą metodą zabezpieczeń jest dodanie metody analogowej, np. karty zdrapki.

    Operator też nie jest bez winy, w podejrzanych sprawach zawsze mogliby po prostu zadzwonić numer na którym zmieniana jest karta sim lub poprosić o starą kartę do sprawdzenia.

    Wszyscy jak zawsze zasłaniają się swoją korporacyjną gadką o procedurach, a niestety brakuje zdrowego rozsądku.

  76. Zainteresował mnie ten wpis bo sam bardzo często robię przelewy własnych środków na kwoty rzędu kilkuset tysięcy. Kiedyś wydawało mi się to nie do pomyślenia abym odważył się przelewać takie środki przez internet, ale pomyślawszy i poczytawszy zacząłem to robić bo przelewanie tego w okienku wcale nie jest aż takie bezpieczne jak się wydaje biorąc pod uwage ilość afer z lewymi kredytami wyłudzonym z danych pobieranych przez nieuczciwych pracowników obsługi klienta zlecających operacje przy okienkach.
    Ja robię to tylko i wyłącznie przy pomocy linuxa live. Nie ma mowy abym wszedł do swoich kont z komputera na którym normalnie bawię się w necie. Poczty nieznanej proweniencji nie otwieram bo mnie nie interesują propozycje pan, wygrania miliona dolarów i kolacji w towarzystwie celebrytów.
    Do korespondencji z bankami mam osobne maile używane tylko do tego. Żadne fora, żadne sklepy. Tylko banki i właśnie operatorzy telefoniczni. Widzę że bedę to musiał jeszcze rozdzielic. Mam jedno konto do platnosci, ofertinternetowych i d\podawania danych do wpłaty. O kontach z oszczędnosciami wiem tylko ja, banki i ich pracownicy oraz właściwe urzędy. Przynajmniej tak mi sie wydaje.
    Nie używam w ogóle aplikacji bankowych a i tak większe przelewy robię na starej nokii bez dostępu do internetu wiec tu mam przynajmniej pewnosć ze mi nikt tak łatwo numeru kont i treści esemesa nie zmodyfikuje. No i traz doszedł problem duplikatu karty. U mojego operatora jest tak że aby wyrobić duplikat to trzeba wejść na panel użytkownika, zablokowac dotychczasową kartę i zgłosić zamówienie po nową. Już nie pamietam czy jest to jakoś weryfikowane, ale chyba nie. Skoro pojawił się problem z duplikatami to operatorzy powinni natychmiast dzialać i wprowadzić nowe mechanizmy weryfikacji składanego zamówienia o duplikat. Nei wiem czy tak bedzie, ale to musi być zrobione.
    Kiedyś banki działały w taki sposób że dziś wydaje sie to groteską a i tak niektóre procedury wydają się być komiczne. Kiedyś w największym polskim banku do zmiany adresu mail wystarczył liscik do centrali z odręcznym podpisem. Nie jestem pewien ale nr tel też się kiedyś tak zmieniało. W jednym z banków procedura zamykania konta wyglada tak że podaje sie pesel, numer dowodu, i parę innych bzdur z dowodu . jedynym elementem weryfikacji nedostępnym ze skanu dowodu jest nazwisko panieńskie matki. Wchodzę na Geni a tam ktos zrobił moje drzewo genealogiczne i nazwisko matki stoi wszystkim przed oczami. Wyslałem takiepismo do banku. Konto zamkneli nastepnego dnia po otrzymaniu listu i nawet nie zawdzonili z pytaniem czy ja to ja i czy zlecałem taką operację. Dramat normalnie.
    A czemu ukrywam fakt posiadania kont? Były przypadki gdy dowcipnisie atakowali samymi przelewami konta robiąc duże debety. Koszt przyjecia walutowego przelewu z zagranicy jest dosć pokaźny – nawet przy wartości jednego centa.

    • Bardzo dobre rozwiązanie z tym Linuxem Live. Można dodać, że warto systematycznie zmieniać hasła do bankowości i do email.

  77. Wniosek jeden. Mam niezbyt sprytne towarzystwo w naszym kraju bo tych ataków mogłoby być tyle że głowa mała.
    Nic, tylko namierzyć ofiary i dawaaaaj….

  78. A ja zapodam inne pytanie skoro ktoś podszywający się pod nas idzie do operatora po duplikat karty sim, to sam operator powinien zweryfikować przecież czy numer jest aktywny bo na jakiej podstawie wymieniają kartę sim? w końcu zlecenie o duplikat wyrabia się u operatora macierzystego więc oni mają wgląd czy numer jest aktywny, dodatkowo co stoi na przeszkodzie poinformowanie e-mail lub smsowe o przyjęciu zlecenia wydania duplikatu karty sim? Jak dla mnie w tym momencie głównymi winowajcami są operatorzy którzy ostatecznie mają znikome jak wychodzi elementy weryfikacji…

    • P.S

      poinformowanie sms wpisałem specjalnie ponieważ da to świadomość, że jeżeli ktoś za nas wyrabia kartę to zostaniemy o tym fakcie poinformowani.

    • @Jakub

      Złodziej zablokował kartę SIM, na chwilę przed wizytą w salonie po duplikat, miał wszystkie dane, żeby to zrobić.

      Jak ktoś ma większe środki na koncie, to powinien mieć do obsługi konta osobne urządzenie lub zainstalowany na dysku inny system operacyjny, tylko do bankowości i sms na inny numer niz główny.

    • No ta, przecież da się sprawdzić że karta jest aktywna, a tu pacjent przychodzi że chce duplikat.
      Tak samo coś powinno zastanowić gdy ktoś chce duplikat a macierzysty BTS i najczęściej odwiedzany rejon w ostatnim czasie to zupełnie inny rejon kraju.
      Powiadomienia też nie powinny stanowić problemu, przecież tyle darmowych komunikatów na dobę wysyłają. Jak karta aktywna – najpierw SMS z kodem do potwierdzenia, nie ma potwierdzenia, nie ma wymiany.
      Najgorzej jednak gdy ktoś telefon zgubi lub mu ukradną. Może blokować połączenia wychodzące po zgłoszeniu faktu operatorowi, a wymienić SIM tylko po dostarczeniu świstka z Milicji że się zgłosiło ową kradzież/zagubienie?

  79. W przypadku mbank’u ja bym uszczelnił kanał potwierdzania operacji za pomocą aplikacji mobilnej: aktualnie jest słabo bo można łatwo włączyć autoryzację operacji na nowym urządzeniu (na aktualnym jest automatycznie wyłączana).
    Jakby bank zrobił tak:
    1. Jeśli posiadam stare urządzenie i zmieniam na nowe to przy próbie włączenia autoryzacji mobilnych na nowym muszę potwierdzić deaktywację na starym
    2. jeśli nie posiadam starego urządzenia: po instalacji apki na nowym i włączeniu mobilnej autoryzacji a) czekam 24h albo b) idę do oddziału i potwierdzam zmianę
    Wtedy chętnie bym zrezygnował z autoryzacji SMS na rzecz mobilnej apki. 24h w opcji 2 (lub inny czas) jest po to, żeby uniemożliwić osobie która wyrobiła duplikat SIM aktywację mobilnych autoryzacji na nowej instalacji apki, powinno wystarczyć żeby się zorientować że coś nie tak z naszym numerem telefonu i zareagować.

  80. Podobno mamy jedne z najnowocześniejszych systemów bankowych na świecie, ale banki nie wprowadzą możliwości dwuskładnikowego logowania się do konta oraz dwuskładnikowego potwierdzenia przelewu poprzez Yubikey. Może ktoś wie czemu? Bo chyba nie technologia stoi na przeszkodzie?
    W ostatnim czasie wiele banków informuje swoich klientów poprzez np. media mainstreamowe o atakach na nie i uczula klientów np. na ataki phisingowen. Tak robi np. Alior Bank organizując akcję “Phishing Stop – kurs samoobrony przed phishingiem”, ale jakoś nie wprowadzają uwierzytelnienia kluczami choć wydaje się to po wielokroć skuteczniejsze.
    Poza tym Komisja Nadzoru Finansowego też mogła by wymusić wprowadzenie przez banki tych kluczy jako podwójnego uwierzytelnienia, ale oczywiście KNF jak zwykle śpi i obudzi się z opóźnieniem jak będzie jakaś zmasowana akcja okradania tych vipowskich klientów ;)
    Może trzeba zorganizować jakąś akcję pisania do swoich banków zapytań o wprowadzenie tych kluczy…, dodatkowo mogli by je kredytować dla tych mniej zamożnych ;)
    Hasło już mam: “Bezpieczeństwa więcej mniej i weź kredyt na YubiKey!”

    • Znacznie prościej można mieć do obsługi konta dedykowane urządzenie, pendrive, tablet lub zainstalowanego linuxa obok windowsa. Jest takie powiedzenie, że lepiej liczyć na siebie, a w tym przypadku można to zrobić bardzo łatwo i tanio. Jak ktoś liczy na KNF i inne instytucje to może się bardzo zdziwić, wiedzą to najlepiej poszkodowani w amber gold, czy ostatnio get back.

  81. A ja zapytam o co innego. W jakim banku polecacie trzymać oszczędności? Takim, którego można obsługiwać jedynie za pomocą karty, bez dostępu do internetu?
    A może lepiej wypłacić wszystko i zaopatrzyć się w sejf?

  82. Zazwyczaj banki dla kont firmowych mają w ofercie możliwość autoryzacji płatności przez dwie osoby. Mozna też tak skonfigurować że autoryzacja dwuosobowa wymagana jest od jakiegoś tam limitu. Inne limity dla płatności krajowych, inne dla US/ZUS, inne dla Sorbent I jeszcze inne dla zagranicznych.
    Nie jest to 100% zabezpieczenie ale znacznie ograniczy ryzyko kradzieży.

  83. przecież można zmodyfikować procedurę i wymagać DWÓCH dokumentów tożsamości…95% wyłudzeń mniej

    • dokument tożsamości to dowód osobisty albo paszport.
      jest jeszcze “książeczka żeglarska” (ale ilu mamy marynarzy ?) i “karta tożsamości” wydawana żołnierzom na służbie (ale znów ilu takich mamy ?).

      Natomiast ani książeczka wojskowa, ani prawo jazdy, ani wymaz z pochwy nie są dokumentem tożsamości ;)

    • Skąd te 95%?

      Jeśli ktoś jest w stanie uzyskac jeden podrobiony dokument to prawdopodobnie jest też w stanie uzyskać inny. Jeśli wymóg dwóch dokumentów stanie się popularny to jestem pewien że czarny rynek odpowie na zapotrzebowanie :)

      Poza tym nie każdy posiada dwa dokumenty tożsamości, dodód mieć trzeba ale paszport już nie. A prawo jazdy nie jest takim dokumentem i też nie każdy je posiada.

  84. Albo miec numer w google ( dziala w USA)

    • I podsłuchuje treść wszystkich połączeń, by potem targetować “adekwatne” reklamy, a pierun wie, czy czasem NSA tego też nie słucha.

  85. POLECAM ZALANIE OPERATORÓW KOMÓRKOWYCH TAKIM LUB PODOBNYM PISMEM, MIEJMY NADZIEJĘ, ŻE SZYBKO NAPRAWIĄ BŁĘDY W PROCURACH WYRABIANIA DUPLIKATÓW SIM

    W związku z ostatnimi doniesieniami o atakach na konta bankowe poprzez podszywających się pod ofiarę, oszustów w salonach operatorów GSM i wyrabiając duplikat karty SIM na fałszywy dowód osobisty lub poprzez zatrudnione osoby w salonach sprzedaży, które są OSZUSTAMI zwracam się z zapytaniem czy ORANGE jest świadom problemu i podjęło kroki w celu poprawy procedur bezpieczeństwa w celu zapobiegania tego typu wyłudzeń z winy Operatora?

    Mam również pytanie czy w Orange można czasowo zablokować możliwość wyrabiania duplikatu lub dodać możliwość wybraniania duplikatu SIM tylko po weryfikacji ze stawiennictwem osobistym w salonie za pomocą DWÓCH i WIĘCEJ DOKUMETÓW stwierdzających tożsamość albo wprowadzić okres np. 7 dni po których można dopiero aktywować duplikat SIM, ale po wcześniejszym poinformowaniu np. mailowym/listownym/telefonicznym o wszczęciu procedury wyrobienia duplikatu SIM.

    Jestem świadom, że oszuści, żeby zalogować się na konto potrzebują również danych do logowania się w banku, dlatego w tym celu by zminimalizować ryzyko często zmieniam hasła. Jednak jestem ZANIEPOKOJONY tym w jak łatwy sposób można podszyć się pod kogoś i uzyskać duplikat karty SIM, która jest ważnym elementem WERYFIKACJI DWU STOPIONIOWEJ w dzisiejszych systemach informatycznych.

    Proszę o ustosunkowanie się do mojego pisma i szybką odpowiedź.

  86. I już widzę, że np. w CitiBanku w ogóle nie ma opcji powiadamiania o logowaniu się na konto. Dobra, to przydałby się artykuł przekrojowy analizujący, które banki dają klientowi choć cień możliwości wykrycia próby kradzieży pieniędzy jeszcze zanim przelew zostanie przez złodzieja zlecony. Idealnie by było, żeby bank miał możliwość wysyłania powiadomień o logowaniu na konto w trzech niezależnych kanałach: SMS (z możliwością wybrania numeru na który ma przychodzić), e-mail i push w aplikacji. Oprócz tego, bank idealny powinien dawać możliwość autoryzowania transakcji za pośrednictwem jakichś niepołączonych z Interetem tokenów. Może jakiś ranking?

  87. W T-Mobile usługi bankowe dostarczane przez Alior Bank jest możliwość włączenia dwustopniowego logowanie (potwierdzenie logowania poprzez aplikację mobilną). Testował ktoś to?

  88. Jeszcze jeden argument za likwidacją numerów PESEL.
    Istnienie tego identyfikatora to tak jakby nazwę użytkownika do każdego banku miało się nadaną przy urodzeniu i nie dało się jej zmienić.

    • W Stanach też mają SSN. Tylko że jest to numer względnie tajny (pokazanie go gdzieś w publicznym miejscu stanowi podstawę do unieważnienia i nadania nowego), a tutaj niestety nie tak bardzo.

    • Nie trzeba likwidować numerów PESEL. Trzeba przestać traktować je jak jakiś sekret.

    • Nie ma sensu porównywać SSN i PESEL-u, bo SSN jest tajny i można go zmienić, a PESEL w Polsce jest jawny w wielu polskich rejestrach. I nie można go zmienić. Dlatego trzeba go zlikwidować jako relikt komuny, stworzony w PRL-u na wzór m. in. Szwecji, wprowadzającej w owych czasach u siebie socjalizm.

  89. Chwile po artykule pisalem do play z pytaniem o duplikaty sim, wczoraj po dluzszej rozmowie z konsultantka okazalo sie, ze sporo juz podobnych zgloszen maja i problem podobno ‘zostal wyeskalowany dosc wysoko’

  90. No klasyczny przykład do czego może doprowadzić dodawanie nr. do np. Gmaila.
    https://tech.vijayp.ca/adding-a-phone-number-to-your-google-account-can-make-it-less-secure-f1cc7280ff6a

  91. Podczas zawierania umowy na telefon nadawane jest zwykle hasło abonenckie. Nie wiem czy to beztroska pracowników salonów ale zwykle to jakiś prosty ciąg cyfr typu 12345. Jak ktoś sobie tego potem nie zmieni to może naprawdę mieć spory problem.

    po drugie – uważam, że Każdy klient telefonii komórkowej i banku powinien mieć dodatkowe tajne hasło które musi podać podczas wyrabiania duplikatu karty albo zrobienia przelewu na jakaś większą kwotę. Pytanie o nazwisko panieńskie matki to żadne zabezpieczenie bo w dobie facebooka – nawet początkujący złodziej jest w stanie to ustalić.

    Po trzecie – Ja prowadzę działalność i moje dane (w tym służbowy numer telefonu) jest jawny bo rozreklamowany w Internecie. Do SMSów z banku mam podpięty jednak używany jako prywatny, nigdzie nie podawany, numer telefonu. Nie jest umieszczony w smartfonie z Internetem tylko w zwykłym klasycznym telefonie. Uznawałem to do tej pory za niezłe zabezpieczenie. Tymczasem ostatnio jak byłem na urlopie i służbowa komórka była wyłączona, zadzwonił do mnie Urząd Skarbowy na ten właśnie numer prywatny którego nigdy im nie podawałem. Skąd mają takie dane? Czy operator je przekazuje? Jeśli tak to czy ma do tego prawo?

    • Jeżeli miałeś numer podpięty do banku, to administracja skarbowa może go uzyskać w ramach procedury o dostęp do informacji objętych tajemnicą bankową ;)

  92. Po pierwsze – podczas zawierania nowych umów bardzo często w salonie nawet bez pytania ustalają proste hasło abonenckie typu 123456. Jak ktoś sobie tego nie potem sam zmieni to już ma problem.

    Po drugie – dobrze byłoby gdyby operatorzy i banki wprowadzili coś na kształt dodatkowego tajnego hasła które musi klient podać podczas wyrabiania duplikatu karty czy przelewu na większą kwotę. Pytanie o nazwisko panieńskie matki to pierdoła którą w dobie facebooka może odgadnąć każdy początkujący złodziej. Tym bardziej trzy pierwsze cyfry PESEL, o które często pyta operator….

    Po trzecie – ja prowadzę działalność gospodarczą więc moje dane (w tym służbowy numer telefonu) są jawne w internecie. Spora część udziałowców spółek w KRSie ma do tego ujawniony PESEL. Nigdy nie przyszłoby mi do głowy używać takiego, upublicznionego numeru telefonu do potwierdzania przelewów. Do tego celu mam inny, nigdzie nie opublikowany ani nie udostępniany numer telefonu. Jednak ostatnio jak byłem na urlopie i służbowy (publiczny) telefon był wyłączony to na ten drugi dodzwonił się do mnie Urząd Skarbowy z informacją op błędzie w zeznaniu. Skąd mają takie dane jak nigdy im nie podawałem ? Czy operator szasta danymi tak po prostu bezkarnie? Czy taki urzędnik ma prawo uzyskać od operatora dane klienta jeśli telefon jest zarejestrowany na firmę ? Co na to RODO?

    • Jest coś takiego jak “Ogólnokrajowe Biuro Numerów”, jesli nie wyraziłeś sprzeciwu, to twój numer tam jest, i podając imię, nazwisko i adres, można ten numer zdobyć.

  93. Już jednego pana złodzieja złapali, kradzież miała miejsce 26 lipca, czyli po publikacji artykułu na niebezpieczniku.
    http://www.echodnia.eu/swietokrzyskie/wiadomosci/kielce/a/kielczance-zniknelo-z-rachunku-400-tysiecy-zlotych-sledczy-ustalaja-kto-wlamal-sie-na-konto-kobiety-jedna-osoba-zostala-juz,13376441/

  94. SŁABYM OGNIWEM są firmy telekom. Kto daje duplikat karty SIM – bez sprawdzenia dowodu albo ze złymi danymi? Kolejną zasadą – niestety – ale powinna być aktywacja po 24 godzinach. Kolejna zasada sprawdzenie podpisu czy jest podobny do tego co na umowie. Nie chronią naszych danych. Wielokrotnie informowałam PLAY, że kody aktywacyjne od Play przychodzą mi od BZWBK, Play oświadczył mi, że to wina banku, bank zdziwiony, że ja od nich dostawałam jakiekolwiek smsy z kodem i że to nieprawda. Dopiero po kłótni z Play zadzwonił do mnie “informatyk” z przeprosinami i rabatem na kolejne faktury. A ja po prostu na portalu play chciałam zablokować dostęp do usług premium.

  95. Jeśli na Dzikim Zachodzie, gość wchodził do banku z Coltem i wychodził z gotówką – to okradzionym był BANK.
    Jakim cholernym cudem, obecnie uważamy, że okradziony jest klient banku?

  96. Paweł bo to nie dziki zachód? Bo jak zostawiasz otwarte drzwi do domu i jedziesz na wczasy – to nie bądź zdziwiony, że jak wrócisz to w domu nic nie zostanie. Bo nikt nie zadba lepiej o twoje interesy niż ty sam? Bo podpisałeś umowę, w której jesteś odpowiedzialny za swoje podwórko?

  97. a czy to nie jest tak że mbank współpracuje z orange, więc ktoś z orange ma wgląd w dane bankowe klientów? bo przecież ofiara jest wybrana precyzyjnie (złodziej wie ile ma pieniędzy na koncie i dlatego to ją atakuje). nie wiem jak w przypadku tmoblie i bzwbk.

    • Złodziej wie kto ma kasę, bo ludzie logują się na zawirusowanych urządzeniach lub podają dane do logowania na podstawionych stronach.

  98. A co sądzicie aby tym drugim kompem do dokonywania transakcji z Bankiem był jakiś Applowski Macbook? Oczywiście z systemem OS.
    Czy lepiej zwykły laptop ale z linuxem?

    • Według mnie obojętne co to będzie za urządzenie, byle służyło tylko i wyłącznie do bankowości, plus inny numer do SMS w starej komórce, bez infa o tym nr w biurze numerów.

  99. “Podsumowując, tylko szybka reakcja mBanku uchroniła Grzegorza przed stratą gotówki.”

    Przed utratą pieniędzy, niekoniecznie gotówki.

  100. Problem zazwyczaj lezy pomiedzy klawiatura a krzeslem dlatego zlozonosc autentyfikacji nie moze byc zbyt duza. Kiedys dziwily mnie krotkie, 4 cyfrowe PINy, ale okazalo sie, ze przy 5 cyfrach dramatycznie rosly problemy. Jest tak, ze trudnosci logowania i ustepstwa na rzecz wygody klienta to sa dwie przeciwstawne sprawy. Do tego w XXI wieku hasel do zapamietania jest co niemiara, ludzie sie w tym gubia, zapisuja sobie PINy na kartkach, na monitorach trzymaja hasla… naprawde kolejny klocek do zapamietanai i utrudniajacy autentyfikacje tylko zraza ludzi i banki nie chca sobie pozwolic na odplyw klientow. Ja wiem, ze ty cza ja sobie poradzimy, ale zecydowana wiekszosc spoleczenstwa to kaleki w tych sprawach.

  101. to samo ostatnio w swietokrzyskim…

  102. I w Poznaniu takze

  103. Witajcie, nęka mnie i prześladuje w sieci pewien stalker wraz z grupą swoich ludzi. Jedynie co mi do tej pory udało się ustalić, to to że jeden z nich ma nick lordspamer a drugi ma nick Beaa czy tam na imię Beata. te osoby czują się całkowicie bezkarne, prawdopodobnie robią to wszystko przez tora. W moje sieci są różne komputery i na jednym z nich dziecko ogląda bajki przez laptopa, boję się że może to być jakaś zorganizowana grupa pedofili. Czy ktoś może mi doradzić, co mam z tym zrobić? Jak napisałem tym osobom, żeby tak nie robili, to mi zrobili od razu jakiś atak ddos i nie miałem przez jakiś czas internetu. Jakimś sposobem, nawet po zmianie naszego ip sieci mają ciągle namiar na nasze zmienne ip. Być może założyli trojany w systemie lub jakiegoś backdoora w routerze? Czy jedyny sposób aby się ta grupa osób od nas odczepiła to zgłosić sprawę na policję?
    Z góry dziękuję za odpowiedzi i radę.
    Pozdrawiam serdecznie!

    • Hmm może zgłoś się do tego słynnego detektywa Krzysztofa? Co prawda on trochę zajęty teraz jest bo przyjął świetne zlecenie znalezienia węża ale jak złapie gada to kto wie może pomoże ;)

  104. Coraz szersze kregi zaczyan zataczac ten scam

  105. a wystarczyloby dzwonic do ludzi przy wymianie karty sim

    • to.. nie jest głupi pomysł, podczas zmiany operatora, z plusa na t-mobile otrzymywałam smsy co dokładnie się dzieje z numerem i kiedy przestanie być altywne. Nawet sms potwierdzający duplikat już by zapalał czerwoną lampkę.

    • Ale złodziej pewnie zablokował kartę SIM na krótko przed wizytą w salonie. Miał wszystkie dane, żeby to zrobić przez internet lub na infolinii.

  106. Proste rozwiązanie do wdrożenia, u operatora wymiana karty sim i konsultant : proszę się uśmiechnąć będzie zdjęcie + proszę przyłożyć palec do czytnika papilarnych. I na takiej podstawie wyrabiać duplikaty. Dane automatycznie kasowane po np. 60 dniach. Nie takie straszne jak się wydaje fotki każdy zamieszcza fb, linkedin. A odciski to przecież też zbierano przy wyrabianiu paszportów.. Żaden oszust nie da sobie pobrać odcisków czy zrobić zdjęcia :)

    • Tomasz błędnie zakładasz że oszust nie da pobrać odcisków. Taki oszust może to robić z zamiarem jednorazowej akcji po której w szybkim czasie na zawsze opuści kraj w miejsce skąd będzie go trudno ściągnąć z powrotem na proces. Nie będzie go interesowało to, że jego odciski znajdą się w jakiejś kartotece. Zrobi szybką akcję i zwieje, a potem w najgorszym przypadku będzie mógł liczyć, że lokalny sąd uzna, że w Polsce nie może zostać przeprowadzony sprawiedliwy proces i nie dopuści do ekstradycji (to nawiązując do niedawnych orzeczeń trybuału sprawiedliwości UE).
      Bardziej liczę na to, że w ramach konkurowania operatorów telekomunikacyjnych między sobą jeden z nich dostrzeże problem i powie chodźcie do nas bo by zapewniamy, że złodzieje nie ukradną wam kopii karty sim.

  107. Tak Tomasz dobry pomysł, wynajmę agencję detektywistyczną od zagrożeń w sieci i zacznę im podawać co wiem. Aby wpierw sprawdziły pewne osoby z forum mozillapl.org, ponieważ tam ich grupka przesiaduje!

  108. Doszedłem też do tego, że żyją z handlu oprogramowania na warezach i spamują większość polskich for internetowych. prawdopodobnie są moderatorami na różnych forach lub to ich koledzy sprzedają im nasze IP, aby mogli infekować nasze komputery i w ten sposób namierzać ludzi. Do czego wykorzystują nasze komputery? Może do bootnetów, koparek kryptowalut itp. W dodatku są tak bezczelni i pewni siebie, że jeszcze obrażają cie w różnych miejscach sieci na które wchodzisz i wyszydzają, bo ty nic nie wiedziałeś że siedzą w twojej sieci. Ale ja od razu to zauważyłem i specjalnie pisałem głupoty, aby ich wkręcić i więcej coś o sobie napisali, mam pełno zrzutów ekranu, linki do stron, forum, na których siedzą. To dużo pomoże służbom, grunt im się już zaczął palić pod nogami. Dużo nie chcę pisać, ale mniej więcej znam ich imiona, miasta skąd pochodzą. To pomoże dopaść te grupę cwanych łobuzów.

  109. Witam.

    Napisałem do T-mobile mail w którym zawarłem konkretne pytania odnośnie bezpieczeństwa… jeśli nie odpiszą… będzie zgłoszenie do GIODO.. czy jak kolwiek to się teraz nazywa że nie stosują procedur (bądź nie mają) w zakresie wydawania duplikatów kart SIM. Jeśli to nie pomoże to rozwiązuję umowę… mam wrażenie że jakby więcej osób się skarżyło… operatorzy podjęliby skuteczniejsze działania weryfikacyjne… dotyczące tego procesu… bo ja na przykład jako klient posiadający świadomość dotyczącą tego typu zagrożeń nie czuję się bezpiecznie.. a takie zagrożenie dotyczy przecież nas wszystkich! Do tego jest na dużą skalę!!! Nie zamierzam się na to godzić!

  110. Ta porada:
    “ZMIENIĆ NUMER TELEFONU w kluczowych usługach. Np. bankowi i PayPalowi podać taki, którego nikt nie zna….”
    Niestety ta porada jest DO KITU. MBANK – jest tak nieudolny w zakresie bezpieczeństwa, że po przechwyceniu hasła i loginu do konta przez złodzieja, po zalogowaniu się na konto przez WWW, nr. telefonu na który idą hasła SMS widzi przy niektórych opcjach przelewu. Nawet nie trzeba wchodzić w ustawienia swojego konta. Nie ważne, na jaki nr. telefonu zmienisz – złodziej i tak zobaczy aktualny.
    A przechwycenie hasła i id klienta, nie jest trudne, (brak tokena sprzętowego, phishing, lub fałszywa strona szybkich płatności).

    • Potwierdzam, po wybraniu doładowania telefonu z konta mbanku ten nowy numer do wysyłania SMS z kodem, pojawia się automatycznie.

  111. Ktoś wie, czy jakiś bank ma autoryzację przez Google Authenticator dla klientów indywidualnych?

  112. Kolejny incydent Reddit i fragment ich wyjaśnień:
    What happened?

    On June 19, we learned that between June 14 and June 18, an attacker compromised a few of our employees’ accounts with our cloud and source code hosting providers. Already having our primary access points for code and infrastructure behind strong authentication requiring two factor authentication (2FA), we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.

  113. “Od co najmniej pół roku na terenie Polski grasuje sobie szajka sprytnych złodziejów. ”

    Nie “złodziejów” a złodziei Panie “redaktorze”

    • Pan se kliknie, bo specjalnie dla takich jak Pan jest podlinkowane.

  114. Pamietam jak MBank wprowadzał ” bezpiecze” hasła internetowe, jak blokował niektóre usługi za pomocą haseł jednorazowych, jak przy każdym kontakcie z mLinia namawiał na przejście na SMS- owe hasła. Gdyby to trafiło na mnie, uznałbym współudział banku za wyczyszczenie konta.
    Reasumując przypomina mi się książka Mytnicka – czynnik ludzki jest najsłabszym ogniwem

  115. “hacker”, “zhackować”

    Co jest nie tak z polskimi odpowiednikami – haker i zhakować?

  116. Musieli skorzystac z Blue Cash, bo Express Elixir nie obsluguje BOŚ Banku. Max. kwota przelewu to 20.000zl, wiec stracili max. 40.000zl. Zadziwiajace, ze przy takich kwotach przelewow z konta firmowego, zostaly one oznaczone jako podejrzane o_O
    Niezle wyczucie, albo artykul laurka dla mBanku…

    • Skorzystali z Sorbnet.

    • W mBanku biznesowym mozesz robic przelewy sorbnet na tak male kwoty?

    • No tak w sumie nie jest napisane jaka to byla kwota, a w artykule tez jest napisane o sorbnecie. Naprawde niezle dobrali poszkodowanego…

  117. szacun dla mBanku, piękna reakcja i szybka interwerncja międzybankowa, rzadkość nie tylko w PL, ale globalnie.

  118. Trochę to wina banku – brak stopniowania zabezpieczeń.
    Mamy haslo i login – poziom I
    Mamy sms – poziom II
    Mamy hasła jednorazowe lub sms na inny numer – poziom III.
    Mamy drugie, rzadko używane hasło do potwierdzenia IV.

    I pozwolmy użytkownikowi zdecydować co może zrobić w ramach określonego poziomu. Przelewy do kwoty np. 10000 to poziom II.
    Przewlewy powyżej 1 0000zl to poziom III
    Przelewy ekspresowe to poziom IV.
    I tak do oporu ;-)

  119. Wydaje się, by wystarczyło, by przy próbie wykonania duplikatu karty SIM na aktualny numer był wysłany SMS, który należy potwierdzić (odesłać wiadomość)… chyba że w ciągu np. 24h numer byłby nieaktywny to implicite byłoby to potwierdzeniem chęci wymiany karty. Operatorzy chyba mają wiedzę czy numer jest podłączony.

  120. Lepiej wyrobić sobie duplikat karty i trzymać go w sejfie w razie ataku :) I w momencie awarii karty sim włożyć nasz duplikat ? ^_^ Zhakujemy przestępców Keepo

  121. […] metodami i po prostu starą dobrą socjotechniką poprosić o wyrobienie nowej karty SIM. Niedawno Niebezpiecznik opisywał sprawę swojego czytelnika, któremu skradziono numer telefonu, a potem, próbowano wyczyścić jego konto bankowe, […]

  122. Wydaje mie się że wystarczyło by uregulować w Prawie Telekomunikacyjnym aby nowa karta SIM mogła być aktywna najszybciej po 48 godzinach od deaktywacji starej karty. W tym czasie jest możliwość zgłoszenia na infolinii próby wyłudzenia karty SIM a nowa nie została by aktywowana.

  123. Najprostsze rozwiazanie problemu:
    dezaktywacja starej karty SIM, 24h oczekiwania, aktywacja nowej karty.
    – Mamy 24h czasu na reakcje, w miare bezpiecznie i niezbyt upierdliwie

    Z kolei to bank powinien zadbac o to aby weryfikacja byla bezpieczna, zamiast zwalac problem na telekomy.

    Do ilu przekretow musi jeszcze dojsc aby cos ruszylo w tej sprawie?

  124. No i te przeklete dowody kolekcjonerskie …

  125. Rozwiązanie problemu z duplikatami kart sim: prosimy kogoś z rodziny(żonę, matkę, ojca, brata itd.) o kupienie nam za 5zł karty np. w play ważnej na rok, wsadzamy ją do telefonu dual sim (lub drugiego telefonu) i tylko tego numeru używamy do kontaktów z bankiem.Nie chwalimy się tym w “mediach społecznościowych”. Teraz złodziej może sobie z dowodem kolekcjonerskim lub nawet oryginalnym próbować wyrobić duplikat naszej karty.

  126. Gdyby nie wprowadzono rejestracji kart prepaid nie było by problemu. Nie poprawiło to bezpieczeństwa państwa, a znacząco pogorszyło bezpieczeństwo obywateli. Anonimowy prepaid jest całkowicie odporny na atak na duplikat.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.