19:51
13/8/2018

W zeszłym tygodniu tłumaczyliśmy, dlaczego autoryzacja mobilna transakcji w bankowości internetowej może być lepsza od autoryzacji transakcji poprzez przepisywanie kodów z SMS, o ile zostanie poprawnie wdrożona. Pokazaliśmy na przykładzie mBanku, że tam wdrożenie nie jest idealne i pomimo aktywnej autoryzacji mobilnej po stronie ofiary, złodziej dysponujący duplikatem karty SIM ofiary i tak będzie w stanie ukraść jej wszystkie pieniądze z konta. Nasza metoda wymagała zainstalowania aplikacji mobilnej (a więc znajomości PESEL-u i nazwiska panieńskiego matki ofiary). Okazuje się, że jest prostsza sposób na kradzież.

Można wymusić potwierdzenie przelewu SMS-em

2 tygodnie temu, jeden z naszych Czytelników poinformował nas, że znalazł sposób na wymuszenie autoryzacji przelewu kodem z SMS-a, nawet jeśli klient mBanku korzysta z autoryzacji mobilnej. Czytelnik zgłosił ten sposób jako błąd w formie reklamacji do mBanku. Dziś Czytelnik dał nam znać, że mBank reklamację odrzucił, tłumacząc mu, że “to nie błąd, a spodziewana funkcja systemu”…

W związku z tym postanowiliśmy ją opisać:

    1. Atakujący musi znać login i hasło ofiary (dane te przestępcy pozyskują poprzez infekcję komputera ofiary złośliwym oprogramowaniem lub poprzez ataki phishingowe, np. z lewym DotPay’em)

    2. Atakujący loguje się na konto ofiary i sprawdza jej numer telefonu, a następnie wyrabia duplikat karty SIM w salonie operatora ofiary. Numer telefonu może też pozyskać inną metodą (por. Jak złodzieje od pół roku okradają Polaków wyrabiając duplikaty kart SIM)

    3. Atakujący wchodzi na stronę mBanku z telefonu komórkowego i wybiera wersję mobilną serwisu (pomijając popup zachęcający do użycia aplikacji mobilnej).

    4. Po zalogowaniu atakujący jest w wersji “light” serwisu transakcyjnego i może zlecić przelew. Taki przelew jest potwierdzany SMS-em nawet jeśli ofiara korzysta z autoryzacji mobilnej i to tę metodę ma ustawioną jako domyślną:

Podsumowując, przestępcy znający login i hasło (czyt. tacy, którym udało się zainfekować Waszego Androida złośliwą aplikacją z oficjalnego sklepu Google) mogą okraść Wasze konto w mBanku, jeśli logujecie się do banku z poziomu telefonu.

Pocieszające jest to, że wedle informacji jakie znaleźliśmy na stronach mBanku, wersja “light” ma odgórnie ustawiony limit dzienny: maksymalnie 10 000 PLN:

A więc jeśli ktoś chciałby okraść klienta mBanku na więcej niż 10 000 PLN, to musi skorzystać ze sposobu jaki opisaliśmy w poprzednim artykule (i będzie mu do tego potrzebny PESEL oraz nazwisko panieńskie matki).

Jestem klientem mBanku — co robić, jak żyć?

Ponoć będzie lepiej — tak wynika ze stanowiska mBanku, które przekazał nam rzecznik prasowy kiedy przygotowywaliśmy publikację poprzedniego artykułu pokazującego jak ominąć przestępcy mogą prosto wyłączyć autoryzację mobilną u ofiary. Metoda znaleziona przez naszego Czytelnika jest jeszcze prostsza. Mamy nadzieję, że zmiany jakie planował mBank będą także dotyczyć tej metody.

Generalnie:

  • Jeśli masz Androida — uważaj co instalujesz, nawet jeśli jest to apliakcja z oficjalnego sklepu Google. Każda która prosi o dostęp do SMS-ów powinna być podejrzana. Zainstalowanie złośliwej aplikacji spowoduje, że jeśli kiedykolwiek zalogujesz się z telefonu do mBanku, twój login i hasło zostaną wykradzione, a kod SMS-a autoryzujący zleconą przez przestępców transakcję odczytany. “W tle”, bez Twojej wiedzy. I żaden duplikat karty SIM złodziejowi nie jest potrzebny do kradzieży.
  • Uważaj na phishing. Jeśli podasz login i hasło do banku na jakiejś stronie, a przestępcy uda się wyrobić duplikat karty SIM, możesz stracić pieniądze.
  • Nie loguj się na cudzym komputerze do banku. Zwłaszcza teraz, na wakacyjnych wyjazdach, na hotelowych (czy innych współdzielonych) komputerach. Keylogger pozyska Twoje hasło.
  • Jeśli to Cię nie ogranicza, ustaw limity przelewów dziennych dla swojego konta poniżej 10 000 PLN. Są one respektowane przez wersję “light”.

Na koniec zostawiliśmy najważniejsze

Jak się dowiedzieliśmy nieoficjalnie (i jak oficjalnie potwierdziliśmy na sobie) dopiero od dziś (co za niespodzianka!) w mBanku można zablokować dostęp do kanału “light”. Wyłącznie przez infolinię. Ale uwaga — nie wszyscy konsultanci jeszcze o tym wiedzą, więc musicie być nieustępliwi :) Jeśli się Wam uda, to zobaczycie coś takiego podczas logowania na wersji “light”:

A więc dzwońcie na mLinię i proście o wyłaczenie wersji “light”. Tym bardziej, jeśli z niej nigdy nie korzystaliście i do niczego nie jest Wam potrzebna. Bez obaw, z każdego smartfona dalej będziecie się mogli zalogować do standardowego interfejsu mBanku zwykła przeglądarką. Blokada wersji “light” wyłącza tylko tego potworka, który niewiele potrafi, a stanowi zagrożenie.

Ale i ta blokada “light” może zostać ominięta przez dobrze poinformowanego przestępcę. Ponieważ jeden z naszych redaktorów miał zablokowany kanał telefoniczny, próba blokady kanału “light”, wymagała najpierw zdjęcia przez niego blokady kanału telefonicznego — po dodzwonieniu konsultant zapytał o:

    1. Imię i nazwisko
    2. PESEL
    3. Nazwisko panieńskie matki

…a jak się okazało, znajomość tych informacji w ogóle nie jest potrzebna, bo jak wyznał konsultant, łatwiej będzie jeśli po zalogowaniu (loginem i hasłem) w opcjach konta samodzielnie kliknie się na “aktywację kanału mLinia”.

Na koniec dla równowagi warto oczywiście wspomnieć, że nie każdy przypadek, w którym złodziej pozna login, hasło, ma malware na telefonie ofiary albo wyrobi duplikat karty SIM i zaloguje się na konto ofiary celem wyprowadzenia z niego funduszy skończy się dla ofiary tragicznie. Jak informowaliśmy w poprzednim artykule, banki (mBank także) monitorują zachowania klientów i są wyposażone w systemy antyfraudowe, które mają na celu wyłapywać “dziwne” transakcje. Takie oflagowane transakcje są weryfikowane ręcznie przez pracowników banku i w przypadku jednego z naszych Czytelników system antyfraudowy mBanku zadziałał doskonale: Czytelnik został poinformowany przez pracownika banku o nieautoryzowanym przelewie i koniec końców wykradzione środki do niego wróciły.

Co na to mBank?

Oto oświadczenie, które mBank odesłał w odpowiedzi na nasze pytania:

Gdy wdrażaliśmy mobilną autoryzację założyliśmy, że będziemy ją systematycznie rozwijać, ale rozpoczniemy od obszarów o największym ryzyku, czyli takich, w których klienci zlecają najwyższe przelewy – pełnej wersji serwisu transakcyjnego.
W lekkiej wersji (tzw. serwis „lajt”) wiele typów operacji nie jest w ogóle dostępnych. Dlatego potencjalne ryzyko nadużyć w tym kanale jest niższe.
Funkcjonuje tu również dzienny, sumaryczny limit wartości transakcji. Wynosi on 10 tys. zł. System automatycznie odrzuci zatem transakcje przekraczające go i skieruje klienta do pełnej wersji serwisu. A tu będzie już działać mobilna autoryzacja. Ponadto, systemy bezpieczeństwa mBanku monitorują i w razie podejrzeń zareagują na „podejrzane” transakcje autoryzowane SMS-ami przez klientów, którzy mają aktywną mobilną autoryzację. Co najważniejsze, dostęp do serwisu lajt można również wyłączyć dzwoniąc na mLinię.
Warto też zaznaczyć, że na stronach informacyjnych zamieściliśmy informacje na temat autoryzacji mobilnej a także tego, że nie dotyczy ona lekkiej wersji serwisu.

Jak widzicie, trzeba się trochę postarać aby poprawnie zabezpieczyć swoją cyfrową tożsamości i pieniądze na internetowych kontach. Jeśli więc interesują Was szersze porady jak bezpiecznie korzystać z bankowości internetowej, to zapraszamy na nasz wykład pt. Jak nie dać się zhackować?. Niebawem ruszamy w Polskę i odwiedzimy Warszawę, Kraków, Gdańsk, Wrocław oraz po raz pierwszy Katowice. W 3 godziny pokażemy jak zabezpieczyć swój komputer, smartfon i cyfrową tożsamość — nie tylko podczas korzystania z bankowości internetowej ale również w trakcie zakupów online i zwykłego “relaksowania się” na portalach społecznościowych. Szczegółowe daty, miejsca i możliwość rezerwacji miejsca jest możliwa tutaj.

Za informację dziekujemy Czytelnikowi — którego reklamacja została dziś przez mBank odrzucona, ale to pewnie na jej podstawie mBank zmodyfikował swój system i pozwolił od dziś na blokowanie wersji light.

Przeczytaj także:

85 komentarzy

Dodaj komentarz
  1. Dziady… ale korzystaj, korzystaj z mobilnego dostępu, apek, bzdur… a tu takie kwiatki – i ciągle jakieś nowe.

    • Kwestia balansu między wygodą a bezpieczeństwem. Jedno jest zwykle kosztem drugiego.

  2. Kiedy art. jak bez dowodu wydają w salonach duplikaty SIM?

    • Prawdopodobnie w tym tygodniu. Wciąż w tej sprawie napływają do nas nowe informacje więc doprecyzowujemy artykuł.

  3. Trochę absurdalne te metody opisujecie bo jesli zlodziej ma dostep do wszystkich danych, a piszecie o peselu, nazwisku panienskim, loginie i hasle do logowania, duplikacie sim to dlaczego zaskakujaca jest jeszcze możliwość kradziezy pieniędzy z konta?

    Jesli będę mial podrobiony dowod osobisty, podrobione upowaznienie podpisane notarialnie to i w placowce banku można zrobić przekręt.

    • Żle na to patrzysz. Po pierwsze, N opisuje w tym artykule kilka wariantów. Każdy ma inny zestaw wymaganych danych. Nie w każdym potrzebny jest duplikat SIM, PESEL czy nazwisko panieńskie matki. A to jak łatwo zdobyć login i hasło, to było już opisywane wiele razy w poprzednich artykułach. Prawie każdy “malspam” tym właśnie się dziś kończy.

      Po drugie, N zwraca uwagę na to jak bank informuje prawowitego właściciela konta, że na jego rachunku dzieją się dane operacje, takie jak podmiana danych, zmiana aplikacji do uwierzytelnienia. W tym zakresie mBank ma jeszcze sporo do zrobienia.

      Po trzecie, dzięki takim artykułom bardziej świadomi albo po prostu zamożni Czytelnicy mogą sobie włączyć dodatkowe zabezpieczenia, aby utrudnić złodziejowi pracę i nie narazić się na linię obrony banku, że klient dopuszczał się rażącego niedbalstwa.

    • niestety, pozyskanie loginu i hasła to kradzież tożsamości.. niewiele brakuje i tytuł artykułu by brzmiał “złodziej znający twój login i hasło może zalogować się na twoje konto! szok! uczciwi ludzi ich nienawidzą! zobacz jak” :)

    • Akurat zdobycie loginu i hasła jest proste. Przestępcy mają problem z tym jak mając te dane moc kogoś okraść. Bo potrzebują jeszcze albo dodatkowych informacji typu PESEL panieńskie albo możliwości od zera ia smsów czyli infekcji telefonu. A tu się okazuje teraz że łatwiej duplikat SIM zrobić bo operatorzy daja ciala

  4. Fajną reklamę robicie mBankowi ;-) Z tej serii przeciętny klient może wywnioskować “coś tam w mBanku do końca dobrze z zabezpieczeniami nie jest, ale nieźle się starają, że momentalnie wprowadzili możliwość blokady i szykują większe zmiany, są kumaci”. Tak z przymrużeniem oka pisane. Sam mam konto w mBanku i nie powiem jak jest, aby nie było to odebrane jako reklama lub odwrotnie ;-)

    • Bo to jest syfiasty bank: przecież nie tak dawno udostępniał gemiusowi i jeszcze komuś salda logujących się do banku klientów…

  5. czy jako Niebezpiecznik poinformowaliscie o tym fakcie mBank ? Moze was tak nie zignorują.

  6. Rozumiem, ze na te czasy token lub smartcard jest najbezpieczniejszym narzędziem autoryzacji?!

  7. To nie jest zaden problem dla klientow Mbanku, to jest problem w z operatorem gsm, ze na falsyfikat wydali duplikat karty i to oni powinni odpowiadac w pierwszej kolejnosci i to prawnie. Ja bym tego operatora zaskarzyl po prostu.

    • Za co niby? Operator może nie zdawać sobie sprawy, że klient przedstawia mu falsyfikat dowodu – dowody kolekcjonerskie bywają wykonywane nawet z 99% dbałością o szczegóły i weryfikację nawet na skanerze UV przejdą. No ale mając taką wierną kopię złodziej ma drugi problem – nie wygląda jak klient, więc musi się do niego upodobnić (ale technologia masek lateksowych to już nie jest CSI, tylko rzeczywistość, więc jest to osiągalne).

      Jedyne zarzuty, jakie można tu postawić, to złodziejowi następne. Oprócz przywłaszczenia mienia, oszustwa, oszustwa komputerowego, bezpodstawnego wzbogacenia, matactwa i przełamania zabezpieczeń teleinformatycznych, dojdzie jeszcze fałszowanie dokumentów w celu użycia jako autentycznych i podszywanie się pod inną osobę.

    • Zabawne, ze dzieki totalniakom z PiS-u (ktorzy dzielnie walcza z terroryzmem) nie mozna obecnie odciac “ogona” — gdyby karta SIM byla anonimowa, to nie byloby podstaw do wyrobienia duplikatu.

    • @Lukasz032 – dlaczego miałby się upodabniać? może swoją fotkę do kolekcjonerskiego dowodu wstawić przecież. operator nie musi mieć skanu dowodu, a tym bardziej zdjęcia właściciela karty (co widać na “prezerwatywach” do dowodów, które podobno Play wprowadza).

      @macias – jak karty nie były zarejestrowane, to o duplikat było jeszcze łatwiej ;-)

    • Lukasz032 – tylko po co ta maska skoro na lewym dowodzie może umieścić swoje zdjęcie?

    • @Lukasz032
      Za co? Tak jak napisalem, za wydanie duplikatu sim na podstawie lewego dowodu.
      Reszta mnie nie interesuje, nie mam na te rzeczy wplywu a nwet gdybym mial to fakt jest faktem. Interesuje mnie tylko przestepstwo w salonie GSM.

  8. Skoro można wersję light zablokować przez mlinię, to znaczy również to, że przez tą samą mlinię można ją odblokować. I wtedy taka blokada na nic się nieprzyda – niewielka niedogodność.

  9. Autoryzację sms w wersji lajt zablokujecie, gdy trzykrotnie błędnie wpiszecie hasło z SMS-a. Ewentualnie poprosicie konsultanta o zablokowanie kanału sms.

    Pozdrawiam cieplutko

  10. Czy jestem bezpieczniejszy jeśli loguję się przez czytnik linii papilarnych?

  11. Jeśli weźmie się pod uwagę możliwość posiadania tych wszystkich danych przez złodzieja, to nie ma zabezpieczenia, które przed ich wykorzystaniem uchroni. Nie ma 100% metod ochrony przed tego typu działaniem, nawet w zwykłym oddziale Banku. Ludzie sami się takiej nieostrożności od tych instytucji domagają,z własnego lenistwa. Zbulwersowanie pojawia się gdy wyślą żonę na pocztę z dowodem osobistym męża by odebrała jego przesyłkę i że ktoś tam na miejscu śmie jeszcze odmawiac wydania paczki.

    Ja rozumiem, że chodzi o włączenie świadomości i nie chodzi mi o sam sens takich artykułów, tylko formę ich pisania. Problemem tu nie są banki i ich zabezpieczenia (chociaż takie się zdarzają) ale niedbałość zwykłych ludzi o rzeczy które mogą być przeciwko nim wykorzystane.

    forma z jaką tu się spotykamy, jest taka jak mówienie że fb kradnie naszą prywatność. Serio? Fb każe nam pisać o wszystkim z naszego życia?

    • > Zbulwersowanie pojawia się gdy wyślą żonę na pocztę z dowodem osobistym męża by odebrała jego przesyłkę i że ktoś tam na miejscu śmie jeszcze odmawiac wydania paczki.

      Też bym nie wydał. Nie można w ogóle się posługiwać cudzym dowodem. Nawet dowodem męża. Żona powinna swoim dowodem się wylegitymować i na jego podstawie odebrać przesyłkę.

  12. Czy tylko do mBanku macie zastrzeżenia?

    • Może inne banki nie dają aż tak często i mocno doopy, jak ten?

    • Przydałaby się jakaś opinia na temat bankowości w PL, nie wiadomo czy z mbąka uciekać po prostu bo tylko u nich jest tyle jazd.

  13. Ciekaw jestem czy tak samo łatwo dałoby się wyłudzić duplikat karty SIM w przypadku numeru telefonu zarejestrowanego na firmę, gdzie teoretycznie trzeba przedstawić “papiery firmowe”. Macie jakieś informacje na ten temat? Ktoś zgłaszał taki przypadek?

    • Takie karty wyrabia sobie pracownik firmy sam. Dostaje aplikację, loguje się, podje dane nowej karty. Stara umiera, nowa się aktywuje (z 15 min to trwa) i pozamiatane.

      W dużych firmach to standard, że mają admina od telefonów a admin wydaje karty i ich duplikaty pracownikom wedle potrzeb.

  14. Dlatego robie przelewy mobilne z innego urzadzenia niż te na które przychodzą smsy i jest to zwykly stary telefonik tylko do smsow potwierdzajacych. Taki moi wlasny token :)

    • I było by wszystko ok, gdyby nie to, że każda sim karta jest rejestrowana. Tak więc ten twój top secret token wcale nie jest top sekret – wiedziałeś?

  15. Mnie tylko zastanawia ilość artów nt mbanku. Samych Banków mamy w polksce kilkanaście, z czego jest 5-6 dość popularnych, można napisać takie TOP. Co się nie wejdzie na N czy konkurencję to jeśli już jest o zagrożeniach w bankowości to mBank. Żeby nie było, nie piję tu do N bo to, że informujecie to chwała Wam Pany! Tylko o co chodzi z tym mbankiem przecież z niego trzeba uciekać do nie wiem pekao?

    • Może tylko mBank odpowiada na maile… :P

    • mBank dobry PR ma i tyle. A Niebezpieczniacy chyba lubią bajery, jakie ten bank wstawia w te swoje przesłodzone interfejsy. Obawiam się, że to typowe dla wielu zachłyśnięcie się technologią – może i problematyczna, może i niewygodna, ale za to jaka fajna. ;-)

      A poważniej: faktycznie nudne jest czytanie w kółko o tym jak to mBank ma zrobione, bo jak uczy doświadczenie, ten bank już od dawna jest pierwszy w testowaniu wodotrysków na swoich klientach, a jednocześnie ma gdzieś ich opinie, a już na pewno bezpieczeństwo. Przykład: apka bankowa, która wymaga uprawnień praktycznie do wszystkiego. I to ma uczyć ludzi zwracania uwagi na żądane przez aplikacje uprawnienia? Przecież jak apka bankowa potrzebuje 15 uprawnień, to taka zwykła gierka co potrzebuje 5 nie może być groźna nie? ;-)

      Redaktorom Niebezpiecznika polecam zapoznanie się z ofertą innych banków w Polsce. Darmowe konta oferuje większość, więc pisanie w kółko o jednym banku (i to wcale nie najlepszym, a popularnym głównie wśród miłośników “wodotrysków”) wygląda na prawdę mało profesjonalnie.

    • Zapraszamy do gościnnego wpisu — może dotyczyć dowolnego innego banku. My pozostaniemy przy opisywaniu spraw, które zgłaszają nam czytelnicy. Nie mamy wpływu na to, w którym banku i co znajdują. Ale jeśli ktoś zgłasza nam błąd w innym niż mBank banku, to także o tym piszemy — łatwo to sprawdzić, wyszukiwarkę mamy w prawym górnym rogu.

    • @Piotr Konieczny,
      ok wiem, że opisujecie to co ludzie zgłoszą. Czy jednak nie jest tak, że brak zgłoszeń = lepiej zabezpieczony bank?
      Czy nie może powstać artykuł o bankach z jakimś rankingiem, który uwzględni ilość zgłoszeń, baboli i wszelkich błędów co pozwoli nam użytkownikom na subiektywną opinię, który bank jest ‘lepszy’ czy ‘gorszy’ pod względem zabezpieczeń. Oczywiścienie wiem, że nie wskażecie wprost banku który Waszym zdaniej jest naj – bezpieczy czy naj – niebezpieczny :)

  16. A przy aplikacji ING nawet nie trzeba nowej karty. Wystarczy zainstalować apkę na dowolnym urządzeniu i pozyskać login i hasło mobilne które z natury jest słabe… W ING nie ma czegoś takiego jak autoryzacja nowego urządzenia mobilnego z aplikacją w panelu klienta. To jest mega słabe…

  17. Szkoda, że wcześniej nie wiedziałem o istnieniu takiej wersji light – od razu dałbym sobie spokój z aplikacją.

  18. TAK SIĘ KOŃCZY PSUCIE DOBREGO INTERFEJSU. Kilka lat temu mBank miał całkiem przyjazny interfejs, prosty, intuicyjny, funkcjonalny. Ktoś w parabanku stwierdził że on wie lepiej niż klienci czego potrzebują. Zaczęło się pompowanie interfejsu cukierkowym plastikiem. W nowym interfejsie brakowało tylko możliwości kolorowania jednorożca, ale ponoć niebawem ma się to zmienić. Jak zwykle szwankuje bezpieczeństwo, bo czym bardziej wymyślne i łatwe, tym mniej bezpieczne, podobnie jak z autami, czym bardziej wymyślne i skomplikowane tym bardziej awaryjne. Mam nadzieję że sądy będą działać szybko i sprawnie, pozbawiając parabanków majątku na rzecz okradzionych klientów

  19. Mbank to totalne dno. Bezpieczeństwo leży. Konsultanci niekompetentni, a do tego każdy mówi co innego, sprzecznego ze sobą. Kiedy już się zdecyduje na kontakt mailowy, to kiedy temat jest dla nich zbyt upierdliwy, to “przekazują sprawę do specjalisty” i kontakt się urywa. Na fb mieli możliwość dodawania recenzji, ale kiedy średnia ocen zaczęła się zbliżać do 1(dosłownie), to usunęli wszystkie recenzje i już nie można dodawać nowych. Do tego afera goni aferę. Ciągle coś i praktycznie tylko Mbank. Niekompetencja jest wszechobecna, ale jednak wszędzie da się znaleźć kogoś ogarniętego, kto podoła tematowi. W Mbanku? Zapomnij. Nic nie załatwisz, nic nie ogarniesz. Tylko rzecznik prasowy pisze ładne słówka, które są zwykłą papką.

    • No właśnie, czy rzeczywiście mbąk jest taki podatny na ataki i złodzieje wzięli sobie ten bank na tapetę bo jest w nim najwięcej klientów ebankowości i jednocześnie zabezpieczenia są na tyle ‘łatwe’ do obejścia, że nie interesują się specjalnie innymi bankami?
      No o Pekao w ogóle nie słyszałem aby się coś dział, to samo PKO.

    • nie przesadzasz ? jeden z lepszych i najwiekszych bankow w PL pod wzgledem ilosci klientow, to cos znaczy. Poza tym ich apka mobilna ma na ponad 1 mln pobrać najlepsze noty wsrod apek bankowych (4,7/5)

  20. No i oczywiście “brudy” trzeba wywlec tu (publicznie przez portal) bo jak klient zgłasza to: Paaanie ale to żaden błąd…

  21. Prawdziwym jest powiedzenie, że “wszystko co człowiek stworzy, to i człowiek zniszczy”.

    Tak naprawdę każdy kto korzysta z mobilnej wersji zarządzania kontem bankowym do jakichkolwiek operacji, jest narażony na atak. I to niezależnie w jakim banku ma konto. Socjotechnika i totalne zachłyśnięcie się techniką sprawia, że tracimy kontrolę nad samym sobą. Zachowujemy się jak “mobi-zombi” nie zwracając uwagi nad tym, co robimy. Nie kontrolujemy swoich zachowań.

    Przede wszystkim brak jest w szkołach takiej edukacji, która by przed tym przestrzegała. Lekcja informatyki niczym nie różni się od zajęć plastycznych czy technicznych. Dobrze, jeżeli jeszcze rodzic wykaże się rozwagą, choć oni sami, niestety, też nie wymagają edukacji w tym kierunku i sami w te pułapki wpadają.

    Dla mnie korzystanie z aplikacji bankowej na telefonie to totalne nieporozumienie. I czemu to ma niby służyć? Pochwalić się jaki to jestem “trendi”? Nie ma żadnych rzeczowych argumentów. Zawsze mogę telefonicznie zlecić przelew, jeśli faktycznie sytuacja tego wymaga.

    I póki co, karty kodów są najbezpieczniejszą formą, choć co prawda i na to są sposoby, ale o wiele trudniejsze i odrobina świadomości i kontroli nad tym co robimy daje gwarancję, że nie wpadniemy w pułapkę. Przede wszystkim nie działać jak “koń dorożkarski”.

    Ale skoro przestępca zdobywa takie dane jak PESEL czy nazwisko rodowe matki, to znaczy, że ten ktoś powinien odpuścić sobie elektroniczną bankowość.

    I jak już słusznie wcześniej zauważono, to nie wina banków, tylko nas samych. A całe zło bierze się z FB, gdzie wszystkim się chwalimy. Równie dobrze można by na plecach sobie te dane napisać i iść przez miasto!

  22. Miałem sytuację z mbankiem taką, że po zalogowaniu się do bankowości online, musiałem zresetować komputer (twardy reset). O dziwo po włączeniu na nowo komputera i przeglądarki miałem ciągle aktywną sesję w banku! Pytanie czy to problem z przeglądarką czy z portalem?

  23. Prosta zasada dla nie-specjalistow IT:
    Absolutnie nigdy nie wpisujesz loginu i hasla banku jesli sam adresu www swojego banku w przegladarce nie wpisales/las. Bez wyjatkow. Kropka.

  24. Tak się zastanawiam dlaczego mBank z takim uporem nie chce wdrożyć oczywistego rozwiązania czyli autoryzowania apki w banku (np po zgubieniu telefonu), i dochodzę do wniosku, że pomijąc koszty obsługi boją się odpowiedzialności.
    Jeśli kto przyjdzie do operatora z „kolekcjonerskim” dowodem to mBank jest czysty i to nie oni. Gdyby taka akcja zdażyła się banku – wtedy nie mają się jak wykpić.

    • Ta prosta zasada nic nie pomoże na ataki na dns. Jedyną prostą zasadą jest umiejętność zweryfikowania certyfikatu.

  25. Witam. Brawo jak zwykle banko lubni lub po prostu pracownicy mbaku!(pisze specjalnie z błedem). Znam wiele przypadków i wpadek tego śmiesznego banku, kradziez pieniedzy odnotowana i trwajaca dlugo, numer karty pozyskany przez zagraniczy portal handlowy zaufany i majacy certyfiakaty visa i co jak reakcja mbank jak tu mamy was gdzies?!? WTF? Pieniądze nie odzyskane?!?! Co z nimi jest nie tak? Nie rozumiem wypowiedzi ludzi tutaj krytykujacych ludzka nature jak jest ciekawosc. Osobiscie zachecam do czytania niebezpiecznika ponieważ porusza tematu na bieżąco, demskuje firmy jak mbank które bardzo często ukrywają swoje wpadki a tym bardziej takie artykuły, bo przecież my jesteśmy bankiem nam wolno wszystko.

  26. Aplikacja mobilna wcale nie jest bezpieczna.

    Jeżli ktoś nie ma pojęcia, jak działa Android, i zainstaluje z marketu appkę, która za tydzień okaże się backdoorem, to owszem, Google Play ją usunie, ale jeśli ta appka pobrała i zainstalowała rootkita na Androidzie, to on już zostanie na swoim miejscu, a z poziomu roota może monitorować wywołania systemowe wszyskich appek i kraść dowolne informacje.

    Może też np podmienić biblioteki do szyfrowania (ANdroid używa boringssl)
    na własne, z backdoorami.

    Ilu użytkownikow smartfonów po tym,jak play protect rozpocznie alarm z powodu szkodliwej aplikacji, potrafi zaorać smartfona i zainstalować od nowa czystą wersję Androida?

    Jaki odsetek użytkowników regularnie (np co tydzień) aktualizuje Androida wgrywając wszyskie poprawki bezpieczeństwa? (to funkcja wbudowana w LineageOS)

    Reasumując, kwestią czasu są kradzieże z wykorzystaniem appki mobilnej, a nawet kradzież tej appki mobilnej, bo przecież jeśli shakowany smartfon jest podlączony stale do netu,
    to można skopiować przez net appkę z jej wszyskimi konfigami, tokenami i kluczami autoryzacyjnymi.
    Można nawet cały system skopiować przez internet, korzystając z “magicznego” polecenia rsync, obecnego w każdym Linuxie.

    Banki nie chcą używać logwania via klucz TPM (PKCS#11), nie chcą używać logowania z certyfikatami X509/PKCS#12, i uważają, że 5 “programistów” za “miskę ryżu” zrobi appkę mobilną bezpieczniejszą w dłuższym okresie czasu, niż np przeglądarka Chrome.
    Niech sobie myślą dalej, w Chrome czy Firefoxie błędy bezpieczeństwa są łatane praktycznie natychmiast, lewe certyfikaty SSL są banowane przy kazdej aktualizacji, ciekawe,
    jak często się bank jeden czy drugi dowiaduje o podatności swojej appki mobilnej.

    Pozdro

  27. Ciekawi mnie jedno. Dlaczego taki bank nie wdroży prostej rzeczy którą zrobiły google, facebook itp. dodatkowego uwierzytelniania TOTP. Gotowe aplikacje dostępne (google authenticator, rehat freeOTP itd.)

    Pozwoliłoby to dodatkowo autoryzować zarówno klienta jak i dzwoniącego konsultanta. Chyba obecnie to pewniejsze od informacji typu “nazwisko panieńskie”?
    Nie da 100% bezpieczeństwa ale jak dla mnie to pewniejszy sposób niż poleganie na informacjach które krążą na prawo i lewo.

    • Z tych samych powodów dla których banki odchodzą od tokenów. Totp jest phiszowalne/mitm. Już lepsze jest u2f. Ale przy najczęstszym scenariuszu (malware) uf2 nic nie da. Mimo to uważam że u2f powinno być jako opcja.

    • Nawet nie chodzi zastąpienie istniejących metod autoryzacji, ale w przypadku z tekstu o odblokowaniu kanału telefonicznego konsultant pyta o informacje które wiele osób może posiadać, taki dodatkowy element by utrudnił. Ważne żeby nie być najłatwiejszym celem. Jak widać po ataku na duplikat sim , nawet koniecznosc okazania dowodu nic nie zabezpiecza.

    • @Piotr Konieczny.
      Dyskutowałbym z tym powodem ucieczki od tokenów; większość banków robi to pod pretekstem (choro wdrożonej) łatwości obsługi oraz kosztów.
      A token challenge/response jako opcja? Jakiekolwiek tłumaczenie tego rozwiązania to strzał banku se w stopę.
      Że co? “Jak pan chce nie stracić pieniędzy… wie pan… to musi pan zabulić za token” – czyli że SMSy lub zdrapki to takie podatne a bank tego jednak używa?

      Jasne, na każde zabezpieczenie jest wektor ataku, tylko o ile w przypadku posiadania tokena świadomy użytkownik ma szanse się obronić jakąkolwiek formą zaufanej platformy, o tyle jadąc na SMSach zawsze będzie podatny na duplikat SIMa. Ale banki bardzo lubią tę dziurę, bo całkowicie zdejmuje z nich odpowiedzialność.

  28. Przed chwilą sprawdziłem – wystarczy aktywować w apce autoryzację mobilną, a w serwisie mBanku dezaktywować hasła SMSowe. Następnie próba wykonania przelewu przez serwis “light” kończy się błędem.

  29. Piotr możesz doprecyzować co masz na myśli mówiąc, że u u2f nic nie da?
    The Security Key by Yubico rozwiązałby wszystkie problemy gdyby był tak wdrożony jak w przypadku Gmaila advanced protection. Oczywiście dwie sztuki bez innych opcji.

    • Malware na komputerze jest w stanie kontrolować proces u2f

  30. Jak będzie duplikat karty SIM to oryginał chyba przestanie działać. Przecież każda karta ma inny numer seryjny IMSI i z nim sparowany nr MSISDN.

  31. Od kilku lat bezskutecznie proszę mBank aby wprowadzić off-line-owe tokenowe czytniki kart lub proste tokeny – słowa rzucane na wiatr. 2 metody autentykacji to jest rozwiązanie minimum (mobilna nimby jest druga, ale kartę można podrobić, sms-a przełać itp.) Ważne jest aby druga była offline-wa. Jakby się postarali to można by nawet wdrożyć typ #3 autentykacji jako, ze praktycznie każdy telefon ma czytnik linii papilarnych (ale i tak bym wolał typ 2 z tokenem/czytnikiem tokenowym bo jest zachowany air-gap, a taka implementacja typy #3 byłaby siła rzeczy online-wa).
    Szkoda, szkoda, szkoda :-(

  32. Chyba mBank przestał płacić bo już dwa negatywne artykuły z rzędu na ich temat :D

  33. Kiedy nie można liczyć na konsultantów on-line, to już zaczyna być źle. Ostatnio zauważyłem, że mają ciekawą taktykę na czacie. Kiedy temat jest niewygodny, to po pretekstem potrzeby dłuższego oczekiwania, zrzucają się z czatu z powodu bezczynności. Dlatego jak dostajesz komunikat, że trzeba dłużej poczekać, to wychodzi na to, że trzeba co jakiś czas coś napisać, żeby czat nie wygasł. To tylko moje przypuszczenie, bo niestety może być i tak, że po prostu czat jest zamykany przez drugą stronę. Zupełnie inna sprawa, że byłem wprowadzany w błąd przez pracownika banku i to w sytuacji, gdy trzy razy pod rząd pytałem się “czy na pewno?”, on uparcie potwierdzał że “nie da się”, po czym następnego dnia udało mi się to zrealizować, co rzekomo było niemożliwe. Strona ludzka w mBank zawsze była tą najsłabszą, odkąd pamiętam, ale teraz krótko mówiąc, moim zdaniem idzie ku gorszemu. :(

  34. Piotr chodzi ci o to: https://www.yubico.com/support/security-advisories/ysa-2018-02/ ?
    Problem jest rozwiązany od przeglądarki Chrome wersja 67.

    • Nie. Chodzi o to, że malware może zrobić wszystko. Od spoofinu treści w przeglądarce do MITM/MITB.

  35. Jakimś rozwiązaniem (a raczej obejściem problemu) byłoby tu rejestrowanie karty SIM na kokoś innego np. kogoś z rodziny, a ten ktoś mógłby swoją kartę zarejestrować na nas. Uchroniłoby to przed wyrobieniem duplikatu SIM przez obcą osobę, która nie wie na kogo mamy zarejestrowana kartę. Choć oczywiście ma to też swoje wady i jest to takie kombinowanie. Najprościej byłoby gdyby operatorzy wprowadzili jakieś dodatkowe zabezpieczenie. Np po wydaniu duplikatu nim ten zostanie aktywowany, powinno się wysłać SMSem jakieś potwierdzenie w stylu: “Został wydany duplikat karty sim. Nowa karta zacznie działać w ciągu np. 24h. Jeśli chcesz anulować proces aktywacji nowej karty, wyślij SMS o treści REZYGNACJA na nr XXXX”. Osoby, które wyrabiają duplikat z powodu zagubienia, uszkodzenia karty albo po prostu chcą otrzymać kartę w mniejszym rozmiarze nie będą odpisywać i proces przejścia na duplikat karty będzie wyglądać jak do tej pory. A jeśli, oszust wyrobi duplikat to ofiara ma ostatnią szansę na uratowanie się.

  36. Osobiście dużo bardziej wolę wersję przeglądarko wą light niż korzystanie z aplikacji.

  37. Można by też jako zabezpieczenie przed nieautoryzowanym wydaniem duplikatu SIM wprowadzić jakiś dodatkowy wymóg. Np. żeby oprócz dowodu trzeba było podać jeszcze PUK, który otrzymaliśmy wraz z kartą. Oczywiście pewnie wiele osób by ich już nie miało i nie pamiętało, ale dla takich osób mogłoby być dodatkowe pytanie, np dla prepaid o kwotę ostatniego doładowania, a dla abonamentu o kwotę na ostatniej fakturze, ewentualnie o jakieś ostatnio wykonane połączenie itp. byle były to dane znane wyłącznie dla prawdziwego właściciela karty. Natomiast kombinowanie z aplikacjami mobilnymi to wg mnie bezsens – zaraz wyjdą kolejne dziury i okaże się że te “niebezpieczne” hasła sms są o wiele lepsze.

  38. “Atakujący loguje się na konto ofiary i sprawdza jej numer telefonu, ”
    W Mbank trzeba mieć aktywowane Powiadomienia SMS, aby widzieć kto jaki ma nr tel.

    Szkoda że nie można edytować nr tel na który mają przychodzić powiadomienia.

  39. A innych banków to nie dotyczy?
    Co się tak czepiacie tylko mbank? to dziwne.

    • Opisujemy to, co zgłaszają nam czytelnicy. Jeśli znasz podobny błąd w innym banku, to napisz nam emaila.

  40. “Atakujący loguje się na konto ofiary i sprawdza jej numer telefonu, ”
    Jeżeli numer telefonu jest zarejestrowany na żonę lub inną bliską osobę, atakujący w salonie operatora nie dostanie duplikatu karty sim i problem z głowy. A przy czujności sprzedawcy w “salonie” napyka sobie jeszcze biedy.

    • I to jest genialna opcja. Nie da się wyrobić karty sim nie wiedząc do kogo należy. Zatem problem wyłudzenia kart sim jest nieaktualny.

  41. W każdym banku można zmienić numer, na który przychodzą sms-y, tylko trzeba ruszyć pupę.

    • nie kumasz. W mbank nie można otrzymywać powiadomień sm na inny nr niż do autoryzacji, który cały jest widoczny po zalogowaniu. Wystarczy aby ten nr był maskowany, tak jak to robią inne banki. To potężny błąd mbanku .

    • Nr tel zmienia się w mbank na infolinii w 2 minuty ;) W innych bankach w serwisie transakcyjnym w 60 sekund lub mniej Pupa nie zmienia położenia.

  42. A czy mBank czasem nie ułatwia przestępcom złamania hasła? Przycisk “Zaloguj” zmienia kolor na zielony po osiągnięciu żądanej liczby znaków. Chyba jest to raczej podpowiedź jak długie chociaż jest hasło.

    • Dobrze radzę: zmień hasło na dłuższe ;)

    • Dzięki Michał.
      Przepraszam mBank za tak marnej jakości uwagę.

  43. Dzień dobry!
    Mogę prosić o odpowiedź na pytanie?
    Jaki darmowy antywirus najlepszy na PC?
    Jaki darmowy VPN najlepszy na Androida?
    Czy PayPal jest bezpieczny?

  44. Jeśli już chodzi o prawo.
    W każdym urzędzie mamy wzory różnych pism, na których jak wół na czerwono jest napisane “WZÓR”. Na różnej maści “zabawkowych” pieniądzach jest napisane, że to nieprawdziwe pieniądze. Skąd pomysł żeby pozwalać wyrabiać legalnie “dowody kolekcjonerskie” skoro to tak ważny dokument!?! (albo raczej brak pomysłu na zakazanie wyrabiania/posiadania). I to jeszcze przechodzą test UV? Ja wiem, że nie powstrzyma to od wyrabiania czegoś takiego na lewo, ale jednak nie będzie można tego sprzedawać i kupować legalnie ot tak, policja mogłaby tropić i karać. Przecież to jawne fałszerstwo.

  45. Hm….
    Ja tu błędu za bardzo nie widzę. Skoro ktoś ma mój pesel i inne dane, to o jakim błędzie oprogramowania mówimy?
    Trochę jakby złodziej miał komplet moich kluczy, na ich podstawie dorobił sobie drugi komplet, wszedł mi do mieszkania i wszystko wyniósł.
    Czy to błąd producenta drzwi\zamków?

  46. Taka ciekawostka w kwestii banku Pekao S.A. (ten z żubrem :P). Właśnie dostałem z banku pismo o zmianach regulaminów oraz o wycofaniu niektórych metod autoryzacji transakcji. Wycofywane metody to Karta kodów jednorazowych, aplikacja PekaoToken oraz token sprzętowy. Metody te będą jeszcze działać do 14.08.2019, więc jeszcze przez rok. Z obecnych metod autoryzacji po tej dacie pozostanie jedynie autoryzacja SMS. Potwierdziłem to z konsultantem na chacie w usłudze Pekao24. Niestety konsultant nie wiedział, czy przed tą datą bank planuje wprowadzić jakąś alternatywną metodę autoryzacji, czy dostępne będą tylko SMS.

  47. […] jednak pewną wadę, o której pisał serwis Niebezpiecznik. Cyberprzestępca loguje się do systemu mBank lajt i nawet jeżeli ofiara korzysta z mobilnej […]

  48. Babka załatwia sprawę.

    Autoryzację mobilną można zabezpieczyć w banalny sposób. Wystarczy ustanowić na mLinii pytanie pomocnicze, które będzie wyskakiwać w przypadku próby instalacji aplikacji na innym urządzeniu, w przypadku próby zmiany sposobów autoryzacji lub zmiany limitów w serwisie transakcyjnym oraz ewentualnie opcjonalnie w przypadku przelewów powyżej wybranej kwoty.

    Takim pytaniem może być choćby pytanie o nazwisko panieńskie babki. Panieńskie matki jest niestety zbyt łatwo dostępne i dysponuje nim zbyt wiele osób i instytucji, ale babka to wiedza tajemna.
    Wybieramy więc babkę ze strony ojca lub matki – tą, która ma krótsze, łatwiejsze nazwisko i zgłaszamy dyspozycję telefonicznie lub w placówce banku.

    Zakładając więc, że aplikacja jest dobrze zabezpieczona przed atakiem hakerskim, mamy z głowy problem podrabianych dowodów osobistych i wyrabianych na nie duplikatów kart sim, bo na nic się wtedy nie przydadzą.

    Drugim skutecznym sposobem zabezpieczenia przelewów jest ustanowienie osobnego telefonu, który będzie robił za tokena i służył wyłącznie do autoryzacji przelewów.
    Ma to oczywiście sens jeśli mBank nie będzie tego numeru podawał złodziejowi na tacy w serwisie transakcyjnym, jak ma to miejsce obecnie.

    Swoją drogą, rzeczą karygodną jest, że bank mając od wielu dni wiedzę o podrabianiu dowodów osobistych i wyłudzaniu kart sim, nadal udostępnia w serwisie transakcyjnym na stronie internetowej numer dowodu osobistego oraz datę jego wydania i datę ważności, a ustawieniach powiadomień widać numer telefonu. Dlaczego tak wrażliwe dane nadal są dostępne dla złodzieja ?

  49. Dziwi mnie takie podejście, skoro można aplikacją sprawdzić nr karty SIM. Nawet jeżeli wyrabia się duplikat to nr karty sim się zmienia na taki jak jest nadrukowany na karcie i tylko nr tel jest przypisywany do tego nr karty SIM. Jedynie co Aplikacja musi posiadać to uprawienia do odczytu tego nr. Można zastosować blokadę w postaci “kwarantanny” – w przypadku zmiany nr karty np. doba odcięcia od konta lub drastyczne automatyczne zmniejszenie kwot operacji jakie można wykonać lub wprowadzenie jeszcze innego kanału weryfikacji w dostępie do konta (może być upierdliwy ale bezpieczny). Przeciętny user nie zmienia karty lub operatora co 2 m-ce by było to aż tak upierdliwe.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.