6/8/2018
W 9 odcinku niebezpiecznikowego podcastu pt. Na Podsłuchu Marcin Maj, Kuba Mrugalski i Piotr Konieczny opowiadają o tym, jak jedni ludzie robią drugich ludzi w wała przez telefon. Taki tradycyjny, niekoniecznie smart, czyli o oszustach, których moc polega na dobrej gadce. Posłuchajcie całego odcinka i jeśli znacie inne triki niż te o których mówiliśmy — dajcie nam znać w komentarzach.
Posłuchaj tego odcinka
Listen to “NP #009 – ten o oszukiwaniu ludzi przez telefon” on Spreaker.
Linki do omawianych zagadnień
Internetowe oszustwa na Niebezpieczniku opisujemy regularnie pod tagami takimi jak: scam, oszustwo, oszustwa, przekręt. Warto zapoznać się z każdym z artykułów.
W odcinku przywoływaliśmy m.in. poniższe zagadnienia:
- Pracownicy banku, którzy dzwonią i proszą klienta o “zidentyfikowanie się”
- O tym jak łatwo jest zbierać dane, mając np. tylko numer telefonu ofiary
- O tym jak łatwo jest zebrać cudze dane osobowe z internetu, także umowy i skany dowodów
- O tym, jak dużo informacji skrywa PESEL i co złego można komuś zrobić, kiedy ustalimy jego PESEL…
- O tym jak Urząd Skarbowy identyfikuje Polaków po głosie i że BZWBK robi to samo.
- O tym, że będzie można kogoś impersonifikować, i że już robi się to w ramach tzw. Deep Fakes
- O tym, że Mateusz Biliński, który miał wykład na Infoshare w tym roku, prowadzi u nas szkolenie z Bezpieczeństwa Aplikacji Mobilnych. Najbliższe 6-7 września w Warszawie — zapraszamy do rejestracji :)
- O atakach side-channelowych i tym jak tło (fluktuacja / szumy) w sieci elektrycznej można wykorzystać do fingerprintingu (ustalenia czasu nagrania).
- O tym jak fałszywe SMS-y z Biedronki potrafiły nabrać całkiem rozsądnych ludzi (i dlaczego)
- O tym jak za darmowe aplikacje mobilne płacimy swoimi danymi, czyli podsumowanie badania uczestników Openera przez firmę Selectivv.
- O tym jak można fałszować numer SMS-a …i o tym, jak jeden z Polaków dostał za to 4 lata. I jak można (było) dzięki temu autoryzować przelewy w banku.
- O tym jak precyzyjnie można targetować ludzi reklamami przez Facebooka
- O scamie na połączenia nieodebrane z zagranicy i prefiksie przypominającym polskie numery kierunkowe, np. +53.
- O tym jak można było hackować fax
- O tym jak hackowało się kiedyś budki telefoniczne (Urmet!) aby dzwonić z nich za darmo

Jeśli interesują Cię inne popularne w Polsce przekręty i oszustwa a dodatkowo chciałbyś dowiedzieć się jak zabezpieczyć się przed innymi atakami na Twój komputer i smartfon oraz prywatność, to zapraszamy do udziału w naszym wykładzie pt. “Jak nie dać się zhackować?“. W najbliższych miesiącach odwiedzimy Warszawę, Kraków, Katowice, Wrocław i Gdańsk. Rezerwacja miejsc tutaj.
Zasubskrybuj nas, aby nie przegapić nowych odcinków
Najwygodniej jest nas zasubskrybować poprzez dowolną aplikację do słuchania podcastów. Po prostu wpiszcie “niebezpiecznik” w wyszukiwarce, a Waszym oczom ukaże się:
Kliknięcie w “Subscribe” sprawi, że będziecie automatycznie informowani o kolejnych odcinkach. Możecie też kliknąć w poniższy przycisk, aby zapisać się na podcast przez iTunes:
Będziemy też superwdzięczni, jeśli ocenicie nasz podcast na 5 gwiazdek. Dzięki temu “zhackujecie” algorytmy poleceń i więcej osób będzie w stanie nas usłyszeć i w konsekwencji zabezpieczyć się przed internetowymi oszustwami.
Wszystkie odcinki w jednym miejscu na YouTube
“Na Podsłuchu” ma także swoją stałą stronę na Niebezpieczniku:
Tam znajdziecie player pozwalający odsłuchać wszystkie odcinki, oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi). Można nas też słuchać na YouTube.
Do podsłuchania!
Możecie w końcu ogarnąć normalne mikrofony? Jedynie Kubę dobrze słychać. Nie możecie zainwestować w mikrofony?
To nie Marek Niedźwiecki, ani Wojciech Mann.:)
Taki Heil, to tysiaka kosztuje.
@Jacek – wpisać w koszta firmy? Poza tym ta branża chwali się zarobkami do 20k netto miesięcznie, więc jest z czego kupować. No chyba, że to tylko przechwałki były…
Akurat w tym odcinku dźwięk był bardzo dobry. Tylko jeden pan brzmiał jak z zaświatów (ten, który się podobno dźwiękiem zajmuje) :)
Na Ali można kupić w miarę przyzwoite mikrofony za jakieś 20EUR.
Ja tam dobrze slyszalem, a jesli Ci jakosc przeszkadza to co bedzie jesli glos bedzie zanonimizowany ? Przeciez jakosc tez bedzie nie najlepsza.
Panowie, motyw z telefonem od sąsiadki to “zlecenie” z apki na andorida. Umozliwia ona robienie pranków automatycznie nagranie odtwarza sie kiedy ofiara odbiera telefon. Podajesz tylko numer i dzwoni. (nazwa apki to Juasapp lub Jokesphone)
Jedna uwaga. O ile się orientuję to nie da się dzwonić na numery premium za granicę. I to co najmniej 8 lat. Jedyne co kosztuje ekstra w przypadku oddzwonienia, to rozmowa międzynarodowa. Oszust zarabia jedynie na rozliczeniach międzyoperatorskich!
Owszem, można się naciąć na +808xxx czy +87xxx ale nie na +242xxx!
Na początku audycji wspomnieliście, że wstawicie w odcinku nagranie z oszustwa, ale chyba o nim zapomnieliście.
– z czasów niebieskich urmetow
– 00800xxxxxxx – znany numer zestawiający 0202122
– w czasach kiedy wchodziły serwisy “na kartę” – dzwoniło się na 0800 który prosił o numer wykupionej karty i łączył. Szybki DoS pozwalał zawieszac automat i tez dostawało się nosna. 0202122 nie dawało bo szło przez satelity i było echo. Ale gadac można było że free – Telekomunikacja Chile :)
– mityczny 974 (jak dobrze pamiętam) na niebieskich urmetach
– a głowice od szpulowcow i analiza prążków?
– skanowanie PBX w firmach i przełączanie się na inne linie?
1200 baud i z guard tonem 1800Hz tez nie dawalo rady? :)
Kiedy podcast #009 będzie dostępny na youtube?
Od początku jest.
wlasnie. kiedy podcast #010 bedzie dostepny na youtubie?
Jak go kiedyś nagramy
Odnośnie tego, o czym mówiliście około 21 minuty — tak, jest ktoś, kto monitoruje i nawet rejestruje fluktuacje częstotliwości prądu w sieci energetycznej. Robi to spółka Polskie Sieci Energetyczne S.A i te zapisy są czasem wykorzystywane do ustalania autentyczności nagrań:
clk.policja.pl/download/4/141161/001-korycki.pdf
W ten właśnie sposób były badane słynne nagrania z restauracji “Sowa i Przyjaciele” (afera taśmowa). Ekspertyza biegłego jest w XXI tomie akt “wyciekniętych” przez Stonogę.
Truecaller po 25 maja usunął dane wszystkich użytkowników nie-biznesowych:
“As of May 25th, all personal data for private persons shall be removed. So, if you’re not a Truecaller user, or have an active account then your data shall be deleted already. Note, this does not apply to numbers owned by businesses.
If you are currently using the app, please go to the apps Setting -> Privacy Center -> Manage My Data where you can view and download the data, or delete it.
If you are not currently using the app, we recommend you to login into the Truecaller app with the number associated with your account, and for you to go to Apps Setting -> Privacy Center -> Manage My Data.”
Swietny pomysl zeby konsultant ktory dzwoni do nas z banku w ramach weryfikacji zamiast PESELu pytal o kilka cyfr telekodu. Moze jeszcze kilka znakow hasla;););) Poza tym odcinek dobry:)
HSBC stosuje w UK autoryzację głosowa już od dłuższego czasu. Totalne dziadostwo. BBC pokazało na antenie jak proste jest oszukanie systemu. Jeden z dziennikarzy zalogowal sie głosowo na cudze konto i uzyskał do niego pełny dostęp.
Ten system autoryzacji wykorzystuje obecnie większość banków jak i agencje rządowe. Osobiście wolę przechodzić mozolne powtarzanie haseł i oczekiwanie na operatora,niż kilkakrotnie powtarzać określoną frazę i walczyć z maszyną…please say again.
Piotr
Jeśli chodzi o ten numer z wygraniem suszarki w losowaniu, do którego samemu się nie zgłaszało, i możliwością jej otrzymania jeśli wykona się przelew, to mogła być to próba autoryzacji założenia nowego konta bankowego na dane osobowe osoby “wylosowanej” lub potwierdzenia zawarcia umowy pożyczki na dane osobowe tej osoby. Taki przelew autoryzacyjny z prawdziwego konta osoby “wylosowanej” otwierał możliwość zaciągania kredytów i pożyczek (oczywiście z założeniem, że ten kto faktycznie to konto zakładał nigdy ich nie spłaci), o których “wylosowany” dowiadywał się na etapie egzekucji komorniczej (adres zamieszkania podawano fałszywy i pozew z e-sądu zazwyczaj wracał z adnotacją “nie odebrano w terminie” i nakaz zapłaty się uprawomocniał, a sprawa wychodziła jak komornika zajmował np. pensję). Niektóre banki umożliwiały, a może i jeszcze umożliwiają, założenie konta bankowego przez internet i aktywowanie na takim koncie np. linii kredytowej. Oczywiście były też potrzebne dane osobowe (imię, nazwisko, numer i seria dowodu osobistego, PESEL), ale te mogły zostać zdobyte np. poprzez zawarcie uprzednio z “wylosowanym” umowy najmu (np. komórki lokatorskiej w piwnicy). W takiej umowie uzyskiwano też też nr telefonu do “wylosowanego”. Poza tym przy wykorzystaniu takiego mechanizmu i takich danych osoby nieuprawnione mogły zaciągnąć pożyczki w niektórych podmiotach oferujących pożyczki przez internet.
Dzięki za ten odcinek! Jak zwykle ciekawie no i uśmiałem się do łez z:
– ataku DoS na fax (i jeszcze to brzydkie słowo lol)
– „jak sprawić by konsultant się rozłączył? No, zwyzywać go!” – mistrz Panie Marcinie :)
kiedys po podaniu wielu szczegulowych danych przez telefon pani Beacie z banku zamoznych klientow w sprawie dozywotnio :) darmowej karty kredytowej zadzwonilem do banku w celu weryfikacji pani…
…na szczescie byla wspolpracownikiem…
…ale do dzis mam na nia namiary w razie w.
dalo do myslenia.. bardzo czesta metoda weryfikacji niestety a to usypia czujnosc
pozdrawiam, fajny kanal ^^
Kod preselekcji wstawiało się PRZED numerem kierunkowym miasta. Nie było możliwości za pomocą kodu ustawić domyślnej preselekcji – co najwyżej można było w niektórych nowszych (czyli wprowadzonych na rynek w okresie boomu preselekcyjnego) modelach telefonów ustawić taka preselekcję – ale mało kto miał taki telefon no i w każdym się to robiło inaczej. Więc szanse powodzenia akcji słabiutkie. No i jak miałby ktoś tak uzyskać pieniądze… To praktycznie właściciel firmy operatora musiałby chodzić ;) Już prędzej te przekierowania mogły być wykorzystywane – bo kody te same na każdej centrali