16:16
13/1/2018

Ciekawą kradzież opisał jeden z użytkowników Wykopu. Jego Tata najpierw odebrał SMS-a z T-Mobile, że ustawiono przekierowanie rozmów przychodzących na jego numer na inny numer telefonu, a następnie zorientował się, że ktoś ukradł mu pieniądze z konta w banku.

Jak przebiegał atak?

Z naszych ustaleń wynika, że przestępca uzyskał dostęp do skrzynki pocztowej ofiary.. Jak? To pozostaje zagadką. Mógł poznać hasło ofiary, które wyciekło z innego serwisu i było takie samo jak do skrzynki e-mail, mógł wcześniej przeprowadzić atak phishing na ofiarę. Analiza korespondencji, która się znajdowała się na skrzynce ofiary, pozwoliła przestępcy na pozyskanie kilku informacji na temat ofiary, co najmniej takich jak jego PESEL i nazwisko panieńskie matki. Nie jest tajemnicą, że sporo osób korzysta z e-maila do przekazywania np. skanów umów ubezpieczycielom czy innym podmiotom… Zwróćcie też uwagę, że atak na e-maila jest opcjonalny — dane takie jak czyjś PESEL, numer telefonu i panieńskie matki można pozyskać z innych źródeł.

Przekierowanie numeru telefonu na inny po stronie T-Mobile

Bogatszy o tę wiedzę, przestępca ustawił przekierowanie rozmów przychodzących z numeru telefonu ofiary na swój numer telefonu (79667176x). Jak? Z naszych ustaleń wynika, że ofiara nie miała żadnego “internetowego konta w T-Mobile”, do którego hasło możnaby odzyskać przez kontrolowaną już na tym etapie skrzynkę e-mail ofiary. Przestępca musiał więc wydać dyspozycję przekierowania numeru inaczej. Zapewne skontaktował się z infolinią T-mobile i tam uwierzytelnił się jako ofiara. Wielu danych nie musiał mieć. Wedle naszego czytelnika wystarczy PESEL i nazwisko ofiary. To trochę …skandaliczne:

T-Mobile na szczęście informuje abonenta SMS-em, że jego numer został “przekierowany” na inny. Te SMS-y ofiara dostała, ale niestety nie od razu zrozumiała, czym to może grozić i nie zareagowała w porę kontaktem z operatorem.

Zwróćcie uwagę, że nie ma przekierowania SMS-ów. Przekierowane zostały tylko połączenia telefoniczne.

Kradzież pieniędzy z konta w mBanku

Chwilę po przekierowaniu rozmów, z konta ofiary w mBanku zniknęły pieniądze. Jak? Skoro przestępca nie dysponował loginem i hasłem do konta bankowego ofiary? Jak? Skoro aby zmienić numer telefonu przypisany do konta w mBanku trzeba albo móc odebrać SMS na starym numerze (a przestępca nie jest w stanie odbierać SMS) albo dysponować dowodem i zrobić to w placówce (a przestępca nie ma dowodu ofiary i jest to ryzykowne) albo wysłać wniosek potwierdzony notarialnie (znów przestępca nie ma dowodu ofiary i jest to ryzykowne)?

Strzelamy Wiemy z całą pewnością, że przestępca na tym etapie zainstalował aplikację mobilną mBanku, którą ktoś może aktywować w imieniu innej osoby bez konieczności znajomości loginu i hasła tej osoby do jej konta bankowego, o ile zna następujące dane:

  1. PESEL
  2. nazwisko panieńskie matki
  3. i ma możliwości odebrania połączenia (nie SMS-a!) głosowego na numerze ofiary (automat mBanku czyta PIN, który trzeba przepisać)
Proces aktywacji aplikacji mobilnej mBanku

Proces aktywacji aplikacji mobilnej mBanku

Jak widać, na tym etapie przestępca miał wszystko, czego potrzebował aby aktywować aplikację mobilną mBanku. Po aktywacji, bez znajomości loginu i hasła ofiary, przestępca był w stanie wyprowadzić środki BLIK-iem lub przelewem (zapewne na jedną z giełd kryptowalut, jak to zwykle bywa).

Domyślne limity dla aplikacji mBanku

Domyślne limity dla aplikacji mBanku

Na szczęście, w tym wariancie ataku, aplikacja mobilna mBanku ma po stronie banku nałożone limity. Nie można za jej pomocą wyprowadzić z konta więcej niż 5000 złotych. Więc szczęście w nieszczęściu — starty ofiary powinny być raczej niewielkie w porównaniu do innych ataków, w których ludzie tracą setki tysięcy złotych.

Domyślny limit w aplikacji mBanku

Domyślny limit w aplikacji mBanku

Warto też odnotować, że po takim dopięciu aplikacji mobilnej, mBank wysyła SMS-a na numer telefonu właściciela konta, a więc może się on dowiedzieć, że zaRaz może stracić pieniądze. O ile w porę SMS-a odczyta…

Wygoda a bezpieczeństwo w bankach…

Niektórych może zastanawiać, dlaczego mBank przy kojarzeniu aplikacji mobilnej z kontem nie prosi o podanie loginu i hasła. My się domyślamy powodu technicznego, ale żeby być pewnym, skierowaliśmy w tej sprawie do mBanku oficjalne zapytanie. Powód nietechniczny jest oczywisty. Łatwość konfiguracji, która jest równoważona minimalizowaniem ryzyka ewentualnej kradzieży środków przez domyślny limit na wypłatę przez aplikację. To oznacza, że zapewne takich ataków, jak opisany w tym artykule, mBank nie odnotowuje jeszcze zbyt wiele i nie stanowią istotnego (czyt. kosztownego dla banku) problemu.

Dostępność bankowych usług a ich bezpieczeństwo to swoją drogą ciężki orzech do zgryzienia. Chyba najboleśniej w Polsce przekonał się o tym BZ WBK, który kiedyś wpadł nie niezbyt rozsądny pomysł wyłączenia dwuskładnikowego uwierzytelnienia swoim klientom dla pewnych transakcji i bardzo szybko bardzo mocno tego pożałował, por. Fatalna decyzja banku BZ WBK ułatwiła kradzież setek tysięcy złotych z kont klientów.

Mam konto w (m)Banku — co robić, jak żyć?

1. Przede wszystkim, stosuj unikatowe hasła, czyli inne do każdego konta i włącz dwuskładnikowe uwierzytelnienie na swojej skrzynce e-mail. To od nieautoryzowanego dostępu do skrzynki e-mail zaczął się opisywany w artykule atak. Dwuskładnikowe uwierzytelnienie najlepiej skonfigurować w oparciu o token U2F np. Yubico. Jak to zrobić i dlaczego właśnie w tak opisaliśmy w artykule Każdy użytkownik GMaila powinien to przeczytać. Niezależnie od tego jaki ktoś ma stosunek do firmy Google, naszym zdaniem to GMail daje przeciętnemu internaucie największe bezpieczeństwo, o ile zostanie poprawnie skonfigurowany.

2. Dobrze byłoby też zablokować możliwość przekierowania swojego numeru telefonu na inny po stronie operatora, ale niestety nie są na znane takie blokady w przypadku sieci T-Mobile. Prawdą też jest, że ktoś może Wam złośliwe przekierowanie ustawić na wiele sposobów i czasem prosta technika na pracowniku operatora wystarczy. To jest poważny problem, ale niestety nie będziecie w stanie nic na to zaradzić. Dlatego lepiej po prostu kupić dodatkową kartę SIM (nowy numer) i ten numer, niepodawany nikomu i nigdzie niewykorzystywany skonfigurować jako numer do SMS-ów z kodami po stronie banku. Tak, jest to upierdliwość, bo trzeba będzie nosić ze sobą dodatkową kartę SIM. No cóż, bezpieczeństwo wymaga poświęceń.

Z naszego krótkiego researchu wynika, że najlepsza będzie karta prepaid w Plusie/Plush lub Orange. Dla kart pre-paid Plus i Orange w ogóle nie oferują możliwości włączenia przekierowania połączeń. Czy to przez infolinie, czy krótkim kodem. Dla numerów abonamentowych w Plusie, przekierowanie jest możliwe, ale tylko krótkim kodem wprowadzanym z telefonu, nie przez infolinię.

3. Zmień limit w banku dla aplikacji mobilnych. Ustaw go na zero, jeśli nie korzystasz z aplikacji mobilnej. W mBanku robi się to w Ustawienia –> Bezpieczeństwo –> Limity:

Zauważ, że wcale nie potrzebujesz aplikacji mobilnej mBanku. Operacje na swoim koncie możesz robić po prostu za pomocą przeglądarki internetowej na telefonie. Więc spokojnie możesz “wyzerować” te limity. Pamiętaj, że instalowanie jakiejkolwiek dodatkowej aplikacji, która nie jest nam niezbędna (a aplikacja mBanku do takiej kategorii należy) zwiększa ryzyko innych ataków. A bo sciągniemy nie tą co potrzeba, a bo na Androidzie ktoś nas zainfekuje i wykradnie dane z tej aplikacji, a bo producent aplikacji będzie miał dostęp do naszych danych na telefonie, takich jak książka kontaktowa czy lokalizacja, co może mieć negatywny wpływ na naszą prywatność. Oczywiście możesz też uznać, że aplikacja jest dla Ciebie na tyle wygodna, że ewentualna strata 5000 PLN i opisane wyżej “ryzyka” są do zaakceptowania — ważne żebyś wiedział, czym grozi brak wyzerowania limitów, jeśli masz numer telefonu w T-Mobile, a ktoś zna nazwisko panieńskie Twojej mamy i Twój PESEL.

Na sam koniec warto wspomnieć o jeszcze 3 trikach, które warto zastosować, a które nie tylko minimalizują ryzyko kradzieży środków, ale także pozwalają szybko wykryć ewentualny nieautoryzowany dostęp do naszego rachunku:

  1. Ustaw limity autoryzacyjne także dla innych typów transakcji. Przede wszystkim dla kart płatniczych (robi się to w innym miejscu niż limity dla konta). O tym dlaczego, mówiliśmy w drugim odcinku naszego podcastu Na Podsłuchu.
  2. Ustaw powiadomienia e-mail i SMS o przelewach wychodzących w ustawieniach konta. Dowiesz się, jeśli jakieś środki opuszczą Twój rachunek, a po dodatkowej konfiguracji, dostaniesz też informację, że ktoś zalogował się do twojego konta w serwisie internetowym banku lub uwierzytelnił się jako ty na mLinii. Jeśli to nie byłeś ty — powiadom jak najszybciej bank.
  3. Włącz szyfrowanie wyciągów. Dzięki temu, ktoś kto włamie Ci się na pocztę, nie będzie w stanie poznać wysokości twojego salda, szczegółów rachunku, historii ostatnich operacji i innych danych, które mogą być przydatne w atakach socjotechnicznych m.in. na infolinię banku.
Jeśli niestety czytasz ten artykuł jako ofiara, którą ktoś okradł, to pamiętaj aby zastrzec swój dowód osobisty, jeśli miałeś jego obraz lub dane, które się na nim znajdują na e-mailu (imię, nazwisko, pesel, numer i serię). Przestępcy często wyrabiają tzw. “dowód kolekcjonerski” na pozyskane w ten sposób dane i za pomocą takiego dowodu wnioskują o pożyczki w różnych firmach i bankach. Pożyczek nie spłacają a dług dotyczy …twojego PESEL-u. Dowód możesz zastrzec w każdym banku lub na policji.


Aktualizacja 13.01.2018, 17:57
W pierwszej wersji tego artykułu znajdował się akapit sugerujący, że jedną z metod ochrony jest instalacja aplikacji mBanku zanim zrobi to przestępca. To miało blokować możliwość instalacji kolejnych kopii aplikacji. Niestety, sprawdziliśmy i konsultant na mLinii z którym rozmawialiśmy wprowadził nas w błąd. Zainstalowanie aplikacji nie blokuje możliwości spięcia kolejnej jej kopii na innym urządzeniu z tym samym kontem bankowym. Ktoś, kto ma PESEL, panieńskie matki i przekierowany numer ofiary, jest w stanie dopiąć do jej konta kolejną aplikację mobilną mBanku. Błędny akapit usunęliśmy i zamiast niego wstawiliśmy poradę dotyczącą zmniejszenia limitów transakcji aplikacji mobilnej na zero.


Aktualizacja 14.01.2018, 15:00
Piotr Rytkowski, zastępca rzecznika prasowego mBanku, przesłał nam właśnie następujące oświadczenie dotyczące tego incydentu:

Przypadek opisany przez portal niebezpiecznik.pl wynika z niewystarczających zabezpieczeń procesu przekierowywania rozmów po stronie operatora komórkowego. Zlecenie przekierowania rozmów jest w naszej ocenie krytyczną operacją i powinno wymagać tzw. silnego uwierzytelnienia, opartego na elementach będących w posiadaniu wyłącznie uprawnionego właściciela telefonu. Bazowanie wyłącznie na podstawowych danych osobowych klienta, łatwych do pozyskania przez przestępców, jest niewystarczające. Jesteśmy w kontakcie z T-Mobile i wspólnie pracujemy nad bezpiecznym rozwiązaniem. Monitorujemy również podejrzane transakcje, które mogą być dokonywane przez przestępców i podejmujemy stosowne działania.

Proces parowania aplikacji mobilnej za pomocą połączenia głosowego i użyte w nim metody zabezpieczające przed atakami podlegały skrupulatnej ocenie ryzyka. Bank świadomie wybrał proces oparty na połączeniu telefonicznym, ze względu na znacznie większe ryzyko nieuprawnionego przechwycenia wiadomości SMS.

Jeśli zastanawiacie się, dlaczego wg mBanku łatwiej przejąć SMS, skoro operatorzy nie pozwalają na jego przekierowanie, to podpowiemy, że nie tylko na warstwie operatora można w sposób nieautoryzowany wejść w posiadanie treści z czyichś SMS-ów.


Aktualizacja 14.01.2018, 19:54
Na jaw wychodzą kolejne informacje w tej sprawie. Okazuje się, że złodziej podczas realizacji tego ataku przekierował nie jeden, a jak twierdzi, dwa numery telefonów. Pierwszy numer telefonu, który jak początkowo podejrzewał przestępca, należał do ofiary, okazał się być numerem nieskojarzonym z kontem w mBanku (my wiemy dlaczego, ale nie mamy upoważnienia, aby ten temat rozwinąć, nie jest to jednak istotne dla zrozumienia ataku ). Ten pierwszy z poznanych przez przestępcę numerów był numerem w sieci Play, a więc również i ta sieć — nie tylko T-Mobile, pozwala na łatwe (przez infolinię) przekierowanie numeru. Ponieważ jednak to nie był poprawny numer telefonu dla rachunku ofiary, aplikacji złodziejowi nie udało się aktywować.

Dopiero później przestępca zdobył faktyczny numer telefonu ofiary (ten w T-Mobile) powiązany z kontem w mBanku i go przekierował. Dalej historię już znacie.

To oznacza, że ofiara zanim jeszcze otrzymała powiadomienia z T-Mobile o przekierowaniu swojego numeru, wcześniej otrzymała połączenie z mBanku (służące do aktywacji aplikacji mobilnej). Nie wiemy, czy je odebrała i zignorowała, bo go nie zrozumiała (ktoś kto nie zna procesu aktywacji aplikacji mobilnej może to uznać za żart, w komunikacie głosowym nie ma informacji, że jeśli to nie my instalujemy aplikację to powinniśmy to jak najszybciej zgłosić do banku), czy połączenie to pozostało nieodebrane, bo ofiara była zajęta czymś innym — wtedy ciężko mieć do niej jakiekolwiek pretensje, bo dlaczego niby nieodebrane połączenie z numeru z Łodzi miałoby komukolwiek sugerować, że jakiś złodziej próbował autoryzować aplikację mobilną mBanku?

Jak informuje nas jeden z czytelników, poza T-Mobile, Playem przekierowanie rozmów przez infolinię po znajomości zaledwie nazwiska i PESEL-u i adresu e-mail użytkownika oferuje też Mobile Viking:


Zapoznaj się też z naszym darmowym poradnikiem dotyczącym tego jak bezpiecznie korzystać z bankowości internetowej pt. 6 rad jak bezpiecznie robić przelewy internetowe. Pokaż go swoim rodzicom i księgowym w firmie.

Zapraszamy też na nasz 3 godzinny wykład pt. “Jak nie dać się zhackować“, który odbędzie się w Poznaniu (31 stycznia). W trakcie prelekcji, na żywo pokażemy ataki na jakie obecnie narażeni są Polacy korzystający z internetu na komputerze i smartfonie, a następnie powiemy Wam jak się przed nimi najskuteczniej bronić. Cały wykład jest prowadzony przystępnym językiem, więc bez obaw możecie zabrać na niego swoich nietechnicznych znajomych, rodziców czy dziadków. Spieszcie się, bo zostały ostatnie wolne miejsca — agendę i rejestrację znajdziecie tutaj.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

145 komentarzy

Dodaj komentarz
  1. PESEL i nazwisko panieńskie matki są w wielu przypadkach ogólnodostępne, więc pozostaje tylko zrobić przekierowanie. Jak opisaliście sposób to teraz będą masowe przekierowania.

    • Dzień dobry,

      Właśnie wymyśliłem jak można zdobyć nazwisko panieńskie matki.
      Trzeba tylko trochę pochodzić. Z wiadomych względów nie wyjawię szczegółów.

      pozdrawiam
      Bogdan

    • Można się spytać o nazwisko dziadka… nie jest to typowe pytanie autoryzujące więc nie wzbudza podejżeń a jest takie samo jak panieńskei matki.

    • Że co !?! dalej oni tak robią ? Kpina w dobie darmowych kont pocztowych. Dziś jak i 8 lat temu( wtedy zakładałem konto i takiego babola dostałem na maila w postaci Otwartego pliku pdf wycia :( )

      “Włącz szyfrowanie wyciągów. Dzięki temu, ktoś kto włamie Ci się na pocztę, nie będzie w stanie poznać wysokości twojego salda, szczegółów rachunku, historii ostatnich operacji i innych danych, które mogą być przydatne w atakach socjotechnicznych m.in. na infolinię banku.”

    • u mnie to musieliby najpierw coś wpłacić na konto… ;-/

    • @Tom: Tak się nie ciesz, bo ostatnio było o kobiecie, co nie miała nic na koncie, ale była tam oferta kredytu na kilkanaście tysięcy, więc go wzięli bez jakichkolwiek pytań czy dostarczenia dodatkowych dokumentów i jest w plecy te kilkanaście tysięcy.

  2. … a powiadomienia email/sms o przelewach przychodzą z poprzedniego dnia albo są tak płatne, że nie jest to tego warte.

    • w Inteligo usuga “sms po transakcji” kosztuje ryczałtowo 4 zl/m-c a sms dostajesz w momencie autoryzacji transakcji, czyli stojąc jeszcze z kartą w reku przy kasie, czy bankomacie, albo zanim zdążysz nacisnąć “wyloguj” z serwisu www Inteligo. Polecam.

    • A z appki mobilnej natychmiast (przynajmniej w millenium i ing). Jak w sklepie płacę kartą, to Pani drukuje paragon, a mi miband wibruje z powiadomieniem.

    • I właśnie choćby po to jest potrzebna appka mbanku na telefonie. Zanim na terminalu zobaczę potwierdzenie transakcji komórka wcześniej wibruje w kieszeni z powiadomieniem o transakcji kartą. To samo się tyczy przelewów. Po poustawianiu odpowiednich limitów myślę, że to bezpieczniejsze.

    • Apka do tego niepotrzebna – SMSy z powiadomieniami przychodzą równie szybko.

  3. dodatkowa karta sim nic nie da, ostatnio kupiłem karty wszystkich operatorów, zarejestrowane przez bank, jakimś cudem wszystkie numery były znane telemarketerom i ja też im byłem znany “Panie Karo zapraszamy na pokaz widelców” a dodam, że karty były tylko używane do internetu

    • Ano właśnie…

      „Dlatego lepiej po prostu kupić dodatkową kartę SIM (nowy numer) i ten numer, niepodawany nikomu i nigdzie niewykorzystywany skonfigurować jako numer do SMS-ów z kodami po stronie banku.”

      A może po prostu bank niech się rypie z takim podejściem do klienta?

    • Dlatego rejestracja numerów u operatorów to patologia. Jeśli państwo chce tych danych, to niech je sobie zbiera w swojej bazie, operator powinien dostać tylko info, że numer zarejestrowano, bez żadnych danych jeśli ktoś sobie tego nie życzy.

      Nie mam żadnego zaufania do telekomów, już e-mail kiedyś wyciekł i był spam, później wysyłanie reklam sieci, trafiła się próba aktywacji niezamawianego pakietu usług, nawet serwisant dzwonił się umówić, po reklamacji podobno numer przypisali do innego zamówienia, jak, czemu, nie wyjaśnili. Te dane wcale nie są poprawnie chronione, więc nie powinno się ich operatorom podawać.

    • dopilnowałem np zeby przy rejestracji karty iplus w moim przypadku nie zaznaczyli ani jednego pola ze zgód marketingowych :

  4. > Dowód możesz zastrzec w każdym banku lub na policji.

    1) Czy na pewno w *każdym* banku? O ile pamiętam to niektóre przyjmują tylko od swoich klientów.

    2) Od kiedy policja zastrzega dowody? Na razie można tylko zgłosić jego kradzież…

  5. Można jeszcze wyzerować limity transakcji wykonywanych z aplikacji mobilnej w mBanku. Ja tak mam, aplikacja służy mi tylko do podglądu, wszelkie operacje wykonuję z kompa z poziomu www.

    • Z Intel inside.

  6. Instalacja aplikacji Mbank na kolejnym urządzeniu. Ciekawe bo ja wlasnie zainstalowalem dzis na nowym telefonie apke Mbank i uwierzytelnilem sie :) Wiec opowiesci, ze sie nie da sa bzdura. Ponadtto na stronie www usunalem inny stary telefon, który mial dostep do aplikacji. Bank zachowni ma uwierzytelnianie, Mbank po stronie www tego nie posiada. Dlaczego ? Pytanie do Mbank.

  7. Fajne dobre rady ale co zrobić jak bank cofa się w rozwoju. Np inteligo wyłacza logowanie dwuetapowe za pomocą tokena.

    • Zmienic z punktu bank. Z punktu.

  8. Dlatego zawsze przy zakładaniu konta należy podać nieprawdziwe nazwisko panieńskie matki. Bank tego nie sprawdza, nazwisko zna tylko posiadacz konta. Proste i skuteczne.

    • To jest dobry pomysł, ale jednak trochę ryzykowny niektórych sytuacjach.

    • Problem może pojawić się w przypadku śmierci. Bank może robić problemy. Nie nam, ale naszym bliskim.

    • Jeśli włamywacz pozyskał nazwisko panieńskie matki _dla danego banku_ z twojej poczty, to zmienne nazwisko panieńskie nic nie da.
      Poza tym, czy banki nie raportują do BIK-u nazwiska panieńskiego wśród innych danych kredytobiorcy?

    • q, naiwny – zawsze można podać z celowym błędem ortograficznym lub literówką. Np. jak matka miała na nazwisko Rzewnicka, to podać Żewnicka. W razie czego zwyczajna pomyłka przy podawaniu albo palec się omsknął i bank nic nie powie. A jakieś zabezpieczenie przed przestępcami jest.

      A jeśli przestępca ma dostęp do twojej poczty, to już i tak masz przesrane, nieważne gdzie masz konto. I to dotyczy zarówno e-maila jak i poczty tradycyjnej.

  9. A może kurier? Ilu kurierow zamyka w kopercie przy kliencie podpisaną umowę z mBankiem? A na umowie znajdzie wszystko co jest potrzebne do przeprowadzenia tego ataku. To już od dłuższego czasu postrzegam jako najsłabsze ogniwo w całym procesie.

    • tia, najlepsze jeat to, że kiedyś po otwarciu rachunku w placówce dostawałeś maila z potwierdzeniem w PDF zawierające twój PESEL

  10. “Przestępcy często wyrabiają tzw. “dowód kolekcjonerski” na pozyskane w ten sposób dane i za pomocą takiego dowodu wnioskują o pożyczki w różnych firmach i bankach. Pożyczek nie spłacają a dług dotyczy …twojego PESEL-u.”

    No to niech PESEL spłaca!
    Kto dał pożyczkę na fałszywy dowód? Pracownik banku, czy właściciel dowodu?
    Skoro bank dał ciała, to niech dogaduje się z przestępcami, a nie z uczciwym człowiekiem.

    Co jakiś czas czytam o takich pożyczkach, i za każdym razem podnosi mi się ciśnienie. Uczciwy obywatel musi zostać ograbiony z pieniędzy, bo tak zadecydowali za niego przestępcy i współpracujący z nimi pracownicy banku. Chore.
    Czy ta patologia kiedyś się skończy?

  11. w orange na kartę też nie ma przekierowań.
    A smsów technicznie nie da się przekierować nigdzie, więc wystarczy że mbank zacznie wysyłać smsy a nie dzwonić.

    • Wtedy “tylko” kumpel na imprezie ci odczyta kod z SMS-a, bo mało kto blokuje treść sms na “lockscreen”.

    • Bez presady. Kto ci bedzie w telefon zagladac. Ja nie pozwalam i tyle. A jak ktos sie panoszy to moze w nos oberwac. Sory ale prywatne rzeczy to prywatne i nie ma dotykania.

    • Play miał kiedyś taką usługę, że smsy mgł być przekierowane na email… yyyy “nie da się”

    • A może niech zaczną używać signala do przesyłania smsów autoryzacyjnych?

    • Na Windows Phone nie ma podglądu przychodzącego smsa ma ekranie blokady

  12. Dwuskładnikowe uwierzytelniane jest dobre tylko nie da go się zastosować w programach pocztowych.

    • Bo tam stosujesz application passwords, generowane per aplikacje niewspierająca 2fa

    • nie da się też z tego co mi wiadomo w poczcie o2 (nawet w tej płatnej wersji) i niestety nie mogę przekonać niektórych bliskich, żeby przenieśli się do kogoś, kto oferuje 2factor na mailu. W końcu w dzisiejszych czasach to podstawa.

      Może wy drogi Niebezpieczniku chcielibyście spojrzeć na 2factor na polskich serwisach, wysłać do nich jakieś oficjalne zapytania i potem opublikowac artykuł sugerujący od kogo lepiej się wynieść? Macie dużo większą siłę przebicia niż zwykły zjadacz chleba, nawet moja rodzina może wam da się przekonać.

    • GMail lub proton (jeśli już mają 2fa)

    • Proton nie ma 2fa.

    • Protonmail ma 2FA tylko w wersji płatnej.

    • Poprawka, obaj się mylimy. 2fa dostępne dla wszystkich kont, ustawiane z interfejsu webowego (brak śladu 2fa w aplikacji).

  13. W Orange na kartę nie ma i nigdy nie było przekierowań. Takie udogodnienia tylko w abonamencie. To jednak nie znaczy, że się nie da. Jak ktoś ma dostęp do sygnalizacji SS7 to może postawić fałszywą centralcę MSC, zgłosić do rejestru HLR “zalogowanie” telefonu i w ten sposób przekierować na siebie cały ruch przychodzący! :)

  14. Jak się zmniejszy limit, to pewnie za pomocą infolinii można te limity zmienić, pewnie do tych 5000

  15. No ale to kicha jak można zainstalować aplikację mBanku bez znajomości logina i hasła do konta bankowego.
    Wystarczy ukraść telefon właścicielowi konta, którego PESEL i nazwisko panieńskie matki znamy.
    Instalujemy aplikację mBanku i mamy pełny wgląd w konto. Jak BLIK jest włączony, to możemy wypłacać pieniądze w każdym bankomacie i dokonywać płatności w internecie.
    Jak rozumiem nawet jak jest wcześniej zainstalowana aplikacja mBanku z hasłem, to wystarczy ją odinstalować i zainstalować na nowo.

    Kiedyś ta aplikacja mBanku nie miała tego “parowania z kontem” za pomocą PESELu i nazwiska pańskiego matki. Do tego trzeba było w serwisie transakcyjnym włączyć jawnie chęć używania aplikacji mobilnej. Nie ma to jak rozwój oprogramowania :) żeby byłołatwiejsze w użyciu.

    • Nie, sama znajomość PESELu i nazwiska nic nie da, bo na tel. zarejestrowany w systemie mBanku następuje oddzwonienie z podaniem kodu, który trzeba do app wprowadzić, by się sparowała z kontem.

  16. @autor: ej, ale dlaczego piszesz, że bezpieczne jest używanie serwisu transakcyjnego na przeglądarce w telefonie – przecież jeśli przypadkiem to na ten sam telefon przychodzą smsy z kodem do autoryzacji operacji, to namawiasz ludzi do kardynalnego błędu: oba składniki uwierzytelnienia operacji (np. przelewu) będą na tym samym urządzeniu!
    To na pewno przemyślana sugestia?

    • Korzystanie z przeglądarki jest podane jako bezpieczniejsza (głównie pod kątem prywatności) alternatywa dla aplikacji mobilnej. W sytuacji gdy ktoś korzysta z aplikacji mobilnej też ma oba składniki na jednym urządzeniu.

  17. Dzieki za artykul.

    Nie wiem czy orientowaliscie sie, ale zaskoczony dzisiejszym wykopem sprawdzilem jak sytuacja sie ma w przypadku sieci PLAY. Wyglada na to, ze uzywajac PLAY24 albo SMSa jestesmy w stanie przekierowac wszystkie SMSy na adres email. Jesli defaultowym emailem w takim przypadku bedzie ten uzyty do rejestracji w PLAY24 (nie sprawdzalem) – tez srednia opcja jesli mamy tego samego maila do banku i PLAY24.

    Sprawdzaliscie to moze?

    Pozdrawiam!

    • zgadza się, kiedyś była taka usługa – albo wygoda, albo bezpieczeństwo

  18. Wszystko ok, ale jedno pytanie: w jaki sposób wyprowadzili kasę z konta jesli w przypadku mBanku każdy przelew poza zdefiniowanych odbiorców wymaga potwierdzenia SMSem (a do tych jak piszecie nie było dostępów) lub poprzez mobilną autoryzację. Telefonicznie tez się da, ale tam wymagają znajomosci telekodu itd… Stawiam na mobilną autoryzację właśnie, bo z tego co pamietam żeby ją włączyć wystarczy kliknąć opcję aktywuj… w samej aplikacji. Jeśli tak faktycznie jest, to hulaj dusza.

    • można np. wypłacać BLIKiem z generacją kodu potwierdzającego właśnie w tej aplikacji mobilnej.

    • nie wymaga bo apka ma własne hasło/pin do logowania i zatwierdzania transakcji, dodatkowo tak jak pisano, sama może pełnić funkcję zatwierdzacza zamiast kodów sms przy tranaakcjach przez stronę www

  19. UWAGA!!! WAŻNE!!! Chciałabym wspomnieć, że aplikacja mBanku ma możliwość ustawienia weryfikacji transakcji i innych operacji na koncie poprzez samą aplikację. Nie potrzebujemy wtedy żadnych kodów SMS. Wszystko autoryzujemy przez aplikację. Zmiany limitów też. Na szczęście aplikacja nie pozwala na zmianę limitów dokonywanych mobilnie, czyli przez aplikację. mBank poleca przejście z kodów SMS właśnie na takie rozwiązanie. W tym przypadku gdy ktoś już podepnie aplikację pod wasze konto to może robić co chce i nie potrzebuje żadnych SMS-ów.

    Mobilną autoryzację włącza się per konto, a nie per aplikacja. Więc jeśli ktoś używa aplikacji mBanku zamiast kodów SMS do autoryzacji to leży, bo przestępca też to wykorzysta.

    Co robić, jak żyć? – pkt 2.
    Osobna karta sim do zatwierdzenia kodów SMS z banku – nie w tym przypadku.

  20. No a mam pytanie… podepniesz aplikację na nowe urządzenie i co? Przecież musisz się do niej zalogować???
    Przy próbie przelewu poprosi Cie o autoryzację kodem, który jest przesyłany SMS.
    ????
    Jak to się ma do tego ataku???

    • Tak, że piszesz bzdury bo aplikacja ma własne hasło/pin do zdefiniowania i tym zatwierdzasz transakcje bez sms

  21. mBank to w ogóle jakaś chora instytucja. Od prawie dwu lat wysyłają mi maile które w nagłówku adresowane są do jakiejś innej osoby. Informowałam ich o tym, ale bezskutecznie, ponieważ taka poczta przychodzi co jakiś czas ciągle na moją skrzynkę. Co ciekawe nigdy nie byłam ich klientką. Podobna sytuacja z AliorBank. Jakby mieli takie same systemy do wysyłki poczty. I co jeszcze ciekawsze dokładnie takie same imię i nazwisko człowieka widnieje w Aliorowych mailach jak w mBankowych.

    • A nazwisko nie jest podobne? Może ktoś podał twój mail pomyłkowo jako swój w obu bankach.

    • A na pewno od nich? Może nieumiejętnie personalizowany spam / phishing?

  22. Ciekawe, że państwo pozwala na produkcję i sprzedaż “dowodów kolekcjonerskich”, ale producentów “banknotów kolekcjonerskich” ściga z całą surowością.

    • Produkować można i banknoty i dowody. Używanie “kolekcjonerek” jest karalne.

  23. Pisaliście wielokrotnie (choć głównie w kontekście prywatności), że wszelkie informacje umieszczone w sieci, należy traktować jako publiczne. Dlaczego niby dane składowane na serwerze pocztowym miały by być w jakiś sposób bezpieczniejsze niż te na prywatnym profilu fejsa, czy innym dropboksie? Albo czemu niby gmail maiłby być bardziej godny zaufania?

    Ja wiem, że to wygodne (się wydaje być), ale przechowywanie tzw. wrażliwych danych, gdziekolwiek w “chmurze” (kretyńskie określenie), to jest proszenie się o kłopoty. Koniec. Kropka.

    Oczywiście istnieje też szansa, na wykradzenie tych samych danych z prywatnego komputera, ale to jakby nieco inna skala “włamania” niż dostęp on-line do skrzynki pocztowej…

    Krótko mówiąc: jeśli już musisz dane wrażliwe wysyłać pocztą, to przynajmniej ich na serwerze nie przechowuj (zwykle w “Wysłanych”).

  24. Wszyscy tutaj zachodzicie w głowę jakie cuda na kijumtrzeba robić aby nie być okradzionym.
    Stop.
    100kroków wstecz zróbcie i pomyślcie, dlaczego to my mamy sie pocic a nie Bank?! Bank ma odpowidać za bezpieczeństwo , a tymczasem sprytnie jakoś na przestrzeni lat się utarło, że bank za nic nie odpowiada. Tutaj jest patologia. To nie Kowalski ma doktoryzować się z SSLi, phishingu, diabli wiedzą jakich cudów.
    Naprawdę, zmienić należy prawo i nagle okaże się że autoryzacja w banku na zasadzie panienskiego nazwiska matki zniknie natychmiast bo Bank będzie wiedział,że to lipa.

    • “kowalski” ma hasło do poczty e-mail 1234 lub qwerty :)

      stąd się bierze ten bajzel
      oczywiscie na poczcie w adresach wszystko włącznie z nr CVV karty płatniczej

  25. Jeżeli ktoś ma “setki tysięcy” dostepne przez internet to jest łosiem.

    • Lepiej w skarpecie? ;)

    • @Piotr Konieczny – “Lepiej w skarpecie? ;)”

      Cypryjczycy i Rosjanie trzymający kasę w bankach na Cyprze już wiedzą, że tak… :-D

    • Otóż to! :)
      Hakerzy, banki, komornicy, US i takie tam inne towarzycho wara od moich pieniędzy!

    • A jakie mamy znaczące odsetki.

  26. Z tego co widzę, po zalogowaniu się do mBanku przez stronę www, w ustawieniach > Bezpieczeństwo > Dostęp do banku – mamy do wyboru 4 kanały dostępu, które możemy sobie samodzielnie włączyć lub wyłączyć. Domyślnie wszystkie są wyłączone i mLinia mówi, że nie da się sparować urządzenia mobilnego bez aktywacji kanału mobilnego w serwisie transakcyjnym !
    Dalej – Limity i autoryzacje – można wyłączyć możliwość ich zmiany w serwisie transakcyjnym, czyli tylko na mLinii – z koniecznością podania ID klienta i telekodu.

    Jako dodatkowy bonus, mBank dodał niedawno limit przelewów w serwisie transakcyjnym, i ustawił go domyślnie na 500.000,00 !!! – umożliwiając tym samym wytransferowanie w 1 przelewie całej zawartości konta 90% Polaków :) – warto go sobie zmienić.

    • Jest jeszcze jedno “zabezpieczenie”, a dokładnie nie jest to zabezpieczenie tylko informacja o tym, jakie dokładnie urządzenia są przypisane do naszego konta. Lista jest dostępna w ustawieniach konta. Każde ma indywidualną nazwę. Jeśli ofiara wiedziała że coś jest nie tak to w pierwszej chwili powinna usunąć to urządzenie z menu i skontaktować się z bankiem oraz operatorem, a najlepiej iść do banku i zmienić numer telefonu (najlepiej na nieużywany starter).

      Z faktu iż wyciekły dwa numery telefonów ofiary oraz dane osobowe wnioskuję, że dane pozyskano z tzw. giełdy, czyli gdzieś kiedyś ktoś się włamał i te dane sprzedał, a nowy właściciel zechciał je wykorzystać.

      Ale słusznie niektórzy prawią, że ofiara dostała ileś sms-ów na dwa numery, połączenie telefoniczne i pewnie jakieś jeszcze mejle lub inne powiadomienia i nic. No to jest niepokojące.

  27. > Niektórych może zastanawiać, dlaczego mBank przy kojarzeniu aplikacji mobilnej z kontem nie prosi o podanie loginu i hasła.

    Ja to akurat widzę jako dobry pomysł. Dzięki temu telefon (żadna aplikacja na nim – czy to apka mBanku, czy przeglądarka) nigdy nie zobaczy mojego hasła. A to hasło (+ dostęp do telefonu) już wystarcza do zmiany limitów. Limit dla operacji z telefonu, który można by z telefonu zmienić byłby bezużyteczny…

    Być może lepszym pomysłem byłaby konieczność dodatkowo zaakceptowania urządzenia z portalu transakcyjnego, albo tam zdefiniowania osobnego hasła do podpinania aplikacji. Ale IMO limit (oraz jego sensowna domyślna wartość!) jest niezłym kompromisem.
    Osobiście wolałbym żeby dało się tą apkę bardziej ograniczyć – np. dostęp tylko do niektórych rachunków, tylko zdefiniowane przelewy itp. Brak tego jest głównym powodem dla którego nie używam tej apki.

    • Tak jest np. w apce BZWBK, musisz w normalnym serwisie transakcyjnym autoryzować urządzenie by mogło korzystać z apki.

  28. Aplikacja w Banku Smart również nie korzysta z SMSów do autoryzacji transakcji. Jeden kod do logowania i ten sam kod do autoryzacji wszystkich transakcji. Strach się bać.

  29. Ja się zastanawiam tylko, dlaczego bugzilla Firefoxa, po oddaniu mojego klucza GPG, wysyła maile szyfrowane, a bank wysyła wszystko cleartextem.

    Generalnie w banku, który oferuje takie appki internetowe lub jest “łatwo dostępny” lepiej trzymać tylko drobne na bieżące wypadki, a prawdziwe pieniądze, jak ktoś ma, trzymać na koncie, z którego nie da się w prosty sposób wypłacić kasy przez anonimowe kanały dostępu.

    Pozdro

  30. Skandalem jest że Pan rzecznik mBanku wypowiada takie słowa “bazowanie wyłącznie na podstawowych danych osobowych klienta, łatwych do pozyskania przez przestępców, jest niewystarczające” podczas gdy ich aplikacja umożliwia dostęp do konta po podaniu jedynie PESELU i nazwiska panieńskiego matki.

  31. Ja mam jedno pytanie – czy bank zapłacił posiadaczowi konta odszkodowanie, czy się na niego wypiął, bo np. ….. transakcja była autoryzowana?

    • Dołączam do pytania.

    • Przecież to wszystko działo się w piątek, a ty pytasz, czy mu odszkodowanie bank zapłacił.

  32. Strasznie dużo złodziej wiedział o okradzionym, czy wiadomo skąd? Jakiś znajomy?

  33. Teraz pojawiła się informacja, że złodziej najpierw przekierował okradzionemu numer w playu, a dopiero później ten numer w t mobile. To na ten playowy też musiał dostać info, że jest przekierowany, ciekawe czy te wszystkie sms przeczytał od razu, ładnie tam się musiało dziać. Komunikaty o przekierowaniu na 2 numerach, telefon z automatu mbanku o parowaniu aplikacji, sms z banku, że aplikacja jest połączona z kontem, niezły sajgon, jednym słowem…

    PS.Jak widać bez telefonu nawet do nigdzie lepiej się nie ruszać.

  34. Czy nadal polecacie Yubikey pomimo tego, że porzucili implementację open source dla OpenPGP na rzecz proprietary?

  35. Panie Piotr Rytkowski jak Wam nie wstyd takie bzdury pisac. Moze operatoro kazecie szyfrowac rozmowy? Dlaczego sms nie wysyłacie? Dlaczego nie ma autoryzacji po stronie internetowej? Logowanie loginem i specjalnym hasłem do apki. Powinno to byc generowane za kazdym razem nowy login i hasło (przy reinstalacji androida). Dodatkowo kod pin ze strony do apki i smsem hasło. 3 etapy nie do przejścia.

  36. na jego miejscu i miejscu policji zainteresował bym się telemarketerami i cudownymi ofertami które nastąpiły po przekierowaniu połączeń. bo tylko w ten sposób gdy była linia zajęta haker mógł uzyskać głosowy kod dostępu

    • Skąd info, że wtedy dzwonili telemamarketrzy?

      PS. Czy ktoś może wyjasnić, dlaczego pierwszy i ostatni sms z informacja o przekierowaniu numeru dzieli ponad godzina? Czy takiego przekierowania nie wystarczy raz zrobić?

    • w sumie to Zenek mógł stać z boku kiedy by mieć pewność że aktualnie linia jest zajęta i odebrać przekierowaną wiadomość głosową. lub też z innego tel zająć linię np ofertą banku

  37. Pomysł ze zmniejszeniem limitów transakcji jest dobry. Jednak BZ WBK przewidział taką opcję i sie przed nią zabezpieczył – nie umożliwia zmniejszenia limitu. Limit przelewu na dowolny rachunek i na telefon w BZWBK mobile oraz limit pojedynczego czeku BLIK jest ustawiony na 3tys i nie ma możliwości jego edycji. Innych limitów transakcji internetowych też nie można zmniejszyć całkowicie do zera.

    https://imgur.com/a/DSX90

    • Ale w BZWBK, żeby polączyć aplikację z kontem trzeba podać login, hasło.

    • @aloalo Ale można z innych powodów niż obawa, że ktoś zainstaluje sobie na innym urządzeniu, chcieć zmniejszyć limity, np. z powodu wątpliwości co do aktualności/bezpieczeństwa systemu operacyjnego na telefonie.

  38. Można zadzwonić do swojego operatora tele i ustawić dyspozycję, że w BOKu telefonicznym możemy być zweryfikowani tylko przy pomocy hasła, jak nie znamy hasła to nic nie zrobimy, np. nie przekierujemy połączeń na inny numer.

    • > jak nie znamy hasła to nic nie zrobimy
      Otóż to! Do identyfikacji klienta T-Mobile używa BOA kodu a Orange kodu PUK. Jednak są to opcje fakultatywne. Klient nie znający kodu powinien być zmuszony do załatwienia sprawy w salonie za okazaniem dowodu. Ale to nie na rękę operatorowi bo czas pracowników kosztuje i lepiej go przeznaczyć na grillowanie klientów i zawienianie cyrografów niż na jakieś tam dyspozycje.

  39. Pewnie nie wszyscy wiedzą, że przekierowanie bezwarukowe można włączyć też bezpośrednio z telefonu kodem *21*numer# a wyłączyć kodem #21#

  40. Miło by było, gdyby banki zaczęły wdrażać U2F. Mam wrażenie że w tej chwili gmail/dropbox/facebook ma lepsze zabezpieczenia niż banki.

  41. Przydała by się możliwość zastrzeżenia imienia i nazwiska. A potem zmiana tożsamości na koszt osoby odpowiedzialnej z wyciek.

    Witam, w zeszłym miesiący pracownik waszej firmy wymagał przesłania dowodu osobistego a teraz ukradziono mi 5tyś, prosze o zwrot 5 tyś plus koszt wyrobienai nowej tożsamości plus odszkodowanie.

  42. Rozwiązanie jest proste i już dawno wymyślone, do tak ważnych zmian jak np. przekierowania itp. wymagać wiadomości podpisanej elektronicznie! A po to by to mogło się przyjąć na większą skalę i być dostępne dla każdego – pozwolić wykorzystywać GPG/PGP.

    Na cholerę mi potrzebny certyfikat kwalifikowany i do tego płatny i za co???

    Każdy przecież może sobie sam wygenerować bezpieczną parę kluczy GPG i przesyłać swój klucz publiczny do różnych instytucji, banków a w tym do inst. telefonicznych! Prawda? A potem tylko bezpiecznie uwiarygodnić ten klucz jakimś bezpiecznym kanałem! Proste?

    Potem chcesz coś zmienić, np. zrobić przekierowanie, wysyłasz dyspozycję wiadomością podpisaną twoim kluczem, a np. w PLAY-u już widzą, że wiadomość podpisana przez Ciebie!

    —————————————————————————–

    BEZPIECZNE ROZWIĄZANIA JUŻ SĄ WYMYŚLONE I SĄ DARMOWE!
    PROBLEM W TYM, ŻE SĄ DARMOWE!

    • Problem nie w tym, że są darmowe tylko w tym, że w pewnych zastosowaniach są niewygodne. To znaczy wymagają za dużo operacji do uzyskania prostego efektu, a do tego wprowadzają duże opóźnienie.
      Sytuacja: nie będę miał dostępu do telefonu od momentu gdy znajdę się w punkcie X aż do momentu gdy znajdę się w punkcie Y. Chce mieć dostęp do odbierania rozmów jak najdłużej, a jedynie na ten czas chcę włączyć przekierowanie. Jak zrobisz przekierowanie wysyłając podpisany elektronicznie dokument z prośbą o przekierowanie i jak szybko zostanie on odczytany, przetworzony i zrealizowany?

      Pomijam kwestię tego, że coś, co dla jednego jest proste (wygenerowanie bezpiecznej pary kluczy GPG) nie oznacza, że dla każdej osoby będzie tak samo proste. A jestem niemal przekonany, że grupa osób, dla której jest to “proste” w skali całego społeczeństwa stanowi zdecydowaną mniejszość, aby nie powiedzieć margines.

    • @gs możesz sobie to ustawić bezpośrednio w telefonie – Android daje taką możliwość.

    • @Gwóźdź Pomijając kwestię dodania kolejnego nieoczywistego i niekoniecznie banalnego dla każdego elementu (posiadanie smartfona z Androidem i odpowiednie “ustawienie” go) – jak ustawienie sobie swojego smartfona wpływa na sprawność przetwarzania korespondencji z taką dyspozycją po stronie operatora?

  43. Jedna uwaga: fragment z aktualizacji tematu: “w komunikacie głosowym nie ma informacji, że jeśli to nie my instalujemy aplikację to powinniśmy to jak najszybciej zgłosić do banku” powinien być pogrubiony i na czerwono.

    Poza tym ów komunikat powinien zawierać taką informację, w przypadku odrzucenia połączenia lub nie wysłuchania do końca powinien nie pozwolić systemowi bankowemu na dalsze działanie – można to zrealizować w prosty sposób, na końcu wiadomości podać jakiś kod do wstukania na klawiaturze bez wykonania tego kroku aplikacja pozostałaby nie sparowana – to nie jest jakieś wielkie czary-mary do zrobienia.

    No ale skoro bank opiera się na domysłach jakie procedury ma operator komórkowy, bez sprawdzenia tego, to o czym my tu w ogóle rozmawiamy…?

    • Ale kto ma odsłuchać tego niby komunikatu? Przecież rozmowa jest przekierowana na inny telefon.

      Tutaj jest kicha mBanku, bo kiedyś żeby to zrobić, to trzeba było zacząć od serwisu transakcyjnego, dodając tam urządzenie (numer telefonu) który chcemy połączyć z kontem, a potem na tym numerze odsłuchać rozmowy z numerem PIN do apki i tak ją dopiero połączyć/włączyć.

      Jak rozumiem poprzez to parowanie tylko za pomocą PESEL i nazwiska panieńskiego ominięto konieczność logowania się do serwisu transakcyjnego – no super rozwiązanie :)

      Dodatkowo jak ktoś ma na swojej komórce apkę mobilną, to musi mieć włączony kanał dostępu mobilny a co za tym idzie można zainstalować drugi raz tą apkę ale już na innej komórce (już nie właściciela konta)

    • Tutaj przychodzi mi na myśl jeszcze jedna możliwość. Chwila nieuwagi właściciela komórki podanej jako kontakt do mBanku.

      1. Istalujemy apkę na swoim telefonie (jako ten schwarz charakter)
      2. Autoryzując ją (łącząc z kontem w mBanku) podajemy numer PESEL i nazwisko panieńskie matki -wystarczy tyle
      3. Dzwoni telefon do właściciela konta (w momencie kiedy właściciel pozostawił go bez nadzoru)
      4. Odbieramy rozmowę i zanotowujemy sobie PIN autoryzacyjny
      5. Mamy już wszystko co chcemy – a w mobilnej apce BLIK – ponoć limity można ustawić tylko za pomocą mLinii ale ja np żadnych nie ustawiałem i jakieś miałem nadane (ciekawe jak wysokie, bo nigdzie nie ma o tym info – a mBank lubi sobie poszaleć w tym zakresie – patrz pos wyżej o limicie domyślnym na 500.000 – co potwierdzam )

    • @wko – w aktualizacji z 14.01 19:54 jest napisane, że “ofiara zanim jeszcze otrzymała powiadomienia z T-Mobile o przekierowaniu swojego numeru, wcześniej otrzymała połączenie z mBanku […] Nie wiemy, czy je odebrała i zignorowała, bo go nie zrozumiała…”. To w końcu kto dostał to powiadomienie?

    • @Monter – to by świadczyło, że były dwie próby ataku. Pierwsza się nie powiodła, bo hasło autoryzacyjne do apki mBank wdzwonił na numer właściciela konta (na nr komórki podany w mBanku do kontaktu). Wtedy schwarz charakter przekierował komórkę własciciela konta na swoją i za drugim razem to on odebrał telefon z mBank z hasłem autoryzacyjnym do apki.

      Generalnie ten automatyczny telefon z mBanku to jakieś kuriozum. Oni tam informują właściciela konta, że jeśli to nie on zażądał hasła autoryzacyjnego do aplikacji mobilnej, to niech się rozłączy :D a jeśli on to niech naciśnie 1 i je odsłucha. Przecież powinno być na odwrót (tak jak przy logowaniu do gmaila z nowego urządzenia), że jeśli to nie ty się logowałeś to może to świadczyć o próbie ataku na twoje konto (a nie tekst “to się rozłącz”).

      Tak jak pisałem, to nawet nie trzeba przekierowywać numer komórki, wystarczy odebrać tę jedną rozmowę jak nie ma właściciela przy telefonie. Przecież rozmowę można odebrać nawet przy zablokowanym telefonie. A rozmowa jest wykonywana jak próbujesz uruchomić zainstalowaną apkę i powiązać ją z kontem tym PESELEM :). I właściciel konta nawet nie wie, że już ktoś sobie podpiął mobilną apkę do jego konta.

    • @wko – limity BLIK masz widoczne w Ustawieniach w app. Domyślnie to 1000zł/dzień. Zmienić możesz tylko na mLinii.

  44. W PLAY-u podobno można tylko zweryfikować dzwoniącą osobę poprzez hasło abonenckie(jeśli dzwoni z innego nr telefonu) Czyli scammer nie mógł przekierować połączeń na swój nr telefonu, no chyba, że mocno zmanipulował konsultantem….

    • No fajnie, ale żeby wyciągnąć hasło abonenckie potrzebne jest jedynie trochę zagrywki psychologicznej:
      1. ID spoofing
      2. “Dzień dobry, dzwonię z Play w sprawie ….” w celu identyfikacji proszę podać hasło abonenckie
      Skoro autentyczni konsultanci Play tak robią dzwoniąc, to ofiara nie powinna mieć specjalnych podejrzeń.

    • W playu bez problemu można przekierować połączenia na infolinii bez hasła, wystarczy imie, nazwisko, adres, pesel.

  45. Limit mobilny kwotowy w mbanku to 5000 zł, ilościowy 5 transakcji. Limit możemy zmienić w ustawieniach konta na stronie www. Maksymalny dzienny limit jaki można miec to 10000 zł.

  46. Wydaje mi się ze złodziej może mieć dostęp do systemu Play na znanym polskim forum w darknecie oferował szybką aktywacje kart sim online.

  47. Dla kart pre-paid Plus da się włączyć przekierowanie gdy telefon jest niedostępny (poza zasięgiem lub wyłączony). Faktycznie nie da się włączyć bezwarunkowego przekierowania.

  48. Hej, komentujący! Przestańcie pisać bzdury że do autoryzacji apki potrzeba tylko znajomości kilku danych. Nie wystarczy! Potrzeba fizycznego dostępu do telefonu ofiary.
    Z założenia mając fizyczny dostęp do urządzenia mozemy zrobić wiele innych złych rzeczy np. odczytać SMS autoryzacyjny.

    Problemem nie jest że mBank pozwala na telefoniczne parowanie tylko że TMobile pozwala na wirtualne przejęcie cudzego telefonu. Z tak przejętego telefonu można zrobić wiele innych rzeczy w instytucjach które identyfikują dzwoniącego po numerze telefonu i oddzwaniają na ten wcześniej zdefiniowany numer.

    • Przecież nawet mbank przyznał, że do kradzieży doszło bez fizycznego dostępu do telefonu okradzionego:
      https://www.mbank.pl/informacje-dla-klienta/indywidualny/post,8094,nowe-cyberzagrozenie-z-wykorzystaniem-przekierowania-polaczen-na-inny-numer-telefonu.html

    • Ale bez znajomości tych jakże PODSTAWOWYCH prawie, że jawnych danych nie byłby możliwy atak. MBank nie powinien bazować na JAWNYCH prawie wszystkim znanych danych. Równie dobrze mógłby parować apkę z kontem na podstawie imienia i nazwiska właściciela konta.

      Wcześniej było to zrobione bezpiecznie, a teraz poszli na jakieś dziwne ułatwienia dla nierozgarniętych.

    • WKO dobrze pisze, kiedyś (o ile mnie kolega Alzheimer nie myli) nie było możliwości dowiązywania aplikacji mobilnej mBanku bez użycia serwisu transakcyjnego i miało to ręce i nogi. Teraz (chyba tylko w celu zwiększenia supków wykorzystania aplikacji mobilnej w excelach z raportami) przygotowali wersję dla – no jak tu bez wulgaryzmu to określić??? – rozwielitek umysłowych? Aby nam było jeszcze mniamuśniej i pshyjemniej (nie mylić ze słowem przyjemniej).

      Powrót do scenariusza, gdzie to serwis transakcyjny mBanku stanowi centrum dowodzenia kontem (a już napewno centrum zarządzania nowymi kanałami dostępu) wydaje się być rozsądnym rozwiązaniem.

  49. Ja z kolei już 3 tydzień proszę się Orange Finanse (mBank:) żeby zmienili adres email ich Klienta. Ktoś założył u nich konto i podał mój adres email. System oczywiście to przyjął bez weryfikacji. Cały czas dostaję korespondencją Klienta (min. wyciągi i marketing).

    Dwa razy już to im zgłaszałem telefonicznie. Co robić jak żyć ;-) ?

    • Zgłoś skargę do KNF (np. przez ePUAP) bo to naruszenie tajemnicy bankowej! :)

  50. Witam!

    W artykule poruszono kwestię kluczy U2F. Ponieważ klucze Yubico (w wersji obsługującej urządzenia mobilne poprzez NFC) są dość drogie, chciałbym uprzejmie spytać Redakcję o opinię na temat klucza Feitian ePass NFC, który jest sporo tańszy. Dodam, że nie jestem profesjonalnym użytkownikiem a klucza chciałbym użyć głównie do zabezpieczenia konta w googlu/facebooku.

    Z góry dziękuję za odpowiedź i pozdrawiam!

  51. I znowu problem z t-mobile. Niekompetentna obsluga techniczna i niedoskonaly system. Jak ja sie ciesz, ze z cala rodzina stamtad ucieklismy do innego operatora po przygodach z wyludzeniami pieniedzy poprzez smsy premium.

    • To jest problem mBanku. Jak można parować apkę z kontem za pomocą PESELa i nazwiska panieńskiego matki. Może żeby było łatwiej klientom, niech parują po imieniu i nazwisku co za różnica?

  52. 3. Zmień limit w banku dla aplikacji mobilnych. (…) Ustawienia –> Bezpieczeństwo –> Limity.

    Pytanie:
    Czy to znaczy, że w aplikacji mobilnej nie ma możliwości zmiany tego ustawienia?

    • Zmiana limitów mobilnych tylko na koncie www, na całe szczęście

  53. Moe to zabrzmi jak kryptoreklama, ale w Lycamobile nie ma przekierowań.
    Aż zadzwoniłem i wypytałem, bo na stronie brak informacji.

    Uffff…
    O jedną furtkę mniej. :)

    I SMSów Premium też nie ma. :)

  54. Automat mBanku dzwoniący do klienta może skorzystać z usługi COLP i wykryć, że połączenie zostało przekierowane. W takim przypadku powinna się aktywować bardziej restrykcyjna procedura aktywacji, z koniecznością podania większej ilości danych dla potwierdzenia.

  55. Virgin Mobile: po podaniu telefonicznie imienia, nazwiska i peselu – można robić z każdym z numerów przypiętych do konta co tylko się chce…

  56. W N26 sotosuje się do autoryzacji aplikacji mobilnej token, który jest napisany na odwrocie karty płatniczej i tylko jednej aplikacji można używać. Limity na nim to mas 50k euro.

  57. “Zauważ, że wcale nie potrzebujesz aplikacji mobilnej mBanku. Operacje na swoim koncie możesz robić po prostu za pomocą przeglądarki internetowej na telefonie”
    wy tak serio ? A porównywaliście trudność wydobycia sesji z przeglądarki na Androidzie z trudnością wydobycia sekretów z dobrze napisanej aplikacji mobilnej ? a uważam że aplikacja mBank taką jest, miałem okazje testować

  58. @Niebezpiecznik: czy jesteście świadomi że macie jakieś wycieki pamięci przez skrypty działające na stronie?
    co kilkanaście sekund mruga mi TLS handshake. Przypadkiem zostawiłem przeglądarkę odpaloną z tą stroną jak wróciłem do komputera po jakimś czasie nagle okazało się ze przeglądarka zjada mi 90% pamięci. Po restarcie przeglądarki w 10 min użycie pamięci rosnie od 500mb do 3 GB.
    Trollujecie mnie czy jak?

  59. mBank zmusza klientów do przechodzenia na kody SMS lub aplikację mobilną, za pomocą zaporowych cen na jednorazowe kody w postaci papierowej. Koszt 1 kartki z kodami kosztuje aż 19zł. !!!

    Tyle płacą świadomi klienci mBanku.

    • Żartujesz prawda? Kody papierowe, zdrapki etc. to obecnie najmniej bezpieczna forma potwierdzania zleceń. Przecież strona może wyświetlać cokolwiek. Nawet jeśli jesteś na prawdziwej stronie banku – jaką masz gwarancję, że jakiś lipny plugin w przeglądarce nie podmienia numeru konta?

  60. Czy jest szansa na zwrot kasy od banku w takiej sytuacji?

  61. Zastanawia mnie jedna rzecz piszecie że można zainstalować dwie aplikacje mobilne mBanku równocześnie ale przecież aby dostać się do niej trzeba podać kod 6 cyfrowy.
    I jeśli klient już ma zainstalowaną taką aplikację i już jest nadany kod 6 cyfrowy czy w tym momencie potencjalny złodziej może sobie od tak po prostu zainstalować kolejną aplikacje i podać zupełnie inny kod i będzie mógł korzystać z tej aplikacji i wykraść pieniądze.
    Jeśli tak jest faktycznie to jest to bardzo POWAŻNY BŁĄD ze strony mBanku.

    • tak niestety jest
      i większość aplikacji mobilnych banków PIN do potwierdzania transakcji nadaje lokalnie, czyli per instancja aplikacji, chyba tylko PeoPay ma inaczej

  62. Taka ciekawostka. Eurobank nie pozwala na instalację aplikacji mobilnej na dodatkowych urządzeniach. Kiedy kupiłem telefon i chciałem skorzystać z aplikacji na nowej komórce, najpierw musiałem usunąć aplikację ze starej.

  63. NIebezpieczniku robicie bardzo dobrze nagłaśniając takie rzeczy na blogu, jednak podawanie tylu wiedomości może być podręcznikiem dla przestępcy..

  64. Może to nie był włam na pocztę, ale ktoś miał te dane np z umowy np pracownik telekomu?

  65. osobnik odpowiedzialny za całe zamieszanie od miesiąca jest aktywan na cebuli gdzie przyznał się zreszta do tego zamieszania naprawde nie ma możliwości aby go zlokalizować ?

  66. Ok… wiec w jakim banku założyć konto, który ma najlepsze rozwiązania w zakresie bezpieczeństwa?

  67. Który bank/które banki mają najlepsze zabezpieczenia (pytam ogólnie o całokształt) wg Niebezpiecznik.pl? Kiedyś, dawno temu, znalazłem taki ranking w necie, nie wiem kto go robił ale pierwszy był EuroBank. Tylko, że to było dawno dawno temu i w sumie nie pamiętam, kto ten ranking robił

  68. MBank wprowadził kod z SMS potrzebny do odsłuchania kody z automatu dzwoniacego.

  69. taki sam sposób aktywacji ma teraz Alior Bank…

  70. […] na pracowników zarówno banku jak i operatora telefonii komórkowej ofiary — polecamy nasz artykuł sprzed roku o tym jak przestępcy przekierowali ofierze telefon i okradli konto w bank…. Jest w tym artykule trochę porad, jak zabezpieczyć swoje “cyfrowe życie” i […]

  71. […] finansowej). Ale samym PESEL-em i nazwiskiem sporo można namieszać u operatorów GSM (por. Przestępcy przekierowali mu telefon w T-Mobile i okradli konto w mBanku). Niestety w Polsce niektóre firmy wciąż niesłusznie traktują PESEL jako “numer znany […]

  72. […] na “sam PESEL” nie da się wziąć pożyczki). Niestety, w Polsce wciąż wiele firm i instytucji uwierzytelnia obywateli właśnie po PESEL-u, mylnie zakładając, że tylko ich […]

  73. […] także abonenta T-Mobile, któremu przez infolinię nie tyle wyrobiono duplikat karty SIM, co przekierowano rozmowy przychodzące a następnie dzięki przekierowaniu podpięto się pod jego kont… […]

Odpowiadasz na komentarz Monter

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: