20:39
8/12/2015

Po internecie głośnym echem odbił się filmik zrozpaczonego internauty, któremu z konta, na skutek “fałszywego przelewu” zniknęło 40 000 PLN.

W powyższym incydencie nie ma ani niczego spektakularnego, innowacyjnego ani ciekawego, ale ponieważ powyższy filmik jest nam masowo podsyłany, powtórzmy to co już pisaliśmy w artykule 6 rad jak bezpiecznie wykonywać przelewy i to co od rana powtarzamy w poświęconym tej sprawie wykopie.

26 sekunda filmu — padają słowa “jakiś wirus”. Nie mamy więcej pytań… Wina użytkownika — bo zgodnie z regulaminami banków (w uproszczeniu) nie odpowiadają one za transakcje wykonywane przez klientów z zainfekowanego komputera, a zwłaszcza, jak się tych transakcji nie zareklamuje przed wychodzącą sesją ELIXIR-u. Niestety, ataki podmieniające rachunek docelowy w trakcie zlecania przelewu są praktykowane od dawna. Kluczowe rady to:

1. Weryfikuj czy numer konta w SMS-ie z kodem potwierdzającym transakcje pasuje do numeru z papierowej faktury/rachunku które chcesz opłacić (o ile są to oryginalne dokumenty). Tego typu weryfikacja jest kluczowa, a prawie nikt tego nie robi. Ofiary rutynowo szukają kodu w SMS-ie i go przepisują, bez zwracania uwagi na numer rachunku zacytowany w SMS-ie. Musisz przede wszystkim sprawdzić cyfry rachunku oraz kwotę.

2. W miarę możliwości przelewy wykonuj na dedykowanym urządzeniu. Najlepszy będzie np. niewykorzystywany już do niczego sensownego tablet — jeśli to iPad, tym lepiej, bo z racji hermetycznego środowiska bardzo ciężko jest zainfekować to urządzenie w taki sposób, aby opisywany na filmie problem wystąpił. (Wiemy, wiemy: wygoda, koszt). Wersja budżetowa to LiveCD z dedykowanym systemem operacyjnym. Maszyny wirtualnej nie polecamy. Jeśli ktoś nie chce bawić się w dedykowane stacje do przelewów, to niech chociaż ZAWSZE po wykonaniu przelewu NATYCHMIAST sprawdzi historię rachunku lub wygeneruje potwierdzenie przelewu na INNYM komputerze (robisz na komputerze, sprawdź na telefonie).

3. Nie otwieraj plików zip/rar/itp. przysyłanych e-mailem i spakowanych na hasło (gdzie hasło jest podane w treści e-maila). Dotyczy zarówno wezwań do zapłaty, listów przewozowych z DHL i awizo z Poczty Polskiej, jak i szeregu innych “pomysłów” na jakie wpadną w najbliższych dniach przestępcy. To najbardziej popularny sposób infekcji tzw. bankerami, czyli złośliwym oprogramowaniem odpowiedzialnym za podmianę numeru rachunku podczas zlecenia przelewu.

Paradoksalnie, w internecie, gdzie sie da warto płacić kartą. Transakcje wykonane kartą kredytową można ZAWSZE reklamować (i to przez długi czas), nawet jeśli zostały wykonane z zainfekowanego komputera — a wykonanie przelewu z zainfekowanego komputera reklamacji nie podlega. Jak podczas przelewu stracicie środki, to ich nie odzyskacie (zwłaszcza jak zostały już przez słupa wypłacone). A jak stracicie środki przez “fraud” na karcie, to prawie zawsze (choć nie zawsze od razu) zostaną one Wam zwrócone po wypowiedzeniu magicznego słowa CHARGEBACK i zakwestionowaniu transakcji, której sami nie wykonaliście. Dziwnie rozkłada się ta odpowiedzialność banku na różne produkty (karta vs konto internetowe), prawda? ;)

PS. Z drugiej strony, trochę przerażające jest, jak niezrozumiałe jest dla ludzi to, od czego zależy bezpieczne korzystanie z bankowości internetowej. Nie tylko od przeciętnych zjadaczy chleba, ale także od osób, które “jakoś w internecie potrafią się poruszać”. Przykładem niech będą komentarze niektórych czytelników Wykopu — są to osoby raczej z ponadprzeciętną wiedzą na temat komputerów, ale jak widać, wciąż nie wszyscy i nie do końca rozumieją jak mogło dość do ataku, na jakim etapie i czy np. certyfikat SSL (tzw. zielona kłódka) może ujawnić fakt ataku… Może banki powinny mocniej akcentować konieczność weryfikacji numeru rachunku w SMS z numerem rachunku z dokumentu, który się opłaca? Albo uprościć komunikat w SMS-ie? Przynajmniej te z banków, które wysyłają takie SMS-y?

Warto też zauważyć, że ofiara z filmiku miała antywirusa. Dołożyła więc wszelkich starań, aby się zabezpieczyć, ale pechowo trafiła na zagrożenie, które jeszcze przez antywirusy nie jest rozpoznawalne. Czy to minimalizuje jej winę? Czy bank powinien odpowiadać w przypadku, gdy antywirus (aktualny) na stacji klienta nie zareagował? Z chęcią byśmy zobaczyli przebieg ewentualnej rozprawy sądowej pomiędzy klientem a bankiem — mogłoby być ciekawie. Natomiast jedno jest pewne. Tym filmikiem ofiara tak udokumentowała swoją niewiedzę i naruszenie regulaminu, że na pewno ciężej będzie jej cokolwiek wskórać…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

343 komentarzy

Dodaj komentarz
  1. ” jeśli to iPad, tym lepiej, bo z racji hermetycznego środowiska bardzo ciężko jest zainfekować to urządzenie w taki sposób, aby opisywany na filmie problem wystąpił” Hermetyczne środowisko nie jest zbyt dobrym rozwiązaniem, bo nie mając dostępu do kodu źródłowego nie wiemy, jakie ukryte funkcje posiada oprogramowanie. Producenci oprogramowania klozet-source mogą mieć dostęp do wszystkich danych na urządzeniach użytkowników i możliwość sterowania nimi.

    • To prawda, Apple i developerzy publikowanych w Appstore aplikacji są masowo oskarżani o okradanie kont swoim klientom ;)

    • Pomyślałem, że producent oprogramowania nie okradałby swoich klientów, bo straciłby ich zaufanie. Ale przypomniało mi się, że kilka lat temu Micro$oft opublikował exploit na swój serwer, żeby zmusić klientów do zakupu nowszej wersji.

  2. zdanie w 4:48-4:49 to idealne podsumowanie filmu :)

    • Przykre że ludzie tak głupi dostają dostęp do bankowości elektronicznej.

      To wina banku: dali mu możliwości na które nie był gotowy. Gdyby bankowiec dał 3 letniemu dziecku brzytwę to wszyscy by winili bank. A to jest analogiczna sytuacja.

    • A ja uważam, że mBank powinien wyjaśnić dlaczego ich aplikacja wyświetla niespójne dane nt przelewu. Dla mnie to błąd w programie (jestem programistą).

    • Chris, chyba jednak czas zmienić zawód…

    • Nie rozumiem dlaczego bank jest bez winy. Ewidentnie w aplikacji !mBanku! po stronie klienta jest fackup. Transakcja jest wykonana w nieodpowiedni sposób. Pomijam fakt, że absurdalne jest to, iż tych pieniędzy nie można odzyskać.

  3. Z czego wynika to, że w historii widzi właściwy numer konta, a w potwierdzeniu inny?

    • Z tego, że to co widzi w historii, to nie to co wysyła mu bank. To co widzi w historii jest podmieniane przez webinjecta na poziomie żądania lub kodu HTML. A malware najwyraźniej w PDF-y nie zagląda/nie modyfikuje. Jak historię obejrzy na innym komputerze, to też będzie miał to co w PDF z potwierdzeniem.

    • Od samego początku skłaniam się ku wersji injecta w HTML. Co do PDFa to podmiana w locie byłaby bardziej skomplikowana, a jak widać ofiara zagląda dopiero jak coś jest nie halo. A wtedy już “po ptokach”.

      Piotrze a co miałeś na myśli, pisząc o poziomie żądania? Przecież ono jest szyfrowane przez SSL i dopiero w przeglądarce po dekodowaniu kluczem możliwa jest podmiana elementów źródła.

      Swoją drogą ciekawe, że “wirus” pamięta właściwe numery i tak ładnie zaciera ślad w historii.

    • Na Bank JS zmienia element i tyle, coś chodzi w tle…

    • Dodatkowo, o ile dobrze pamiętam, banki zwykle podpisują PDFy z potwierdzeniami.

  4. Przykra sprawa :/ Szkoda w tym wszystkim że mBankowi się dostało.
    To tak jakby oskarżać Volvo za to że doznałem uszczerbku na zdrowiu podczas kolizji drogowej – przecież Volvo zapewniało mnie że ma 5*, że ma wysokie noty w testach NCAP, itd.! Tylko, że Volvo nie prowadziło tego samochodu, ale ja sam…, ale pretensje będę mieć do Volvo, bo mając 5 poduszek powietrznych (czyt. połączenie SSL-zieloną kłódkę), to i tak nie uniknąłem kontuzji :/

  5. Dlatego wierzę, że ze szkół należy usunąć obecne lekcje pseudoinformatyki, które są w najlepszym przypadku bezużyteczne, w typowym szkodliwe, a zastąpić je zajęciami wprowadzającymi w podstawowe zagadnienia w sposób podobny, co lekcje biologii, fizyki czy chemii. Plus trochę praktyki, najlepiej powiązanej z zastosowaniem w innych przedmiotach szkolnych.

    Niestety na na wierze się kończy, bo poza kilkoma znajomymi nie mam poparcia, by to przepchnąć do poziomu Sejmu ;).

    Autor filmiku jest typowym przykładem braku podstawowej wiedzy, czy wręcz wprost ignoranctwa. Na miejscu mBanku i Nortona nie pozwałbym go o naruszenie dobrego imienia firmy chyba tylko z litości i dlatego, że za swoją głupotę już oberwał.

    • Ech … tylko wiara pozostaje, bo raczej kompletne i przydatne zajęcia w rodzaju “przysposobienie do życia w sieci z elementami bezpieczeństwa teleinformatycznego” to z nauczycieli informatyki mógł by przeprowadzić 1 na 100 nauczycieli tego przedmiotu, który przy okazji jest pasjonatem.

    • @Henryk
      Niezupełnie. Uczyć podstaw teoretycznych z minimum praktyki jest dużo prościej i wymaga mniej wiedzy i doświadczenia niż uczyć obecnie poruszanych tematów. W tej chwili próbuje się przekazać wiedzę “rzemieślniczą”. To tak, jakby człowiek, który nigdy w życiu młotka w ręku nie miał i tylko przewertował książkę z opisem użycia młotka, uczył jak wbijać gwoździe. Natomiast przekazanie wiedzy teoretycznej wymaga tylko mniej więcej zrozumienia jej i umiejętności pedagogicznych.

  6. używa słowa “pieniążki”

    • Jan, on nie używa słowa “pieniążki” tylko “piniążki”
      To chyba takie określenie na małe kwoty :P

  7. Tam chyba nawet jest komunikat o dostępnej aktualizacji Javy?

    • Czy ten skrypt działał na Javie? Czy był to jakiś aplet Javy? Chyba raczej nie. A Norton sam aktualizuje się i bazę wirusów. To chyba bez związku. Rozumiem jednak, że to lekka insynuacja, że autor filmu nie dba o swój komputer.

    • Jak najbardziej, może mieć związek. Jak masz np. starą Javę to każdy gimnazjalista z Metasploitem przejmie kontrolę nad twoim komputerem.

    • Z tego co pamiętam java wyświetla komunikat o samej możliwości sprawdzenia czy są jakieś aktualizacje, to czy faktycznie jest nowa łatka czy jej nie ma użytkownik dowiaduje się dopiero po kliknięciu zgody.

  8. I to jest powód, dla którego Ci którzy nie znają się na komputerach nie powinni się ich dotykać. Tym bardziej internetu. A jeszcze bardziej wszelkiego rodzaju banków internetowych.

    • Autor filmu zwraca uwagę na szyfrowanie połączenia i sprawdza numer konta. Nie sprawdził numeru konta w smsie. fakt. Jednak jak na osobę nietechniczną i tak coś robi. Szczerze mówiąc mam wrażenie, że na ten atak dały się nabrać osoby także z IT. np. programiści, testerzy, help deskowcy, siecowcy itd. Na zasadzie szewc bez butów chodzi. Chyba jedynie specjaliści z zakresu bezpieczeństwa zwrócili by uwagę na to co się dzieje, jeżeli nie widzieli wcześniej filmu. W sensie po obejrzeniu filmu każdy z IT jest teraz mądry, ale każdemu z nas mogło by się to zdarzyć. Robienie z ofiary osoby winnej niczemu nie służy. Policja powinna złapać winnych i tyle. A bank powinien zwrócić pieniądze poszkodowanemu nawet jeśli to nie jest wina z banku. Tak jak jest w przypadku kart kredytowych. Złodzieje powinny zwrócić następnie z nawiązką pieniądze do banku i Skarbu Państwa.

    • Współczuję, jeszcze bardziej współczuję sobie i innym użytkownikom pewnego banku, w którym można robić pakiety przelewów bo nie widać w nich numerów na jakie lecą pieniądze. Jest tylko numer operacji i finito, o tyle dobrze, że można definiować stałych odbiorców (wymaga to również potwierdzenia kodem) więc ryzyko da się zmniejszyć (stali kontrahenci + obowiązkowo sprawdzać numery kont w SMS-ie jeśli robimy pojedynczy przelew).

    • Sebastian, dobrze byłoby wspomnieć o jaki bank chodzi żebym wiedział czego unikać.

    • Banki przelewy na wieksze kwoty powiny dodatkowo weryfikowac po adresie.
      Jak sie nie zgadza przelew przetrzymac jako w toku i wyslac smsa.
      Proste ?

    • Paczki przelewów do zatwierdzenia są w Idea Banku

    • Arek, ciekawe skąd Bank miałby znać poprawny adres odbiorcy…

    • @KaCzKa
      Skoro kiedyś bez adresu nie dało się w ogóle robić przelewów, to pewnie mają jakiś wgląd w takie dane. Mnie się na przykład zdarzyło (chyba w mBanku), że podałem zły adres sklepu, w którym robiłem zakupy, i przelew się odbił. Ale to dawno było.

    • Odnosząc się do tak częstych porównań do samochodów, czy osoby nie znające się na samochodach powinny mieć zakaz jeżdżenia nimi? Inna sprawa, czy bank powinien zająć się sprawą, czy nie? Jeśli nawet to nie jego wina, a użytkownika, to myślę, że czysto wizerunkowo bank powinien coś zrobić. Z pewnością bardzo pozytywnie by odbiło się to na wizerunku banku, a klient miał by większe szanse na odzyskanie pieniędzy. A tak, to ludzie będą widzieć tylko, że bank jest bee, nie zastanawiając się nawet gdzie był problem (w większości).

  9. @Piotr – dzięki za wyjaśnienie :-)

  10. Jakieś konkretne powody dla których maszyna wirtualna nie polecana? Czy po prostu ogólnie: dlatego że mało które napisane są z “security in mind” i jest wiele malware które w maszynę potrafi się wgryźć bezproblemowo?
    Na pierwszy rzut oka wydawałoby się że lepsze to niż nic, czy może jednak są jakieś wady tego rozwiązania które sprawiają że lepiej robić to w zwykłej przeglądarce niż na maszynie?

    • VM lepsza niz nic (i rzeczywiscie osobicie nie widzialem malware’u, ktory by z hosta atakowal obsluge banku na guescie), ale poniewaz jest uruchamiana na zainfekowanym hoscie, to jest to z gory spisana na straty. Modyfikacja ruchu sieciowego, dostep do schowka, czy wreszcie zmiana danych na dysku, albo inne bardziej “hakierskie” sztuczki sa jak najbardziej mozliwe w tym scenariuszu. Lepiej LiveCD/USB, o ile ktos nie wierzy w BadBIOS-a ;)

    • LiveCD w VM bez współdzielenie schowka + weryfikacja kłódki i domeny – nie jest takim głupim pomysłem. Bo modyfikacja połączenia TLS z poziomu systemu hosta … no tak sobie :)

    • Po kursie z System Security BadBIOS to jedna z perwszych rzeczy jakie przychodzą do głowy :P I w ogóle nie powinno się bankowości robić inaczej niż za pomocą dedykowanej aplikacji banku uruchamianej za pomocą Intel late launch extensions na jakimś Flickerze, którego kod wcześniej dogłębnie się przeanalizowało i weryfikować że to na pewno ona jest uruchomiona (Trusted Path for Output, a jakże) za pomocą dwóch czy trzech innych urządzeń. Dedykowanych tylko do tej weryfikacji najlepiej.

    • No właśnie też się zastanawiam. VM może być ustawiona żeby nie zapisywała zmian, do tego nie trzeba instalować Guest Additions i integracja schowka i napędów nie zadziała. Modyfikację zaszyfrowanych pakietów raczej słabo widzę musiałby działać jakiś proxy z własnym kluczem ale to od razu się odezwie w przeglądarce, ew skradziony certyfikat uwierzytelniony przez zaufaną instytucję który nie został jeszcze unieważniony. To już trochę małe prawdopodobieństwo no i widać co jest na pasku. Faktycznie dla hadkorowców livecd na dedykowanym sprzęcie. A co do biosu to można poszukać terminal bez biosu stare IBMy tak miały ;) No i pamiętać o zahardkodowaniu DNSów w LiveCD ;) a najlepiej jeszcze dopisać IP banku do hostsów :P

    • skoro maszyna wirtualna nie załatwi sprawy to rozumiem że uruchomienie Przegladarki internetowej Sandbox ie też nic nie da?

  11. Ciekawi mnie jednak, jak działa motyw, że numer rachunku jest taki, jak trzeba, a dopiero po wygenerowaniu potwierdzenia on się zmienia. Jakieś pomysły? Jak żyć?

    • Potwierdzenie generowane po stronie serwera i przesylany po prostu plik wynikowy. A u uzytkownika hasa wirus co nie sprawdza otwieranych plikow.

    • Było już wyjaśnione. On tego “wirusa” ciągle na tym komputerze ma i ciągle mu podmienia numer. Tu na właściwy wedle użytkownika by go po prostu zmylić.

    • Na pewno można to zrobić uruchamiając js w przeglądarce, np jakimś pluginem. Nie jestem pewien, czy aplikacja działająca “obok” przeglądarki może takie manewry robić

    • bo to był wirus, co to mu monitor zchakował :)
      zobaczcie jaki stary, pewnie od dawna nie ma wsparcia ;)

    • obstawiam plugin firefox :)
      na moje oko tylko tylko wyjsciowy html jest podmieniany.

      to co dzieje sie w backendzie jest nietykane.

  12. Przede wszystkim dbałość o swój komputer.
    Natychmiastowe kasowanie dziwnych maili – nie ulegać chorobliwej ciekawości!, jakiś antywirus, czyszczenie przeglądarki z historii i ciasteczek przed otworzeniem strony z bankiem (a najlepiej otwierać w trybu incognito).
    Napiszę wprost – nigdy bym się nie odważył otworzyć stronę z bankiem na kompie i w przeglądarce, w której przedtem był otwierany np. redtube (czy tym podobne)!
    Ostatecznie do banku używać innej, osobnej przeglądarki, najlepiej niszowej.
    Polecam też programik M$ – EMET.

    • Nieprawdą jest, że dotyczy tylko kart kredytowych. Skąd sobie to wymyśliłeś?

      Dotyczy wszystkich kart visa i mastercard, ważne tylko by nie było pośredników, jakieś przelewy24 i podobne.

  13. Prosta obrona przed takim atakiem – jeśli klient wysyła przelew na konto, na które wcześniej przelewu nie wysyłał to dodatkowy SMS informujący wielkimi literami, że wysyłamy na nowe konto i czy na pewno chcemy?

    Inny sposób – bank mógłby profilować konta docelowe. Widząc nagle dużą ilość przelewów wychodzących na jedno konto może prosić o dodatkowe potwierdzenie.

    • Pomysł słaby bo w okresach sprzedażowego peaku jak np. święta. Ilość nowych transakcji znacząco wzrasta. A znając mentalność większości klientów wywołało by to niezadowolenie gdyby byli by zmuszeni do jakiejś dodatkowej weryfikacji bo wysłali nowy przelew na konto allegrowicza czy sklepu internetowego. Znam osoby które mają osobne konto internetowe tylko na potrzeby zakupów w serwisach aukcyjnych czy e-sklepach. Zamiast profilować konta, banki mogły by wreszcie weryfikować dane odbiorcy czy zgadzają się z numerem konta. Ale po co zamiast tego lepiej jak w przypadku mbanku zmienić wygląd serwisu transakcyjnego na pełen wodotrysków.

  14. Nie uważam, żeby ten użytkownik był na przegranej pozycji. To bank ma nas chronić przed utratą pieniędzy a użytkownik dochować należytej staranności.

    Jeśli ten poszkodowany ma papiery na oryginalnosć swojego systemu operacyjnego np kupił laptopa z licencją oraz posiada rachunek za swój program antywirusowy (na filmiku wspomona że kupił tego nortona) to ma BARDZO SPORE szanse na wygranie sprawy o zwrot tych pieniędzy. Ludzie walczcie o swoje i nie dajcie sie naciągać bankom.

    • Bzdury wierutne piszesz. I może jeszcze Bank ma odpowiadać za to kogo do domu wpuszczasz? Zleciłeś przelew i bank go wykonał i nie jest sprawą banku, czy to Ty wpisałeś takie dane, czy kolega, czy mama, czy złośliwe oprogramowanie. Ty masz dbać o swój system, tak samo jak nie możesz wymagać od np. spółdzielni, żeby odpowiadała jak ktoś Ci się do domu włamie…

    • @Łoś No ale jednak banki zwracają pieniądze w przypadku przestępstw przy użyciu karty kredytowej. A też może to Twoja wina, że nie zalepiasz/zasłaniasz numeru karty i jak płaciłeś w sklepie ktoś kamerą przemysłową przechwycił jej numer.
      Bank mógł zablokować przelewy na numer konta przestępcy, czyż nie? Numer konta już jest znany, bo 1) sprawa została zgłoszona na Policję 2) numer konta przestępcy jest w skrypcie/wirusie zahardkodowany. Tak więc trochę zaniedbania albo braku prewencji jest ze strony zespołu bezpieczeństwa informatycznego banku.

  15. Dlaczego w histori przelwów pobieranych z serwera jest poprawny nr konta bankowego. Dlaczego zły nr jest dopiero widoczny na raporcie ? wychodzi na to że mbank w jakiś sposób dostał 2 numery ? nie można się przed tym zabezpieczyć ?

    • 7 postów wyżej.

  16. Pocieszające jest to, że zniknęło 40 000, a nie 400 000. Byłaby 10x większa strata.

    • I tylko trochę szkoda, że nie 4000. Byłaby 10x mniejsza strata.

    • To największe szczęście na świecie, że nie zniknęło im 4 miliony, gdyby tyle stracili to byłoby słabo.

  17. Dlaczego nie polecacie maszyn wirtualnych, ze względu na możliwość przejęcia komunikacji między gospodarzem a gościem? Bo jeśli chodzi o nienaruszalność samego oprogramowania to maszyna wirtualna nie jest gorsza od Live CD.

  18. Witam,
    Czy redakcja wie może dlaczego banki nie sprawdzają danych typu imię i nazwisko/nazwa oraz adres odbiorcy? Kwestia techniczna czy prawna?
    (Niestety od razu po napisaniu pytania zdałem sobie sprawę, że gdyby sprawdzali, to prawdopodobnie wirus te dane też podmieniał :( Niemniej jednak nadal jestem ciekaw odpowiedzi).
    Pozdrawiam.

    • Bo nie muszą :) Niektóre sprawdzają bo chcą i wykorzystują to jako element systemów antyfraudowych — ale nie mają obowiązku tego robić. Sprawdzanie danych działa za to całkiem nieźle przy przelewach międzynarodowych, gdzie jak zrobisz literówkę w nazwisku albo adresie, to dostaniesz zwrot przelewu i opłatę kilkudziesięciu EUR za obsługę zwrotu ;)

    • > Czy redakcja wie może dlaczego banki
      > nie sprawdzają danych typu imię i nazwisko
      > /nazwa oraz adres odbiorcy? Kwestia
      > techniczna czy prawna?

      spróbuj wymyśleć sposób, jak ogarnąć milion sposobów, w jaki klienci potrafią napisać:
      “Jan Kowalski, firma Krzak, Wólka Dolna, ulica Górna”
      uwzględniając spacje, znaki przestankowe, numery, kolejność, wielkie liter, polskie znaki lub ich brak, itp :D

    • Akurat to jest proste. Z wypowiedzi Piotra wynika, że banki robią to dla przelewów zagranicznych.
      Jest to zagadnienie, którego uczy się każdy student informatyki. np. odleglość Hamminga https://pl.wikipedia.org/wiki/Odleg%C5%82o%C5%9B%C4%87_Hamminga

      I wiele, wiele innych technik, które potrafią stwierdzić czy tekst różni się w 100, 70, czy 50 procentach. Kwestia potem tylko ustawienia wartości granicznej w system antyfraudowskim.

    • @Imię:
      > Akurat to jest proste. Z wypowiedzi Piotra wynika, że banki
      > robią to dla przelewów zagranicznych

      akurat tam odbywa się to nieco inaczej, zapewne w każdym banku inaczej

    • W radiu jaki “ekspert” mówił, że przepisy się zmieniły. Kiedyś banki musiały sprawdzać, teraz nie muszą. Inna sprawa, że ten “ekspert” udzielał takich rad, do których osoba z filmiku się stosowała (antywirus, kłódeczka i spoko). Mówił też (to był główny temat rozmowy), że jak pomylimy się w numerze konta i pieniądza trafią do kogo innego, to nasza wina. Nic się nie zająknął o cyfrach kontrolnych.
      Jeśli kogoś interesuje treść tej audycji, to zapewne jest w udostępnionym archiwum Radia i mogę spróbować odszukać.

    • A jaki sens ma sprawdzanie tych informacji? Skoro wirus potrafi podmienić numer konta to może też podmienić resztę danych, dokładnie w taki sam sposób.

    • Ponieważ ktoś w swoim “geniuszu” wymyślił żeby jedyną daną konieczną do wykonania przelewu był numer konta i to Wynika z przepisów. Dane właściciela konta i adres są po nic, bo nikt tego nie weryfikuje, pomijając sytuacje kradzieży, to już nawet zwykła pomyłka w numerze konta może nas drogo kosztować, bo pomimo, iż podmiot, który otrzymał nasze pieniądze jest bezpodstawnie wzbogacony i ma obowiązek zwrotu przelanej kwoty, szanse żeby ją odzyskać są bliskie zeru. Jest to niewykonalne, gdyż do pozwu potrzebujemy danych podmiotu któremu wpłacono nasze pieniądze, a ich nie uzyskamy, bo bank zasłoni się tajemnicą bankową i danych nie udostępni.

    • Numer konta ma cyfry kontrolne, więc zwykła pomyłka nie powinna spowodować, że pieniądze trafią na niewłaściwe konto. Realna jest pomyłka, że pomylimy się przy kopiowaniu numeru konta – wkleimy nie to co trzeba – ale wówczas mamy dużą szansę właściciela odszukać, bo przecież skądś ten zły numer skopiowaliśmy.

  19. Droga redakcjo,
    W jednym z komentarzy (chyba na YT) pojawia się stwierdzenie, że to nie wirus i dlatego program antywirusowy go nie wykrył. Tylko, że jest to jakieś złośliwe oprogramowanie (innego typu niż wirus), które ma dostęp do pamięci przeglądarki i tam podmienia numer konta.
    Czy to prawda? Jak nazywa się tego rodzaju nie-wirus (malware, trojan)? I czy rzeczywiście antywirus sobie z nim nie radzi?

    • Jeśli ktoś myśli, że antywirus daje dobre zabezpieczenie to jest w poważnym błędzie. Nie dość, że każdy antywirus to wielkie sito to jeszcze stosunkowo łatwo go oszukać.

    • To jest jak najbardziej wirus/malware, opis pasuje do znanego Banatrixa (http://www.cert.pl/news/9565/langswitch_lang/pl), choć oczywiście może to być jakiś nowy twór. Programy AV jak najbardziej mają techniczną możliwość wychwycenia go, ale wiadomo że AV mają swoje ograniczenia.

    • Zapomniałem dodać, że tego typu atak określamy pojęciem MITB (man in the browser), w odróżnieniu od MITM (przed którym chroni nas SSL).

      https://en.wikipedia.org/wiki/Man-in-the-browser

  20. Ja jak ktoś mi kasę wisi i mu wysyłam mailem nr rachunku to jeszcze 4 ostatnie cyfry słownie w kolejnej linijce zapisuje na wypadek jakby miał tego vira

  21. Bank mógł być bardziej kreatywny. Istnieje proste rozwiązanie opisanego powyżej problemu. Wystarczy losowy kod weryfikacyjny wzbogacić o 2 – 4 cyfrowy hash numeru bankowego i po problemie (cyfry doklejone bądź modyfikują w inny sposób losową cyfrę)

    Ich specjaliści od bezpieczeństwa muszą się też zastanowi nad przelewami zdefiniowanymi bez potwierdzenia. Proponowałbym generować coś podobnego do json web token – samoweryfikujący się token może zawierać wszystkie informacje dot. przelewu.

    Według mnie bank ponosi winę za kradzież tych pieniędzy ponieważ był w stanie w prosty sposób ustrzec klienów przed stratą. Przynajmniej dla mnie rozwiązanie jest oczywiste…

    • @Dzafar Sadik
      Użytkownik ma ten hash sobie ręcznie przeliczać i sprawdzać, czy się zgadza z numerem na monitorze? Klient nie rzucił nawet okiem na numer konta, który dostał w SMS-ie od mBanku, a ty sądzisz, że będzie ręcznie przeliczał hashe, i jeszcze obwiniasz bank o to, że facet nie sprawdził, gdzie idzie przelew na 40k złociszy?

    • > Bank mógł być bardziej kreatywny. Istnieje proste rozwiązanie
      > opisanego powyżej problemu. Wystarczy losowy kod weryfikacyjny
      > wzbogacić o 2 – 4 cyfrowy hash numeru bankowego i po problemie
      > (cyfry doklejone bądź modyfikują w inny sposób losową cyfrę)

      Ale dokładnie to co chcesz żeby zrobili?
      Gdzieś czytałem, chyba na stronach banku, że kod potwierdzający z sms w jakiś sposób jest obliczany z danych transakcji – ale co z tego, skoro Ty tego powiązania nie widzisz, jest to po prostu kod, nie wierzę, że ktokolwiek to będzie sobie obliczać, a zresztą jeśli sposób byłby prosty, to trojan tę część też by podmienił – i potem spowrotem podmienił wysyłając do serwera,
      za to możesz przeczytać sms i tam obok, jawnie, jest numer rachunku, który bank otrzymał do zrobienia przelewu – wystarczy przeczytać sms.

    • Mój błąd, nie przemyślałem tego …

      Prawdopodobnie wirus na komputerze okradzionego rezydował przez dłuższy czas i wyczekiwał większego przelewu. Boję się myśleć ile osób ma to samo “oprogramowanie”, które tylko czeka na odpowiednio wysoką kwotę przelewu.

    • W Pekao S.A. przy potwierdzaniu przelewu software tokenem na komórce, do tokena trzeba wpisać ostatnie 4 cyfry numeru rachunku odbiorcy. M.in. na ich podstawie generowany jest kod potwierdzający przelew.

  22. Jest jeszcze jeden sposób. Wystarczy mieć token współpracujący z Kartą Debetoweą i generujący klucz potwierdzający na podstawie ostatnich 8miu numerów konta na które idzie przelew oraz kwoty transakcji :). Tak mam w Banku w UK.

    • To oprogramowanie po 4rech próbach podmiany konta prawdopodobnie się poddaje :).
      Tyle razy mi nie przyjął system przelewu :).

    • a co to zmieni? niby jak to ma uchronić przed takim malwarem? Bank wysyła ostatnie cyfry rachunku na jaki ma iść przelew, więc ten gośc to po prostu dupa że przy tak dużej kwocie nie sprawdził tego. Inną sprawą jest że wyskakują mu jakieś komunikaty o nieaktualnej javie, widać że niedbał należycie o system. Dziwię się jedynie że norton nie wykrywa oprogramowania które ustawia hooki w systemie.

    • Przy malej kwocie tez warto sprawdzac bo kwote mala na duza podmienic mozna tak samo jak numer rachunku :)

    • Jak to co? Masz 2 maszyny w które wpisujesz kwotę+ 8 pierwszych/ostatnich numerów konta i to na drugiej maszynie oraz w banku generowany jest token do wpisania :).

      U mnie niezgadzające się numery konta lub kwota spowodowały 4-ro krotne błędne wygenerowanie tokenu i brak możliwości przelania pieniędzy :). Po prostu bank wyrzucił moje zlecenie do kosza, a na koniec dał mi darmowego Kaspersky’ego w wersji na 3 kompy :).

      To się nazywa dbanie o klienta :)

    • Chyba 8miu cyfr z numeru konta??
      Czytam to 5 razy i nie mogłem zczaic jak to ma niby działac, ze bierze ostatnie 8 numerow kont :/
      W UK tez chyba jest roznica pomiedzy “numerem” a “cyfra” ??

    • Irol: “…To się nazywa dbanie o klienta :)”
      A może chciał Ci po prostu coś zasugerować? ;)

  23. Ja bym zaczal od przesiadki na jakis pewniejszy system operacyjny. Na win10 wcale nie bedzie trzeba zlapac wirusa zeby jakis hacker sie do nas dostal, wystarczy ze hacker skorzysta z ficzerow systemu.

    • Wymień choć jeden przypadek takiego ataku. Bo jak na razie to czysta spekulacja bez żadnych konkretów.

  24. Tjaaa. mBank jest w ogóle kreatywny – wykonując w androidowej appce przelew własny (np. na inny rachunek podpięty do tego samego konta, bądź na rachunek techniczny karty kredytowej) w ogóle nie aktywuję mechanizmu potwierdzenia, jest po prostu guzik Zatwierdź i włala.

    I bądź mundry, pisz wiersze. Gdzie poleci przelew? Przy dozie farta na inne moje konto, ale nawet tego nie sprawdzę.

    Radość.

    • Nie jestem pewny jak to robią w mBanku, ale zazwyczaj jeśli realizowany jest przelew pomiędzy własnymi rachunkami to po stronie serwera odbywa się walidacja czy podany rachunek odbiorcy jest rachunkiem tego samego właściciela i na tej podstawie jest określana potrzeba walidacji, więc w tym wypadku wirus by moim zdaniem nie zadziałał

    • te podsumowanie w 4:48, chyba też się Ciebie tyczy ;)

  25. W przypadku kont wpisanych do tzw “książki adresowej” czy list stałych odbiorców, do których przelewy wykonywane są np. regularnie, taka sytuacja chyba nie grozi prawda? Biorąc pod uwagę, iż nr konta jest zapisany na stałe w danym profilu i nie wprowadza się za każdym razem nr konta (czy to z ręki czy kopiując)?

    Teoretycznie jest to logiczne, aczkolwiek uświadomcie mnie, jeśli w takim przypadkurównież się to może wydarzyć :)

    • Zależy od tego w jaki sposób to zrealizowali, ale moim zdaniem w takiej sytuacji w większości banków dalej jesteś narażony na działanie wirusa

    • To prawda, ten konkretny atak nie zadziała na zdefiniowanych odbiorców (zakładając, że byli zdefiniowani prawidłowo na niezawirusowanej maszynie).

  26. Sądzę Piotrze, że banki sporo mogłyby zrobić, aby zminimalizować ryzyko tego rodzaju ataków, wymagałoby to jednak trochę nakładów i wyjścia przed szereg. Nie oszukujmy się, dla większości ludzi to wciąż jest wiedza tajemna i jeszcze długo tak pozostanie, a niektóre napuszone komentarze są po prostu nie na miejscu. Szkoda tylko, że pokrzywdzony pan nie zauważył jeszcze winy operatora i organów państwa ;)

  27. Pisałem już o tym na Wykopie – jestem ciekaw jak się ustrzec przed takim niebezpieczeństwem wykonując kilkanaście i więcej przelewów na raz wrzucając je do koszyka. W takim przypadku przychodzi jeden sms autoryzujący, ale choćby ze względów technicznych nie zawiera on danych szczegółowych wszystkich przelewów, zatem nie mamy możliwości zweryfikowania, czy nie padliśmy ofiarą oszustów.

    • Chyba nie masz pojęcia o czym piszesz!

      Do koszyka płatności dodajesz transakcje chociaż potwierdzone kodem. Więc nie ma możliwości, aby tam trafiły niedozwolone transakcje. Chyba, że wcześniej taką wykonałeś indywidualnie.

    • Spokojnie, ale chyba Ty nie wiesz co piszesz. Załóżmy, że masz zamiar zrobić 15 przelewów.
      Wówczas wpisujesz dane pierwszego przelewu, dostajesz smsa autoryzacyjnego i kolejne przelewy wpisujesz już bez autoryzacji. Po wpisaniu wszystkich przelewów zamykasz koszyk i znów autoryzujesz przelewy jednym sms’em, ale nie ma w nim wszystkich numerów kont – aby ustrzec się przed skutkami wirusa o których mówi autor filmiku. Jeśli wirus podmieni numer konta w którymś z pozostałych 14 przelewów to jesteś w czarnej d…. .

    • W BZWBK nie potwierdza się SMS-kodem żadnego z przelewów dodawanych do koszyka a jedynie przed zbiorczą realizacją zawartości całego koszyka.

  28. Pytanie :czy taki wirus moze podmienic nr ROR w tzw odbiorcy zaufanym (nie znam sie ale mysle że chyba tak).

  29. mbank zablokował mi parę k na błędny wniosek komornika, który od razu złożył drugi wniosek o cofnięcie tej blokady (lubię go i pozdrawiam z tego miejsca), mbank miał mi odpowiedzieć w ciągu 7 dni co się dzieje w ogóle bo dzwoniłem do nich zanim zadzwoniłem do komornika, mija 9 dni, komornik nie chciał i nie chce tej kasy, on jej nie ma, ja jej nie mam, a mbank nie wie co z nią zrobił :D jutro chyba wysadze w kosmos ten pseudo oddział, polecam millenium tak z ostatnich doświadczeń :)

  30. @Gad Dem była już mowa o podmianie zleceń stałych bądź książki przelewów w momencie ich tworzenia… potem już dojono Cie bez większych problemów :)

  31. Czemu banki nie blokują przelewów na ten konkretny rachunek bankowy?
    Przecież w tej chwili wiadomo już, że jest to numer przestępcy, czyli wystarczyłoby nie puszczać przelewów.

    • Po pierwszej reklamacji ktoregos z zalatwionych klientow rachunek wpada na blackliste. I dlatego przestepcy maja po kilkadziesiat kont-slupow.

    • @Piotrze Czy banki mają specjalistów, którzy czytają kod źródłowy lub kod wynikowy takiego wirusa i prewencyjnie blokują następne z tych kilkudziesięciu kont? Czy tylko po zgłoszeniu reklamacji od klienta konto jest blokowane?

    • Maja zarowno swoich jak i zewnetrzne firmy ktore dostarczają im tego typu informacji. Banki naprawde (przynajmniej niektore) duzo robia aby minimalizowac ryzyko fraudow.

    • Numery docelowych rachunków raczej nie są w kodzie źródłowym, tylko przesyłane na bieżąco z serwera C&C przez autorów malware’a.

      Ale prawdą jest, że banki mogłyby np. za pośrednictwem ZBP wymieniać się na bieżąco blacklistą słupów (nr rachunków, pesele) — przy kredytach jak widać opłacało im się zrobić coś takiego (BIK/KRD itp.). Może kiedyś w końcu do tego dojdzie, bo po części zgadzam się ze zdaniem, że bank może zrobić więcej aby uchronić klienta w tej sytuacji, ale ze względu na koszty takich rozwiązań woli zwalać 100% winy na niego.

    • BIK/KRD w dyskusji na tegorocznym Forum Bankowości Detalicznej wyraził gotowość bycia platformą do wymiany tego typu informacji ;)

  32. W sumie ja stostuje głownie punkt 3 i nigdy jeszcze zadnego syfu nie zlapałem (choć na skrzynce znalazlem ;P )

  33. Nie znam powodów dla czego banki nie porównują nazw /imienia nazwiska właściciela konta z danymi w zleceniu przelewu.
    Moim zdaniem to współwina wina banku że ten przelew został zrealizowany.
    Niezgodność numeru konta z nazwiskiem powinna być weryfikowana już na etapie przed wysłaniem SMS, to takie proste ale widać bankom jest na rękę wspieranie złodziei. Może nawet same mają z tego korzyści, nasuwa się pytanie czy twórcy tej zasady nie porównywania nazwiska z numerem konta nie są jednocześnie współtwórcami tych wirusów, mają prowizję od tego?
    Skoro żądają wpisania w formularzu przelewu Imienia i nazwiska lub nazwę posiadacza konta to niech to sprawdzają czy się zgadza albo niech zlikwidują tą rubrykę! Zwłaszcza teraz od czasu gdy wyszły wirusy wykorzystujące to.
    W smsach razem z numerem konta powinno być nazwisko bo to się bardziej rzuca w oczy niż jakaś niezgodność w ciągu cyfr!
    Banki obudzicie się! Przestańcie finansować złodziei.

    • Nie znasz?? Zbyt duża strata finansowa dla banków. Przykład. Użytkownik w pole nazwisko wpisze takie oto nazwisko Brzeczyszczykiewicz,i powiedzmy, że się pomylił. Prawidłowe nazwisko wygląda następująco : Brzęczyszczykiewicz. Widać różnicę e a ę? Użytkownik realizując przelew, któremu wydaje się że został wykonany wylogowuje się. Po kilku dniach dzwoni do niego Pan Brzęczyszczykiewicz i mówi , że nie dostał pieniędzy. Obrót banku maleje o jakieś 85%. Zbyt duże utrudnienie dla użytkownika,a wielu osób nie za bardzo przykłada się do wypełniania pól nazwisko/imię, bo ma przecież prawidłowy nr konta, nieprawdaż??

    • Rozwiązanie takich problemów jest banalnie proste i stosunkowo tanie, ale banki po prostu nie chcą i tyle w temacie.

      Wystarczyłoby w SMSie napisać, że jest niezgodność dAnych (szczegóły przesłane w e-mailu bądź sms-ie) i należy potwierdzić przelew ręcznie logując się ponownie na stronę banku, a w razie dalszych wątpliwości zalecić kontakt z infolinią.

      Prewencyjnie można by wysłać informację w e-mailu (czy sms-ie), że system przyjął dyspozycję przelewu na poniższe dane (nawet częściowo zamaskowane) i pouczyć użytkownika, że powinien sprawdzić poprawność danych, a w razie wątpliwości może anulować przelew w jakimś określonym czasie bądź skontaktować się z bankiem.

    • @meryl
      Ten temat był już wałkowany tyle razy, wraz ze wskazaniem trudności w praktycznej implementacji i wyjątkowej upierdliwości przede wszystkim dla użytkownika, że daruję sobie wyjaśnianie i przejdę od razu do zastosowania w tym przypadku.

      Jaki problem dla atakującego jest podmienić dane w przelewie na dane konta słupa, żeby się zgadzały? 3 linijki kodu więcej?

    • Rozwiązanie jest bardzo proste i realizowane przez niektóre banki, dla przykładu PKO BP.

      Po pierwsze, bank zastrzega możliwość dodatkowej weryfikacji telefonicznej wykonania przelewu, tj po zleceniu przelewu dzwoni do Ciebie przedstawiciel banku i potwerdza, czy na pewno chcesz wykonać ten właśnie przelew.

      Po drugie: na listę przelewów do potwierdzenia telefonicznego trafiają przelewy:
      – na wysokie kwoty (szczególnie, jeśli zwykle przelewów na wysokie kwoty nie wysyłamy)
      – na numery kont na które nigdy wcześniej gotówki nie przelewaliśmy (w szczególności gdy wykonujemy prawie wyłącznie przelewy na te same numery)
      – gdy dane osobowe odbiorcy się nie zgadzają
      – i pewnie wiele innych…

      Porównanie danych osobowych odbywa się algorytmami mierzącymi procentową zgodność. Brak polskich znaków, proste literówki czy zamienione imię z nazwiskiem generują bardzo małą procentową niezgodność, która zwykle nie łapie się na próg zadziałania zabezpieczenia. Całkowicie inne imię, inny adres itp już wygenerują sporą niezgodność.

      W przypadku zadziałania potwierdzenia, konsultant zaczyna rozmowę od informacji, aby sprawdzić dane odbiorcy z tymi, które właśnie nam poda + podaje informację, że przelew jest wg nich podejrzany i mogła nastąpić podmiana numeru konta. Czasem prosi o podyktowanie kilku cyfr numeru konta.

  34. Dlatego grubsze przelewy wykonuję w okienku ;) najbezpieczniejsza metoda + dbałośc o swój porządek w pc

  35. Myślę że kasa nie jest jeszcze stracona( do odzyskania od ubezpieczyciela banku), klienta mogą uratować dane przelewu czyli nazwa odbiorcy , jego adres i tytuł przelewu ale to już jest zadanie dla dobrych prawników specjalizujących się w prawie bankowym. Co nie zmienia faktu że przy takich kwotach trzeba wszystko parę razy sprawdzić.

    • Bank przyjmie reklamację i zwróci się do właściciela konta o zwrot środków powołując się na reklamację Klienta odnośnie niezgodności konta adresata z jego danymi. Być może jest możliwość założenia blokady na kwotę przelewu jeśli środki będą na tym koncie. To tyle od strony formalnej. Bank nie jest w stanie zweryfikować jakie konto do kogo w rzeczywistości należy przed wykonaniem przelewu.

  36. @Piotr Coś mi się wydaje Panie Piotrze, że dzisiaj nie pójdzie Pan wcześnie spać. Sądząc po aktywności w komentarzach :)

  37. Tak jest w banku PeKaO… Do konta możesz zamówić sobie token, który generuje kod jednorazowy do potwierdzenia transakcji. Kod jest generowany na podstawie zdefiniowanego wcześniej pinu, losowych 4 cyfr od banku i 4 OSTATNICH CYFR RACHUNKU ODBIORCY. Wystarczy tą liczbę przepisać do tokena z pewnego źródła i jeśli “coś” podmieni rachunek odbiorcy to kod jednorazowy nie będzie poprawny i przelew nie zostanie zrealizowany.
    Token dostałem za 1zł rocznie…..

    • @Ebola
      mBank wysyła token SMSem. Bez opłaty 1zł. Co więcej, razem z tokenem wysyła informację, na jaki rachunek i na jaką kwotę idzie przelew (lub jaka operacja jest wykonywana).

  38. Nie zgodzę się z Waszym stanowiskiem i stanowiskiem banków. Są sposoby aby zabezpieczyć takie transakcje. Choćby nawet wymuszenie (powyżej określonej kwoty)na użytkowniku obowiązkowego wyłączenia w przeglądarce obsługi Javascript. Uchroniło by to większość operacji.. Zrobić spartanską wersję panelu do wykonywania przelewu która nie potrzebuje interakcji w przeglądarce. Bo tak na prawdę to JS służy do niepotrzebnych “dupereli” i wodotrysków… odkąd Google i Facebook wynieśli do rangi kultu Ajax zrobienie witryny bez jquery to wręcz potwarz.. A modyfikacja elementów dom w locie to ciemna strona JS która tutaj jest głównym problemem i orężem w rękach przestępców. Wasze pokorne potakiwanie na stanowisko i regulamin banku jest niezrozumiałe i trochę poddańcze.. wolałbym wymusić na bankach trochę kreatywności której im brakuje a nie akceptować zrzucanie na swojego bądź co bądź klienta odpowiedzialności za możliwości nowoczesnych bibliotek w przeglądarkach www

    • Da rade i bez javascriptu takie numery robic.

    • “A modyfikacja elementów dom w locie to ciemna strona JS która tutaj jest głównym problemem i orężem w rękach przestępców.”

      Nie jest żadnym problemem. Myślisz, że taki wirus wstrzykuje kod JS do przesyłanych po https plików? A może wstrzykuje i uruchamia kod JS bezpośrednio w pamięci przeglądarki? :)

      Tutaj może być pomysł dla producentów przeglądarek. Np. pole w formularzu oznaczone jako “wrażliwe” powinno być w jakiś sposób szyfrowane/ukrywane w pamięci komputera przez samą przeglądarkę (np. wzorem kruczków, jakie stosowali producenci gier w czasach poke-ów ;))

    • Wydaje mi się że wystarczyłoby wprowadzenie mechanizmu wprowadzenia np dwóch cyfr losowo wskazanych z numeru rachunku odbiorcy który widzi klient przed dokonaniem przelewu. system bankowy porównuje te liczby z numerem rachunku który w rzeczywistości otrzymał.

    • @Marian
      Przecież atak idzie przez add-on do przeglądarki, a nie przez skrypt na stronie. A jeśli nie poleci przez dodatek, to proxy z podstawionym certyfikatem. A jeśli nie, to (i tak dalej).

      Jeszcze tego brakuje, żeby firma mówiła mi, jak mam skonfigurować **swoją** przeglądarkę, bo inaczej nie będą świadczyli usług. Już wystarczy, że wymagają włączonej obsługi ES, żeby studenty mogły się popisać [nie]umiejętnością jego użycia ;).

  39. Czy mam rozumieć że wirus pamięta dobre numery kont? Przykładowo jak wykonam kilka przelewów na różne rachunki i zostaną one podmienione na złe rachunki, to potem wirus wstawi do historii operacji dobre rachunki i to w odpowiednie miejsca?

    • Z filmiku na YT wynika, że tak się właśnie dzieje.

  40. Na moje oko bank ponosi pewną odpowiedzialność – skoro wszędzie reklamują to jako ułatwienie życia to powinni podawać do wiadomości istnienie ryzyka ataku. To tak jak ostrzeżenia na produktach niebezpiecznych. Dodatkowo skoro jest możliwość ataku to zabezpieczenia leżą. Ja proponował bym mini klawiaturę wyświetlaną na stronie przez którą należało by przepisać losowy kod z obrazka o różnej długości + nr konta. Wirus się nie połapie kiedy kończy się kod a kiedy zaczyna nr.

    • Numer konta ma taką strukturę, że najpierw (2 cyfry) jest suma kontrolna wyliczana z pozostałej części, a dalej numer banku/oddziału (powszechnie znane numery) a na końcu dopiero numer rachunku wewnątrz banku. Dlatego da się wyszukać numer konta “schowany” w dłuższym ciągu cyfr.

  41. Denerwuje mnie w komentarzach tu i na fejsbuku, nazywanie ofiary winnym.

    Winny jest przestępca.

    Ofiara jest ofiarą.

    Jako ludzie z branży IT z pogardą patrzymy na ludzi co się na komputerach nie znają.

    Jednak w wielu krajach na świecie ludzie nie zamykają drzwi na klucz. I co się dzieje? Nic się nie dzieje. A nawet gdyby ktoś wszedł i coś ukradł, to nadal złodziej jest winny a nie nieroztropny mieszkaniec.
    Kiedyś znajomy zostawił drzwi na oścież otwarte w domu w Niemczech po czym wyjechał do Polski na święta. Jak wrócił to się sąsiedzi pytali czy chciał przewietrzyć mieszkanie, ale nikt nic nie ukradł.

    Równie dobrze można na słupie z ogłoszeniami zostawić swój login i hasło. Głupie? Głupie. Ale ostatecznie jeżeli ktoś kto wejdzie na nasze konto i przeleje sobie pieniądze na własne jest przestępcą.

    Jak sami w komentarzach zauważyliśmy tego malware nie wykryje antywirus. Przynajmniej najnowszych wersji z najnowszymi kontami-słupami. A o pierwsze użycie chodzi. I nam z branży IT też się to może zdarzyć.

    Tak więc edukujmy, ale z szacunkiem.

    Bo jutro się może okazać, że wyjeżdżając z serwisu opon koło nam odpadnie (ojej, nasza wina, bo nie sprawdziliśmy siły dokręcenia śrub) albo idąc ulicą stracimy portfel (ojej, nie spisaliśmy numerów seryjnych banknotów a w ogóle to trzeba było się Krav Magi nauczyć – odpowiednik instalacji systemu antywirusowego).

    • Pełna zgoda. To takie polskie niestety żeby stygmatyzować ofiarę…

      Wszystkie transakcje online z konta powinny być ubezpieczone (ze środków banku, bo jak inaczej) na wypadek takich fraudów, tak samo jak ubezpieczone ze środków banku sa transakcje z kart kredytowych. Niech potem policja łapie i zamyka oszustów.

    • @MokkaBoss
      Proponuję od razu wprowadzić obowiązkowe, państwowe ubezpieczenie dla wszystkich obywateli posiadających rachunek bankowy! Chcesz, to sobie ubezpiecz — prywatnie, za swoje pieniądze. Możesz zgłosić się do banku z pomysłem wprowadzenia takiej usługi, jeśli jej nie oferują. Jeżeli dbasz o swoje bezpieczeństwo, to na takim ubezpieczeniu stracisz dużo więcej niż przez złodzieja. Jeśli nie dbasz, to nie widzę powodu, dla którego ja miałbym ponosić tego koszty.

      Nota bene: bank nic nie ubezpiecza w przypadku kart. Za to płacą inni klienci.

    • @mpan

      Sorry, ale dlatego trzymam pieniądze w banku (a nie w skarpecie), żeby mieć gwarancje, że pozostają one bezpieczne. To chyba nie tak wiele, biorąc pod uwage, że w zamian bank dostaje możliwośc swobodnego dysponowania całymi moimi środkami (nie mówiąc juz o pobieranych opłatach)?

      Jeżeli dochodzi do przestępstwa czy kradzieży, to chyba normalnym jest liczyć na to, że bank stanie na wysokości zadania i przede wszystkim zapewni klientowi bezpieczeństwo środków i komfort psychiczny? I nieważne czy to złodzieje ukradli pieniądze z sejfu banku, ktoś zajumał mi kartę czy zainfekował mój PC jakimś syfem. W momencie udowodnienia takiej przestępczej aktywności powinien następowac natychmiastowy zwrot środków – i tyle. I nie obchodzi mnie za bardzo jak to zostanie zorganizowane po stronie banku tak żeby na tym finansowo nie tracił (dokładniejsze sprawdzanie danych, lepsza współpraca z policją i innymi bankami przy blokowaniu takich przelewów i łapaniu delikwentów, itp.) – chodzi o to żeby ludzie nie tracili pieniędzy ze względu na działania przestępców, kiedy tak naprawdę nie ma co do tego żadnych podstaw.

      Przykre, że w polskim społeczeństwie nadal dominuje mentalnośc, która sympatyzuje ze złodziejem (albo bankiem, w naszej rzeczywistości starającym się maksymalnie wydymać klienta) a nie ofiarą.

    • @MokkaBoss
      Jeżeli pieniądze znikną z banku, to bank może być winnym. Jeśli ty dajesz złodziejowi dostęp do swoich pieniądzy, to jesteś winny ty i tylko ty. Gdyby jeszcze bank nie udostępniał metod weryfikacji, co się dzieje — ale mBank takie ma i klient je zignorował, więc już zupełnie nie ma do czego się przyczepić. Jeśli wejdziesz do poderzanej spelunki z wartym 50k zegarkiem na łapie, zaczniesz zaczepiać groźnie wyglądających typków, odepchniesz ochroniarza próbuącego ci pomóc i w efekcie stracisz zegarek, to co? Producent ma ci oddać go za darmo (tj. na koszt innych klientów), bo to też jego wina? Sytuacja jest analogiczna.

      Współczucie ofierze nie jest równoznaczne z pluciem na innych. A tej ofierze trudno współczuć w sytuacji, gdy nie widzi w tym swojej winy i sama oczernia niewinnych i inne ofiary. Bo bank również jest tutaj ofiarą. Nikt im tych 40k nie zwróci, a teraz jeszcze doszły koszty wizerunkowe.

      Wcześniej napisałeś “typowo polskie”. Jedyne, co jest typowo polskie, to zamiłowanie Polaków do wmawiania sobie najgorszych możliwych zjawisk. Prawda jest taka, że obwinianie i stygmatyzowanie ofiary jest powszechne na calutkim świecie, bo jest naturalnym odruchem obronnym organizmu Homo Sapiens. Tyle, że tutaj nic takiego nie zachodzi. Reakcja komentujących — w tym moja — mogłaby być inna, gdyby nie to, że typek z filmu jest spretensjonowany, ślepy na własne błędy i przejawia pewną formę “agresji” wobec tych, którzy akurat mu się nawinęli pod rękę.

  42. W przypadku dokonywania przelewu z koszyka w BZWBK nie są podawane numery kont a jedynie kwoty. Czy zatem taki mechanizm jest podatny na atak ?

    • Zdecydowanie, tak samo jak autoryzowanie pojedyńczych przelewów listami TAN lub kartami-zdrapkami

  43. Zakładam, że banki potrafią wykryć konto słupa i szybko zareagować blokując przelewy wychodzące. Jeśli tak jest to puszczając przelew można zawsze ustawiać datę realizacji na np. za 3 dni. Wtedy jest szansa, że w międzyczasie bank się połapie i zablokuje.

    A przy takich kwotach lepiej po prostu sprawdzać 5 razy i puszczać przelewy z komputera/wirtualki/systemu przeznaczonego tylko do tego celu.

    • Sprawdzaj n * infinity. Passi? Jak to mówią włosi mafiozi??
      Nie o to chodzi. Najlepiej wykonać przelew bezpośrednio w banku, podając Pani w okienku nr konta i nazwisko oraz sumę. Jeśli źle wykona przelew, to wtedy bank będzie obciążony. To już nie twój problem.

  44. Ale ostatecznie co to było?
    Wirus? (A virus runs when the user launches an infected program or boots from an infected disk.)
    Robak? (Worms are similar to viruses, but they don’t require the user to launch an infected program.)
    Trojan? (Trojan programs conceal malicious code within a seemingly useful application)
    A może jakis atak webowy typu XSS (Cross-site scripting) lub Cross-site request forgery (CSRF/XSRF)?
    Co to za draństwo było?

    • Te definicje co podajesz są błędne i przede wszystkim mocno nie na czasie.

      Tak naprawdę tylko jedno pojęcie ma obecnie sens: Malware – czyli taki czy inny działający na komputerze uzytkownika software, mający uczynić mu jakąś szkodę.

    • @MokkaBoss

      Możliwe bo te definicje były z jakiejś strony wzięte.

      Wikipedia ma takie zdanie w haśle jak na dole tego postu. Są odnośniki do poszczególnych terminów i można sobie poczytać jak kogoś interesuje. Albo poprawić jeżeli ktoś uważa, że są błędne ;)

      Ja w sumie nadal nie wiem co to za konkretny ‘malware’.
      Typ i nazwa.

      ‘Malware’ is an umbrella term used to refer to a variety of forms of hostile or intrusive software,[3] including computer viruses, worms, trojan horses, ransomware, spyware, adware, scareware, and other malicious programs.

  45. Ciekawy oprócz aspektu technicznego jest też aspekt psychologiczny tej sytuacji.
    Czy bank powinien zwrócić pieniądze ofierze? Nie jest to wina banku, ale z punktu widzenia dbania o swój PR może warto? Jeśli zwracają pieniądze z przestępstw na kartach kredytowych to czemu nie bankowości internetowej?

    Takie karty w ogóle nie są bezpieczne z punktu widzenia architektury a jednak im ufamy, korzystam z nich, nosimy w portfelu, płacimy itd.

    Nikt np. nie mówi o fałszywych terminalach (np. takie co pokazują fałszywą kwotę)
    Źdródło: Computerphile
    https://www.youtube.com/watch?v=Ks0SOn8hjG8

  46. Facet z filmiku pokazał wyłącznie swoją niewiedzę. Mam konto w mBanku, wady swoje ma, ale za bezpieczeństwo i dostęp do moich pieniędzy odpowiadam ja. Jak ktoś nie rozumie jak działa internet i wirusy to niech ma konto w PKO, a wszystkie przelewy załatwia w okienku – problem z głowy.

    Ma facet wirusy na swoim komputerze i jest wielce zdziwiony że mu kłódeczka nie pomogła bo połączenie szyfrowane. A jakby odszedł od komputera i się nie wylogował, to kłódeczka też ochroni przed nieuprawnionym dostępem?

    Przy wykonywaniu przelewu wychodzącego zawsze otrzymuje klient SMSem kod potwierdzający w którym jest podany rachunek odbiorcy i kwota przelewu. Też nie sprawdził? Nie zapisał sobie potwierdzenia i nie zerknął dla świętego spokoju? Zawsze można jeszcze było dzwonić do banku i anulować przelew zanim pójdzie elixirem, a tu *click click* i 40 tysięcy poszło w świat chronione magiczną kłódeczką. I te “pieniążki”, o zgrozo…

    • Nie oczerniał PKO, ty mbankowcu. Bank to bank, ma swoją stronę internetową gdzie przelewy są realizowane w rl, on-line. Także to nie nowość. Niestety ty w MBanku nie masz okienka , i przelewu nie zrealizujesz jak inni normalnie ludzie. Jesteś odizolowany od sposobu płatności w ‘okienku’.

    • @SuperTux
      mBank ma około tuzina placówek “okienkowych” więcej od PKO.

    • To dlaczego z nich nie korzystacie? Przykład na filmiku…

  47. Przecież nawet na stronie logowania od 2014 roku piszą o tym.

  48. Zaraz zaraz.

    Dla laika laptop w którym zleca przelewy i tablet gdzie odczytuje sms-a to takie same urządzenia.

    Dlaczego zatem nikt nie podważa autentyczności treści sms-ów ??? No bo przecież one są wysyłane przez bank…..hehehehe.
    …do czasu kiedy nie pojawi się robak który będzie szukać w treści sms-a ciągu znaków podobnego do r-bankowego i który będzie skomunikowany przez wifi z najbliższym kompem.

    I nie piszcie że się nie da bo jeśli człowiek wymyślił system to człowiek może go złamać. Kwestia środków, czasu i umiejętności.

    Dlaczego numer wyświetlany na ekranie lapka to może być zhakowany, podmieniony, ukradziony, zamieniony, ukryty, skryty i bóg wie co jeszcze a już ten wyświetlony w sms-ie jest cacy, super i poprawny. Jak laik ma określić granice oszustwa ?

    Bank jest odpowiedzialny za bezpieczeństwo pieniędzy i jego zasranym obowiązkiem jest dobierać usługi dostępu tak, żeby te pieniądze były bezpieczne. Gdyby człowiek z filmiku przyszedł do okienka bankowego z kartką z zapisanym nr konta na który chce przelać 40k to by się stało coś złego. No nie.

    To bank zaproponował niedoskonały system dostępu do pieniędzy z udziałem osób trzecich /system operacyjny, przeglądarka/ i to bank powinien ponosić odpowiedzialność w opisanej sytuacji.

    W Stanach, Kanadzie, Australii czy ZEA koleś by dostał zwrot po tygodniu. W większości cywilizowanych krajów w trybie reklamacji czy arbitrażu bankowego po miesiącu. I tyko w j…. Polsce jesteśmy dymani przez baksterów jak dziwki z pod Mariotta nocą.

    • SMS nie jest w 100% wiarygodny, są wirusy które działają na podobnej zasadzie jak piszesz. Nie zmienia to faktu że są znacznie bezpieczniejsze od innych środków autoryzacji jak lista Tan czy karta-zdrapka, ponieważ zapewniają drugi, niezależny kanał komunikacji pomiędzy bankiem aużytkownikiem i tylko w przypadku zainfekowania obydwu urządzeń atak taki będzie niewidoczny dla użytkownika.

    • Z tym zwrotem pieniędzy za granicą to mijasz się z prawdą. To zależy od systemu bankowego i czasu realizacji zleceń płatniczych. Polska i już Europa jest rajem dla oszustów bo skraca procedury rozliczeniowe (zresztą na wasze życzenie). Gdybyście chociaż odrobinę znali prawo bankowe i przeczytali (i zrozumieli) regulamin i umowę jaką podpisaliście z bankiem to wiedzielibyście o co chodzi.
      Zwrot pieniędzy z oszustwa jest możliwy z kart płatniczych, ale za to się płaci. Jeżeli chcesz mieć bezpieczne konto. Płać.

  49. “Dziwnie rozkłada się ta odpowiedzialność banku na różne produkty (karta vs konto internetowe), prawda?”

    Dokładnie tak samo, czyli jest zbliżona do zera :)

    Płatność kartą -> ryzyko fraudu obciąża sprzedawcę
    Przelew -> użytkownika

    Bank tak czy tak kasuje opłaty i prowizje…

    Co do sedna sprawy – kanał zwrotny, taki jak sms, to bardzo dobry sposób, problem jest chyba z prezentacją danych. Nie wiem jak w mbanku, ale w innym banku z którego dane mi było skorzystać treść smsa (z racji ograniczenia do 160 znaków) była mocno poskracana / wykropkowana – wiadomość słabo czytelna.

    To powinno wyglądać tak:

    SMS ma trzy linijki:

    Nr operacji: xxx
    Numer rachunku: xxxxxxxxxxxxxx
    Hasło: xxxxx

    natomiast na ekranie powinien wyskoczyć wielki popup z instrukcją:
    SPRAWDŹ numer operacji i numer rachunku w wiadomości SMS, i jeżeli są zgodne z Twoją instrukcją wprowadź hasło jednorazowe.

    Niektóre banki, na etapie oczekiwania na hasło jednorazowe wzbogacają widok zlecenia przelewu o zdekodowane z numeru rachunku nazwę i siedzibę oddziału banku (np BZWBK 4/o Poznań) co też może być pomocne (przecież wujek ma konto w Pekao, WTF?!)

  50. taaaa… przeglądarka – firefox (brak domyślnej blokady na instalację skryptów z zewnątrz, niemal na bank nadal to ma w dodatkach), alerty o nieaktualnej Javie…

    taki typowy komputerowy Janusz, który nawet nie wie, że jego komputer jest zapewne od dawna (kiepską) koparką bitcoinów oraz kawałkiem botnetu ślącego spam (przy okazji zarąbali mu książkę adresową Outlooka i hasła). a że komp wolno działa, to wina tych pedałów z microsoftu.

    u mnie szef złapał dokładnie to samo – wrzuciło się jako dodatek do Firefoxa pod nazwą “Firefox Google Search”. Wracało po usunięciu, gdyż na kompie był też wirus z nim powiązany, który go instalował stale od nowa. poszedł przelew na konto słupa, ale “tylko” 2k. zachowałem sobie do analizy, ledwie 6 kB kodu w JS, tyle że jako dodatek do FF

    chrome ma małą przewagę, bo od kilku wersji żadne rozszerzenie spoza sklepu play w ogóle nie uruchomi się, więc nawet jeśli coś się spróbuje zainstalować, to nic nie zrobi, chrome aktualizuje się po cichu

    jaka jest charakterystyka typowego komputerowego Janusza?
    – zamyka wszystkie alerty o aktualizacje od czegokolwiek, jak coś się aktualizuje, to daje “anuluj”, bo przeszkadza
    – instaluje javę, bo mu raz wyskoczyło na jakiejś stronie, że nie ma “czegoś”, choć ostatecznie do niczego ta java nie była potrzebna, także nie aktualizuje
    – kinomaniak, szuka lewych serwisów strumieniujących oraz opcji ściągania filmów, jak każą wpisać numer telefonu, to podaje, bo może coś wygra (lol – tak, nie dość że serwis mu oferuje filmy za darmo, to jeszcze chce go nagrodzić, że ogląda za darmo xD )
    – na kompie lewy soft, gry, a czasami nawet Windows, bo przecież co będzie płacił, jak można mieć za darmo, antywirus (lewy) nie nadąża z wyświetlaniem alertów (czasami nawet nie aktualizuje się, bo lewy i klucz przestał chodzić pół roku temu), alerty wyłącza, bo przeszkadzają, ściąga cracki z dziwnych stron, uruchamia jako administrator
    – erotoman, chodzi po portalach z gołymi babkami, szuka accesów do stron premium, zupełnie normalne jest to, że accesy te są dostarczane w exe-kach (nawet nie wie co to, uruchamia jako administrator)
    – bank przysłał na maila prośbę o zmianę hasła – zmienia, poczta przesłała fakturę – otwiera, alerty antywirusa i tak są wyłączone, więc jeśli zareaguje, to nikt tego nie widzi

    komp Janusza zawsze muli, choćby miał nawet Core i9 pod maską (jeszcze nie wynaleźli), dysk SSD i 32TB RAMu, w trayu miliard ikon (chyba po to MS zrobił ukrywanie), w program files więcej katalogów podejrzanego softu niż legitnego.

    robienie na takim kompie czegokolwiek innego niż format to misja samobójcza.

    informatyka w szkołach to strata czasu, powinny być konkretne lekcje z bezpieczeństwa informatycznego, podbudowane logiką jak nie dać się phishingowi, ale to może być mało pomocne, jak gimbaza ma często sieczkę w głowie i nie ogarnia prostych pojęć…

    • Normalnie / nienormalnie takich bzdur jeszcze nie czytałem. Aź szkoda mi czasu Cię cytować, i odpowiadać na wszystkie twoje mity :).

    • @SuperStux – jest takie słowo: “ironia”. przecież to powyżej jest celowo ironicznie przerysowane ;) Sprawdź, czy Twoje poczucie humoru nie spadło za kanapę…

    • I znowu nie wyczułem ironii..

    • Gdyby to nie było tragiczne to nawet byłoby zabawne. Choć ironicznie napisane to niestety dużo w tym prawdy. Nie dziwie się, że w Windows 10 Microsoft zaczął wymuszać aktualizację, bo znam zbyt wiele przeciętnych użytkowników komputerów, żeby nie wiedzieć, że aktualizację są tylko po to żeby denerwować i nie przekonasz takiego, że to dla jego dobra, żeby nic nie złapał. Później płacze, że mu sterowniki Google nie działają, a na kompie syf i malaria, gdzie wirus Ebola przy tym to małe miki,

  51. Antywirus Norton ahahahah.
    Jest kłódeczka ahahaha.
    Nie sprawdził numerów w smsie ahahaah.
    Poziom wiedzy mistrza powala na kolana.
    5:29 szukałem i nie znalazłem ahahaha

  52. Czy ten syf działa podobnie do tych wszystkich magicznych dodatków, które wszędzie wyświetlają reklamy na www? Często usuwam innym takie rzeczy…

    Swoją drogą sam sprawdzam numery rachunków w sms pół na pół jak pamiętam i mam czas. W mTransferach przez usługi typu payU nigdy… Ale to by chyba nic nie dało.

    • Płatności PayU prawdopodobnie nie są narażone na tego typu atak gdyż Bank u siebie ma już wcześniej informację na temat tego na jaki numer rachunku ma iść transakcja i nawet jeśli coś by zmodyfikowało numer rachunku po stronie klienta to w najgorszym wypadku aplikacja powinna wyświetlić mu błąd, ale nie wykona takie transakcji.

  53. Nie wiecie jak jest ze skutecznością Ochrony Bankowości Elektronicznej – w nowej wersji Eset Smart Security dodali taką usługę. To jakby wersja przeglądarki, zabezpieczana dodatkowo przez Eset… czy jest skuteczne? Czy uchroniłoby przed tego typu atakiem?

  54. Tak tylko informacyjnie – przykładowo w BOŚ Banku po wypełnieniu formatki przelewu, ale przed przysłąniem kodu SMS do potwierdzenia przelewu wyświetla się nieedytowalna formatka z podsumowaniem i ładnym czerwonym napisem z pogrubioną czcionką:
    UWAGA: Przed autoryzacją zlecenia prosimy o sprawdzenie czy w polu “Na rachunek:” znajduje się poprawny nr rachunku odbiorcy podany w kroku 1/2
    Wydaje mi się, że wcześniej było to nawet zrealizowane tak, że wyskakiwał javascriptowy alert() z numerem konta i prośbą o ponowną weryfikację. Ale tak jak juz zauważyli wszyscy w powyższych komentarzach – problemem nie są zabezpieczenie po stronie banku a mentalność, umiejętności i świadomość zagrożenia u typowego użytkownika.

  55. Moje uszy krwawią kiedy go słucham..

  56. Hej

    Miałem kiedyś sytuację kiedy przelewałem coś koło 50tyś i ponieważ miałem karty zdrapki to w celach weryfikacyjncyh otrzymałem telefon z banku w celu powtierdzenia kowty i rachunku. Generalnie jeśli wykonujemy takie przelewy okazjonalnie to przeznaczanie jednego sprzętu do takich celów to już chyba lekka przesada, taniej wyjdzie olać internetową bankowość i zwyczajnie przejść się do okienka, w tej historii jednak sam użytkownik zawinił że przy tego typu kwocie nie zweryfikował sms’a potwierdzającego który jest ostatnim i najważniejszym etapem weryfikacyjnym, trudno przełknąć ale niestety chwila niedopatrzenia może sporo kosztować.

  57. Czy jest jakiś zestaw narzędzi bądź narzędzie które polecacie aby przeskanować komputer i znaleźć ewentualne nakładki na przeglądarkę ?

  58. Już nie wnikam, oczywiście Win,… ale mBank JavaScriptu ma multum, niby wszystko śmiga… Ale…

    • I w czym ci zawinił w tym przypadku js? Albo windows? Sugerujesz, aby aplikacje pod windowsem były hermetyczne i nie zezwalały innym procesom na podpinanie się pod nie?

  59. Widze w komentarzach jaka popisowa, ze ten okradziony czlowiek to frajer, a wypowiadzajacy sie to ekspert od zabezpieczen. Prawda jest taka, ze przelewy sa obecnie bardzo slabo chronione i jednak banki powinny cos z tym zrobic, a nie udawac, ze to wylacznie wina klienta — ot chociazby pomysl pierwszy z brzegu, aby zaczac wymagac nazwy rachunku i weryfikowac nadchodzacy przelew na podstawie rachunku ORAZ tejze nazwy. Ludzie sa bardzo slabi w rozpoznawaniu serii cyfr, ale nie imion czy nazw, wiec “Jan Kowalski 7876784757” jest rozny od “Zofia Nowak 7873784757” na pierwszy rzut oka. No, ale co tam sie bak bedzie wysilal….

    • Ale już Jan Kowalski a Janek Kowalski to niby ta sama osoba, a zapewniam Cię że użytkownicy by wymyślili jeszcze 10 innych nazw i nie za bardzo są możliwości automatycznego sprawdzania zgodności wpisanych nazw

    • No ja jestem ekspertem. Z tego co piszesz wynikają same wierutne bzdury. Jakbyś chociaż miał promil wiedzy na temat zabezpieczeń ze strony banku dla użytkownika, to byś na głowę upadł. Bank daje ci chociażby taką metodę weryfikacji jak SMS, czy też monitorowanie przelewu telefonicznie. Tylko, że taki frajer jak ty z tego nie korzysta…. Co bank ma robić wszystko za ciebie? Wpisać przelew? Sprawdzić SMS’A? A może Paniczu jeszcze dostaniesz frytki gratis? Powtarzam, i będę powtarzać, że największym wrogiem dla swojego komputera jest jego użytkownik. To on spowodował, że aplikacja wdarła się na jego komputer, i podmieniła nr konta. Także zamiast pisać takie bzdury zapisałbyś się na kurs do niebezpiecznika,co?!!?!?

    • @SuperStux jaki SMS? jaki telefon?
      Czy chcesz powiedzieć, że muszę jeszcze kupować telefon, żeby zrobić przelew?
      O niemożliwości korzystania z telefonu w miejscu gdzie robię przelewy – nie wspomnę.
      Wymagałbym trochę profesjonalizmu od eksperta…

  60. “26 sekunda filmu — padają słowa “jakiś wirus”. Nie mamy więcej pytań… Wina użytkownika”.
    Zważywszy, że facet miał antywirusa PŁATNEGO to świetna reklama dla antywirusów.
    Chciał być bezpieczny, bo NAWET płacił za to. I nie macie więcej pytań?

    Jeśli chodzi o autoryzację przelewu, to tu jest sprawa prosta, użytkownik powinien być świadomy, że bardzo ważne jest sprawdzenie cyfr nr-u konta w smsie z kodem.
    Niestety, wielu nie jest. Oj! … muszę żonę uświadomić! :)

    • Nalezaloby zapytac banki, dlaczego mocniej nie edukuja klientow ze maja obowiazkowo sprawdzac numer rachunku na ktory robia przelew 2 razy. Na dokumencie z faktura (ktos mogl podstawic falszywy dokument) i wreszcie w SMSie.

  61. Ale “gnoją” ten mbank co chwile, przy takich okazjach, btw ciekawe czy pekao sa zaliczyło jakąś wpadkę kiedy kolwiek (interesuje mnie to bo wileu moich znajomych go ma).

    • a dobrze że gnoją, należy im się.
      Sk…..e od miesiąca codziennie po 3 razy atakowali mnie ofertą wdzwanianą “predictive calling” (Czyli dzwonią do ciebie, odbierasz i czekasz aż się połączy konsultant – raz czekałem 1 minutę i 45s) na jakiś g…..y kredyt – całe szczeście ich tzw. “promocja” już się skończyła.. nie ma gorszego banku w Polsce.

  62. A są banki które zwracają w takim przypadku…

    • mi też się zwraca, jak za dużo wypiję ;)

  63. Wszyscy się mścicie na tym człowieku, a prawda jest taka, że i tak jak na typowego użytkownika ma całkiem obszerna wiedzę. Wiedział, że trzeba sprawdzać czy połaczenie jest szyfrowane, miał zainstalowanego antywirusa. Uważam, że jeżeli nie od banku, rekompensaty mógłby domagać się od Nortona. Jakim cudem norton nie zablokował zhookowania się pod proces aplikacji tak popularnej i atakogennej jak przegladarka? Nie ma mowy o podpięciu pod tunel HTTP systemu, chyba że odtworzony by był proces szyfrowania (co i tak wymaga zhookowania pod przegladarke). Czy ten antywirus działa tylko i wyłacznie na zasadzie porównywaniu uruchomionych procesów z baza? … Dodatkowo, istnieja proste algorytmy porównywania ciagów, banki moglyby spokojnie weryfikowac dane do przelewów. Jak ktos wspomnial wyzej, moznaby wysylac alarm podczas przelewania na nowe konta bankowe. A co jezeli taki atak przeprowadzi sie na uzytkowniku z banku PKO, korzystajacym z kodow jednorazowych? Zerowa szansa na obrone. Tez wina uzytkownika? Moze powinna wejsc jakas ustawa regulujaca sposoby zabezpieczen bankow. Wtedy wszystkie musialby to wdrozyc pomimo narzekan klientow na uniedogodnienia. Troche mnie dziwia wasze wskazowki dotyczace bezpieczenstwa.
    Nie sposob nakupic sprzetu. Jaki w tym sens? Czy bankowosc elektroniczna nie miala przypadkiem przyniesc wygody? Uwazam ze da sie to zrobic, tylko sie nikomu nie chce :)

    • Na razie jest ustawa, że musisz korzystać z banku (np. żeby dostac pensję). Musisz, mimo, że jak widac, nie ma banku, w którym możesz bezpiecznie trzymać srodki (bezpieczniej niż w skarpecie).

  64. Czy tak trudno przez bank porównać co leci w submicie forma z tym co się wyświetla na ekranie (przeszukać DOM chociażby JSem)? No nie rozumiem tego… :o
    Jak dla mnie bank powinien bulić za brak dostatecznych zabezpieczeń.

    • Panie admin gdzie moj post ;)

    • Wiesz, że atakujący, który ma kontrolę nad przeglądarką może np. wyłączyć ten kod sprawdzający w JS?

      Ale, tak czy inaczej, jest to potencjalna metoda przechwycenia niektórych tego typu ataków (dopóki nie stanie się zbyt popularna i wszyscy autorzy malware’u nie zrobią obejść).

      NASK/CERT Polska oferuje taki produkt — BotSense, niestety w publicznych zasobach nie ma za dużo info na ten temat.

    • Niskim kosztem dla banku byloby odostępnianie własnej prostej przeglądarki bez obsługi wtyczek. Mialaby ona tylko certyfikat do dwustronnego SSL i to wszystko. Po co się zabezpieczać przed czymś, co nie jest potrzebne?

  65. okey, czyli najbezpieczniej jest korzystać z paybylinkow (przelewy24,payu itp) oraz platnosc karta z uzyciem cvv.

    nie pamietam w sumie kiedy ostatni raz kopiowalem nr rach z fv elektronicznej. wszelkie platnosci dokonuje przez paybylink lub (to juz duzo zadziej przez karte z uzyciem cvv)

    to chyba jest bezpieczne :)?

  66. „Ja nie rozumiem jak to działa” – to jest najlepszy komentarz na filmiku. Skoro nie wie o czym gada, to po co nakręca filmik pokazujący jakim jest idiotą?

  67. Każdy mądry pisze, że powinien sprawdzić nr konta w sms. Patrzycie w małej skali.
    Przykład z życia wzięty, duża firma, bank BGK, autentykacja tokenem (czyli nie ma możliwości sprawdzenia nr konta).
    używać sms?
    Ilość dziennych przelewów jest tak duża (same pensje to 2000 przelewów), że korzysta się z tokenów i paczek przelewów.

    Co ciekawe do stworzenia paczki wystarczy login i hasło, nie ma zabezpieczenia token/sms w bgk !!!!!!
    Przecież to tylko paczka…potrzeba weryfikacji jest dopiero przy wysyłaniu paczki.

    Już był wirus który pozamieniał nr kont w paczkach, ale nie podmieniał tego co widać na ekranie, wiec udało się to wyłapać. najnowszy kaspersky milczal…

    Teraz przy niewykrywalnym wirusie, przy zamienionych nr kont na ekranie, przy tworzeniu paczek bez koniecznosci uzycia potwierdzenia, przy autentykacji gotowych paczek tokenem(sms nie pomoże bo w paczce 100 nr kont) nie ma możliwości zabezpieczenia się przed tym.

    Linux? Bank nie ma sterowników do czytników kart autentykujących innych niż do windows….pomysłu jak z tym sobie radzić też nie.

    zmienic banku nie można

    • No dobrze,,,, komputery w firmie chyba działają na sandboxie z ograniczonymi prawami. To co to za problem stosować tokena:??!

  68. Narzeka na wirusy, bezpieczeństwo, szyfrowanie, kłódeczkę itp. a w trayu wisi informacja o aktualizacji Javy. Panu gratuluję!

  69. Ale do czytelnika wykopu przyczepiłeś się niesłusznie, wszak HIPS to opcja programu AV Comodo Internet Security, która jak najbardziej ma szansę wychwycenia tego typu ataku (nie wiem oczywiście jak by zachowała się w tym konkretnie opisywanym egzemplarzu wirusa) ale wiadomo, że autor komentarza nie miał na myśli SSL-a.

    • Ups. W linku został #id komentarza, a miał być link generalnie do wątku i generalnie do niektórych opinii, bez wytykania konkretnej osoby palcem, bo nie o to chodzi. Poprawione/usunięte.

  70. Niech w oknie z potwierdzeniem generuje się grafika z numerem na który wysłano przelew

    • nic to nie zmieni, majfrend, który jest autorem tego “wirusa” wydzierga sobie taki numerek w canvasie, kłudeczka nadal będzie zielona.

    • A gdyby ten obrazek z numerem konta (+dane o jego właścicielu) uzupełniać o obrazek, np. w tle, przypisany do właściciela konta?

  71. Ależ oczywiście. 8miu cyfr. Źle sobie przetłumaczyłem numbers. Najfajniejsze jest to, że token jest za darmo i działa z kartą płatniczą. Czyli mając token (pin_sentry) mogę nim obsłużyć wszystkie subkonta z którymi mam związane karty i nikt nie jest w stanie mi podmienić numeru konta bo jedynie ja mam dostęp do klawiatury urządzenia. Zresztą bez pin_sentry nawet nie da się zalogować do konta bo zalogowanie wymaga podania kodu.

    A strona mBanku jest gówno warta. Poprzednią działającą z wyłączonymi skryptami wylaczyli 2 lata temu. To co się dzieje to jest wyłączna wina banku bo wyłączenie skryptów znacząco podnosi bezpieczenstwo usług bankowych.

    • Moda na [nawalający co chwilę] JS pakowany gdzie się da i oparcie na nim całego serwisu transakcyjnego mBanku mnie wnerwia, a jeszcze bardzie usunięcie czata bez zainstalowania konkretnego oprogramowania, konkretnej firmy na konkretnym systemie operacyjnym.

      Ale czy mógłbyś jednak rozwinąć wątek bezpieczeństwa i ECMAScriptu w kontekście tego ataku? Jaki konkretnie wpływ miał on na zagrożenie i w jaki sposób zablokowanie skryptów miałoby uchronić awtora filmu przed tym, że sobie zainstalował na komputerze syf podmieniający numer konta, a potem nie sprawdził na informacji od banku, do kogo wyśle 40 tysięcy złotych?

  72. To moze napiszcie jak to z SMS wlaczyc w kazdym z bankow, np. w IPKO?

    • Wchodzisz w serwis Ipko(polecam nowe ipko)>ustawienia>autoryzacja i wybierasz

  73. Przepraszam za offtop, ale czytanie waszych poniekąd ciekawych artykułów okropnie męczy wzrok. Czarne tło + biały tekst to niezbyt dobre środowisko do czytania dłuższych tekstów.

  74. Zawsze myślałem, że numer konta musi się zgadzać z danymi odbiorcy…

  75. Krótki komentarz dot. potwierdzania numeru r-ku w SMS w ING Banku
    Otóż w przypadku SMS ING w nie ma numeru r-ku docelowego ale jest numer r-ku ŹRÓDŁOWEGO !!! Face Palm !!!

    Przykładowa treść:

    “ING Bank. Sprawdź KWOTĘ i RACHUNEK. Kod autoryzacyjny dla przelewu z rachunku 41 XXX YYY, na kwotę 9999,99 to 12345678 ** 2015.12.02 ** 11:05:15”

    • Nieprawda. W sms’ie od ING podawane są 2 pierwsze i 3 ostatnie cyfry rachunku DOCELOWEGO w formacie 42 XXX 231. Dodatkowo przy wklejaniu nr rachunku system usuwa np. 2 pierwsze cyfry i wymusza na użytkowniku wprowadzenie je ręcznie.

  76. Bank broni się jedynie SMSem że “użytkownik nie zweryfikował 4 ostatnich cyfr” – przestępcy jeszcze te ich SMSy zmodyfikują – i wtedy czym bank będzie się tłumaczył??

    Bank poprostu nie dołożył wszelkich starań by zapobiec takiej sytuacji. O ataku było wiadomo (w środowisku informatyków ) już od dawna. Przy tak dużych kwotach to powinni przynajmniej zadzwonić do użytkownika by potwierdził 4 ostatnie cyfry konta, a nie wysyłać smsa …

    Pozatym atak jest na tyle poważny, że ja bym wogóle rozważył wyłączenie opcji przelewów na tak duże kwoty poprzez bankowość internetową – jeżeli bezpieczeństwo przelewu opiera się tylko na 4 cyfrach w SMSsie!

    • W przypadku mBanku bezpieczeństwo, o którym piszesz opiera się na 8 cyfrach dwóch rachunków i 8 znakowym haśle….
      żadne narzędzia, żadna weryfikacja nie zastąpi myślenia!!!
      na tacy masz podane i nie widzisz?

  77. Jak bezpieczna jest wersja z LiveCD? Zwykle raczej (chociaż z lenistwa czy oszczędności) nie będzie się wypalać płytki przed każdą transakcją i zapewne taka płytka będzie używana co najmniej kilka miesięcy jeśli nie 1-2 lata. Czy nawet jeśli to jest jakiś stabilny linux – nie zwiększa to niebezpieczeństwa ataku?

    Czy oprócz kłódki należy sprawdzać coś jeszcze – jak realny jest atak MiTM na SSL w przypadku stron bankowych

  78. Wszystko pięknie panie autorze ale proszę w takim razie zaproponować rozwiązanie dla mnie: Codziennie wysyłąm przelewy w paczkach, od 100 do 2500 przelewow. Nie ma możliwosci sprawdzenia SMS’em tych wszystkich kont. Jedyna metoda weryfikacji to sprawdzenie na ekranie, co jak wiemy nie działa. Moj boski bank do działania elektronicznej autorycacji kartą ma napisaną apke w javie ale instalacja apki tylko w formie exe wiec linux jako system odpada. Banku nie moge zmienic bo ministerstwo wymusza uzywanie tego jedynego. Co teraz ??? . PS. Pomysły z wirtualną maszyną można sobie rowniez wsadzic bo nie bedzie ksiegowa co 10 min zamrazac i odmrazac maszyny. Daj mi teraz jakąś rade WUJU dobra rada.

    • Jeśli uważasz, że księgowa może złapać wirusa, daj jej osobną, dedykowaną stację tylko do przelewów. Albo się ubezpiecz.

    • A ja mam pytanie do redakcji niebezpiecznik.pl. Czy nie lepiej zamiast proponować kłopotliwego a przez to niepraktycznego rebootu i odpalania distra live proponować zabezpieczenia polegające na tym, żeby w końcu użytkownicy Windows do codziennych zajęć na kompie nie wymagających uprawnień konta admina nie korzystali z tego konta? Używać do neta i innych powszednich zajęć konta ZU. Do czynności administracyjnych (instalacje, konserwacje, przeglądy logów i tp) i tylko do takich wymagających praw admina konta właśnie admina. Do przelewów bankowych osobnego konta użytkownika z hasłem, lub dodatkowego konta z uprawnieniami administratora (chyba lepiej chronione pliki profilu, aczkolwiek konta ZU też mają separowane profile). Jeśli do tego dodać na bieżąco wykonywane aktualizacje przynajmniej systemu, to czy takie zabezpieczenia nie są wystarczające. K woli ułatwienia do przelewów odpalamy sobie Firefoksa prawym klikiem i w polu uruchom jako podajemy login np: przelewy i hasełko do tegoż konta. Takim prostym sposobem nawet jeśli złapiemy syfa to ograniczony on jest swym działaniem tylko do zarażonego konta naszego powszedniego. Konto przelewowe przy zachowanych podstawowych zasadach używania windy, czyli hasła, nie wyłączanie UAC, na bieżąco instalowane aktualizacje powinno być czyste. Myślę że nawet przy uruchamianiu firefoksa z opcją “uruchom jako” wirus nie powinien się do niego dobrać, bo program chodzi na profilu czystego konta, ale to trzeba by sprawdzić ;-), aczkolwiek po coś to zabezpieczenie M$ zrobił. Dla bardziej ostrożnych polecam przełączanie użytkownika.
      Ja nieraz korzystam z tego mechanizmu przy odwirusowywaniu. Włączam u delikwenta UAC. Zakładam nowe konto admina z hasłem. Wylogowuje się z konta zawirusowanego. loguje się na nowym koncie admina. Wycinam stare zawirusowane. Działa w 95% przypadków :-). Oczywiście ktoś powie że można złapać takiego syfa, który korzystając z nieznanych luk w systemie przebije się przez reżim uprawnień konta ZU i przejmie prawa konta admina a nawet konta system i wpisze na stałe do jądra systemu i będzie czekał aż delikwent się zaloguje do mbanku i zacznie robić przelew żeby mu go “wyparować”, ale jakie jest ryzyko zaistnienia takiego obrotu sytuacji. Dodam że na kompie gdzie robimy przelew nie chodzimy po podejrzanych stronach. Kontroli konta użytkownika nie wyłączamy wbrez popularnym pseudoporadnikom internetowym. Jak co chwila nam wyskakuje prośba o podanie hasła konta admina to 1 sprawdzamy co chce te uprawnienia i zasada jest że nie podajemy, jeśli nic nie instalowaliśmy. Może to być sygnał że mamy syfa.

    • Nie, nie lepiej :)

  79. Jaki LiveCD polecacie?

    • xubuntu jest ok

  80. A jakby tak połączyć smsa z autoryzacją a’la token? Że przy potwierdzeniu transakrcji wpisujemy kod z smsa oraz ostatni 4 liczby z numeru konta na które chcemy przelać pieniądze. Nawet jak wirus nam podmienia i wyświetla ten numer który rzeczywiście chcieliśmy i nie sprawdziliśmy cyfr z smsa to szansa, że się będą powtarzać raczej maleje…
    Również do niektórych antywirusów dodawane są “bezpieczne przeglądarki”, bodaj w Bitdefenderze miałem kiedyś, czy takie coś pomaga w jakikolwiek sposób?

  81. Dla przecietnego uzytkownika nie wysyłającego setek przelewów dziennie rozwiazanie jest proste jak budowa cepa. VM z linuxem + sms z numerem. ALLELUJA.

  82. Zawsze uważałem siebie za osobę, która ma wiedzę na temat bezpieczeństwa w internecie większą niż przeciętny użytkownik internetu ale przyznam się szczerze że równie dobrze to i ja mógłbym być ofiarą takiego ataku. Dopiero teraz zacząłem uważniej przyglądać się w smsie numerowi banku do jakiego wykonuję przelew. Zgadzam się że wina stoi jedynie po stronie klienta, nie banku ale mimo wszystko uważam że filmik powinien dotrzeć do jak największej ilości internautów celem szerzenia świadomości w jak łatwy sposób można stracić pieniądze. Oczywiście taki filmik powinien być bez żadnych żali do banku czy certyfikatu bo jak wiadomo to nie one zawiniły.

  83. Bezpieczeństwo nie opiera się na czterech cyfrach w SMSie. Oto jak wygląda sms z tokenem od mBanku: “! Operacja nr 1 z dn. 01-01-2015 mTransfer z rach: …11111111 na rach.: …22222222 kwota: 100,00 PLN haslo: 12345678 mBank”

    Jest podane wyraźnie Twoje konto, numer konta odbiorcy, kwota i 8-cyfrowy kod bezpieczeństwa. Lepsze to niż 4-cyfrowy kod ze zdrapki.
    Jak jeszcze inaczej bank ma chronić swoich klientów? Za telefony do klienta bank ma płacić, czy klient? Za co klient płaci jak w koncie wszystko ma być darmowe, a najlepiej żeby jeszcze bank dopłacał do interesu, bo i tak przecież zdziera kasę, nie?

    Facet wykonywał przelew z zainfekowanego komputera, nie sprawdził danych w smsie. Jakby przy każdym przelewie wyskakiwał człowiekowi wielki czerwony popup z tekstem “Sprawdź numery kont w smsie matole” to i tak się zaraz znajdzie kolejny delikwent który przez rutynę zamknie i nie sprawdzi, a będzie to tylko uprzykrzać życie wszystkim innym.

    Bankowość elektroniczna nie jest dla każdego. Zawsze można mieć konto w “normalnym” banku i robić przelewy w okienku.

    • A to telefony sa nie do scrackowania, czy tak? Nie da sie podejrzec transmisji SMS-ow, podmienic, bo ten kanal w odroznieniu jest nienaruszalny.

      Odwroce pytanie — a co takiego banki zrobily, zeby realnie zapewnic bezpieczenstwo? Jak na razie to jest “masz tu chlopie numerki, sprawdz sobie, Twoje ryzyko”. Czemu nie ma wiazania numeru konta z nazwa? Czemu banki nie promuja albo nawet nie wymusza przelewow na zadanie, tak aby to odbiorca byl strona inicjujaca?

      Zawsze bowiem jest latwiej zrzucic wine na klienta, ze przeciez mogl wrzucic router pod rentgen, niz ruszyc mozgownice. Zreszta o czym my tu gadamy, taki mbank nie jest w stanie okielznac swojej wlasnej strony WWW, to co dopiero mowic o zabezpieczeniach.

    • Jeszcze raz zaznaczę – metoda weryfikacji numeru konta w smsie nie działa przy wykonywaniu grupowych przelewów (z koszyka). Gro firm robi kilkadziesiąt przelewów dziennie i założę się, że 90% firm wykonuje te przelewy grupowo (jedno hasło sms na otwarcie koszyka i drugie hasło sms na zamknięcie koszyka i wykonanie przelewów). W takim przypadku numery kont bankowych nie są widoczne! Pytanie jak tu się zabezpieczyć?

    • @Karga
      Przynajmniej mogliby napisać w SMSie – “Zweryfikuj 4 ostatnie cyfry rachunku odbiorcy!”
      Pozatym jak @Artur wskazuje – metoda ta nie działa w przypadku wykonywania grupowych przelewów.

      Ciekawe ilu ludzi już zostało okradzionych w ten sposób – pewnie przestępców już stać na IMSI Catchera…

      A rozmowa telefoniczna oczywiście, że na koszt BANKU lepszy koszt 10 groszy (max) za rozmowę telefoniczną niż strata klienta i uszczerbek na reputacji banku.

      Poważny bank podchodzi poważnie do problemów klientów – bo problemy klienta to również ich problem.

    • @Artur, żeś się uczepił koszyka przelewów. Nawet przy kilku przelewach robię każdy osobno – sam czas wypełnienia formularza przelewu to znacząco więcej niż sprawdzenie smsa i przepisanie kodu. Jak firma robi dużo przelewów, to tym bardziej powinna uważać. Koszyki nadają się tylko do przelewów do odbiorców zdefiniowanych.

  84. Z autoryzacją “Dane klienta – Nr konta” jest jeden podstawowy problem.

    Wysyłając przelew o 10:00 nie oznacza, że o 10:00 będzie u odbiorcy (wyjątkiem są przelewy w ramach jednego banku). Przelewy idą w większych transzach w odpowiednich ramach czasowych. W takiej sytuacji przelew wykonany o 10:00 będzie u odbiorcy dopiero o 14:00 i to właśnie ewentualnie o 14:00 przelew mógłby zostać ewentualnie odrzucony przez bank odbiorcy. – Nie sądzę, by mBank miał dane klientów ING.

    Gdyby banki odrzucały takie przelewy naraziłyby się na wielkie odszkodowania, z powodów naprawdę błahych:
    – przelew na kredyt został odrzucony z powodu kropki,
    – zamiast ę użyto e itp.
    Zwłaszcza, że w takich sytuacjach w przypadku roszczeń klientów sąd miałby podstawy do nakazania wypłaty odszkodowań.

  85. Polska to dziwny kraj. W USA nikt się nie musi przejmować oszustami, bo bank bierze na iebie odpowiedzialność w razie kradzieży lub wyłudzenia z karty i konta bankowego. Niech KNF się tym zajmie i wyda rozporządzenie, by transakcje klienta indywidualnego do kwoty np. 10000 zł były z góry ubezpieczone od wszelkich kradzieży. ot i po sprawie.
    No, ale po co. U nas banki prześcigają się w pierdołach, połąćzeniach z fejsbuczkiem, nowych kartach ze z wyświetlanym i zmiennym kodem ccv i innego rodzaju niepotrzebnymi bajerami, które nigdy nie zapewnią ochrony, każdemu klientowi. Nie każdy klient musi znać wszelkie zasady bezpieczeństwa. To same banki mówią, jak to bezpiecznue jest korzystać z sieci i ich serwisów, a jak przychodzi problem to ręce umywają.

    Drogi redaktorze. Przelew z kk w kwocie 400000 zł to spory dodatkowy koszt dla tego klienta.

    • Classic “niech ktoś…”

      A takie odgórne obowiązkowe ubezpieczenie jest oczywiście darmowe :) Wolałbym aby banki nie nadwyrężały i tak już ostatnio wywindowanych opłat. Dodatkowe systemy/rozwiązania zabezpieczające — tak obowiązkowe ubezpieczenie, które de facto legalizuje działalność przestępców (bo nie będzie warto ich ścigać) — nie.

  86. Fantastyczny typ. Opiera swoja dzialalnosc na wierze w antywirusy i zabezpieczenia. Cytujac klasyka: “Bezpieczenstwo to nie produkt, lecz proces” – Bruce Schneier. Ten pan odpada w procesach. Slusznie mowi, ze “nie rozumie jak to dziala”. Niewiedza nie usprawiedliwia niczego. PS “pieniazki” to ma mala Zuzia w portfeliczku.

  87. A ja jestem w lekkim szoku… Co to za exploit, który pozwala na taką ingerencję w pamięć przeglądarki? Czy może zmienia coś w pamięci graficznej? Pierwsze słyszę o metodzie, która pozwala podmienić numer konta wyświetlany przez przeglądarkę i to do tego stopnia, że widzimy poprawny numer nawet w historii operacji! Do tej pory była mowa tylko o podmienianiu numeru w schowku przy okazji kopiowania go – wówczas podmieniony numer miał być widoczny w polu, w które go wklejamy i tym samym pozwalać nam na zorientowanie się w porę.
    Gdyby nie te 40 tysięcy, które delikwent stracił, i artykuły, które o tym napisano, to dalej bym nie wiedział… sam korzystam z tradycyjnych tokenów i to SMSy uznawałem za niebezpieczne (spyware, kradzież, zgubienie telefonu itp.), ale widzę, że muszę to przemyśleć.
    Wygląda na to, że ratunkiem jest sprawdzanie faktycznego numeru konta np. w wygenerowanym potwierdzeniu w PDF… ale pewnie i za to się wezmą.

  88. A dlaczego bank, nie może, tak jak inne banki przy transakcji na większą sumę skontaktować się z użytkownikiem i potwierdzić numer rachunku?

    Wiele banków ma systemy wykrywania anomalii – ktoś robi większy przelew na nowe konto – przelew wstrzymany i telefon do właściciela rachunku.
    Albo nietypowe przelewy na konkretny numer rachunku – też weryfikacja czy to nie jest rachunek słupa.

    Nie mówiąc już o sprawdzeniu danych odbiorcy (chociażby przy większych sumach).

  89. Piszecie, że iPad jet bezpieczny. Czemu nie napiszecie, że chromebooki są też bezpieczne? Szczególnie jeżeli wykonywalibyśmy przelew w trybie gościa, gdzie żadne dodatki do przeglądarki nie są ładowane.

  90. “3. Nie otwieraj plików zip/rar/itp. przysyłanych e-mailem…”
    Od kiedy otworzenie/wypakowanie archiwum powoduje uruchomienie plików w tym archiwum?

  91. sms zastepuje karte kodow a nie sluzy weryfikacji numeru konta – rownie dobrze malware moglby miec baze numerow kont zgodnych z tym co wyswietla sms.

    Nie mozna zarzucac ze nie zweryfikowal sms’a – gdyz to nie jest zabezpieczenie.

    W momencie kiedy zachowal podstawy (weryfikacja ssl, wlaczany i zaktualizowany antywirus) – zabezpieczenie oferowane prze bank jest niewystarczajace i powinno solidarnie poniesc konsekwencje

  92. “Dziwnie rozkłada się ta odpowiedzialność banku na różne produkty (karta vs konto internetowe), prawda? ;) “. Nie wiem co w tym dziwnego, skoro są to produkty oferowane przed dwie różne instytucje. Kartami zarządza Visa lub Mastercard

  93. Ok… przeładowało mi stronę i dodało komentarza przed czasem.

    Visa i Mastercard dają usługę chargeback. Bank jest tutaj tylko pośrednikiem. Warto dodać, że Chargeback dotyczy tylko kart kredytowych. Dla debetówek jest równie bezpiecznie co z przelewem.

  94. Czasem wystarczyłoby odpowiednio sformułować treść smsa z kodem. Np:
    Sprawdź czy ostatnie 4 cyfry rach. odbiorcy to 6467 , a następnie wpisz kod 789898

  95. a czy na linuksie jest bezpieczniej? jest mniej/brak tego typu wirusów?

    • jest bezpieczniej o ile nie korzysta sie z mozliwosci instalacji oprogramowania spoza repozytorium (jesli ktos dodaje klucze pobrane z neta to nie ma weryfikacji) aczkolwiek nawet na windowsie mozna czuc sie bezpiecznie jesli –tak jak pisal gdzies niebezpiecznik–korzystasz z komputera tylko i wyłącznie do przelewów bankowych

  96. Moim zdaniem KNF powinno narzucić minimalne standardy zabezpieczeń obligujące każdy z banków do ich stosowania. Jednym z nich powinna być procedura weryfikacji przelwów czyli token z klawiaturą i weryfikacją numeru konta lub potweirdzenie zwrotne do systemu bankowego przez klienta numeru (lub części) rachunku na który robi przelew. Do czasu aż w PL nie zostanie co ucywilizowane pozostaje jedynie ostrzeganie potencjalnych klientów aby nie korzystali z takich banków które nie spełniaja w/w minimalnych wymogów bezpieczeństwa.

  97. Czy komuś udało się odczytać na filmie cały nr konta słupa?

    • 14105010251000009151099729
      ING w Warszawie

  98. Czy ktos mnie moze uswiadomic jakim sposobem “naciagacze” maja po kilkanascie-kilkadziesiat kont bankowych? Przeciez przed zalozeniem kazdego konta bankowego, tozsamosc jest weryfikowana? Dowod? Paszport?? Nic nie maja na te slupy?

    • Kiedyś poławiali nieświadomych słupów na fałszywe ogłoszenia o pracę gdzie trzeba było uwiarygodnić się wysyłając przelew na 1 grosz czy 1 zł na wskazane konto. A w tym momencie zakładali nowe konto “słup” w innym banku. W rzeczonym mbanku też możesz założyć konto na żywego słupa werbując jakiegoś kloszarda lub używając sfałszowanego dowodu. Panienka z Aspiro to nie policjant że pozna fałszywy dowód. Kurier przywożący umowę również. Mogą być używane też rachunki do kart prepaid tzw. podarunkowe czy wirtualne.

  99. Kolejna sprawa – skoro klient podaje dane osobowe odbiorcy przelewu razem z numerem konta, czy wówczas bank nie ponosi odpowiedzialności za to, że przelew został zrealizowany pomimo niezgodności danych osobowych? Albo inaczej – czy klient, który padł ofiarą oszustwa, może jako dowód, iż transakcja została podrobiona, i tym samym jako podstawę do “reklamacji” (sic!), posłużyć się właśnie danymi osobowymi odbiorcy przelewu, które podał w dyspozycji aby oczekiwać wobec banku podjęcia działań w celu odzyskania środków?

  100. Komentujący dzielą się na dwie grupy: “zły bank” i “głupi użytkownik”. Ciekawe, że mało kto bierze pod uwagę opcję łączoną: “zły bank, ale użytkownik głupi”. Dopóki użytkownik podpisał takie a nie inne dokumenty – on odpowiada za bezpieczeństwo transakcji. A banki powinny się wziąć za porządne zabezpieczenia.

  101. Moim zdaniem jeśli w historii transakcji wyświetla się jeden numer, a na potwierdzeniu inny, to system banku powinien wykryć rozbieżność. Jeśli tak jest, winę ponosi bank.

    • to nie kumasz jak to działa.
      To tylko na zainfekowanym komputerze podaje niby prawidłowe numery konta bo wirus zamienia je w locie. Ta samastrona odpalona na czystm kompie pokaże w historii autentyczne nr kont przestępców.

    • @zenek:

      Jeżeli na czystym kompie pokaże dobry numer, zgadza się.
      Ale jeśli to system mbanku ma w bazie 2 różne numery, powinien zareagować. Jeśli tego nie zrobił, nie dołożono należytych starań, a to już podstawa do reklamacji.

    • Dalej nie rozumiesz. Bank nie ma 2 różnych numerów w swoim systemie, ma 1 numer – ten postawiony przez wirusa. Użytkownik zainfekowanego komputera wprowadzając numer konta widzi w przeglądarce cały czas to, co chce widzieć (numer, na jaki naprwdę chce przelać środki), a tymczasem tak naprawdę do systemu bankowego przesyłany jest numer podstawiony. Nie widać go ani w formularzu danych przelewu, ani nawet w historii, bo wirus podmienia to co widać w interfejsie graficznym przeglądarki.

  102. To ja mam takie pytanie, które mnie nurtuje od jakiegoś czasu. Otóż WBK wprowadził chyba ze 2-3 miesiące temu możliwość wykonywania przelewów przez PayU na “małe kwoty” bez potwierdzeń SMS. Dowiedziałam się o tym przypadkiem, wybierając opcję zapłaty za jedzonko przez PayU (wcześniej musiałam otrząsnąć się z szoku po dowiedzeniu się o istnieniu i sposobie działania Sofor Banking). Niby wszystko szło normalnie (wypełnione, niemodyfikowalne dane przelewu), ale jak kliknęłam “Wyślij”, spodziewając się, że pokaże się okienko na kod SMS (tak mam przy zwykłych przelewach: zatwierdzam -> wpisuję kod -> zatwierdzam), zaskoczyła mnie informacja, że przelew został wysłany i można się wylogować i wrócić do sklepu. Zaraz zaraz, a SMS? (ja z tych, co nauczyli się sprawdzać wszystkie cyferki). Wygóglałam informację, że WBK coś takiego wprowadził, że to domyślnie ustawił chyba dla wszystkich użytkowników i że twierdzą, że jest bezpieczne. I dotyczy niewielkich kwot, a wszystko można zmienić w ustawieniach po zalogowaniu na konto. Zalogowałam się, sprawdziłam… Domyślny limit: 10 tysięcy zł :D Dla mnie, studentki, to fortuna, a nie mała kwota. Zmieniłam na potwierdzanie SMS-em każdej takiej transakcji niezależnie od kwoty.

    Ale do czego zmierzam: czy Waszym zdaniem takie przelewy na PayU itp., gdzie sama nie mogę zmienić danych, są aż tak bezpieczne? W sytuacji z przytoczonego filmiku jedynym sposobem zorientowania się, że coś nie gra, jest porównanie SMS-a. A tu WBK domyślnie wyłącza SMS-y dla kwot… dla przeciętnych osób wcale nie takich małych. I teraz pytanie, czy jeślibym miała w kompie paskudztwo jakieś, mogłoby mi w takim “niemodyfikowalnym” przelewie podmienić dane, żebym się nie zorientowała?

    Może dla wielu z Was odpowiedź jest oczywista, ale ja się dopiero wszystkiego uczę :) Więc z góry dziękuję!

    • Rzeczywiście po przeczytaniu tej informacji o domyślnym limicie 10000 zł dla transakcji bez potwierdzenia SMS można się nieco przerazić.

      Ja osobiście nie widzę technicznych przeszkód aby ktoś kontrolujący naszą przeglądarkę podmienił URL do PayU w locie, w trakcie płatności np. z Allegro, na swój własny “sklep”. Ale nie analizowałem specyfikacji bardzo głęboko, szczegóły tutaj:
      http://developers.payu.com/pl/classic_api.html#classic_api_transaction_statuses_transitions

      Jedno co jest pewne, to fakt, że nasz przestępca musiałby najpierw zawrzeć umowę z PayU. Nie jest to nie do przeskoczenia (można wystawić słupa), ale jednak jakieś utrudnienie.

  103. Czym najlepiej sprawdzic czy nie ma sie zainfekowanego komputera jakims syfem?
    Spybot + Malwarebytes + NOD/Avast to dobre rozwiazanie czy polecacie cos innego?

    • FRST i GMER ( co i jak doczytaj u Aretuzy na fixitpc ) dobrze rokujący jest też nasz polski SpyShelter. Ale pamiętaj że to stały wyścig zbrojeń. Na środki zawsze znajdą się nowe przeciw środki.

  104. Dobra, tu byla wina klienta bo nie zobaczyl sobie smsa. ok.
    A co w wypadku gdy bank oferuje karte kodow jednorazowych? np pekao24?
    W tym wypadku tez jest taka oczywista jest wina klienta? Przeciez nie ma zadnej mozliwosci weryfikacji.

    • Jak nie jest oczywista. To ty wprowadzasz koułd na własne życzenie. Wirus podmienia tylko nr konta bankowego, czyli to tak jabyś ty go wpisał , i zrealizował przelew. Przed realizacją kodów jednorazowych należy zadzwonić do działu banku, aby monitorowali ten przelew, i sprawdzili zgodność nr konta wpisanego do realizacji, a tego co im podajesz. Masz taką możliwość, i jeśli jej nie wykorzystasz , to również TWOJA WINA.

  105. Pytanie do samego niebezpiecznika bo widzę, że macie nieco wiedzy w temacie. Wiecie może jak wygląda sprawa z odbiorcami zdefiniowanymi? Konkretniej chodzi mi o mBank, czy tego typu podmiana jest możliwa jeśli wybieram jako konto docelowe adres zdefiniowany?
    Ponieważ jest opcja puszczania takich przelewów bez potwierdzenia sms…

  106. Zastanawia mnie, czy bank byłby w stanie weryfikować komputer użytkownika pod kątem znanych zagrożeń?
    W końcu temat podmiany numeru konta w schowku ciągnie się już chyba od roku.
    Jak w tym przypadku, czy aplikacja webowa mogła by wykonywać szybki test wrzucając jakiś testowy numer konta do schowka aby wykryć obecność szkodnika?
    Lub po prostu na bieżąco śledzić wprowadzane dane?

    Wydaje mi się że banki powinny bardziej zwrócić uwagę na nowe zagrożenia i intensywniej informować klientów.
    Skoro klient miałby zarażony komputer, dlaczego nie wyskakuje mu komunikat podobny do popularnych reklam na androidzie “Wykryto wirusa!!!” itp ?

  107. Przedmiotowa sytuacja akurat dotyczyła przeglądarki Firefox, w takim razie uprzejmie proszę o informację jakie polecacie wtyczki/dodatki do tej przeglądarki które by zapobiegały samoinstalowaniu się takich złych wtyczek. Znam tylko NoScript.

    • @member:
      Należy zainstalować program Cerebrum w urządzeniu znajdującym się pomiędzy krzesłem a klawiaturą. “Samo się” nie zrobiło — większość ofiar samodzielnie instaluje takie oprogramowanie. Jasne, są ataki drive-by download albo przez podatności usług na komputerze, ale stosunkowo niewiele.

      RequestPolicy może pomóc, ale również przygotuj się na przeklikanie webmasterzyn jeszcze bardziej niż teraz przy samym NoScript.

  108. Bez przesady. Niekażdy człowieka siedzi codziennie na bezpieczniku i sprawdza wszystko informacje dotyczące bezpieczeństwa. Tak jak ty nie wiesz o tym ze przy zapaleniu gardła nie zawsze pomoże antybiotyk a ostry ból pod mostkiem to nie zawsze zawał,ale jednak robisz zakupy w aptece,kupujesz lekarstwa i trujesz sie na własną rękę. Rozumiem że ten człowiek zajmuje sie czymś nie związanym z bankowością internetową a w internecie sprawdza pogodę i najnowsze filmiki na yt i to banki powinny dbać o jego wiedzę, w dostępny i zrozumiały sposób przedstawiać zagrożenia. Może człowiek jest świetnym mechanikiem samochodowym, ale z komputera korzysta sporadycznie,ale wiedzę o kłódce i tak zdobył. Cześć winny ponosi on ale to banki powinny informować klientów o potencjalnych zagrożeniach w końcu to one oszczędzają na bankowości internetowej i zarabiają na naszych cieżko zarobionych pieniądzach. W okienku gdyby robił przelew do takiej sytuacji by nie doszło.

  109. Wbrew tezie głównej artykułu uważam że mBank jak również inne banki (skoro zagrożenie znane jest już od długiego czasu) mógłby wprowadzić dodatkowe zabezpieczenia.Przychodzi mi do głowy np. dwustopniowa weryfikacja przed ostatecznym zatwierdzeniem, gdzie numer konta jest prezentowany nie jako zwykły string, a np. jako obrazek czy nawet niewielki PDF do pobrania, lub inny element trudniejszy do ataku tą metodą (applet?).
    Druga rzecz:mam jeszcze pliczek haseł jednorazowych w postaci drukowanej sprzed wprowadzenia mechanizmu potwierdzeń SMS – tam nie ma żadnej możliwości weryfikacji.

    • @yacool:
      Przecież mBank ma dwustopniową weryfikację, gdzie numer konta jest prezentowany jako zwykły string! W SMS dostajesz fragment numeru konta do potwierdzenia, razem z kwotą i czasem przelewu, oraz token potwierdzający.

      Właśnie po to, żeby chronić przed takimi atakami.

    • Jak uważasz – jeśli facet nie przeczytał kilku cyfr z SMS-a, to przeczytałby jakiś obrazek lub dodatkowe ostrzeżenie z refleksją? Nie. Przyzwyczaiłby się i bezmyślnie przepisywał, nie patrzył na obrazek lub ściągał PDF-a i wywalał.
      Zresztą zapewne nie byłoby problemem, aby wirus podmieniał i obrazek – cóż to za problem wygenerować “poprawiony” po stronie użytkownika?

      Nic nie ochroni użytkownika przed nim samym.

  110. M ank to syf a konsultanci na infolinii to idioci. Chciałem kiedyś kupić na allegro coś na raty. Losowo był wybierany MBank lub Alior. Przy mBanku ciągle były odmowy. Zadzwoniłem do banku i okazało się, że mam zajęcie komornicze na koncie. Mówię konsultantowi, że zajebiście tylko ja u Was nie mam konta. Pytam jakie to zajęcie a konsultant twierdzi, że nie wie ale mogę sobie sprawdź po zalogowaniu na konto którego nie mam. I tak w kółko.

  111. A jak ktoś ma konto na słupa i hasła SMS mogły by zdradzić jego pozycję po GSM a musi jakoś te 40 000 zł wypłacić bezpiecznie? Co robić, jak żyć Niebezpieczniku ;-)

  112. Opcja zwrotu kasy za płatność kartą kredytową jest rozpatrywana przez Mastercard lub Vise a nie przez wystawiający ja bank. Decyzja o zwrocie kasy jest prawdopodobnie decyzją tych firm a nie banku. Pewnie nie podoba się to zbytnio bankom lecz w tym przypadku Visa czy Mastercard są na lepszej pozycji bo bank musi przyjąć ich warunki skoro chce posiadać karty płatnicze.

  113. Może pogłówkujmy jakie zabezpieczenia wymyślić na tego typu wirusy, które podmieniają zawartość wyświetlanej strony w przeglądarce.

    Teraz klient jest w stanie wpisać 8-cyfrowy kod z SMSa, ale nie chce mu się weryfikować dodatkowo cyfr z rachunku.
    Każmy dodatkowo aby klient wpisywał dodatkowo te 6 cyfr rachunku z SMSa. To wydaje się niewiele więcej. Najlepiej pola te umieścić blisko wpisanego wcześniej rachunku aby pokazać klientowi, że w SMS jest coś innego.
    Oczywiście wirus znowu może ten ciąg 6 cyfr rachunku podmienić i wysłać podmieniony do banku.
    Wiemy jednak, że wirus nie może zmienić 8 cyfr kodu, bo inaczej bank tego nie przyjmie.

    Dlatego bank powinien w SMS przesyłać 6 cyfr rachunku (jak obecnie) tak aby klient mógł porównać numer oraz 8 cyfr kodu tak aby jeśli jedna z tych cyfr zostanie podmieniona i wysłana do banku to po stronie banku zostanie wykryta ingerencja w 14 cyfrowy kod przesłany SMSem.

    • Caly problem ze numer jest juz nieprawidlowy – ludzka rutyna doprowadzi iz w koncu na slepo bedziesz przepisywal 14 cyfr.

      Zabezpieczenie w stylu wpisz 142123 cyfre rachunku odbiorcy bedzie efektywniejsze ale bardziej wkurzajace (pierwsza, czwarta, druga, …..)

    • > Może pogłówkujmy jakie zabezpieczenia wymyślić
      > na tego typu wirusy, które podmieniają zawartość
      > wyświetlanej strony w przeglądarce.

      ale to proste jest: czytać te smsy :)
      tylko tyle i aż tyle :D
      Jak podpisujesz umowę kupna sprzedaży mieszkania, samochodu, albo umowę kredytową, czy dowolną inną, której treść załóżmy długo negocjowałeś i czytałeś wiele razy, więc niby ją znasz, to przed złożeniem podpisu, też zdrowo jest przeczytać czy druga strona nie dodała jakiejś fajnej jednolinijkowej klauzuli “lub czasopisma” w ostatniej chwili.
      Jeśli tego nie zrobisz, to trudno po podpisaniu będzie się wybronić.
      Tak samo tu: przelewasz swoje pieniądze? Pilnuj ich.

  114. Wg mnie mBank ponosi również odpowiedzialność. Jak system bankowy mając 2 różne numery rachunków bankowych może zaakceptować transakcję? Przecież na liście operacji widać poprawny numer rachunku bankowego, a na potwierdzeniu już numer podmieniony. Czyli ich system dysponował informacją że numery nie są zgodne, a pomimo tego przelew został zrealizowany…..

    • Hm, ale o ile zrozumiałam – to na zawirusowanym komputerze użytkownika jest widoczny tylko poprawny numer? Jeśli odpali stronę banku, historię przelewów z innego, niezainfekowanego urządzenia, wyświetli się rzeczywisty numer, na który poszedł przelew? W takim razie bank widzi tylko jeden numer, ten sam, który jest na potwierdzeniu pdf i w SMS-ie. U niego wszystko się zgadza.
      Tak obrazowo mówiąc, coś jak nalepka w kształcie słońca(=wirus pokazujący Ci prawidłowy numer) przyklejona w określonym miejscu do ekranu, wchodzisz na serwis pogodowy, widzisz słońce, ubierasz się lekko – a na dworze łapie Cię ulewa(=naciąłeś się na numer złodzieja). Wchodząc z innego urządzenia, zobaczyłbyś rysunek burzowej chmury. Osoby zajmujące się serwisem nie wiedzą, że akurat Ty masz nalepkę słońca na ekranie, umieściły na stronie zgodny z prawdą rysunek chmury, możesz mieć newsletter z pogodą w pdf-ie i też w nim by były chmury. A jeśli Ty nie wyjrzałeś za okno, jaka pogoda (=nie sprawdziłeś cyfr z SMS-a), to wydaje Ci się, że skoro widzisz na swoim komputerze słońce – to to słońce rzeczywiście świeci…

    • To dowodzi, że też nie rozumiesz co się stało i jak działa wirus, który dopadł poszkodowanego. Bank nie widzi dwóch numerów kont. Widzi tylko jedno – złe. To facet na swoim komputerze widzi różne, tylko dlatego, że jest on NADAL zawirusowany (ma doklejony jakiś syf do przeglądarki).

      Lista operacji jest wyświetlana przez przeglądarkę, która jest nadal zawirusowana i wirus nadal podmienia facetowi numer konta w różnych miejscach (swoją drogą – mistrzostwo świata, gość nadal korzysta z komputera i przeglądarki z wirusem, loguje się na konto, zaraz wyparuje mu następny przelew!).

      Wirus jednak nie działa wszędzie, a TYLKO w przeglądarce, bo ona ma wrzucony jakiś syf. Dlatego gdy facet przegląda konto – ma dobry numer (wirus zamienia jemu w przeglądarce wyświetlane ciągi liczb o określonej długości, zbiera w bazie co podmienił, więc robi to wszędzie, gdzie ciąg się pojawi w przeglądarce).

      Tymczasem potwierdzenie generuje PDF-a, który jest tworzony po stronie banku i tylko ściągany. Wirus nie ma do niego dostępu, więc tam numer konta jest zły – ten od przestępcy (ale zarazem taki, jaki widzi bank). Wirus nie ma go jak w prosty sposób podmienić.

      Gdyby facet zalogował się z czystego komputera – zobaczyłby zły numer konta także na liście operacji, bo nie byłoby tam wirusa, który numery kont mu podmienia. Może nawet jeśli odpaliłby inną przeglądarkę to też by to zauważył (przypuszczalnie ma doklejone coś tylko do FF).

      Wirus zadziałał tak:
      – dokleił się do przeglądarki u faceta (gdzieś wlazł, coś ściągnął, nie wiadomo, sam cudownie się nie dodaje, więc coś zrobił, ale do tego nie dojdziemy)
      – wirus zamienia ciągi liczb o takiej długości jak numer konta na numer przestępcy w przeglądarce, czyli gdy facet zalogował się na konto i puszczał przelew wirus wykrył, że przelew wychodzi (prosto – numer konta można było wpisać, było pole do tego),
      – po wpisaniu dobrego numeru konta przy wysyłaniu przelewu wirus zamienił numer, dobry numer zapisał w swojej bazie. Od tego momentu zamiana działa w drugą stronę – wszędzie gdzie numer jest wyświetlany – zamieniany jest odwrotnie – ze złego na dobry.

      Jeśli gość puści z tego komputera kolejny przelew – jest niemal pewne, że wyparują mu kolejne “pienionszki”.

  115. Nie rozumiem tego prawa… Skoro jeśli nawet zostawisz na chwilę rzecz, zgubisz i ktoś ją weźmie bo znalazł odpowiada jak za kradzież. A tu ewidentnie okradli nieświadomego chłopa na 40 tys. i nikt za to nie odpowiada. Przecież moment powinien zostać złapany posiadacz konta na które został przelew wykonany wszelkie dane gdzie poszło dalej, ewentualnie gdzie wypłacono gotówkę. Czemu to nie jest ścigane z urzędu?

    • Ależ jest. Tylko pewnie z konta słupa wystawionego na podrobione albo kradzione dokumenty przelew poszedł do Malediwy albo zakupiono BTC i weź tutaj zrób coś dalej. Próbować pewnie będą, ale jedyną realną szansą jest, to, że słup był rzeczywista osoba podnajętą przez złodzieja i zacznie będzie wstanie jakoś go pod presją policji pomóc schwytać.

  116. @mpan
    W dzisiejszych czasach nie można mieć pełnego zaufania do tego co leci przez GSM ani do tego co wyświetla się na naszych smartfonach.
    Nie twierdzę, że zaraz zaleje nas fala MITM czy robaków zmieniających treść wyświetlanych wiadomości ale jedynie chcę zauważyć, że jest to technicznie wykonalne…

  117. A tu linki, które na zainfekowanych komputerach są wstrzykiwane na strony logowania (na pewno aliorbank – sprawdzone): https://www.basebrood.ru/pl_support/ajax/content/aliorbank/aliorbank.js – wygląda to tak że strona logowania oprócz zawartości z banku zawiera ten link (podglądnięte w ABP)

    Eksperymentalnie ustaliłem ze to samo ma mbank: https://www.basebrood.ru/pl_support/ajax/content/mbank/mbank.js , może inne banki też

  118. Na VM do całe banki stoją :D, a wy tu je odradzacie, tylko dlatego że to VM. Osobiście nie widzę większej różnicy czy to realna maszyna czy VM, bo i tak o wszystkim decyduje konfiguracja

  119. Nie twierdzę, że klient banku nie jest bez winy ale musimy zdać sobie sprawę z tego jak banki w Polsce lekceważąco traktują klientów okradzionych w ten czy podobny sposób.
    Wystarczy tylko porównać ochronę klienta dokonującego płatności kartami wypukłymi Visa lub MasterCard z płatnościami online, które są w gestii polskich banków i które bazują na miejscowej wykładni prawnej. Otóż organizacje Visa i MasterCard działające w oparciu o prawa międzynarodowe zmuszone są do ochrony klienta w sposób nieporównywalnie lepszy do tego co ”oferują” nam polskie banki. Ktoś kto krytykuje tego człowieka, że fleja bo nie przeczytał dokładnie treści sms’a wysłanego przez bank powinien dwa razy się zastanowić zanim wygłosi swoją opinię. Każdy może popełniać błędy i każdemu się one zdarzają. Osoby starsze lub mniej ogarnięte w dziedzinie secutity IT są bardzo łatwym łupem przestępców internetowych. Dla mojej starszej matki, która korzysta z dobrodziejstw bankowości internetowej kazać odpalać system z liveCD lub USB to rzecz niemożliwa. Bank, który uchyla się od odpowiedzialności do pokrycia strat swojego klienta bo prawo miejscowe mu tego nie nakazuje powinien jasno dać klientom do zrozumienia, że bankowość internetowa jest obarczona sporym ryzykiem kradzieży i że w przypadku takowej nie bierze odpowiedzialności za straty finansowe klienta. Jeśli nie są w stanie wyprodukować systemu skutecznie chroniącego depozytów swoich klientów powinni przynajmniej napisać, że rekomendują sprzęt i system od konkretnego producenta (wiadomo o kogo chodzi) bo zapewnia on lepszą ochronę przed atakami mitm.
    A na koniec to wszyscy powinniśmy zdać sobie sprawę z tego, że banki w Polsce są w tych przypadkach stroną uprzywilejowaną ze względu na złe prawo, które zamiast chronić klienta chroni bank! W całym cywilizowanym świecie tego typu przypadek kończy się pokryciem strat finansowych klienta przez bank. To klient banku powinien być chroniony a nie instytucja. Kto tego nie rozumie godzi się na to by być wykorzystywanym przez bank który nie za darmo świadczy nam usługi.

  120. Problemem są przekupni polscy politycy piszący prawo pod korzyść banków a nie klientów. Konkretnie to zmiana prawa bankowego parę lat temu, które teraz nie wymaga od banków by sprawdzały czy adresat przelewu zgadza się z rachunkiem. Dawniej jak w tytule przelewu była np. “Telekomuna Polska” a rachunek wskazywał na “Władka Krawężnika” to bank odpowiadał za dokonanie takiego przelewu a nie klient. Teraz banki dzięki politykom umywają ręce i sprawdzają wyłącznie czy rachunek bankowy istnieje a nie do kogo należy. W dodatku banki zasłaniając się “ochroną danych osobowych” nawet policji nie chcą podać danych przekręciarza, czyli lewo (lewackie “prawo”) wprost w Polsce jest pisane pod przekręty i oszustów.

  121. Czy wiecie jak ten wirus podmienia numer konta?
    Bo tak sobie myślę, że jeśli dodaje nowe pole w kodzie strony w przeglądarce, w którym wyświetla prawidłowy numer konta, natomiast pole dotychczasowe ustawia na style=”display:hidden;” to być może jest na to proste za rozwiązanie.
    Trzeba przed wysłaniem formularza sprawdzić, czy ilość pól w kodzie strony jest zgodna z tym, jak projektant zaplanował formularz. Bądź określić inną metodę walidacji zgodności kodu z wzorcem. Jeśli nie przejdzie walidacji, wiadomo że ktoś majstrował przy kodzie.

  122. Dla mnie ten case potwierdza ze to apple idzie dobra droga a nie inni promotorzy szeroko otwartego oprogramowania. Wielu krzyczy jaki to apple jest bleee, jak zamyka mozliwosc gmerania w systemie, zmiany tego czy sramtego. A prawda jest taka ze nie istnieje soft w 100% bezpieczny, antywirusy to tylko dodatkowy wydatek a nie zabezpieczenie, natomiast ograniczajac wektory ataku na poziomie systemu mamy szanse jakos ograniczyc tak glupie wpadki jak ta ktora zaliczyl autor tego filmiku. Zeby nie było – nie piszę że soft apple jest idealny, bez dziur etc., piszę że kierunek apple jest rozsadny.

  123. Poczekajmy na ataki typu:
    Zainfekowany komp, złodziej z imsi catcherem pod domem ofiary, czyszczenie konta, płacz ofiary.

    W skrócie zwykły keylogger, imsi catcher i podróżujesz.

  124. “Przy deklarowaniu przelewów podmienia numery kont nadawcy”… no naprawdę?? Nadawcy? To co się martwić, że przelejesz z cudzego konta.

  125. To zmien zawod jesli jestes programista. To po stronie klienta banku lezy problem, zainfekowany komputer, i podmiana konta na 100% lokalnie. Cos jak “zbadaj element” w google chrome i modyfikacja czegokolwiek jak tylko sie chce.

  126. Łoś Ktoś, poczytaj ustawę o usługach płstniczych i wtedy pogadamy

  127. Ponieważ poprzednie pytanie wkleiłem w niewłaściwym miejscu, to pozwolę sobie ją ponowić tutaj:
    Mam pytanie do redakcji niebezpiecznik.pl. Czy nie lepiej zamiast proponować kłopotliwego a przez to niepraktycznego rebootu i odpalania distra live proponować zabezpieczenia polegające na tym, żeby w końcu użytkownicy Windows do codziennych zajęć na kompie nie wymagających uprawnień konta admina nie korzystali z tego konta? Używać do neta i innych powszednich zajęć konta ZU. Do czynności administracyjnych (instalacje, konserwacje, przeglądy logów i tp) i tylko do takich wymagających praw admina konta właśnie admina. Do przelewów bankowych osobnego konta użytkownika z hasłem, lub dodatkowego konta z uprawnieniami administratora (chyba lepiej chronione pliki profilu, aczkolwiek konta ZU też mają separowane profile). Jeśli do tego dodać na bieżąco wykonywane aktualizacje przynajmniej systemu, to czy takie zabezpieczenia nie są wystarczające. K woli ułatwienia do przelewów odpalamy sobie Firefoksa prawym klikiem i w polu uruchom jako podajemy login np: przelewy i hasełko do tegoż konta. Takim prostym sposobem nawet jeśli złapiemy syfa to ograniczony on jest swym działaniem tylko do zarażonego konta naszego powszedniego. Konto przelewowe przy zachowanych podstawowych zasadach używania windy, czyli hasła, nie wyłączanie UAC, na bieżąco instalowane aktualizacje powinno być czyste. Myślę że nawet przy uruchamianiu firefoksa z opcją “uruchom jako” wirus nie powinien się do niego dobrać, bo program chodzi na profilu czystego konta, ale to trzeba by sprawdzić ;-), aczkolwiek po coś to zabezpieczenie M$ zrobił. Dla bardziej ostrożnych polecam przełączanie użytkownika.
    Ja nieraz korzystam z tego mechanizmu przy odwirusowywaniu. Włączam u delikwenta UAC. Zakładam nowe konto admina z hasłem. Wylogowuje się z konta zawirusowanego. loguje się na nowym koncie admina. Wycinam stare zawirusowane. Działa w 95% przypadków :-). Oczywiście ktoś powie że można złapać takiego syfa, który korzystając z nieznanych luk w systemie przebije się przez reżim uprawnień konta ZU i przejmie prawa konta admina a nawet konta system i wpisze na stałe do jądra systemu i będzie czekał aż delikwent się zaloguje do mbanku i zacznie robić przelew żeby mu go “wyparować”, ale jakie jest ryzyko zaistnienia takiego obrotu sytuacji. Dodam że na kompie gdzie robimy przelew nie chodzimy po podejrzanych stronach. Kontroli konta użytkownika nie wyłączamy wbrez popularnym pseudoporadnikom internetowym. Jak co chwila nam wyskakuje prośba o podanie hasła konta admina to po pierwsze sprawdzamy co chce te uprawnienia i zasada jest że nie podajemy, jeśli nic w danym czasie nie instalowaliśmy. Może to być sygnał że mamy syfa!!!
    Distro Live ok jak najbardziej ale na niepewnym kompie, i jako opcja dla bardziej zaawnsowanych. Primo: wdrożyć na kompie, na którym się przelewy robi dobre praktyki bezpieczeństwa, czyli nie używać do zwykłych czynności konta admina, a 99% zagrożeń nas ominie. Mało kto tak używa kompa w domu, bo niewygodnie instalować. Bo trza klikać uruchom jako i klepać hasło admina.
    Bad Bios, bad-usb? to raczej nie kwestia wiary, tylko tego co się wpina do kompa po USB :-).

  128. Ej, dajcie tl;dr komentarzy :D

  129. Każdy z nas może mieć podobny problem. Zdarzyło mi się wykonywać większe przelewy, ale wtedy mój bank dzwonił i pytał czy go potwierdzam. No fajnie, ale czy pamiętałem numer konta bankowego który mi przez telefon dyktowano? – nie.
    Jedyna różnica z w/w sytuacją to to, iż pracuję na Linuksach więc mam trochę bezpieczniej.
    Oczywiste natomiast jest, że Polacy nie dojrzeli jeszcze do bankowości internetowej. Strona porno na drugiej zakładce a na pierwszej robię przelew za prąd. Program antywirusowy – po co mi to? Banki niby to informują na co uważać, ale w sumie to nie ich problem. Takimi filmikami powinno się zwracać uwagę a nie gościem z dołożonymi wąsami (nowa akcja Policji)…

  130. Z tego co widzę mBank już pewną reakcję podjął – w smsach wyświetla się wieksza część rachunku. Do wczoraj / przedwczoraj to był 4 ostatnie cyfry, teraz mamy kilka z przodu i calą ostatnią czwórkę. Co do samego rozwiązania incydentu. Mamy złe nawyki w obsłuze klienta – nie tylko przez banki. Jak powinno być to rozwiązne – po angielsku – http://www.marketwatch.com/story/how-my-bank-tracked-me-to-catch-a-thief-2015-04-14

  131. Dziwny kraj, ta Polska, że “nie odzyska pieniędzy”. Precież kroki do podjęcia są oczywiste, szczególnie przy takiej kwocie.
    1. Doniesienie na policję – natychmiast.
    2. Policja składa do banku wniosek o dane posiadacza konta docelowego i rozpoczyna dochodzenie
    3. Każdy podpisując umowę o konto zobowiązuje się do zwrotu przelewu, który nie był kierowany do niego
    4. Sprawa w sądzie.
    5. W najgorszym wypadku, kasy nie odzyska ale ktoś pójdzie siedzieć.
    Ja miałem taką akcję w UK. Na dużo niższą kwotę. Sam osobiście zrobiłem przelew na konto osoby, która miała mi coś sprzedać. Natychmiast po stwierdzeniu oszustwa (kwota £380, czyli ok. 220zł) zgłosiłem to na policję. 2 lata po – wyrok. Odzyskałem £220, oszukanych było więcej, oszust siedzi – mimo, że konto było na słupa.

    • Nie tak to się odbywa. Dane klientów banku są objęte tajemnicą bankową, z której może zwolnić sąd. W pierwszej kolejności po wykryciu oszustwa, ja bym dzwonił do banku i prosił o zablokowanie przelewu, a jeśli już wyszedł, to niech bank poinformuje bank docelowy że była to transakcja fraudowa i niech zablokują środki na swoim rachunku. Potem zawiadomienie na policji.

    • Ciekawe co zrobisz jak:
      Konto jest na słupa (pijaczka itp).
      Z konta jest przekierowanie na inne konto zagraniczne poza UE lub wykupowane sa Bitcoiny i leci to gdzies w swiat. A zlecenia byly na dedykowanym laptopie z publicznej sieci WI FI.
      Szukaj wiatru w polu. Powodzenia !

  132. W większości w komentarzy jest mowa zabezpieczenia, że trzeba patrzeć, uważać itp. Ale wszystkim zdarzają się błędy jak w artykule czy np. “Wszelkie prawa zastrzeżone © 2009- echo date(“Y”); na dole strony ;)

    Jednak niewiele jest informacji co robić po fakcie. Jakie należy podjąć kroki aby zmaksymalizować szanse na odzyskanie środków choć te pewnie są małe. Co mówi na ten temat prawo w końcu jest się ofiarą przestępstwa.

    Miło byłoby zobaczyć w artykule sekcje “Jak żyć…” po fakcie, porady przed już są.

    Inną sprawą jest antywirus… W sumie płaci się za słodkie słowa że jest się bezpiecznym właściwie bez jakichkolwiek gwarancji. Gdyby producent (AV) dostarczały gwarancje, że wypłacą odszkodowanie w sytuacji gdy zawiedzie, płatny antywirus był by swego rodzaju ubezpieczeniem.

    Myślę że to zwiększyło by bezpieczeństwo bankowości internetowej. Mam na myśli opcje z dedykowaną przeglądarką od AV:

    – użytkownik korzystał by z innej (dedykowanej) przeglądarki do bankowości bo jest świadomy, że traci gwarancje i jak coś się stanie to kasy nie odzyska.
    – Możliwe jest wymuszenie pewnych zachowań użytkownika np. blokada kopiowania aby wpisywał dane ręcznie, brak wtyczek, może blokada innych stron niż bankowe itp
    – pojedynek byłby bezpośredni pomiędzy specami od tworzenia zabezpieczeń a specami od ich łamania.

    Użytkownik kupuje antywirusa bo chce być bezpieczny i ubezpieczony.
    Jeśli zabezpieczenia zawiodą to użytkownik i tak nie traci bo antywirus oddaje mu kasę i być może sam AV szuka sprawcy aby odzyskać pieniądze.

    • Popatrz w kod

    • Aleś się omęczył pisząc ten głupoty….

  133. Jak znam życie, to oni nie wpisywali tego “z palca” tylko skopiowali numer konta z maila/strony/whatever. Trojan fraud nie podmienia nam danych, które wpisujemy ręcznie a robi to jedynie w momencie kopiowania numeru rachunku poprzez schowek (sprawdzone doświadczalnie ;). W moim banku (BZWBK) przy każdym skopiowaniu numeru konta odbiorcy dostaję komunikat, żeby sprawdzić czy skopiowany numer jest prawidłowy, bo istnieje niebezpieczeństwo podmiany danych. I tyle w tym temacie.

    • W Aliorze zmieniają ostatnią cyfrę na * i tak czy siak się sprawdza cały numer konta.

  134. Co chwila ktoś proponuje dodatkowe zabezpieczenia i dodatkowe kroki żeby uchronić klienta. Problem w tym że klient zignorował obecne zabezpieczenia, więc jaki jest sens dodawać następne i tylko utrudniać życie wszystkim innym?

    Kolejny głupi argument “ale konto firmowe w mbanku” – a kto Ci każe mieć konto firmowe w mbanku? Idź tam gdzie zabezpieczenia będą dla Ciebie wystarczające, albo przestań marudzić.

    Do rachunku osobistego zabezpieczenia mbanku są w zupełności wystarczające. Jak mi mbank zacznie utrudniać życie pięcioma dodatkowymi krokami w ramach “bezpieczeństwa”, to zwyczajnie przeniosę rachunek tam gdzie nie będę traktowany jak nieporadne dziecko.

    O dodatkowych krokach można by pisać gdyby dotychczasowe zawiodły. Nie zawiodły.

  135. Znaczna większość komentarzy jest bardzo emocjonalna natomiast brak mi tu wniosków (w komentarzach), lub jakieś bardzo absurdalne. Fakty są takie, że klient banku 1) korzystał z bankowości internetowej, 2) w tym kontekście stał się celem ataku przestępców, 3) któremu uległ 4) z powodu pominięcia niektórych zasad bezpieczeństwa. 5) Z wypowiedzi okradzionego wynika, że wiedział, iż z bankowością internetową wiążą się pewne zagrożenia.

    W kontekście tej przykrej sytuacji, także mi nasuwa się refleksja, czy banki wystarczająco przestrzegają klientów przed zagrożeniami związanymi z bankowością internetową (sam byłem, delikatnie mówiąc, mocno zdziwiony przekonaniem pani w okienku banku o bezpieczeństwie transakcji internetowych). Z drugiej strony przerażeniem wręcz napawa brak respektu wobec komputerów. Czy da się do celu dotrzeć połowę szybciej jadąc przez teren zabudowany 120 km/h? Tak ale jest to niebezpieczne (tak niebezpieczne, że nawet prawo tego zabrania). Czy można zrobić zakupy bez wychodzenia z domu? Można ale trzeba uważać.

    A podany przykry przykład uczy, że należy stosować wszystkie zasady bezpieczeństwa, co owszem w większej firmie może być trudne – ale kto mówi, że zrobienie stu przelewów to ma być pstryknięcie palcami? Do wartościowych rzeczy trzeba się przyłożyć.

    Stopień zaawansowania ataku przestrzega o pomysłowości przestępców i rodzi oczekiwania udoskonalania zabezpieczeń, ale jak ktoś żąda od programistów, to niech sobie sam napisze, albo zleci.

    No i strasznie denerwujące są uwagi sprowadzające do postulatu ograniczenia funkcjonalności oprogramowania (komputera), “bo mi się zainstalował malware” – to odinstaluj sobie przeglądarkę, żebyś nie wchodził na strony z wirusami.

  136. Tu z pomoca przychodzi podstawowe twierdzenie o wirusach, że “zawsze masz jednego wirusa więcej niż myślisz”.

  137. Czy można zainstalować w przeglądarce takie własne CA, żeby podpisane strony wyświetlały się jak te bankowe z rozszerzonym uwierzytelnianiem?

    • Nope, przynajmniej jeśli chodzi o proste rozwiązania. OID-y powiązane z EV dla zaufanych wystawców są zaszyte w kodzie przeglądarek. Musiałbyś dopisać tam swojego CA i skompilować przeglądarkę.

  138. Przy okazji tego incydentu należy zadać pytanie dlaczego zniesiono obowiązek weryfikacji danych odbiorcy i numeru rachunku? Otóż chodzi o Dyrektywę 2007/65/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r., która została zaimplementowana w polskim prawie ustawą Dz. U. Nr 199, poz. 1175. Tak więc kolejny raz UE wypuszcza bubel prawny, który niby ma pomagać a naraża wszystkich na niebezpieczeństwo. Bo jak pojawi się wirus w telefonie powiązany z tym w komputerze to sprawdzanie zgodności danych z SMS z danymi z przelewu nic nie pomoże. I kto wtedy będzie odpowiedzialny?

  139. Tych czasach chyba zostaje nam pobrać pieniądze z bankomatu( chodz tu i tak nie jest bezpiecznie) i pójście do poczty w celu przelewu ma konto:)

    • Trzeba jeszcze mieć nadzieję, że komputery na poczcie nie mają wirusa, bo jeśli tak to cały misterny plan…

  140. Czy wiadomo co to za trojan/malware/wirus czy inna wtyczka siedzi w kompie tego nieszczęśnika ?

    • przecież to fake…
      Ktoś nie zapłacił pani Zosi za działkę i próbuje podnieść swoją wiarygodność w negocjacjach terminu zapłaty tym filmem na yt.
      Dlaczego tak uważam? Opisany mechanizm “wirusa” nie pasuje ani do VBKlip’a ani do Banatrix’a (które “na ślepo” podmieniają 26-o cyfrowe numery).
      Tutaj musiałby to być zupełnie nowy mechanizm (inni sugerują plugin do FF), zapinający się na konkretne pola formularza z konkretnego banku. I gdyby to była prawda: mBank, niebezpiecznik i kilka innych redakcji zrobiłoby wszystko, żeby tego wirusa zbadać i jako pierwsi opisać. Nie ma takich chętnych? znaczy że Oni już wiedzą że to nieprawda.

  141. Paskudna sprawa. Sam robię przelewy na wysokie kwoty i mało kiedy pani przez telefon mi dyktuję cały numer rachunku zwykle tylko nazwę odbiorcy, bo gdy dzwoni konsultant nie mam przy sobie dostępu do pc żeby sprawdzić nr na który zleciłem przelew więc nie ma to sensu. Widzę że teraz będę robić przelew z telefonu i sprawdzać na 2 albo na pc czy wszystko jest tak samo na obu urządzeniach. A po 2 nie wiecie jak jest w inteligo ? bo obecnie używam zdrapek. Czy w smsie potwierdzającym przychodzi nr konta na który się wysyła przelew? Być może najwyższa pora zrezygnować z zdrapki.

  142. Ale gigant, złapał zapewne kawałek złośliwego kodu JavaScript który to kod działa dopiero po wejściu na odpowiednią stronę (banku) i robi banalną rzecz: ładuję się w czas między kliknięciem przycisku wyślij/zatwierdź a rozpoczęciem wysyłania danych/zakończeniem opakowywania ich w żądanie HTTPS i w tym czasie gdzieś po drodze podmienia numer konta a że bank zapisuje transakcje w dwóch miejscach: do wglądu online i do potwierdzeń to najprawdopodobniej dlatego w podglądzie online jest jedno a w potwierdzeniu drugie. Swoją droga wielkie pretensje do banku, a czy Pan z filmiku stosuje się do zasady: Konto admina tylko dla admina?? Szczerze wątpię… Aha, kłódka oznacza że szyfrowane jest tylko połączenie z serwerem, czyli to co się dzieje od od momentu kiedy przeglądarka zapakuje to co chcemy wysłać w żądanie protokołu HTTPS do momentu rozpakowania tych danych na serwerze, to co dzieje się w przeglądarce internetowej do ww. momentu jest zabezpieczone tylko oprogramowaniem antywirusowym który wcale może nie wykryć takiego złośliwego kodu wstrzykniętego do kodu jakiegoś dodatku do przeglądarki. Tyle w temacie.

  143. W bankach spółdzielczych trzeba się logować na konto bankowe z przeglądarek internetowych w wersji portable.

  144. Czy ktoś wie czy wirus może podmienić dane również w predefiniowanym szablonie płatności ?

    • Wirus podmieniał schowek. Jesli nie używasz kopiuj wklej to raczej nie. Trzeba tez uważać co sie instaluje i otwiera w komputerze :) Nie instalować wszystkiego i nie otwierać kazdego linka z emaila i Facebooka bo to moze zainfekować komputer.

  145. Eurobank też miał taki temat i uwaga… oddał kasę niektórym klientom po ponad roku.

  146. No dobra. To teraz niech ktos technicznie napisze. Jak mozna zrobic inject w html. W html a nie zadanie. Metoda na rozszerzenie do firefoxa troche slaba. Obecnie exty sa podpisywane certyfikatem. wychodzilo by na to ze modyfikacja pamieci programu. Ale to ani niewidoczne ani latwe do ukrycia.

    • Powiedziałbym CI, ale co jeśli zostaniesz blackhat’em?? Za współudział też jest paka.

    • Spoko, poradzilem sobie sam. Faktycznie jest to mozliwe

  147. A niech kopią tych lamerów z Windowsem dalej niech się łudzą że są bezpieczni z ich AV/AM itp., ;) Już się nasłuchałem że na Linuxy i BSD też są wirusy Kasperski straszy ale przez prawie 20 lat nie widziałem ani jednego osobiście. Kolejny temat to mnogość dystrybucji to kolejna przeszkoda, wersje kernela czy bibliotek, jednak komu to wytłumaczysz ;) Owszem włamy to temat normalny był jest i będzie, ale to zupełnie coś innego. Jak mój ulubiony system będzie na tyle popularni i nie odporny zmienię np: kernel na Hurda czy BSD albo coś innego wymyślę, czemu ma być prosto ;)

    Pozdrawiam Wyznawców Debiana

  148. Jak się ustrzec? Nie korzystać z tak badziewnego banku jakim jest Mbank. Jak można użytkownikowi wyświetlać i akceptować inny numer niż de facto jest używany do wykonania transakcji. Toż przecież ten człowiek ma go w historii transakcji. Jak w ogóle można dopuścić do sytuacji, że mamy dwa numery kont: konto wyświetlane użytkownikowi i konto używane do dokonania transakcji?? Panowie pseudospece od zabezpieczeń z Mbanku wykonali swoje zadanie gorzej niż źle – fatalnie! Mbank powinien teraz w podskokach oddać te 40 tysięcy, bo wciąż pokazuje użytkownikowi inny numer niż ten na który przelał, utwierdzając go w poprawności transakcji – w skrócie: bank oszukuje swojego klienta, działa jak wspólnik przestępcy. Piszę to jako praktyk systemowy a nie teoretyk.

    • Rzeczywiście jesteś łoś, a raczej troll :)

    • Propozycja dla redakcji, żeby takiego typu komentarze, które co prawda reprezentują jakiś pogląd, ale całkowicie błędny, specjalnie oznaczać, np. ramką z opisem “Uwaga, brednie!”. Ewentualnie nie przepuszczać przez moderację.

  149. Post brzmi jakby praktyka systemowa autora sprowadzała się do włączenia systemu przyciskiem na obudowie.

  150. No chwila, ale jeżeli to było XSS to chyba mBank powinien jednak reklamację uwzględnić.
    Chyba, że ten robak działał już “na samym końcu” czyli przy wyświetlaniu samego HTML.

    • Sam sobie odpowiedziałeś. Hint: to nie był XSS.

  151. Wypok i ponad przeciętna inteligencja

  152. Jeśli w historii transakcji mBank jest poprawny numer konta, a przy drukowaniu potwierdzenia nie, to znaczy, że jest błąd w systemie dla klienta albo baza danych mBank nie jest spójna.
    Nie wiem czemu mBank nie widzi problemów, za przeproszeniem… zatrudniają praktykantów z technikum bez nadzoru?

    • > Jeśli w historii transakcji mBank jest poprawny numer konta,
      > a przy drukowaniu potwierdzenia nie, to znaczy, że jest błąd
      > w systemie dla klienta albo baza danych mBank nie jest spójna.
      > Nie wiem czemu mBank nie widzi problemów, za
      > przeproszeniem… zatrudniają praktykantów z technikum bez
      > nadzoru?

      Widać, że nic nie zrozumiałeś :)
      W systemie banku dane są spójne i w historii jest to samo co na potwierdzeniu.
      Natomiast na komputerze klienta jest wirus, który to co serwer do przeglądarki przysyła, podmienia w locie, żeby klientowi pokazać to co chce nie bank, tylko złodziej. A to, że po potwierdzeniu można poznać, bo tam jest prawdziwy rachunek, oznacza tylko, że po prostu złodziej nie umie jeszcze podmieniać pdfów.

      W uproszczeniu to taka sama sztuczka, jak czasem w filmach sensacyjnych pokazują, jak czarne charaktery włączają swój nadajnik i podrzucają ludziom swoją audycję, zagłuszając prawdziwą telewizję.

  153. Strata nie jest winą banku? Zapewne na takiej samej zasadzie, jak komuś “zginie” karta z paypassem i nastąpi fraud środków z konta. To pewnie też nie wina banku? No to zapytam przewrotnie: kto wciska klientom niebezpieczne technologie? Kto w razie fraudu, wypina sie na klienta, mimo deklaracji o “ubezpieczeniach” chargebackach itd, twierdząc, że sam sobie jest winien?
    Rzeczywistość wygląda tak, że większość ZU to cyberanalfabeci, a banki sponsorują “ekspertów” brylujących w mediach, którzy nosą przekaz “system jest bezpieczny”. A w razie wpadki? Ano pewien fajny portal o bezpieczeństwie wsadza newsa z walącym po oczach tytułem: “To nie wina mBanku…” Przynajmniej dobrze wam zapłacili…? Jak już się szmacić, to za duże pieniądze…

  154. To ile razy powinien bank zapytać klienta czy chce przelewać pieniądze na konto, którego numer został przesłany do banku?
    Back podał mi to w SMSie i prosił o potwierdzenie przez wpisanie kodu z tego smsa.
    Wpisał.
    Aha, jak wpisał i potwierdził to bank powinien wysłać kolejnego smsa “czy jesteś pewien?”
    A potem następnego,”ale naprawdę jesteś pewien?”.
    Tylko problem, że niektórych wystarczy zapytać raz a innych 5 razy może nie wystarczy.

    Ja tu widzę problem, ale z słabym uświadomieniem przez banki klientów o ważności sprawdzenia informacji z smsa. przed potwierdzeniem. Jak pytałem znajomych, to większość nie sprawdza co pisze w SMSie tylko przypisuje kod.

  155. Back=Bank
    mi=mu

  156. Jak ktoś ma pretensje do banku w opisanym zdarzeniu, to tak jakby miał pretensje do księdza, że poślubił kobietę, której on nie chce. A przecież ksiądz PYTAŁ czy chce poślubić tą, co stoi obok niego, a on odpowiedział “tak”.

    • Powinien raczej mieć pretensje do producenta piwa za to, że w momencie ślubu był pijany i nie rozpoznał, że podmieniono pannę młodą.

  157. Jak byś sprawdził nr konta w sms-ie który przychodzi z kodem jednorazowym, to teraz byś nie płakał nad własna głupotą.

  158. Wystarczy spełnić 2 warunki – nie używać systemu Windows i nie być idiotą.

    • Często oba te warunki łącznie nie są możliwe do wypełnienia :P

    • Albo nie korzystać z mBanku i nie być idiotą.
      Albo nie korzystać ze szczoteczek elektrycznych i nie być idiotą.
      Albo po prostu nie być idiotą. System operacyjny nie ma tu nic do tego. Ba, niektóre ataki łatwiejsze są do wykonania w linuksie i to niezależnie od jądra, np. wykradnięcie hasła przez spreparowaną stronę. Kłódka jest, strona wygląda jak prawdziwa, literówki w adresie na pierwszy rzut oka nie widać. Przekonanie, że “Mam linuksa, jestem bezpieczny” jest wtedy gwoździem do trumny.

  159. Zobaczymy czy bank pojdzie za sugestia, aby drozyc rozwiazanie generatora numeru konta w PDF tj. przed zatwierdzeniem przelewu SMS pojawi sie wygenerowany w PDF numer konta na jaki zlecamy przelew – malware jest w stanie zamienic HTMLa, ale dobrze skonsturuowany podglad PDF (z odpowiednim szumem i losowym opisen fields) pomoze zaswiecic czerwona lampke przez zatwierdzeniem przelewu. dodatkowy krok to wyslanie maila z numerem konta (przed zatwierdzeniem SMSem przelewu), ale czy i jak szybko bank wprowadzi do systemu update sie okaze. jesli wszyscy bedziemy bili piane ze to wina uzytkownika to bank sie utwierdzi ze to nie jego problem.

  160. Uwierzytelnianie mogloby byc dwukierunkowe:

    Przepisz kod z smsa

    Odpowiedz na smsa z numerem konta odbiorcy (oczywiscie telefon tez moze byc zainfekowany… ale jakie sa szanse? :)

    Mogloby tez byc tak, ze odpowiedź na smsa z numerem konta odbiorcy jest wymagana jeśli transakcja odbiega od standardu (powyżej średniej, etc.)

  161. Bardzo ciężko jest napisać dobrą aplikację. Dobra musi być idiotoodporna. Jeśli klient wykonał przelew na inny nr konta niż chciał to winny jest zawsze bank. Tak ja to widzę jako programista. Bank powinien dać klientowi bezpieczne narzędzie do robienia przelewów. Bezpieczne i niezawodne. Obciążanie winą klienta jest obniżaniem kosztów przy tworzeniu oprogramowania i zabezpieczeń. A jak bank nie może zapewnić bezpieczeństwa transakcji powinno być to jasno w umowie napisane i wtedy przydało by się ubezpieczenie transakcji coś jak OC/AC.

  162. @Krzysiek
    Jeżeli jesteś programistą i uważasz, że możesz napisać niezawodne narzędzie, i to jeszcze idiotoodporne, to poczekaj kilka lat i przeczytaj jeszcze raz swojego posta: gwarantuję ci, że będziesz miał ubaw po pachy.

    W międzyczasie zrozum, na czym polega ten atak. Bank nie ma nic wspólnego z tym, że klient wpuścił napastnika “do domu”. Gdyby chociaż mBank nie informował o zagrożeniach, gdyby nie próbował edukować klientów, gdyby nie wprowadził dodatkowej weryfikacji przez SMSy… ale wprowadził. Dał klientom wszystko, czego potrzebują, żeby zapewnić sensowny poziom bezpieczeństwa. Klient to z własnej olał, a potem poleciał jako “ofiara” z płaczem “do internetu”.

    Ubezpieczenie rób sobie we własnym zakresie. Nie okradaj innych klientów z ich pieniędzy, żeby sobie kompensować własne lenistwo.

  163. A DLACZEGO mBank nie stworzy wykrywający taką sytuację antywirus I OBOWIĄZKOWO nie każe go klientom używać ? Dlaczego mBank POZOSTAJE BEZCZYNNY ? Dlaczego przed KAŻDĄ tranzakcją nie ostrzega się o takiej konieczności sprawdzenia SMSa ? Bo mBank ma klientów głęboko w d…ie !!!

  164. @TEDY – byle co jesz, byle co gadasz.

  165. Jak zwykle dużo fachowców, jeden mądrzejszy od drugiego. Może ktoś błyśnie wiedzą i wyjaśni jak to jest z twierdzeniem że nie ma w sieci anonimowości ??? Jaka jest odpowiedź prawda czy fałsz …!

  166. Jedna rzecz mnie zastanawia, przeczytałem wszystkie komentarze ale nie rozwiało to moich wątpliwości. Abstrahując od faktu, iż klient nie sprawdził sms’a, w historii rachunku pojawia się inne konto niż na potwierdzeniu, nikt nie zadał pytanie (przynajmniej nie zauważyłem tego ) czy ta sytuacja (inne konto w historii i inne na potwierdzeniu) występuje również w momencie logowania z innych (w domyśle wolnych od wirusów) komputerów, bo jeżeli tak jest, to chyba faktycznie coś nie tak, jakaś niespójność.

    • Oczywiście przy logowaniu z czystego kompa numer rachunku w historii nie byłby podmieniony.

  167. Po co te emocje. W chwili obecnej podziwiam hakerów z logistykę. Po co maja się naciągać się z takimi jak ja i urządzeniami z setki tysięcy dolarów subskrypcjami itp., skoro mogą łoić lamerów z Windą. Często z lewym windowsem po jakimś tam aktywatorze. A potem płacz bo mi zginęło. Bank zabezpiecza swoje kasy przed napadem. A w domu czy we firmie robiąc przelewy wirtualnie taka kasa się przenosi wiec też musi być czysta. Tak naprawdę na skompromitowanej maszynie wyświetla się tylko poprawnie kludeczka, czyli zapina sesja SSL / tls nie dochodzi nawet do logowania. Przestępca loguje się z innego
    IP danymi które wklepał lamer / owieczka czyli dał kartę i pin komuś innemu. Czy karty płatnicze tez dajecie dzieciom do zabawy albo łazicie z nimi po burdelach. A tak się często dzieje z komputerem w domu czy pracy. Dzieci / lewe gry , wszechobecne porno – potem są rozwody bo żona tak mu nie robi ja ta pani wydepilowana do jednego włoska. Piracki soft zcrackowany, a nawet komentarze na portalach i wiele wiele innych. Bezpłatne konta pocztowe i klepanie na oślep wszystkiego skutkuje tym, że gość zdalnym pulpitem a raczej sztab ludzi siedzi czeka kiedy koło wklepie kody z tokena. W banku transakcja przebiega poprawnie z wszystkim prawidłami wiec czemu się dziwicie. W ilu firmach stoi proxy z BL i av? Często stoi jakiś kawałek tplinka za 100 zł i na tym kończy się bezpieczeństwo. Więc czemu to takie dziwne. W chwili obecnej przestępcy wzięli sobie na cel także routery soho oraz bankowość mobilną oraz programy finansowo-kadrowe. Jedynym rozsądnym rozwiązaniem są limity, ponieważ użytkownik wszystko wklepie i po 10 razy kody tokena. Sam się zastanawiam po pierwszym złym logowaniu czy pomyłka czy coś się dzieje. Na szczęście nie używam Windowsow do takich rzeczy, a jak mój system będzie tak jak Winda przejdę na inny niszowy. Mógłbym tak jeszcze długo ale i tak znajda się niewierzący.

    Pozdrawiam Lisu

  168. Piszecie: “Maszyny wirtualnej nie polecamy”. Dlaczego nie polecacie?

  169. Siedzę sobie w biurze w robocie, mam do zrobienia jeszcze jeden przelew. Nagle wpada typ z maczetą, podaje karteczkę z numerem rachunku i nazwą odbiorcy i zmusza mnie do wykonania przelewu. Potwierdzam zdrapką. kodem SMS, mailem i telefonicznie (jeszcze jakieś brednie w komentarzach wymyślono?) – pieniądze poszły w świat. Cóż zrobić, co począć? Lecieć na skargę do banku! Zrobi się art na niebezpieczniku, pójdzie hejt, to się może banksterzy ugną i oddadzą pieniądze. W końcu to ICH WINA! Powinni mnie ostrzec, że mając przy sobie telefon, na który przychodzą SMS-y, zdrapkę i dostęp do maila powinienem ZAMYKAĆ NA KLUCZ DRZWI POKOJU – a jeżeli nie ma zamka, to MIEĆ OCHRONIARZA. Więcej – powinni WYMAGAĆ, aby koło mnie stał ochroniarz! Bank nie zadbał o moje bezpieczeństwo, dopuścił do tego, że wykonałem przelew wbrew swojej woli. A przecież mogli zainstalować oprogramowanie wykrywające, czy mój tembr głosu przy potwierdzaniu telefonicznym (przez konsultanta) nie nosi oznak działania w stresie. Ba! – powinni wymagać, aby komputer do robienia przelewów wyposażony był w kamerę, aby otoczenie przy wykonywaniu KAŻDEGO przelewu było sprawdzane przez pracownika banku. W końcu jak jestem przy okienku, to ktoś tam widzi, czy nie mam lufy przy głowie! prawda? A w SMS-ie powinno być kilka kodów potwierdzających, z czego tylko jeden prawdziwy (i tylko ja wiem, który to w kolejności), a reszta działające jak cichy alarm – i gdy wpiszę alarmowy, to od razu na mój ‘GPS’ wpada S.W.A.T! To, że takich zabezpieczeń nie ma, wynika TYLKO ze skąpstwa banków, które nie dbają o interes mój-klienta.

    Teraz rozumiecie wy “obrońcy ofiary”, jakie brednie piszecie? Owszem – bank może pomóc zablokować frauda (blacklistowaniem rachunków, heurystyką odnajdującą anormalne przelewy do dokładniejszego przebadania, w ostateczności przez człowieka w banku), ale zasadniczy problem tkwi między fotelem a klawiaturą.

    Natomiast ta grupa osób (a może jedna zapętlona?), co to wypisywała głupoty o IMSI catcherach – na pewno ktoś rozlokuje ich kilkaset sztuk po całym mieście (a dziesiątki tysięcy w kraju), żeby wyłapywać odpowiednie SMS-y do podmiany numerów rachunków. I na pewno nikt się nie zorientuje, że przestaną działać telefony komórkowe (no chyba że zrobią tyle tych BTS-ów, że ogarną cały krajowy ruch sieci komórkowych). Bo wiecie, że sensowność ataków elektronicznych kryje się w ich masowości przy niskim koszcie? Takich jeleni na strzał po 40k to nie łapie się codzień, oni muszą sobie ciułać z drobnych przelewów. Dziwię się nawet, że nie odpuszczają sobie dużych kwot – bo małych kwot, to ludzie:
    1. szybko nie zauważą (dopiero jak przyjdzie wezwanie z gazowni),
    2. nie zgłoszą do banku ani na policję (“Zośka, komuś te pieniądze wysłała? Nie wiem, może źle wpisałam numer”),
    3. nie zrobią dymu i wirus długo może działać niezauważony.

  170. Pamiętajcie o tym, że on nie miał antywirusa. Miał Nortona ;)

Odpowiadasz na komentarz Tomasz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: