16/9/2023
Na telefony Polaków wysyłane są SMS-y od nadawcy “mOBYWATEL”. Wiadomości informują, że w “skrzynce odbiorczej mObywatel” czeka na nas wiadomość i proszą o zalogowanie się. Oto jak wygląda SMS:
Skrócony link w wiadomości prowadził pod adres zakupionej przedwczoraj domeny obywatel[.]cloud wskazującej na serwer 193.200.16.47. Strona aktualnie nie jest dostępna — nie udało nam się ustalić, co dokładnie na niej się znajdowało, ale domyślamy się, że celem atakujących mogło być wyłudzenie danych dostępowych i/lub zapoznanie się z pozostałymi informacjami, które na temat każdego z nas dostępne są w aplikacji mObywatel.
Niestety, dane z aplikacji mObywatel są bardzo przydatne m.in. do ataków socjotechnicznych dotyczących bankowości internetowej. Dodatkowo, o mObywatelu jest ostatnio dość głośno. Z tego powodu, choć skala ataku nie była wielka, postanowiliśmy rozesłać ostrzeżenie przed tą kampanią do użytkowników naszej aplikacji CyberAlerty. Spodziewamy się że niebawem pojawia się kolejne ataki wykorzystujące wątek “mObywatela”.
Jeśli nie masz naszej aplikacji CyberAlerty, to rozważ jej instalacje. Jedyne co robi, to ostrzega Cię przed atakami zagrażającymi bezpieczeństwu Twoich danych i pieniędzy. Jest darmowa, działa na Androidzie i iPhonie. Pobierzesz ją z oficjalnych sklepów — tu bezpośredni link.
PS. A dla użytkowników mObywatela małą rada: włączcie logowanie do apki biometrią i zapamiętajcie, że to wystarczy, więc nigdzie nie musicie podawać żadnych haseł. Ci z urządzeniami z gorszą jakością biometrii mogą dodatkowo ustawić PIN.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
A powiedzcie mi, bo mam taką rozkminę – jak to jest, że biometria jest lepsza jeśli wystarczy, że ktoś walnie mnie w łeb i jak będę nieprzytomny to przyłoży mój palec, żeby odblokować telefon, zalogować się do apek bankowych, mObywatela itp.? Wiem, że trudniej się włamać ‘zdalnie’ ale już ‘na żywo’ wydaje się, że PIN jest bezpieczniejszy więc coś mi na pewno umyka.
Przy Face ID musi to być twarz z oczami patrzącymi w ekran (ta opcja pewnie do zmiany w ustawieniach)
Właśnie dlatego w mObywatel poza biometrią jest jeszcze PIN, który blokuje apkę po (zdaje się) piątej błędnej próbie.
Kiedy wreszcie ktoś zostanie pociągnięty do odpowiedzialności za umożliwianie oszustom wysyłania smsów pod dowolnymi ‚pseudonimami’ bez żadnej kontroli? Przecież operatorzy komórkowi powinni mieć obowiązek to sprawdzać, kto rejestruje daną nazwę, czy nie podszywa się pod znaną firmę, a jeśli by nie dopilnowali, to oni powinni płacić kary i odszkodowania ludziom oszukanym. Ja np. ostatnio wystawiłem cos na OLX i w ciągu pół godziny dostałem SMS od „OLX” z fałszywym linkiem do potwierdzenia płatności od niby-kupującego… DRAMAT!
@Robert
Częściej (na razie) ludzie gubią telefony niż dostają w łeb.
I tu wg mnie biometria jest jedyną szansą dla użytkowników roztargnionych i przyzwyczajonych do wygody, żeby w ogóle mieli niezerowy poziom security. Wiesz co robią te osoby jak muszą mieć PIN? Ustawiają 1111 albo 1234. Ewentualnie datę urodzenia, co ujawnia przestępcom dwie pierwsze cyfry, trzecią pozwala określić z dużym prawdopodobieństwem. A palca albo twarzy do odblokowania da się ich nauczyć i nie postrzegają tego jako wielkie utrudnienie.
A my możemy tymczasem używać pinów alfanumerycznych ;-)
… no i nie pod tym postem odpisałem
Sorry. Spróbuję się w tej sytuacji zrehabilitować.
@Pawal
Teoretycznie powinna już obowiązywać ustawa antyspoofingowa. Tam chyba jednak chronione domyślnie mają być nadpisy instytucji (poprawiajcie mnie jeśli się mylę, nie czuję się expertem w temacie). OLX więc byłby możliwy do podszywania. A pytanko, jak zapisany był ten nadpis? Bo np nawet jak byłby chroniony, można podmienić duże O na zero, albo małe l na I i niby nie jest podszywanie ale jest.
Dlatego na szczęście w aplikacji mObywatel jest opcja logowania za pomocą biometrii i PIN-u jednocześnie – wymagane są obydwa skladniki, co jest najbezpieczniejsze. Szkoda tylko że w innych aplikacjach np. bankowych nie ma takiej opcji.
Do bankowości zalogujesz się biometrycznie lecz przy autoryzacji przelewu wymagany jest już pin. Niektóre bank co gorsze akceptują biometryczne potwierdzenie przelewu.
Te rady o gorszej i lepszej biometrii “specjalisto” od zabezpieczeń, to sobie…., głęboko najlepiej…
Dobrze napisali. Są telefony które mają gorzej zaimplementowana biometrie. Niektóre odblokujesz podstawiając zwykle zdjęcie twarzy właściciela. Iphony z touchid też są do obejścia dorobionym palcem. Chyba nawet Niebezpiecznik to opisywał. Najlepiej na razie wypada faceid, nie da się obejść poprzez udawanie kogoś.
Takie przykładowe SMS powinny być udostępnione w telewizji na każdym kanele jako np. reklama z ostrzeżeniem nas wszystkich i kto z sieci Orange, T-Mobile, Plus i Play i wieku innych, że przepuszczają do nas takie SMS-y.
mObwatel miał oferować blokadę PESEL od września. Co się z tym dzieje? Czy ktoś coś wie?
Trwają prace, temat na ukończeniu, lada chwila wyjdzie.
A gdzie można śledzić postępy tych prac? Ktoś może wie?