19:10
26/8/2010

Najpierw, korzystając z podrobionego dowodu osobistego zmienił w banku numer telefonu, na który prawowity właściciel konta otrzymywał kody SMS-owe służące do potrwierdzania transakcji. Potem zmienił login i hasło do konta oraz wyprowadził z niego 300 tys. PLN.

Dosłownie kilka dni temu pisaliśmy o zmianie haseł dostępowych przy pomocy infolinii (na przykładzie telewizji Aster)… a tu kolejny dowód na to, jak łatwo jest podkraść czyjąś tożsamość.

Zdjęcie oszusta opublikowała Komenda Stołeczna Policji:

Jeśli go znasz, zadzwoń na 997

Trzeba przyznać, że przekręt niezły, ale mimo wszystko, ten starszy pan nie pobił ochroniarza, który na fałszywą legitymację otrzymał 5 milionów złotych

Więcej o tej sprawie znajdziecie na stronach warszawskiej Gazety.

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. Też oglądałem właśnie w wiadomościach i zastanawiałem się, kiedy o tym napiszecie:)

  2. Widze, że spóźniłem się z informacją. Ciekaw jestem jakimi maszynami trzeba dysponować żeby wiarygodnie podrobić dowód ?

  3. Czy kiedykolwiek spotkałeś się w codziennym życiu ze sprawdzaniem zabezpieczeń dowodu?
    Wydaje mi się, że nie jest to takie trudne jeśli ma się dostęp do odpowiednich maszyn.

  4. Po wejściu nowych dowodów z chipem trzeba będzie przedterminowo zmienić dowód. Nawet jak podrobią dowód to juz nie podrobią chipa, bo musieliby go zczytać a liczę na to, że chip Bedzie dobrze zabezpieczony. Wyjściem byłoby też żądanie odcisków palców od osób chcących zmienić dane. Inna sprawa to limit wypłat przez system internetowy możliwy do zdjęcia jedynie jednorazowo przez telefon. Cos czuje, ze w Wawie może działać szajka współpracująca z pracownikami niektórych banków bo podejrzanie łatwo to poszło i to już nie pierwszy raz. Źródło problemu widzę tez w nieniszczeniu dokumentów bankowych zarówno przez klientów (jak ktoś nie ma niszczarki powinien chociaż podrzeć niepotrzebne dokumenty bankowe) jak i banki (w tym przypadku to skandal jeśli bank wyrzuca na śmietnik dokumenty, nie ma znaczenia ze są sprzed lat, bank na dobrą niszczarkę na pewno stać). Może warto podszkolić bankowców (Niebezpiecznik mógłby takowe oferować), ale tez klientów (w tym przypadku artykuł, też na Niebezpieczniku).

    PS
    Przyjrzyjcie się planowanemu nowemu dowodowi osobistemu z chipem http://www.serwisprawa.pl/artykuly,37,1374,dowody-osobiste-z-chipem. Jak dla mnie to super sprawa, bo ułatwi to załatwianie spraw u lekarza, banku itp. Jednak liczy się też bezpieczeństwo systemu. O ile wiem na chipie nie będą gromadzone dane a jedynie informacje pozwalające się do nich dostać np. lekarz otrzyma info o stanie zdrowia, bank informacje o kredytach itp.

  5. @Nakus
    Pomijam sprawę zabezpieczeń, chodzi mi jedynie o wiarygodny wygląd.

    A moje pytanie właśnie dot. jakiego rodzaju są to maszyny, i czy każdy potencjalny przestępca może mieć do nich dostęp?

  6. Jezeli zakladamy ze ktos nie bedzie ogladal dowodu: w wiekszosci dobrych zakladow poligraficznych mozna wydrukowac w pelnym kolorze np wizytowki, identyfikatory na kartach plastikowych. Problemem pozostaje hologram, orzelek , i ten chropowoaty pasek pod ktorym jest pesel.
    chropowoaty pasek- mysle ze by ni ebylo wiekszego problemu- taka faktura jest wykozystywana np przy wizytowkach(zaleznie od kata patrzenia widzimy rozne obrazy)
    orzelek- mysle ze dobry ploter by sobie poradzil z wygrawerowaniem takiego czegos
    hologram- mysle ze by sie znalazlo cos podobnego na jakis plytach czy innych oryginalnych produktach, kwestia dociac. pozniej ladnie wszystko polakierowac.
    sa jeszcze wygrawerowane kontury mapy, ale przy zniszczonym dowodzie prawie ich nie widac.
    Przypuszczam ze Pani w okienku zmeczona kilkugodzinna praca by nie zwrocila uwagi na dowod. Sprawdzilaby tylko czy dane sie zgadzaja.

  7. @Koro – dowód osobisty, to nic innego jak kawałek zadrukowanego plastiku. To dokładnie to samo co karty miejskie, karty kredytowe (pomijając funkcjonalność). Technik nanoszenia obrazu jest kilka, ale da się to zrobić w bardzo wielu drukarniach / agencjach reklamowych.

    Jeśli koleś miał dobrze podrobiony dowód (strzelam, że ma znajomego w agencji reklamowej/drukarni – żadna firma by mu tego nie druknęła… No chyba, że sam w coś takiego zainwestował…) to zmiana numeru telefonu nie powinna być problemem.
    Zastanawia mnie tylko skąd miał resztę danych, bo na sam dowód nie powinni mu pozwolić zmienić numeru.
    PS. 300tyś. potwierdzone tylko hasłem sms ? Nie powinien się tym zająć jakiś konsultant ? Poprosić o potwierdzenie lub zażądać dodatkowych danych ?

    PS. Koleś musi być pewny siebie, skoro nie ukrywał twarzy przed kamerami w banku (albo wiedział, że dowód wystarczy do zmiany telefonu, a na infolinii pytaliby go o dane, których nie miał)

  8. @Paweł Nyczaj
    A później jak już im się znudzisz to Ci skasują dane z chipa i będziesz człowiekiem bez tożsamości, pieniędzy itp… ;)

  9. a ja mieszkam w anglii i wraz z kolega podrabiamy prawo jazdy polskie nie róznia sie niczym innym tylko ze sa w foli zapakowane przel luminarke

  10. Ciekawi mnie w jaki sposób namierzyli ofiarę. Do takiego przekrętu już nie wybiera się byle kogo. Stan konta ofiary musi przecież zapewniać zwrot kosztów poniesionych na przygotowania, dawać zysk i dodatkowo jeszcze uzasadniać podjęte ryzyko.

  11. Wszelkie zmiany powinny zostać potwierdzone, zasygnalizowane kanałami kontaktu (mail, poczta, sms) Kanałów do kontaktu nie można jednorazowo zmienić więcej jak jeden.
    Przy takiej procedurze właściciel konta wychwycił by zmianę i mógł zareagować.

    Dziwne, że ustawił sobie limit przelewu na 300 000 zł. Standardowo w bankach jest ustawione max do 1 000 zł. Tak jak zauważył wyżej Paweł Goleń, nie przypadkowa ofiara.

  12. Ciekawe ilu jest takich Pawłów Nyczajów w Polsce…
    Przecież dane z chipa RFiD można będzie ukraść praktycznie wszędzie. Dorobienie do radiowego chipa kawałka dodatkowego plastiku nie będzie żadnym wyczynem.
    Dziwi mnie trochę naiwność tego oszusta w ostatniej fazie przedsięwzięcia. Dał się sfilmować kamerą przemysłową. Porażka. Chyba że to jest sprytnie dorobiona maska…

  13. @bns np w mbanku mozna zmienic limity online: wymagane jest jedynie wpisanie hasla jednorazowego/przepisanie kodu z sms’a

  14. @Odstresowany

    Jakim sposobem niby odczytasz dane z chipa? Żeby przeczytać/odczytać cokolwiek musisz dysponować kluczem (zazwyczaj będzie to 3DES). Klucze mogą być osobne dla różnych sektorów (np. dla policji, banków, itp.) więc nie jest tak, że każdy będzie mógł sobie czytać i pisać w pamięci co chce.

    Nie możesz też po prostu użyć swojego chipa RFID bo jak ktoś go będzie chciał potem odczytać używając poprawnego klucza to mu error wyskoczy ;).

  15. @Karol
    Jak pokazuje ten przyklad
    http://www.heise-online.pl/security/news/item/Ekspert-prezentuje-sposob-wykradania-danych-z-kart-identyfikacyjnych-z-chipami-RFID-776705.html
    Klucz nie zawsze jest wymagany, liczę jednak na to, że w przypadku nowych dowodów będzie.

    BTW Niemcy kserują nasz pomysł :P i wprowadzają takie dowody już teraz. Może nasza administracji będzie się uczyć na ich błędach/sukcesach.

  16. No no ja bym tak nie galopował
    Byle leszcz to sobie lewego dowodu nie wykombinuje
    więc z tą łatwością to bym nie przesadzał
    Ogólnie Szacun !!! :D

  17. Ja czekam tylko na dowcipnisiów z RFID-burnerami :D
    Może nie wyglądające tak ‘geekowsko’ jak ten: http://www.youtube.com/watch?v=wApnKraftWo , ale działające na takiej samej zasadzie.
    Maszynkę do emisji EMP zbudować może średnio zdolny nastolatek z dostępem do netu…
    Możliwy scenariusz ‘zabawy’ ? Wsiada taki delikwent do zatłoczonego tramwaju/autobusu/metra w godzinach szczytu, w plecaku trzyma ‘zabawkę’. Odpala EMP i wysiada.
    Telefony, MP3 playery i nowe dowody nadają się tylko na złom.
    Aż dziwię się, że jeszcze nikt na to nie wpadł…

  18. @Koro:

    OK, z tym że jedyne co udało się odczytać to numer seryjny karty. Od tego do “wykradzenia” z niej jakichś istotnych danych jeszcze daleko. Podobnie jak do jej skopiowania.
    Zagrożenie związane z tym, że ktoś odczytał numer seryjny Twojej karty porównałbym z tym, że poznał Twój login do jakiegoś serwisu. Wie, że masz login “Koro”, ale nie znając hasła nie dostanie się do danych, nie zmodyfikuje ich, ani nie podszyje się pod Ciebie.

    Artykuł wspomina za to o poważniejszym zagrożeniu – jeśli każdy będzie miał dowód z chipem czy inną kartę z RFID (np. płatniczą bezprzewodową), odczytywanie samego ID karty pozwoli na określenie gdzie fizycznie przebywał. W zbieranie takich danych na szerszą skalę mogą bawić się np. sieci handlowe do celów marketingowych, ale też służby państwowe (oni dodatkowo dysponują kluczami kryptograficznymi do karty) czy jacyś podejrzani panowie chcący poznać Twoje zwyczaje żeby Cię potem porwać, czy obrabować ;).

  19. czip != rfid.
    bankomantowe karty z czipem implementuja silna kryptografie, dlatego np. nie da sie ich klonowac.

  20. a co do tego, ze dal sie sfilmowac: moze wliczyl to w ryzyko i poprzestanie na jednym skoku? za 300k mozna sobie pozyc, przez pare ladnych lat :)

  21. Czytałem o tym z tydzień dwa temu. Podrobić dowód nie trudno dziwię się dlaczego pani nie sprawdziła choćby numeru seryjnego dowodu. O wiele łatwiej jest poznać wiek oraz dane teleadresowe ofiary niż numer dowodu. O ile mi wiadomo pan powinien złożyć także podpis, w moim banku jak podpis jest inny nie dokonają żadnej zmiany.

    @Paweł Goleń
    Wystarczy sprawdzić na nk lub fb i widać stan majątkowy delikwenta

    @torwald
    Może te 300tyś wyprowadzał w turach albo jako opłata za mieszkanie, zresztą skoro zmienił hasła i numer telefonu to potwierdzenie niewiele by dało.

    PS. Swoją drogą dobry sposób na wyłudzenie pieniędzy. Bierzesz słupa dajesz mu swoje wszystkie dane on zmienia hasła numer telefonu itp. potem wyprowadza pieniądze. Wy dzielicie się 50/50. Dodatkowo Ty dostajesz kasę z powrotem na konto w końcu do bank okradli a on jest ubezpieczony.

    PS.2 Zwróćcie uwagę na karteczki koło biurka kasjerki na 100% są to hasła dostępowe do systemu. Ostatnio jak brałem kredyt pani sprawdzała swoje hasełka w notatniku, który leżał obok monitora.

    PS.3 W miniaturce myślałem, że to mój ojciec :]

  22. @Torwald
    O jakie, inne dane Ci chodzi?
    Jak wyrabiałem sobie nowy DO z powodu przeprowadzki to musiałem udać się do punktu mbanku w jakimś centrum handlowym i tam po prostu dałem nowy dowód, a pan konsultant(specjalista bankowiec czy jak oni się zwą) na podstawie nowego dokumentu zmienił mi dane klienta.

    O nic więcej nie pytał – imie, nazwisko, i pesel miał na dowodzie, a pozostałe dane można zmyślić(adres, organ wydający, numer dowodu). Nie zauważyłem też aby jakoś przyglądał się zabezpieczeniom na plastyku.
    Natomiast pesel…no cóż, są różne sposoby wyłudzenia, pozyskania danych – chociażby z banku/od nierzetelnych pracowników punktów kredytowych/z niewłaściwie zniszczonych dokumentów bądź dowodu po wymianie, któremu zostaje jedynie obcięty róg…a co petent z nim zrobi to już urzędnika nie interesuje. Najczęściej ląduje w koszu, przecięty czy nie, dane można odczytać po złożeniu dwuelementowych puzzli :>
    Już sam fakt, że wytypowano gościa z wysokim limitem przelewowym w bankowości elektronicznej powinien zapalić czerwoną lampkę z napisem `inside job`. ;)

  23. Zawsze będzie przeciwwaga dla wynalazków typu RFiD. W błędzie jest każdy kto myśli że takie dane będą bezpieczne, bo zapisane w pamięci układu zasilanego i wymieniającego informacje drogą radiową. Jeśli przechwycimy paczkę informacji wygenerowaną przez chipa, mamy dużo czasu na ich analizę i modyfikację. Dla tych którzy mają trochę pojęcia o technologiach znakowania radiowego polecam na dobry początek fajną stronkę: http://rfidiot.org/
    Dane z waszych nowocześnie zabezpieczonych dokumentów można będzie zgubić wszędzie – od autobusu miejskiego, do pętli indukcyjnej pod skrzyżowaniem świetlnym. Wyobraźcie sobie jakie to otwiera możliwości śledzenia delikwentów…
    Pozdrawiam serdecznie wszystkich RFiD -maniaków/entuzjastów. Jeszcze zatęsknicie za papierową książeczką ze zdjęciem.

  24. Pracownicy banków są/powinni być przeszkoleni w wyrywaniu fałszywych dokumentów i pieniedzy. Dlatego odpadają wszystkie metody domowego podrabiania dowodów osobistych. IMO oszust poslugiwał się dowodem uzyskanym “oficjalnie” (wyrobienie nowego dowodu ze swoim zdjęciem poprzez zgłoszenie zaginiecia poprzedniego dowodu, prawa jazdy, paszportu nie jest zbyt trudne).

  25. @Odstresowany
    W dowodach nie będzie RFID tylko kontaktowy chip. Przynajmniej tak mi się wydaje.

  26. Sprawa musi mieć drugie dno albo ten miło wyglądający starszy pan to geniusz zła. Facet trafił dobre konto, miał sporo danych, dostęp do podrobionych dokumentów i wiedział, gdzie będą (a gdzie nie) pytali o rzeczy których nie wie.

  27. A odnośnie EMP i ataków na RFID – nie panikowałbym, większości sprzętu wystarczy reset i działają dalej, a zmazane dowody można pewnie odtworzyć w urzędzie na podstawie danych zapisanych na powierzchni i własnej twarzy ;)

  28. Paweł Nyczaj 2010.08.27 11:20 | # W dowodach nie będzie RFID tylko kontaktowy chip. Przynajmniej tak mi się wydaje.

    Niestety wzorem niemieckich dowodów – wyposażone będą tylko w kanał radiowy. Ciekawostką jest że dane z takiego “bezpiecznego” dokumentu można sobie “zassać” przy pomocy telefonu komórkowego (po wgraniu małego programiku).

  29. […] kilka przykładów ciekawych ataków celowanych. Jeden z takich incydentów opisany jest we wpisie Wyłudził 300 tys. zł. …z banku. Nieco więcej w tym temacie można dowiedzieć się z Newsweeka, artykuł Vabank. Między innymi […]

  30. dlatego używam hasełpapierowych, a mbank mnie wqrza bo próbuje na mnie WYMUSIĆ używanie haseł SMS !! :/

  31. Skoro ustalono już żę to złodziej wypłacił pieniądze z konta w takim razie bardzo się cieszę. Strate poniesie mBank, bo będzie musiał oddać pieniądze właścicielowi :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: