Taki tam przypadek, w dodatku pewnie niechlujnie opisany, lub celowo
pobieznie, bo tajemnica sledztwa.

https://www.onet.pl/informacje/onetpoznan/poznan-fal
szywy-sms-od-kuriera-kobieta-stracila-250-tys-zl/xet
gmev,79cfc278

"24 września kobieta otrzymała SMS-a od "firmy kurierskie"j z którego
treści wynikało, że przesyłka, którą zamówiła, nie zostanie jej
dostarczona, ponieważ jest za ciężka. Aby ją otrzymać i tym samym
uniknąć zwrotu do nadawcy, musi uregulować kwotę 1,49 zł, klikając w
link.

Początkowo nic nie wzbudziło podejrzeń kobiety, ponieważ często robiła
drobne zakupy przez internet. W tym wypadku było podobnie. Obecnie
czekała na dostarczenie kolejnej paczki. Niczego nieświadoma kobieta,
odruchowo kliknęła na link podany w wiadomości, który przekierował ją
na stronę banku i uregulowała brakująca należność. Wtedy jeszcze nie
wiedziała, że zarówno wiadomość, jak i strona banku nie są
prawdziwe" - czytamy na stronie poznańskiej policji.

Następnego dnia rano kobieta zobaczyła na swoim telefonie kilka
powiadomień sugerujących dokonanie nieautoryzowanych transakcji
płatniczych z jej konta bankowego.
Kobieta najprawdopodobniej weszła w link, który przekierował ją do
fałszywej strony logowania w banku.
Poznanianka wpisała hasło oraz login w rzeczywistości podając je
oszustom.
Hakerzy zabrali jej z konta aż 250 tys. zł. "

Falszywa strona jest jasna.
Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy
zainstalowac program przechwytujacy apke bankową ?
A moze jakims skryptem java da sie udawac apkę bankową dla serwera ...
to gdzie rzekome bezpieczenstwo tych apek ?

J.

do góry

Dnia 01.10.2020 J.F. <j...@p...onet.pl> napisał/a:

> Falszywa strona jest jasna.

Fałszywy panel płatności. Tego typu wałków jest
na pęczki.
https://niebezpiecznik.pl/tag/doplata-1pln/

> Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Jaką autoryzację przeglądarki? Login i hasło do banku
sama pewnie podała na podrobionej stronie dotpaya czy innego
PayU. Dlatego warto płacić BLIKiem ;-)

A co do autoryzacji samej operacji: na 99,9% czynnik ludzki.
Kobieta zatwierdzała operację bez czytania, bo co się będzie
przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
dodanie odbiorcy zaufanego.

> Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy
> zainstalowac program przechwytujacy apke bankową ?

Można zainstalować program z szemranego źródła i dać mu uprawnienia
do odczytu sms. Ale tu pewnie prościej było.

> A moze jakims skryptem java da sie udawac apkę bankową dla serwera ...
> to gdzie rzekome bezpieczenstwo tych apek ?

Chrzanisz waść.


--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

Dnia 01.10.2020 J.F. <j...@p...onet.pl> napisał/a:

> zainstalowac program przechwytujacy apke bankową ?

Jeśli pani miała aplikację, to najpewniej zatwierdziła
w aplikacji, tylko nie to, co myślała.

W niebezpieczniku wytłumaczony cały mechanizm
w wersji dla topornych:
https://niebezpiecznik.pl/post/uwaga-na-smsy-od-w-sp
rawie-przesylek/

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

W dniu 01.10.2020 o 13:28, Dominik Ałaszewski pisze:

> A co do autoryzacji samej operacji: na 99,9% czynnik ludzki.
> Kobieta zatwierdzała operację bez czytania, bo co się będzie
> przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
> dodanie odbiorcy zaufanego.

Żeby wykonać przelew na odbiorcę zaufanego złodziej musi zalogować się
na konto ofiary ze swojej przeglądarki. Przeglądarka jest niezaufana,
zatem bank powinien wysłać sms do ofiary.

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
dodający przeglądarkę do zaufanych.

MJ

do góry

Dnia 01.10.2020 Michal Jankowski <m...@f...edu.pl> napisał/a:

> Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
> zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
> dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:
> Dnia 01.10.2020 Michal Jankowski <m...@f...edu.pl> napisał/a:
>
>> Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
>> zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
>> dodający przeglądarkę do zaufanych.
>
> Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
> więcej niewiele da. Zasymuluje się błąd (podany kod jest
> nieprawidłowy, spróbuj ponownie) i gra muzyka.
>

I tak jest wielki postęp, że banki podają w sms-ach, do czego ten sms
jest. Kiedyś nawet tego nie było.

MJ

do góry

W dniu 01.10.2020 o 13:36, Dominik Ałaszewski pisze:
> Dnia 01.10.2020 J.F. <j...@p...onet.pl> napisał/a:
>
>> zainstalowac program przechwytujacy apke bankową ?
>
> Jeśli pani miała aplikację, to najpewniej zatwierdziła
> w aplikacji, tylko nie to, co myślała.
>
> W niebezpieczniku wytłumaczony cały mechanizm
> w wersji dla topornych:
> https://niebezpiecznik.pl/post/uwaga-na-smsy-od-w-sp
rawie-przesylek/
>
jak w prawie każdej katastrofie, musi zostać spełnionych kilka czynników
na raz. Gdyby ludzie czytali co potwierdzają, czy to w tresci smsa czy w
aplikacji banku - nic by się nie stało. gdyby czytali na jaką stronę
wchodzą - również. gdyby nie klikali w link, tylko sami wybierali stronę
banku, lub wręcz adres ip (ze skrótu nie z pamięci - dla złośliwych) też
by pokonali oszusta. I najbardziej trywialna rzecz. jakby mieli na
kompie managera haseł - to na fałszywej stronie nie podpowie - będzie
sygnał ze coś jest nieteges. Takie społeczeństwo. Myśleć nie trzeba
żeby przeżyć
ToMasz

do góry

Użytkownik "DominikAłaszewski" napisał w wiadomości grup
dyskusyjnych:5f75bd41$0$522$6...@n...neostrada.
pl...
Dnia 01.10.2020 J.F. <j...@p...onet.pl> napisał/a:
>> Falszywa strona jest jasna.

>Fałszywy panel płatności. Tego typu wałków jest
>na pęczki.
>https://niebezpiecznik.pl/tag/doplata-1pln/

>> Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

>Jaką autoryzację przeglądarki? Login i hasło do banku
>sama pewnie podała na podrobionej stronie dotpaya czy innego
>PayU. Dlatego warto płacić BLIKiem ;-)

Ok, login i haslo podala.

>A co do autoryzacji samej operacji: na 99,9% czynnik ludzki.
>Kobieta zatwierdzała operację bez czytania, bo co się będzie
>przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
>dodanie odbiorcy zaufanego.

No, jest to jakas koncepcja. Tresc sie co prawda mocno rozni, ale byc
moze.

Tylko:
-falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank
mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS".
I dopiero teraz mozesz dodawac zaufanych, wiec drugi SMS.

-jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne
logowanie w celu wykonania przelewu bedzie wymagalo hasla.

>> Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy
>> zainstalowac program przechwytujacy apke bankową ?

>Można zainstalować program z szemranego źródła i dać mu uprawnienia
>do odczytu sms. Ale tu pewnie prościej było.

No wlasnie - "kobieta kliknela w link".

Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja
namierzac ..

J.

do góry

Dnia 01.10.2020 J.F. <j...@p...onet.pl> napisał/a:

> -falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank
> mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS".
> I dopiero teraz mozesz dodawac zaufanych, wiec drugi SMS.

Pisałem, wystarczy przy pierwszym kodzie zasymulować błąd
(kod nieprawidłowy, spróbuj ponownie) i ofiara grzecznie
poda drugi. Gdzieś nawet mi nawet artykuł na ten temat
na z3s czy niebezpieczniku mignął, ale teraz jak na złość
nie mogę znaleźć.

> Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja

Jak ktoś instaluje programy z szemranego źródła i daje im dostęp
do wszystkiego, to znaczy że jest półgłówkiem i pozostaje
mu/jej tylko sprzęt Apple :-)

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
> zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony
> sms dodający przeglądarkę do zaufanych.

SMS mógł być "zamówiony", wystarczy np. włączyć kasowanie ciastek po
zakończeniu sesji, i zawsze na wejściu dostajemy SMSa. Sesja mogła być
podtrzymywana przez wiele godzin.

Natomiast faktycznie z tym drugim SMSem musiało być coś nie tak - może
nie przeczytała.
--
Krzysztof Hałasa

do góry