Taki tam przypadek, w dodatku pewnie niechlujnie opisany, lub celowo pobieznie, bo tajemnica sledztwa.

https://www.onet.pl/informacje/onetpoznan/poznan-falszywy-sms-od-kuriera-kobieta-stracila-250-tys-zl/xetgmev,79cfc278

"24 września kobieta otrzymała SMS-a od "firmy kurierskie"j z którego treści wynikało, że przesyłka, którą zamówiła, nie zostanie jej dostarczona, ponieważ jest za ciężka. Aby ją otrzymać i tym samym uniknąć zwrotu do nadawcy, musi uregulować kwotę 1,49 zł, klikając w link.

Początkowo nic nie wzbudziło podejrzeń kobiety, ponieważ często robiła drobne zakupy przez internet. W tym wypadku było podobnie. Obecnie czekała na dostarczenie kolejnej paczki. Niczego nieświadoma kobieta, odruchowo kliknęła na link podany w wiadomości, który przekierował ją na stronę banku i uregulowała brakująca należność. Wtedy jeszcze nie wiedziała, że zarówno wiadomość, jak i strona banku nie są prawdziwe" - czytamy na stronie poznańskiej policji.

Następnego dnia rano kobieta zobaczyła na swoim telefonie kilka powiadomień sugerujących dokonanie nieautoryzowanych transakcji płatniczych z jej konta bankowego.
Kobieta najprawdopodobniej weszła w link, który przekierował ją do fałszywej strony logowania w banku.
Poznanianka wpisała hasło oraz login w rzeczywistości podając je oszustom.
Hakerzy zabrali jej z konta aż 250 tys. zł. "

Falszywa strona jest jasna.
Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy zainstalowac program przechwytujacy apke  bankową ?
A moze jakims skryptem java da sie udawac apkę bankową dla serwera ... to gdzie rzekome bezpieczenstwo tych apek ?

J.

Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

Falszywa strona jest jasna.

Fałszywy panel płatności. Tego typu wałków jest na pęczki.
https://niebezpiecznik.pl/tag/doplata-1pln/

Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Jaką autoryzację przeglądarki? Login i hasło do banku sama pewnie podała na podrobionej stronie dotpaya czy innego
PayU. Dlatego warto płacić BLIKiem ;-)

A co do autoryzacji samej operacji: na 99,9% czynnik ludzki. Kobieta zatwierdzała operację bez czytania, bo co się będzie przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
dodanie odbiorcy zaufanego.

Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy zainstalowac program przechwytujacy apke  bankową ?

Można zainstalować program z szemranego źródła i dać mu uprawnienia do odczytu sms. Ale tu pewnie prościej było.

A moze jakims skryptem java da sie udawac apkę bankową dla serwera ... to gdzie rzekome bezpieczenstwo tych apek ?

Chrzanisz waść. --
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

W dniu 01.10.2020 o 13:28, Dominik Ałaszewski pisze:

A co do autoryzacji samej operacji: na 99,9% czynnik ludzki.
Kobieta zatwierdzała operację bez czytania, bo co się będzie
przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
dodanie odbiorcy zaufanego.

Żeby wykonać przelew na odbiorcę zaufanego złodziej musi zalogować się na konto ofiary ze swojej przeglądarki. Przeglądarka jest niezaufana, zatem bank powinien wysłać sms do ofiary.

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms dodający przeglądarkę do zaufanych.

   MJ

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

I tak jest wielki postęp, że banki podają w sms-ach, do czego ten sms jest. Kiedyś nawet tego nie było.

   MJ

Użytkownik "Michal Jankowski" <michalj@fuw.edu.pl> napisał w wiadomości news:5f75c307$0$550$65785112news.neostrada.pl...

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

I tak jest wielki postęp, że banki podają w sms-ach, do czego ten sms jest. Kiedyś nawet tego nie było.

Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć
przecinek łatwo. Zamiast tego pełny nr rachunku, chociaż ciężko
raczej podstawić taki ze zgodną sumą kontrolną.
SMS-a chyba można podłsłuchać.
Poza tym licho wie jaki jest ich prawdziwy los - operatorzy niespiesznie
je kasują (o ille w ogóle) a potem treść może wypłynąć i w karierze
politycznej zaszkodzić.
Zdaje się, że Niemcy mieli odejść od potwierdzania SMS-ami?

Arek
..

"Arek" <Na przykład: osoba@microsoft.com> writes:

Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć
przecinek łatwo. Zamiast tego pełny nr rachunku, chociaż ciężko
raczej podstawić taki ze zgodną sumą kontrolną.

Niezwykle łatwo. Zwłaszcza gdy można samemu tworzyć subkonta.
--
Krzysztof Hałasa

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

No tak, to jest dobra koncepcja. Aż szkoda, że nam się ta uczciwość marnuje...

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony
sms dodający przeglądarkę do zaufanych.

SMS mógł być "zamówiony", wystarczy np. włączyć kasowanie ciastek po
zakończeniu sesji, i zawsze na wejściu dostajemy SMSa. Sesja mogła być
podtrzymywana przez wiele godzin.

Natomiast faktycznie z tym drugim SMSem musiało być coś nie tak - może
nie przeczytała.
--
Krzysztof Hałasa

W dniu 01.10.2020 o 15:41, Krzysztof Halasa pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony
sms dodający przeglądarkę do zaufanych.

SMS mógł być "zamówiony", wystarczy np. włączyć kasowanie ciastek po
zakończeniu sesji, i zawsze na wejściu dostajemy SMSa. Sesja mogła być
podtrzymywana przez wiele godzin.

Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy:

1. sms startujący prawdziwą sesję klientki
2. sms zatwierdzający dodanie zaufanego odbiorcy (błędnie zrozumiany przez klientkę jako zatwierdzenie przelewu złotówki)
3. sms startujący sesję złodzieja

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy:

1. sms startujący prawdziwą sesję klientki
2. sms zatwierdzający dodanie zaufanego odbiorcy (błędnie zrozumiany
przez klientkę jako zatwierdzenie przelewu złotówki)
3. sms startujący sesję złodzieja

Nie, wystarczą dwa:
1. Startujący sesję klientki (według niej) = złodzieja (rzeczywiście)
2. zatwierdzający odbiorcę (czy co tam to było - może być zatwierdzający
   konkretny przelew).
--
Krzysztof Hałasa

Użytkownik "DominikAłaszewski"  napisał w wiadomości grup dyskusyjnych:5f75bd41$0$522$65785112@news.neostrada.pl...
Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

Falszywa strona jest jasna.

Fałszywy panel płatności. Tego typu wałków jest
na pęczki.
https://niebezpiecznik.pl/tag/doplata-1pln/

Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Jaką autoryzację przeglądarki? Login i hasło do banku
sama pewnie podała na podrobionej stronie dotpaya czy innego
PayU. Dlatego warto płacić BLIKiem ;-)

Ok, login i haslo podala.

A co do autoryzacji samej operacji: na 99,9% czynnik ludzki.
Kobieta zatwierdzała operację bez czytania, bo co się będzie
przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
dodanie odbiorcy zaufanego.

No, jest to jakas koncepcja. Tresc sie co prawda mocno rozni, ale byc moze.

Tylko:
-falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS".
  I dopiero teraz mozesz dodawac zaufanych, wiec drugi SMS.

-jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne logowanie w celu wykonania przelewu bedzie  wymagalo hasla.

Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy
zainstalowac program przechwytujacy apke  bankową ?

Można zainstalować program z szemranego źródła i dać mu uprawnienia
do odczytu sms. Ale tu pewnie prościej było.

No wlasnie - "kobieta kliknela w link".

Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja namierzac ..

J.

Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

-falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS".
  I dopiero teraz mozesz dodawac zaufanych, wiec drugi SMS.

Pisałem, wystarczy przy pierwszym kodzie zasymulować błąd
(kod nieprawidłowy, spróbuj ponownie) i ofiara grzecznie
poda drugi. Gdzieś nawet mi nawet artykuł na ten temat
na z3s czy niebezpieczniku mignął, ale teraz jak na złość nie mogę znaleźć.

Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja

Jak ktoś instaluje programy z szemranego źródła i daje im dostęp do wszystkiego, to znaczy że jest półgłówkiem i pozostaje
mu/jej tylko sprzęt Apple :-)

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

"J.F." 5f75c810$0$17362$65785112@news.neostrada.pl

-jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne

Komu ono potrzebne?

logowanie w celu wykonania przelewu bedzie  wymagalo hasla.

--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.   (,-.`._,'(       |\`-/|  .'O`-'      .,; o.'      eneuel@gmail.com      '.O_'      `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  -bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/...

Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

zainstalowac program przechwytujacy apke  bankową ?

Jeśli pani miała aplikację, to najpewniej zatwierdziła
w aplikacji, tylko nie to, co myślała.

W niebezpieczniku wytłumaczony cały mechanizm
w wersji dla topornych:
https://niebezpiecznik.pl/post/uwaga-na-smsy-od-w-sprawie-przesylek/

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

W dniu 01.10.2020 o 13:36, Dominik Ałaszewski pisze:

Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

zainstalowac program przechwytujacy apke  bankową ?

Jeśli pani miała aplikację, to najpewniej zatwierdziła
w aplikacji, tylko nie to, co myślała.

W niebezpieczniku wytłumaczony cały mechanizm
w wersji dla topornych:
https://niebezpiecznik.pl/post/uwaga-na-smsy-od-w-sprawie-przesylek/

jak w prawie każdej katastrofie, musi zostać spełnionych kilka czynników na raz. Gdyby ludzie czytali co potwierdzają, czy to w tresci smsa czy w aplikacji banku - nic by się nie stało. gdyby czytali na jaką stronę wchodzą - również. gdyby nie klikali w link, tylko sami wybierali stronę banku, lub wręcz adres ip (ze skrótu nie z pamięci - dla złośliwych) też by pokonali oszusta. I najbardziej trywialna rzecz. jakby mieli na kompie managera haseł - to na fałszywej stronie nie podpowie - będzie sygnał ze coś jest nieteges.  Takie społeczeństwo. Myśleć nie trzeba żeby przeżyć
ToMasz

W dniu 01.10.2020 o 13:16, J.F. pisze:

Falszywa strona jest jasna.
Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Tzw. "wyjebka na fałszywego dotpeja" (Mexx musi być wściekły, że taka nazwa się utarła ;) ).
Zwabiona podstępem (np. "na dopłatę do przesyłki") ofiara na stronie udającej witrynę banku wpisuje kolejno login, hasło, a potem kod SMS, albo zatwierdza w aplikacji. Tyle, że zamiast przelewu na drobną kwotę zatwierdza dodanie zaufanego odbiorcy (którego przestępcy równolegle dodają używając danych z fałszywej strony), co umożliwia przestępcy (posiadającemu już login i hasło) wysyłanie przelewów do takiego odbiorcy bez dwustopniowej autoryzacji. No i takimi przelewami czyści konto do zera...

Pozdr,
--
L E P E K    Pruszcz   Gdański
no_spam/maupa/poczta/kropka/fm

"LEPEK" rl546o$1jd$1$LEPEK@news.chmurka.net

odbiorcy bez dwustopniowej autoryzacji. No i takimi przelewami czyści konto do zera...

Były 2 przelewy dające razem 250kpln? -- banki dają aż tyle jednorazowo?...

--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.
(,-.`._,'(       |\`-/|  .'O`-'      .,; o.'      eneuel@gmail.com      '.O_'
    `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,
-bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/...

W dniu 02.10.2020 o 02:05, Eneuel Leszek Ciszewski pisze:

Były 2 przelewy dające razem 250kpln? -- banki dają aż tyle jednorazowo?...

A skąd ci się wzięła informacja o dwóch przelewach? W tekście jest "kobieta zobaczyła na swoim telefonie kilka powiadomień".

Pozdr,
--
L E P E K    Pruszcz   Gdański
no_spam/maupa/poczta/kropka/fm
Avensis ADT270 1ADFTV sedan'11
MX-5 II NB FL  B6-ZE  rdstr'03
Kymco  Xciting  500i  sqter'08

LEPEK <gdzies@wsi.pl> writes:

W dniu 02.10.2020 o 02:05, Eneuel Leszek Ciszewski pisze:

Były 2 przelewy dające razem 250kpln? -- banki dają aż tyle jednorazowo?...

A skąd ci się wzięła informacja o dwóch przelewach? W tekście jest
"kobieta zobaczyła na swoim telefonie kilka powiadomień".

Pozdr,

A tak poza tym dają (a przynajmniej dawały). Jak płaciłem za mieszkanie,
to (jeden) przelew na ~230k przeszedł w mbanku bez żadnych fajerwerków. Fakt -
2006r.

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html