Pewien mężczyzna przekonał się na własnej skórze, jak niewiele potrzeba, by ktoś okradł nasze konto bankowe przy użyciu aplikacji mobilnej.
Użytkownik serwisu Wykop.pl opisał historię swojego ojca, który najpierw otrzymał od sieci T-Mobile SMS-a z informacją o przekierowaniu wszystkich połączeń na obcy numer telefonu, a niewiele później odkrył, że z jego konta w mBanku zniknęło kilka tysięcy złotych. Serwis Niebezpiecznik.pl opublikował możliwy przebieg zdarzeń, które doprowadziły do kradzieży.
Pierwszym krokiem było uzyskanie dostępu do skrzynki pocztowej ofiary, w sposób znany tylko przestępcy. Ponieważ okradziony mężczyzna wykorzystywał pocztę e-mail do przesyłania na przykład skanów umów ubezpieczeniowych, włamywacz mógł tam znaleźć dokument zawierający dane potrzebne do dalszej części ataku. A tych danych, ja się okazało, nie potrzeba wiele. W T-Mobile wystarczy zadzwonić na infolinię i podać numer PESEL i nazwisko posiadacza danego numeru telefonu, by zatwierdzić dyspozycję przekierowania połączeń. Na szczęście magentowa sieć przynajmniej wysyła wiadomości SMS z informacją o włączeniu przekierowania.
Następnym krokiem działania przestępcy było dostanie się na konto bankowe ofiary. Wydawać by się mogło, że nie powinno to mieć miejsca bez podania identyfikatora klienta banku i hasła. Można zmienić numer telefonu przypisany do konta, ale do tego potrzebna jest albo możliwość odbierania wiadomości SMS na starym numerze, czego złodziej nie miał, albo wizyta w oddziale banku z dowodem tożsamości, co jest ryzykowne, gdy nie jest się tym, za kogo się podaje. Jak jednak ustalił Niebezpiecznik.pl, przestępca na tym etapie zainstalował aplikację mobilną mBanku i ją aktywował w imieniu posiadacza konta. Nie było tu potrzeby podawania loginu i hasła, jeśli się dysponowało takimi danymi, jak PESEL i nazwisko panieńskie matki, a także miało się możliwość odbierania połączeń telefonicznych, które bankowy automat wykonywał na numer telefonu powiązany z kontem.
W opisywanym wyżej przypadku przestępca dysponował wszystkimi niezbędnymi danymi ofiary oraz mógł odbierać połączenia przychodzące na jej numer. Mógł więc bez problemu aktywować aplikację mobilną mBanku i wykonać - zgodnie z nałożonymi domyślnie limitami - 5 przelewów po 1000 zł każdy. Na szczęście dla ofiary ataku nie skończyło się to większymi stratami.
Należy tu jeszcze dodać, że mBank wysyła na numer właściciela konta wiadomość SMS z informacją o połączeniu z kontem nowego urządzenia. Jednak taką wiadomość należy w porę odczytać i odpowiednio zareagować, na przykład kontaktując się z bankiem w celu anulowania połączenia. Oczywiście mBank nie widzi w tym wszystkim swojej winy, za to wskazuje sieć T-Mobile jako winowajcę oferującego zbyt łatwy sposób przekierowania połączeń na inny numer telefonu.
Przypadek opisany przez portal niebezpiecznik.pl wynika z niewystarczających zabezpieczeń procesu przekierowywania rozmów po stronie operatora komórkowego. Zlecenie przekierowania rozmów jest w naszej ocenie krytyczną operacją i powinno wymagać tzw. silnego uwierzytelnienia, opartego na elementach będących w posiadaniu wyłącznie uprawnionego właściciela telefonu. Bazowanie wyłącznie na podstawowych danych osobowych klienta, łatwych do pozyskania przez przestępców, jest niewystarczające. Jesteśmy w kontakcie z T-Mobile i wspólnie pracujemy nad bezpiecznym rozwiązaniem. Monitorujemy również podejrzane transakcje, które mogą być dokonywane przez przestępców i podejmujemy stosowne działania - napisał mBank w swoim oświadczeniu.
Proces parowania aplikacji mobilnej za pomocą połączenia głosowego i użyte w nim metody zabezpieczające przed atakami podlegały skrupulatnej ocenie ryzyka. Bank świadomie wybrał proces oparty na połączeniu telefonicznym, ze względu na znacznie większe ryzyko nieuprawnionego przechwycenia wiadomości SMS.
Jak się w takim razie zabezpieczyć przed utratą swoich nieraz ciężko zarobionych pieniędzy? Przede wszystkim należy używać silnych i unikalnych haseł do kont w różnych usługach oraz aktywować - jeśli jest to możliwe - dwuskładnikowe uwierzytelnianie w skrzynce e-mail. Przydałoby się też zablokowanie możliwości przekierowania wszystkich połączeń na inny numer, ale sieć T-Mobile tego nie oferuje, w innych zapewne też o to jest ciężko. Można też specjalnie na potrzeby bankowe kupić kartę prepaid, która będzie przeznaczona wyłącznie do odbierania wiadomości SMS i połączeń ze strony banku, a dodatkowo nie da się na tym numerze złożyć dyspozycji przekierowania w tak prosty sposób, jak w T-Mobile.
Z naszego krótkiego researchu wynika, że najlepsza będzie karta prepaid w Plusie/Plush lub Orange. Dla kart pre-paid Plus i Orange w ogóle nie oferują możliwości włączenia przekierowania połączeń. Czy to przez infolinie, czy krótkim kodem. Dla numerów abonamentowych w Plusie, przekierowanie jest możliwe, ale tylko krótkim kodem wprowadzanym z telefonu, nie przez infolinię - czytamy na stronie niebezpiecznik.pl.
Jak się dowiedział cytowany serwis, równie łatwo, jak w T-Mobile, można zlecić przez infolinię przekierowanie numeru w Play i Virgin Mobile. Wystarczy PESEL, nazwisko właściciela numery i adres e-mail.
Kolejne zabezpieczenie to wyzerowanie limitów transakcji dostępnych poprzez aplikację mobilną. Te same operacje można wykonać logując się na stronę banku przez przeglądarkę internetową w telefonie, co w świetle opisanego powyżej ataku może okazać się bezpieczniejsze.
Zauważ, że wcale nie potrzebujesz aplikacji mobilnej mBanku. Operacje na swoim koncie możesz robić po prostu za pomocą przeglądarki internetowej na telefonie. Więc spokojnie możesz "wyzerować" te limity. Pamiętaj, że instalowanie jakiejkolwiek dodatkowej aplikacji, która nie jest nam niezbędna (a aplikacja mBanku do takiej kategorii należy) zwiększa ryzyko innych ataków. A bo ściągniemy nie tą co potrzeba, a bo na Androidzie ktoś nas zainfekuje i wykradnie dane z tej aplikacji, a bo producent aplikacji będzie miał dostęp do naszych danych na telefonie, takich jak książka kontaktowa czy lokalizacja, co może mieć negatywny wpływ na naszą prywatność. Oczywiście możesz też uznać, że aplikacja jest dla Ciebie na tyle wygodna, że ewentualna strata 5000 PLN i opisane wyżej "ryzyka" są do zaakceptowania ? ważne żebyś wiedział, czym grozi brak wyzerowania limitów, jeśli masz numer telefonu w T-Mobile, a ktoś zna nazwisko panieńskie Twojej mamy i Twój PESEL.
Warto także aktywować powiadomienie e-mail lub SMS (albo jedno i drugie) o każdej transakcji wykonanej z użyciem pieniędzy zgromadzonych na naszym koncie bankowym. Pozwoli nam to szybko zareagować na informację o operacji bankowej, której nie zlecaliśmy. Nie powinniśmy też przechowywać naszych wrażliwych danych osobowych, takich jak numer PESEL oraz seria i numer Dowodu Osobistego lub jego skany w miejscu, do którego potencjalny przestępca mógłby się włamać i dzięki temu stworzyć duplikat dokumentu, którym będzie się mógł posłużyć w celu na przykład zaciągnięcia kredytu na nasze dane. Pamiętajmy też, że Dowód Osobisty możemy zastrzec.
Jeśli niestety czytasz ten artykuł jako ofiara, którą ktoś okradł, to pamiętaj aby zastrzec swój dowód osobisty, jeśli miałeś jego obraz lub dane, które się na nim znajdują na e-mailu (imię, nazwisko, pesel, numer i serię). Przestępcy często wyrabiają tzw. "dowód kolekcjonerski" na pozyskane w ten sposób dane i za pomocą takiego dowodu wnioskują o pożyczki w różnych firmach i bankach. Pożyczek nie spłacają a dług dotyczy ...twojego PESEL-u. Dowód możesz zastrzec w każdym banku lub na policji.
Źródło tekstu: Niebezpiecznik.pl
