Na przeczytanie potrzebujesz 5 minut(y).
Według raportu “Polska bankowość w liczbach”, w 2018 roku aż 17mln Polaków korzystało z bankowości internetowej. Jeśli wierzyć Wikipedii odnośnie ludności w Polsce (38,4mln), okazuje się że to prawie co drugi z nas. Nie ma się więc co dziwić, że jest to łakomy kąsek dla przestępców, którzy nie muszą dziś z narażeniem życia wchodzić do placówki bankowej i wykorzystywać siły mięśni, a zamiast tego mogą wykorzystać zwykły komputer oraz siłę swojego umysłu siedząc wygodnie w fotelu gdzieś na „końcu świata”.
Każdy znawca dobrego (albo i nie) kina wie, że aby włamać się do banku wystarczy ukończyć gimnazjum i wykorzystać hakerskie narzędzie o trudno brzmiącej nazwie typu nmap lub emacs (koniecznie przez sendmail). Cóż… w rzeczywistości jest nieco trudniej. Wynika to z faktu, że banki są doskonale świadome bycia na celowniku osób szukających “łatwej” gotówki. Dlatego też każdego roku wydają miliony złotych na zakup najnowszych technologii, sprzętu oraz zatrudnianie najlepszych specjalistów w branży.
Skoro włamanie się do banku może okazać się bardzo kosztowne oraz czasochłonne, przestępcy wpadli na pomysł, że zamiast atakować banki, łatwiej jest atakować... klientów. Statystyczny internauta nie posiada przecież specjalistycznej wiedzy w dziedzinie bezpieczeństwa, nie inwestuje także regularnie pieniędzy w techniczne środki zabezpieczające jego komputera, ba… bardzo często nie zdaje sobie sprawy z potencjalnego ryzyka ściągając kolejną piracką kopię ulubionej gry lub pakietu biurowego z Internetu.
Poniższym tekstem chcemy rozpocząć cykl krótkich historii, które w maksymalny sposób obrazują to, jak wyglądają typowe scenariusze ataku oraz jakie błędy popełnili ich bohaterowie. Z założenia nie będą to teksty “techniczne”.
Historia: Janusz dostaje przesyłkę.
Tego dnia Janusz wstał wcześniej niż zwykle. To był dla niego ważny dzień, ponieważ dziś zaczynał nową, dobrze płatną pracę.
Nie mogę dać plamy pierwszego dnia
pomyślał dopijając szybko czarną, lekko chłodną już kawę.
Ciekawe, czy przyszły już dokumenty z kadr które miałem wypełnić.
Janusz otworzył laptopa i włączył program pocztowy. Niestety maila z kadr nie było, lecz jego uwagę przykuła wiadomość o interesującym tytule: “Powiadomienie o nadejściu przesyłki”.
Kurka…
pomyślał Janusz smyrając się po wąsie.
Nie przypominam sobie żebym coś zamawiał
Nie zastanawiając się dłużej wyświetlił wiadomość na ekranie swojego komputera:
Co za ludzie... żeby jeszcze nadawać hasła do załączników
pomyślał Janusz gdy przy próbie otwarcia załącznika program poprosił go o hasło. Po przepisaniu ciągu cyfr jego oczom ukazał się plik z ikoną podobną do znanych mu dokumentów PDF (takich jak często dostawał gdy musiał opłacić jakąś fakturę). Klik… spróbował otworzyć… nic. Drugi raz… nic… trzeci nic….
E... pewnie jakaś pomyłka
pomyślał zamykając program pocztowy. I w tym momencie gdy miał już wychodzić z domu aby nie spóźnić się na pierwszy dzień pracy zadzwonił jego telefon. To była jego żona Grażyna, przebywająca aktualnie na wyjeździe służbowym.
- Mam nadzieję że pamiętasz o tym, że dziś ostatni dzień płatności raty za lodówkę?
- Pamiętam - skłamał Janusz
- To dobrze, gdybyś zapomniał tego dziś zapłacić doliczą nam niezłe odsetki - ciągnęła Grażyna.
- Wiem, zapłaciłem. Spieszę się do pracy. Cześć.
Janusz odłożył telefon.
Kurka.. muszę jeszcze to zapłacić. Szybka piłka.
Janusz wrócił do swojego komputera, otworzył przeglądarkę internetową i wpisał adres: www.super-mega-bank.pl. Jego oczom ukazała się znana mu strona logowania na której wpisał swój identyfikator “janusz1982” i hasło “grazyna”. Po kliknięciu przycisku zaloguj zobaczył kręcące się kółeczko z napisem informującym, że “System przetwarza dane”, zmuszając tym samym Janusza do oczekiwania.
Co za patałachy pracują w tym banku - pomyślał Janusz stukając nerwowo w blat biurka. Zaraz spóźnię się przez nich do roboty.
Kółko przestało się kręcić i wyświetlił się komunikat, którego Janusz nigdy wcześniej nie widział. “W celu dodatkowej weryfikacji podaj kod SMS”.
No nie.. tego za wiele - pomyślał - znowu coś wymyślają. Podałem login i hasło, a teraz ode mnie jeszcze jakiś kodów chcą.
Telefon Janusza zawibrował i wyświetlił wiadomość:
Janusz, spojrzał na zegarek. Wiedział że jest już spóźniony.
7582… wprowadził cyfry do systemu bankowego.
“System chwilowo niedostępny”. Po wpisaniu kodu, oczom Janusza ukazał się komunikat, który doprowadził go niemal do furii. Zamknął laptopa i wyszedł z domu.
Dwie godziny później Grażyna stojąc przy kasie z parą nowiutkich białych kozaków widzi na terminalu komunikat “Brak środków na koncie”...
Co się wydarzyło?
Niestety Janusz padł ofiarą dość popularnego ataku. Taki scenariusz zazwyczaj zaczyna się od wiadomości e-mail lub SMS o treści o tyle interesującej (czy nawet szokującej) że zachęca odbiorcę do otwarcia pliku znajdującego się w załączniku lub też kliknięcia w link. Załącznik zawiera bardzo często złośliwe oprogramowanie (w tym przypadku tzw. malware bankowy), które po otwarciu instaluje się na komputerze ofiary, a następnie czeka na wizytę na stronie internetowej banku. Po wykryciu, że ofiara weszła na stronę systemu bankowego oprogramowanie to (w zależności od jego wariantu) przechwytuje ruch wychodzący z komputera internauty i kieruje go wprost do serwera sterowanego przez przestępcę. W ten sposób login i hasło Janusza nigdy nie trafiły do banku, a zobaczyła je osoba (być może) gdzieś na drugim końcu świata i za ich pomocą zalogowała się na konto Janusza. Do szczęścia brakowało jej tylko kodu SMS, który umożliwi autoryzację przelewu wszystkich środków z konta. Z uwagi na to że komputer Janusza został zarażony złośliwym oprogramowaniem i był w pełni kontrolowany przez przestępcę, mógł on wyświetlić komunikat z prośbą o wpisanie kodu w celu “dodatkowej weryfikacji”. Kod wpisany przez Janusza został tak naprawdę wykorzystany przez przestępcę do autoryzacji przelewu.
Jakie błędy popełnił Janusz i o czym warto pamiętać?
Zdaję sobie sprawę że po przeczytaniu powyższej historii, w głowach wielu czytelników rodzi się pytanie „a może zablokować tą bankowość internetową i wrócić do wykonywania przelewów w oddziale”? Spokojnie, wystarczy wypracować sobie kilka podstawowych nawyków przy korzystaniu z bankowości internetowej o których bardzo często banki przypominają w swoich sekcjach bezpieczeństwa i które możecie znaleźć poniżej w skondensowanej formie. Oczywiście nie jest to lek na całe zło tego świata, natomiast stosowanie się do tych podstawowych zasad znacząco podniesie Wasz poziom bezpieczeństwa w sieci.
- Już w pierwszym kroku Janusz nigdy nie powinien otwierać załączników ani klikać w linki przesyłane przez nieznanych nadawców. Jeżeli macie wątpliwości czy dana wiadomość została przesłana przez osobę lub firmę, za którą się podaje warto skontaktować się z nadawcą za pomocą innego kanału komunikacji (np. telefonicznie) i potwierdzić autentyczność wiadomości. Uwaga, jeżeli kontaktujemy się telefonicznie to nigdy nie wykorzystujemy numeru telefonu podanego w treści wiadomości, a korzystamy z innego źródła.
- Janusz wchodząc na stronę swojego banku w pośpiechu i rozkojarzeniu nie zweryfikował charakterystycznych elementów, które mogą (ale nie muszą) zdradzić, że strona na której się znajdujemy nie jest rzeczywistą stroną banku:
- Czy zgadza się adres systemu bankowego (nie ma tam żadnych literówek) oraz czy zaczyna się od przedrostka https (oznacza to że kanał komunikacji z serwerem po drugiej stronie jest szyfrowany, nie oznacza to natomiast w 100% że znajdujemy się na stronie banku - napiszemy o tym kiedyś więcej).
- Czy w pasku adresu znajduje się symbol zamkniętej kłódki obok której widnieje nazwa banku do którego się logujemy? W zależności od banku i przeglądarki internetowej wygląda to inaczej, natomiast ważne jest aby nazwa banku się pojawiła (niestety ta rada nie działa w przypadku przeglądarki Safari na komputerach z macOS, tu trzeba kliknąć w kłódkę i przeczytać zawartość certyfikatu).
- Czy strona wygląda tak jak zwykle, czy nie pojawiły się nowe elementy lub bank nie zaczyna pytać o rzeczy o które wcześniej nie pytał? W takim przypadku warto zakończyć wizytę na stronie i skontaktować się z bankiem telefonicznie w celu potwierdzenia, że system właśnie w ten sposób powinien się zachowywać. Uwagę Janusza powinien zwrócić fakt, że pojawiło się kręcące się kółeczko z prośbą o oczekiwanie, którego wcześniej nie było, a później prośba o wpisanie kodu SMS.
- Zasada najważniejsza - zawsze czytaj DOKŁADNIE SMSy. Możesz mieć zarażony komputer, ale przestępca nic nie zrobi jeżeli nie zautoryzujesz drugim kanałem (np. kodem SMS) operacji finansowej. Większość banków w chwili obecnej oferuje w standardzie kod SMS, który w treści dokładnie opisuje jaką transakcję wykonujesz. W przytoczonym przykładzie Janusz ewidentnie wykazał niedbalstwo ze swojej strony przepisując sam kod i nie czytając pozostałej treści SMSa. Gdyby to zrobił, może pojawiłaby się z jego strony wątpliwość, że przecież żadnego przelewu nie zlecał i nie podałby kodu SMS. Jeżeli Twój bank oferuje możliwość autoryzacji z wykorzystaniem aplikacji mobilnej, to bardzo gorąco zachęcam do skorzystania z tej opcji - jest ona znacznie bezpieczniejsza niż SMS.
Stosowanie tych podstawowych zasad powinno korzystnie wpłynąć na Wasze bezpieczeństwo (a z pewnością nie zaszkodzi).
Dajcie znać w komentarzach czy podobają się Wam tego typu historie. Jeżeli tak, to postaramy się kontynuować ten cykl i prezentować różne scenki ilustrujące w jaki sposób można stracić pieniądze przez własną nieuwagę (lub niewiedzę). Być może macie jakieś inne rady które warto stosować przy korzystaniu z bankowości internetowej? Czekamy na Wasze komentarze.
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.
Takich materiałów potrzebują wszyscy nietechniczni ludzie korzystający z dóbr Internetu. Jest prezentacja problemu, są emocje i co ważne przykład z życia wzięty. Chętnie poczytałbym o oszustwach przy użyciu, np. kodów BLIK.
Dzięki za sugestię tematu. Wrzucamy w TODO 🙂
Ja bym od siebie dodał, że taka treść w formie video na YT była by jedną z nielicznych wartościowych rzeczy jaka by tam była :). Tak już poważnie, nakręcenie takich filmików nie łatwa sprawa ale biorąc pod uwagę możliwy zasięg etc. to może kiedyś ;]
PS. Jestem z Łodzi jak coś chętnie pomogę coś takiego nakręcić.
Dzięki Michał! Myślimy o tym, a komentarze takie jak Twój przekonują nas do tego, że warto iść w tym kierunku. Odezwiemy się na maila jak będziemy mieli już więcej konkretów 🙂
Najprościej po prostu robić przelewy z aplikacji mobilnej. Żadnych smsów, tylko zazwyczaj się pin do aplikacji podaje, bądź przykłada palec do czytnika.
Wiele osób wciąż nie ufa smartphonom i nie wykonuje przelewów wykorzustując aplikacje mobilne banków. To nie jest też tak, że nie ma złośliwego oprogramowania na aplikacje mobilne - jest i również atakują klientów banków (nie trzeba instalować aplikacji z niezaufanych źródeł, można się nim zarazić również instalując niektóre aplikacje z GooglePlay).
numer telefonu do ofiary to chyba od wróżki dostał, za dodatkową opłatą ?
Już tłumaczę. W momencie kiedy Janusz otworzył fałszywą fakturę płatniczą jego komputer został zainfekowany złośliwym oprogramowaniem. Malware mógł modyfikować zachowanie jego przeglądarki, więc gdy Janusz wpisywał w pasku przeglądarki adres swojego banku, był kierowany tak naprawdę na stronę przestępców, która była wierną kopią prawdziwej strony banku z tą różnicą, że wpisywane loginy i hasła trafiały do przestępców. Posiadając dane logowania użytkowników przestępcy logowali się na swoim komputerze do prawdziwej strony bankowości ofiary i zlecali przelew. To bank wysłał Januszowi SMSa z prośbą o potwierdzenie transakcji, którą zlecili przestępcy. Janusz nie przeczytał dokładnie informacji otrzymanych SMSem o tym jaką transakcję potwierdza. Wpisał na fałszywej stronie kod SMS, który trafił do przestępców, a Ci przepisali go na prawdziwej stronie, na której byli zalogowani i z której zlecili przelew. Jeżeli potrzebujesz lepszego zobrazowania tej sytuacji, to możesz ją zobaczyć m.in. tutaj https://www.youtube.com/watch?v=349evo0Tpi8
Przecież nie miał numeru telefonu ofiary.
Ja wszystkim znajomym Grażynkom wyłączam, z uporem maniaka opcję ukrywania rozszerzeń dla plików znanych typów. Mogą w ten sposób uniknąć najbardziej lamerskiego ataku na udawanie pliku innego niż wykonywalny:
https://i.imgur.com/JE06Kbs.png
Ps. Screena możecie sobie wziąć i wykorzystać, bo trochę mi zabrakło wyjaśnienia, dlaczego ten pdf z przytoczonej historii był taki groźny.
Pozdrawiam. Fajny blog.
Super, uwzględnimy to działanie w naszej nowej serii "wyzwanie na weekend" :). Dzięki za screena. Wrzucimy do artykułu.
Moim zdaniem banki mogłyby wprowadzić lepsze zabezpieczenia - chociażby opcjonalnie. Np. powyżej pewnej kwoty (powiedzmy 1k) na smsa z banku trzeba odpisać podając kwotę i ostatnie 4 cyfry rachunku, a powyżej większej kwoty (np. 5k) przelew jest zamrożony na 12h, a w tym czasie co 2h dostajemy powiadomienie sms.
Taki system broniłby przed najpopularniejszymi atakami. Nawet przy wyłudzeniu karty jest czas na reakcje.
Cześć,
Pracuję jako doradca w banku, więc z doświadczenia mogę dodać kolejne rodzaje oszustw z którymi się spotykam: oszuści podszywają się pod bliskich znajomych na fb z prośbą o kod blik (to apropos tego, że najbezpieczniej z aplikacji korzystać, jak ktoś wyżej pisał), w okresach zakupowych pojawiają się smsy żeby dopłacić 1 zł do paczki, żeby szybciej doszła, są też perfidne oszustwa żeby coś dopłacić z linkiem prosto do banku, w co niestety ludzie klikają. Najgorsze, że ludzie po prostu nie czytają smskodów, tutaj jest plaga
Super pomysł z takim blogiem, oby się udało zdobyć popularność, miałbym mniej pracy 😉
Dzięki za komentarz. My również mielibyśmy mniej pracy 🙂 Jesteśmy świadomi opisanych przez Ciebie ataków, w przygotowaniu są kolejne historie na bazie tych ataków.
W systemie bankowym jest już podany konkretny numer do smskodów, więc miał podany
mam prośbę, opublikujcie swoje teksty TEŻ na rebacze.pl bo tu nikt nie zajrzy
Więcej wiary 🙂