Ciekawą kradzież opisał jeden z użytkowników Wykopu. Jego Tata najpierw odebrał SMS-a z T-Mobile, że ustawiono przekierowanie rozmów przychodzących na jego numer na inny numer telefonu, a następnie zorientował się, że ktoś ukradł mu pieniądze z konta w banku.

Jak przebiegał atak?

Z naszych ustaleń wynika, że przestępca uzyskał dostęp do skrzynki pocztowej ofiary.. Jak? To pozostaje zagadką. Mógł poznać hasło ofiary, które wyciekło z innego serwisu i było takie samo jak do skrzynki e-mail, mógł wcześniej przeprowadzić atak phishing na ofiarę. Analiza korespondencji, która się znajdowała się na skrzynce ofiary, pozwoliła przestępcy na pozyskanie kilku informacji na temat ofiary, co najmniej takich jak jego PESEL i nazwisko panieńskie matki. Nie jest tajemnicą, że sporo osób korzysta z e-maila do przekazywania np. skanów umów ubezpieczycielom czy innym podmiotom… Zwróćcie też uwagę, że atak na e-maila jest opcjonalny — dane takie jak czyjś PESEL, numer telefonu i panieńskie matki można pozyskać z innych źródeł.

Przekierowanie numeru telefonu na inny po stronie T-Mobile

Bogatszy o tę wiedzę, przestępca ustawił przekierowanie rozmów przychodzących z numeru telefonu ofiary na swój numer telefonu (79667176x). Jak? Z naszych ustaleń wynika, że ofiara nie miała żadnego “internetowego konta w T-Mobile”, do którego hasło możnaby odzyskać przez kontrolowaną już na tym etapie skrzynkę e-mail ofiary. Przestępca musiał więc wydać dyspozycję przekierowania numeru inaczej. Zapewne skontaktował się z infolinią T-mobile i tam uwierzytelnił się jako ofiara. Wielu danych nie musiał mieć. Wedle naszego czytelnika wystarczy PESEL i nazwisko ofiary. To trochę …skandaliczne:

T-Mobile na szczęście informuje abonenta SMS-em, że jego numer został “przekierowany” na inny. Te SMS-y ofiara dostała, ale niestety nie od razu zrozumiała, czym to może grozić i nie zareagowała w porę kontaktem z operatorem.

Zwróćcie uwagę, że nie ma przekierowania SMS-ów. Przekierowane zostały tylko połączenia telefoniczne.

Kradzież pieniędzy z konta w mBanku

Chwilę po przekierowaniu rozmów, z konta ofiary w mBanku zniknęły pieniądze. Jak? Skoro przestępca nie dysponował loginem i hasłem do konta bankowego ofiary? Jak? Skoro aby zmienić numer telefonu przypisany do konta w mBanku trzeba albo móc odebrać SMS na starym numerze (a przestępca nie jest w stanie odbierać SMS) albo dysponować dowodem i zrobić to w placówce (a przestępca nie ma dowodu ofiary i jest to ryzykowne) albo wysłać wniosek potwierdzony notarialnie (znów przestępca nie ma dowodu ofiary i jest to ryzykowne)?

Strzelamy Wiemy z całą pewnością, że przestępca na tym etapie zainstalował aplikację mobilną mBanku, którą ktoś może aktywować w imieniu innej osoby bez konieczności znajomości loginu i hasła tej osoby do jej konta bankowego, o ile zna następujące dane:

PESEL nazwisko panieńskie matki i ma możliwości odebrania połączenia (nie SMS-a!) głosowego na numerze ofiary (automat mBanku czyta PIN, który trzeba przepisać)

Jak widać, na tym etapie przestępca miał wszystko, czego potrzebował aby aktywować aplikację mobilną mBanku. Po aktywacji, bez znajomości loginu i hasła ofiary, przestępca był w stanie wyprowadzić środki BLIK-iem lub przelewem (zapewne na jedną z giełd kryptowalut, jak to zwykle bywa).

Na szczęście, w tym wariancie ataku, aplikacja mobilna mBanku ma po stronie banku nałożone limity. Nie można za jej pomocą wyprowadzić z konta więcej niż 5000 złotych. Więc szczęście w nieszczęściu — starty ofiary powinny być raczej niewielkie w porównaniu do innych ataków, w których ludzie tracą setki tysięcy złotych.

Warto też odnotować, że po takim dopięciu aplikacji mobilnej, mBank wysyła SMS-a na numer telefonu właściciela konta, a więc może się on dowiedzieć, że zaraz może stracić pieniądze. O ile w porę SMS-a odczyta…

Wygoda a bezpieczeństwo w bankach…

Niektórych może zastanawiać, dlaczego mBank przy kojarzeniu aplikacji mobilnej z kontem nie prosi o podanie loginu i hasła. My się domyślamy powodu technicznego, ale żeby być pewnym, skierowaliśmy w tej sprawie do mBanku oficjalne zapytanie. Powód nietechniczny jest oczywisty. Łatwość konfiguracji, która jest równoważona minimalizowaniem ryzyka ewentualnej kradzieży środków przez domyślny limit na wypłatę przez aplikację. To oznacza, że zapewne takich ataków, jak opisany w tym artykule, mBank nie odnotowuje jeszcze zbyt wiele i nie stanowią istotnego (czyt. kosztownego dla banku) problemu.

Dostępność bankowych usług a ich bezpieczeństwo to swoją drogą ciężki orzech do zgryzienia. Chyba najboleśniej w Polsce przekonał się o tym BZ WBK, który kiedyś wpadł nie niezbyt rozsądny pomysł wyłączenia dwuskładnikowego uwierzytelnienia swoim klientom dla pewnych transakcji i bardzo szybko bardzo mocno tego pożałował, por. Fatalna decyzja banku BZ WBK ułatwiła kradzież setek tysięcy złotych z kont klientów.

Mam konto w (m)Banku — co robić, jak żyć?

1. Przede wszystkim, stosuj unikatowe hasła, czyli inne do każdego konta i włącz dwuskładnikowe uwierzytelnienie na swojej skrzynce e-mail. To od nieautoryzowanego dostępu do skrzynki e-mail zaczął się opisywany w artykule atak. Dwuskładnikowe uwierzytelnienie najlepiej skonfigurować w oparciu o token U2F np. Yubico. Jak to zrobić i dlaczego właśnie w tak opisaliśmy w artykule Każdy użytkownik GMaila powinien to przeczytać. Niezależnie od tego jaki ktoś ma stosunek do firmy Google, naszym zdaniem to GMail daje przeciętnemu internaucie największe bezpieczeństwo, o ile zostanie poprawnie skonfigurowany.

2. Dobrze byłoby też zablokować możliwość przekierowania swojego numeru telefonu na inny po stronie operatora, ale niestety nie są na znane takie blokady w przypadku sieci T-Mobile. Prawdą też jest, że ktoś może Wam złośliwe przekierowanie ustawić na wiele sposobów i czasem prosta technika na pracowniku operatora wystarczy. To jest poważny problem, ale niestety nie będziecie w stanie nic na to zaradzić. Dlatego lepiej po prostu kupić dodatkową kartę SIM (nowy numer) i ten numer, niepodawany nikomu i nigdzie niewykorzystywany skonfigurować jako numer do SMS-ów z kodami po stronie banku. Tak, jest to upierdliwość, bo trzeba będzie nosić ze sobą dodatkową kartę SIM. No cóż, bezpieczeństwo wymaga poświęceń.

Z naszego krótkiego researchu wynika, że najlepsza będzie karta prepaid w Plusie/Plush lub Orange. Dla kart pre-paid Plus i Orange w ogóle nie oferują możliwości włączenia przekierowania połączeń. Czy to przez infolinie, czy krótkim kodem. Dla numerów abonamentowych w Plusie, przekierowanie jest możliwe, ale tylko krótkim kodem wprowadzanym z telefonu, nie przez infolinię.

3. Zmień limit w banku dla aplikacji mobilnych. Ustaw go na zero, jeśli nie korzystasz z aplikacji mobilnej. W mBanku robi się to w Ustawienia –> Bezpieczeństwo –> Limity:

Zauważ, że wcale nie potrzebujesz aplikacji mobilnej mBanku. Operacje na swoim koncie możesz robić po prostu za pomocą przeglądarki internetowej na telefonie. Więc spokojnie możesz “wyzerować” te limity. Pamiętaj, że instalowanie jakiejkolwiek dodatkowej aplikacji, która nie jest nam niezbędna (a aplikacja mBanku do takiej kategorii należy) zwiększa ryzyko innych ataków. A bo sciągniemy nie tą co potrzeba, a bo na Androidzie ktoś nas zainfekuje i wykradnie dane z tej aplikacji, a bo producent aplikacji będzie miał dostęp do naszych danych na telefonie, takich jak książka kontaktowa czy lokalizacja, co może mieć negatywny wpływ na naszą prywatność. Oczywiście możesz też uznać, że aplikacja jest dla Ciebie na tyle wygodna, że ewentualna strata 5000 PLN i opisane wyżej “ryzyka” są do zaakceptowania — ważne żebyś wiedział, czym grozi brak wyzerowania limitów, jeśli masz numer telefonu w T-Mobile, a ktoś zna nazwisko panieńskie Twojej mamy i Twój PESEL.

Na sam koniec warto wspomnieć o jeszcze 3 trikach, które warto zastosować, a które nie tylko minimalizują ryzyko kradzieży środków, ale także pozwalają szybko wykryć ewentualny nieautoryzowany dostęp do naszego rachunku:

Ustaw limity autoryzacyjne także dla innych typów transakcji. Przede wszystkim dla kart płatniczych (robi się to w innym miejscu niż limity dla konta). O tym dlaczego, mówiliśmy w drugim odcinku naszego podcastu Na Podsłuchu. Ustaw powiadomienia e-mail i SMS o przelewach wychodzących w ustawieniach konta. Dowiesz się, jeśli jakieś środki opuszczą Twój rachunek, a po dodatkowej konfiguracji, dostaniesz też informację, że ktoś zalogował się do twojego konta w serwisie internetowym banku lub uwierzytelnił się jako ty na mLinii. Jeśli to nie byłeś ty — powiadom jak najszybciej bank. Włącz szyfrowanie wyciągów. Dzięki temu, ktoś kto włamie Ci się na pocztę, nie będzie w stanie poznać wysokości twojego salda, szczegółów rachunku, historii ostatnich operacji i innych danych, które mogą być przydatne w atakach socjotechnicznych m.in. na infolinię banku.

Jeśli niestety czytasz ten artykuł jako ofiara, którą ktoś okradł, to pamiętaj aby zastrzec swój dowód osobisty, jeśli miałeś jego obraz lub dane, które się na nim znajdują na e-mailu (imię, nazwisko, pesel, numer i serię). Przestępcy często wyrabiają tzw. “dowód kolekcjonerski” na pozyskane w ten sposób dane i za pomocą takiego dowodu wnioskują o pożyczki w różnych firmach i bankach. Pożyczek nie spłacają a dług dotyczy …twojego PESEL-u. Dowód możesz zastrzec w każdym banku lub na policji.





W pierwszej wersji tego artykułu znajdował się akapit sugerujący, że jedną z metod ochrony jest instalacja aplikacji mBanku zanim zrobi to przestępca. To miało blokować możliwość instalacji kolejnych kopii aplikacji. Niestety, sprawdziliśmy i konsultant na mLinii z którym rozmawialiśmy wprowadził nas w błąd. Zainstalowanie aplikacji nie blokuje możliwości spięcia kolejnej jej kopii na innym urządzeniu z tym samym kontem bankowym. Ktoś, kto ma PESEL, panieńskie matki i przekierowany numer ofiary, jest w stanie dopiąć do jej konta kolejną aplikację mobilną mBanku. Błędny akapit usunęliśmy i zamiast niego wstawiliśmy poradę dotyczącą zmniejszenia limitów transakcji aplikacji mobilnej na zero.





Piotr Rytkowski, zastępca rzecznika prasowego mBanku, przesłał nam właśnie następujące oświadczenie dotyczące tego incydentu:

Przypadek opisany przez portal niebezpiecznik.pl wynika z niewystarczających zabezpieczeń procesu przekierowywania rozmów po stronie operatora komórkowego. Zlecenie przekierowania rozmów jest w naszej ocenie krytyczną operacją i powinno wymagać tzw. silnego uwierzytelnienia, opartego na elementach będących w posiadaniu wyłącznie uprawnionego właściciela telefonu. Bazowanie wyłącznie na podstawowych danych osobowych klienta, łatwych do pozyskania przez przestępców, jest niewystarczające. Jesteśmy w kontakcie z T-Mobile i wspólnie pracujemy nad bezpiecznym rozwiązaniem. Monitorujemy również podejrzane transakcje, które mogą być dokonywane przez przestępców i podejmujemy stosowne działania. Proces parowania aplikacji mobilnej za pomocą połączenia głosowego i użyte w nim metody zabezpieczające przed atakami podlegały skrupulatnej ocenie ryzyka. Bank świadomie wybrał proces oparty na połączeniu telefonicznym, ze względu na znacznie większe ryzyko nieuprawnionego przechwycenia wiadomości SMS.

Jeśli zastanawiacie się, dlaczego wg mBanku łatwiej przejąć SMS, skoro operatorzy nie pozwalają na jego przekierowanie, to podpowiemy, że nie tylko na warstwie operatora można w sposób nieautoryzowany wejść w posiadanie treści z czyichś SMS-ów.





Na jaw wychodzą kolejne informacje w tej sprawie. Okazuje się, że złodziej podczas realizacji tego ataku przekierował nie jeden, a jak twierdzi, dwa numery telefonów. Pierwszy numer telefonu, który jak początkowo podejrzewał przestępca, należał do ofiary, okazał się być numerem nieskojarzonym z kontem w mBanku (my wiemy dlaczego, ale nie mamy upoważnienia, aby ten temat rozwinąć, nie jest to jednak istotne dla zrozumienia ataku ). Ten pierwszy z poznanych przez przestępcę numerów był numerem w sieci Play, a więc również i ta sieć — nie tylko T-Mobile, pozwala na łatwe (przez infolinię) przekierowanie numeru. Ponieważ jednak to nie był poprawny numer telefonu dla rachunku ofiary, aplikacji złodziejowi nie udało się aktywować.

Dopiero później przestępca zdobył faktyczny numer telefonu ofiary (ten w T-Mobile) powiązany z kontem w mBanku i go przekierował. Dalej historię już znacie.

To oznacza, że ofiara zanim jeszcze otrzymała powiadomienia z T-Mobile o przekierowaniu swojego numeru, wcześniej otrzymała połączenie z mBanku (służące do aktywacji aplikacji mobilnej). Nie wiemy, czy je odebrała i zignorowała, bo go nie zrozumiała (ktoś kto nie zna procesu aktywacji aplikacji mobilnej może to uznać za żart, w komunikacie głosowym nie ma informacji, że jeśli to nie my instalujemy aplikację to powinniśmy to jak najszybciej zgłosić do banku), czy połączenie to pozostało nieodebrane, bo ofiara była zajęta czymś innym — wtedy ciężko mieć do niej jakiekolwiek pretensje, bo dlaczego niby nieodebrane połączenie z numeru z Łodzi miałoby komukolwiek sugerować, że jakiś złodziej próbował autoryzować aplikację mobilną mBanku?

Jak informuje nas jeden z czytelników, poza T-Mobile, Playem przekierowanie rozmów przez infolinię po znajomości zaledwie nazwiska i PESEL-u i adresu e-mail użytkownika oferuje też Mobile Viking:

Zapoznaj się też z naszym darmowym poradnikiem dotyczącym tego jak bezpiecznie korzystać z bankowości internetowej pt. 6 rad jak bezpiecznie robić przelewy internetowe. Pokaż go swoim rodzicom i księgowym w firmie.

Zapraszamy też na nasz 3 godzinny wykład pt. “Jak nie dać się zhackować“, który odbędzie się w Poznaniu (31 stycznia). W trakcie prelekcji, na żywo pokażemy ataki na jakie obecnie narażeni są Polacy korzystający z internetu na komputerze i smartfonie, a następnie powiemy Wam jak się przed nimi najskuteczniej bronić. Cały wykład jest prowadzony przystępnym językiem, więc bez obaw możecie zabrać na niego swoich nietechnicznych znajomych, rodziców czy dziadków. Spieszcie się, bo zostały ostatnie wolne miejsca — agendę i rejestrację znajdziecie tutaj.

Przeczytaj także: