Jak złodzieje od pół roku okradają klientów polskich banków na kwoty powyżej stu tysięcy złotychOd co najmniej pół roku na terenie Polski grasuje sobie szajka sprytnych złodziejów. Zbierają informacje na temat ofiary i okradają jej internetowe konta w

E-mail
Komentarz *
Plik	Select/drop/paste files here
Hasło	(Randomized for file and post deletion; you may also set your own.)
* = pole wymagane	[▶ Pokaż opcje posta oraz limity] Confused? See the FAQ.

Osadź	(zamiast plików)
Oekaki	Pokaż aplet oekaki (zamiast plików)
Opcje	Nie podbijaj (możesz również wpisać sage w polu email) Schowaj obrazki (zamienia miniaturki obrazków na znaki zapytania)
Zezwolone typy plików:jpg, jpeg, gif, png, webm, mp4, swf, pdf Maksymalny rozmiar pliku to 16 MB. Maksymalne wymiary obrazka to 15000 x 15000. Możesz wysłać 5 obrazków na post.

File: 4caf781d23d8d67⋯.jpeg (70,42 KB, 750x750, 1:1, BC0F8C9C-8E8B-4C3B-A001-1….jpeg)

File: a52d4e866468f15⋯.jpeg (52,98 KB, 496x650, 248:325, 7B0D93AC-E32E-4824-B61D-6….jpeg)

File: (0 B)

Anonymous 07/24/18 (wt.) 21:00:45 No.9840

Jak złodzieje od pół roku okradają klientów polskich banków na kwoty powyżej stu tysięcy złotych

Od co najmniej pół roku na terenie Polski grasuje sobie szajka sprytnych złodziejów. Zbierają informacje na temat ofiary i okradają jej internetowe konta w banku. Robią to w bardzo ciekawy sposób — podszywając się pod ofiarę w salonie operatora GSM i wyrabiając duplikat karty SIM. To daje im dostęp do numeru telefonu ofiary …i kodów służących do potwierdzania przelewów, jakie na ten numer SMS-em wysyła bank. Zobaczcie jak na przestrzeni ostatnich miesięcy okradziono w ten sposób na kilkaset tysięcy złotych Grzegorza i Wandę. Oraz kilka innych osób.

Kradzież z mBanku dzięki duplikatowi karty SIM od Orange

13 lipca zgłosił się do nas klient mBanku, którego na potrzeby tego artykułu będziemy nazywali Grzegorzem. Z firmowego konta Grzegorza tzw. “przelewem ekspresowym” wyprowadzono bardzo duże sumy pieniędzy (praktycznie wyczyszczono rachunek do zera). W tym przypadku ciekawe było tempo wydarzeń. Grzegorz z żoną zauważyli awarię karty SIM w telefonie, a już 40 minut później skontaktował się z nimi bank pytając o podejrzane transakcje.

Mimo tak błyskawicznej reakcji pracowników mBanku (brawo!) pieniądze zniknęły, a bank obiecał Grzegorzowi odpowiedź na reklamację w ciągu 30 dni (albo nawet 60 dni, jeśli sprawa okaże się skomplikowana). Oddajmy głos Grzegorzowi:

W dniu wczorajszym zostałem okradziony na bardzo duże sumy pieniędzy. Kilka nieautoryzowanych przelewów. Sprawa oczywiście w ciągu kilku chwil wykryta przez mBank (otrzymałem telefon z mBanku – chyba bo pewności już nie mam, mam podejrzenia) i pytaniem o awarię telefonu i czy dokonywałem dużych przelewów.

Na informację że owszem awaria karty sim małżonki miała miejsca jakieś 40 minut temu i że ja przelewów ani żona nie dokonywaliśmy, otrzymałem info o fakcie prawdopodobnie włamania na nasze konto i zalecenie bym zgłosił to również pilnie na Policję.

Po sprawdzeniu konta stwierdziłem że z konta dwoma przelewami expressowymi wypłynęły całe nasz pieniądze. Naprawdę duże. Kilkaset tysięcy. W przeciągu pół godziny później byłem już na Policji i będąc nawet jeszcze na Policji w trakcie składania zawiadomienia zgłosiłem równolegle oficjalnym kanałem na infolinii mBanku reklamację.

Wczoraj po południu małżonka pobrała w salonie duplikat karty SIM gdyż telefon nadal nie działał. Skojarzyłem fakt pytania pracownika mBanku o awarię telefonu i sprawdziłem kiedy wcześniej był wykonywany duplikat. Okazało się że był wykonywany w dniu wczorajszym pół godziny przed przelaniem pieniędzy. Niestety pracownik Orange nie chciał (chyba nie mógł) udzielić mi informacji gdzie, w jakim salonie (czy w ogóle w salonie) i na jakiej podstawie wystawiono duplikat. Poinformował mnie że musi się z tym zwrócić prokuratura.

Co za ironia losu, złodzieje zadziwiająco łatwo coś wyłudzają podszywając się pod klienta, a następnie prawdziwemu klientowi odmawia się informacji o czynnościach dokonanych w jego imieniu. Spytaliśmy Orange, czy informacja o pobraniu karty SIM powinna być udzielona, a jeśli nie, to dlaczego? Rzecznik Orange Wojciech Jabczyński uważa, że to mógł być błąd pracownika.

Nie mamy żadnych wewnętrznych wytycznych odnośnie udzielania lub nie klientowi informacji na temat wydania karty SIM. Jeśli klient zostanie zweryfikowany zgodnie z naszym standardem, to powinien dostać taką informację. Nie znając szczegółów tego konkretnego przypadku nie potrafię odpowiedzieć czy błąd popełnił nasz doradca czy np. klient nie udzielił wystarczających informacji do poprawnej weryfikacji.

Wróćmy do sedna — włamania na konto w mBanku i kradzieży pieniędzy. Z naszych ustaleń wynika, że:

Anonymous 07/24/18 (wt.) 21:05:37 No.9843

1. Złodziej jakoś pozyskał login i hasło ofiary do banku. Nie wiadomo jak: czy było to złośliwe oprogramowanie na komputerze ofiary, czy phishing.

Zauważmy, że w przypadku prawdziwych bankowych trojanów, po infekcji komputera ofiary, przestępca nie musi mieć dostępu do jego telefonu. W większości przypadków wystarczy atak “Man in the Browser“, czyli poczekanie aż ofiara będzie zlecała jakąś płatność i podmiana w tle kwoty i/lub rachunku docelowego. Wiąże się to z ryzykiem wpadki — mBank informuje w SMS o kwocie i rachunku docelowym transakcji. Być może przestępcy widząc spore sumy na koncie ofiary nie chcieli ryzykować wpadki i “spalenia” tak bogatego klienta?

Z kolei w przypadku phishingu, jeśli ofiara była na tyle naiwna, że podała login i hasło, to zazwyczaj na fałszywej stronie prosi się o przepisanie kodu z SMS i ofiary to robią (por. ataki z lewym Dotpay’em). Taki atak wymaga w większości przypadków wymaga jednak ręcznej obsługi i być może przestępcy po wykradzeniu hasła prostu nie zdążyli zlecić transakcji i odebrać kodu z SMS.

Wreszcie, dane logowania można pozyskać po infekcji komputera zwykłym keyloggerem (nawet sprzętowym). A taki łatwo wgrać na firmowym komputerze. Być może (bo konto było firmowe) Grzegorz zalogował się na “cudzym” komputerze w firmie, albo nawet na takim do którego dostęp mieli klienci… To zresztą wcale nie musiał być komputer w firmie. Lobby hotelowe świetnie nadaje się na takie keyloggerowe instalacje…

2. Wyłudzenie duplikatu karty SIM nastąpiło w Płocku, w fizycznym salonie (co Grzegorz ustalił własnymi znajomościami), a złodziej posłużył się podrobionym dowodem osobistym (tzw. dowody kolekcjonerskie można zamówić przez internet za ok. 300PLN). Czytelnik poznał nawet nazwisko konsultanta, ale rozumie, że wydał on kartę temu, kto pokazał dowód. Być może nagrania z kamer monitoringu ujawnią przestępce, albo osobę którą się posłużył do wyrobienia duplikatu.

Zauważymy, że jeśli przestępcy mieli czas na podrobienie lub zamówienie dowodu, to znaczy, że login i hasło znali od dłuższego czasu.

3. Pieniądze z konta Grzegorza zostały najpierw przesłane na konto w BOŚ, a stamtąd miały trafić na giełdę kryptowalut BitBay. Przelew został jednak w porę zatrzymany.

Podsumowując, tylko szybka reakcja mBanku uchroniła Grzegorza przed stratą gotówki. I choć pieniądze opuściły bank, a mBank wspominał o 60 dniach rozpatrywania reklamacji, to finalnie środki udało się zablokować w BOŚ-u i jak wynika z naszej dzisiejszej rozmowy z Grzegorzem, zostały mu już zwrócone. W mniej niż 10 dni. To oznacza, że współpraca na linii mBank–BOŚ–BitBay była bardzo sprawna.

Nie wiemy co spowodowało, że pracownik mBanku postanowił zadzwonić do Grzegorza. Czy czynnikiem decydującym o oflagowaniu transakcji był transfer dużej kwoty szybkim przelewem, transfer na nieznane konto, czy może wykonanie tych operacji z nowego adresu IP. Ważne, że się udało. Jeszcze raz brawa!

Pytanie jak poszło w pozostałych przypadkach… bo 12 lipca w ten sam sposób okradzionych zostało więcej osób. A wiemy to od tajemniczego informatora, który tego samego dnia, którego zgłosił się do nas Grzegorz napisał:

W Żywcu w dniu wczorajszym 7 osób zostało okradzione z pieniędzy. Zgłosił się do mnie klient któremu skradziono kilka set tysięcy z konta firmowego w mbanku. Wektor ataku jest ciekawy: u operatora sieci komórkowej wyrabiają duplikat karty SIM. Klientowi wyłącza się telefon – aktywuje się z duplikowana karta SIM. Po kilkudziesięciu minutach przychodzi informacja że komputer który połączył się z bankiem jest zainfekowany. Zaraz potem znikają pieniądze z konta.

Przelewy są robione na konto w Banku Ochrony Środowiska a następnie kupowane są bitcoiny. Sprawa została przejęta przez Policję Gospdarczą. Dzień później dostałem komputer do przeskanowania “bo są w nim wirusy”. Po przeskanowaniu znalazło 9 wirusów: 4 pliki z KMS od cracowania office reszta opisana jako “być może niepożądana aplikacja”. Skanowanie programem NOD32. Wątpię że komputer brał udział w pozyskaniu danych potrzebnych do ataku.

Kradzież z BZWBK, bo T-Mobile wydał duplikat karty SIM

Ale Grzegorz i pozostałych kilka osób z Żywca to nie pierwsze ofiary kradzieży z wykorzystaniem duplikatu karty SIM. Jeszcze w styczniu zgłosiła się do nas Czytelniczka (dalej zwana Wandą), której wyczyszczono konto w BZWBK bo T-Mobile wydał złodziejom duplikat jej karty SIM. Co ciekawe, tu oszust wyłudził duplikat w salonie “fizycznym” nie na podstawie podrobionego dowodu, a na podstawie upoważnienia notarialnego (oczywiście podrobionego). Żeby było śmieszniej, wskazany na upoważnieniu notariusz nawet nie istniał, a poza tym numer dowodu Czytelniczki nie zgadzał się z tym podanym na upoważnieniu.

Złodziej korzystając z duplikatu karty SIM uzyskał “kody startowe” i login do konta w BZ WBK. Złodziej najprawdopodobniej udawał na infolinii banku, że zapomniał danych logowania i poprosił o ich ponowne przesłanie/przypomnienie.

Anonymous 07/24/18 (wt.) 21:06:45 No.9844

Po kradzieży środków z konta w BZWBK przestępca próbował też dobrać się do konta Wandy w PKO BP, ale bezskutecznie. Dzięki swoim znajomościom, nasza Czytelniczka ustaliła w którym salonie pobrano kartę SIM. Podobno nie był to jedyny przypadek w tym konkretnym salonie (miejscowość Błonie k. Warszawy). Ale to nie koniec szokujących informacji w sprawie tego incydentu. Usiądźcie wygodnie.

Córka czytelniczki zrobiła to samo co złodzieje…

W czasie, gdy doszło do opisywanej przez nas powyżej kradzieży, Wanda była za granicą. Swój telefon zostawiła córce. Nieświadoma kradzieży córka, pewnego dnia zauważyła, że karta SIM w telefonie przestała działać. Zadzwoniła więc do biura obsługi klienta T-Mobile, podała się za matkę i wyprosiła przesłanie nowej kart SIM drogą kurierską na adres swojej firmy (niezwiązanej z matką). Kurier, który przybył z duplikatem karty nie sprawdził dokumentów córki i wydał jej przesyłkę z kartą SIM. Na pytanie czy dowód osobisty będzie potrzebny do odbioru przesyłki kurier ze zdziwieniem odparł, że: “absolutnie, nie ma takiej potrzeby, ponieważ nadawca przesyłki tego nie wymaga“.

To jest niesamowite! Córka ofiary wyłudzenia karty SIM sama wyłudziła kartę SIM aby pomóc matce.

Ale to jeszcze nie koniec!

Wanda odkrywa jak prosto można było ją okraść

Gdy Wanda wróciła do kraju, nie mogła się dostać na swoje konto (oszust zmienił hasła). Czytelniczka uzyskała więc kody startowe dzwoniąc na infolinię BZ WBK. Wtedy odkryła, jak została okradziona. Otóż procedura wymagała udzielenia odpowiedzi na 3 pytania dotyczące danych osobowych.

1. trzy pierwsze cyfry PESEL,

2. sposób autoryzacji przelewów – sms czy token?,

3. adres do korespondencji.

Skąd złodziej miał te informacje? Otóż dane ofiary, to PESEL i adres znajdowały się w pewnym rejestrze publicznym, więc oszust po prostu je odczytał. Tak jak mógłby to zrobić każdy z Was. Jeśli chodzi o sposób autoryzacji przelewów, to jest dość oczywiste, że większość ludzi używa autoryzacji SMS.

Mimo tych niedociągnięć Bank BZ WBK nie chciał uznać reklamacji. Zaproponował ugodę dopiero gdy nasza Czytelniczka wystąpiła do sądu (w chwili pisania tego tekstu ugoda nie została jeszcze zawarta).

Oczywiście pytaliśmy o tę sprawę zarówno T-Mobile jak i BZ WBK. Chcieliśmy zwłaszcza potwierdzić, czy np. odnotowano kilka przypadków wyłudzeń kart SIM w tym jednym salonie, albo czy uzyskanie kodów startowych przez infolinię BZ WBK jest faktycznie tak proste. Obu firmom daliśmy sporo czasu na odpowiedź, ale przez pół roku odpowiedzi nie dostaliśmy — oczywiście, jeśli nagle, po publikacji tego artykułu, sprawa nabierze dla banku i operatora odpowiedniego priorytetu, to z chęcią opublikujemy w aktualizacji zaległe odpowiedzi. Tak czy inaczej — śledzimy dalsze losy sprawy Wandy i będziemy Was o nich informować.

Anonymous 07/24/18 (wt.) 21:07:46 No.9845

Metoda “na duplikat SIM” działa też za granicą

Wyrabianie duplikatu karty SIM i stosowanie go do kradzieży pieniędzy jest popularne także za granicą. Już w roku 2013 były takie ataki wskazywano jako coraz bardziej popularne, a zaledwie tydzień temu o problemie “SIM swap fraud” pisał Motherboard. Co ciekawe, za granicą przestępcy przejmują nie tylko rachunki bankowe ale również konta użytkowników Instagrama (które sprzedają za Bitcoiny).

Bo — choć do tej pory o tym nie wspomnieliśmy — to powinniście wiedzieć, że przejęcie cudzego numeru przez klon karty SIM może oznaczać nie tylko wyczyszczenie konta w banku ale również przejęcie kont w serwisach społecznościowych (generalnie wszędzie tam, gdzie SMS pełni rolę elementu autoryzacji lub uwierzytelnienia).

Nawet jak nie masz nic w banku, możesz być ofiarą

To że nie masz pieniędzy na rachunku w banku, wcale nie oznacza, że możesz spać spokojnie. Numer telefonu zapewne zostawiłeś GMailowi, Facebookowi a może nawet Signalowi, czy innemu komunikatorowi do “poufnych konwersacji”. A to znaczy, że jeśli ktoś wyrobi klona Twojej karty SIM, to może dostać się do Twoich kont i danych. Co tam znajdzie i czy będzie to dla Ciebie kompromitujące?

Zdecydowanie najgroźniejsze będzie użycie duplikatu karty SIM do przejęcia konta Google — przestępca po prostu przejdzie procedurę “przypomnienia hasła” z wariantem resetu przez kod SMS. A potem przejmie każde inne konto, które zarejestrowaliście z wykorzystaniem tego adresu e-mail…

Z tego powodu Instagram i inne serwisy decydują się na wprowadzenie nowej formy autoryzacji, która bazuje na aplikacji w telefonie a nie na karcie SIM. Musicie tylko pamiętać, że jeśli wybierzecie uwierzytelnienie przez Google Authenticator albo inną aplikację do jednorazowych kodów i 2FA, to powinniście, jeśli to możliwe, USUNĄĆ numer telefonu ze swojego konta. Właśnie po to, aby nikt nie wykorzystał go awaryjnie do resetu “zapomnianego” hasła. Można to zrobić nawet jeśli macie skonfigurowane dwuskładnikowe uwierzytelnienie!

W przypadku Google warto też włączyć Advanced Protection, czyli zestaw zabezpieczeń, które sprawią, że trudniej będzie komuś włamać się na Wasze konto Google lub zresetować do niego hasło (reset przez SMS nie będzie możliwy — ale coś za coś, musicie kupić co najmniej 2 klucze U2F).

Anonymous 07/24/18 (wt.) 21:08:21 No.9846

We wszystkich polskich i zagranicznych przypadkach kradzieży pieniędzy bądź kont z wykorzystaniem duplikatu karty SIM pojawia się pewien wspólny element — czynnik ludzki. Telekomy to ogromne instytucje, zatrudniające masę różnych ludzi, zlecające czynności różnym podwykonawcom, dysponujące wieloma różnymi rozwiązaniami do jednej czynności, zorientowane na obsługę szybką i wygodną. Jednocześnie telekomy są kimś w rodzaju dostawcy usług tożsamości a ich produkt (karta SIM), znów ze względu na wygodę dostawców usług internetowych, czy bankowości online, strzeże dostęp do wielu naszych tajemnic i pieniędzy. W takiej sytuacji tylko szczelne procedury mogą uchronić przed problemami. A w firmie, która ma kilkaset oddziałów w Polsce i kilka tysięcy pracowników, zawsze uda się znaleźć taką osobę, która wbrew procedurom, wykaże się nadmierną empatią, chęcią pomocy, albo po prostu będzie posiadała braki w znajomości procedur i czegoś nie sprawdzi tak dokładnie jak powinna. Trzeba tylko spróbować do skutku jak w przypadku tego klienta T-Mobile.

Coś o tym wiemy, bo po styczniowych doniesieniach od Wandy rozpoczęliśmy w redakcji mały test. Na przestrzeni ostatnich miesięcy odwiedziliśmy kilka oddziałów różnych operatorów i na wiele różnych sposobów staraliśmy się w sposób zupełnie nieautoryzowany wyrobić duplikaty kart SIM kilku wybranych ofiar (bez obaw, ofiary się zgodziły). No i parę razy nam się udało. Ale to temat na osobny artykuł. Niniejszym zapowiadamy jego publikację w jeszcze w tym tygodniu. Stay tuned!

Anonymous 07/24/18 (wt.) 21:11:35 No.9847

To tylko świadczy o tym, że trzeba brać przykład z Bohra i jego kolegów i ich przechowywania złotych medali noblowskich w słoikach z wodą królewską w trakcie niemieckiej okupacji.

Anonymous 07/24/18 (wt.) 21:22:11 No.9848

na chuj to tu wstawiłeś, ale chociaż szara myszka jest

Anonymous 07/24/18 (wt.) 21:25:48 No.9850

>>9848

bo to jest forum dla niegrzecznych nastolatków o robieniu wyjebek

Anonymous 07/24/18 (wt.) 21:33:58 No.9853

>łączenie telefonu i kont społecznościowych

>posiadanie smartfona w ogóle

>podawanie jakichkolwiek prawdziwych danych gdziekolwiek

hehe śmietnik xD

Anonymous 07/24/18 (wt.) 21:40:36 No.9855

>>9853