@niebezpiecznik-pl: wydaje mi się ze zlecenie przelewu telefonicznie też jest całkiem niezłym pomysłem.

na cudzych kompach zawsze używajcie klawiatury ekranowej przy logowaniu i podstawa sprawdzać nr rachunku w SMS szczególnie przy tak dużych kwotach jak 40 tys. Ciekaw jestem czy bank zwróci kasę.

@niebezpiecznik-pl: widziano działalność takiego wirusa na linuxach?

@tomh:
Nie zwróci.
Prawdopodobnie zaatakowana przeglądarka po stronie klienta. Klient olał treść SMSa z potwierdzeniem który wskazywał na przelew pod inny numer konta niż ten który widział na ekranie swojego komputera.

@i_wtedy_sloik_pekl: Tyle minusów, dupa piecze ( ͡° ʖ̯ ͡°)
Doskonale zdaję sobie z tego sprawę. Ale historia jest generowana z danych dostarczonych przez serwer.
Do tego chciałbym zauważyć że jakoś nie dawno była aktualizacja serwisu mbank.

Dlatego nie sondze żeby to był wirus.

@dzafel: a co jeśli ktoś ma tylko kartę kodów ? :C

@rossecki: Tak, dane są dostarczane przez serwer, jednak wirus w dalszym ciągu podmienia kod HTML w przeglądarce.

@Glacial: Tak ja wspomniał @niebezpiecznik-pl - jakieś zewnętrzne urządzenie, ewentualnie jeśli nie posiadasz takowego to wg mnie sensowną alternatywą jest wirtualna maszyna(Virtualbox, VMware) z jakimś windowsem lub user-friendly linuksem(Ubuntu). Uruchamiasz ją tylko gdy potrzebujesz zalogować się na stronę banku.
Gorzej z addonami/pluginami do przeglądarek bo te nie są uzależnione od systemu operacyjnego. Po prostu musisz być uważny gdzie klikasz i co instalujesz :)

widziano działalność takiego wirusa na linuxach?

@SosnoWicher:

Raczej nie - zbyt niszowy system. Atakuje się to co popularne czyli na desktopach Windows, a na komórkach głównie Androida.

@niebezpiecznik-pl: no tak bo dedykowany iPad do przelewów to nie jest przecież overkill bo one są przecież w cenie bułek, więc komu by się chciało tracić 2 minuty na reboot, żeby wykonać przelew. ;)

@rossecki: Chyba za bardzo się zafiksowałeś na ten wirus. Przecież jeśli złośliwy kod podmienia numer konta podczas robienia przelewu, to może robić to też podczas generowania historii - po prostu zakładamy, że jest w stanie robić wszystko w ramach przeglądarki. Wystarczy, że wirus parsuje kod strony i każde wystąpienie pierwszego numeru konta zastępuje drugim (aczkolwiek nie wierzę, by w tym przypadku było to tak prymitywnie zrobione).

@marw007: tak jak mowi @niebezpiecznik-pl: co do kwoty to sa wirusy ktore w schowku windowsa podnmieniaja numery (wiec kwote tez pewnie da rade)

@niebezpiecznik-pl: no dokładnie. W AIB (Irlandia) po wprowadzeniu numeru "obcego" konta muszę:
- wsadzić kartę debetową w generator tokenków,
- zalogować się PINem karty,
- wprowadzić osiem ostatnich cyfr rachunku na który chcę wysłać,
- kwotę,
- wygenerowany token wprowadzić dla potwierdzenia przelewu.
Niby upierdliwe, ale zabezpiecza i to pewnie dość skutecznie przed opisaną sytuacją.

@dzafel: Nigdy nie zwróciłem nawet uwagi, że w powiadomieniu SMS jest numer konta! Dzięki za info!

@niebezpiecznik-pl: a wirtualka? Jak uważacie? Jakieś Dragonfly BSD tylko do bankowości. Po takich newsach coraz przychylniejszym okiem patrzę też na Qube OS...

@marw007:
W tym przypadku facet nie byl kierowany przez strone (aplikacje) do mbanku. Wykonywal z palca przelew (zaplata za fakture). I w tym momencie program podmienil nr konta. Normalnie w sms masz kwote do zaplaty. On chcial wykonac przelew na 40 tys i dostal sms z kwota 40 tys ale nr konta byl inny.

@niebezpiecznik-pl:
Czy taki wirus przejmie tez kontrole nad komputerem na kttórym pracuje na koncie gosc ? Tzn czy na koncie gosc jest mozliwosc zainstalowania sie wirusa ? Lub czy idzie ograniczyc uprawnienia do tego stopnia, aby taka czynnosc byla niemozliwa ? Wiekszosc ludzi pracuje na kompie na zasadzie pracy na wybranych (zainstalowanych wczesniej) aplikacjach. Jesli sie da, czy ktos moze nagrac poradnik ?

@dzafel: ja do przelewów używam komputera offline i linuxa( ͡° ͜ʖ ͡°)

@i_wtedy_sloik_pekl: wogole nie mozna do PDFa nic zmienic bo jest podpisany przez mBank co jest jednym z najlepszych ficzerów mBanku

@Glacial: @niebezpiecznik-pl: Przy potwierdzeniu sms mbank wysyła smsem nr rachunku na który ma być wysłany przelew. Jeśli jeden z drugim się nie zgadza(czyli na komputerze i na sms nr są różne) to od razu widać że coś nie gra.

na cudzych kompach zawsze używajcie klawiatury ekranowe
@tomh: Na cudzych kompach nie korzysta się z bankowości internetowej.

@Glacial: W smsie przynajmniej widzisz na jaki rachunek idzie przlew, w kartach z kodami jednorazowymi nawet takiego zabezpieczenia nie ma

@maraduk12: Do mnei PEKAO zawsze dzwoni przy wiekszych kwotach - i pani czyta cyferki i odbiorce

Kurde, prawie jak w AMA, no to po kolei

@marw007: Tak

@maraduk12: Zlecenie przelewu przez telefon to też overkill IMHO, a często i dodatkowa, większa opłata.

@tomh: Klawiatura ekranowa to półśrodek (zadziała na część wektorów ataku, tylko tych których celem jest podsłuchiwanie klawiatury. Są bowiem trojany, które robią screenshoty wokół kursora. W ten sposób poznają hasło). Niezależnie od sposobu logowania/wprowadzania danych, dane przelewu mogą zostać podmienione.

@SosnoWicher: Nie znamy takiego przypadku, póki co.

@FihuFil: Może być Andek, ale Andek ma gorszą procedurę aktualizacji i dlatego iOS jest polecany jako rozwiązanie "daj userowi, miej spokój". Wszystko oczywiście to kwestia tego ile pieniędzy, czasu i wygody chcesz poświecić na stworzenie "zabezpieczenia idealnego".

@RandomizeUsr0: wirtualka uruchomiona na zainfekowanym systemie jest niezaufaną wirtualką. Nie sądzimy, aby twórcom malware'u chciało się pokrywać tak niszowe przypadki, ale pamiętaj że wymiana danych w schowku jest możliwa pomiędzy gościem a hostem ;)

@smotek: Tak, może.

@tomh: a co jak ktoś nagrywa pulpit? Co w tedy da klawiatura ekranowa? Nagrywanie pulpitu jest prostsze niż hakowanie komputera

@niebezpiecznik-pl:
Halo halo napisz prosze jak sie na windowsie zabezpieczyc. Czy ograniczenie konta w specjalny sposob pomoze ?
Mleko sie rozlało. Szukam dla siebie i innych sposobu aby uniknac podobnej sytuacji.

@smotek: Problem nie jest w Windowsie (no dobra, trochę jest :P) czy innym systemie operacyjnym ale przede wszystkim w człowieku i jego naiwności i rutynie.

Najpierw naiwność na poziomie infekcji (damy sobie obciąć rękę, albo nawet coś ważniejszego, że wektorem był plik .pdf.scr, .pdf.exe udający wezwanie do zapłaty albo awizo, przesłany w formie spakowanego na hasło archiwum).

Potem rutyna na etapie potwierdzania przelewu. Brak czytania SMS-a z kodem i weryfikacji cyfr rachunku, które tam się znajdują z rachunkiem na który zlecany jest przelew (o ile ten rachunek nie przyszedł "mailem").

Generalnie to jak się zabezpieczyć, niezależnie od systemu operacyjnego, opisaliśmy już dawno tutaj:
http://niebezpiecznik.pl/post/6-rad-jak-bezpiecznie-wykonywac-przelewy/

@niebezpiecznik-pl: a jeszcze pytanie do was, jak wyglada sprawa tych atakow w kwestii opcji w stylu pay4u (allegro itp.). Czyli w stronach ktore z gory automatycznie maja wypelniona pola z kwotami i numerem rachunku. Czy one tez sa narazone na ataki? Oraz co z przelewami dedykowanymi (te ktore tez maja od razu wypeslniony numer rachunku), ale zapisane sa na twoim koncie internetowym w banku.

@niebezpiecznik-pl:
Nie kazdy zna się na komputerach. Ludzie działają rutynowo, lenistwo itp.
Generalnie chodzi mi o to, jak system ustawić aby zabezpieczyć rodzine (wujków, dziadków, rodziców i dzieci) oraz tych co o komputerach wiedzą niewiele. Wasze porady to szereg czynności. Proszę napiszcie jak windows zmodyfikować aby wykluczyć albo zminimalizować do minimum zagrożenie.

@bachus: Bardzo podobne zabezpieczenia są w HSBC or w Barclays. Trochę czasu to zajmuje, ale przynajmniej bezpieczne.

@Glacial: Zależy od API. Może, nie musi. Gdybyśmy to my mieli wykorzystać ten element do ataku, to w trakcie przelewu PayU po przekierowaniu na stronę banku wyświetlilibyśmy komunikat - "Z racji XXX musisz YYY" - czyli przeszli na wiarygodny phishing, aby wyskoczyć z obostrzeń API.

@smotek: Dokładnie tak, jak jest napisane w tym artykule, który już na pewno przeczytałeś, prawda? :)

@dzafel: smsy to podstawa, a co jesli ktos ma tokeny albo karty zdrapki? wtedy nie mozliwosci sprawdzenia

@niebezpiecznik-pl: Czy wystarczyło by żeby bank podczas prośby o akceptacje przelewu nie pokazywał numeru wygenerowanego na stronie tylko np. obrazek wygenerowany na ich serwerze z numerem konta? Jak rozumiem to wysyłają numer konta w smsie, ale jak widać większość osób to ignoruje.

@thris: Wszystko co masz w przeglądarce nie jest godne zaufania, więc czy to będzie obrazek, czy migająca morsem dioda klawiatury -- nie możesz temu ufać.

@bachus: tez tak mam ( ͡° ͜ʖ ͡°)

@FihuFil: Używany Ipad2 za 500 można już zdobyć pewnie przed świętami nawet łatwiej, bo będą wymieniać na nowe :-)

@rossecki: "sondze" - nie sądź innych po sobie :/

@niebezpiecznik-pl: i co ci da sprawdzenie po minucie jeśli wysłałeś na zły adres? poszło to poszło

Banku, ani żadna "nakładka na połączenie szyfrowane", masz na kompie wirusa który po prostu podmienia numery na stronach transakcy

@dzafel: Mbank ma tak sp#%%?@!oną stronę i politykę z nią związaną, że sam rozważam zmianę.
Na tablecie/tel korzystałem nie za apki tylko strony internetowej i ostatnio zastanawiałem się czy przypadkiem nie trafiłem na cos podmienionego bo te głąby zmieniły stronę ze starej na nową, na której wykonanie przelewu pomiędzy kontami to loteria....

Wersja budżetowa, nieodporna na wszystkie "triki" przestępców to ZAWSZE po wykonaniu przelewu NATYCHMIAST sprawdzać potwierdzenie przelewu na INNYM komputerze.

@niebezpiecznik-pl: Ale wiecie ze w mBanku potwierdzenie PDFowe da sie wygenerowac dopiero gdy przelew wyjdzie na sesji Elixir? Wczesniej nie ma w ogole tego przycisku

@rossecki: kompletnie nie rozumiesz tematu

@smotek: Nie da się z ludzi zrobić bezmyślnych zombie. Chociaż niektórzy by chcieli. To jak z higieną (myj ręce), elementarnymi zasadami bezpieczeństwa (nie wchodź na czerwone) etc. Tego trzeba się po prostu nauczyć

@sln7h: Moża jednak zobaczyć podsumowanie transakcji w historii. Zrobienie tego z innego urządzenia (i łącza), np. z tel. ujawni różnicę.

@dzafel: @niebezpiecznik-pl: a tak teoretycznie, np. na innym komputerze (niezawirusowanym) będzie widać w historii podmieniony numer konta (ten widoczny dopiero w pdfie)?

@niebezpiecznik-pl: A, dobra, już rozumiem - nie doczytałem co mieliście na myśli. W sumie ujawniając podmianę zaraz po wysłaniu (jeszcze przed Elixirem), istnieje pewnie opcja wstrzymania przelewu po kontakcie z bankiem - tylko trzeba zdążyć przed sesją Elixir

a tak teoretycznie, np. na innym komputerze (niezawirusowanym) będzie widać w historii podmieniony numer konta (ten widoczny dopiero w pdfie)?

@chud: Tak, bedzie widac podmieniony.

@niebezpiecznik-pl: jak nie tablet, to jakies ubuntu "live-cd" (a raczej live-usb) uzywane jedynie do przelewów

@elizabeth-barley:
Idzie zrobić. W polsce panuje przekonanie, ze nic sie nie da bo po co, ile to bedzie kosztowac bla bla bla. zobacz na zachodzi jak sa perony zabezpieczone dla pociagow i metra, jakie sa rozwiazania drogowe idiotoodporne, tylko u nas zawsze wina uzytkownika ..

@dzafel: Masz rację, a Pan mówi o zabezpieczeniach a kompletnie się na nich nie zna. Trzeba więcej pornusów oglądać a rano przelewy idą na inne konto!.

@niebezpiecznik-pl: Pan w filmie zadał ciekawe pytanie. Mianowicie w jakim celu podaje się te wszystkie dane do przelewu tj. imię, nazwisko itd.? Bank tego nie sprawdza(chyba) do weryfikacji. Pomyślałem, że to jest tylko dla nas, żeby później mieć po czym filtrować historię, ale w takim układzie nie musi być to obowiązkowe.

@dzafel: nie czytałem wszytskich komentarzy, byc może ten temat byl poruszany ale zapytam. Czy jest jakas mozliwość aby ten numer potwierdzający numer konta dal się rozwinać ? Mi za kązdym razem przychodzą dwie pierwsze....cztery ostatnie cyfry i ni cholery nie moge go rozwinąć aby go sprawdzić :)

@wojciechwaw: nie da, przychodzą zawsze tylko takie skrócone numery, wystarczające do weryfikacji.

@butcher_borys: Mam tylko nadzieję, że jak Ty zostaniesz oszukany (w taki lub inny sposób) to wszyscy dookoła też Ci tak powiedzą. Co ty masz w głowie? Pasztetową?

@j123456: Już mi źle życzysz a w ogóle mnie nie znasz. Akurat wielu ludzi do edukowałem z IT i to za darmo.

@wojciechwaw: nie jest to potrzebne, cztery ostatnie cyfry (a nawet więcej) to numer rachunku klienta w obrębie jego banku, a pierwsze 2 cyfry to cyfry kontrolne, jeśli one się zgadzają to wszystko jest ok.

Zajmuję się bankowością internetową zawodowo i niestety nie da się wszystkim wytłumaczyć, że sms to lepszy środek autoryzacji niż karta TAN/Zdrapka. Niektórzy muszą się na własnej skórze przekonać żeby zrozumieć.

@niebezpiecznik-pl: to jeśli jesteśmy w temacie zapytam się znawców.

Powiedzmy, że mam ten wirus, trojan czy inny malware na komputerze, robię przelew ale mam włączone programy typu procexp, tcpview - to czy dzięki nim mogę zauważyć aktywność wirusa? Czy powinien włączyć się jakiś ruch w procesie, ruch na łączu przy wypełnianiu pola "numer konta"?

@niebezpiecznik-pl: W tym wypadku oceniam, że wina w systemie jest duża, gdyż z tego co widzę to Vista.

@SosnoWicher: na osx tez nie widziano. Dyndows c#%#!wy.

@niebezpiecznik-pl:

A gdyby zastosować Virtualboxa z Linuxem i używać go tylko do transakcji bankowych?

sprawdzanie zgodności numerów w SMS to podstawa

@dzafel: A gdy metodą autoryzacji jest token (np PEKAO) jak można się uchronić przed takim oszustwem?

@dzafel: Gość ciągle powtarza, że stracił "pieniążki", więc chyba nie jest tak źle :)

najlepsze rozwiązanie do przelewów to odpalac z USB np. Linux MInt'a

@dzafel: Od siebie dodam, że prawdopodobnie taki wirus może być zagnieżdżony w UEFI płyty głównej. Chyba był kiedyś o tym temat na wykopie.

@niebezpiecznik-pl: a jak się ma odpowiedzialność banku jeżeli robię przelew na tokenie? Przecież nie mam możliwości sprawdzenia numeru tak jak w SMS a bank powinien moim zdaniem zestawić numer z danymi odbiorcy, które w przypadku podmiany numeru będą inne?

@mariusz5891: przeczytaj wypowiedzi niebezpiecznika powyżej, masz tam odpowiedź.

ale pamiętaj że wymiana danych w schowku jest możliwa pomiędzy gościem a hostem ;)

@niebezpiecznik-pl: VBox od jakiegoś czasu ma możliwość włączenia (domyślnie jest wyłączone) wymiany danych przez schowek - w obie strony oddzielnie.

@AppleDash: to zależy jak wykonywane jest wstrzyknięcie

@no_stupid_person: Wyślij ze źle wpisanymi danymi, to zobaczysz, że nie ma większego znaczenia co tam wpiszesz... Te dane są ignorowane, choć niektóre banki zwracają uwagę na te informacje (nie dlatego, że muszą, a dlatego, żę chcą) -- jest to jednak ich dobra wola. Bardziej jest to wykorzystywane do wykrycia dokonanego fraudu i próby jego powstrzymania, a więc nikt nie blokuje automatycznie na tej podstawie transakcji przelewu

@Hejkumkejkum: Odpalenie wirutalki na zainfekowanym systemie to nie jest coś, co chcesz robić. Dalej jest możliwość kontrolowania tego co w wirtualce, a host i gość wspóldzielą schowek. Nie widzieliśmy jednak malware;u który ten możliwy do zaimplementowania atak, zaimplementował. Pewnie dlatego, że dużo pracy, a szkoda czasu na tak jednostkowe przypadki (bo ile osób będzie stosować taki myk?).

@piotrb: no właśnie. Host steruje tą opcją, więc jak jest zainfekowany to "po ptokach"

@niebezpiecznik-pl: hips od comodo zawsze mi wykrywał wszystkie rodzaje wstrzyknieć xd

@tomh: klawiatura ekranowa przed niczym nie chroni...

@sln7h: Aliorze przy kopiowaniu i wklejaniu numeru konta trzeba ostatnią cyfrę wpisać ręcznie. Proste i prawdopodobnie w miarę skuteczne zabezpieczenie. M Bank infokinia też zdecydowanie nirmalniejsza od Mbankowej..

@Glacial: już ktoś odpowiedział jak to zrobić: czytać smsy, tam powinien być poprawny numer, chyba, że telefon też masz zawirusowany - to możliwe, ale to też nie wina banku, tylko wirusa - on jest na Twoim telefonie i bank nijak na to wpłynąć nie może co sobie zainstalujesz.

@tas2000: niekoniecznie - przepisanie nie gwarantuje, że wirus w komputerze podmieni numer, są takie, co podmieniają nie tylko wklejane ze schowka numery, tylko po prostu wszystkie

@tomh: Klawy ekranowej to autor filmiku mógł użyć, żeby mu teraz nikt konta nie shax0rzył "na słuch" ( ͡º ͜ʖ͡º)

@niebezpiecznik-pl A co sądzicie o opcji Man-in-the-browser? To by tłumaczyło wstrzyknięcie i wyświetlanie fałszywej wartości numeru konta w historii rachunku. Ciekawe, czy logowali się z innej przeglądarki, co w tym przypadku byłoby najprostszym sprawdzeniem. Bo na podmianę schowka mi to nie wygląda.

@no_stupid_person: w mbanku te informacje i tak sa mało rozbudowane, wpisujesz tylko jakąś nazwę (nie musi być to imie i nazwisko, ja bardziej wpisuję tam to po czym łatwo dojde np. 'kredyt') numer konta kwotę i poszło. Bank nawet jak jest w formularzu to nie sprawdza żadnych danych. Generalnie jest tak że (nie biorąc pod uwagę wirusa o którym tutaj mowa) nie da sie pomylić w numerze konta, jak wpiszesz zły to nie pójdzie do kogoś innego tylko nie przepuści Cie formularz bo nie zgodzą się sumy kontrolne.

@niebezpiecznik-pl: czy pomocny na takiego typu wirusy (oprócz antywirusa) jest Malwarebytes Anti-Malware?

widziano działalność takiego wirusa na linuxach

@volatile_pc: A co z pluginami do Chrome i Firefox na Linuxie? czy one mogły by robić takie cuda jak podmiana kodu w HTML? Pytam, bo właśnie na Linuxie pracuje i wiem że wirusów raczej nie ma, ale nie mam zaufania do przeglądarek

chyba, że telefon też masz zawirusowany - to możliwe,

@pigwa3: Dlatego jako numer prywatny mam starą Nokie, która nie doś że trzyma kilka dni, to raczej nie da rady uruchomić takiego oprogramowania. I to na nią wysyłam SMSy z banku, a aplikacje bankową mam na drugim smartfonie, gdzie mam numer firmowy włożony

Jeśli kasa nie została przelana na zagraniczne konto, jeśli prokuratura by spięła dupę to można się pokwapić o odzyskanie pieniędzy. Prokuratura - bank gdzie przelew przyszedł - monitoring z tego i tego dnia - śledzenie trasy z monitoringu słupa przy zakładaniu konta, wybraniu pieniędzy z atma, banku - numery rejestracyjne / adres / twarz. Chodź podejrzewam że jak ktoś wykodził takie gówienko to obmyślał sprawę...

@kajttek: moja ostatnio największa bolączka - chciałbym telefon nieduży (ekran 4 cale to za duże bydle), z normaną, fizyczną klawiaturą (może być qwerty), nie koniecznie będący smartfonem, ale z radiem, mp3, jedną grą: sudoku (przepadłem odkąd miałem w motoroli rokr e8), oraz książką telefoniczną łątwo importowalną/eksportowalną do listy kontaktów gmaila, do tego najlepiej wodoodporny, ale nie wyglądający jak pomarańczowo aluminiowa zabawka z budowy chińskiej autostrady :)
kuźwa - naprawdę nikt nic takiego nie potrzebuje, że nikt tego nie produkuje?

@AppleDash: po kilku dniach każdy AV jest pomocny ( ͡° ͜ʖ ͡°)

nie sondze

@rossecki: rak

SMS i PDF są generowane po stronie serwera.

@rossecki: To się zgadza. Dlaczego w takim razie u autora filmu PDF ma inny nr konta? Przecież jest generowany na serwerze. Wirus prawdopodobnie na localhoście, w locie podczas przelewu podmienia nr konta i już na serwerze mBanku jest generowany faktyczny ale fałszywy nr.

@psyxosutek: Twój numerek na onkologię to: 460.
(Nie zmarnuj go) (✌ ﾟ ∀ ﾟ)☞

źródło: x3.cdn03.imgwykop.pl

@Glacial: bit Defender ma fajną nakładkę do przelewów. Tzw safe Pay.

@rossecki: przeczytaj sobie dokładnie komenty niebezpiecznika, bo ty kompletnie nie rozumiesz o co w tym wszystkim chodzi.

@nomadicgoogler: Przeczytałem, na początku przyjąłem założenie że użytkownik korzysta z "innego, czystego" systemu.

@coolpick: Ale jak ktoś potrzebuje dostępu do konta bankowego na smartfonie to lepszy token lub kody zdrapkowe, bo wirus na smartfonie ma dostęp do konta i smsów. Powinny być tokeny, które generowałyby kody jednorazowe w oparciu o kilka cyfr z nr konta, na które chcemy zrobić przelew.

@Mistrz_Cietej_Riposty: Przy wykonywanie przelewu z aplikacji na zainfekowanym telefonie nie ma różnicy czy mamy smsy czy TANy/zdrapki, i tak nic nie zauważymy. SMSy są lepsze od TANów czy zdrapek w przypadku wykonywania przelewu w przeglądarkowej aplikacji bankowości internetowej, ponieważ zapewnia drugi, niezależny kanał komunikacji z klientem.

@coolpick: Rozumiem, ale chciałem tylko wskazać, że sms też nie jest rozwiązaniem idealnym i wskazać jeszcze inną możliwość ataku. Na smartfonie z kodami sms, wirus już nie musiałby czekać na twój przelew i podmieniać nr konta adresata, tylko robiłby swoje przelewy. Albo haker bierze na widelec konkretną osobę i infekuje jej zarówno komputer i smartfona.

@Mistrz_Cietej_Riposty: Z tym że nie jest idealny się zgodzę, tak jak pisałem jest po prostu lepszy od TANów i zdrapek :)

@niebezpiecznik-pl a czy zabezpieczenie które polegało by na wprowadzeniu 4 losowych cyfr numeru konta na które chcemy przeslac pieniądze, też tak prosto można by złamać? Informacja które cztery cyfry mamy podać mogła by być wysłana smsem, zamiast potwierdzenia, w innej wersji, info które cyfry trzeba wpisać wyswietlali by w jakimś obrazku w stylu captcha, ale to już pewnie nie daje bezpieczeństwa.

@SosnoWicher: wszystko jest możliwe, jest kilka wirusów na linuksa, ale to jest na tyle niszowy system, że mało prawdopodobne. Jeśli chcesz być bardziej zabezpieczony - wybierz niestandardowy system (cokolwiek oprócz ubuntu). Jest pierdyliard dystrybucji Linuksa, kazda trochę inna, nikomu się nie chce pisać wirusów pod Gentoo czy inne niszowe wynalazki (znam gościa używającego PLD - to już szczyt hipsterstwa IMHO, ale działa ;) ).

W miarę możliwości przelewy wykonuj na dedykowanym urządzeniu. Najlepszy będzie np. niewykorzystywany już do niczego sensownego tablet -- jeśli to iPad, tym lepiej. Z racji hermetycznego środowiska bardzo ciężko jest zainfekować to urządzenie w taki sposób, aby opisywany na filmie problem wystąpił. (Wiemy, wiemy: wygoda, koszt). Wersja budżetowa, nieodporna na wszystkie "triki" przestępców to ZAWSZE po wykonaniu przelewu NATYCHMIAST sprawdzać potwierdzenie przelewu na INNYM komputerze.

@niebezpiecznik-pl: Może jeszcze zamknąć się w bunkrze albo z E. Snowdenem pod jednym kocem?

@canto: co kto lubi.

@Glacial: karta kodów jest mniej bezpieczna od sms, według niektórych sms zawierające dane transakcji są bardziej bezpieczne od tych najprostrzych tokenów, które takich danych nie pokazują na wyświetlaczu

@rossecki: dlaczego nie sądzisz, żeby to był wirus? bo była aktualizacja?

@rossecki: przynajmniej nie umrę jako analfabeta

@psyxosutek: Sondze że.

pokaż spoiler Usuń konto ( ͡º ͜ʖ͡º)


@rossecki: szczyt elokwencji, ctrl+c ctrl+v

@psyxosutek: To jest ciągle lepsze niż tasowanie się nad "sondze" ᕦ(òóˇ)ᕤ

@rossecki: jesteś głupi i nie umiesz się przyznać ( ͡º ͜ʖ͡º)

@rossecki: to nie tasowanie się nad "sondze", tylko tasowanie się nad stanem umysłu człowieka, który nie potrafi napisać poprawnie tak prostego słowa jak "sądzę". Oczywiście prościej byłoby gdybyś napisał, że to przez pośpiech i nawet bym ci uwierzył, bo widzę, że większość twoich komentarzy nie zawiera takich "cudów", ale kto by się tam przyznał do błędu, lepiej wklejać kolejne odpowiedzi wykop-wojownika.

@psyxosutek: Lel, zrobiłem to całkowicie umyślnie ( ͡º ͜ʖ͡º).
Tak więc nie sondze aby twoja analiza była poprawna :3.

Żebyś nie mógł się tasować nad stanem mojego umysłu...
Pacz wiem co to jest słownik

http://sjp.pwn.pl/slowniki/s%C4%85dzi%C4%87.html

pokaż spoiler Tasowanie się nad "Pacz" za 3..2..1


@dzafel:

po pierwsze - sprawdzanie zgodności numerów w SMS to podstawa, banki o tym trąbią od dłuższego czasu.
no chyba se jaja robisz. Nigdy jak żyje nie słyszałem żeby jakikolwiek bank o tym wspominał. Poza tym tylko niektóre banki załączają w smsach numery konta odbiorcy. Wysyłany jest tylko numer transakcji i numer weryfikacyjny do wpisania. O popularnych kartach zdrapkach używanych zamiast sms-ów nawet nie wspominając.

@psyxosutek:

źródło: pl.memgenerator.pl

pieniążki, pieniążki, pieniążki... pieniądze k??@a!
@letterman91: No to chyba zależy, o jakiej kwocie mówimy. Dla jednego pieniądze, a dla drugiego to tylko pieniążki.

@letterman91: k$#?icy idzie dostać, za każdym razem jak słyszałem 'pieniążki' coś we mnie umierało....

@WybranyLoginJestZaj: w mojej opinii tutaj nie ma niczego pomiędzy 0 i 1, albo jesteśmy poważni, zachowujemy i wypowiadamy się jak dorośli albo nie. Tak samo jak nie można być w pół dorosłym. I tu już nie chodzi o kwotę.

@letterman91: Ech, co za czasy - nie daj #pdk czy lenniego, to nikt nie wyczuje ironii.

@WybranyLoginJestZaj: (╥﹏╥)

@letterman91: Może 40 000 to pieniążki a 4 000 000 to pieniądze. Chociaż po saldzie z konta nie sądzę :-)

@letterman91: bo tu wszyscy operują pojęciem pieniądza. Nikt nie mówi o cebulionach, cebuli, cblnach i w ogóle tu jest ą i ę ( ͡° ͜ʖ ͡°)

@letterman91: mówisz chlebek -jesteś zjebek

@letterman91: Wypisz wymaluj Smegol

@letterman91: Tez mnie w srodku wygina jak slysze bezsensowne zdrobnienia. Glownie pieniazki. On jeszcze z klodeczka wyjezdza. Ooo tu jest klodeczka. Szkoda tylko ze nie przeczytal dokladnie SMSika.

@letterman91: Tak to jest jak się nie zaplusuje twarzy pinionszka :(

pieniążki, pieniążki, pieniążki... pieniądze kurwa!

@letterman91: Bo?

@letterman91: @piachu: @lincolin: @Roszp: @drazekorsarz: Ja p??#?#?e, jak można mieć taki ból dupy o jakieś słowo xD
Niektórzy tak po prostu mówią i dla nich to jest normalne, dop?%%%%$anie się o "pieniążki" ma tyle sensu co kłótnia o to że ktoś mówi "na pole" zamiast "na dwór". Ogarnijcie się.

@perfidnyplan: Niektórych wk@#?a krzywo położony kostka na chodniku, niektórych to że jest bałagan w domu innych to, że dziecko za głośno płacze, albo że ktoś za głośno słucha muzyki, a mnie wk@#?ia zdrobnianie wszelakich wyrazów, a w szczególności słowo "pieniążek".

@benwatkins: Też nie lubie zdrobnień ale nie widzę sensu pouczania kogoś żeby tak nie mówił, taki człowiek nie będzie rozumiał dlaczego kogoś to wk#$@ia bo dla niego to słowo brzmi całkowicie normalnie.

@Pan_Buk: to znaczy ze pieniążki trzeba glaskac i dotykac ( ͡° ͜ʖ ͡°)

@letterman91: to tak samo jak będzie hasło 'święta święta i po świętach!' k??%icy dostać można od tego ;_;

@letterman91: po trzecim powtórzeniu wyłączyłem film. W tekście pieniążki tak bardzo nie irytują jak w wersji av :)

@perfidnyplan: Jak chodziłem do szkoły to miałem takiego znajomego z klasy co u niego mnie strasznie denerwowała jego artykulacja wyrazów. Był to spoko gość, nic mu nie mam do zarzucenia, oprócz tej artykulacji przez to nie mogłem go dłużej słuchać niż minutę. Próbowałem ze sobą walczyć, bo gość był spoko, no ale mi się nie udało.

@perfidnyplan: mówienie na pole też mnie drażni. A co do pieniędzy - to jest podwójnie irytujące, bo żyjemy w poj?%!nym kraju gdzie pieniądze są tematem tabu, czasem tylko ktoś napomknie o "pieniążkach"

jak ktoś mówi "pieniążki" to od razu mam w głowie gotowy profil psychologiczny takiej osoby tj. nieśmiała, wstydliwa, bojąca się podjąć decyzję, w zasadzie pierdoła, która nie ogarnia, łatwo manipulować takimi ludźmi, wiem z doświadczenia.

@letterman91: Ja natomiast mam do "pieniążków" także drugi profil psychologiczny. Cwaniaczek i krętacz, który takimi zdrobnieniami celowo "rozmiękcza" kontrahenta, albo zwyczajnie uważa wszystko wciąż za zabawę, a nie poważną transakcję. Ale jak ktoś nie potrafi mówić poważnie o pieniądzach, to niby dlaczego równie na poważnie miałoby się z nim robić jakikolwiek interes...

A na filmie ot, jakiś cwaniaczek którego ktoś własnie orżnął...

@benwatkins: ja nie lubie krzywego chodnika, bo nie da sie po nim jezdzic

@Surgeon: Coś takiego ma bgz. Jeśli wykryje ze numer konta został wklejony to pojawia się informacja żeby sprawdzić numer czy na pewno jest taki jaki miał być.

@gta2: Idiotyczne banki? Sam jesteś idiotą. Ta kasa przeleciała już przez parę kont w różnych bankach i jest już wypłacona w bankomacie na odludziu (i nie zdziwiłbym bym się, jeśli bankomat byłby za granicą). Jak chcesz to cofnąć?

@gta2: Ale cofnąć skąd? Jak trafiło na konto słupa z którego kasa już wypłynęła na bitcoiny, wypłacona w bankomacie czy przelana gdzieś w świat to skąd cofniesz pieniądze? Całe oszustwo jest tak skonstruowane by ofiara się zorientowała jak najpóźniej by przestępca miał wystarczająco dużo czasu na zagospodarowanie łupu.

@niebezpiecznik-pl: Jaki jest sens sprawdzania numeru konta w SMS-sie skoro w nim też taki numer mógł zostać podmieniony?

: ja bym jeszcze dodał kopiowanie numeru konta na raty. Bo chyba te wirusy liczą cyfry w schowku i jak jest ich tle co nr konta to zamieniają.

@elcede:

Przecież powiedział, że wpisywał dane ręcznie. Mało tego, w historii przelewów był też prawidłowy nr konta.

Ten wirus modyfikuje dane po kliknięciu w 'realizuj przelew'.

@maciek_gi: dlatego najlepiej zainstalować sobie obok na komputerze drugi system Linuxowy, najlepiej aktualną wersję Ubuntu i wykorzystywać ją do takich "mission critical" zadań. ;)

@css: formularz > wpisujesz poprawny numer > naciskasz przycisk wyślij kasę > numer podmieniony przez wirusa > dostajesz sms ze złym numerem > nie czytasz sms > przepisujesz kod wysyłając kasę na numer konta hakira

mogła takie potwierdzenie wygenerować. Dodatkowo proszą także o podanie jednorazowego hasła które jest potrzebne do wypakowania PDFu z tymże potwierdzeniem.

@kaczmar119: pierwsze slysze, przy przelewie podajesz maila i rpzychodzi pdf na maila ;P

Jaki jest sens sprawdzania numeru konta w SMS-sie skoro w nim też taki numer mógł zostać podmieniony?

@css: Nie mógł. W sms dostaniesz ten numer, który będziesz miał w potwierdzeniu PDF.

@pieczywowewiadrze: przy płatności kartą mają tak jak napisałem.

@Surgeon:
Tak. Na kazdym. Program podmienia nr konta na dedykowany. Maskuje wlasciwy nr konta (widzisz prawidlowy) a pieniadze ida na inne.

@gta2: niestety ta metoda której używa paypal też nie jest do końca dobra, bo jeżeli kupujesz coś np na allegro ktoś ci wysłał przedmiot a ty po tygodniu twierdzisz ze to była niekontrolowana transakcja, dostajesz zwrot a sprzedawca jest bez przedmiotu i pieniędzy. Niestety tak jak na paypalu może być dużo oszustów. Np kupując przedmioty wirtualne gdzie po kilku sekundach następuję wymiana - szybkie pieniądze na koncie i wysyłka przedmiotu przez aplikacje a na następny dzień zgłoszenie o niekontrolowanej transakcji. A weryfikacja jest bardzo trudna.

@elcede: ale tylko część bankerów pracuje na rachunku konta w schowku. Reszta robi webinjecty w przeglądarkę. Wtedy kopiowanie na raty nic nie da.

@mike78: i właśnie dlatego lepiej (paradoksalnie!) płacić kartami, bo ten instrument jest ubezpieczony i zawsze masz możliwość chargebacku => https://niebezpiecznik.pl/post/link4-wymaga-danych-karty-kredytowej-przez-telefon-podawac-czy-nie/

@maciek_gi: nie ma czegoś takiego jak stary ipad - one sie aktualizują do ostaniego możliwego upgradu dla danej platformy. Ale oczywiście nie można wykluczyć, że nawet na zaktualizowany soft będzie jakiś atak drive-by download - chociaż w przypadku iOS jest sandboxing, więc jedna aplikacja, nawet złośliwa, nie powinna zaszkodzić drugiej (co do zasady).

@niebezpiecznik-pl: po co punkt 2 i 3, nie wystarczy sam 1?
I czemu nie można rozpakować rar z hasłem? Można rar bez hasła? Nie rozumie mechanizmu

@mike78: Mbank akurat oferuje, przy każdym przelewie masz możliwość zakupienia ubezpieczenia, chyba jest to jakiś procent od kwoty transakcji. Ale jakby nie patrzeć jest to dodatkowy koszt na parędziesiąt lub paręset złotych.

@Roszp: Przcież w teorii treść smsa też mogłaby zostać podmieniona

zwłaszcza, jak się ich nie zgłosi w przed wychodzącą sesją elixiru

@niebezpiecznik-pl: Nie ma znaczenie kiedy się je zgłosi problem w banku. Po kliknięciu guzika z zatwierdzeniem nie ma już możliwości przerwania operacji. 10 lat temu -jeszcze tak, ale od kilku lat konsultanci odpowiadają klientom, że nic nie mogą zrobić.

Jeszcze na jedną rzecz chciałbym zwrócić uwagę. W przypadku mbanku jest możliwość zadeklarowania zaufanych odbiorców. Wówczas SMS z nr nachunku odbiorcy i kodem potwierdzającym transakcję NIE PRZYCHODZI.

@css: W teorii to i zero absolutne jest możliwe.

@Kajtosz: też tego nie rozumiem. A pomijając hasło, to co za różnica czy coś jest w rar czy nie? Jak coś ściągam bezpośrednio to antywirus to sprawdza, jak rozpakowuje z rar, to też sprawdza. Czy źle myśle?

@elcede: podmieniają w pamięci jak już klikasz wyślij możesz sobie wpisywać na ile rat chcesz.

@azzie: wbk także sprawdza czy wklejono numer

@Surgeon: Ależ ciągle wrzucają wiadomości tego typu.

@marekrz: Nie jest prawdą, co piszesz. Przelewy da się "cofnąć" i zatrzymać. Nie zawsze, ale im szybsza reakcja tym większe szanse.

@niebezpiecznik-pl: Czy można dochodzić od banku odszkodowania na podstawie błędnie dopasowanych danych konta docelowego. Wiem, że banki muszą weryfikować dane posiadacza konta z tym co jest wpisane w formularzu (większość banków ma to w pompie dla niskich kwot)

@niebezpiecznik-pl: Ta rada aby zweryfikować sms jest dobra ale nie wiem czy to tylko u mnie ale w smsie od mbanku jest tylko szczątkowy numer konta, coś takiego:

pokaż spoiler Operacja nr 2 z dn. 03-11-2015 Przelew z rach.: ...55555555 na rach: 1111...555555 kwota: 200,00 PLN haslo: 55555555 mBank.


Nie jest prawdą, co piszesz. Przelewy da się "cofnąć" i zatrzymać. Nie zawsze, ale im szybsza reakcja tym większe szanse.

@niebezpiecznik-pl: piszę o swoich własnych doświadczeniach, a nie o tym jak jest "w teorii".

@niebezpiecznik-pl: Siemka! A co z aplikacjami bankowymi na smartfony (nieważne czy Andek czy iOS)? Korzystać czy nie?

(sam na wszelki wypadek nie korzystam)

@niebezpiecznik-pl: A czy ma sens odpalić na VirtualBoxie lekkiego linuxa/OpenBSD z przeglądarką i używanie go tylko do celów płatniczych?

@marusz: skąd wirus wie na jakie konto wysłać smsa?

@niebezpiecznik-pl: A jeśli mój bank dopuszcza wykonanie przelewu tylko za wcześniejszym ustawieniem konta odbiorcy w kontaktach, z potwierdzeniem tego za pomocą pinu i tokena? Plus każda zmiana numeru konta wymaga tokena. Podmiana numeru konta jest możliwa?

@css: Obejrzyj filmik i poczytaj komentarze - w SMSie nie ma możliwości podmiany konta, bo jest generowany przez bank a nie przez zawirusowany komputer użytkownika.

@mailtalk: TYLKO!
1. Kod ze smarfona nie poddaje się scamingowi (nakładce na klawiaturę sczytujący PIN).
2. Gdyby gościu ten przelew wykonał z appki mobilnej nie było by tego problemu.
3. Nie musisz używać osobno kodów do przelewów.
4. Możesz zrobić przelew na nr telefonu.
...i kilka innych udogonień.

PS. Płacenie fonem w sklepie trwa dłużej (bo jest bardziej skomplikowane niż kartą) i dlatego nie uważam je za sensowne!