» »

Zloraba spletnega bančništva s pomočjo prenosa mobilne številke

Zloraba spletnega bančništva s pomočjo prenosa mobilne številke

SC Magazine - Domiselnost tatov kar noče poznati meja. Skupina avstralskih nepridipravov je potem, ko so s trojancem uspešno pridobili prijavne podatke za spletno banko lokalnega poslovneža, z malo socialnega inženiringa dobila njegovo mobilno številko in jo po krajšem telefonskem klicu na avstralski Vodafone prenesla na svoj telefonski aparat. Nato so si naklikali 45 tisoč avstralskih dolarjev preko nakupa v trgovini s pohištvom. Banka je transakcijo sicer zaznala kot sumljivo, vendar imetnika računa niso uspeli priklicati, ker je med kontaktnimi podatki navedel (ironija) svojo mobilno številko.

Napad se je zgodil letos junija, poslovnež pa je zanj zvedel šele nekoliko kasneje, ko so ga uspeli dobiti na stacionarno linijo. Po dosegljivih podatkih so nepridipravi uspeli okužiti njegov prenosnik s trojasnkim konjem, ker pač ni bil pretirano pazljiv, to pa zato, ker se je zanašal na dodatni varnostni mehanizem za potrditev transakcije s SMS potrditveno kodo (TAN oz. mTAN). Nepridipravi je ta ovira upočasnila, a ne zaustavila. Par dni pred krajo so poklicali njegovo pisarno, se predstavili kot dacarji in od tajnice dobili nekaj osnovnih podatkov o direktorju. Naslednji dan dopoldne (ko je bil gospod v službi), so poklicali še njegovo domačo številko kot "poslovni partner" in od hčere dobili njegovo telefonsko številko. Zadnji klic je bil na Vodafonovo pomoč uporabnikov, kjer so se predstavili kot on in prosili za prenos številke na drug telefonski aparat (menjava operaterja pa to). Vodafonov zastopnik je vprašal le za osnovne podatke, se pravi ime, rojstni datum in mobilno številko, kar so vse izvohali s prejšnjimi klici. Nalog za prenos številke je šel naprej. Med čakanjem so poslovnežu še poslali SMS v imenu operaterja, da "načrtujejo vzdrževalna dela na njegovem območju, zato zna biti sprejem na njegovem telefonu v naslednjih 24 urah moten". Seveda je bil, ker čez par ur mu je Vodafone odklopil SIMko. Nepridipravi so počakali, da se je njihov telefon zbudil, se prijavili v poslovneževo spletno banko, naročili za 45 tisočakov opreme in vse skupaj povsem veljavno potrdili z SMS kodo. Banka je transakcijo zaradi višine sicer označila kot sumljivo, vendar kot rečeno, njeni predstavniki niso uspeli dobiti gospoda na mobilni telefon, ker je bila številka tega v rokah nepridipravov.

Zlorabe spletnega bančništva s katerim od številnih namenskih trojanskih konjev so dober posel in banke se na vse kripeže trudijo, da bi 1) odgovornost prevalile na malomarnega klienta 2) zadevo čimbolj poceni omejile. SMS kode so priljubljena opcija, vendar se jo da zaobiti, bodisi z namenskimi mobilnimi trojanci bodisi s socialnim inženiringom. Nasveti za varno poslovanje sicer tudi tukaj veljajo. Najbolje je spletno bančništvo izvajati z bootom v alternativni operacijski sistem (live cd ali usb plošček z zaščito proti pisanju) ali vsaj z dvofaktorsko potrditvijo, ker ta še vedno zahteva precej več truda s strani tatov. Tudi SMS obveščanje o prilivih / odlivih z računa ni slaba ideja, če je na voljo, ker vam omogoča hitrejšo blokado računa. Pri spletnem nakupovanju pa lahko pomaga zlasti Visa Electron, ki je debetna in ne kreditna kartica in zato rabi takojšnje kritje na računu, vendar jo sprejmejo praktično povsod. Še bolje deluje Visa Electron na ločenem računu, na katerega se pred nakupom pač nakaže dovolj sredstev, limita pa ni. Seveda je to precej več dela in vsakomur ne bo všeč.

18 komentarjev

sirotka ::

Pametno, narobe, ampak pametno!

FireSnake ::

Med drugim:
pa to
,
SIMko
??!!??
dajmo, no ....
Poglej in se nasmej: vicmaher.si

71GA ::

znanje > denar

:)

Invictus ::

Kot vedno, ni problem v samih varnostnih sistemih, ampak ljudeh.

Socialni inženiring vedno deluje.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

metalc ::

Kaj, a tam spodaj lahko tel. št. kar tako preneseš brez original naročniške pogodbe oz. brez PUK????

MrStein ::

"Sem direktor, saj mi ne boste za take malenkosti težili, ali?"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Erazer ::

Zanimiva ideja s live Linux distribucijo, vendar pri certifikatu (Klik) porabiš preveč časa in zame ne bi bilo uporabno. Opcija pa bi bila Linux naložen na bootable USB ključek, kjer bi bil tudi certifikat. Sicer je malo manj varno, kot cd ampak vendarle....

Sheteentz ::

kupili so za 45 jurjev pohištva? a to je blo mišljeno kot j*banje v glavo al kaj?

ingo ::

Kako pa je z varnostjo pri tistih bankah, ki imajo kalkulatorcke za generiranje enkratne kode?

FireSnake ::

Poglej in se nasmej: vicmaher.si

RejZoR ::

Fail @ Vodafone. Si lahko direktor in ne vem kaj ampak take stvari se lahko pri dobro osnovanih podjetjih spreminjajo samo osebno oz preko potrjenih certifikatov. Ne pa na osnovi osebnih podatkov, ki jih lahko vsak izvoha preko Googla...
Angry Sheep Blog @ www.rejzor.com

sss ::

Tud sam mam tako uštiman kot je svetovano v članku.
Osnovni račun imam posebaj, ob potrebi nakažem dnar na Viso Electron oziroma drug račun

jurre ::

hm hm...ni mi cisto jasno kako ni opazil dolocen cas da telefon ne deluje? Ok, dobil je obvestilo za 24 ur "moteno"...da mu pa sploh ni delal - verjetno vec kot 24 ur? in to poslovnezu?
Zanimivo pa, da ti cifro kar tako prenesejo8-O

Zgodovina sprememb…

  • spremenil: jurre ()

HerrBaron ::

Tuki v Avstraliji je to tako na izi narediti... Rabis samo ime, rojstni dan in naslov pa lahko naredis kar hoces. Jaz sem na primer poklical banko in spremenil primarni racun na moji bancni kartici in PIN kodo preko telefona v petek okrog 7ih zvecer pa sem jim moral dati samo moje polno ime in datum rojstva.
Moja zena je dobila drzavljanstvo in vozniski izpit s potnim listom ki je pretekel pred vec kot 10 leti, na sliki je stara 7 let.

Dobiti podatke kot npr. stevilke racuna, spremeniti stevilko kamor se poslje SMS za spletno bancnistvo in podobno sploh ni problem.

Pred dvemi leti sem prisel do stranke, receptorki povedal da sem od njihove IT firme in da moram v server room. Rabil sem ji samo povedati s kom ponavadi komuniciram iz njihove firme in par sekund kasneje me je vodila do njihovega server rooma.

Pred dvema mesecema sem prisel do firme z vec kot 1000 zaposlenimi in se predstavil po imenu, jim dal 'name drop' in povedal da naj bi danes dobil security card. Odpeljali so me do gospe ki mi je dala OHS papirje za izpolniti in 10 minut kasneje sem imel polni dostop do vseh njihovih delovnih prostorov.

Klical sem DNS providerja in jim povedal da delam za firmo ki je kupila drugo firmo in sedaj moram prenesti njihov DNS hosting na nas ISP in nimam dostopa.
Brez kakrsnega koli preverjanja so mi povedali uporabnisko ime IN geslo za racun.


Pa se veliko vec podobnih incidentov sem imel.

Kar spreleti me ko vidim take in podobne zadeve, tukaj so ljudje zelo zaupljivi.

SkipEU ::

@HerrBaron
tako deluje učinkovita država. Ne pa pri nas, ko moraš za vsako malenkost izpolniti tono papirja, ker se za vsakega predvideva, da je kriminalec.

jkreuztzfeld ::

@FireSnake
Daj, bodi dober in malo razloži na kako RAzbit je bil RSA SecurID? Kolikor vem (in to piše tudi v novici) so jim bili ukradeni token seedi. RSA je poslednično zamenjal večino veljavnih tokenov. Kaj je bilo razbitega?
--
Great minds run in great circles.

bf4ed ::

"menjava operaterja pa to" ja mene to tudi zelo moti ko vidim v novicah...

poweroff ::

Zelo učinkovita država... za kriminalce. :))
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Predplačniška visa (strani: 1 2 3 4 )

Oddelek: Loža
15041046 (19202) sbawe64
»

SMS Žeton NKBM in "Varno" geslo

Oddelek: Loža
497752 (5859) SeMiNeSanja
»

Zloraba spletnega bančništva s pomočjo prenosa mobilne številke

Oddelek: Novice / Varnost
184476 (2904) poweroff
»

SpyEye e-bančni trojanec na voljo za Androida

Oddelek: Novice / Varnost
3210838 (9346) SkipEU
»

Nov, tehnično dovršen napad na nemške spletne banke

Oddelek: Novice / Varnost
239147 (7806) poweroff

Več podobnih tem