Co czyni "eksperta", czyli skali oszustw internetowych można szukać w fusach

Okładka Życia Warszawy z 19 grudnia - Hakerzy uderzyli w InteligoŻycie Warszawy w sporym tekście opisało niedawno przypadek ataku na internetowe konta bankowe w Inteligo (19 grudnia - pierwsza strona wydania obok). Wiele takich przypadków zebrałem już w odrębnym dziale serwisu, zatytułowanym phishing. Ludzie stosują coraz bardziej wyrafinowane metody, by wydobyć od innych ludzi kasę. Banki generalnie nie chcą ujawniać informacji na temat przestępczości przeciwko zgromadzonym na rachunkach środkom. Wiadomo, o co chodzi: jeśli media podchwycą, że jest coś "nie tak" z bezpieczeństwem, to klienci może pójdą do konkurencji (gdzie - nota bene - nie jest lepiej). W artykule ŻW ukazała się moja wypowiedź, która przebija tą, puszczoną kiedyś w "głównych" Wiadomościach (a puścili wtedy jedynie zadnie: "W społeczeństwie informacyjnym informacja ma wartość ekonomiczną")...

Bezpieczeństwo banków to jedno, a rozsądek klientów to drugie. Jak ktoś nie pilnuje informacji na temat tego, jak wejść na jego konto i wyciągnąć pieniądze, to sam jest sobie winień (czy tak? por. Allegro: przewał "na ogłoszenie o pracę"). Inna sprawa, że banki nie spieszą się z wdrażaniem kolejnych mechanizmów ochrony. Od czasu do czasu jakieś firmy doradcze promują się w raportach albo różne instytucje próbują wykazać, że ich budżety są uzasadnione lub zbyt małe (por. Amerykański raport na temat przestępczości online, ale co z niego wynika?). Dopiero jak jakiś sposób przeprowadzenia fraudu stanie się odpowiednio "popularny", to wprowadza się kolejne elementy zabezpieczeń (na przykład "talkeny" - kto przeczyta tekst ŻW, będzie wiedział o co chodzi ;). To kwestia rachunku ekonomicznego i szacowania ryzyka...

Tekst ŻW zatytułowany jest Atak na klientów Inteligo. Można tam przeczytać, że była podrobiona strona, że spam "promujący" poszedł do ludzi, że PKO BP (prowadzące Inteligo) twierdzi w pierwszym odruchu, że atak był nieudany i, że nikt nie został poszkodowany (dopiero potem zmienili strategie). W tekście jest też opis działania "podrobionej witryny" (która w momencie publikacji artykułu ŻW nadal działała) i relacja jednego z poszkodowanych:

Pan Maciek, ofiara internetowych oszustów, podkreśla, że logowanie na podrobioną stronę niczym nie różniło się od oryginału. Były zabezpieczenia, m.in. certyfikat szyfrowanego połączenia, bezpieczny adres zaczynający się na „https” (jak oryginalne strony bankowe), a nie „http”. Oszuści zamieścili nawet ostrzeżenie o fałszywych e-mailach! Taki e-mail powinny zatrzymać programy antyspamowe, odrzucające seryjną, niechcianą pocztę. Tym razem i one dały się oszukać, skoro e-mail dotarł do adresata. Ale czujność pana Maćka uśpiło co innego: po zalogowaniu widział wszystkie swoje dane i wykonywane przez siebie ostatnie transakcje. Potem „system” spytał go o dwa kolejne kody ze zdrapki, uwierzytelniające wprowadzone dane.

Ale ten wpis "w blogu" miał być autoironiczny. Otóż p. Ola Kurowska, autorka artykułu, zacytowała moją wypowiedź. Myślę, że kiedyś ktoś uzna ją za moją najbardziej inteligentną wypowiedź udzieloną mediom:

Pytaliśmy ekspertów, jaka może być skala oszustw internetowych tego typu w Polsce.
– Sam chciałbym to wiedzieć – odpowiada Piotr „VaGla” Waglowski, ekspert w dziedzinie internetu.

Jaki tam ekspert, skoro nie wie? A może to umiejętność przyznania się do niewiedzy jest dziś sexy? Nie przypuszczałem, że puszczą to w gazecie. A artykuł trafił na "jedynkę" ŻW...

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

może zapytali się kilkunastu ekspertów...

Może zapytali się kilkunastu ekspertów i otrzymali szereg bardzo rozbieżnych odpowiedzi, więc Pańską uznali za najbardziej wiarygodną :-)

Pozdrawiam i życzę wszystkim szczęśliwego nowego roku.

Jaki tam ekspert, skoro nie

Jaki tam ekspert, skoro nie wie? A może to umiejętność przyznania się do niewiedzy jest dziś sexy?

na Pana pytania odpowiem filozoficznie:
Sam chciałbym to wiedzieć

pozdrawiam i miłego dnia :)

uśpiona czujność?!!!

Jakim cudem cytowany pan Maciek mógł widzieć na fałszywej witrynie "wykonywane przez siebie ostatnie transakcje"?
Albo ich nie widział, albo sprawa zasługuje na zbadanie - czyżby fałszywą stronę robił pracownik banku?

MITM

Po otrzymaniu danych do logowania (login+hasło) na fałszywym serwerze można je przekazać dalej do prawdziwego serwera banku i uzyskać prawdziwe informacje.

uśpiona czujność c.d.

Z tekstu w "Życiu Warszawy" wynika, że pan Maciek widział prawdziwe dane już przy pierwszym logowaniu na fałszywą stronę. To oczywiście może być przekłamanie dziennikarza, ale mimo wszystko jest dla mnie dziwne, że nikt wcześniej nie zwrócił uwagi na ten aspekt sprawy.

dane przekazane są w czasie rzeczywistym

Man in the middle

W chwili wpisania loginu i hasła na podrobionej stronie "piracki" serwer łączy się z prawdziwą stroną i tam się loguje. W zasadzie może cały czas tak działać - otwierać stronę z prawdziwego serwera, wysyłać do niego informacje i tylko filtrować(oraz zapamiętywać) to co przechodzi przez niego z powrotem do klienta.

I w odpowiedniej chwili podmienić np. numer konta i kwotę przelewu...

dziękuję za wyjaśnienie

Przyznaję ze wstydem, że o tym nie pomyslałem - w każdym razie nie przed napisaniem listów :-(

Dziwi mnie, że serwery

Dziwi mnie, że serwery banków nie sprawdzają, kto się loguje. Po IP i nagłówku nie powinny mieć problemów z ustaleniem, czy jet to skrypt z innego serwera, automatyczny program, czy klient poprzez przeglądarkę. Ponadto zwykły Internauta nie byłby w stanie przekroczyć pewnej prędkości w zadawaniu pytań do serwera.

Za dużo niezgodności

Mnie jeszcze zadziwia fakt, jakim cudem p. Maciek widział prawdziwy https? Może tylko zobaczył kłódkę w lewym rogu paska adresu? Ok, byc może widział, ale to nie mógł być https należący do jego banku, musiał być inny adres (nie było jeszcze przypadku hijacku https)... A jeżeli to był https, to jakim cudem oszuści przejęli dane z komta?

Nie było jeszcze przypadku hijacku https?

VaGla's picture

W komentarzu http"s" pisałem o ataku typu phishing na klientów Banca Fideuram. Komentarz przywoływał tekst Atak prawie nie do wykrycia. Oczywiście szczegóły ataku warto sprawdzić. Źródła wskazane w Interii odwołują się do raportu firmy Netcraft.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>