Stracił 16 000 PLN bo miał dziurawy router
![Stracił 16 000 PLN bo miał dziurawy router](https://wykop.pl/cdn/c3397993/link_ptL7sUGjEs3TCCltKFT5hmJTcZaq1zZP,w300h194.jpg)
Wczoraj jeden z naszych czytelników opisał nam, jak z powodu dziury w routerze, z jego konta w mBanku zniknęło 16 000 PLN. Opis samego ataku oraz tego jak sprawdzić, czy wasz router jest dziurawy znajdziecie w tym artykule.
- #
- #
- #
- #
- #
- #
- 170
Komentarze (170)
najlepsze
Jak ja bym miał 23,90 to bym sobie życie na nowo ułożył.
Ja zaklejam dziury w routerze taśmą izolacyjną. Sprawdzony sposób.
źródło: comment_1hy56MoGJj5nWvdxXBksWytYIQmWkMLl.jpg
Pobierz@zakopywywacz: Ta! Krezus, psia mać, tyle piniendzy
Tutaj można sprawdzić -> http://cert.orange.pl/modemscan/
źródło: comment_KHsmb4Pph3w6XdvF0dMDCA4nFR9qbF4h.jpg
Pobierzhttp://cert.orange.pl/modemscan/images/congratulations.gif
Ale co ciekawe, to nie tym postem sugerowali się atakujący, bo atak miał miejsce dzień wcześniej. Timeline poniżej:
11 stycznia - oryginalna wiadomość researchera, który odkrył błąd ujrzała światło dzienne
15 stycznia - atak na klienta mBanku
16 stycznia - pierwsze ostrzeżenie od Niebezpiecznika opisujące dokładnie taki rozwój wypadków.
protip
Dziura w iPKO
W skórcie:
Żeby zmienić konto docelowe w przelewie zdefiniowanym nie trzeba potwierdzenia hasłem jednorazowym. Czyli:
- przechwytuję keyloggerem hasło i login
- loguję się i zmieniam numer konta w zdefiniowanym przelwie np "Opłata za czynsz" - system łyka, tę zmianę gładko.
- użytkownik loguje się żeby zapłacić czynsz i o ile nie sprawdzi numeru konta docelowego (a przecież każdy zna na pamięć numer
Drugim winnym jest sam użytkownik który bezmyślnie podał hasło SMSowe bez zweryfikowani do czego ma ono służyć.
Trzecim winnym jest