Zła informacja dla klientów mBanku

Jeden z Mirków znalazł sposób na wymuszenie autoryzacji transakcji SMS-em (nawet jeśli ktoś ma autoryzację przez aplikację mobilną). Dzięki temu, złodziej może okraść każdego klienta mBanku, którego login i hasło pozyska i wyrobi duplikat karty SIM. Jedna zła apka lub phishing i 10 000PLN mniej.

niebezpiecznik-pl z dodany: 13.08.2018, 18:06:39

244
Odpowiedz

Komentarze (244)

najlepsze

Ramamon

13.08.2018, 18:11:07

Ja w ogóle nie kumam czemu to że ktoś na mnie coś wyłudził, a ja mu nic nie podawałem to ma być w ogóle mój problem, a nie danej instytucji czy jej pracowników.

niebezpiecznik-pl

13.08.2018, 18:26:40

@Ramamon: sądy się z Tobą zgadzają: https://niebezpiecznik.pl/post/bank-ma-oddac-107-tys-zl-ofierze-phishingu-bo-nieswiadomosc-nie-jest-niedbalstwem-wyrok/

Ramamon

13.08.2018, 18:27:55 via iOS

@niebezpiecznik-pl: mam nadzieję, że takie wyroki są/będą standardem.

j.....o

konto usunięte 13.08.2018, 18:14:06

Zła informacja dla klientów mBanku: jesteście klientami mBanku. ¯\_(ツ)_/¯

piszczel

13.08.2018, 19:37:21 via Android

@jamasoto Mam wrażenie, że mBank najczęściej pojawia się na głównej w związku z podobnymi akcjami.

Freakz

13.08.2018, 19:39:06

@piszczel: mam wrażenie, że jest to najpopularniejszy bank internetowy w Polsce i może to mieć jakiś związek... ale nie jestem specjalistą ( ͡° ͜ʖ ͡°)

p.....k

konto usunięte 13.08.2018, 19:37:26

Żeby stracić 10 000PLN trzeba mieć 10 000PLN ( ͡° ͜ʖ ͡°)

hacerking

13.08.2018, 20:04:04

@powaznyczlowiek: I dlatego warto być biedakiem ( ͡° ͜ʖ ͡°)

nierusz

13.08.2018, 21:51:15

@powaznyczlowiek: a jaką masz zdolność kredytową? Bo bank może szybciutko kredyt na 10 000PLN. I jeśli nie masz teraz 10 000PLN to po ataku jeszcze bardziej nie będziesz miał 10 000PLN :D

Kargaroth

13.08.2018, 18:19:09

Dzięki temu, złodziej może okraść każdego klienta mBanku, którego login i hasło pozyska i wyrobi duplikat karty SIM. Jedna zła apka lub phishing i 10 000PLN mniej.

Dobra, ja rozumiem że luka bezpieczeństwa, ale pozyskać czyjś login, hasło i duplika karty sim to nie jest kurde taka prosta sprawa xD Trzeba trafić na kompletnego kretyna żeby wejść w posiadanie takich informacji. Sorry, ale taka prawda. Jak ktoś zapisuje swoje hasła na karteczkach

niebezpiecznik-pl

13.08.2018, 18:26:10

@Kargaroth: jak ktoś zapisuje hasło na karteczce, to akurat jest nikła szansa, ze straci pieniądze w banku. Większość ataków na bankowość internetową haseł nie odczytuje z karteczek, a z przeglądarki ofiary, po jej infekcji złośliwym oprogramowaniem.

Co do duplikatów kart SIM, to jest niestety prostsze niż się wydaje. W tym tygodniu opublikujemy artykuł, który opisze nasze próby wyłudzenia takiej karty SIM u każdego z operatorów. Spoiler: udało nam się taki

Kargaroth

13.08.2018, 18:37:00

Co do duplikatów kart SIM, to jest niestety prostsze niż się wydaje.

@niebezpiecznik-pl: czekam na artykuł :D
Wy to potraficie dostarczyć rozrywki ;)

tombeczka

13.08.2018, 20:06:07

Sorry, ale prawda jest taka, że od początku działania e-bankowości w PL nikt jej nigdy w żaden godny odnotowania sposób nie skompromitował. Podany tu przykład - wymaga spełnienia warunków już tak wyimaginowanych (szczególnie w przypadku przeciętnego klienta MBanku), że... zwyczajnie nie chce mi się gadać o tym. Jak ktoś pieprzy w komentarzach, że wystarczy znać "PESEL, nazwisko panieńskie matki, PIN i hasło" to mi ręce opadają... a co potrzebujesz, żeby zrobić komuś

stefan_banach

14.08.2018, 21:57:31 via iOS

@darck: Ciekawi mnie tylko jak pin poznali. Pomyslalbym, ze jakas nakladka/skimmer, ale skoro ktos od razu wyplacal tak daleko zagranicą to raczej odpada. A przez internet to nie mam pomyslu jak mogli poznac jej dane i pin. Bo ciotka nie jest internetowa, rzadko korzysta z komputera, glownie do pracy, youtuba pewnie nawet nie zna, jak grzebie w internecie to pewnie wylacznie serwisy internetowe typu onet, tvn, gazeta czy wp, a

darck

15.08.2018, 08:20:15

@stefan_banach: żeby ukraść pieniądze z karty przez internet wystarczy jej zdjęcie z obu stron. PIN jest potrzebny tylko w bankomatach i niektórych sklepach.

m.....y

konto usunięte 13.08.2018, 19:50:17

Treść przeznaczona dla osób powyżej 18 roku życia...

darck

13.08.2018, 22:18:27

@matowoszary: jak ktoś ma nieco więcej na koncie to wymagane dane i dokumenty da się zorganizować. Jak ktoś tylko te 10000pln ma to nie opłaca się.

Protector

14.08.2018, 05:08:13

@matowoszary: no i jeszcze trzeba wiedzieć ile ma ten ktoś na koncie i trzymać kciuki by nie trafić na jakiegoś biednego studenta:/

CzerwonyIndyk

13.08.2018, 19:38:05

A więc jeśli ktoś chciałby okraść klienta mBanku na więcej niż 10 000 PLN, to musi skorzystać ze sposobu jaki opisaliśmy w poprzednim artykule (i będzie mu do tego potrzebny PESEL oraz nazwisko panieńskie matki).

Dzięki za poradnik @niebezpiecznik-pl ....

niebezpiecznik-pl

13.08.2018, 19:58:12

@CzerwonyIndyk: Jeśli tym wpisem chciałeś zasugerować, że przestępcy o tym nie wiedzieli, to musimy Cię rozczarować. Wiedzieli.

niebezpiecznik-pl

13.08.2018, 20:31:38 via iOS

@serpentes: i mBank zostanie zmotywowany do reakcji (popatrz właśnie dziś wprowadzili opcje blokady wersji "lajt", co za przypadek :)

Dominiko_

13.08.2018, 19:45:30

Dzięki temu, złodziej może okraść każdego klienta mBanku, którego login i hasło pozyska i wyrobi duplikat karty SIM.

No chyba nie sugerujesz, że osoba, która zdobędzie mój login do banku, moje hasło do banku, oraz mój odblokowany telefon lub wyrobi duplikat karty SIM z moim numerem, będzie miała dostęp do mojego konta i pieniędzy? Nie wierzę!

Alpherg

13.08.2018, 19:54:57

@Dominiko_: No właśnie czegoś tutaj nie ogarniam w tym zdaniu. A czy takie podwójne zabezpieczenie (login i hasło + hasło sms / karta z listą haseł) nie jest standardem w każdym banku? Co to w ogóle za stwierdzenie, że "wystarczy" zdobyć login, hasło i duplikat SIM? No owszem, wystarczy. W innych bankach również.

carbyne

13.08.2018, 23:27:47

Treść przeznaczona dla osób powyżej 18 roku życia...

Miecz12

13.08.2018, 20:17:18

zaraz zaraz, czyli jak jestem klientem innego banku to nikt nie moze ukrasc moich danych do logowania i wyrobic duplikatu karty sim??

Spring_is_coming

13.08.2018, 21:37:17

@Miecz12: Moze zapewne dokladnie tak samo. Ale tego sie pewnie nie dowiesz, bo @niebezpiecznik-pl sprawdza tylko luki w mbanku a a luki w innych bankach kazal sprawdzac czytelnikom.