podbijcie proszę - może więcej osób przeczyta. Metoda na BLIKA której jeszcze nie widziałem. Zaraz opiszę jak do tego doszło, jak się ustrzec i do czego doprowadzić może zignorowanie świadomości na ten temat lub brak czujności w tej kwestii.
Dostałem wiadomość od kolegi, który siedział obok, czy jestem w stanie przelać mu blikiem parę złotych z racji tego, że on nie ma blika, a chce coś kupić. Zgodziłem się ;) Wygenerowałem kod, zmieniłem go, po czym znajomy napisał mi, że jest niepoprawny i transakcja nie przechodzi.
Zaczęliśmy działać, bo co dalej? Ktoś ewidentnie jest zalogowany na jego koncie pomimo tego, że obecnie nawet on sam go używa na Messengerze. Zaczęły się też telefony od ludzi z pytaniami dotyczącymi tego o co chodzi.
Co dalej? W wielkim skrócie jak postępować : Po pierwsze musimy wyrzucić intruza (✌゚∀゚)☞
1. Logujemy się na e-mail powiązany z kontem FB, w ustawieniach (jeśli wyłączone) ustawiamy najpierw logowanie dwuetapowe. Najlepiej gdybyśmy wszystkie działania wykonywali na innym telefonie lub komputerze. 2. Zmieniamy hasło do e-maila powiązanego z kontem FB oraz jeśli dany operator poczty elektronicznej udostępnia taką opcję - wylogowujemy wszystkie zalogowane urządzenia. 3. Wchodzimy w ustawienia FB i zmieniamy hasło, ustawiamy także logowanie dwuetapowe (jeśli wyłączone). Na mailu potwierdzamy zmianę hasła po czym logujemy się na FB ponownie (krótki przewodnik się włączy i sprawdzi dane). 4. Wchodzimy w ustawienia FB i wylogowujemy wszystkie zalogowane urządzenia. W ten sposób zablokowaliśmy atakującemu możliwość zalogowania się na FB ponownie oraz zmianę hasła do konta FB ponieważ stracił dostęp do maila dzięki (jeśli go miał). 5. W międzyczasie na swoim głównym koncie udostępniamy post na FB o włamaniu oraz ostrzeżenie, aby znajomi nie podejmowali żadnych działań w naszym kierunku. Jeśli mamy możliwość rozsyłamy do znajomych też pojedynczo spam na Messengerze o tym samym (będzie widać do kogo pisał atakujący). 6. Jeśli nie mieliśmy włączonej kopii zapasowej - podpinamy nowe konto Google'a lub innego Samsung Clouda, aby wykonać kopie zapasową zainfekowanego telefonu. 7. Wykonujemy backup danych, na których nam zależy do chmury. 8. Resetujemy telefon do ustawień fabrycznych. 9. Wgrywamy dane z chmury z powrotem do telefonu.
UWAGA: Przed tymi czynnościami NIE SPRAWDZAMY aplikacji bankowych i tego czy nam skarbonek nie wyzerowało. Chyba, że z innych urządzeń.
Po tych czynnościach :
1. Instalujemy jakiegoś (nie reklama) ESET Internet Security na urządzeniu. 2. Myślimy jakie usługi mamy gdziekolwiek i jakie usługi być może mają możliwość logowań dwuetapowych. Po czym oczywiście je włączamy. 3. Myślimy jak do tego doszło i co poprawić oraz jakie to stwarza zagrożenia.
Jak do tego doszło? :
Znajomy chciał coś sprzedać w internecie na grupie FB, sprzedał i dostał za to pieniądze ale bez kosztów wysyłki (drobna kwota) więc poprosił o przelew za transport i dostał info o pilnym zapotrzebowaniu na towar, a w związku z czym kupujący poinformował o przesłaniu na maila skanu potwierdzenia przelewu za transport. Znajomy zalogował się na maila. Mail kupującego zwyczajny, z obrazkiem (Interia) i nie dostrzegł rozszerzenia pliku "potwierdzenie.jpeg.img" gdzie kluczem było rozszerzenie IMG. Otworzył, nic się nie stało. Najprawdopodobniej kod zalogował inne urządzenie lub przesłał jakieś dane sesyjne dla aktywnej sesji, aby atakującego zalogować lub umożliwić zalogowanie.
Stracił czujność w momencie realizacji właściwej transakcji, za którą dostał potwierdzenie w PDF, przy drugim "dolaniu kasy" kupujący poinformował, że ma problem z PDF więc wysyła screena z przelewu. Owy screen był plikiem obrazu z witaminką w środku czyli złośliwym kodem.
Jak się ustrzec? : - sprawdzamy rozszerzenia plików, na pocztach typu Interia itp. jeśli coś jest obrazkiem to NIM JEST i widoczna jest jego miniaturka, - należy pamiętać, że jeśli nasz znajomy został zainfekowany czyli de facto możemy już prowadzić konwersację z atakującym, to też należy uważać na załączniku przez każdy internetowy komunikator i za każdym razem weryfikować odbierane pliki, - jeśli plik nie posiada miniaturki, a ma być np. screenem to powinna zapalić się już w głowie lampka, - zawsze używajmy uwierzytelnienia dwuetapowego, najlepiej z przesyłaniem kodów na telefon w formie SMS, - zmiana haseł co jakiś czas lub używanie menadżerów haseł (chociaż ostatni czas pokazuje również ich wątpliwość) - NIGDY nie prosimy o kasę ludzi przez FB czy Messenger, - NIGDY nie akceptujemy próśb o kasę w powyższy sposób, - jeśli takie prośby się pojawią (np. o kod BLIK), od tego mamy telefon, zadzwoń, zapytaj, doinformuj się, - w drugą stronę jeśli ktoś chce od nas kod BLIK, zadzwoń i poinformuj, sprawdź, a może uratujesz komuś parę groszy, - bądźmy czujni jeśli chodzi o słownictwo, jeśli ktoś do kogoś całe życie mówi "mała" i nagle zaczyna od imienia to może być coś nie tak, - JEŚLI już wygenerowaliśmy kod i go podaliśmy to jeszcze jest szansa, bo BLIK żąda potwierdzenia danej transakcji i informuje kto jest odbiorcą więc czytajmy takie dane, bo ktoś może prosić o kasę bez powodu, a w innym wypadku mówić, że sklep internetowy czy Allegro, a na żądaniu wpisania PINU widnieje np. BANKOMAT EURONET czy inny (wtedy kasa idzie do bankomatu i ktoś przy nim aktualnie jest), - edukujmy, informujmy się wzajemnie!
Zagrożenia : - wyłudzenie pieniędzy, naszych lub postronnych osób, - nieautoryzowany dostęp do wrażliwych danych na urządzeniu lub w FB i innych (zdjęcia, filmy, nudesy, treści, prywatne rozmowy), - możliwość szantażu w stronę zaatakowanego dzięki dostępowi do wrażliwych danych, - dostęp do danych typu dowody osobiste, pisma urzędowe itp. (jeśli były kiedykolwiek wysyłane przez np. Messengera) - sprzedaż wrażliwych danych innym, którzy zajmują się wymuszeniami - otwieranie rachunków bankowych, zawieranie chwilówek na dane dostępne z pobranych danych zainfekowanych urządzeń lub komunikatorów,
Co gdy ktoś przesłał kod BLIK? : Właściwie to niech się pogodzi ze stratą. Oczywiście można składać reklamację na nieautoryzowane wykorzystanie ale bank ją odrzuci z racji tego, że była właściwie autoryzowana ponieważ kod został wygenerowany przez aplikację właściciela. Mało tego - bank ją odrzuci z racji tego, że prawie w każdej z instytucji tego typu w regulaminie świadczenia usługi BLIK jest zapis o tym, że kody służą wyłącznie właścicielowi i nie wolno ich udostępniać dalej. Jest to złamanie regulaminu zatem reklamacja zostanie odrzucona. Można sprawę zgłosić na policji - jeśli coś się uda to się uda. Generalnie należy pamiętać, że BLIK jest Twój i koniec.
Jak się skończyła nasza historia? : Cała historia jest opisana wyżej włącznie z infekcją, reakcją i zakończeniem, do którego należy dodać, że na 40 osób tylko jedna straciła 1000 zł, których zapewne nie odzyska. Bądźcie więc czujni Miruny i Mireczki, bo u nas część starszych osób się nie nabrała (stara data to najpierw za telefon), a część młodszych osób, które już o tym słyszały były w fazie generowania kodów. Łatwo stracić czujność.
@parasite: Fajny poradnik, jedna uwaga: przestępca najprawdopodobniej NIE znał hasła ani nawet maila do konfa FB. Wykradł sesję ciasteczek. Nawet jeśli zmienisz hasło, ustawisz 2FA i zalogujesz się bezpiecznie... Gość znów będzie mógł wykraść aktywne sesje logowania (ciasteczka) i znów będzie tobą :) Oczywiście mógł również wykraść zapisane hasła z przeglądarki, jednak trzeba mieć na uwadze że 2FA przed kradzieżą ciastek nie chroni. Zamknięcie aktywnych sesji na ++++ priorytetowo. Inna opcja:
To jakaś grubsza akcja była, czasowo się to połączyło z tym co ostatnio zasłyszałem w RMF. Podobno pykło 800 tys, zaangażowanych miało być 14 lub 40 (nie pamiętam) osób. Podzieleni na role, tych co rozsyłali witaminy, piszących na Messengerze i podających kody oraz tych czekających pod bankomatami. Aby bliki nie gasły, a realizacja większości odbywała się z powodzeniem - było kilka osób oczekujących na blika od jednego "piszącego" ale w różnych miejscach
@parasite: W moim bliskim otoczeniu są cztery osoby które straciły pewne cyfrowe tożsamości. Poczta, fejsiki, gierki. Każda z tych osób używała jednego prostego hasła : ) Były oczywiście próby wyłudzenia hajsu przez przejęte konta typu: ej jestem na stacji paliw, nie mam siana, daj blika na 300zł.
Co do last pass'a. Ogólnie rzecz biorąc to nie architektura tego managera była dziurawa. Jeden z adminów używał do pracy zdalnej komputera prywatnego. Złapał
@parasite: Był też wyciek haseł z Norton managera haseł. Jednak dość śmieszny. Przestępcy zebrali z darknetu listę kombinacji mail / password. Głównie są to dane z wycieków z przed lat, kiedy wszystkie bazy były dziurawe, a hasła proste, zapisywany w prymitywnych funkcjach skrótu. Lub też dopiero teraz są dostępne domowe moce obliczeniowe pozwalające na "rozkrakowanie" hashy na hasła. A spróbowali użyć tych kombinacji do zalogowania się do managera xD Zostały ujawnione
Aktywne Wpisy
18+
Zawiera treści 18+
Ta treść została oznaczona jako materiał kontrowersyjny lub dla dorosłych.
podbijcie proszę - może więcej osób przeczyta. Metoda na BLIKA której jeszcze nie widziałem. Zaraz opiszę jak do tego doszło, jak się ustrzec i do czego doprowadzić może zignorowanie świadomości na ten temat lub brak czujności w tej kwestii.
Zaczęliśmy działać, bo co dalej? Ktoś ewidentnie jest zalogowany na jego koncie pomimo tego, że obecnie nawet on sam go używa na Messengerze. Zaczęły się też telefony od ludzi z pytaniami dotyczącymi tego o co chodzi.
Co dalej? W wielkim skrócie jak postępować :
Po pierwsze musimy wyrzucić intruza (✌ ゚ ∀ ゚)☞
1. Logujemy się na e-mail powiązany z kontem FB, w ustawieniach (jeśli wyłączone) ustawiamy najpierw logowanie dwuetapowe. Najlepiej gdybyśmy wszystkie działania wykonywali na innym telefonie lub komputerze.
2. Zmieniamy hasło do e-maila powiązanego z kontem FB oraz jeśli dany operator poczty elektronicznej udostępnia taką opcję - wylogowujemy wszystkie zalogowane urządzenia.
3. Wchodzimy w ustawienia FB i zmieniamy hasło, ustawiamy także logowanie dwuetapowe (jeśli wyłączone). Na mailu potwierdzamy zmianę hasła po czym logujemy się na FB ponownie (krótki przewodnik się włączy i sprawdzi dane).
4. Wchodzimy w ustawienia FB i wylogowujemy wszystkie zalogowane urządzenia. W ten sposób zablokowaliśmy atakującemu możliwość zalogowania się na FB ponownie oraz zmianę hasła do konta FB ponieważ stracił dostęp do maila dzięki (jeśli go miał).
5. W międzyczasie na swoim głównym koncie udostępniamy post na FB o włamaniu oraz ostrzeżenie, aby znajomi nie podejmowali żadnych działań w naszym kierunku. Jeśli mamy możliwość rozsyłamy do znajomych też pojedynczo spam na Messengerze o tym samym (będzie widać do kogo pisał atakujący).
6. Jeśli nie mieliśmy włączonej kopii zapasowej - podpinamy nowe konto Google'a lub innego Samsung Clouda, aby wykonać kopie zapasową zainfekowanego telefonu.
7. Wykonujemy backup danych, na których nam zależy do chmury.
8. Resetujemy telefon do ustawień fabrycznych.
9. Wgrywamy dane z chmury z powrotem do telefonu.
UWAGA: Przed tymi czynnościami NIE SPRAWDZAMY aplikacji bankowych i tego czy nam skarbonek nie wyzerowało. Chyba, że z innych urządzeń.
Po tych czynnościach :
1. Instalujemy jakiegoś (nie reklama) ESET Internet Security na urządzeniu.
2. Myślimy jakie usługi mamy gdziekolwiek i jakie usługi być może mają możliwość logowań dwuetapowych. Po czym oczywiście je włączamy.
3. Myślimy jak do tego doszło i co poprawić oraz jakie to stwarza zagrożenia.
Jak do tego doszło? :
Znajomy chciał coś sprzedać w internecie na grupie FB, sprzedał i dostał za to pieniądze ale bez kosztów wysyłki (drobna kwota) więc poprosił o przelew za transport i dostał info o pilnym zapotrzebowaniu na towar, a w związku z czym kupujący poinformował o przesłaniu na maila skanu potwierdzenia przelewu za transport. Znajomy zalogował się na maila. Mail kupującego zwyczajny, z obrazkiem (Interia) i nie dostrzegł rozszerzenia pliku "potwierdzenie.jpeg.img" gdzie kluczem było rozszerzenie IMG. Otworzył, nic się nie stało. Najprawdopodobniej kod zalogował inne urządzenie lub przesłał jakieś dane sesyjne dla aktywnej sesji, aby atakującego zalogować lub umożliwić zalogowanie.
Stracił czujność w momencie realizacji właściwej transakcji, za którą dostał potwierdzenie w PDF, przy drugim "dolaniu kasy" kupujący poinformował, że ma problem z PDF więc wysyła screena z przelewu. Owy screen był plikiem obrazu z witaminką w środku czyli złośliwym kodem.
Jak się ustrzec? :
- sprawdzamy rozszerzenia plików, na pocztach typu Interia itp. jeśli coś jest obrazkiem to NIM JEST i widoczna jest jego miniaturka,
- należy pamiętać, że jeśli nasz znajomy został zainfekowany czyli de facto możemy już prowadzić konwersację z atakującym, to też należy uważać na załączniku przez każdy internetowy komunikator i za każdym razem weryfikować odbierane pliki,
- jeśli plik nie posiada miniaturki, a ma być np. screenem to powinna zapalić się już w głowie lampka,
- zawsze używajmy uwierzytelnienia dwuetapowego, najlepiej z przesyłaniem kodów na telefon w formie SMS,
- zmiana haseł co jakiś czas lub używanie menadżerów haseł (chociaż ostatni czas pokazuje również ich wątpliwość)
- NIGDY nie prosimy o kasę ludzi przez FB czy Messenger,
- NIGDY nie akceptujemy próśb o kasę w powyższy sposób,
- jeśli takie prośby się pojawią (np. o kod BLIK), od tego mamy telefon, zadzwoń, zapytaj, doinformuj się,
- w drugą stronę jeśli ktoś chce od nas kod BLIK, zadzwoń i poinformuj, sprawdź, a może uratujesz komuś parę groszy,
- bądźmy czujni jeśli chodzi o słownictwo, jeśli ktoś do kogoś całe życie mówi "mała" i nagle zaczyna od imienia to może być coś nie tak,
- JEŚLI już wygenerowaliśmy kod i go podaliśmy to jeszcze jest szansa, bo BLIK żąda potwierdzenia danej transakcji i informuje kto jest odbiorcą więc czytajmy takie dane, bo ktoś może prosić o kasę bez powodu, a w innym wypadku mówić, że sklep internetowy czy Allegro, a na żądaniu wpisania PINU widnieje np. BANKOMAT EURONET czy inny (wtedy kasa idzie do bankomatu i ktoś przy nim aktualnie jest),
- edukujmy, informujmy się wzajemnie!
Zagrożenia :
- wyłudzenie pieniędzy, naszych lub postronnych osób,
- nieautoryzowany dostęp do wrażliwych danych na urządzeniu lub w FB i innych (zdjęcia, filmy, nudesy, treści, prywatne rozmowy),
- możliwość szantażu w stronę zaatakowanego dzięki dostępowi do wrażliwych danych,
- dostęp do danych typu dowody osobiste, pisma urzędowe itp. (jeśli były kiedykolwiek wysyłane przez np. Messengera)
- sprzedaż wrażliwych danych innym, którzy zajmują się wymuszeniami
- otwieranie rachunków bankowych, zawieranie chwilówek na dane dostępne z pobranych danych zainfekowanych urządzeń lub komunikatorów,
Co gdy ktoś przesłał kod BLIK? :
Właściwie to niech się pogodzi ze stratą. Oczywiście można składać reklamację na nieautoryzowane wykorzystanie ale bank ją odrzuci z racji tego, że była właściwie autoryzowana ponieważ kod został wygenerowany przez aplikację właściciela. Mało tego - bank ją odrzuci z racji tego, że prawie w każdej z instytucji tego typu w regulaminie świadczenia usługi BLIK jest zapis o tym, że kody służą wyłącznie właścicielowi i nie wolno ich udostępniać dalej. Jest to złamanie regulaminu zatem reklamacja zostanie odrzucona. Można sprawę zgłosić na policji - jeśli coś się uda to się uda. Generalnie należy pamiętać, że BLIK jest Twój i koniec.
Jak się skończyła nasza historia? :
Cała historia jest opisana wyżej włącznie z infekcją, reakcją i zakończeniem, do którego należy dodać, że na 40 osób tylko jedna straciła 1000 zł, których zapewne nie odzyska. Bądźcie więc czujni Miruny i Mireczki, bo u nas część starszych osób się nie nabrała (stara data to najpierw za telefon), a część młodszych osób, które już o tym słyszały były w fazie generowania kodów. Łatwo stracić czujność.
#blik #security #it #facebook #oszustwo #scam #cyberbezpieczenstwo #cybersecurity
źródło: scam-wide
PobierzOczywiście mógł również wykraść zapisane hasła z przeglądarki, jednak trzeba mieć na uwadze że 2FA przed kradzieżą ciastek nie chroni. Zamknięcie aktywnych sesji na ++++ priorytetowo.
Inna opcja:
Co do last pass'a. Ogólnie rzecz biorąc to nie architektura tego managera była dziurawa. Jeden z adminów używał do pracy zdalnej komputera prywatnego. Złapał