Hackeři vysáli z bankovních účtů téměř miliardu korun díky jedinému viru
Vir dokázal získat oba nezbytné údaje k elektronickému bankovnictví a ovládnout chytrý mobilní telefon.
Kombinací těchto netriviálních kroků tedy mohl získat úplnou kontrolu nad elektronickým bankovnictvím oběti.
Taketo spravy by mali byt trestne postihnutelne, pretoze su obycajnym hoaxom.
Velmi by ma zaujimalo ako ziska utocnik mije telefonne cislo, ktore sa v komunikacii medzi mojim pc a serverom banky vobec nevyskytuje? Dalej ma zaujima odkial ziska utocnik dodatocne autorizacne udaje ako je napriklad pole z grid karty, autorizacia cez kod vygenerovany citackou, pripadne aplikaciou na monitore?
Cela sprava je jeden velky zvast a ak doslo k nejakemu naburaniu do uzivatelskych kont tak urcite nie tak ako popisuje clanok. Na ovladnutie mojho uctu urcite nestaci mat pod kontrolou moje pc a moj telefon.
Hoax to asi nebude, zrovna v pátek jsem tohle slyšel přímo od virového analytika z AVG.
Ja netvrdim, ze sa neda vykradnut ucet. Ja tvrdim, ze tak ako je to popisane v clanku to nefunguje.
Netuším do jaké míry si na Novinkách vymýšlejí, ale pokud jde o kombinaci napadení počítače a mobilu, tak tam tam byla určitě.
Je to pravděpodobné...
Takze sa jednalo len o ucty, ktore sa autorizuju cez sms a navyse user musel spravit niekolko krokov, aby bol utocnik uspesny.
Instalovat si virus, prezradit svoje telefonne cislo, mat androidny alebo BB telefon, nainstalovat si virus do mobilu a potom sa este prihlasit do bankingu na zaver.
Z technologickeho hladiska by ma zaujimalo ako virus modifikoval ssl komunikaciu medzi klientom a bankou, podla popisu skor nahodil phsinutu stranku, kde klient bonzol na seba svoje telefonne cislo, co je dalsi krok, kde musi obet spolupracovat.
Ludska blbost nepozna hranic...
Tak jistě, nikdo netvrdí, že je to jednoduché. Ale evidentně i tak na to skočí spousta lidí.
Sprava nie je zvast, ono to zrejme fungovalo, samozrejme s aktivnym prispenim nic netusiacich obeti. Prekvapila ma ale tvoja reakcia, ktoru by som od cloveka znaleho v IT teda necakal.
Jednoducho, vypyta si ho od teba
Nijak, lebo ich nepotrebuje
Tvojho uctu nie, ale su ucty (a banky), kde to staci.
Sprava je zvast, pretoze vyvolava dojem, ze nejaky program dokaze vysat z vaseho uctu peniaze, hodi sa do bulvaru a vecernych sprav komercnych TV, ale nie ako seriozna sprava s takymto nadpisom.
- program nefunguje zdaleka na kazdu banku
- program si musite najprv instalovat
- musite prezradit svoje telefonne cislo
- musite si instalovat do telefonu dalsi program
- musite sa prihlasit do bankingu
Nie program, ale program + konkretne inetbanking + znasobena ludska blbost = vykradnutie uctu.
Ale to tu uz bolo aj predtym, phisingove maily, povedzte nam svoj login a heslo, poslite nam sken vasej grid karty a pod.
Faceblb telefonne číslo má, user ho rád a dobrovolne uvedie, veď čo by neurobil pre FB ...
Sprava nie je zvast, pretoze podstata spravy je inde, technicke detaily by bezny citatel noviniek aj tak nepochopil. Ako ta tvoja prva reakcia bola podla mna dost od veci, ako keby cela ta sprava bola hlupost od A do Z, ale nejako si tvrdohlavo trvas na tej tvojej pravde.
To je snad kazdemu trochu znalejsiemu jasne, to si mal z tej spravy fakt taky dojem, ze funguje na kazdu banku?
De facto ano, casto o tom ale user netusi, co si instaluje do pocitaca, resp. moze sa virus nainstalovat s dalsim programom, skratka moznosti je mnoho
pozrel som si len tak z prdele IB svojej banky a to cislo sa tam da vycitat, aj zmenit. Takze teoreticky ak sa virus dokaze prihlasit do IB, dokaze si precitaj aj tel. cislo, interakcia uzivatela uz nie je potrebna. Podla toho, co som cital, ale to v pripade tohto programu nebol ten pripad.
toto je jedine ocividne vyuzitie blbosti pouzivatela, ale vzhladom k tomu, ze niektore banky maju specialne aplikacie pre svoj IB pre smartphony, tak to moze zmiast aj skusenejsieho cloveka.
to je snad bezna operacia
Ak uz virus ma prihlasovacie udaje k IB a je infikovany aj mobil, potom prihlasovanie do IB a generovanie transakcie je uplne bez interakcie pouzivatela a program uz moze pekne z uctu vysavat peniaze.
Podla clanku program sam nemoze vykonavat nic, vzdy sa vyzaduje prihlasenie do internet bankingu, pravdepodobne kvoli maskovaniu, pretoze ak by ti chodili kody z banky do mobilu len tak bolo by ti to podozrive.
Mne lezu na nervy tie bombasticke titulky a zamerne oblbovanie ludi. Vies kolko mam takych klientov, co mi dodnes platia za net cez postu alebo vkladom na ucet? Vies, ze posta je tak blba, ze kurvi variabilne symboly, ja potom neviem od koho su platby a musim cakat kazdy mesiac na jej vyuctovanie? Ze za kazdy vklad platim ja ako prijemca banke 1.5 eura? A ze ked ludom poviem pouzivajte internet banking a povedia mi, ze na Markize hovorili, ze mozu prist o peniaze tak ho pouzivat nebudu...tak potom sa nediv, ze som na taketo bombasticke nadpisy pomerne alergicky.
Jenže on ten kód může do mobilu přijít, aniž by to bylo jakkoliv poznat. To už zaručí aplikace na tom napadeném mobilu.
ok, chapem, co ta sere, mna tiez stvu bombasticke titulky, pravdu povediac tu spravu som prvy krat cital na sme, potom som si o tom nieco pozeral na nejakych zahranicnych servroch, lebo ma to zaujalo. O novinaroch nemam velku mienku a ked takto zjednodusuju spravy o com nieco viem, tak sa desim, co je pravdy na spravach o temach, o ktorych nemam ani paru:)
Mozno by si mohol ponukat svojim zakaznikov, ktori platia cez IB, zlavu (napr. tych 1.5 eura), nech ich trochu motivujes:)
btw. virus na mobile zamaskuje prichadzajucu SMS, pouzivatel o ziadnej transakcii nevie (resp. zisti az ked pozrie na vypis uctu)
ZIadnu zlavu, pravdepodobne poziadam banku nech uctuje poplatok za vlozenie uctu vkladatelovi. Ale ako "potrestam" tych cez postu netusim, pretoze tu je na vine posta vymrdana, ktora proste nevie preposlat platbu so spravnym v.s.
Zastavam nazor, ze za hlupost sa plati, takze ak je niekto hlupy a nechce platit cez IB ale cez postu, nech plati viac :)
Tak to snad radši tu slevu... A před tím to o těch jeden a půl fufně všechno zdraž.
stahnes infikovanou aplikaci na android (nebudu rozebirat kolik lidi kontroluje prava aplikace pri instalaci) pripojis telefon k pc, cimz dojde infikovani PC cimz mam pod kontrolou tvuj telefon, telefoni cislo, SMS, internetovy prohlizec, ....
Odkial ju stiahnes? Z marketu? Tam nebude. Zo stranky? Telefony maju defaultne zakazane instalovat aplikacie z cudzich zdrojov, takze opat sa vyzaduje moje povolenie. Kolko krokov este musim spolupracovat s utocnikom aby bol uspesny?
Pochopte toto nie je problem bankingu, toto nie je problem OS, aplikacie, toto je problem ludi. Nestaci spravit jedne chybny krok, uzivatel ich musi spravit niekolko az potom moze prist o peniaze.
Hacking se stáva biznis s miliardovým ziskem .... takto úspešne není sú ani firmy s tisícovkou zamestnancu ..
Na druhe strane miliardy dolaru, eur, kradne vedení investičných bank spolu s politiky, neustále a nikoho to v postate nenasere, na upokojení mas bohate vystačuje koupit media, televizi a zaplatit analytiky aby neco furt mleli o krizi ....
Takže nic se nedeje, lidé jsou okrádani neustále .... akorát ted si kousek sousta urval novej vlčák
Nestává, už dávno je.
Naprosto souhlasim s tim, co tu pise fleg, ty obeti museli nekolikrat dobrovolne naprosto ignorantskym zpusobem spolupracovat, coz se samozrejme v senzacni zprave nenapise, ze obeti byli naprosto nesvepravny idioti.
To je ale případ 99 % podvodů, nejen těch počítačových.
a ono toho podľa mňa bude pribúdať lebo mám osobne taký blbý pocit že telefóny sa stávajú komplikovanejším zariadením než počítač.
Na androidu museli potvrdit instalaci a minimalne to, ze ten program bude cist SMS a museli jim dat pristupove kody k internetbankingu.
Precetl jsem tu zpravu i na novinkach a vyvolava tri domnenky, nebezpecnej je internetbanking, nebezpecny jsou chytry telefony a kdyz uz smartphone, tak dokoupit i zabezpeceni. Ani jedno z toho neni pravda, jen se podarilo podvodnikum dostat vir k totalnim hlupcum s IQ mensim nez ma opice.
Je pravdou aplikaci je opravneni potreba potvrdit,
je pravdou nikdo to nečte, neskoumá co povoluje, povolí a je to ....
delá to tak 99,64% useru
z čeho plyne ... chytry telefony jsou nebezpečné, velice nebezpečné .... bude to ješte horší ....
očekávam, za nejaký čas, vlastnost chytrých telefonu modifikovat své základní funkce, bude dúvodem odmítaní techto telefonú u nemalé části konzervatívnich zákazníku mobilních operátoru.
Lide si uvedomí, potrebují a chtejí jenom telefon a vše navíc je zdroj nebezpečí ...
Taky bych mohl tvrdit, že stolní PC jsou nebezpečné. Pokud vím, tak ty musí být taky napadené.. K čertu s PC!!
To, že si tam user instaluje něco, co neví, co dělá, nedělá z Androidu nebezpečný sytém.
pry to do PC dostavali pres Oraclovu deravou Javu, k certu s Javou!
Bud nemas androida nebo asi nikdy nic neinstalujes.
Tyto prava, ma kdejaka aplikace z Google Play, to za prve a za druhe, pokud jim nejaky programek byl poslany (clanek jsem necetl, jen proletel), tak v mobilu uz se ti neukazuje jaky prava to po tobe vyzaduje. TO si muze precist pouze u aplikaci na Google Play predtim, nez je stahnes. Tato aplikace, ktera kradla cislo mobilu a kod k bance nebo co to kradlo, urcite nebyla z GP.
No a k tem hlupcum jen jednu vec. Nechapu, proc by mel byt hlupcem ten, kdo ma tzv. chytry tel. a nainstaluje nejakou aplikaci, kdyz na lidi porad vyskakuje, ze to chce neco aktualizovat. To si maji delat maturitu na ovladani telefonu? Nikdo je zatim neporada, takze ten hlupec je jedine programator Androidu nebo aplikace, ze to neumi ochranit a upravit tak, aby se s tim BFU nemusel otravovat a navstevovat kurzy ovladani telefonu. Uz se tady probudte, vy frajeri, vseznalci, geekove apod., pro me je vetsina z Vas jen soucast skupinu asocialnich a drzych nerdu, kteri maji pro obycejny lidi jen nadavky a urazky. Neni to dloouho, co jste tady tvrdili, ze na Androida zadny viry nejsou a ono je to jinak, co? Takze mne klidne zabanujte, ale ja uz mam plny zuby cist tyhle urazky, protoze urazis napriklad myho otce, kterj ten telefon taky pouziva a predstav si, tu maturitu na nej nema a ten "hlupec" si dovoli instalovat aktualizace, co mu tel, nabidne sam, bez skoleni a bez porady na zdejsi poradne.
Pristupovy kody k internetbankingu asi dat nikdo nikomu nemusel, pokud si je skodliva aplikace umela z mobilu vzit sama, alespon ty, ktery potrebovala. Nikdo z vas nevi, jak to opravdu fungovalo, ale vsichni vite, ze lidi jsou debilove. Tak tem debilum, vy geniove pomozte a naprogramujte neco, at se tohle nedeje.
A snad poprve souhlasim s Josephem.
Takze staci mit zakazane instalace mimo Google Play, coz defaultne maji vsichni, kdoz neinstaluji warez. Aha.
tak u Free SMS Senderu mi ty prava nevadi, vim co to je a co instaluju, ale kdejakou blbost, ktera po me chce prava na to co nepotrebuje neinstaluju.
Jak si nejaka aplikace vezme sama moje heslo k IB?
Si robis srandu? Bud to heslo ten virus zistoval z PC, alebo si ho mohol vycital z SMS z telefonu.
Cez mobil sa heslo pri autorizacii neprenasa.
Ako si zisti aplikacia jeshlo k internetbankingu? Napadne ssl spojenie? Velmi obtiazne a zistitelne. Spusti keyloger? Pomerne pracne na naslednu analyzu. Spusti phising stranku? A opat sme pri znamom probleme...zase je nutna spolupraca uzivatela. To uzivatel necita na akej je stranke a len odklepava, dalej, dalej, dalej, hlavne nech je to uz z obrazovky prec?
Neviem, ako to bolo v tomto pripade, no ked si uz da niekto taku namahu, ze vytvori takyto skodlivy kod, tak uz si da namahu napr. analyzovat log z keyloggera.
Takze jsme se dostali k tomu, ze uzivatel si pres deravou Javu a administratorsky prava a nasledne odklepavani a povolovani instalace keyloggeru do sveho PC, zpusobil problem sam.
Radku nieco ine je, ked prides o rpachy vinou exploitu v ssl, alebo niekto nabura db server banky a nieco ine je, ked prides o prachy tym, ze si sa niekokokrat hrubo previnil voci zasadam bezpecnosti. Mne je jedno, ci sa to stane tebe, tvojmu otcovi alebo mojmu. Vsetci ste proste blbci ak sa vam to stane.
Ze Android otravuje furt s nejakymi aktualizciami? Noa co. Za prve sa vacsina z nich da vypnut, za druhe ak neviem tak zasadne nic nepotvrdzujem! A uz vobec nie o takej citlivej veci ako je mobil banking.
Vies, kde je problem? Ludia maju pocit, ze mat admin ucet na pc je nutnost. Ludia maju pocit, ze pc nemusi opravovat profesional, ze staci chlapec od susedov lebo vie spustit task manazera. Ludia maju pocit, ze pc funguju same. Ludia prestali premyslat, ludia klikaju, hlavne nech to zmizne z obrazovky. Ako nazvat takychto ludi? Ak to mam povedat jemne su to ignoranti, ak od srdca blbci.
Nevies, nerozumies? Vzdelavaj sa. Ak nie potom musis celit nasledkom svojej nevedemosti.
Raz pride cas, ked vacsina pc v domacnostiach bude mat svojich profesionalnych admimov, pretoze ludia sa x-krat popalia a potom pochopia, ze je lacnejsie si platit profesionalny support ako riesit nasledne havarie.
Btw rad prirovnavam pc k autu....auto si tiez kazdy opravuje doma sam svojpomocne alebo s nim chodi radsej do servisu?
fleg necital som ani ten clanok ani celu diskusiu, len ti nacrtnem jeden sposob ktory sa uz davno pouziva u PC. Princip je zmenit prehliadac (staci na to asi aj nejaky IE plugin alebo nejaky TCP/IP hook alebo co) tak aby ked sa prihlasis do bankingu a zadas si nejaky svoj prevod penazi, tak ten vir (ktory je defakto plugin=sucast prehliadaca) posle na server inu sumu a ine cielove konto, ale tebe zobrazi tvoju sumu a tvoje cielove konto. Nasledne zadas grid kod a potvrdis tu "nespravnu" transakciu, aj ked na obrazovke vidis udaje spravne.
Druhy princip s overovanim cez SMS (to je bezpecnejsi system jak grid) vyzaduje aby nejaka app odchytila aj prichodziu SMS, ale uzivatel si to musi predsa vsimnut v tej SMS ze tam su ine udaje (ine cielove konto apod) a moze okamzite kontaktovat banku. Jedine ze by ta app este aj vytvorila fake SMS, mozno to mozne je, urcite to zavisi od mobilu.
P.S. u mna vsetky nemecke banky blokuju zadavanie prevodu z mobilneho prehliadaca ak mam overovanie pomocou SMS. Oni vedia preco to blokuju :) Ja zas viem ze staci zmenit prehliadac v nastaveniach na "desktop" a mozem zadat prevod aj z mobilu :D Ale ta ochrana banky je kvoli takemu riziku ze nejaky vir zmanipuluje mobil tak aby ludia nezadavali prevod z mobilu (ak to nutne chcu tak si musia poziadat o HW-generator TAN klucov)
To co popisujes mi pride pritiahnute za vlasy. Je to podobne ako ked som pri mime odchytil zopar ludom ich ssh ucty, pretoze odklepavali zmenu fingerprintu automaticky bez rozmyslania.
Zaujimalo by ma ako vie plugin pozmenit stranku, zaujimalo by ma ako sa vie votriet do komunikacie medzi userom a prehliadacom a medzi prehliadacom a bankou.
Inak sms sa mi dvakrat extra nezda bezonejsie ako grid, pretoze grid kartu bezne nikde neukazujes a nema si ju pachatel ako skopirovat. Ano moze ju ukradnut, ale to moze ukradnut aj mobil. Navyse grid karta sa neda zneuzit sw utokom, grid karta je fyzicky nastroj, kdezto telefon zneuzitelny je, takze kecy o tom ako je sms lepsia ako grid su ciste bludy. Momentalne ma moja banka donutila prejst zo sms na citacku, ktoru nastastie stihla implementovat do makrketu na mobile inak by som bol asi nuteny menit banku kvoli neforemnej a velkej citacke. Inak na citacke v mobile mi expiruje kazdych 90 dni heslo, co ma byt dalsia ficurka...nech s tym idu do prdele blbci. pokial je niekto hlupak mozu vymysliet aj ochranu nanobotmi aj tak si necha vybielit ucet, pokial je niekto normalny tak si vystaci s klasickou gridkou.
grid je menej bezpecna prave kvoli tomu co som pisal. To neni moja fantazia ale realne som to videl (nejaky student to predvadzal v telke, samozrejme len na studijne ucely :) na PC, ne na mobile.
Samozrejme ze to bolo aj zneuzite. Vir musi poznat tvoju banku a jej formulare, u nemeckych bank to je pre hackerov zaujimave (40milionov ludi ci kolko (edit:80milionov), a aj dostatok penazi), v CR,SR myslim taky utok nehrozi, ze by sa hacker ucil slovensky kvoli par poslednym euram co ludia maju na konte :D