Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Diskuse k článku

Nová forma útoku na účet. Zpověď ženy, která varuje ostatní

Paní Dagmar se stala obětí počítačového podvodu, tzv. phishingu, který nemá obdoby. I když měla na svém bankovním účtu jen pár desítek tisíc korun, podvodník ji dokázal během několika minut připravit o rovných sto tisíc. Jak je to možné?

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

O60t64a52k16a49r 59Z30e76m82e85k 3226674801389

To není útok na účet, to je útok na intelekt...a paní prostě prohrála. Za blbost se platí. ( Tím neschvaluji počínání toho lumpa, který paní okradl, jen by asi stálo za to dát lidem při sjednávání internet bankingu jednoduchý IQ test.)

0/0
29.9.2015 20:15

S83t96a37n17i50s33l23a74v 63B67r46o94ž65e41k 2510180867526

Kdyby dotyčný někde pověsil červené trenky, tak už ho podle mobilu našli, a je v báni. Akorát že chrabrá PČR nebude někoho pomocí prošpiclovaných mobilních sítí hledat kvůli nějaké okradené, že?

+1/−1
29.9.2015 0:16

P72e69t86r 18S29v28o90b90o40d21a 7212541484

Redakce pozadala aby se v diskuzi nenarazelo chyby ktere udelala podvedena .... v tom pripade asi nemam o cem psat :o

+1/0
20.9.2015 21:16

P58e27t46r29a 36N97o18v47á20k36o85v11á 7838686544928

a poslala odkaz na web, kde jsou převody nejrychlejší, ať se na něm přihlásím do svého internetového bankovnictví

Dál netřeba číst. Hloupost je věčná. Kontaktuje přes FB, chce jen 30 Kč, pošle odkaz na stránku, kde převod proběhne nejrychleji...

+7/0
19.9.2015 10:43

L88u35k73a97s 69S94u21c51h75a76n18e26k 5596917123620

Pro ty, kteří stále nechápou v čem je problém a pro doplnění toho, co autoři nebo banky říct nechtějí, popíši následující scénář toho, co se stalo mému kolegovi:

1) Přes FB důvěryhodná žádost od známého o nízkou částku (30, 50, ...)

2) kvůli tomu, že to potřebuje rychle, se ptá na banku a pak přepošle odkaz na její platební bránu (aby nebylo nutné se sáhodlouze přihlašovat, vyplňovat čísla účtu atp. Útočník tímto získá přístup k účtu, na kterém si přepošle na svůj účet veškeré finanční prostředky a teď přichází ta nejzajímavější část, jak vymámit z majitele účtu potvrzovací sms:

3) dotyčný známý si uvědomí, že si vlastně může přeposlat peníze ze stavebního spoření, takže těch vašich 30 Kč nepotřebuje, ale má momentálně vybitý/ztracený/zničený/nedostupný mobil a tak vás požádá, jestli si k vám může poslat autorizační sms a požádá vás o její přeposlání. 

Málokomu dojde, že jde vlastně o sms odesílající peníze z vašeho účtu. To, že je tam vysoká částka vám divné nepřijde, známý si přeci převádí peníze ze stavebka ...

+2/0
19.9.2015 9:38

Z19d29e87n77ě29k 22Z25á20l77i14š 2625424117163

Ano stačí nepozornost nebo roztržitost či ochota pomoc známému (za kterého se ten gauner vydává) a jste okradeni. Gauneři vymýšlí nové a nové triky.

Banka by měla dát klientovi jasně vybrat. Jaké chcete zabezpečení? Upozornit na možné útoky a co musíte hlídat. A ne říkat: "Vy na tom účtu  máte menší obrat, takže stačí zabezpečení certifikátem nebo SMS." (jednotlivé banky nabízejí různé základní zabezpečení). Já tu zkušenost mám u své banky. Zabezpečení certifikátem jsem měl dokud se neprovalil průšvih s vykradeným účtem. Okamžitě jsem změnil zabezpečení na čipovou kartu. SMS jsem odmítl. Já opravdu nedokážu zajistit aby mi někdo neciknul mobil. Po provalené aféře Hacking Teamu to nemůže říci nikdo.

V této diskuzi jsou jasně viděl bankami placení diskutéři. Hlavně neříkejte že král je nahý. Hned se na vás sesypou. V horším případě to můžou být samotní zloději. Konec konců ti mají největší zájem, aby takto snadno hacknutelné bankovnictví fungovalo co nejdéle.

Nevěřte jedněm ani druhým. Jsou to vaše peníze. A jak vidíte mohou vám ukradnout i ty peníze, které nemáte a budete je muset splácet. Jste technicky na výši? Neustále v pozoru? Ano? Asi vás hned tak někdo nedoběhne a je téměř jisté, že zabezpečení SMS pro vás nebude problém. Nemáte žádné zkušenosti? Jste důvěřivý a roztržití? Máte chytrý telefon? Nevíte v jakém stavu je? Používejte čipovou kartu a máte jistotu.R^

+2/−1
19.9.2015 21:19

L45a59d45i96s51l84a47v 55Z78o63c15h 8942528584888

No nevím, ale pro změnu tlf. čísla pro autorizaci jsem musel u ČSOB i mBank na pobočku, jinak to změnit nešlo.

0/0
1.10.2015 9:23

K91u87b27a 33V32o90š64a80h76l73í75k 8207621307645

Pokud se někdo pokusí přihlásit do svého IB přes odkaz obsahující webnode.cz a ještě pošle autorizační kod další osobě, tak nepomůže ani dennodenní osvěta.

+5/0
19.9.2015 8:23

A41n77t49o68n41í58n 79Z61e49l26e25n63ý 2504333711336

Ještě že se to nestalo Davidovi. To bych mu k té zchromlé noze nepřál.

0/0
18.9.2015 20:08

K68o65v30á85ř 25J44i18ř77í 3253796775685

Zásada je nepůjčovat nikomu a ani si nepůjčovat! A co se týká české spořitelny tak vykradli tchyni ležící a nepohyblivé všechny peníze z vkladní knížky, přišli jsme na to při projednávání pozůstalosti, policie prohlásila že to je v pořádku protože spořitelna prohlásila že si to vybrala ona i když byla sto kilometrů jinde.Nedovoláte se!Se spořitelnou už nikdy víc!

+7/−1
18.9.2015 17:29

F33r75a74n83t34i23š31e37k 54V82r27á40n21a 5369772173161

Za to může primárně Singer a jeho parta kindebankéřů v ČNB - zaplavují banky vytištěnými fiat penězi a banky pak bezhlavě půjčují Rv

+2/−5
18.9.2015 15:55

M37a23r56e15k 49Š16i53m41o44n 2494967688708

Singer je na tohle malý pán, takhle fungují peníze na celém světě. Doba zlatých mincí skončila.

0/0
19.9.2015 0:26

M53i60c79h21a37l 73K51r41č38á37l 6128448786852

Obávám se, že paní bude mít smůlu i když podvodníka chytnou. Exekutora Vrány, který by z něj možná něco dostal, už zrušili, takže paní bude roky vymáhat svoje peníze po údajně nemajetném. Stejně nic nevymůže a ještě zaplatí náklady jiného exekutora.

0/−2
18.9.2015 13:50

Z48d89e73n88ě66k 11Z71á86l65i30š 2625834687303

Paní chybovala. Okolnosti nekomentuji. K diskuzi je otázka.Je tento typ zabezpečení to pravé? Já říkám, že není. I když se nedopustímhrubých chyb, jako paní v tomto případě nemohu si být jistý, že o penízenepřijdu. Nechci sázet na dokazování, že jsem SMS někomu nepřeposlal. Koneckonců každý správce systému operátora si tu SMS přečte. Takové zabezpečení jepouhý výsměch. Certifikát nahraný na flash disku nebo na disku počítače je takénesmysl. Ukrást ho a z klávesnice přečíst zadávané heslo umí program, který sedá stáhnout na internetu. Případ se stal a byl medializován. Naštěstí pronapadeného autor útoku byl naprostý amatér, který pouze zkoušel, jestli programfunguje a peníze si převedl na svůj vlastní účet. Jediný rozumný způsobzabezpečení vidím v čipové kartě. Tu vám nikdo po síti neukradne. Certifikát jev ní relativně bezpečný. Ale i v tomto případě dodržuji jistá pravidla. Kartuzasouvám do čtečky jenom na okamžik, kdy potřebuji  autorizaci prováděnéakce. Po té ji hned vytahuji.  Čtečkukaret mám s klávesnicí a heslo zadávám přímo na čtečce.  Kartu po skončené transakci schovám narelativně bezpečné místo. No a snad není třeba zdůrazňovat, že heslo mám vhlavě a ne napsané na čipové kartě. To pro případ bytové krádeže.;-)

+2/−7
18.9.2015 13:44

P89e72t34r 67Ž82á39k 1657593108973

Nic není 100% bezpečné, ale získat vaše přístupové údaje a zároveň se dostat k obsahu SMSky jinak, než phishingem, by vyžadovalo extrémně komplexní útok. Nevím o tom, že by se někdy něco takového stalo. Asi jediná díra může být napadený smartphone, který použijete k přijetí ověřovací sms, ale tam je opět nutná kombinace úspěšného odcizení přístupů a napadení telefonu, což také rozhodně není trivka.

Pokud máte napadený počítač, ze kterého se přihlašujete a případně na něm máte certifikát, tak je to samozřejmě problém, ale opět - ověřovací sms tím útočník nezíská a tudíž to opět vyžaduje současný úspěch dvou odlišných útoků, takže vis výše

Autor tohoto útoku rozhodně nebyl "naprostý amatér", uživatel je nejslabší článek a phishing je co do poměru "cena/výkon" v současné době nejlepší způsob útoku, technické zabezpečení už je dnes zpravidla na vysoké úrovni a jeho prolomení vyžaduje výrazně více zdrojů i času, než oblbnutí uživatele, pokud je vůbec realizovatelné.

Čipovka je z hlediska bezpečnosti samozřejmě o level výš, ale zase musíte brát v potaz náklady - pro většinu běžných uživatelů je to "zbytečné".

+2/0
18.9.2015 13:57

P13e65t74r 98Ž85á54k 1707693308153

*viz výše. Pardon.

0/0
18.9.2015 13:59

Z51d70e59n39ě67k 98Z66á93l58i57š 2535144307883

Autor útoku nebyl naprostý amatér? Jestli nebyl amatér tak prodělal lobotomii mozku. A tu část s tím jak zahladit stopy po převodu mu zrovna vyřízli. Byl s ním rozhovor i v televizi. Dobře si ho pamatuji. On nevěřil že program bude fungovat a proto si peníze převedl na vlastní účet. Zbytečné náklady?  No v případě této nešťastné paní jsou pořizovací náklady směšné. Obyčejná čtečka čipové karty 600Kč a v případě s klávesnicí 1600 Kč.

Nezlobte se,ale za ten pocit bezpečí mi ta investice stojí. Opravdu nestojím o to, abych kdesi komusi dokazoval, že jsem dodržel bezpečnost a že mám nárok na odškodnění. Na druhou stranu. Tahle situace nahrává bankám. Z případné náhrady se mohou snadno vykroutit. Moc bych se nedivil jestli pracujete v tomto sektoru. :-P

0/−1
18.9.2015 14:53

P47a63v76e75l 94S56t82u39d72e90n62y 3456968870794

Existuje  jiny bezpecny a navic celkem levny zpusob zabezpeceni a to je token. Ten generuje co asi minutu jine cislo, lezi vam v supliku a neni nijak propojen s pocitacem, tedy dokud vam ho fyzicky nikdo neukrade tak se k vasim penezum nedostane.  Navic nezna dalsi prihlasovaci udaje.

Tenhle zpusob jedna ceska banka nabizi, token mate zdarma ( ucet muzete mit taky, jen za odchozi platby platite) a po expiraci tokenu Vam daji novy.

Jen to ma tu nevyhodu, ze sebou ten token musite vsude tahat. plus jakoukoliv platbu musite autorizovat tim tokenovym cislem, ktere navic neni nejkratsi ( 6 + vase 4 cisla) .

0/0
20.9.2015 10:40

J75a91r23o48s25l10a29v 23P93l10a82c72h70e11t52k54a 7976446846609

Kdyz nikomu nedate prihlasovaci udaje, tak ani nemusite dokazovat, ze jste nekomu nepreposlal SMS.

+3/0
18.9.2015 13:57

Z32d76e93n73ě73k 31Z21á96l68i76š 2315124777243

Opravdu věříte že všichni co kradou na internetu budou čekat až jim  naservírujete přihlašovací údaje a potvrzovací SMS jako ta paní?;-)

0/0
18.9.2015 16:27

J82a64r39o65s15l88a28v 49P82l75a22c83h21e38t30k46a 7636106216379

Nevim, proc by vymysleli nejake nesmysly, jako ze se mi nejak pokusi podstrcit upraveny prohlizec, kdyz jim lidi ty pristupove udaje daji sami.

+1/0
18.9.2015 16:45

Z57d97e96n48ě73k 92Z87á31l54i27š 2775804937553

Proč by vymýšleli takové nesmysly?  Každý chmaták nebo celé organizované bandy  jsou na nějaké úrovni. Čím sofistikovanější podvod tím větší šance uspět a většinou i menší riziko, že ho popřípadě je odhalí.

0/0
18.9.2015 18:52

J27a86r24e42k 39W95o41l81f 5930289610

A co ten skřek pane autore??!! takhle necháte zvědavého čtenáře na holičkách? :-/

+6/0
18.9.2015 13:41

E89d19a 82D76r32á22b31e89k 7509662843667

prostě výsměch oběti do tváře, teda do ucha, pokud by starší paní klepla pepka tak by to pomohlo, zbaví se svědka a zametou stopy....

0/0
18.9.2015 14:52

A90n91n21a 10K95i94r65š96o40v88á 9646200425313

Je normální, abych o rychlé půjčení peněz žádala přes facebook? Normální člověk přeci zatelefonuje. A koho v nouzi vytrhne 30kč? 8-o

+5/0
18.9.2015 13:38

M31a69r25e94k 74Š14i78m85o82n 2824157548328

Jsou situace, kdy tě 30 Kč vytrhne. Prostě ti chybí 30 korun k tomu, aby ti odešla splátka, která ti odvrátí exekuci (například).

Jinak pokud vás někdo žádá přes ksichtoknihu, tak si ověřte, že je to on - zavolejte na ověřené číslo (ne to, které vám řekne přes facebook).

A ještě - neexistuje žádná stránka, přes které jsou převody rychlejší. Pokud chcete rychlejší převody, musíte mít prostě stejnou banku.

+1/0
19.9.2015 0:32
Foto

Z15d56e90n52ě88k 42K29a33f49k28a 5948452867372

Dokud je to založeno na tom že hlupák přepošle někomu kontrolní SMS kód z banky, tak jsem v klidu. Horší by bylo kdyby na monitoru vyskočilo graficky identické okno jako u spořky. Potom už jen zbývá kontrolovat v esemesce částku a hlavně znovu porovnat správnost čísla účtu na který to jde což už je docela pakárna.

+1/0
18.9.2015 13:31

J30a31r10o54s71l43a10v 89P60l73a55c90h79e87t14k18a 7376936516719

Jeste zkontrolovat https. Certifikat kontrolovat nemusite, jestli nemate nabourany prohlizec a nepovolujete vsechno co vam vyskoci.

0/0
18.9.2015 13:36

M60a50r49e46k 75Š76i22m97o80n 2514307588878

Což mi připomíná jeden příběh:

Kamarád má firmu, která se zabývá počítačovou bezpečností. Ještě nedávno měl i přednášky na jedné VŠ. Demostrovali tzv "man-in-the-middle attack", tedy útok, kdy komunikaci mezi klientským počítačem a bankou někdo napíchne, klientskou komunikaci de facto ukončí "u sebe", čte jí a ve stejné podobě předává zas bance a totéž naopak s odpověďmi. Tento útok je typický tím, že útočník nedokáže zfalšovat SSL (https) certifikát se všemi náležitostmi, prohlížeč na něj tedy upozorní tím typickým varováním.

Přesně to se stalo (dle očekávání) během demonstrace. Demonstrátor, který hrál dál svou roli nic netušícího zákazníka, zavolal do skutečné banky, že tam má tohle varování a co s tím má dělat. Operátor banky: To nic není, to odklikněte.

Původní očekávání bylo, že s operátorem budou zkoumat, kde je chyba, tenhle závěr nečekal nikdo.

+1/0
19.9.2015 0:42

Č75e57s64t82m38í42r 20P31r24o94c26h95á96z61k41a 8288410898101

A proč by nemohlo vyskočit graficky identické okno? Zkopírovat html kód stránky by pro podvodníky neměl být problém.

0/0
18.9.2015 13:37

J24a76r79o81s63l77a94v 30P11l18a19c53h96e13t14k39a 7486356976619

Ale privatni ssl klic banky podvodnici neziskaji. Takze staci akorat jeste mrknout do adresniho radku.

+2/−1
18.9.2015 13:40
Foto

Z40d49e45n55ě33k 49K77a25f80k78a 5498602297642

No právě. Většinou ale co tak slyším je to založeno na tom přeposlání. Ale v momentě kdy vám vyskočí falešné okno přímo v prohlížeči a překryje to původní, tak už je hodně nebezpečné i pro normální lidi.

0/0
18.9.2015 13:42

Č73e98s77t82m28í59r 47P88r30o16c85h71á98z93k57a 8118790168901

V tom je ten princip a i tak zvaně normální člověk se může nechat napálit. Graficky ta přihlašovací stránka je identická s originálem. Ani já při inet bankovnictví nekontroluji důsledně adresu v adresním řádku. Mám nastavený odkaz v prohlížeči. Kdyby mi někdo hacknul počítač a přenastavil ten odkaz na fiktivní stránku tak by mě asi taky dostal.

+1/0
18.9.2015 13:52

M48a63r73e40k 34Š57i24m10o79n 2494327688578

Základ je neklikat na nic a URL banky si napsat sám do čistého okna.

+1/0
19.9.2015 0:43

P42e39t14r 61Ž65á16k 1487233508293

To, že na vás vyskočí graficky identické okno je normální praktika při phishingu, ale jednak se to dá rozpoznat podle url, protokolu (http vs. https) a špatného/chybějícího certifikátu a jednak, i když tam přístupy vyplníte, musí útočník stále získat ověřovací kód, jinak se sice za vás přihlásí (případně ani nepřihlásí, některé banky chtějí ověření kódem už při přihlášení), ale příkaz k převodu peněz neautorizuje. To je právě pointa dvoufaktorového ověřování, i když se někomu podaří vám ukrást přístupové údaje, tak mu to nestačí. Samozřejmě pokud se necháte přesvědčit k tomu, abyste mu vyblil i ověřovací kód, tak vás nezachrání nic...

+2/0
18.9.2015 13:45

M39a68r60e49k 82Š66i79m98o42n 2684807108988

S tím URL to nemusí být tak jasné. Doména cz nepodporuje cizí znaky v názvu domén, ale doména .com je podporuje. A vizuálně skuečně nepoznáte latinské p od azbukového r, které může v url být místo p. URL vypadá stejně, certifikát může být zelený, protože sedí na firmu s podobným jménem. Fakt radím důsledně psát url do čistého okna.

+1/0
19.9.2015 0:48

P68e53t34r 14Ž59á67k 1497963468373

Jako ok, není jediná, ale nechápu, jak někdo může napsat, že si paní umí poradit s internetem a zná jeho nebezpečí. Vždyť to, co se stalo, svědčí o naprostém opaku, zadat přihlašovací údaje do elektronického bankovnictví na jakési stránce a pak přeposlat ověřovací kód je školácká chyba...

+12/0
18.9.2015 13:21
Foto

J47a66r64o52s48l23a98v 52J34e22ř53á10b64e96k 1731279229688

Naprosto souhlasím,není přeci žádný důvod někomu přeposílat autorizační kód

(to už můžu rozdávat peníze na ulici), to je porušení bezpečnosti uživatelem, ne bankou!

Navíc je to už pár let známý způsob jak někoho okrást,(kolikrát už to bylo v televizi! ) také velmi pochybuji, že ta paní zná internetová nebezpečí !

+1/0
18.9.2015 20:42

O32s35k88a52r 41B39r45u18n40a 4129880559106

Lidská blbost nemá meze.

+1/0
18.9.2015 12:56
Foto

K31r92i41s23t82ý27n24a 40V84a43ň26k56o86v54á 3677880375393

Tak to je fakt soda! Přišlo mi pár identických vzkazů, ale nereagovala jsem, protože jsem jednak o phishingových metodách rámcově poučená a druhak před pár lety "frčelo" něco podobného s SMS platbami. Holt dělám co můžu. Facebook mám zabezpečený na SMS autorizaci, kontroluju link, pokud zadávám heslo k účtům a zakrývám klávesnici při zadávání PINu. Jestli mi to stačí, těžko říct. :-/

+2/0
18.9.2015 12:41

Č42e55s80t73m21í48r 94P35r35o17c40h81á96z63k77a 8228310178321

Zapoměla jste nepřipojovat se na internetové bankovnictví přes veřejnou wifi.

+1/0
18.9.2015 13:08

J83i90ř98í 97G37a47b91r71i95e53l 8832760294137

Přes žádnou wifi. I vaše doma je napadnutelná. Kabel je kabel.

0/−2
18.9.2015 13:12

J72a56r10o28s57l80a92v 28P56l91a17c10h12e45t61k77a 7746326606659

Pripojeni pres kabel bezpecnost nijak nezvysuje. Stejne si ta data muze po ceste precist kazdy. Bezpecne spojeni mezi vami a bankou se resi pomoci https. Pak je uplne jedno kdo vas posloucha na vasi wifi.

+1/−1
18.9.2015 13:53

Č53e47s42t57m52í36r 28P75r97o80c50h39á21z78k33a 8178770928731

Jenomže komunikace mezi vaším zařízením a wifi hot spotem je nezabezpečená.

0/0
18.9.2015 13:59

J35a39r64o43s16l89a37v 44P55l20a28c78h61e26t62k59a 7346236526759

Komunikace mezi mnou a hotspotem je zabezpecena pomoci WPA2. Nezabezpecene jsou vsechny ostatni useky po trase mezi tim hotspotem a bankou. Nic z toho ale neni relevantni, protoze je zabezpecena komunikace mezi mnou a bankou.

+3/−1
18.9.2015 14:02
Foto

J30a62r26o29s75l51a76v 87J33e21ř53á98b80e58k 1341359879148

A hlavně si přes internet nikdo nepřečte autorizační kód poslaný v sms!

0/0
18.9.2015 21:02

M35a66r24e90k 72Š64i79m12o88n 2234577298988

Není nezabezpečená. Je pořád zabezpečená tím https.

0/0
19.9.2015 0:50

A93l35e27š 52C72h23a45l67o64u23p48k21a 6439652285

A nebo pesky ;-D;-D;-D

0/0
18.9.2015 20:11

J12a90r37o70s30l86a84v 60P38l89a60c48h73e62t62k40a 7136226596729

Prihlaseni pres verejnou wifi nijak spojeni mezi vami a bankou nekompromituje.

+1/0
18.9.2015 13:50

K63a15r61e22l 51D45r70d52a 6753795387989

Je mi naprosto jasné, že bezpečnostní kód 5667812 k mému účtu 368779899 je vysoce citlivý údaj, a proto ho v souladu s pokyny banky nikomu volně nesděluji. To dá rozum.

  Pobavil mě kolega. Půjčoval si v USA auto a prokázat se musel platební kartou. Udělal dopravní přestupek a policie mu poslala pokutu. Bum prásk a přišel o cca 18 tis. Kč z účtu. Nově vymýšlel, že si auto půjčí už jedině s kartou bez osobních údajů a s pevně limitovanou částkou.

  Nemáte s tím někdo zkušenosti? Je nějaká taková karta bezpečná a dostupná u nás proti loupeži páchané americkými úřady? ;-)

0/0
18.9.2015 12:34





Finance.iDNES.cz radí

Víte, že můžete nechat peníze úročit a zároveň je kdykoliv vybrat?

Další rady k nezaplacení

Dopřejte si vše a přesto utrácejte chytře!

V sekci osobni.finance.idnes.cz naleznete výhodné nabídky finančních produktů, energií a telefonování.

Vstupte do obchodu

Poraďte se s odborníkem

Nevíte si rady s finančními otázkami? Naši odborníci vám vždy poradí v každé životní situaci.

Vstoupit do poradny

Najdete na iDNES.cz