Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Diskuse k článku

Nová forma útoku na účet. Zpověď ženy, která varuje ostatní

Paní Dagmar se stala obětí počítačového podvodu, tzv. phishingu, který nemá obdoby. I když měla na svém bankovním účtu jen pár desítek tisíc korun, podvodník ji dokázal během několika minut připravit o rovných sto tisíc. Jak je to možné?

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

O17t31a43k37a41r 48Z71e56m44e90k 3316914701519

To není útok na účet, to je útok na intelekt...a paní prostě prohrála. Za blbost se platí. ( Tím neschvaluji počínání toho lumpa, který paní okradl, jen by asi stálo za to dát lidem při sjednávání internet bankingu jednoduchý IQ test.)

0/0
29.9.2015 20:15

S97t64a21n24i60s39l77a31v 78B48r53o27ž30e58k 2510550147716

Kdyby dotyčný někde pověsil červené trenky, tak už ho podle mobilu našli, a je v báni. Akorát že chrabrá PČR nebude někoho pomocí prošpiclovaných mobilních sítí hledat kvůli nějaké okradené, že?

+1/−1
29.9.2015 0:16

P76e72t54r 17S45v49o25b67o16d74a 7482101744

Redakce pozadala aby se v diskuzi nenarazelo chyby ktere udelala podvedena .... v tom pripade asi nemam o cem psat :o

+1/0
20.9.2015 21:16

P88e85t10r42a 18N55o85v91á80k37o37v82á 7888196214898

a poslala odkaz na web, kde jsou převody nejrychlejší, ať se na něm přihlásím do svého internetového bankovnictví

Dál netřeba číst. Hloupost je věčná. Kontaktuje přes FB, chce jen 30 Kč, pošle odkaz na stránku, kde převod proběhne nejrychleji...

+7/0
19.9.2015 10:43

L30u11k40a28s 53S28u26c43h62a24n94e56k 5536647393300

Pro ty, kteří stále nechápou v čem je problém a pro doplnění toho, co autoři nebo banky říct nechtějí, popíši následující scénář toho, co se stalo mému kolegovi:

1) Přes FB důvěryhodná žádost od známého o nízkou částku (30, 50, ...)

2) kvůli tomu, že to potřebuje rychle, se ptá na banku a pak přepošle odkaz na její platební bránu (aby nebylo nutné se sáhodlouze přihlašovat, vyplňovat čísla účtu atp. Útočník tímto získá přístup k účtu, na kterém si přepošle na svůj účet veškeré finanční prostředky a teď přichází ta nejzajímavější část, jak vymámit z majitele účtu potvrzovací sms:

3) dotyčný známý si uvědomí, že si vlastně může přeposlat peníze ze stavebního spoření, takže těch vašich 30 Kč nepotřebuje, ale má momentálně vybitý/ztracený/zničený/nedostupný mobil a tak vás požádá, jestli si k vám může poslat autorizační sms a požádá vás o její přeposlání. 

Málokomu dojde, že jde vlastně o sms odesílající peníze z vašeho účtu. To, že je tam vysoká částka vám divné nepřijde, známý si přeci převádí peníze ze stavebka ...

+2/0
19.9.2015 9:38

Z14d58e67n27ě87k 49Z94á68l21i90š 2495454707273

Ano stačí nepozornost nebo roztržitost či ochota pomoc známému (za kterého se ten gauner vydává) a jste okradeni. Gauneři vymýšlí nové a nové triky.

Banka by měla dát klientovi jasně vybrat. Jaké chcete zabezpečení? Upozornit na možné útoky a co musíte hlídat. A ne říkat: "Vy na tom účtu  máte menší obrat, takže stačí zabezpečení certifikátem nebo SMS." (jednotlivé banky nabízejí různé základní zabezpečení). Já tu zkušenost mám u své banky. Zabezpečení certifikátem jsem měl dokud se neprovalil průšvih s vykradeným účtem. Okamžitě jsem změnil zabezpečení na čipovou kartu. SMS jsem odmítl. Já opravdu nedokážu zajistit aby mi někdo neciknul mobil. Po provalené aféře Hacking Teamu to nemůže říci nikdo.

V této diskuzi jsou jasně viděl bankami placení diskutéři. Hlavně neříkejte že král je nahý. Hned se na vás sesypou. V horším případě to můžou být samotní zloději. Konec konců ti mají největší zájem, aby takto snadno hacknutelné bankovnictví fungovalo co nejdéle.

Nevěřte jedněm ani druhým. Jsou to vaše peníze. A jak vidíte mohou vám ukradnout i ty peníze, které nemáte a budete je muset splácet. Jste technicky na výši? Neustále v pozoru? Ano? Asi vás hned tak někdo nedoběhne a je téměř jisté, že zabezpečení SMS pro vás nebude problém. Nemáte žádné zkušenosti? Jste důvěřivý a roztržití? Máte chytrý telefon? Nevíte v jakém stavu je? Používejte čipovou kartu a máte jistotu.R^

+2/−1
19.9.2015 21:19

L35a38d34i46s15l43a29v 56Z56o71c51h 8462278224988

No nevím, ale pro změnu tlf. čísla pro autorizaci jsem musel u ČSOB i mBank na pobočku, jinak to změnit nešlo.

0/0
1.10.2015 9:23

K42u37b51a 16V33o33š30a91h32l50í34k 8417291377135

Pokud se někdo pokusí přihlásit do svého IB přes odkaz obsahující webnode.cz a ještě pošle autorizační kod další osobě, tak nepomůže ani dennodenní osvěta.

+5/0
19.9.2015 8:23

A81n54t25o36n85í70n 19Z48e30l19e73n57ý 2864263791696

Ještě že se to nestalo Davidovi. To bych mu k té zchromlé noze nepřál.

0/0
18.9.2015 20:08

K36o95v36á82ř 49J43i22ř47í 3963426155835

Zásada je nepůjčovat nikomu a ani si nepůjčovat! A co se týká české spořitelny tak vykradli tchyni ležící a nepohyblivé všechny peníze z vkladní knížky, přišli jsme na to při projednávání pozůstalosti, policie prohlásila že to je v pořádku protože spořitelna prohlásila že si to vybrala ona i když byla sto kilometrů jinde.Nedovoláte se!Se spořitelnou už nikdy víc!

+7/−1
18.9.2015 17:29

F22r72a24n90t52i73š27e35k 20V41r51á89n93a 5169412423741

Za to může primárně Singer a jeho parta kindebankéřů v ČNB - zaplavují banky vytištěnými fiat penězi a banky pak bezhlavě půjčují Rv

+2/−5
18.9.2015 15:55

M46a14r22e62k 23Š38i15m45o87n 2694697168288

Singer je na tohle malý pán, takhle fungují peníze na celém světě. Doba zlatých mincí skončila.

0/0
19.9.2015 0:26

M93i79c85h96a74l 16K27r30č82á68l 6908698386832

Obávám se, že paní bude mít smůlu i když podvodníka chytnou. Exekutora Vrány, který by z něj možná něco dostal, už zrušili, takže paní bude roky vymáhat svoje peníze po údajně nemajetném. Stejně nic nevymůže a ještě zaplatí náklady jiného exekutora.

0/−2
18.9.2015 13:50

Z16d42e75n17ě10k 46Z11á92l30i52š 2695824667773

Paní chybovala. Okolnosti nekomentuji. K diskuzi je otázka.Je tento typ zabezpečení to pravé? Já říkám, že není. I když se nedopustímhrubých chyb, jako paní v tomto případě nemohu si být jistý, že o penízenepřijdu. Nechci sázet na dokazování, že jsem SMS někomu nepřeposlal. Koneckonců každý správce systému operátora si tu SMS přečte. Takové zabezpečení jepouhý výsměch. Certifikát nahraný na flash disku nebo na disku počítače je takénesmysl. Ukrást ho a z klávesnice přečíst zadávané heslo umí program, který sedá stáhnout na internetu. Případ se stal a byl medializován. Naštěstí pronapadeného autor útoku byl naprostý amatér, který pouze zkoušel, jestli programfunguje a peníze si převedl na svůj vlastní účet. Jediný rozumný způsobzabezpečení vidím v čipové kartě. Tu vám nikdo po síti neukradne. Certifikát jev ní relativně bezpečný. Ale i v tomto případě dodržuji jistá pravidla. Kartuzasouvám do čtečky jenom na okamžik, kdy potřebuji  autorizaci prováděnéakce. Po té ji hned vytahuji.  Čtečkukaret mám s klávesnicí a heslo zadávám přímo na čtečce.  Kartu po skončené transakci schovám narelativně bezpečné místo. No a snad není třeba zdůrazňovat, že heslo mám vhlavě a ne napsané na čipové kartě. To pro případ bytové krádeže.;-)

+2/−7
18.9.2015 13:44

P13e81t13r 20Ž16á25k 1607643928283

Nic není 100% bezpečné, ale získat vaše přístupové údaje a zároveň se dostat k obsahu SMSky jinak, než phishingem, by vyžadovalo extrémně komplexní útok. Nevím o tom, že by se někdy něco takového stalo. Asi jediná díra může být napadený smartphone, který použijete k přijetí ověřovací sms, ale tam je opět nutná kombinace úspěšného odcizení přístupů a napadení telefonu, což také rozhodně není trivka.

Pokud máte napadený počítač, ze kterého se přihlašujete a případně na něm máte certifikát, tak je to samozřejmě problém, ale opět - ověřovací sms tím útočník nezíská a tudíž to opět vyžaduje současný úspěch dvou odlišných útoků, takže vis výše

Autor tohoto útoku rozhodně nebyl "naprostý amatér", uživatel je nejslabší článek a phishing je co do poměru "cena/výkon" v současné době nejlepší způsob útoku, technické zabezpečení už je dnes zpravidla na vysoké úrovni a jeho prolomení vyžaduje výrazně více zdrojů i času, než oblbnutí uživatele, pokud je vůbec realizovatelné.

Čipovka je z hlediska bezpečnosti samozřejmě o level výš, ale zase musíte brát v potaz náklady - pro většinu běžných uživatelů je to "zbytečné".

+2/0
18.9.2015 13:57

P10e23t21r 90Ž76á22k 1517333388323

*viz výše. Pardon.

0/0
18.9.2015 13:59

Z72d68e79n68ě32k 15Z35á72l36i26š 2235174377243

Autor útoku nebyl naprostý amatér? Jestli nebyl amatér tak prodělal lobotomii mozku. A tu část s tím jak zahladit stopy po převodu mu zrovna vyřízli. Byl s ním rozhovor i v televizi. Dobře si ho pamatuji. On nevěřil že program bude fungovat a proto si peníze převedl na vlastní účet. Zbytečné náklady?  No v případě této nešťastné paní jsou pořizovací náklady směšné. Obyčejná čtečka čipové karty 600Kč a v případě s klávesnicí 1600 Kč.

Nezlobte se,ale za ten pocit bezpečí mi ta investice stojí. Opravdu nestojím o to, abych kdesi komusi dokazoval, že jsem dodržel bezpečnost a že mám nárok na odškodnění. Na druhou stranu. Tahle situace nahrává bankám. Z případné náhrady se mohou snadno vykroutit. Moc bych se nedivil jestli pracujete v tomto sektoru. :-P

0/−1
18.9.2015 14:53

P48a79v58e84l 53S76t29u23d23e75n92y 3886548330794

Existuje  jiny bezpecny a navic celkem levny zpusob zabezpeceni a to je token. Ten generuje co asi minutu jine cislo, lezi vam v supliku a neni nijak propojen s pocitacem, tedy dokud vam ho fyzicky nikdo neukrade tak se k vasim penezum nedostane.  Navic nezna dalsi prihlasovaci udaje.

Tenhle zpusob jedna ceska banka nabizi, token mate zdarma ( ucet muzete mit taky, jen za odchozi platby platite) a po expiraci tokenu Vam daji novy.

Jen to ma tu nevyhodu, ze sebou ten token musite vsude tahat. plus jakoukoliv platbu musite autorizovat tim tokenovym cislem, ktere navic neni nejkratsi ( 6 + vase 4 cisla) .

0/0
20.9.2015 10:40

J77a29r40o60s93l18a32v 22P79l14a79c52h33e48t78k21a 7716986716219

Kdyz nikomu nedate prihlasovaci udaje, tak ani nemusite dokazovat, ze jste nekomu nepreposlal SMS.

+3/0
18.9.2015 13:57

Z28d37e97n56ě19k 19Z59á92l85i79š 2775814557943

Opravdu věříte že všichni co kradou na internetu budou čekat až jim  naservírujete přihlašovací údaje a potvrzovací SMS jako ta paní?;-)

0/0
18.9.2015 16:27

J17a84r61o23s29l90a35v 98P53l14a11c52h79e43t11k13a 7936266426159

Nevim, proc by vymysleli nejake nesmysly, jako ze se mi nejak pokusi podstrcit upraveny prohlizec, kdyz jim lidi ty pristupove udaje daji sami.

+1/0
18.9.2015 16:45

Z51d78e71n31ě51k 43Z25á45l42i12š 2325344567263

Proč by vymýšleli takové nesmysly?  Každý chmaták nebo celé organizované bandy  jsou na nějaké úrovni. Čím sofistikovanější podvod tím větší šance uspět a většinou i menší riziko, že ho popřípadě je odhalí.

0/0
18.9.2015 18:52

J63a27r97e52k 17W46o22l73f 5330969130

A co ten skřek pane autore??!! takhle necháte zvědavého čtenáře na holičkách? :-/

+6/0
18.9.2015 13:41

E39d74a 57D89r91á62b44e75k 7139252443637

prostě výsměch oběti do tváře, teda do ucha, pokud by starší paní klepla pepka tak by to pomohlo, zbaví se svědka a zametou stopy....

0/0
18.9.2015 14:52

A20n78n13a 54K92i95r31š79o53v36á 9256260135593

Je normální, abych o rychlé půjčení peněz žádala přes facebook? Normální člověk přeci zatelefonuje. A koho v nouzi vytrhne 30kč? 8-o

+5/0
18.9.2015 13:38

M85a79r29e40k 28Š81i68m90o75n 2854357538788

Jsou situace, kdy tě 30 Kč vytrhne. Prostě ti chybí 30 korun k tomu, aby ti odešla splátka, která ti odvrátí exekuci (například).

Jinak pokud vás někdo žádá přes ksichtoknihu, tak si ověřte, že je to on - zavolejte na ověřené číslo (ne to, které vám řekne přes facebook).

A ještě - neexistuje žádná stránka, přes které jsou převody rychlejší. Pokud chcete rychlejší převody, musíte mít prostě stejnou banku.

+1/0
19.9.2015 0:32
Foto

Z66d55e30n41ě80k 10K16a28f48k62a 5528262527532

Dokud je to založeno na tom že hlupák přepošle někomu kontrolní SMS kód z banky, tak jsem v klidu. Horší by bylo kdyby na monitoru vyskočilo graficky identické okno jako u spořky. Potom už jen zbývá kontrolovat v esemesce částku a hlavně znovu porovnat správnost čísla účtu na který to jde což už je docela pakárna.

+1/0
18.9.2015 13:31

J52a75r24o58s53l39a16v 82P25l45a84c42h75e71t43k92a 7776106236399

Jeste zkontrolovat https. Certifikat kontrolovat nemusite, jestli nemate nabourany prohlizec a nepovolujete vsechno co vam vyskoci.

0/0
18.9.2015 13:36

M74a58r22e55k 25Š19i84m20o32n 2364137878748

Což mi připomíná jeden příběh:

Kamarád má firmu, která se zabývá počítačovou bezpečností. Ještě nedávno měl i přednášky na jedné VŠ. Demostrovali tzv "man-in-the-middle attack", tedy útok, kdy komunikaci mezi klientským počítačem a bankou někdo napíchne, klientskou komunikaci de facto ukončí "u sebe", čte jí a ve stejné podobě předává zas bance a totéž naopak s odpověďmi. Tento útok je typický tím, že útočník nedokáže zfalšovat SSL (https) certifikát se všemi náležitostmi, prohlížeč na něj tedy upozorní tím typickým varováním.

Přesně to se stalo (dle očekávání) během demonstrace. Demonstrátor, který hrál dál svou roli nic netušícího zákazníka, zavolal do skutečné banky, že tam má tohle varování a co s tím má dělat. Operátor banky: To nic není, to odklikněte.

Původní očekávání bylo, že s operátorem budou zkoumat, kde je chyba, tenhle závěr nečekal nikdo.

+1/0
19.9.2015 0:42

Č39e91s76t27m41í94r 47P95r51o20c44h97á14z37k72a 8358700618391

A proč by nemohlo vyskočit graficky identické okno? Zkopírovat html kód stránky by pro podvodníky neměl být problém.

0/0
18.9.2015 13:37

J85a76r93o39s30l97a48v 68P28l82a55c21h56e20t13k82a 7946256616819

Ale privatni ssl klic banky podvodnici neziskaji. Takze staci akorat jeste mrknout do adresniho radku.

+2/−1
18.9.2015 13:40
Foto

Z62d26e87n64ě24k 24K50a86f46k58a 5498702957262

No právě. Většinou ale co tak slyším je to založeno na tom přeposlání. Ale v momentě kdy vám vyskočí falešné okno přímo v prohlížeči a překryje to původní, tak už je hodně nebezpečné i pro normální lidi.

0/0
18.9.2015 13:42

Č20e79s98t71m77í78r 71P76r64o50c39h62á34z93k31a 8428560728871

V tom je ten princip a i tak zvaně normální člověk se může nechat napálit. Graficky ta přihlašovací stránka je identická s originálem. Ani já při inet bankovnictví nekontroluji důsledně adresu v adresním řádku. Mám nastavený odkaz v prohlížeči. Kdyby mi někdo hacknul počítač a přenastavil ten odkaz na fiktivní stránku tak by mě asi taky dostal.

+1/0
18.9.2015 13:52

M98a23r97e22k 79Š25i78m21o12n 2204777218588

Základ je neklikat na nic a URL banky si napsat sám do čistého okna.

+1/0
19.9.2015 0:43

P93e45t39r 14Ž21á26k 1467893158963

To, že na vás vyskočí graficky identické okno je normální praktika při phishingu, ale jednak se to dá rozpoznat podle url, protokolu (http vs. https) a špatného/chybějícího certifikátu a jednak, i když tam přístupy vyplníte, musí útočník stále získat ověřovací kód, jinak se sice za vás přihlásí (případně ani nepřihlásí, některé banky chtějí ověření kódem už při přihlášení), ale příkaz k převodu peněz neautorizuje. To je právě pointa dvoufaktorového ověřování, i když se někomu podaří vám ukrást přístupové údaje, tak mu to nestačí. Samozřejmě pokud se necháte přesvědčit k tomu, abyste mu vyblil i ověřovací kód, tak vás nezachrání nic...

+2/0
18.9.2015 13:45

M75a57r11e88k 29Š29i54m88o85n 2614717828288

S tím URL to nemusí být tak jasné. Doména cz nepodporuje cizí znaky v názvu domén, ale doména .com je podporuje. A vizuálně skuečně nepoznáte latinské p od azbukového r, které může v url být místo p. URL vypadá stejně, certifikát může být zelený, protože sedí na firmu s podobným jménem. Fakt radím důsledně psát url do čistého okna.

+1/0
19.9.2015 0:48

P97e10t82r 91Ž66á75k 1617973528903

Jako ok, není jediná, ale nechápu, jak někdo může napsat, že si paní umí poradit s internetem a zná jeho nebezpečí. Vždyť to, co se stalo, svědčí o naprostém opaku, zadat přihlašovací údaje do elektronického bankovnictví na jakési stránce a pak přeposlat ověřovací kód je školácká chyba...

+12/0
18.9.2015 13:21
Foto

J44a27r93o89s19l25a20v 82J82e11ř47á50b21e89k 1951599659238

Naprosto souhlasím,není přeci žádný důvod někomu přeposílat autorizační kód

(to už můžu rozdávat peníze na ulici), to je porušení bezpečnosti uživatelem, ne bankou!

Navíc je to už pár let známý způsob jak někoho okrást,(kolikrát už to bylo v televizi! ) také velmi pochybuji, že ta paní zná internetová nebezpečí !

+1/0
18.9.2015 20:42

O33s26k49a74r 75B47r39u31n29a 4599690389176

Lidská blbost nemá meze.

+1/0
18.9.2015 12:56
Foto

K54r83i22s83t94ý38n20a 39V77a12ň77k69o45v76á 3857190855413

Tak to je fakt soda! Přišlo mi pár identických vzkazů, ale nereagovala jsem, protože jsem jednak o phishingových metodách rámcově poučená a druhak před pár lety "frčelo" něco podobného s SMS platbami. Holt dělám co můžu. Facebook mám zabezpečený na SMS autorizaci, kontroluju link, pokud zadávám heslo k účtům a zakrývám klávesnici při zadávání PINu. Jestli mi to stačí, těžko říct. :-/

+2/0
18.9.2015 12:41

Č11e62s37t80m12í26r 68P78r63o68c88h64á50z54k75a 8568620378371

Zapoměla jste nepřipojovat se na internetové bankovnictví přes veřejnou wifi.

+1/0
18.9.2015 13:08

J93i67ř49í 35G44a31b48r78i38e98l 8602290444867

Přes žádnou wifi. I vaše doma je napadnutelná. Kabel je kabel.

0/−2
18.9.2015 13:12

J57a16r10o35s51l66a53v 14P41l69a30c73h37e56t12k23a 7816486586259

Pripojeni pres kabel bezpecnost nijak nezvysuje. Stejne si ta data muze po ceste precist kazdy. Bezpecne spojeni mezi vami a bankou se resi pomoci https. Pak je uplne jedno kdo vas posloucha na vasi wifi.

+1/−1
18.9.2015 13:53

Č28e91s74t28m15í42r 32P86r69o27c43h34á12z17k43a 8538490148951

Jenomže komunikace mezi vaším zařízením a wifi hot spotem je nezabezpečená.

0/0
18.9.2015 13:59

J83a32r62o97s29l61a16v 73P45l65a55c59h12e14t26k94a 7826866936929

Komunikace mezi mnou a hotspotem je zabezpecena pomoci WPA2. Nezabezpecene jsou vsechny ostatni useky po trase mezi tim hotspotem a bankou. Nic z toho ale neni relevantni, protoze je zabezpecena komunikace mezi mnou a bankou.

+3/−1
18.9.2015 14:02
Foto

J28a78r83o85s96l44a27v 66J92e13ř62á19b85e64k 1351619309718

A hlavně si přes internet nikdo nepřečte autorizační kód poslaný v sms!

0/0
18.9.2015 21:02

M23a21r41e96k 66Š41i19m25o39n 2174167338568

Není nezabezpečená. Je pořád zabezpečená tím https.

0/0
19.9.2015 0:50

A59l56e85š 26C98h45a65l62o11u93p23k70a 6819562685

A nebo pesky ;-D;-D;-D

0/0
18.9.2015 20:11

J93a75r51o95s32l69a74v 62P95l60a47c73h70e66t37k21a 7426466536169

Prihlaseni pres verejnou wifi nijak spojeni mezi vami a bankou nekompromituje.

+1/0
18.9.2015 13:50

K32a69r64e89l 95D66r70d28a 6973705247209

Je mi naprosto jasné, že bezpečnostní kód 5667812 k mému účtu 368779899 je vysoce citlivý údaj, a proto ho v souladu s pokyny banky nikomu volně nesděluji. To dá rozum.

  Pobavil mě kolega. Půjčoval si v USA auto a prokázat se musel platební kartou. Udělal dopravní přestupek a policie mu poslala pokutu. Bum prásk a přišel o cca 18 tis. Kč z účtu. Nově vymýšlel, že si auto půjčí už jedině s kartou bez osobních údajů a s pevně limitovanou částkou.

  Nemáte s tím někdo zkušenosti? Je nějaká taková karta bezpečná a dostupná u nás proti loupeži páchané americkými úřady? ;-)

0/0
18.9.2015 12:34





Finance.iDNES.cz radí

Víte, že stát stále přispívá až 2000 Kč/rok na stavební spoření?

Další rady k nezaplacení

Dopřejte si vše a přesto utrácejte chytře!

V sekci osobni.finance.idnes.cz naleznete výhodné nabídky finančních produktů, energií a telefonování.

Vstupte do obchodu

Poraďte se s odborníkem

Nevíte si rady s finančními otázkami? Naši odborníci vám vždy poradí v každé životní situaci.

Vstoupit do poradny

Najdete na iDNES.cz