Do mnie kiedyś dzwonili z "banku PKO" podałem im wszystkie dane do logowania (do banku PKO xD) ... gadaliśmy z dobrą godzinę, starałem się im wysłać blik na bankomat.... a po godzinie gadania powiedziałem, że nie mam konta w PKO xD Tawarisz Kacapenko mnie zje***ał od góry do dołu, że tylko im czas marnuje, że oni są w pracy a ja sobie żarty robię.
Ostatnio miałem taki podejrzany telefon z "banku". Zgłosiłem numer do banku. Zapytałem się, czy mam zgłosić to na Policję, to mi powiedziano, że Policja i tak to zleje, a złośliwie może zatrzymać mi telefon, żeby "zbadać". Tylko, że telefon nie był przedmiotem przestępstwa. W UE jest obowiązek rejestrowania numerów telefonów. Dlaczego Policja nie chce sprawdzić numeru, z którego był wykonany podejrzany telefon? Po co nam Policja? Tylko, żeby w krzakach siedzieć i łapać zwykłych ludzi na wykroczeniach?
No i dałeś się wyciulać infolinii banku, której nie chciało się zajmować kłopotliwą sprawą. Ale jeżeli sam się pytasz banku, co masz zrobić, zamiast po prostu zgłosić to na policję...
@@Dawo-bq4nf I to zabezpiecza faktycznego użytkownika telefonu przed zwykłym namierzeniem miejsca, w którym się znajduje, a potem wjazdem policji. Uwielbiam takie szwagrokształtne "sposoby na wykiwanie policji" widzące tylko jeden aspekt problemu.
Przypadkowo pana zobaczyłem (Polecenia YT) i spodobały mi się filmy, które pan tworzy i od dzisiaj zostałem pana subskrybentem. Pozdrawiam panie Mateuszu.
Mnie przeraża to, że w niektórych aplikacjach kody z wiadomości uzupełniają się automatycznie. Kiedy mi się to przydarza w nowo zainstalowanej aplikacji, zastanawiam się, w którym momencie wyraziłam na to zgodę?
Dziękuję za informację , że przeszła. Właśnie sprawdziłam na aplikacji banku, lecz jej nie ma:(. Pewnie zgadzają się ostatnie tylko cztery numery.Przy okazji ściągnęli (AT&T)424.70$, za telefony moje dwa plus jeden syna.Jako mój bill! To nie jest suma miesięcznej zapłaty za rachunek telefoniczny, płaciłam za zegarek Apple (jeden) .Taka jawna zabawa kosztem ludzi.
Jak zawsze robisz zajebistą robotę. Mam nadzieję że większość ludzi którzy będą podatni na te ataki trafią na twoje filmy i ustrzegłem się przed konsekwencjami....
Nie mozna wyjac paczki z paczkomatu jak jestesmy dwie ulicy za daleko, ale BLIK Ci wyplaci kase nawet jak bankomat byl by na innym kontynencie. Ta walka z strony instytucji to gra pozorow, akcje, komunikaty, wiecej amrketingu niz dzialan.
@@ziomalZparafiiNie mozna ;) Nie mozna zgodnie z regulaminem. Ale wlasnie dzieki tej “wygodzie” codziennie zglaszaja sie oszukani ludzi co wlasnie komus pozyczyli kase.
Weryfikacje 2-etapowe to przekleństwo dla każdego programisty, wykonującego usługi dla klientów. Kto spędził pół swojego, zaplanowanego przecież dnia na oczekiwaniu, aż klient bedzie miał czas odesłać kod autoryzujący i na didatek potrafi zrobić to wystarczająco szybko, ten wie, o czym piszę. Pół biedy, kiedy klient potrafi dodać nam konto z odpowiednimi prawami w swoich usługach, ale niestety, takich świadomych klientów nieczęsto się spotyka.
0:40 się mówi się: nie zasypiaj gruszek w popiele. Brzmi nielogicznie, ale paradoksalnie powiedzenie to wzięło się od zasypywania gruszek w popiele i *zasypianiu* podczas ich pieczenia w tymże.
I tu Cię zdziwię, to że nie masz kasy na koncie nie znaczy że nie masz zdolności kredytowej. A uruchomić pożyczkę ekspresową, mając dostęp do aplikacji bankowej jest już banalnie proste ;)
@@Lecebokiem86 Może się nie znam, ale czy KAŻDA operacja finansowa w banku nie powinna być autoryzowana narzędziem autoryzacyjnym posiadanym przez klienta ? Po prostu, jeśli jakimś cudem, jacyś oszuści zalogują się na moje konto, to mogą BEZ AUTORYZACJI wziąć kredyt ?
@@lajosz1 Jak doszło do przejęcie aplikacji to oszust może autoryzowac co zechce. A nawet jeśli nie przejmie, to dziś socjotechnika króluje i tak Cie zakręca że sam autoryzujesz ;)
@@Lecebokiem86 No ale .... jak może autoryzować co zechce ? Przecież narzędziem autoryzacyjnym może być (i często jest) np. SMS, więc posiadacz telefonu MUSI przecież widzieć, że otrzymał jakiś SMS w którym kod autoryzacji, więc jeśli NIE wykonywał żadnych transakcji, to już jest to co najmniej podejrzane, no i chcąc autoryzować, MUSISZ FIZYCZNIE wklepać kod z tego SMS-a do aplikacji. O zdrapce jako narzędziu autoryzacyjnym nawet nie wspomnę, bo wtedy za cholerę nie ma możliwości elektronicznego oszustwa. Natomiast jeśli ktoś jakieś aplikacji zezwolił na WSZYSTKO, czyli stworzył sobie coś w rodzaju automatu płatniczego (dla wygody) , to ma rzeczywiście spore szanse na to że w końcu ktoś go oszuka.
@@lajosz1 kody sms, chyba najłatwiejszy do przwchwycenia sposób autoryzacji, wystarczy że ofiarą zostanie zmanipulowana do zainstalowania pulpitu zdalnego na telefonie, częste przy atakach typu vishing na pracownika banki /policjanta lub też przy fałszywych inwestycjach. Kody zdrapki, niby bezpieczne, tylko czy nosisz je przy sobie? A jak zgubisz? Schowane w domu pod skarpetami, to nigdzie nie zrobisz szybko przelewu poza domem. Poza tym banki w większości już odeszły od tej metody autoryzacji. Pozostaje aplikacja mobilna, która aktualnie jest najbezpieczniejsza o ile użytkownik myśli i czyta co mu się pojawia na ekranie. I tu niestety jest problem... Aktualnie najczęściej okradne są osoby na phishing+vishing, ktoś kupił Twój towar na olx/vinted dostajesz powiadomienie aby odebrać środki, aby to zrobić musisz zalogować się do banku przez otrzymany link i tu już jest przechwycenie loginu i hasła. Transakcja nie może by wykonana, coś się popsuło, dzwoni "konsultant" z supportu lub banku, każe Ci coś autoryzowac aby otrzymać środki. A jest to autoryzacja aktywacji walletu GP/AP, przelewu, blika, podłączenia aplikacji mobilnej (tu jeszcze musi kod z ivr wyłudzić). Wystaw coś na olx, daje Ci 15minut i towar się sprzeda... Przyjdzie kod QR
Dzieki Mateusz, jak zwykle swoetny material i kawal dpbrej roboty. Dziekujemy P.S. - jak mozna Cie gdzies wspierac finansowo to napisz prosze gdzie/jak.
Z tym podkładaniem fałszywych stron, do logowania się, to się już zaczęło kilka lat temu , wersją na PC. Koleżanka sama tak poleciała na 8tyś, bo dostała wiadomość od Inpost, że ma dopłacić złotówkę do przesyłki i oczywiście fałszywy link przyszedł na pocztę. W pośpiechu, robiąc dopłatę, nie przeczytała co było napisane w sms kodzie. Ups... Faktycznie, chwilę wcześniej na znanym portalu, zamówiła zabawkę dla syna i zależało jej na szybkim otrzymaniu paczki, bo na prezent urodzinowy. Kasy już nie odzyskała, bo przelew poszedł na zewnętrzne konto. Trzeba czytać i uważać!
Siema, będzie coś o tych wybuchających pagerach? Może nie jest to temat bardzo związany z cyberbezpueczeństwem bo to pewnie konwencjonalne małe ładunki wybuchowe, ale chętnie bym posłuchał.
Kodu w sumie tez nie przepisujemy, SMS sie nawet nie wyświetli pewnie. Poprostu zobaczymy okienko z latwa opcja przeklejenia kodu. Nie bardzo wiadomo co sie potwierdza, kiedy mamy tylko opcje klikniecia na 6 cyferek.
A czy przypadkiem iOS nie zablokował jakiś czas temu PWA? Mi kilka wersji temu zniknęły apki progresywne z ekranu i nie widziałem tak na szybko opcji ich dodania z powrotem na ekran główny, ale też nie zagłębiałem sie jakoś bardziej bo nie bolało mnie za bardzo że zniknęły xD
Śmieszne, że paradoksalnie, ktoś kto nie lubi właśnie nowinek i jest sceptykiem aktualizacji, będzie odporniejszy na tego rodzaju atak :D Najużyteczniejsza porada z odcinka, to właśnie aby nawet do aktualizacji aplikacji wykorzystywać zweryfikowane źródła jak google play czy AppStore. W pewien sposób odporność zwiększa też posiadanie większej liczby numerów telefonu. Jeśli mamy conajmniej dwa, to jeden możemy wykorzystywać do podawania bardzo ważnym usługodawcom jak bank, a drugiego używać do mniej istotnych zastosowań jak np komunikatory, czy podawania go publicznie w jakichś ogłoszeniach, czy forach (też ostatnio często wymagają) - bo to w taki sposób najczęściej są pozyskiwane przez cyberprzestępców. Wiadomość rzekomo z banku przyszła na numer którego bankowi nie podawaliśmy? To prawdopodobnie ktoś próbuje nas zaatakować.
Jak pozniej działa przesyłanie tych pieniędzy? Przecież skoro idzie przelew na inne konto to wiadomo czyje to jest konto i łatwo je zablokować, jak ktoś się szybko zorientuje i zgłosi sprawę do banku to obstawiam 4-5h i konto już jest zabalowane. Chyba że pieniądze są wypłacane zaraz po przyjściu przelewu ale to dalej potrzeba miesięcznie setki słupów którzy będą zakładali te konta i szybko z nich wypłacali pieniądze.
A czy ustawienie limitu na przelewy na jakąś niską wartość to nie jest pewne zabezpieczenie? Jeżeli przestępcy już uda się przelew to będzie na niską kwotę, a jak ja będę potrzebował zrobić przelew na większą kwotę to "tymczasowo" sobie podniosę limit. Owszem, zdaję sobie sprawę że jeżeli ktoś robi dużo przelewów to będzie to uciążliwe, ale dla kogoś kto robi ich mało to myślę że jest to dodatkowe zabezpieczenie.
Nasz dowódca WOT uważa że aby z tymi atakami skończyć, należy powołać obok Wojsk Obrony Terytorialnej także WOB i WOK czyli wojska obrony banków i obrony kont. To rozwiąże problem.
@@DanielTredewicz Ale jak tworzono WOT i zamawiano szyldy to przyjechała tylko jedna litera "O" więc oni mają narazie u siebie tylko WC. My terytorialsi WOT korzystmy więc z tych wojsk cyberprzestrzeni bo z kolei u nas w toaletach nie ma pisuarów. Tzn były ale ktoś ukradł. Nowych nie ma bo tak jest nawet dla nas lepiej... jak wchodzimy do damskiej podglądać nasze WOTowe laski to one piszczą i składają meldunki o molestowaniu. My wtedy się tłumaczymy że pomyliło nam się bo w damskiej przecież też nie ma pisuarów. Nasi dowódcy WOT i dowòdcy WC rozumieją więc to że można się pomylić i jest po sprawie. Bo tak w ogóle to ci wszyscy dowòdcy mylą się tak samo więc tych pisuarów to u nas raczej już nie będzie bo wiadomo... dowódcy też lubią to co my😁. Napisali więc do MON że WOT potrzebuje więcej przestrzeni do ćwiczeń, a tym z cyber-przestrzeni wystarczy tylko serwerownia. MON to łyknął, a Ci z WC czyli Wojska Cyber nie potrafili się O-bronić bo to same zdechlaki tam są. Zamknęliśmy więc ich wszystkich w tej ich serwerowni i teraz my czyli WOT ma więcej użytkowej przestrzeni bo swoją... i tą zdobyczną od Cyber. Do nich chodzimy więc się odlać, a ich dowódca przychodzi do naszej damskiej toalety się "pomylić"😁. I wszyscy są zadowoleni. (Tzn te nasze laski już się przyzwyczaiły i nawet to polubiły, a te zdechlaki z serwerowni Cyber mogą w ogóle nie przychodzić do jednostki bo ćwiczą zdalnie)
@@DanielTredewicz Była spoko więc nie wiem czemu usunęli. Myślałem że to może Ty właśnie ją zgłosiłeś jeśli jesteś trepem tym bardziej jak z tej Cyber. Wyjaśniłem tam dlaczego WOC to na razie jest tylko WC czyli bez O.
Czy nie możnaby zmodyfikować procesu weryfikacji dwuetapowej tak, by użytkownik był w pewien sposób zmuszony i świadomie zatwierdził właśnie to, jaką operację chce wykonać. Koncept może być taki (jedynie koncept - wiele szczegółów, których tu nie wymienię), by potwierdzając weryfikację dwuetapową być również zmuszonym wybrać np. z trzech opcji "co potwierdzam".
Pułapkę zastawili na takich właśnie Uwaga! Naukowy Bełkot i Niebezpiecznik, akurat ten pan z ktorym rozmawiali to nie był szczególnie przekonywujący 😅🤣 przez to myślałam że to jakis super sposob, inny niz tamten
Postarałbym się to zrobić lepiej, np. proxując zawartość strony klienta tak żeby ten mógł wykonać dowolny przelew ale po stronie atakującego zmieniałbym kwoty (jeśli potrzeba) i numer konta odbiorcy. W ten sposób ofiara chcąc miałaby jeszcze mniej podejrzeń a sama zlecając przelew nie byłaby zdziwiona musząc go ponownie autoryzować kodem, tutaj przy braku zmiany kwoty ciężej byłoby je się dopatrzeć, że numer konta odbiorcy został podmieniony.
Gdzieś czytałem że w sklepie Play jest dużo zainfekowanych apek najnowszymi wirusami mimo że jak oni piszą są sprawdzone pod tym kątem przez play protect ....
Nie przestawię się na potwierdzanie aplikacją bo czytam, co za numer przepisuję i to wymaga większego skupienia, niż bezmyślne kliknięcie jednego guzika potwierdzenia. Poza tym SMS zadziała także po awarii telefonu nawet na "starej Nokii". (Nokia? Panie, ja nie jestem rolnikiem.)
W milenium jest potwierdzenie logowania i operacji w ich aplikacji, hasło do apki i logowania na stronie jest inne, rozmowę z kimś kto dzwoni z banku można potwierdzić specjalna informacja do apki no i w aplikacji ciągle przesyłają nowe techniki oszustow
Dodatkowym problemem przy weryfikacji kodem z SMS jest brak wskazania w wiadomości potwierdzanej kwoty dla przelewów realizowanych przez niektórych pośredników płatności (PayU, Tpay itd.). W PKO BP w wiadomości SMS jest wówczas jedynie mowa o "zgodzie na inicjację przelewu krajowego"...
Odnośnie systemu smsów z kodami - niektóre aplikacje same w sobie potrafią sprawdzić czy kod sms dotarł do odbiorcy po czym same go sobie wpisują, pytaniem jest czy aplikacje które są oparte na stronie internetowej też potrafią to robić. Jeśli tak, to wiadomości sms jako potwierdzenie są jeszcze bardziej niebezpieczne
gugl chrom od dawna mnie irytował tym rozwiązanie. a facezbuk wymuszaniem instalacji jakiegoś mesjangera. Zarówno meta jak i google nie pomyślały o bezpieczeństwie użytkowników.
Ostatnio miałem atak na router i zostały podmienione DNS i większość stron bankowych było podmienione, na szczęście chrome informował że "połączenie nie jest prywatne" i nie szło tego ominąć.
A niby w czym przeszkadza ci sms? Gdyby trzeba było potwierdzić w starej aplikacji to by dali komunikat że aby przenieść dane ze starej aplikacji na nowa trzeba potwierdzić w starej
Przy założeniu na nowo aplikacji w banku, oh coś się nie zgadza.Proszę jeszcze raz na nowo. Dobrze. Czyli poszło Tak;)mam dwie aplikacje.Wszystko zostaje zapisane.
Pomijając fakt że ktoś nie zatrzyma się na którymś etapie "instalacji" takiej apki i nie ma włączonej dwu stopniowej werifikacji to nie chce mi się wierzyć że istieją osoby które by nie zatrzymały się na etapie drugiego sms'a. Moja wiara w ludzi jest niska ale chyba jeszcze nie aż tak niska bym chciał zaaukceptować fakt że są aż tak głupi.
Tak skradzione konta i strona znajomej też phishingowa w przeszłości i inne. Kiedyś tego nie było i tylko w spamie były jakieś pierdoły co kończyło się kradzieżą 😙 Uwielbiam tą nie ustanna walkę z Esetem na czele😂 nie mogli mi pomóc 🫠 Nie polecam tego doswiadczac wielokrotnie, bo prawe przywitał mnie cmentarz
No dobra, a co jeżeli każdą akcję na koncie zatwierdzam w prawdziwej apce banku to lipa z takim atakiem. Dobrze myślę? By the way. Kto korzysta jeszcze z kodów 🤦🏻♂️
Nie chcij. Przypomnę, że na kluczu nie widać co potwierdzasz - czy logowanie, czy przelew, czy zaciągnięcie kredytu. I dlatego ich nie ma w użyciu (w bankach) i nie będzie.
W kraju fanatyków wędkarstwa musi być sporo ataków phishingowych.
To trolling?
@@mabciapayne16to dobre poczucie humoru
Naprawdę bardzo doceniam opracowanie merytoryczne, jednak oglądam również dla śmiesznych powiedzonek, bo naprawdę lubię Twoje poczucie humoru 😂
A "zasypiać gruszek w popiele " - to śmieszne powiedzonko ?
@@1donaldduck1dla mnie nie, to zwyczajny frazeologizm.
Do mnie kiedyś dzwonili z "banku PKO" podałem im wszystkie dane do logowania (do banku PKO xD) ... gadaliśmy z dobrą godzinę, starałem się im wysłać blik na bankomat.... a po godzinie gadania powiedziałem, że nie mam konta w PKO xD
Tawarisz Kacapenko mnie zje***ał od góry do dołu, że tylko im czas marnuje, że oni są w pracy a ja sobie żarty robię.
nie wszyscy bohaterowie noszą peleryny ❤
Tawarisz Kacapenko xD: hehe :)
Oby swoim zwyczajem złośliwie nie spoofingowali twojego numeru telefonu 😅😅
"Co robić i jak żyć". Dzięki Mateuszu. Pozdrawiam wszystkich.
Ostatnio miałem taki podejrzany telefon z "banku". Zgłosiłem numer do banku. Zapytałem się, czy mam zgłosić to na Policję, to mi powiedziano, że Policja i tak to zleje, a złośliwie może zatrzymać mi telefon, żeby "zbadać". Tylko, że telefon nie był przedmiotem przestępstwa.
W UE jest obowiązek rejestrowania numerów telefonów. Dlaczego Policja nie chce sprawdzić numeru, z którego był wykonany podejrzany telefon? Po co nam Policja? Tylko, żeby w krzakach siedzieć i łapać zwykłych ludzi na wykroczeniach?
I przeszkadzać prawilnym ziomeczkom w konsumowaniu trunków i innych używek które boostują w znajdywaniu pro8lem 😂
No i dałeś się wyciulać infolinii banku, której nie chciało się zajmować kłopotliwą sprawą. Ale jeżeli sam się pytasz banku, co masz zrobić, zamiast po prostu zgłosić to na policję...
A kto z takich ludzi rejestruje numer na siebie???
Wystarczy poprosić pana z butelką pod żabką i już masz numer zarejestrowany za flaszke :)
@@Dawo-bq4nf I to zabezpiecza faktycznego użytkownika telefonu przed zwykłym namierzeniem miejsca, w którym się znajduje, a potem wjazdem policji. Uwielbiam takie szwagrokształtne "sposoby na wykiwanie policji" widzące tylko jeden aspekt problemu.
Wspaniały kanał 👏🙂👍
Materiał jak zwykle super, najbardziej także sfera humoru... "kij ma dwa końce"... a ja dodam że "proca ma trzy" :) uhahaha
Przypadkowo pana zobaczyłem (Polecenia YT) i spodobały mi się filmy, które pan tworzy i od dzisiaj zostałem pana subskrybentem. Pozdrawiam panie Mateuszu.
Dziękuję za ten film nie znałem tego sposobu ataku.
Ale hola jak świat jest świadomy tego procederu powinien być cash back od tak karencja przelewu
Mnie przeraża to, że w niektórych aplikacjach kody z wiadomości uzupełniają się automatycznie. Kiedy mi się to przydarza w nowo zainstalowanej aplikacji, zastanawiam się, w którym momencie wyraziłam na to zgodę?
Thanks!
Dziękuje!
Dziękuję za informację , że przeszła. Właśnie sprawdziłam na aplikacji banku, lecz jej nie ma:(. Pewnie zgadzają się ostatnie tylko cztery numery.Przy okazji ściągnęli (AT&T)424.70$, za telefony moje dwa plus jeden syna.Jako mój bill! To nie jest suma miesięcznej zapłaty za rachunek telefoniczny, płaciłam za zegarek Apple (jeden) .Taka jawna zabawa kosztem ludzi.
Świetny wykład, będę się bliżej przyglądał tym aplikacjom pwa
Trzeba jak najszybciej uświadomić ludzi o tym
Dobra robota pozdrawiam Mateusz 👊💪
👍👍 Łapka pod zasięg 👍👊
Jak zawsze robisz zajebistą robotę. Mam nadzieję że większość ludzi którzy będą podatni na te ataki trafią na twoje filmy i ustrzegłem się przed konsekwencjami....
moje slownictwo sie rozwija przy oglądaniu, juz nie zasypuje gruszek w popiele
Nie mozna wyjac paczki z paczkomatu jak jestesmy dwie ulicy za daleko, ale BLIK Ci wyplaci kase nawet jak bankomat byl by na innym kontynencie. Ta walka z strony instytucji to gra pozorow, akcje, komunikaty, wiecej amrketingu niz dzialan.
to zawsze ten sam jeden kierunek... nadzór i kontrola
To akurat wygodne, bo można komuś w ten sposób pożyczyć/dać kasę. Ot, każde narzędzie można wykorzystać dobrze i źle.
@@ziomalZparafiiNie mozna ;) Nie mozna zgodnie z regulaminem. Ale wlasnie dzieki tej “wygodzie” codziennie zglaszaja sie oszukani ludzi co wlasnie komus pozyczyli kase.
blablabla trollu czyli jestes na innym kontynencie ale dajesz sie zrobic w wyplate blikiem w Polsce
Dla zasięgu.
A co powiesz o ING i logowaniu kluczem U2F ?
Weryfikacje 2-etapowe to przekleństwo dla każdego programisty, wykonującego usługi dla klientów. Kto spędził pół swojego, zaplanowanego przecież dnia na oczekiwaniu, aż klient bedzie miał czas odesłać kod autoryzujący i na didatek potrafi zrobić to wystarczająco szybko, ten wie, o czym piszę. Pół biedy, kiedy klient potrafi dodać nam konto z odpowiednimi prawami w swoich usługach, ale niestety, takich świadomych klientów nieczęsto się spotyka.
0:40 się mówi się: nie zasypiaj gruszek w popiele. Brzmi nielogicznie, ale paradoksalnie powiedzenie to wzięło się od zasypywania gruszek w popiele i *zasypianiu* podczas ich pieczenia w tymże.
Dzięki. Moje 36,52zl na koncie są bezpieczne!
I tu Cię zdziwię, to że nie masz kasy na koncie nie znaczy że nie masz zdolności kredytowej. A uruchomić pożyczkę ekspresową, mając dostęp do aplikacji bankowej jest już banalnie proste ;)
@@Lecebokiem86
Może się nie znam, ale czy KAŻDA operacja finansowa w banku nie powinna być autoryzowana narzędziem autoryzacyjnym posiadanym przez klienta ?
Po prostu, jeśli jakimś cudem, jacyś oszuści zalogują się na moje konto, to mogą BEZ AUTORYZACJI wziąć kredyt ?
@@lajosz1 Jak doszło do przejęcie aplikacji to oszust może autoryzowac co zechce. A nawet jeśli nie przejmie, to dziś socjotechnika króluje i tak Cie zakręca że sam autoryzujesz ;)
@@Lecebokiem86
No ale .... jak może autoryzować co zechce ?
Przecież narzędziem autoryzacyjnym może być (i często jest) np. SMS, więc posiadacz telefonu MUSI przecież widzieć, że otrzymał jakiś SMS w którym kod autoryzacji, więc jeśli NIE wykonywał żadnych transakcji, to już jest to co najmniej podejrzane, no i chcąc autoryzować, MUSISZ FIZYCZNIE wklepać kod z tego SMS-a do aplikacji.
O zdrapce jako narzędziu autoryzacyjnym nawet nie wspomnę, bo wtedy za cholerę nie ma możliwości elektronicznego oszustwa.
Natomiast jeśli ktoś jakieś aplikacji zezwolił na WSZYSTKO, czyli stworzył sobie coś w rodzaju automatu płatniczego (dla wygody) , to ma rzeczywiście spore szanse na to że w końcu ktoś go oszuka.
@@lajosz1 kody sms, chyba najłatwiejszy do przwchwycenia sposób autoryzacji, wystarczy że ofiarą zostanie zmanipulowana do zainstalowania pulpitu zdalnego na telefonie, częste przy atakach typu vishing na pracownika banki /policjanta lub też przy fałszywych inwestycjach. Kody zdrapki, niby bezpieczne, tylko czy nosisz je przy sobie? A jak zgubisz? Schowane w domu pod skarpetami, to nigdzie nie zrobisz szybko przelewu poza domem. Poza tym banki w większości już odeszły od tej metody autoryzacji. Pozostaje aplikacja mobilna, która aktualnie jest najbezpieczniejsza o ile użytkownik myśli i czyta co mu się pojawia na ekranie. I tu niestety jest problem... Aktualnie najczęściej okradne są osoby na phishing+vishing, ktoś kupił Twój towar na olx/vinted dostajesz powiadomienie aby odebrać środki, aby to zrobić musisz zalogować się do banku przez otrzymany link i tu już jest przechwycenie loginu i hasła. Transakcja nie może by wykonana, coś się popsuło, dzwoni "konsultant" z supportu lub banku, każe Ci coś autoryzowac aby otrzymać środki. A jest to autoryzacja aktywacji walletu GP/AP, przelewu, blika, podłączenia aplikacji mobilnej (tu jeszcze musi kod z ivr wyłudzić). Wystaw coś na olx, daje Ci 15minut i towar się sprzeda... Przyjdzie kod QR
Dzieki Mateusz, jak zwykle swoetny material i kawal dpbrej roboty.
Dziekujemy
P.S. - jak mozna Cie gdzies wspierac finansowo to napisz prosze gdzie/jak.
Dobrzeżewieczór!
Marek dziękuję za film😂
Gdzie się podział ten nowy wspaniały świat? 😔
Im więcej możliwości, tym więcej "możliwości".
„Na Ktulu” 😂 dzięki za fajny materiał
Z tym podkładaniem fałszywych stron, do logowania się, to się już zaczęło kilka lat temu , wersją na PC.
Koleżanka sama tak poleciała na 8tyś, bo dostała wiadomość od Inpost, że ma dopłacić złotówkę do przesyłki i oczywiście fałszywy link przyszedł na pocztę.
W pośpiechu, robiąc dopłatę, nie przeczytała co było napisane w sms kodzie. Ups...
Faktycznie, chwilę wcześniej na znanym portalu, zamówiła zabawkę dla syna i zależało jej na szybkim otrzymaniu paczki, bo na prezent urodzinowy.
Kasy już nie odzyskała, bo przelew poszedł na zewnętrzne konto. Trzeba czytać i uważać!
Siema, będzie coś o tych wybuchających pagerach? Może nie jest to temat bardzo związany z cyberbezpueczeństwem bo to pewnie konwencjonalne małe ładunki wybuchowe, ale chętnie bym posłuchał.
Aż dziwne że dopiero ktoś to zrobił. Już jakieś 10 lat temu zastanawiałem się nad dokładnie takim atakiem.
Mowisz oczywistosci dla ludzi ktorzy Cie ogladaja. Problem jest z tymi ktorzy Cie nie ogladaja i do nich musisz dotrzec
Kodu w sumie tez nie przepisujemy, SMS sie nawet nie wyświetli pewnie. Poprostu zobaczymy okienko z latwa opcja przeklejenia kodu. Nie bardzo wiadomo co sie potwierdza, kiedy mamy tylko opcje klikniecia na 6 cyferek.
W PWA nie ma takich funkcjonalności
A czy przypadkiem iOS nie zablokował jakiś czas temu PWA?
Mi kilka wersji temu zniknęły apki progresywne z ekranu i nie widziałem tak na szybko opcji ich dodania z powrotem na ekran główny, ale też nie zagłębiałem sie jakoś bardziej bo nie bolało mnie za bardzo że zniknęły xD
1:10 😂👍
Śmieszne, że paradoksalnie, ktoś kto nie lubi właśnie nowinek i jest sceptykiem aktualizacji, będzie odporniejszy na tego rodzaju atak :D Najużyteczniejsza porada z odcinka, to właśnie aby nawet do aktualizacji aplikacji wykorzystywać zweryfikowane źródła jak google play czy AppStore. W pewien sposób odporność zwiększa też posiadanie większej liczby numerów telefonu. Jeśli mamy conajmniej dwa, to jeden możemy wykorzystywać do podawania bardzo ważnym usługodawcom jak bank, a drugiego używać do mniej istotnych zastosowań jak np komunikatory, czy podawania go publicznie w jakichś ogłoszeniach, czy forach (też ostatnio często wymagają) - bo to w taki sposób najczęściej są pozyskiwane przez cyberprzestępców. Wiadomość rzekomo z banku przyszła na numer którego bankowi nie podawaliśmy? To prawdopodobnie ktoś próbuje nas zaatakować.
Bardzo sprytny atak.
Jak pozniej działa przesyłanie tych pieniędzy? Przecież skoro idzie przelew na inne konto to wiadomo czyje to jest konto i łatwo je zablokować, jak ktoś się szybko zorientuje i zgłosi sprawę do banku to obstawiam 4-5h i konto już jest zabalowane. Chyba że pieniądze są wypłacane zaraz po przyjściu przelewu ale to dalej potrzeba miesięcznie setki słupów którzy będą zakładali te konta i szybko z nich wypłacali pieniądze.
Kiedy jakiś fajny dłuższy materiał do obiadku?
Oczywiście ten też był super!
A czy ustawienie limitu na przelewy na jakąś niską wartość to nie jest pewne zabezpieczenie? Jeżeli przestępcy już uda się przelew to będzie na niską kwotę, a jak ja będę potrzebował zrobić przelew na większą kwotę to "tymczasowo" sobie podniosę limit. Owszem, zdaję sobie sprawę że jeżeli ktoś robi dużo przelewów to będzie to uciążliwe, ale dla kogoś kto robi ich mało to myślę że jest to dodatkowe zabezpieczenie.
Skad wiadomo ze w sklepie play aplikacje bankowe sa prawidlowe i osoby 3 nie beda mieli damych ( loginu nr tel , nr klienta , i haseł )
Mam wrażenie, że Off Festival wykorzystał podobny mechanizm przejścia ze starej appki do nowej, ale legitnie. Podobnie chyba Meteo ITSM
Nasz dowódca WOT uważa że aby z tymi atakami skończyć, należy powołać obok Wojsk Obrony Terytorialnej także WOB i WOK czyli wojska obrony banków i obrony kont.
To rozwiąże problem.
Mamy już Wojska Obrony Cyberprzestrzeni 😊
@@DanielTredewicz Ale jak tworzono WOT i zamawiano szyldy to przyjechała tylko jedna litera "O" więc oni mają narazie u siebie tylko WC.
My terytorialsi WOT korzystmy więc z tych wojsk cyberprzestrzeni bo z kolei u nas w toaletach nie ma pisuarów. Tzn były ale ktoś ukradł.
Nowych nie ma bo tak jest nawet dla nas lepiej... jak wchodzimy do damskiej podglądać nasze WOTowe laski to one piszczą i składają meldunki o molestowaniu. My wtedy się tłumaczymy że pomyliło nam się bo w damskiej przecież też nie ma pisuarów. Nasi dowódcy WOT i dowòdcy WC rozumieją więc to że można się pomylić i jest po sprawie.
Bo tak w ogóle to ci wszyscy dowòdcy mylą się tak samo więc tych pisuarów to u nas raczej już nie będzie bo wiadomo... dowódcy też lubią to co my😁. Napisali więc do MON że WOT potrzebuje więcej przestrzeni do ćwiczeń, a tym z cyber-przestrzeni wystarczy tylko serwerownia. MON to łyknął, a Ci z WC czyli Wojska Cyber nie potrafili się O-bronić bo to same zdechlaki tam są. Zamknęliśmy więc ich wszystkich w tej ich serwerowni i teraz my czyli WOT ma więcej użytkowej przestrzeni bo swoją... i tą zdobyczną od Cyber. Do nich chodzimy więc się odlać, a ich dowódca przychodzi do naszej damskiej toalety się "pomylić"😁.
I wszyscy są zadowoleni.
(Tzn te nasze laski już się przyzwyczaiły i nawet to polubiły, a te zdechlaki z serwerowni Cyber mogą w ogóle nie przychodzić do jednostki bo ćwiczą zdalnie)
@@DanielTredewiczOdpowiedziałem Ci nt tych wojsk ale zaraz to usunięto i widzę że już jej nie ma
@@krzysiekmisiek3189 czyżby odpowiedź nie była przychylna 🫢
@@DanielTredewicz Była spoko więc nie wiem czemu usunęli. Myślałem że to może Ty właśnie ją zgłosiłeś jeśli jesteś trepem tym bardziej jak z tej Cyber.
Wyjaśniłem tam dlaczego WOC to na razie jest tylko WC czyli bez O.
👍
Targeo taką "apkę" ma. Jak to zobaczyłem ze dwa lata temu, to czekałem na pierwsze phish-apki.
Jakie są krajowe DNSy? Czy OpenDNS się w to zalicza? Czy można prosić o dedykowaną listę dla pi-hole?
Jak ktoś wierzy politykom to powodzenia w życiu 🤣
Czy nie możnaby zmodyfikować procesu weryfikacji dwuetapowej tak, by użytkownik był w pewien sposób zmuszony i świadomie zatwierdził właśnie to, jaką operację chce wykonać. Koncept może być taki (jedynie koncept - wiele szczegółów, których tu nie wymienię), by potwierdzając weryfikację dwuetapową być również zmuszonym wybrać np. z trzech opcji "co potwierdzam".
Pułapkę zastawili na takich właśnie Uwaga! Naukowy Bełkot i Niebezpiecznik, akurat ten pan z ktorym rozmawiali to nie był szczególnie przekonywujący 😅🤣 przez to myślałam że to jakis super sposob, inny niz tamten
Postarałbym się to zrobić lepiej, np. proxując zawartość strony klienta tak żeby ten mógł wykonać dowolny przelew ale po stronie atakującego zmieniałbym kwoty (jeśli potrzeba) i numer konta odbiorcy. W ten sposób ofiara chcąc miałaby jeszcze mniej podejrzeń a sama zlecając przelew nie byłaby zdziwiona musząc go ponownie autoryzować kodem, tutaj przy braku zmiany kwoty ciężej byłoby je się dopatrzeć, że numer konta odbiorcy został podmieniony.
Czekamy na materiał o pagerach
Jeśli ktoś jest nietechniczny w dalszym ciągu przy zachowaniu spokoju i rozsądku nie da się sie na to zrobić.
Gdzieś czytałem że w sklepie Play jest dużo zainfekowanych apek najnowszymi wirusami mimo że jak oni piszą są sprawdzone pod tym kątem przez play protect ....
Gdzieni jak dodac te listy scamowych domen w ublock origin? Chodzi o te z certa
Nie przestawię się na potwierdzanie aplikacją bo czytam, co za numer przepisuję i to wymaga większego skupienia, niż bezmyślne kliknięcie jednego guzika potwierdzenia. Poza tym SMS zadziała także po awarii telefonu nawet na "starej Nokii". (Nokia? Panie, ja nie jestem rolnikiem.)
W milenium jest potwierdzenie logowania i operacji w ich aplikacji, hasło do apki i logowania na stronie jest inne, rozmowę z kimś kto dzwoni z banku można potwierdzić specjalna informacja do apki no i w aplikacji ciągle przesyłają nowe techniki oszustow
Są " git" znaczy kkrymonalistami? 😮😢
Najlepiej nie wchodzić w podejrzane linki od obcych numerów.
Dodatkowym problemem przy weryfikacji kodem z SMS jest brak wskazania w wiadomości potwierdzanej kwoty dla przelewów realizowanych przez niektórych pośredników płatności (PayU, Tpay itd.). W PKO BP w wiadomości SMS jest wówczas jedynie mowa o "zgodzie na inicjację przelewu krajowego"...
Odnośnie systemu smsów z kodami - niektóre aplikacje same w sobie potrafią sprawdzić czy kod sms dotarł do odbiorcy po czym same go sobie wpisują, pytaniem jest czy aplikacje które są oparte na stronie internetowej też potrafią to robić. Jeśli tak, to wiadomości sms jako potwierdzenie są jeszcze bardziej niebezpieczne
#cybersecurity
gugl chrom od dawna mnie irytował tym rozwiązanie. a facezbuk wymuszaniem instalacji jakiegoś mesjangera. Zarówno meta jak i google nie pomyślały o bezpieczeństwie użytkowników.
Powinny odpowiedzieć osoby które dopuściły to całe PWA.
Jak dodać black listę url. do brave'a? Pozdrawiam.
Nieraz się zastanawiam, czy nowoczesność nas wykończy? Choć z drugiej strony w średniowieczu też byli oszuści. 😋
Nom, jedni z najlepszych nosili czarne krzyże na proporcach i zabunkrowali się w Malborku...
teraz rozumiem czemu w Czechach mówią ahoj
Nie zasypiają gruszek w popiele 😂
O boże 2137 wyświetl
Hakerzy po zalogowaniu na moje konto by umarli ze śmiechu widząc mój stan konta :)
Nds= "Nie dla scamu" polecam kanał.
Darmowy komentarz za pominięcie Karlovca
Własny serwer DNS nic nie da bo Chrome go ignoruje i korzysta ze swoich serwerów DNS.
Ostatnio miałem atak na router i zostały podmienione DNS i większość stron bankowych było podmienione, na szczęście chrome informował że "połączenie nie jest prywatne" i nie szło tego ominąć.
@@bossx333 ja zainstalowałem własny dns do blokowania reklam ustawiłem ho na routerze i wszystkie aplikacje poza Chromem go używały.
Świeży Chrobok so kolacji. Chętnie się dowiem, jak naiwni są dzisiaj ludzie...
Z tym stwierdzeniem "już nigdy nie odzyskamy" to bym polemizował, patrz prawo bankowe
Możesz się zdziwić.
My w WOT jesteśmy zdania że z izraelskimi służbami mogą wygrać tylko terytorialsi. Apple nie ma szans
A niby w czym przeszkadza ci sms? Gdyby trzeba było potwierdzić w starej aplikacji to by dali komunikat że aby przenieść dane ze starej aplikacji na nowa trzeba potwierdzić w starej
No i oczywiście Android najbardziej sprzyjający przestępcom... Kiedy w końcu Google weźmie się do poważnej pracy? 😡
Przy założeniu na nowo aplikacji w banku, oh coś się nie zgadza.Proszę jeszcze raz na nowo. Dobrze. Czyli poszło Tak;)mam dwie aplikacje.Wszystko zostaje zapisane.
Pomijając fakt że ktoś nie zatrzyma się na którymś etapie "instalacji" takiej apki i nie ma włączonej dwu stopniowej werifikacji to nie chce mi się wierzyć że istieją osoby które by nie zatrzymały się na etapie drugiego sms'a. Moja wiara w ludzi jest niska ale chyba jeszcze nie aż tak niska bym chciał zaaukceptować fakt że są aż tak głupi.
Mi to by jeszcze kasę wpłacili widząc stan konta.
wolę nie swoją kase w banku na lokacie trzymać :p
A wiadomo, jakiej są narodowości ci kombinatorzy?
Polacy pewnie
0:42 "Nie zasypiają gruszek w popiele" ? Hę ?
Ja mam konto w ING i mam uwierzytelnianie z aplikacji
no ja używam PWA w ORALCE APEX ;)
iOS pozwala na pwa?
Zaraz, zaraz a co z BFG?
Tak skradzione konta i strona znajomej też phishingowa w przeszłości i inne.
Kiedyś tego nie było i tylko w spamie były jakieś pierdoły co kończyło się kradzieżą 😙
Uwielbiam tą nie ustanna walkę z Esetem na czele😂 nie mogli mi pomóc 🫠
Nie polecam tego doswiadczac wielokrotnie, bo prawe przywitał mnie cmentarz
Ukraińcy w internecie: dzwonią ze scamem i ludzie robią sobie z nich jaja
Ukraińcy w moim życiu: przychodzą nawaleni do pracy
to wina ukraińców
No dobra, a co jeżeli każdą akcję na koncie zatwierdzam w prawdziwej apce banku to lipa z takim atakiem. Dobrze myślę?
By the way. Kto korzysta jeszcze z kodów 🤦🏻♂️
Kto? Naprawdę nie znasz ludzi, który twierdzą że apki to ZUO i smartfony to ZUO bo podsłuchują? Zazdroszczę.
"Co robić i jak żyć" - dodałbym: nie używać aplikacji bankowych na telefonach, nie logować się z telefonu do banku.
dobrze, że nie mam smartfona.
#mc
te doskoki i odskoki kamery to rak youtuba.
Prowadzący probuje na siłach być śmieszny. Zostawcie to profesjonalistom.
Pojawiajacy się kot, koło 9 minuty gdy podajemy kot do banku, nawiazuje do tych kotów zjadanych przez imigrantów w Springfild?
Raczej do śmiesznych kotków
+
Ja tam bym chciał uwierzytelnić kluczem u2f ale nie ma takiej możliwości nah chyba że ktoś zna bank który to obsługuje to proszę o info ❤
Nie chcij. Przypomnę, że na kluczu nie widać co potwierdzasz - czy logowanie, czy przelew, czy zaciągnięcie kredytu. I dlatego ich nie ma w użyciu (w bankach) i nie będzie.
Taylor Timothy Clark William Jackson Brian