Χάκερ έστησε… πάρτι στο λογαριασμό αναπληρώτριας καθηγήτριας

[Muchacho]

Σχεδόν 1,5 ώρα κράτησε το …πάρτι που έστησε χάκερ στον τραπεζικό λογαριασμό αναπληρώτριας καθηγήτριας στο Ηράκλειο. Η κοπέλα είδε τις οικονομίες της, περίπου 9.000 ευρώ, να εξαφανίζονται εν ριπή οφθαλμού. Ο δράστης έκανε τρεις μεταφορές χρημάτων, την τελευταία μάλιστα παρακολούθησαν και ο διευθυντής και ο προϊστάμενος του τραπεζικού καταστήματος στο οποίο είχε σπεύσει η κάτοχος του λογαριασμού στην αγωνιώδη προσπάθεια της να μπλοκάρει την …αφαίμαξη. Μάταια όμως. Η απάτη, γνωστή ως «sim swap», είχε συντελεστεί, ο λογαριασμός της άδειασε και τώρα ζητά από την τράπεζα να της επιστρέψει τα χρήματα αφού την θεωρεί υπεύθυνη.

Η κοπέλα δούλευε στον υπολογιστή της όταν ξαφνικά έλαβε ένα mail από την τράπεζα που την ενημέρωνε ότι είχε συντελεστεί ύποπτη συναλλαγή μεταφοράς ποσού περίπου 2.500 ευρώ. Το mail εστάλη στις 13.01 το μεσημέρι. Κάλεσε αμέσως στα αναγραφόμενα τηλέφωνα επικοινωνίας της τράπεζας, ουδείς όμως απάντησε στην κλήση της. Μετά από μια 20λεπτη εκνευριστική αναμονή στο τηλέφωνο, αποφάσισε να μεταβεί αυτοπροσώπως στο πλησιέστερο τραπεζικό κατάστημα. Στις 13.55 ήταν ήδη στην τράπεζα και ενημέρωσε για την ειδοποίηση που είχε λάβει. Παράλληλα διαπίστωσε ότι στις 13.13 είχαν μεταφερθεί μέσα από το λογαριασμό e-banking ακόμα 4000 ευρώ.

Στις 14.12 και ενώ παρέμενε στην τράπεζα, διαπιστώθηκε μεταφορά επιπλέον κεφαλαίων ύψους 2.570 ευρώ. Παρόντες μαζί της ήταν ο διευθυντής, ο προϊστάμενος και δύο υπάλληλοι. Παρά ταύτα, ουδείς μπόρεσε να αποτρέψει την …απαλλοτρίωση.

Στην συγκεκριμένη περίπτωση   ο χάκερ κατάφερε, πιθανότατα με πλαστή εξουσιοδότηση, κατάφερε να βγάλει νέα κάρτα sim του τηλεφώνου της παθούσας, δηλώνοντας απώλεια της παλιάς. Η ενεργοποίηση της νέας κάρτας σηματοδοτεί την απενεργοποίηση της παλιάς, δηλαδή αυτής που βρίσκεται στην κατοχή του νόμιμου συνδρομητή. Έτσι όλες οι υπηρεσίες (κλήσεις, SMS, πρόσβαση στο διαδίκτυο) λαμβάνονται στη συσκευή που βρίσκεται στην κατοχή του δράστη, ο οποίος έχει τη δυνατότητα να διεξάγει  παράνομες δραστηριότητες εν αγνοία των νόμιμων συνδρομητών (π.χ. λαμβάνοντας κλήσεις και μηνύματα που προορίζονται για αυτούς, υποκλέπτοντας κωδικούς μιας χρήσης ή μηνυμάτων επαλήθευσης ασφάλειας κ.λπ).  

Σύμφωνα με τον δικηγόρο κ. Μενέλαο Ξυλούρη, ο οποίος χειρίζεται την υπόθεση της αναπληρώτριας καθηγήτριας, στις 12.45 ο χάκερ πήρε τη νέα sim, στις 13.01 είχε συντελεστεί η πρώτη μεταφορά, στις 13.13 έγινε και η δεύτερη και στις 14.13 εξαφανίστηκε και το τελευταίο ευρώ.

https://www.cretalive.gr/kriti/haker-estise-parti-sto-logariasmo-anaplirotrias-kathigitrias

 

Μπορεί κάποιος να σκεφτεί τι πήγε στραβά? Τόσο εύκολα οι πάροχοι τηλεφωνίας βγάζουν νέα sim? Και πρόσβαση στα στοιχεία του ebanking πως απέκτησε?

[The_Judas]

ειδικά τώρα με το gov.gr νομίζει κανείς ότι οι υπάλληλοι ελέγχουν τις εξουσιοδοτήσεις αν είναι γνήσιες;

Εγώ πιστεύω ότι οι περισσότεροι δεν ασχολούνται....

Είναι δουλειά 5 λεπτών να αλλάξεις τα στοιχεία στο pdf.

Επεξ/σία 20 Ιουλίου 2020 από The_Judas

[theo93]

Τι έχουμε να δούμε ακόμα.

Άραγε θα βγάλει καμία άκρη ή θα τα κλαίει;

[DrLo]

για να το κάνει αυτό θα χρειαζόταν και τους κωδικούς του web-banking, έτσι δεν είναι ;

9 λεπτά πριν, The_Judas είπε

ειδικά τώρα με το gov.gr νομίζει κανείς ότι οι υπάλληλοι ελέγχουν τις εξουσιοδοτήσεις αν είναι γνήσιες;

Εγώ πιστεύω ότι οι περισσότεροι δεν ασχολούνται....

Με το gov.gr είναι τεχνικά απείρως πιο ευκολο να ελέγξει κανείς αν η εξουσιοδότηση είναι γνήσια.

Αν ερχόταν ένας με μια σφραγίδα από ΚΕΠ (τάχα) πως θα μπορούσες να το κάνεις verify ?

άσε που για αυτή τη δουλειά δε νομίω ότι αρκεί εξουσιοδότηση, θέλει πληρεξούσιο ... κάτι δε πάει καλά με το όλο concept όπως το λέει το κείμενο στο 1ο post

Επεξ/σία 20 Ιουλίου 2020 από DrLo

[NikosKallithea]

Αυτο που έκαναν παντως οι τραπεζες, που ολα εξαρτώνται απο το κινητό, ειναι οτι πιο ανασφαλές μπορούσαν να κάνουν.

Τα μηχανάκια ηταν πολύ πιο ασφαλή

[n4sleep]

Μιλημένος υπάλληλος κινητής μυρίζει ή πολύ βλάκας. Όπως και να έχει την πάτησε , καθώς φαίνεται ποιος και που έδωσε την κάρτα.

[TechnoState]

.... πολύ πιθανό, ο δράστης να είχε εκ των προτέρων τα στοιχεία εισόδου (οικείο ή συγγενικό πρόσωπο...ή εν άγνοια της, είχε πέσει θύμα phishing).

Στην συνέχεια αφού έγινε ή μεταβολή του κινητού τηλ. στο σύστημα της τράπεζας...οι εγκρίσεις, οι επαληθεύσεις κ τα extra pin για τις μεταφορές, πέρασαν απο το νέο νούμερο.

Έχω περιέργεια, απο ποια τράπεζα συνέβη αυτό. Τουλάχιστον στις 3 απο τις 4 συστημικές για να αλλάξεις αριθμό κινητού τηλ. πρέπει να επισκεφθείς κατάστημα (δεν γίνεται με τα υπόλοιπα "κανάλια" επικοινωνίας). Τουλάχιστον αυτό αντιμετώπισα εγώ, πρόσφατα κατά την αλλαγή που ήθελα να κάνω.

Επεξ/σία 20 Ιουλίου 2020 από TechnoState

[ksessalonikios]

Ο απατεώνας πρώτα ψαρεύει-κλέβει τους κωδικούς του web banking και μετά για να μπορέσει να κάνει την μεταφορά πάει στην εταιρία κινητής και ζητά αντικατάσταση σιμ για να του έρχονται τα sms, οποτε προσοχή που δίνεται τα στοιχεία του web banking σας

[NikosKallithea]

https://www.sofokleousin.gr/synagermos-stis-trapezes-gia-tous-xakers-ton-logariasmon

[johnnys4u]

Σήμερα το πρωι νόμιζα ότι έπαθα κάτι παρόμοιο.

Είδα SMS απο την τράπεζα πως είχα 2 χρεώσεις στις 02:00 τα ξημερώματα.

Η μία ήταν 12 ευρώ και η άλλη 13 ευρώ.

Μετά άνοιξε το μάτι μου και είδα πως η χρέωση έγινε απο το Amazon.Es

Εκει λέω την φάγαμε, κάποιος θα ψωνίσει τα πάντα.

Μπαινω στο EBanking και κλειδώνω την κάρτα.

Μετά μπήκα στο Amazon.ES. Είδα πως είχα κάνει "συνδρομή" (χωρίς να το έχω καταλάβει) να μου στέλνουν κάθε μήνα πιπίλες για το μωρό.

Ακυρώθηκε η παραγγελία, "εσβησα" την αποθηκευμένη κάρτα απο το amazon, ακύρωσα την συνδρομή στις πιπίλες και ενεργοποιησα πάλι την κάρτα μου.

Ηταν τα 5 τρομακτικά λεπτά του πρωινού μου για ενα ποσο 25ευρώ,  με τον φόβο οτι όπου να ναι θα μου αδειάσουν τον λογαριασμό.

Ακόμα δεν έχω συνέλθει απο το σόκ-τρομάρα μου.

[gianniz_k]

Εδώ και λίγο καιρό η διαδικασία για αντικατάσταση κάρτας sim έχει αλλάξει και πλέον ο αιτών κάνει την αίτηση σε κατάστημα με την ταυτότητά του,αλλά η αλλαγή δεν γίνεται άμεσα.Εντός των επόμενων ωρών το τηλεφωνικό κέντρο του παρόχου καλεί τον πελάτη στον αριθμό που έχει υποδείξει αυτός στην αίτηση,ώστε να γίνει μια επιπλέον ταυτοποίηση.Αυτή η αλλαγή στην διαδικασία έγινε για να αποτραπούν τέτοιες ενέργειες. Τουλάχιστον αυτό ισχύει για την wind.

Πολύ βρώμα η δουλειά που έλεγε και ο Μάρκος Λεζές.Κάτι μου λέει πως θα τον βρουν τον δράστη.

[ioankav]

29 λεπτά πριν, TechnoState είπε

.... πολύ πιθανό, ο δράστης να είχε εκ των προτέρων τα στοιχεία εισόδου (οικείο ή συγγενικό πρόσωπο...ή εν άγνοια της, είχε πέσει θύμα phishing).

Στην συνέχεια αφού έγινε ή μεταβολή του κινητού τηλ. στο σύστημα της τράπεζας...οι εγκρίσεις, οι επαληθεύσεις κ τα extra pin για τις μεταφορές, πέρασαν απο το νέο νούμερο.

Έχω περιέργεια, απο ποια τράπεζα συνέβη αυτό. Τουλάχιστον στις 3 απο τις 4 συστημικές για να αλλάξεις αριθμό κινητού τηλ. πρέπει να επισκεφθείς κατάστημα (δεν γίνεται με τα υπόλοιπα "κανάλια" επικοινωνίας). Τουλάχιστον αυτό αντιμετώπισα εγώ, πρόσφατα κατά την αλλαγή που ήθελα να κάνω.

Καμία αλλαγή δεν έγινε για την τράπεζα. Στο ίδιο νούμερο στάλθηκαν όλα (extra pins κτλ).
Αλλαγή sim με τον ίδιο αριθμό έγινε στον πάροχο.

[DrLo]

5 λεπτά πριν, gianniz_k είπε

Εδώ και λίγο καιρό η διαδικασία για αντικατάσταση κάρτας sim έχει αλλάξει και πλέον ο αιτών κάνει την αίτηση σε κατάστημα με την ταυτότητά του,αλλά η αλλαγή δεν γίνεται άμεσα.Εντός των επόμενων ωρών το τηλεφωνικό κέντρο του παρόχου καλεί τον πελάτη στον αριθμό που έχει υποδείξει αυτός στην αίτηση,ώστε να γίνει μια επιπλέον ταυτοποίηση.Αυτή η αλλαγή στην διαδικασία έγινε για να αποτραπούν τέτοιες ενέργειες. Τουλάχιστον αυτό ισχύει για την wind.

Πολύ βρώμα η δουλειά που έλεγε και ο Μάρκος Λεζές.Κάτι μου λέει πως θα τον βρουν τον δράστη.

Η ταυτοοίηση μέσω τηλεφώνου είναι ΟΤΙ ΠΙΟ ανασφαλές υπάρχει. 

[TechnoState]

@johnnys4u ... σίγουρα δεν προέκυψε απο κάποιο λάθος η αμέλεια σου?

Δλδ είναι αρκετά κουλό...το να σε εξαπατήσει κάποιος (με τα στοιχεία του λογαριασμού/κάρτας σου) κ να στέλνει σε εσένα πιπίλες κατά το δοκούν (με συνδρομή).... Δλδ αναρωτιέμαι, ποιο το δικό του όφελος, απο την απάτη???

@ioankav ...σε αυτή την περίπτωση, απο την voda (κατάστημα) ενημερώθηκα(πρόσφατα, επειδή απέκτησα εταιρικό) ότι μόνο με συμβολαιογραφικό έγγραφο μπορεί να παραδωθεί sim αντικατάστασης για έναν αριθμό (κ αυτό, μετά απο έλεγχο κ έγκριση απο το αρμόδιο τμήμα)... εκτός απο τον νόμιμο ιδιοκτήτη (με επίδειξη ΑΔΤ) κ φυσικά δεν κάνουν δεκτή οποιαδήποτε άλλη εξουσιοδότηση (ακόμα κ θεωρημένο/βεβαιωμένο δείγμα υπογραφής απο δημόσια αρχή).

Επίσης παρατήρησα ότι, στο internet banking (της Πειραιώς σίγουρα) εγγράφεται κ η συσκευή σου (κατασκευαστής, μοντέλο, imei) εκτός απο το τηλέφωνο σου...στις "αξιόπιστες συσκευές", απο την "διαχείριση συσκευών"

 

Επεξ/σία 20 Ιουλίου 2020 από TechnoState

[skoulas]

Μόνο εγώ θεωρώ μέγιστη βλακεία την ηλεκτρονική απάτη που έχει να κάνει με e-banking;

Π.χ. κάποιος αποκτά είτε πρόσβαση στο e-banking μου είτε στα στοιχεία της κάρτας μου... Ξεκινάει τις αγορές ή τις μεταφορές των χρημάτων.. Όλα αυτά θα πάνε σε κάποιο υπαρκτό πρόσωπο -όνομα και επώνυμο- με λογαριασμό σε κάποια τράπεζα ή σε κάποια διεύθυνση για παραλαβή.. Άρα από τη στιγμή που κάνω καταγγελία για απάτη δεν είναι βέβαιο ότι θα βρεθεί το πρόσωπο αυτό; (κάνω κάπου λάθος στο σκεπτικό μου;)

Πιο πολύ φοβάμαι, αν χάσω την κάρτα, να ξεκινήσει τις ανέπαφες αγορές, που και πάλι μπορεί να εντοπιστεί ποιος ήταν αυτός που τις έκανε...