Τραπεζική απάτη μόνο μέσω viber

[ringboy]

1 ώρα πριν, Nikos_Anastas είπε

πιο πιθανό μου φαίνεται να έχουν τα στοιχεία μου από υπάλληλο της τράπεζας. Έχω την εντύπωση ότι δεν έγινε reset στο password γιατί δεν με πέταξε εκτός.

 

 

Antivirus εχεις στο PC απο οπου κανεις log στο webbanking? 

[sdikr]

4 hours ago, Nikos_Anastas said:

έχω εξηγήσει αυτό το ενδεχόμενο όπως και γιατί είναι πρακτικώς απίθανο.

Μην ξεχνάς ότι ακόμα και τους κωδικούς να έχει είναι σχεδόν άχρηστοι χωρίς το 2fa. Αλλά και στα μεγάλα ποσά υπάρχει μπλοκάρισμα από την τράπεζα. Επίσης αμφιβάλλω αν στα μεγάλα ψάρια θα φέρονταν με τον ίδιο τρόπο και απάθεια.

Είναι πιο πιθανό απο το να έχουν χακάρει την τράπεζα πάντως

[nikopoup]

20 ώρες πριν, Nikos_Anastas είπε

δεν παίζει να είχαν αριθμό κάρτας γιατί ζητήθηκαν να σταλούν τα στοιχεία της κάρτας αφού μπήκαν στον λογαριασμό.

Αυτό δεν το ανέφερες στο αρχικό ποστ. 

Για πες μας λεπτομέρειες 

[ringboy]

Γινεται να ζητησεις και να σου στειλει η  τραπεζα τα στοιχεια της καρτας με μηνυμα?????
Παντως οι τυποι εχουν πολυ θρασος και θαρρος και δεν ξερω απο που το αντλουνε.
Μου φαινεται οτι δεν ειναι απλως μια ακομη υποθεση απατεωνων του ιντερνετ.
Χρειαζονται μυνησεις, δικηγοροι και καταγγελιες στη  διωξη ηλεκτρονικου εγκληματος.

[korakios]

28 λεπτά πριν, nikopoup είπε

Αυτό δεν το ανέφερες στο αρχικό ποστ. 

Για πες μας λεπτομέρειες 

το ανέφερε μετά , δεν είναι κάτι περίεργο απο τη στιγμή που είχαν πρόσβαση στο e-banking

[Engimek]

Στις 23/10/2024 στις 1:01 ΠΜ, Nikos_Anastas είπε

Να αναφέρω ότι δεν έκανα share το τραπεζικό otp αλλα το verification code για εισαγωγη στο viber. Το αναγνωριζω ως λαθος αλλα γενικα εχει ξανατυχει στο παρελθον να στείλω κωδικό στην μητέρα μου για κοινούς λογαριασμούς που έχουμε και εκείνη την στιγμή ήμουν σε κατάσταση σύγχυσης για διαφορετικό λόγο και δεν σκέφτηκα όπως θα έπρεπε.

Άργησα λίγο αλλά απαντώ. Καταλαβαίνω και υπογραμμίζω ξανά ότι θεωρώ αυτό που έκανες λάθος κίνηση γενικά, χωρίς όμως να μπορώ να εξηγήσω ακόμα πώς έγινε η κλοπή.

Έχω διαβάσει προσεκτικά τα μηνύματά σου και θα σου πω ότι δεν πιστεύω ότι κάποιος έκλεψε τους κωδικούς σου από τρίτη πηγή (π.χ τους βρήκε "insider" υπάλληλος) διότι οι κωδικοί σου θα έπρεπε να αποθηκεύονται κρυπτογραφημένοι στη βάση δεδομένων της τράπεζας, άρα και να είχε πρόσβαση κάποιος, δε μπορεί να κάνει κάτι. Έχουμε τα παρακάτω δεδομένα:

1. Το έχουν πει και αρκετοί άλλοι. Κάπως μπορεί έχουν κάνει keylog τα user/pass από τη συσκευή σου. Υπάρχει σαν πιθανότητα. Αλλά είναι πολύ μικρή αν το συνδυάσουμε με το γεγονός ότι μόλις καταφέρνουν να αποκτήσουν πρόσβαση στο viber, μπορούν και μπαίνουν στο ebanking. Και αυτό συνέβη σε πολλούς ανθρώπους.

2. Προσοχή σε αυτό, υπενθυμίζω ότι ο TS στο αρχικό του post είπε ότι έκαναν log in με τα credentials του στην Εθνική, έκαναν επιβεβαίωση νέας συσκευής μέσω OTP σε hijacked viber (1) και κατάφεραν να κάνουν log in στην Alpha, αλλά OTP έγκρισης ήρθε σαν SMS οπότε δεν μπήκαν (2). Αν γινόταν σε μόνο μια τράπεζα θα ανέφερα και την πιθανότητα ύπαρξης ευπάθειας στο σύστημα του ebanking τους. Αλλά σε δυο τράπεζες? Κάπως απίθανο (όχι αδύνατον)

3. Υπάρχει η περίπτωση να μην μας έχει πει κάτι άλλο που έχετε κοινό όλα τα θύματα (εκτός του ότι είστε όλοι στην ίδια ομαδική viber). Υπάρχει κάποιο άλλο κοινό τεχνολογικό στοιχείο μεταξύ σας?

 

Στις 23/10/2024 στις 1:42 ΠΜ, Malthador είπε

Το ιδανικό είναι να μην χρειάζεται καν να μπαίνει χειροκίνητα κωδικός, να απαιτούνται αυστηρά και μόνο βιομετρικά στοιχεία, όπως γίνεται στα push notifications.

Κάνω bold το πολύ σημαντικό στοιχείο που είναι και το ζουμί της όλης υπόθεσης. Εννοείται ότι το υποστηρίζω και θα το ήθελα πάρα πολύ.

Το πρόβλημα είναι ότι οι τράπεζες δεν μπορούν να το εφαρμόσουν διότι:

- Δεν έχουν όλοι smartphone.  Έχουν όλοι όμως τηλέφωνο και το sms είναι ένας από τους πιο προσβάσιμους διαύλους επικοινωνίας σε όλους.

- Υπάρχει το θέμα του recovery. Δηλαδή πες ότι γίνεται κάτι και η εφαρμογή που δίνει τα Push διαγράφεται. Ή ο χρήστης χάνει το κινητό. Πώς κάνεις register ξανά μια συσκευή?

Με ένα απλό Login?

Με Login + sms?

Με Login + στοιχεία κάρτας + π.χ viber μήνυμα?

Μόνο με επίσκεψη σε κατάστημα τραπέζης?

Όσο πιο ασφαλής γίνεται η διαδικασία, τόσο πιο δύσκολο γίνεται το recovery για ένα χρήστη και καλώς/κακώς ο κάθε οργανισμός θα βρει μια μέση λύση που να διευκολύνει την ίδια και τους χρήστες, και ας υπάρχουν παράπλευρες απώλειες.

Στις 23/10/2024 στις 1:42 ΠΜ, Malthador είπε

Υπάρχει πληθώρα άρθρων που αναλύουν γιατί το SMS OTP είναι dated πλέον στις μέρες μας και γιατί είναι προτιμότερο να χρησιμοποιούνται 3rd-party apps, όπως το Viber ή το WhatsApp. Ο κύριος λόγος είναι ότι αυτά τα apps προσφέρουν end-to-end data encryption, πράγμα που δεν προσφέρει το SMS OTP, το οποίο σου στέλνει χύμα έναν κωδικό με text.

Δες όμως αυτό που ανέφερα πιο πάνω. Στην Εθνική μπήκαν στο λογαριασμό του λόγω του ότι το otp ήρθε στο viber. Στην Αλφα δεν μπήκαν γιατί ήρθε σε SMS!

Εννοείται ότι το e2ee είναι πολύ σημαντικό για τις περιπτώσεις αυτές. Και πράγματι καλό θα ήταν να χρησιμοποιούνται apps που το υποστηρίζουν. Αλλά δεν σημαίνει ότι το Viber που το χρησιμοποιεί είναι η καταλληλότερη επιλογή για τραπεζικές συναλλαγές. Αν μπορούσε να κλειδώνει σε μια συσκευή και πολύ δύσκολα να αλλάζει τότε θα ήταν διαφορετικά τα πράγματα... αλλά δεν είναι σχεδιασμένο το viber για αυτό το σκοπό.

Επεξ/σία 27 Οκτωβρίου από Engimek

[Malthador]

9 hours ago, Nikos_Anastas said:

και δεν το θεωρείς κενό ασφαλείας αυτό;

Αρκετά χαλαρή θεώρηση των πραγμάτων, αλλά ας πούμε ότι είναι κενό ασφαλείας που δεν θα έπρεπε να υπάρχει.

Πες λοιπόν ότι ήθελε επιπλέον verification για να ενεργοποιηθεί και πες ότι τραυμάτιζες το δάχτυλό σου ή ότι χάλαγε το fingertip sensor στο smartphone σου ή ότι έχανες το κινητό σου. Πώς θα είχες πρόσβαση στο λογαριασμό σου, χωρίς να μπορείς να εγκρίνεις τα push; Θα έπρεπε να πας στο κατάστημα για ότι αλλαγή ήθελες;

Εκεί είναι που σου λέω ότι έχουμε διαφορετική θεώρηση των πραγμάτων, εγώ θέλω περισσότερη ελευθερία, όχι λιγότερη, να τρέχω σε καταστήματα κλπ.

6 hours ago, Nikos_Anastas said:

Αλλά και στα μεγάλα ποσά υπάρχει μπλοκάρισμα από την τράπεζα. 

Πάντως και σε μικρά ποσά έχει τύχει να με πάρουν τηλέφωνο από την Alpha ή την Eurobank για να με ρωτήσουν αν έκανα εγώ την συναλλαγή.

5 hours ago, martkonsta said:

Πώς σχετίζονται οι συνδικαιούχοι ενός τραπεζικού λογαριασμού με τον λογαριασμό ενός e-banking?

Έχεις δίκιο, λάθος μου.

5 hours ago, martkonsta said:

Το μόνο που μπορώ να φανταστώ είναι να πήραν τηλέφωνο στην εξυπηρέτηση και με social engineering να έπεισαν τον υπάλληλο ότι «τους» έκλεψαν το πορτοφόλι που είχε μέσα την κάρτα και τα στοιχεία πρόσβασης, και να τους στείλουν ένα OTP στο κινητό για να κάνουν reset password, οπότε και να παρακάμπτεται αυτό το βήμα έτσι. Δεν χάνεις κάτι να ζητήσεις και όλες τις ηχογραφήσεις που έχουν για τον λογαριασμό σου στην εξυπηρέτηση πελατών, φαντάζομαι ένας δικηγόρος θα μπορούσε να βοηθήσει.

Ευφάνταστο σενάριο, αλλά ακόμα κι έτσι να είναι, δεν μπορεί να εφαρμόστηκε αυτή η τακτική σε δέκα άτομα. Υπερβολικό.

3 hours ago, Nikos_Anastas said:

πιο πιθανό μου φαίνεται να έχουν τα στοιχεία μου από υπάλληλο της τράπεζας.

Δεν έχει πρόσβαση στους κωδικούς ο υπάλληλος της τράπεζας.

26 minutes ago, Engimek said:

Άργησα λίγο αλλά απαντώ. Καταλαβαίνω και υπογραμμίζω ξανά ότι θεωρώ αυτό που έκανες λάθος κίνηση γενικά, χωρίς όμως να μπορώ να εξηγήσω ακόμα πώς έγινε η κλοπή.

Συμφωνώ ότι δεν γίνεται να εφαρμοστεί, τουλάχιστον για την ώρα. Πρέπει να υπάρχουν εναλλακτικές. Πάντως υπάρχει και το v-banking πλέον που μπορεί να λύσει αρκετά από αυτά που αναφέρεις.

28 minutes ago, Engimek said:

 

Δες όμως αυτό που ανέφερα πιο πάνω. Στην Εθνική μπήκαν στο λογαριασμό του λόγω του ότι το otp ήρθε στο viber. Στην Αλφα δεν μπήκαν γιατί ήρθε σε SMS!

Εννοείται ότι το e2ee είναι πολύ σημαντικό για τις περιπτώσεις αυτές. Και πράγματι καλό θα ήταν να χρησιμοποιούνται apps που το υποστηρίζουν. Αλλά δεν σημαίνει ότι το Viber που το χρησιμοποιεί είναι η καταλληλότερη επιλογή για τραπεζικές συναλλαγές. Αν μπορούσε να κλειδώνει σε μια συσκευή και πολύ δύσκολα να αλλάζει τότε θα ήταν διαφορετικά τα πράγματα... αλλά δεν είναι σχεδιασμένο το viber για αυτό το σκοπό.

Επιβεβαιώνω ότι η Alpha στέλνει SMS και όχι μήνυμα στο Viber, αν και ο OP είπε ότι εν τέλει μόνο στην Εθνική μπήκαν, δεν προσπάθησαν να μπουν σε άλλες τράπεζες.

Το Viber δεν έχει σχεδιαστεί με αυτό το σκοπό, συμφωνώ, το ιδανικό είναι να υπήρχαν μόνο τα apps της εκάστοτε τράπεζας και τίποτα άλλο. Ωστόσο πρέπει να υπάρχει και εναλλακτική, καθώς δεν λειτουργούν πάντα σωστά τα push, οπότε η δεύτερη επιλογή θα πρέπει να είναι κάποιο app με encryption, όχι κάποιο app χωρίς encryption.

[Nikos_Anastas]

32 minutes ago, Engimek said:

Άργησα λίγο αλλά απαντώ. Καταλαβαίνω και υπογραμμίζω ξανά ότι θεωρώ αυτό που έκανες λάθος κίνηση γενικά, χωρίς όμως να μπορώ να εξηγήσω ακόμα πώς έγινε η κλοπή.

Έχω διαβάσει προσεκτικά τα μηνύματά σου και θα σου πω ότι δεν πιστεύω ότι κάποιος έκλεψε τους κωδικούς σου από τρίτη πηγή (π.χ τους βρήκε "insider" υπάλληλος) διότι οι κωδικοί σου θα έπρεπε να αποθηκεύονται κρυπτογραφημένοι στη βάση δεδομένων της τράπεζας, άρα και να είχε πρόσβαση κάποιος, δε μπορεί να κάνει κάτι. Έχουμε τα παρακάτω δεδομένα:

1. Το έχουν πει και αρκετοί άλλοι. Κάπως μπορεί έχουν κάνει keylog τα user/pass από τη συσκευή σου. Υπάρχει σαν πιθανότητα. Αλλά είναι πολύ μικρή αν το συνδυάσουμε με το γεγονός ότι μόλις καταφέρνουν να αποκτήσουν πρόσβαση στο viber, μπορούν και μπαίνουν στο ebanking. Και αυτό συνέβη σε πολλούς ανθρώπους.

2. Προσοχή σε αυτό, υπενθυμίζω ότι ο TS στο αρχικό του post είπε ότι έκαναν log in με τα credentials του στην Εθνική, έκαναν επιβεβαίωση νέας συσκευής μέσω OTP σε hijacked viber (1) και κατάφεραν να κάνουν log in στην Alpha, αλλά OTP έγκρισης ήρθε σαν SMS οπότε δεν μπήκαν (2). Αν γινόταν σε μόνο μια τράπεζα θα ανέφερα και την πιθανότητα ύπαρξης ευπάθειας στο σύστημα του ebanking τους. Αλλά σε δυο τράπεζες? Κάπως απίθανο (όχι αδύνατον)

3. Υπάρχει η περίπτωση να μην μας έχει πει κάτι άλλο που έχετε κοινό όλα τα θύματα (εκτός του ότι είστε όλοι στην ίδια ομαδική viber). Υπάρχει κάποιο άλλο κοινό τεχνολογικό στοιχείο μεταξύ σας?

 

Κάνω bold το πολύ σημαντικό στοιχείο που είναι και το ζουμί της όλης υπόθεσης. Εννοείται ότι το υποστηρίζω και θα το ήθελα πάρα πολύ.

Το πρόβλημα είναι ότι οι τράπεζες δεν μπορούν να το εφαρμόσουν διότι:

- Δεν έχουν όλοι smartphone.  Έχουν όλοι όμως τηλέφωνο και το sms είναι ένας από τους πιο προσβάσιμους διαύλους επικοινωνίας σε όλους.

- Υπάρχει το θέμα του recovery. Δηλαδή πες ότι γίνεται κάτι και η εφαρμογή που δίνει τα Push διαγράφεται. Ή ο χρήστης χάνει το κινητό. Πώς κάνεις register ξανά μια συσκευή?

Με ένα απλό Login?

Με Login + sms?

Με Login + στοιχεία κάρτας + π.χ viber μήνυμα?

Μόνο με επίσκεψη σε κατάστημα τραπέζης?

Όσο πιο ασφαλής γίνεται η διαδικασία, τόσο πιο δύσκολο γίνεται το recovery για ένα χρήστη και καλώς/κακώς ο κάθε οργανισμός θα βρει μια μέση λύση που να διευκολύνει την ίδια και τους χρήστες, και ας υπάρχουν παράπλευρες απώλειες.

Δες όμως αυτό που ανέφερα πιο πάνω. Στην Εθνική μπήκαν στο λογαριασμό του λόγω του ότι το otp ήρθε στο viber. Στην Αλφα δεν μπήκαν γιατί ήρθε σε SMS!

Εννοείται ότι το e2ee είναι πολύ σημαντικό για τις περιπτώσεις αυτές. Και πράγματι καλό θα ήταν να χρησιμοποιούνται apps που το υποστηρίζουν. Αλλά δεν σημαίνει ότι το Viber που το χρησιμοποιεί είναι η καταλληλότερη επιλογή για τραπεζικές συναλλαγές. Αν μπορούσε να κλειδώνει σε μια συσκευή και πολύ δύσκολα να αλλάζει τότε θα ήταν διαφορετικά τα πράγματα... αλλά δεν είναι σχεδιασμένο το viber για αυτό το σκοπό.

Επανεξέτασα το θέμα με την alpha bank και είναι πιθανό η συσκευή που συνδέθηκε να είναι δικιά μου επειδή είχα καιρό ή επειδή μπήκα από καινούριο wifi. Η αλήθεια είναι ότι επειδή στην alpha δεν κατάφεραν να μετακινήσουν λεφτά έκλεισα απλώς τον λογαριασμό και δεν ζήτησα κινήσεις log, θα το κάνω όμως αυτές τις μέρες και θα ενημερώσω.

[dbrillis]

25 λεπτά πριν, Engimek είπε

- Υπάρχει το θέμα του recovery. Δηλαδή πες ότι γίνεται κάτι και η εφαρμογή που δίνει τα Push διαγράφεται. Ή ο χρήστης χάνει το κινητό. Πώς κάνεις register ξανά μια συσκευή?

Με ένα απλό Login?

Με Login + sms?

Με Login + στοιχεία κάρτας + π.χ viber μήνυμα?

Μόνο με επίσκεψη σε κατάστημα τραπέζης?

Όσο πιο ασφαλής γίνεται η διαδικασία, τόσο πιο δύσκολο γίνεται το recovery για ένα χρήστη και καλώς/κακώς ο κάθε οργανισμός θα βρει μια μέση λύση που να διευκολύνει την ίδια και τους χρήστες, και ας υπάρχουν παράπλευρες απώλειες.

Πρεπει να ξεχασουμε το viber και τον αριθμο τηλεφωνου. Το app θα πρεπει να ενεργοποιειτε σε καθε νεα συσκευη με την επιδειξη ID ή σκαναρισμα του ID στο NFC. Ασχετως αριθμου τηλεφωνου. Και καθε συναλλαγη απο web banking να ζηταει επιβεβαιωση στο app του κινητου.
 

[georgiouu]

εχει ξανααναφερθει το θεμα κλοπη μεσω viber,ειχε απαντηθει πως γινεται η απατη αλλα δεν το ειχα πολυκαταλαβει καντε καποιος μια αναζητηση,εγω εκανα δεν το βρηκα

[Nikos_Anastas]

1 hour ago, Engimek said:

 

 

3. Υπάρχει η περίπτωση να μην μας έχει πει κάτι άλλο που έχετε κοινό όλα τα θύματα (εκτός του ότι είστε όλοι στην ίδια ομαδική viber). Υπάρχει κάποιο άλλο κοινό τεχνολογικό στοιχείο μεταξύ σας?

 

 

Δεν είναι καν στις ίδιες ομαδικές. Επειδή μόνο απο το account της μητέρας μου χακάρανε άτομα, επειδή εγώ δεν είχα ενεργοποιημένο το sync, ούτε μιλάω με κανέναν στο viber , ούτε είμαι σε άλλες ομαδικές πέρα από την οικογενειακή. Τα θύματα λοιπόν δεν έχουν κανένα κοινό πέραν προφανώς του κοινού γνωστού την μητέρα μου. Προφανώς το άτομο που εξαπατήθηκε η μητέρα μου , εξαπατήθηκε πριν από κάποιον άλλον και πάει λέγοντας.

Επεξ/σία 27 Οκτωβρίου από Nikos_Anastas

[korakios]

28 λεπτά πριν, georgiouu είπε

εχει ξανααναφερθει το θεμα κλοπη μεσω viber,ειχε απαντηθει πως γινεται η απατη αλλα δεν το ειχα πολυκαταλαβει καντε καποιος μια αναζητηση,εγω εκανα δεν το βρηκα

καταρχάς δε γίνεται μέσω viber να γίνει υποκλοπή κωδικών τραπέζης, ούτε αναφέρθηκε εδώ κάτι τέτοιο

κατα τα άλλα ,πάνω σε αυτό που ρωτάς:  κάποιος σου ζητά των κωδικό ενεργοποίησης του viber σε άλλη συσκευή και εσύ λανθασμένα τον δίνεις στον επιτήδειο . Θα μου πεις γιατί να τον δώσεις σε άγνωστο , το πρόβλημα ήταν οτι ήδη ήταν κλεμμένος με άγνωστο τρόπο ο λογαριασμός που του το ζήτησε και φαινόταν σαν οικείο πρόσωπο

Μετά αν έχει και τους κωδικούς τραπέζης λαμβάνει το ΟΤΡ μέσω του viber

[Nikos_Anastas]

5 minutes ago, korakios said:

το πρόβλημα ήταν οτι ήδη ήταν κλεμμένος με άγνωστο τρόπο ο λογαριασμός που του το ζήτησε και φαινόταν σαν οικείο πρόσωπο

 

δεν ήταν άγνωστος ο τρόπος που κλάπηκε το account της μητέρας μου. Με τον ίδιο τρόπο κλάπηκε από άλλο συγγενικό πρόσωπο

[korakios]

1 λεπτό πριν, Nikos_Anastas είπε

δεν ήταν άγνωστος ο τρόπος που κλάπηκε το account της μητέρας μου. Με τον ίδιο τρόπο κλάπηκε από άλλο συγγενικό πρόσωπο

αυτό δεν είναι κλοπή , όπως και εσύ έτσι και οι άλλοι δώσατε πρόσβαση και είναι γνωστό . Το θέμα είναι οτι απο κάποιο προφίλ θα ξεκίνησε η φάση (που ήταν οργανωμένη και στοχευμένη)

[bill999r]

Φίλε μου μάλλον η υποκλοπή των κωδικών έγινε σε προγενέστερο χρόνο χωρίς να το αντιληφθείς.

Ίσως από κάποια σελίδα που έβαλες τα στοιχεία της κάρτας σου;

Ίσως από κάποιο παγιδευμένο atm ;

Για να μπήκαν έτσι εύκολα κάπου αλλού έγινε η υποκλοπή.

Δεν μπορώ να σκεφτώ άλλον τρόπο.

Σε δίκη μου περίπτωση έγινε υποκλοπή της πιστωτικής κάρτας μου από το περιβάλλον του booking.

Ήταν καινούργια κάρτα κ την είχα χρησιμοποιήσει αποκλειστικά για μια κράτηση ξενοδοχείου μέσω booking. Μετά από ένα μήνα περίπου η κάρτα χτύπησε όριο λόγω συναλλαγών. Ευτυχώς στη δική μου περίπτωση το θέμα λύθηκε μόνο με μια αίτηση κ έγινε αμφισβήτηση των συναλλαγών.

Ξέρω ότι το δικό σου θέμα είναι διαφορετικό και περισσότερο πολύπλοκο αλλά κάπως κατάφεραν να αποκτήσουν τους κωδικούς σου 

 

Επεξ/σία 27 Οκτωβρίου από bill999r