Τραπεζική απάτη μόνο μέσω viber

[dtk-386]

@Malthador τα είπες όλα! 👌

[nikopoup]

6 ώρες πριν, korakios είπε

βασικά εκεί είναι το πρόβλημα το σημαντικό . Κάποιος είχε τους κωδικούς σου και αυτό πρέπει να σε προβληματίσει

το οτι πήραν πρόσβαση στο viber (απο τη στιγμή που τους το έδωσες απλόχερα δυστυχώς)  περνά σε 2η μοίρα

Επίσης διόρθωσε τον τίτλο μιας και μοιάζει σαν κενό ασφαλείας της εφαρμογής viber

Ακριβώς αυτό. 

Μόλις διάβασα το θέμα αυτό μου ήρθε στο μυαλό.

Το viber είναι το τελευταίο σε μια μεγάλη σειρά βημάτων που έγινε. 

Πρέπει να εστιάσεις πως βρήκαν τους κωδικούς του ebanking. Ίσως μπορεί να σου δώσει η τράπεζα την IP εκείνης της σύνδεσης.

[Nikos_Anastas]

1 hour ago, nikopoup said:

Ακριβώς αυτό. 

Μόλις διάβασα το θέμα αυτό μου ήρθε στο μυαλό.

Το viber είναι το τελευταίο σε μια μεγάλη σειρά βημάτων που έγινε. 

Πρέπει να εστιάσεις πως βρήκαν τους κωδικούς του ebanking. Ίσως μπορεί να σου δώσει η τράπεζα την IP εκείνης της σύνδεσης.

και να μου δώσει την ip νομίζεις θα γίνει κάτι; χίλιοι τρόποι υπάρχουν να αλλάξεις ip και σίγουρα ξέρουν τι κάνουν

[mezger]

@Nikos_Anastas ανέφερες κάποιες φορές την πιθανότητα να έγιναν leak οι κωδικοί ebanking από την τράπεζα, αυτό είναι αδύνατο, η τράπεζα δεν ξέρει τους κωδικούς σου (αποθηκεύονται πάντα κρυπτογραφημένοι). Αν αποκλείσουμε ποιο εξωτικούς τρόπους απόκτησης πρόσβασης (malware σε υπολογιστή/κινητό, session hijacking με κάποιο 0-day κλπ), ο μόνος τρόπος να τους έμαθαν είναι είτε από τον password manager (κάπως απίθανο αφού οι συμπάσχοντες γνωστοί σου δεν χρησιμοποιούσαν όλοι), ή μέσω phishing τόσο καλού που δεν το κατάλαβες.

Μήπως το phishing έγινε σε δεύτερο χρόνο? Σκέφτομαι ότι αν αφού έδωσες το ΟΤΡ του viber, σου ερχόταν μετά, με sms, ένα μήνυμα που να λέει "ΕΘΝΙΚΗ ΤΡΑΠΕΖΑ ΓΙΝΕΤΑΙ ΜΕΤΑΦΟΡΑ ΠΟΣΟΥ ΠΑΤΗΣΤΕ ΕΔΩ ΓΙΑ ΕΛΕΓΧΟ", μπορεί και να το πατούσες και να έβαζες τα στοιχεία σου χωρίς να το πολυσκεφτείς (και μετά φυσικά θα είχαν τα πάντα οι απατεώνες). Δες και με τους συγγενείς μήπως έβαλαν πουθενα τους κωδικούς μετά το viber hijacking.

[sdikr]

9 hours ago, polaki said:

Ναι ενώ αν οι γύφτοι στέλνανε τα λεφτά χύμα σε λογαριασμό δικό τους και όχι σε Payzy εσύ πιστεύεις θα τους πιαΧΑΧΑΧΑΧΑ… 

Άσχετο το ένα με το άλλο

8 hours ago, loatki said:

Δεν βγάζει πολύ νόημα αυτό που λες καθώς το viber στηρίζει την αυθεντικότητα σε SMS παρόχου.

 

8 hours ago, Nikos_Anastas said:

κανένα νόημα απολύτως. Νομίζω ένα μεγάλο ποσοστό μπαίνει να πει πόσο ηλίθιος είσαι και ότι όλο το φταίξιμο είναι δικό σου χωρίς να καταλαβαίνει τι έχει γίνει ή να σκέφτεται αυτά που λέει. Θέλουν απλώς να σε κάνουν να νιώσεις μειονεκτικά.

Το ότι έκανες λάθος και έστειλες το otp είναι η πραγματικότητα

Στην άλλη περίπτωση τουλάχιστον θα είχες και μια δικαιολογία οτι φταίει ο παρόχος που έδωσε το νούμερο σου σε κάποιον

[Nikos_Anastas]

38 minutes ago, mezger said:

@Nikos_Anastas ανέφερες κάποιες φορές την πιθανότητα να έγιναν leak οι κωδικοί ebanking από την τράπεζα, αυτό είναι αδύνατο, η τράπεζα δεν ξέρει τους κωδικούς σου (αποθηκεύονται πάντα κρυπτογραφημένοι). Αν αποκλείσουμε ποιο εξωτικούς τρόπους απόκτησης πρόσβασης (malware σε υπολογιστή/κινητό, session hijacking με κάποιο 0-day κλπ), ο μόνος τρόπος να τους έμαθαν είναι είτε από τον password manager (κάπως απίθανο αφού οι συμπάσχοντες γνωστοί σου δεν χρησιμοποιούσαν όλοι), ή μέσω phishing τόσο καλού που δεν το κατάλαβες.

Μήπως το phishing έγινε σε δεύτερο χρόνο? Σκέφτομαι ότι αν αφού έδωσες το ΟΤΡ του viber, σου ερχόταν μετά, με sms, ένα μήνυμα που να λέει "ΕΘΝΙΚΗ ΤΡΑΠΕΖΑ ΓΙΝΕΤΑΙ ΜΕΤΑΦΟΡΑ ΠΟΣΟΥ ΠΑΤΗΣΤΕ ΕΔΩ ΓΙΑ ΕΛΕΓΧΟ", μπορεί και να το πατούσες και να έβαζες τα στοιχεία σου χωρίς να το πολυσκεφτείς (και μετά φυσικά θα είχαν τα πάντα οι απατεώνες). Δες και με τους συγγενείς μήπως έβαλαν πουθενα τους κωδικούς μετά το viber hijacking.

όχι δεν έγινε κάποιο phising σε μεταγενέστερο χρόνο. Για την ακρίβεια μετά την κατοχή του viber δεν σκέφτηκα καν τον ενδεχόμενο τραπεζικής απάτης. 

Διάβασε την άποψη μου για το phishing και πες μου αν διαφωνείς σε κάτι

9 hours ago, Malthador said:

Καλό είναι να μην γράφονται τέτοιες ανακρίβειες, μιας και είμαστε τεχνολογικό σάιτ και υποτίθεται ότι ξέρουμε καλύτερα από τον μέσο χρήστη.

Υπάρχει πληθώρα άρθρων που αναλύουν γιατί το SMS OTP είναι dated πλέον στις μέρες μας και γιατί είναι προτιμότερο να χρησιμοποιούνται 3rd-party apps, όπως το Viber ή το WhatsApp. Ο κύριος λόγος είναι ότι αυτά τα apps προσφέρουν end-to-end data encryption, πράγμα που δεν προσφέρει το SMS OTP, το οποίο σου στέλνει χύμα έναν κωδικό με text.

Και μιας και μιλάμε για την ασφάλεια και όχι για τα υπόλοιπα αρνητικά της εν λόγω τεχνολογίας, δεν αναφέρω καν την καθυστέρηση που μπορεί να εμφανίσει το SMS OTP. Τόσο σε τράπεζες, όσο και στο PayPal μου έχει τύχει να μην μου έρχεται ποτέ SMS, εκτός κι αν πατήσω δυο-τρεις φορές να μου ξαναστείλει κωδικό - τρομερή ασφάλεια μιλάμε.

Ή μπορεί να μην στείλει καν κωδικό εκείνη την στιγμή, μπορεί να στείλει την επόμενη μέρα ξέρω 'γω και να έχω χάσει την προσφορά που θέλω να αγοράσω.

Το ιδανικό είναι να μην χρειάζεται καν να μπαίνει χειροκίνητα κωδικός, να απαιτούνται αυστηρά και μόνο βιομετρικά στοιχεία, όπως γίνεται στα push notifications. Για την ώρα όμως παρατηρώ ακόμα κι εκεί καθυστερήσεις και παθογένειες στα apps των τραπεζών. Όποιος έχει χρειαστεί να κάνει μαζικές πληρωμές σε εφορία/ΕΦΚΑ και πρέπει να εγκρίνει 10-20 πληρωμές σε λίγα λεπτά, καταλαβαίνει τι εννοώ.

Όσο idiot-proof και να γίνει μια τεχνολογία 2FA, ποτέ δεν θα γίνει αρκετά idiot-proof που να αποτρέπει τον χρήστη από το να δώσει ο ίδιος την έγκρισή του για μια συναλλαγή. Εκεί στηρίζεται το 99% του συνόλου των scams που πραγματοποιεί ο εκάστοτε επιτήδειος.

Εξάλλου ο ίδιος ο ΟΡ είπε ότι είναι μια τακτική που εφάρμοζε συστηματικά, ότι έστελνε κωδικούς στη μητέρα του μέσω Viber. Δεν θα άλλαζε κάτι αν οι κωδικοί έρχονταν με SMS ή αν έπρεπε να εγκρίνει push notifications.

ηταν αλλαγές τύπου dei κ.λπ Αν ήταν εξαρχής κάτι που αφορά την τράπεζα δεν θα έδινα κωδικό. Είχα ενεργοποιημένο το push notifications και παρότι δεν ενέκρινα την συναλλαγή αυτή έγινε κανονικά.

8 hours ago, Malthador said:

Αυτή την στιγμή δεν μπορώ να το ψάξω περαιτέρω για παραδοσιακές τράπεζες, αλλά σίγουρα το PayPal χρησιμοποιεί WhatsApp:

«3. Keep your contact information updated. Ensure that your contact information is up to date with your current telephone (mobile and/or landline) number, and email address. If we need to ask you for a one-time passcode (OTP), we can send it by SMS, WhatsApp to your mobile phone number, or via phone call to your landline, or by email, so your payment or login won't be delayed.»

η paypal πάντως default στα sms το στέλνει. Τι σχέση έχει ότι παρέχει ΚΑΙ την δυνατότητα για whatsapp? Εγβ συγκεκριμένα είχα απενεργοποιήσει το viber και είχα ενεργοποιήσει τα push notifications και πάλι μάλλον τα άλλαξαν και δεν λειτούργησαν.

9 hours ago, 1comment said:

Και ο λόγος που η τράπεζα δεν παίρνει ευθύνη είναι γιατί έδωσες έγκριση συναλλαγής από ότι καταλαβαίνω. Αν είχες βάλει μικρό όριο αγορών με κάρτα ή αγορές εξωτερικού κλειστές, πιστεύεις θα μπορούσαν να το αλλάξουν κι αυτό; Προσωπικά αυτά τα μέτρα πήρα μετά τη δική μου περιπέτεια. Κάθε φορά που θέλω να κάνω μεγάλη συναλλαγή αλλάζω το όριο.

στην ουσία η έγκριση συναλλαγής έγινε μέσω του viber παρ'οτι είχα ενεργοποιήσει push notifications.  

[korakios]

46 λεπτά πριν, Nikos_Anastas είπε

Εγβ συγκεκριμένα είχα απενεργοποιήσει το viber και είχα ενεργοποιήσει τα push notifications και πάλι μάλλον τα άλλαξαν και δεν λειτούργησαν.

Δε νομίζω να μπορείς χωρίς έγκριση και

47 λεπτά πριν, Nikos_Anastas είπε

στην ουσία η έγκριση συναλλαγής έγινε μέσω του viber παρ'οτι είχα ενεργοποιήσει push notifications.  

τότε ίσως να απευθυνθείς σε έναν δικηγόρο .

1 ώρα πριν, Nikos_Anastas είπε

και να μου δώσει την ip νομίζεις θα γίνει κάτι; χίλιοι τρόποι υπάρχουν να αλλάξεις ip και σίγουρα ξέρουν τι κάνουν

δε χάνεις κάτι , το οτι είχαν τους κωδικούς σου σημαίνει οτι χακάρανε τη συσκευή σου και ότι κωδικό είχες γενικότερα , το οποίο προσωπικά μου φαίνεται πιο σπάνιο και περισσότερο πιθανό να το είδε 3ο "κοντινό" πρόσωπο

(αν δεν πάτησες ποτέ λινκ για να μπεις σε fake site δίνοντας κατα λάθος εκεί τους κωδικούς αλλά πιστεύω και ελπίζω οτι θα το είχες καταλάβει)

[sdikr]

2 hours ago, Nikos_Anastas said:

ηταν αλλαγές τύπου dei κ.λπ Αν ήταν εξαρχής κάτι που αφορά την τράπεζα δεν θα έδινα κωδικό. Είχα ενεργοποιημένο το push notifications και παρότι δεν ενέκρινα την συναλλαγή αυτή έγινε κανονικά.

Στα Push notifications  έχει συγκεκριμένα πράγματα που θα στείλει εκεί.

Για σύνδεση άλλου κινητού πχ θα στείλει sms   και όχι Push ή μέσω viber,  το ίδιο για ενεργοποίηση pin, fingerprint καθώς και για bind συσκευής.

Για συναλλαγές  στέλνει πρώτα μέσω push αλλά όταν στο βγάζει  έχει και επιλογή να επιλέξεις άλλον τρόπο 

[polaki]

4 hours ago, sdikr said:

Άσχετο το ένα με το άλλο

Δεν είναι άσχετο με την έννοια ότι ξέρουμε πολύ καλά ότι συγκεκριμένες ομάδες δεν τις αγγίζει ούτε ο χριστός ο ίδιος. 

Οπότε είτε Payzy (που μια χαρά κάνει authenticate με ταυτότητα κλπ) είτε οποιαδήποτε άλλη κάρτα, δεν θα υπήρχε καμία τιμωρία. 

12 hours ago, Malthador said:

Καλό είναι να μην γράφονται τέτοιες ανακρίβειες, μιας και είμαστε τεχνολογικό σάιτ και υποτίθεται ότι ξέρουμε καλύτερα από τον μέσο χρήστη.

Υπάρχει πληθώρα άρθρων που αναλύουν γιατί το SMS OTP είναι dated πλέον στις μέρες μας και γιατί είναι προτιμότερο να χρησιμοποιούνται 3rd-party apps, όπως το Viber ή το WhatsApp. Ο κύριος λόγος είναι ότι αυτά τα apps προσφέρουν end-to-end data encryption, πράγμα που δεν προσφέρει το SMS OTP, το οποίο σου στέλνει χύμα έναν κωδικό με text.

Και μιας και μιλάμε για την ασφάλεια και όχι για τα υπόλοιπα αρνητικά της εν λόγω τεχνολογίας, δεν αναφέρω καν την καθυστέρηση που μπορεί να εμφανίσει το SMS OTP. Τόσο σε τράπεζες, όσο και στο PayPal μου έχει τύχει να μην μου έρχεται ποτέ SMS, εκτός κι αν πατήσω δυο-τρεις φορές να μου ξαναστείλει κωδικό - τρομερή ασφάλεια μιλάμε.

Ή μπορεί να μην στείλει καν κωδικό εκείνη την στιγμή, μπορεί να στείλει την επόμενη μέρα ξέρω 'γω και να έχω χάσει την προσφορά που θέλω να αγοράσω.

 

Ο κόσμος την πατάει μέσω social hacking. Ο TS ανέφερε ότι του έστειλε ΔΗΘΕΝ η μητέρα του μήνυμα να της στείλει το OTP που ήρθε. Προφανώς δεν ήταν η μητέρα του εκείνη, αλλά ο hacker. Και προφανώς ο hacker με κάποιο τρόπο απέκτησε πρόσβαση στο Viber ΤΗΣ. 

Το ζήτημα εδώ είναι ότι όπως ξέρουμε σε τέτοιες εφαρμογές αν κάποιος συνδεθεί για λογαριασμό σου στο Viber σου, θα λάβει το OTP στο desktop του, και θα έχει και πρόσβαση σε όλες τις επαφές να στέλνει ότι dickpics θέλει.  

Οπότε ΠΡΟΣΩΠΙΚΑ, χίλιες φορές το outdated SMS που δεν είναι κρυπτογραφημένο, παρά να μου στέλνουν από οποιαδήποτε άλλη πλατφόρμα Viber, Whatsapp, Messenger, Telegram τί σκατά θέλουν, που έχω να ρισκάρω αυτό που μόλις περιέγραψα και συνέβει στον TS. 

 

[Malthador]

39 minutes ago, polaki said:

Ο κόσμος την πατάει μέσω social hacking. Ο TS ανέφερε ότι του έστειλε ΔΗΘΕΝ η μητέρα του μήνυμα να της στείλει το OTP που ήρθε. Προφανώς δεν ήταν η μητέρα του εκείνη, αλλά ο hacker. Και προφανώς ο hacker με κάποιο τρόπο απέκτησε πρόσβαση στο Viber ΤΗΣ. 

Το ζήτημα εδώ είναι ότι όπως ξέρουμε σε τέτοιες εφαρμογές αν κάποιος συνδεθεί για λογαριασμό σου στο Viber σου, θα λάβει το OTP στο desktop του, και θα έχει και πρόσβαση σε όλες τις επαφές να στέλνει ότι dickpics θέλει.  

Οπότε ΠΡΟΣΩΠΙΚΑ, χίλιες φορές το outdated SMS που δεν είναι κρυπτογραφημένο, παρά να μου στέλνουν από οποιαδήποτε άλλη πλατφόρμα Viber, Whatsapp, Messenger, Telegram τί σκατά θέλουν, που έχω να ρισκάρω αυτό που μόλις περιέγραψα και συνέβει στον TS. 

 

Αυτό που παραβλέπεις είναι ότι δεν χρειαζόταν να έχει συνδεδεμένο το τραπεζικό του λογαριασμό με το Viber για να την πατήσει. Απλά έτυχε το OTP να το έχει συνδέσει στην εφαρμογή που συμπτωματικά χρησιμοποιούσε και για να επικοινωνεί με τους οικείους του.

Θα μπορούσε να μην είχε καν Viber - η διαδικασία η ίδια παραμένει:

Έστω ότι είμαι εγώ ένα κακόβουλος χάκερ που έχω βρει τους κωδικούς σου στην τράπεζα και το νούμερο του κινητού σου ή το λογαριασμό σου στο fb ή το nickname σου στο ινσόμνια. Μπαίνω στον τραπεζικό σου λογαριασμό, αλλάζω το κινητό σου με το κινητό μου και παράλληλα σου στέλνω μήνυμα ως «Μπαμπάς Polaki» και σου ζητάω να μου δώσεις το OTP που σου ήρθε στο κινητό σου με SMS/Viber/push/whatever (είναι αδιάφορος ο τρόπος που λαμβάνεις το OTP) για να ξεμπλοκάρω το ebanking μου. Μου το δίνεις πάνω στον πανικό της στιγμής, εγώ αλλάζω το κινητό στο ebanking σου και εσύ χαιρετάς τα λεφτά σου. 

4 hours ago, Nikos_Anastas said:

η paypal πάντως default στα sms το στέλνει. Τι σχέση έχει ότι παρέχει ΚΑΙ την δυνατότητα για whatsapp? Εγβ συγκεκριμένα είχα απενεργοποιήσει το viber και είχα ενεργοποιήσει τα push notifications και πάλι μάλλον τα άλλαξαν και δεν λειτούργησαν.

Όλες οι τράπεζες σου δίνουν εναλλακτική σε κάθε κίνηση. Δεν χρειαζόταν να κάνεις κάτι approve με push, γιατί επιτόπου ο κακοποιός πάτησε «αποστολή κωδικού» ο οποίος ήρθε στο κινητό που ήδη είχε αλλάξει στο ebanking σου.

[Ukforthemoment]

https://www.facebook.com/photo?fbid=889686766591312&set=a.599267412299917

[Cyber_Spartacus]

Δεν καταλαβαίνω γιατι δεν βγαζουνε Authentication app η τραπεζες να τελειώσει η βλακια με τα otp κλπ 

[Arkin]

6 σελιδες για κατι που προφανως φταιει ο ιδιος ο χρηστης. Δεν υπαρχει με εφαγαν τα χρηματα χωρις δικη μας συγκαταθεση τελος. Εδωσες OTP στους κλεφτες αλλος δινει κωδικους με phising φταιει ο ιδιος ο χρηστης. Δεν μπορουν να σε παρουν λεφτα με τιποτα εφοσον δεν δωσεις τιποτα. Ουτε viber φταιει ουτε κατι αλλο. Αντε με ειπε φιλη συγγενεις κτλ να του στειλεις ΟΤP εσυ γιατι να το δωσεις αμεσως? Περνεις τηλεφωνο λες με εστειλες να σου στειλω κατι? Οχι αιντε στελνουμε οτι μας ζητησουν που στο 100% οταν δουμε να μας ζητανε τετοιο κωδικο παντα ειναι κλεφτες. 

[sdikr]

1 hour ago, polaki said:

Δεν είναι άσχετο με την έννοια ότι ξέρουμε πολύ καλά ότι συγκεκριμένες ομάδες δεν τις αγγίζει ούτε ο χριστός ο ίδιος. 

Οπότε είτε Payzy (που μια χαρά κάνει authenticate με ταυτότητα κλπ) είτε οποιαδήποτε άλλη κάρτα, δεν θα υπήρχε καμία τιμωρία. 

Δεν κάνει authenticate μόνο με ταυτότητα,  θέλει taxis και θέλει και βίντεο κλήση

τα άλλα παραμένουν άσχετα

[loatki]

1 ώρα πριν, Malthador είπε

Αυτό που παραβλέπεις είναι ότι δεν χρειαζόταν να έχει συνδεδεμένο το τραπεζικό του λογαριασμό με το Viber για να την πατήσει. Απλά έτυχε το OTP να το έχει συνδέσει στην εφαρμογή που συμπτωματικά χρησιμοποιούσε και για να επικοινωνεί με τους οικείους του.

Θα μπορούσε να μην είχε καν Viber - η διαδικασία η ίδια παραμένει:

Έστω ότι είμαι εγώ ένα κακόβουλος χάκερ που έχω βρει τους κωδικούς σου στην τράπεζα και το νούμερο του κινητού σου ή το λογαριασμό σου στο fb ή το nickname σου στο ινσόμνια. Μπαίνω στον τραπεζικό σου λογαριασμό, αλλάζω το κινητό σου με το κινητό μου και παράλληλα σου στέλνω μήνυμα ως «Μπαμπάς Polaki» και σου ζητάω να μου δώσεις το OTP που σου ήρθε στο κινητό σου με SMS/Viber/push/whatever (είναι αδιάφορος ο τρόπος που λαμβάνεις το OTP) για να ξεμπλοκάρω το ebanking μου. Μου το δίνεις πάνω στον πανικό της στιγμής, εγώ αλλάζω το κινητό στο ebanking σου και εσύ χαιρετάς τα λεφτά σου. 

Όλες οι τράπεζες σου δίνουν εναλλακτική σε κάθε κίνηση. Δεν χρειαζόταν να κάνεις κάτι approve με push, γιατί επιτόπου ο κακοποιός πάτησε «αποστολή κωδικού» ο οποίος ήρθε στο κινητό που ήδη είχε αλλάξει στο ebanking σου.

Το να κάνεις takeover ενα viber account είναι πιο εύκολο απο το να αποκτήσεις κυριότητα σε έναν αριθμό κινητού.

Ο κλέφτης δεν άλλαξε τον αριθμό κινητού του θύματος, πήρε πρόσβαση μέσω viber που είναι δυνατόν να χρησιμοποιηθεί σε ταυτόχρονα σε πολλές συσκευές (και στη συνέχεια τον πέταξε εκτός viber) σε αντίθεση με έναν αριθμό κινητού που δουλεύει μόνο σε μια συσκευή (το κινητό).

Σύμφωνα με το παράδειγμά σου (αλλαγή κινητού) ο κλέφτης θα έπρεπε να "καίει" ένα κινητό κάθε φορά που κλέβει ενα θύμα, καθώς η τράπεζα και πακιστανικό να είναι το κινητό θα το κάνει blacklist.

Δεν έχει νόημα να το υπεραναλυουμε εφόσον δεν θέλεις να δείς την διαφορά απο μόνος σου, δεν προσπαθώ να αλλάξω την γνώμη κανενός εδω μέσα.

Παρεμπιπτόντως αν βρείς κάποιο άρθρο που λέει να χρησιμοποιηούμε viber αντι SMS για OTP θα ήθελα να το διαβάσω, καθώς και αν ξέρεις κάποια ξένη τράπεζα που έχει viber για OTP.