@Foton tak, jest taka możliwość

@Foton Blokowanie przez przeglądarkę to można o kant #$@ potrzaskać, ale skoro musisz potwierdzać wszystko PIN to ktoś musiałby znać Twój PIN do aplikacji lub login i hasło do przeglądarki. No i dostałbyś powiadomienie na telefon o przelewie. Ustaw sobie limity w banku np. (przelew dzienny do 500zł) Zawsze to zabezpieczenie więcej. Istnieje też możliwość, że jak wpiszesz swój login i hasło na "podłożonej stronie", która na pierwszy rzut oka wygląda jak ta oryginalna z banku to mogą Cię wyczyścić, ale łatwo ją rozpoznać bo nie ma kłódki zabezpieczającej i proszą o wpisanie pełnego hasła. Druga sprawa, że teraz banki korzystają z systemu, który prosi o dodatkowa autoryzację, gdy wykryją logowanie z nowego urządzenia, więc trzeba być naprawdę nieostrożnym, żeby do tego doszło.

@Safrani W jaki sposób? Zazwyczaj te linki służą własnie do wykradania danych logowania. Jak kolega wyżej ma dwuetapowe logowanie, konieczność potwierdzenia kazdej operacji to zagrożenie wg mnie jest małe. Jak technicznie sam link moze wyciagnac cos z konta?

@Bogan ja się nie zajmuję okradaniem ludzi, więc nie odpowiem Ci w jaki sposób. Tak samo nie odpowiem Ci w jaki sposób ukraść nowego Mercedesa, który to ponoć ma najlepsze zabezpieczenia. A jednak takie rzeczy się zdarzają. Pewnie głównie dlatego, że ludzie nie wiedzą w jaki sposób.

@Safrani To skoro nie wiesz jak to dziala, to czemu piszesz, ze to mozliwe? Ja nie slyszalem, zeby ktokolwiek zostal okradziony po samym kliknieciu w link. Komentarz w stylu nie wiem, ale się wypowiem. I przy okazji - żeby umieć się przed tym bronić trzeba się uczyć, szkolić ,czytać i oglądać materiały z niebezpiecznika czy sekuraka. Nie trzeba być zlodziejem, żeby uczyć sie przed tym bronic :)

@Foton Nie ma takiej możliwości moim zdaniem, musiałbyś coś na telefon zainstalować, albo gdzieś tam dane podać na stronie.

@MesQueUnClub_87 Z tą kłodka to nieaktualne. Sa fejkowe strony i mają kłódkę.

@Safrani wydaje mi się jednak, że żeby doszło do kradzieży, to musiałby wejść w ten link, już nawet bez wpisywania żadnych danych, a skoro przeglądarka mu to zablokowała, to nie ma się czego obawiać.

@Bogan Dobrze wiedzieć, ale to w sumie była kwestia czasu, że zaczną te fake strony lepiej podrabiać. Tylko to jest pewnie podłożona tylko imitacja kłódki i jak w nią klikniesz i spróbujesz głębiej rozwinąć to się okaże, że nie ma żadnego zabezpieczenia. A te linki to zazwyczaj służą do instalowania oprogramowania śledzącego, które wykrada intymne dane.

@Bogan bo znam dokładnie taki przypadek. Mojemu współpracownikowi właśnie w ten sposób wyparowało 80 tys. z konta w zeszłym roku.
Też kliknął w link, który zablokował mu Norton. A skoro zablokował, to ten to olał. Potem było zdziwienie.

@Foton to zależy. Jeśli robiłeś to na telefonie, którym potwierdzasz to tak i to nawet dość proste. Jeśli na komputerze to nie wyobrażam sobie, żeby ktoś Cię mógł okraść, od samego kliknięcia, ale pewnośći na 100% nie mam.


@Safrani nie znam szczegółów Twojego przypadku, ale od samego kliknięcia ? Czy on przypadkiem nie zrobił czegoś jeszcze? Jesteś pewny, że znasz tę sprawę szczegółowo? Pytam z czystej ciekawości, ja troszkę znam tę branżę i takiego przypadku jeszcze nie poznałem, żeby po kliknięciu w lewy link okradło kogoś z kasy. Jedno konto mu wyczyścili, wszystkie? Wzięli na niego kredyty? W jakim banku?

ok. po przemyśleniu, jest to technicznie możliwe, nawet z weryfikacją sms na osobnym urządzeniu, ale nadal trzeba zrobić coś jeszcze, żeby Cię okradli. I scenariusz który mam w głowie jest czysto teoretyczny...


Ps. takie zalecenie do wszytkich. Proponuję na każdym komputerze mieć drugie konto z np Ubuntu do transakcji płatniczych i tylko z niego logować się do banku. Wtedy śpicie spokojnie.

@ferdas_rawa znam sprawę bardzo szczegółowo, bo przecież relację mieliśmy przez dłuższy czas.
Ja o szczegółach nie wiem, czy mogę pisać, bo generalnie całe postępowanie nadal jest w toku. Powiem tylko tyle, że kasa zniknęła mu dopiero po kilku dniach.

@ferdas_rawa kliknąłem w telefonie właśnie.

@Safrani no właśnie... i pytanie czy w ciągu tych dni nie zrobił czegoś jeszcze... nawet nieświadomie. Pytam się do tego typu ataki są cholernie trudne do przeprowadzenie, i mega rzadkie. Chyba, że ofiara 'współpracuję'. Z jednej strony rozumiem, że sprawa w toku, z drugiej aspekt techniczny mnie intryguję, takie zboczenie zawodowe :-) ale biorąc pod uwagę ograniczone zaufanie, to utnijmy ten temat. Planuję zrobić papiery biegłego ;-) jak zrobię to może sam się o tej sprawie czegoś dowiem.

W każdym razie, oprogramowanie powinno być zawsze aktualne, powinno się mieć dwa konta, jedno do oglądania bzdur, drugie do pracy, nie klikamy w coś czego nie znam, na stronę banku wchodzimy wpisuąc adres z klawiatury a nie z linku, w ogóle to dobrze to robić ze wszystkim.... porad na temat bezpieczeństwa jest wiele, proponuję o tym poczytać.
Snowden kiedyś powiedział, że jeżeli przeciętny człowiek będzie stosował się do zaleceń bezpieczeństwa jest bezpieczny, nawet CIA CI nic nie zrobi i to prawda. 99% przypadków takich ataków to błąd ludzki. Co z tego że masz ultrabezpieczne hasło, jak masz zapisane na pulpicie w pliku tajneHaslo.txt.

@ferdas_rawa to już jest ustalone, że wszytko przez kliknięcie w ten link i nic potem nie miało znaczenia.
Zapamiętam i jak już się wszystko zakończy, to Ci napiszę.

@Foton ok... czy przelewy potwierdzasz na telefonie? SMS? W aplikacji?

Skąd wziąłeś ten link? Tylko mi go tu nie wklejaj xD Mailem?

Hasło do banku zmień, ale z innego urządzenia. Jak możesz to zmień autoryzację w banku na aplikację - zamiast sms. Do tego warto reinstalować system na telefonie.

Czy użyawasz zapamiętywania haseł w chrome, albo innej przeglądarce?

@ferdas_rawa potwierdzam w aplikacji przelewy, link dostałem mailem, że niby mam nieopłacona fakturę.

@ferdas_rawa byłem w banku i zostałem zapewniony, że skoro nie podałem żadnych danych to mogę spać spokojnie.

@Safrani Moze mimo to się zalogowal i potem poszlo. Często ludzie nie chcą się przyznać do błędu. Nie da się zalogować do serwisów bez danych logowania bo jakby tak bylo to pewnie kazdy bylby juz okradziony.

@Safrani To możesz mnie oznaczyc jak będzie wiadomo bo jestem ciekaw. Pozdro

@Foton tak jak pisałem, raczej jesteś bezpieczny - 99%, ale mi w banku wiele rzeczy mówili, a jak mi ostatnio z konta zniknęlo 350 pln z tytulu jakiś subskrypcji to nie chcieli wziąć na siebie odpowiedzialności... takie są banki. Ale jak bankom się zdarza mieć gruby wyciek danych - pozdrawiam mBank :-) - to woda w gębe i udawanie głupa.

Jeśli to był link do nieopłaconej faktury, to raczej klasyczna próba kradzieży...

W każdym razie co miałem napisać, napisałem.

@ferdas_rawa Ja dodam od siebie, ze fajnie jest tez miec no keypass - generować bardzo trudne hasla, kyorych sie nawet nie pamieta, zrobić tylko haslo do programu. Sa tez teraz tez fizyczne klucze do potwierdzenia logowania - planuje zakup. Tylko nie wszystkie banki je obsługują.

@Bogan Nie do końca masz rację. Ostatnio okradziono Santander, Ticketmaster i innych z danych osobowych dot. milionów klientów, problemem było, że jednemu z pracowników wykradziono parę rzeczy z kompa i poszło... nic nie podawał. Sami wzięli.

NIe chcę opisywać szczegółów, ale hasła do banków masz w głowie albo możesz ich nie mieć. Nigdzie ich nie zapisujesz. Do żadnego KeePassa, chromeManagera itp. Bo co do zasady Bogan, masz rację, trzeba miec dane do logowania, ale sekretem jest jak jest pozyskać, często to jest dużo prostsze niż san się wydaję. Jedni robią to podszywająć się pod bank, inni wysyłają lewe linki, inni przechwytują urządzenie itp. Mój wykładowca pracował dla policji, zajmował się właśnie takimi tematami. Mówił wprost, najprostsza metoda to wykraść dane od usera końcowego, w najgorszym przypadku lejesz go pałą aż ci je sam poda. POczytaj sobie biografię Kevin Mitnicka, on hasła pozyskiwał często grzebiąc w śmieciach bo ludzie je zapisywali na karktach. Temat rzeka.

@ferdas_rawa Do banku nie nam w keypassie, ale przy logowaniu i tak by chyba nie zadzialal bo tam sie podaje losowo fragmenty, a nie cale. No i dwuetapowe mam logowanie potwierdzane biometryka. To fakt banki są wyjatkiem :)

@Bogan łańuch jest tak mocno jak jego najsłabsze ogniwo. KeePass to dobre narzędzie, ale nadal istnieje ryzyko, że włamią się na KeePass, a wtedy mają wjazd wszędzie. ps. okradając Santander i Ticketmaster, właśnie ten element wykorzystano, okradziono ich wspólnego dostawcę, , której pracownik miał hasła do wszystkich środowisk w jednym miejscu - hasła generowane automatycznie, ale co z tego jak zapisane na dysku. Więc musisz chronić bazę KP wyjątkowo mocno, jak mam dostęp do twojego kompa to mam dostęp do keepassa, w banalny sposób, dlatego nie powiem jak. Klucz fizyczny jest lepszym wyjściem, na dzisiaj chyba najlepszym, ale jeszcze nie każdy z niego korzysta.

@Foton Zalezy co to za link. Jesli jest to spoofing ktory jest najczestszy bo najprostszy i inzynierowanie czegos super skomplikowanego jest zazwyczaj niepotrzebne - musialbys wpisac swoje dane w strone ktora udaje strone banku i i tak kupe ludzie sie nabiera. Jesli pobierzesz cos przez ten link to zalezy. Wtedy najczesciej masz albo inkryptory danych - to na co nabral sie cdp kilka lat temu albo jakies rozne formy sledzenie inputu z urzadzenia zeby wychaczyc hasla - key loggery etc. Najniebezpieczniej jest kiedy hakerzy uzysakaja zdalna kontrole nad urzadzeniem ale zazwyczaj wymaga to wydania pozwolenia. Albo masz tych slynnych indian ktorzy oszukuja dziadkow zeby zainstalowali taki software albo masz aplikacje ktore udaja zwykle aplikacje ktore normalnie wymagalyby pozwolenia ( w zeszlym roku byla afera z takim wirusem ktory udawal google chrome). Jesli nie podales danych, jesli nic ci sie nie pobralo, jesli nic cie nie prosilo o jakies pozwolenia to raczej powinno byc git. Sa na pewno bardziej zaawansowane techniki ale to ostatnie o czym powiedzialem juz jest rzadkie wiec tez raczej nikt na jakies male wyludzanie nie stosowalby technologgi polnocnokoreanskich hakerow. Jak ludzie mowili nie przejmuj sie, bank wyslalby ci powiadomienie w aplikacji jesli cos by chcial.

@ferdas_rawa Wiadomo, nie ma idealnych rozwiązań. Nawet klucz fizyczny można ukraść.

@Foton Jesteś bezpieczny, samo wejście na stronę nie powinno nic zaszkodzić ( do tego przeglądarka zablokowała stronę). Dopóki nic nie ściągniesz/nie dasz uprawnień/nie wpiszesz danych(na fałszywej stronie) powinieneś być bezpieczny.

@Foton jeżeli masz zainstalowane pluginy do przeglądarki, to jest możliwe wszystko.
Natomiast przez zablokowany ruch raczej Ci nic nie grozi.
Nie otwieraj załączników i pobranych plików z sieci (do których nie masz pewności).
Polecam zainstalowanie płatnego antywira (np. ESET).

@Bogan jasne, ale warto wiedzieć jak to działa. Wydaje nam się, że na komputerze wszystko bezpieczne, że w banku kasa bezpieczniejsza niż w sejfie... no nie jest. Mamy XXI wiek, a i tak warto rozważyć trzymanie wielu rzeczy w formie fizycznej, w bezpiecznym miejscu.

@ferdas_rawa jest XXI wiek a najczęstszą przyczyną utraty mienia jest pożar.
Więc od 12k lat sobie z tym nie poradziliśmy.
Nie ma bezpiecznego miejsca - co nie znaczy, że należy się wystawiać na strzał.

@MesQueUnClub_87 kłódka nie oznacza że jest bezpiecznie tylko że ruch jest szyfrowany i używa protokołu https a nie http (nie szyfrowanego).

Zapewnia to bezpieczeństwo że nikt nie podsłucha Twoich requestów, ale nie znaczy że strona jest bezpieczna.
Obecnie certyfikaty SSL można mieć za darmo.

@Muhitos No ale jak masz złoto w piwnicy...

"Nie ma bezpiecznego miejsca - co nie znaczy, że należy się wystawiać na strzał.". Pełna zgoda Otóż to! Uważam, że należy dywersyfikować ryzyko, korzystać z wielu narzędzi.

@Foton nie chcę martwić, ale nigdy w życiu nie wchodziłem w żadne takie linki i wgl unikam informacji z neta. Do każdej transakcji potrzebuję podać pin i zatwierdzić w aplikacji, a mimo tego ktoś MOJĄ kartą bankową kupił sobie grę komputerową w Japonii za równowartość 400 złotych.

Pieniądze odzyskałem, ale nikogo nie złapano. Do dzisiaj nie wiadomo jak to możliwe i to nie było warte siedzenia całymi dniami na przesłuchaniach na policji. Najśmieszniejsze jest to że podejrzewali moich rodziców że mieli dostęp do mojego konta a oni nawet nie potrafili z internetu korzystać ani z żadnych aplikacji. :P

@ferdas_rawa Pełna zgoda. W ogóle jest to bardzo ciekawy temat. Mieliśmy takie szkolenie z niebezpiecznika i koles pokazywal, jak się wlamywal do firm i wykradal dane (na zlecenie szefa firmy, ktory chciał zobaczyć jak to wygląda). Slabym czynnikiem zawsze był niestety czlowiek:)

@gaucho104 Czasem się tez zdarza tak, ze ktos ma zalogowane w przegladarce konto google z podpięta kartą debetowa bo np ma płatne subskrypcje typu netlfix. Wystarczy pechowy klik lub pobranie jakiegoś zalacznika i juz jest problem. Moze się zalozyc konto w google ads i nawet nie bedziesz wiedzial koedy. Ja nie mam kart podpietych do konta google.

@Bogan czesto aby wykrasc dane nie musisz sie znac na IT ;-)

@Bogan wiem wiem i nigdy nie podpinałem kart do google, także dalej nie wiem jakim cudem zniknęła mi kasa.

@Foton prawie na pewno nic ci nie grozi.
Jedyne sensowne zagrożenie, ba jakie się natknąłem (po krótkim researchu, bo samego mnie to ciekawi), to tzw. Session hacking, kiedy to ta otworzona strona "ukradnie" cookies z aktywną sesją twojego banku, ale jeśli w tym samym czasie nie byłeś zalogowany do banku, to nie powinno to być możliwe.

Nawet jeśli otworzyłbys link na zaktualizowanym telefonie to też nie bardzo jest możliwość, żeby bez instalowania apek cokolwiek mogloby się stać.

Jedyna możliwość to jeśli podałbyś swoje dane do logowania na podstawionej stronie.

Także, raczej śpij spokojne ;)

Z drugiej strony jest sporo innych sposobów na wyciągnięcie kasy z konta: fałszywe subskrypcje, strony z płatnościami podszywające się pod legitne, oszuści podajacy sie za banki/firmy, okradanie firmowych kont z wykradzionych urządzeń (kiedy np do jednego konta ma dostęo wielu użytkowników) etc.

@Bogan to też trochę nie tak, bo zwykle płatności musisz potwierdzać. A przynajmniej takie (chyba) jest domyślne ustawienie.

Poza tym, rada dobra, jeśli nie jesteś uważny.
Dziś adres email (a zwłaszcza gmail i applowy id) i numer telefonu są tak samo ważne jak loginy do konta bankowego i tak je należy traktować. Gdyby mi ktoś np wbił na głownego mejla, to mógłby ukraść pewnie ze 20-30 innych loginow, profili i subskrypcji, oraz sporo kasy w ten, czy inny sposób.
Od mejla już prosta droga do przejęcia tożsamości.
Do tego, majac czyjegos mejla na googlu możesz no zdalnie zainstalować na nim apkę. Sky is the limit ;)

Dbajcie o swoje główne mejle, nie logujcie się nimi nigdzie poza waszymi prywatnymi urządzeniami i regularnie sprawdzajcie zalogowane urządzenia