uwaga na złodziei kasy z konta - 2021-12-03: uwaga na lewy link. 2021-12-02: Oszukańczy sms o rzekomo niedostarczonej przesyłce. Z trudem powstrzymuję się o nieużywanie obraźliwych słów ponieważ odruchowo kliknąłem w link :-(((2021-12-01: podejrzany link do śledzenia przesyłki. 2021-12-01: Wysyła SMS o nieodebranej paczce Jeśli zdarzyło Ci się kliknąć w podejrzany link przesłany z nieznanego numeru, przeskanuj swój telefon za pomocą antywirusa (np. Eset) w celu wykrycia potencjalnego złośliwego oprogramowania. Oszustwo na BLIK – jak odzyskać pieniądze? Niestety, bardzo trudno będzie odzyskać pieniądze po oszustwie na BLIK. Wystarczy kliknąć w Ukryj podgląd (ang. Hide preview) w górnym prawym rogu okna podglądu. Przycisk Ukryj podgląd (ang. Hide preview) Od teraz przytrzymanie palcem na linkach będzie pokazywać menu kontekstowe bez widoku podglądu, a jedynie z prawdziwym pełnym adresem kryjącym się z linkiem. Efekt jest mniej spektakularny, ale Jak widać, smartfon Apple naprawdę może zostać zainfekowany przez szkodliwą stronę internetową, a konsekwencje tego mogą być bardzo poważne. Dlatego zalecamy zachowanie ostrożności, nawet jeśli masz pewność, że Twojemu gadżetowi nic nie grozi. Upewnij się, że na Twoim iPhonie zawsze znajduje się najnowsza wersja systemu iOS. 10. Na karcie kredytowej pojawiły się obce transakcje. Chodzi oczywiście o kartę podpiętą do konta iCloud czy Google używanego na telefonie. Jeśli jesteś świadkiem czegoś takiego, być może jesteś ofiarą fraudu bankowego, a telefon prawie na pewno w tym uczestniczył jako najpopularniejsze medium 2FA w bankowości. Będąc w trybie incognito kliknąłem w podejrzany link, czy coś może się stać? 2023-05-05 03:22:24; Czy można sprawdzić historie na telefonie w trybie incognito? 2017-07-04 22:44:19; Czy moja sieć może zobaczyć moja historię wyszukiwania? 2017-01-09 15:19:45; Czy w trybie incognito można zawirusować komputer? 2018-03-22 17:10:22 8yhT. W ostatnim czasie oszuści na masową skalę rozsyłają wiadomości z odnośnikiem do fałszywej strony DHL – link z podejrzanego SMS-a prowadzi do witryny, z której łatwo można ściągnąć na swojego smartfona szkodliwe oprogramowanie. CERT Polska wyjaśnił, co zrobić, jeśli przez nieuwagę otworzyliśmy stronę z link z podejrzanego SMS-a – co dalej?Twoja paczka została zatrzymana przez służby celne – wiadomości o takiej treści były w ostatnim czasie masowo rozsyłane przez oszustów. W SMS-ach był też link do podrobionej strony internetowej DHL z odnośnikiem, który rzekomo pozwalał na pobranie aplikacji do śledzenia przesyłki. Tak naprawdę nieświadomy użytkownik, klikając pobierz aplikację, mógł zainstalować na swoim smartfonie oprogramowanie CERT Polska zajmujący się reagowaniem na tego typu incydenty przygotował kilka porad dla osób, które otrzymały wspomnianą wiadomość od oszustów. Jeśli odczytaliśmy SMS-a, ale nie klikaliśmy linku, nie musimy nic robić. Nic się również nie stało, jeżeli weszliśmy na podrobioną stronę, ale nie próbowaliśmy pobrać rzekomej aplikacji DHL. Jeśli pobraliśmy aplikację, ale jej nie zainstalowaliśmy, wystarczy usunąć plik. Problemy zaczynają się w przypadku, kiedy zainstalowaliśmy szkodliwe oprogramowanie udające aplikację do śledzenia takim przypadku powinniśmy włączyć tryb samolotowy. Dzięki temu wirus nie będzie komunikować się z serwerami przestępców ani rozsyłać podobnych SMS-ów do osób z naszej listy kontaktów. Następnie sprawdźmy nasze konto bankowe, ale z innego urządzenia, niż zainfekowany smartfon. Jeśli zniknęły nam jakieś środki, zgłośmy to w banku i poinformujmy policję. Stwórzmy kopię danych z telefonu zawierającą nasze zdjęcia, dokumenty itd., a telefon przywróćmy do ustawień fabrycznych. Potem przywróćmy pliki na urządzeniu z kopii zapasowej. Na koniec zmieńmy hasła do wszystkich kont, do których mieliśmy dostęp na także: Dogecoin stale zyskuje na popularności – Musk wypromował piesełaOczywiście najlepiej w ogóle nie klikać podejrzanych linków, aby uniknąć problemów. Jeśli jednak np. ktoś z waszej rodziny lub znajomych otrzymał ostatnio omawianego SMS-a i nie zorientował się, że ma do czynienia z oszustwem, poradźcie mu, co powinien CERT Polska Please add exception to AdBlock for If you watch the ads, you support portal and users. Thank you very much for proposing a new subject! After verifying you will receive points! logx 22 Jan 2013 10:07 1677 #1 22 Jan 2013 10:07 logx logx Level 1 #1 22 Jan 2013 10:07 Cześć, dostałem na maila podejrzanego linka i niestety w niego kliknąłem, reakcją było otworzenie strony głównej google, jednak do adresu google był dodany ciąg znaków i to wzbudziło moje podejrzenia. czy istnieje możliwość sprawdzenia co to za adres i do czego służy? byłbym wdzięczny za pomoc oto link: Quote: pozdrawiam edit: chyba w złym dziale napisałem, jeśli istnieje możliwość to proszę o przeniesienie:) #2 22 Jan 2013 13:32 Level 27 #2 22 Jan 2013 13:32 Dostałeś zapewne zwykły spam, jakiego miliony krąży po sieci. Strona kieruje na domenę a następnie na Może to jakaś wyświetlarka reklam albo wirus. Skoro nie wiesz co to, to nie otwieraj takich maili i już. Umieszczając dane kontaktowe na stronie, warto zadbać o ich dostępność dla użytkowników. Jednym ze sposobów jest podlinkowanie numeru telefonu, dzięki czemu osoby korzystające z urządzeń mobilnych jednym kliknięciem będą mogły połączyć się z właścicielem przeglądanej strony oznaczyć numer telefonu jako odnośnik na stronie internetowej?Przygotowanie klikalnego numeru telefonu wymaga umieszczenia odnośnika i opisania go odpowiednio w kodzie HTML strony. Należy skorzystać z atrybutu , dodając przed numerem telefonu wyrażenie tel:. Poprawny link dla polskiego nr telefonu wygląda następująco:Treść widoczna na stronie internetowejSam link powinien zawierać pełny numer telefonu wraz z prefiksem kraju bez spacji, nawiasów oraz myślników. Natomiast w treści odnośnika można wpisać dowolny tekst, który zostanie wyświetlony internaucie, 713 333 222Zadzwoń terazSkontaktuj się z namiPrzygotowanie podlinkowanego numeru telefonu nie zajmuje wiele czasu, a stanowi duże ułatwienie dla użytkownika mobilnego. Warto z tego rozwiązania założyć śledzenie w Google Analytics na klikanie numeru telefonu?Mając aktywną usługę Google Analytics, można dodatkowo zbierać informację na temat ilości kliknięć w numer telefonu. Będzie to miało zwłaszcza zastosowanie w przypadku korzystania z urządzeń mobilnych, gdzie tego typu klikniecie powoduje nawiązanie połączenia, czyli szeroko rozumianą celu przesyłania danych dotyczących kliknięć w numer telefonu do usługi Google Analytics muszą być spełnione 2 warunki:poprawnie zainstalowany kod śledzenia Analytics na stronie,dodatkowa implementacja kodu zdarzeń w kodzie HTML ile pierwszy z warunków jest łatwy do spełnienia, a sama instalacja usługi Analytics nie jest niczym skomplikowanym, o tyle drugi może przysporzyć już pewne trudności. Warto na tym etapie posiłkować się suportem, który oferuje Google: instalacji kodu zdarzeń polega na tym, aby po kliknieciu przez użytkownika w numer telefonu do Google Analytics przesyłało się zdarzenia typu „onClick” z wcześniej ustalonymi przez nas parametrami. Przykładowa konstrukcja takiego zdarzenia może wyglądać następująco:Treść widoczna na stronie internetowejPowyższą instalację zdarzeń można również przeprowadzić za pomocą narzędzia Google Tag Manager. Klikasz w podesłany przez nieznajomego link i… tracisz wszystkie pieniądze z konta. Banki spychają z siebie 100% odpowiedzialności. Czy to fair?Pani Olga straciła kilkadziesiąt tysięcy złotych po tym, jak w lutym tego roku przyszło jej do głowy skorzystać z portalu ogłoszeniowego OLX. Pani Bogumiła kliknęła w podesłany SMS-em link i z jej konta zniknęło prawie 60 000 zł – oszczędności całego życia. A banki? Podobno nic podejrzanego nie zauważyły i nie poczuwają się ani do współodpowiedzialności, ani do partycypacji w ponoszeniu konsekwencji takich nieszczęść. A może czas już skończyć z podejściem, według którego bank jest tylko „notariuszem transakcji” i nie odpowiada w żadnym stopniu za kradzież pieniędzy z konta?To się w głowie nie mieści, jak banki odsuwają od siebie współodpowiedzialność za straty klientów okradzionych przez internet. Najpierw zachęcały klientów do zdalnego bankowania oraz dały im do ręki bankowość elektroniczną i mobilną, ale gdy źli ludzie zaczęli masowo wykorzystywać luki w tym systemie – bankowcy odwrócili się na pięcie i mówią, że to nie ich również:Święty spokój kierowcy w dobie wysokiej inflacji? Bezcenny. Jak można (spróbować) ograniczyć koszty eksploatacji samochodu? I ile to kosztuje? [NOWOCZEŚNI MOBILNI]Jest plan na wakacje za granicą? Jest też problem: wysokie ceny i słaby złoty. Dwa sposoby, by nie dać się złapać w sidła kursowe [MOŻNA SPRYTNIEJ]Cyberbezpieczeństwo w bankach: technologie przyszłości. Jak zmieni się świat bankowości? [BANK NOWOŚCI]Oczywiście przeważnie to nieostrożność klientów prowadzi do wyprowadzania pieniędzy z ich kont, ale złodzieje wykorzystują przecież narzędzia, które wymyśliły banki. I korzystają z tego, że banki nie potrafią odpowiednio szybko zareagować na podejrzane transakcje. A przecież banki widzą, co się dzieje z pieniędzmi ich ostatnio sporo opowieści okradzionych klientów oraz odpowiedzi bankowców na ich reklamacje. I zadaję sobie pytanie, czy to rzeczywiście klient jest w 100% odpowiedzialny za to, że ktoś włamał mu się na konto? Czy bank nie mógłby temu zapobiec, gdyby nie ograniczał się tylko do sprawdzania czy loginy i hasła się zgadzają?Pani Olga: chciała sprzedać suszarkę na OLX, a straciła wszystkie pieniądzePani Olga straciła kilkadziesiąt tysięcy złotych po tym, jak w lutym tego roku przyszło jej do głowy skorzystać z portalu ogłoszeniowego OLX. Sprzedawała suszarko-lokówkę, a gdy znalazł się nabywca, przesłał jej przez WhatsApp’a link z prośbą o potwierdzenie zamówienia. Kupujący oczywiście nic nie chciał nic kupić, zaś link był przekierowaniem na fałszywą stronę mBanku, na której nieświadoma niczego pani Olga wpisała wszystkie dane swojej karty debetowej. I na dokładkę jeszcze nazwisko panieńskie matki.„Potem przyszedł komunikat z mBanku, że moje urządzenie zostało poprawnie dodane. Nie musiałam nic akceptować. Transkacja na OLX nie doszła do skutku, a ja zapomniałam o temacie. Kilka dni później zobaczyłam komunikat z banku, że przelałam pieniądze z karty kredytowej. Natychmiast zadzwoniłam na infolinię mBanku i zablokowałam wszystko, co mogłam, ale już było za późno. Złodzieje przenieśli w nocy wszystkie pieniądze z oszczędności na konto główne i stamtąd przelewali je na jakieś inne konto w mBanku. Łącznie wyprowadzili 29 600 zł. Zlecili także transakcje z karty kredytowej na 20 000 zł. Żadna z powyższych transakcji nie wymagała akceptacji przeze mnie”– pisze pani Olga. mBank dwukrotnie odrzucił reklamacje pani Olgi, stwierdzając, iż podała przestępcom login i hasło do bankowości elektronicznej, co trzeba potraktować jako rażące niedbalstwo.„Sęk w tym, że nie podawałam na tej złodziejskiej stronie loginu i hasła do bankowości internetowej. Zastanawia mnie też, że systemów bezpieczeństwa w banku nie zaalarmowało to, że do konta podłączono dodatkowe urządzenie, a dwa dni później, w środku nocy, wyprowadzono wszystkie pieniądze z konta i z karty kredytowej”– skarży się czytelniczka. Jak to możliwe, że poniosła tak wielkie straty, skoro – jak twierdzi – nie ujawniła złodziejom najważniejszych informacji o koncie, a jedynie dane karty?Cóż, najprawdopodobniej login i hasło do rachunku złodzieje poznali w tzw. międzyczasie. Żeby móc skutecznie zaatakować panią Olgę, musieli mieć jej numer telefonu (być może podała go na OLX), nazwę banku, w którym ma konto (być może to wynikło z rozmowy na portalu ogłoszeniowym) oraz właśnie login i hasło do bankowości internetowej. Bez tych informacji nie zdołaliby się zalogować na konto klientki i sparować go z nowym tego sparowania potrzeba z kolei numeru PESEL, nazwiska panieńskiego matki i niektórych danych karty płatniczej. Dwie ostatnie rzeczy pani Olga sama podała po kliknięciu w fałszywy link. Numer PESEL też nie jest trudny do ustalenia, podajemy go w różnych miejscach. Jedyną zagadką jest sposób, w który złodzieje pozyskali login i hasło do konta. Ale że je w jakiś sposób pozyskali – jest oczywiste. I w ten sposób kradzież pieniędzy z konta stała się pieniędzy z konta: klientka była naiwna, ale czy bank nie mógł nic zrobić?Klientka zdecydowanie była zbyt naiwna – do „potwierdzania transakcji” na portalu aukcyjnym (po co, do cholery, cokolwiek tu potwierdzać?) podała dane, których nikomu się nie podaje. Kliknęła w podesłany przez obcą osobę link, w który klikać nie powinna. Prawdopodobnie dała też sobie ukraść dane logowania do konta albo co najmniej włamać na e-mail (skąd złodzieje mogli je pozyskać).Ale czy bank jest całkiem niewinny? Moim zdaniem nie można tak powiedzieć. Każdy rachunek, na którym dzieje się coś niestandardowego, powinien być pod obserwacją. Za każdym razem, gdy następują rzeczy takie, jak „zrzucanie” oszczędności na konto główne, „opróżnianie” karty kredytowej, przyłączanie do konta nowych urządzeń – bank powinien brać pod uwagę ryzyko fraudu. Nie oznacza to za każdym razem, że nastąpi kradzież pieniędzy z konta, ale są to okoliczności zwiększające ukradli pieniądze przez kliknięcie w link. Co odpowiada bank?W tym przypadku przestępcy byli bardzo czujni. Między przypisaniem nowego urządzenia do konta, a złodziejskimi transakcjami odczekali dwa dni, co mogło uśpić czujność banku (o ile jakakolwiek czujność tam była). A samych transakcji dokonywali nocą, by znieść ryzyko, że ktoś z banku zadzwoni do klientki i zapyta, czy rzeczywiście wyprowadza ze swojego rachunku wysokie mimo wszystko można było jakoś spróbować zareagować, choćby „zawieszając” transakcje na jedną sesję systemu elixir, by mieć czas na kontakt z klientką za dnia. Zwłaszcza że w bankowych systemach informatycznych musieli widzieć, że ktoś loguje się do konta z innego miejsca niż zwykle (inny numer IP komputera).Wiem, że to w bankach duży dylemat, bo klienci nie lubią być inwigilowani i wypytywani o transakcje – a w 99% takie sygnały są błędne – jednak co z ochroną pozostałych klientów przed złodziejami?Pani Bogumiła kliknęła w link i… straciła oszczędności życia. „Nic nie autoryzowałam!”W tym przypadku złodzieje sporo zrobili, żeby w banku nikt się nie zorientował, ale w drugim przypadku, który ostatnio do mnie trafił, bank – gdyby prawidłowo zadziałały systemy antyfraudowe – mógłby uratować klientkę. Oto krótki opis historii pani Bogumiły – córki sołtysa z wsi pod Warszawą. Relacjonuje sprawę jej sąsiad, który jest czytelnikiem „Subiektywnie o Finansach”.„Kobieta otrzymała sms o rzekomym nadejściu paczki od kuriera. W SMS-ie zalecano kliknięcie w link. Po kliknięciu uruchomiła się aplikacja, która zhakowała telefon kobiety. Przestępcy przejęli bankowe kody autoryzacyjne, które zamiast na telefon kobiety przychodziły na ich telefon. Przy pomocy tych kodów w ciągu dwóch godzin 12 lutego przestępcy przelali z jej konta w banku na własne konta 69 000 zł. Pani Bogumiła pracuje w fabryce chipsów w Grodzisku, pieniądze, które jej zniknęły, zgromadziła przez 25 lat pracy. Zgłosiła sprawę na policję i wystąpiła do banku Santander, gdzie ma konto, z reklamacją o zwrot pieniędzy. Otrzymała odpowiedź, że reklamacja została odrzucona, a bank zażądał od niej dodatkowo kary za przedwczesne zlikwidowanie lokat. Część pieniędzy znajdowała się na depozytach terminowych”.Z odpowiedzi banku na reklamację wynika, że w tym przypadku również klientka Santandera podała wystarczająco dużo informacji – lub je jej ukradziono – by złodzieje mogli zalogować się na jej konto i dopisać do niego nowe urządzenie, którym autoryzowali w link i kradzież pieniędzy z konta. Bank się nie poczuwa do współodpowiedzialnościDrugi scenariusz jest taki, że smartfon klientki stał się czymś w stylu „zombie” i złodzieje wyświetlali na nim komunikaty, które spowodowały, że pani Bogumiła nie wiedziała, że autoryzuje przekierowanie SMS-ów autoryzacyjnych na inny numer telefonu.„W całej tej historii poraża mnie najbardziej postawa banku, który całkowicie pozostawia klienta samemu sobie i liczy na to, że klient nie będzie miał pieniędzy na pozew przeciwko bankowi (nie mówiąc o tym, że proces trwa lata). A zgodnie z prawem to bank ponosi odpowiedzialność za włamania internetowe. Przeczytałem, że są w tej sprawie nawet orzeczenia Sądu Najwyższego”– pisze sąsiad okradzionej pani Bogumiły. Sprawa jest na etapie wezwania przedsądowego do zwrotu pieniędzy, skierowanego przez adwokata klientki do banku. Część uzasadnienia wklejam poniżej:Kradzież pieniądze z konta. Wezwanie przedsądowe do banku o zwrotTu są dwie sprawy. Po pierwsze: kto odpowiada za transakcję, jeśli została autoryzowana, ale klient twierdzi, że to nie on ją autoryzował? Można powiedzieć, że banku nie musi obchodzić, kto autoryzował przelew. Ale można też przeprowadzić śledztwo poszlakowe i udowodnić, że z wysokim prawdopodobieństwem nie był to pieniędzy z konta. Dlaczego bank ma odpowiadać za to, że klient klika, gdzie nie trzeba?Zapytacie, dlaczego bank ma odpowiadać za to, że klienci klikają w jakieś podesłane im linki i podają tam dane, których nie powinni podawać. No tak, to się nie powinno dziać i część odpowiedzialności oczywiście spada na niemniej, jak już wspominałem, jeśli bankowcy dali tym klientom do łapek narzędzia, które umożliwiają włam na konto, to powinni objąć tych klientów specjalną ochroną. W tym przypadku ktoś zmienił urządzenie, na które przychodzą SMS-y, zalogował się (prawdopodobnie) do konta z nowego urządzenia, zlikwidował lokaty i wykonał duży zestaw wydarzeń powinien spowodować, że system antyfraudowy się uaktywni i zostaną w banku wszczęte procedury sprawdzające, czy to rzeczywiście klientka chce wyprowadzić z banku 59 000 odpowiedzialności powinien być mniej więcej pół na pół. Klient był nieostrożny, a bank nie potrafił zareagować na nietypową transakcję. I pewnie do takich rozstrzygnięć by dochodziło, gdyby sądy nie były sparaliżowane. Gdyby w ciągu kilku miesięcy można było – przeprowadzając „proces poszlakowy” – uzyskać prawomocny wyrok choćby częściowo pozostawiający winę przy banku, bankowcy nie zachowywaliby się tak jak dziś.„Klient kliknął w link i stracił oszczędności życia? To nie nasz problem”. Nie Wasz? A czyj, do jasnej cholery? To wy oferujecie bankowość internetową i mobilną oraz pozwalacie na błyskawiczne przelewanie pieniędzy na podstawie zdalnych zleceń. A więc dajecie ludziom do ręki narzędzia, które umożliwiają kradzież pieniędzy z konta, jednocześnie zachęcając do ich używania…—————–Najnowszy podcast „Finansowe sensacje tygodnia”: posłuchaj!W tym odcinku podcastu „Finansowe sensacje tygodnia” przyglądamy się aż czterem sensacjom. Najważniejsza z nich to nasze sensacyjne podwyżki wynagrodzeń. Czy rzeczywiście jest tak, jak mówi premier, że nie musimy bać się inflacji, bo wszyscy więcej zarabiamy? Kto naprawdę może liczyć na podwyżki większe od inflacji, a kto nie? Poza tym sensacyjne wyniki badań o Polakach, którzy nie wierzą, że ktoś ich może okraść z danych, sensacyjne afery z deweloperami, którzy oddają nam mieszkania z wadami oraz sensacyjne wejście nowej platformy streamingowej na polski rynek – robi się już ciasno od tych wszystkich abonamentów. Zapraszam do posłuchania pod tym linkiem oraz na Spotify, Apple Podcast, Google Podcast i na kilku innych platformach.———SKORZYSTAJ Z NAJLEPSZYCH BANKOWYCH OKAZJI:Obawiasz się inflacji? Sprawdź też „Okazjomat Samcikowy” – aktualizowane na bieżąco rankingi lokat, kont oszczędnościowych, a także zestawienie dostępnych dziś okazji bankowych (czyli 200 zł za konto, 300 zł za kartę…). I zacznij zarabiać:>>> Ranking najwyżej oprocentowanych depozytów>>> Ranking kont oszczędnościowych. Gdzie zanieść pieniądze?>>> Przegląd aktualnych promocji w bankach. Kto zapłaci ci kilka stówek?———SPRAWDŹ INWESTYCJE ZE ZNAKIEM JAKOŚCI SAMCIKA:>>> Oszczędzaj na emeryturę i dostań 400 zł „samcikowej” premii. Chcesz dostać 200 zł premii za zainwestowanie 2000 zł albo 400 zł premii za zainwestowanie z myślą o dodatkowej emeryturze 4000 zł? Kliknij ten link albo ten link oraz wpisz kod promocyjny msamcik2021.>>> Zainwestuj ze mną w fundusze z całego świata bez prowizji. Chcesz wygodnie – przez internet – oraz bez żadnych opłat lokować pieniądze w funduszach inwestycyjnych z całego świata? Skorzystaj z platformy F-Trust rekomendowanej przez „Subiektywnie o Finansach”. Kupuję tam fundusze. Inwestowanie bez opłat dystrybucyjnych po wpisaniu kodu promocyjnego ULTSMA. A w tym poradniku najważniejsze rady, w co teraz inwestować.>>> Zainwestuj w ETF-y z całego świata. Proste inwestowanie w ETF-y u robodoradcy możliwe jest dzięki platformie Finax, w której ja również trzymam kawałek oszczędności. Dzięki temu linkowi zainwestujesz tam pieniądze łatwo i wygodnie.>>> Wypróbuj fundusze od najsłynniejszych firm zarządzających na świecie. Może warto trzymać pewną część swoich oszczędności pod zarządzaniem ludzi, którzy mogą o sobie powiedzieć: „osobiście znam Warrena Buffeta”? Fidelity, Schroeders, AllianceBernstein – fundusze tych legendarnych firm dostępne są dla klientów mBanku. Zachęcam do sprawdzenia na tej stronie.———ZAINWESTUJ CZĘŚĆ SWOICH OSZCZĘDNOŚCI Z ROBOTEM INVESTONa świecie ludzie, którzy nie mają ogromnych oszczędności i nie znają się na inwestowaniu, coraz częściej korzystają z robodoradców. Jak działa taki automat pomagający w inwestowaniu pieniędzy? Zapraszam do przeczytania tutaj. Jak dzięki niemu ludzie na Zachodzie inwestują pieniądze? Przeczytaj tutaj. W Polsce usługi robodoradztwa oferuje od niedawna swoim klientom ING Bank. Można z nich skorzystać, zakładając Investo za pomocą serwisu internetowego albo aplikacji mobilnej (ZAPRASZAM DO KLIKNIĘCIA W TEN LINK I POZNANIA SZCZEGÓŁÓW).Wkrótce opiszę swoje prywatne doświadczenia z Investo po zainwestowaniu tam własnych oszczędności. Już teraz zapraszam natomiast do obejrzenia klipu wideo, w którym opowiadam, z czym to sie je (dosłownie!). A także do posłuchania podcastu, w którym rozmawiam z ekspertem od robodoradców. Więcej na temat działania Investo oraz pobieranych od klientów opłat napisałem tutaj.———zdjęcie tytułowe: Jefferson Santos/Unsplash Powiedzmy, że nawet całkiem nieźle znasz się na bezpieczeństwie. Masz smartfona. Jak każdy. A na smartfonie dane i dostępy do różnych kont. Jak każdy. Nie klikasz w byle co. Uważasz. A i tak zostaniesz zhackowany. Dokładnie tak, jak zhackowany został jeden ze świadomych technicznie dziennikarzy, na którym rząd użył Pegasusa. Atak Network Injection Omar Radi to marokański dziennikarz i aktywista. Od stycznia 2019 roku do stycznia 2020 roku podsłuchiwany przy pomocy Pegasusa, rządowego trojana sprzedawanego przez NSO Group. Przyczyny podsłuchu i sytuację polityczną zostawmy na boku — jeśli geneza ataku kogoś interesuje, odsyłamy do raportu Amnesty International. W tym artykule zajmiemy się tylko techniczną stroną tego incydentu. Omar nie kliknął w żadnego podejrzanego linka. Nie miał też na swoim telefonie “nieodebranej rozmowy na WhatsAppie“. A mimo to został zhackowany. Jak? Ruch z jego iPhona przekierowano po LTE na “serwer infekujący”, który w połączenie wstrzyknął złośliwy kod, a potem odesłał na stronę internetową, na którą Omar chciał się dostać. Pisaliśmy o tej metodzie w 2019 roku, opisując jak od środka wygladają i jak działają poszczególne moduły Pegasusa. Takie przekierowanie ruchu można wykonać za wiedzą operatora telefonii komórkowej (robi to jego infrastruktura) a można to też zrobić przy użyciu IMSI Catchera, czyli przenośnego BTS-a wykorzystywanego przez służby do przechwytywania okolicznych smartfonów w celu zlokalizowania konkretnych osób lub podsłuchu ich komunikacji (ale tylko tej nieszyfrowanej, standardowych rozmów głosowych i SMS-ów). I tak się składa, że NSO Group, producent Pegasusa sprzedaje też IMSI Catchery, o takie: Omar nie korzystał z nieszyfrowanych komunikatorów i nieszyfrowanej komunikacji, ale niestety połączenia na port 80 wciąż są wykonywane przez nasze urządzenia. Wystarczy że zamiast wpiszecie i już Wasze połączenie leci “otwartym tekstem”, co oznacza, że można je przechwycić i w odpowiedzi — przed przekierowaniem na które normalnie by nastąpiło — wstrzyknąć złośliwy kod, wykorzystujący błąd po stronie przeglądarki internetowej. Tak właśnie zrobiono z Omarem. Ba, nie musiał niczego wpisywać ani klikać. Wystarczy, że na którejś ze stron które odwiedzał lub w aplikacji, którą otworzył osadzona była treść serwowana po HTTP a nie HTTPS, np. obrazek. Mam smartfona — co robić, jak żyć? Przed siłami rządowymi nie uchronisz się, nawet jeśli smartfona wyrzucisz. Jeśli będą chciały Cię inwigilować, zrobią to. Nie tylko przy pomocy rozwiązań typu Pegasus. Ale jest mała szansa, że jesteś na ich celowniku. Ryzyko ataku za pomocą “przekierowań sieciowych nieszyfrowanych połączeń” można minimalizować konfigurując telefon tak, aby stale używał VPN-a, czyli non-stop szyfrował ruch. Wtedy okoliczny IMSI Catcher niczym nas nie zainfekuje, bo niczego nie będzie w stanie wstrzyknąć w nasz stale zaszyfrowany ruch. Ale wariant z atakiem od strony operatora dalej będzie możliwy, przy czym nie operatora telefonii komórkowej, a operatora łącza dostarczanego do serwerowni, w której będzie znajdował się nasz końcowy serwer VPN. Uprzedzając pytania, jakiego VPN-a polecamy polecamy nasze poprzednie artykuły w tym temacie, z których dowiecie się: Dowiedz się jakie informacje na Twój temat może pozyskać Twój dostawca internetu (w tym operator telefonii komórkowej) oraz przeczytaj przed czym VPN Cię ochroni, a przed czym nie zapewni Ci ochrony. VPN nie jest lekiem na całe zło. Poczytaj o tym, kiedy skorzystać z VPN-a komercyjnego, a kiedy zbudować VPN-a samodzielnie (i które z tych rozwiązań i dla kogo jest najlepsze) Pamiętaj, że z niektórych VPN-ów lepiej nie korzystać. Na rynku dostawców jest wiele “pułapek”. TL:DR; My z darmowych VPN-ów (czyli takich, które zbierają Wasze dane i wykorzystują je komercyjnie, bo przecież nie ma nic “za darmo”) polecamy VPN HUB-a. Z płatnych niezmiennie polecamy NordVPN, za najlepszy stosunek jakości i liczby serwerów do ceny. A z samodzielnie budowanych algo. Pamiętajcie też, aby jak najszybciej wgrywać wszystkie aktualizacje oprogramowania, bo to one mają szansę zamknąć luki, które wykorzystują narzędzia takie jak Pegasus. Należy przy tym zdać sobie sprawę, że aktualizacje nie usuną wszystkich podatności, bo w tych atakach wykorzystywane są podatności nieznane, takie, których celowo nie zgłasza się producentom smartfonów — właśnie po to, aby móc je po cichu wykorzystać do ataków. Każda z takich podatności ma wartość nawet ponad 9 milionów złotych. Nie ma się co dziwić, że badacze wolą je sprzedać “na czarnym rynku” niż zgłosić producentowi. Jak sprawdzić, czy jestem ofiarą Pegasusa? Badacze namierzyli atak przez analizę ruchu i domen, które odłożyły się w pamięci urządzenia. Jedną z nich była “free247downloads[.]com” oraz “urlpush[.]net.”. Być może więc pewnym rozwiązaniem będzie logować wszystkie zapytania DNS-owe lub odwiedzane adresy IP, aby móc potem “przepuścić je” przez publikowane przez różne zespoły bezpieczeństwa listy domen, na których stwierdzono aktywność Pegasusa. O tym jak pozyskać logi z urządzenia dowiecie się z poniższego filmiku: Na koniec jeszcze raz uspokójmy, że większość z Was nie powinna się obawiać Pegasusa i podobnych mu ataków. To jest “broń” wykorzystywana w bardzo nielicznych i ukierunkowanych operacjach, na które przeciętny Kowalski się nie załapie. Przeciętny Kowalski powinien zabezpieczać się w pierwszej kolejności przed innymi zagrożeniami, np. przed cwaniackim wyłudzanie, danych i naruszaniem naszej prywatności przez nieetycznych twórców aplikacji albo takim niedokonfigurowaniem telefonu, które narazi nas na wyciek danych po zgubieniu lub kradzieży urządzenia — to te zagrożenia są dla nas groźniejsze. Gdyby ktoś chciał dowiedzieć się jak poprawnie skonfigurować telefon aby go zabezpieczyć i jakie aplikacje na nim zainstalować aby zwiększyć jego odporność na ataki i wycieki danych, to polecamy obejrzenie naszego wykładu “Jak zabezpieczyć smartfona” w wersji na iPhona albo w wersji na Androida. Przeczytaj także:

kliknąłem w podejrzany link na telefonie