Polacy będą mogli zastrzec numer PESEL w specjalnym państwowym rejestrze, chroniąc się przed ewentualnymi wyłudzeniami kredytów albo nawet wydawaniem duplikatów kart SIM. Ustawa, która wprowadza takie rozwiązania, została opublikowana w Dzienniku Ustaw. Pod koniec ubiegłego roku pisaliśmy na temat Ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości. Prace nad dokumentem były wówczas […]

Ostatnie tygodnie to regularny strumień doniesień o kolejnych firmach, które zostały zhackowane, a coraz więcej ataków kończy się podwójnym szantażem. Przestępcy domagają się okupu już nie tylko za odszyfrowanie zaszyfrowanych podczas włamania danych, chcą też pieniędzy za niepublikowanie firmowych dokumentów, które udało im się wykraść. Co gorsza, wiele firm wciąż nie zdaje sobie sprawy, że […]

Od dziś dostępna jest nowa wersja aplikacji mObywatel. Najważniejsza i trzeba przyznać, że dość przełomowa zmiana to wprowadzenie tzw. mDowodu, którym już niebawem będzie można się posługiwać na terenie Polski. Niestety, rollout nowej wersji mObywatela nie obywa się bez problemów. Słyszymy dużo narzekań na stabilność pracy aplikacji. Dlatego jeśli na weekend ruszyliście tylko ze smartfonem, bez […]

Apple udostępniło właśnie poprawkę, która łata poważną dziurę w iPhonach — wystarczy wejście na odpowiednio spreparowaną stronę internetową, aby ktoś przejął kontrolę nad smartfonem. Co gorsza, Apple zaobserwowało już takie ataki na użytkowników w internecie, więc jak najszybciej wgrajcie poprawkę! Jak to zrobić? Aby zaktualizować iPhona, wystarczy wejść w Ustawienia -> Ogólne -> Aktualizacje, wybrać poprawkę o numerze iOS […]

Brawo policja! Właśnie otrzymaliśmy informację, że sprawcy opisywanego przez nas dziś rano oszustwa polegającego na podmianie kodów QR na parkometrach i kradzieży pieniędzy za parking zostali zidentyfikowani i zatrzymani! Zatrzymania dokonali funkcjonariusze I Komisariatu Policji w Krakowie i krakowskiego Zarządu Centralnego Biura Zwalczania Cyberprzestępczości. Kim są sprawcy? Wedle naszych informacji, sprawców jest co najmniej dwóch […]

Ktoś na miejskich parkomatach w Krakowie nakleił “złośliwe” kody QR i w ten sposób wyłudza płatności za parkowanie: O sprawie poinformował oficjalny profil miasta Krakowa na Facebooku. Co ciekawe, urzędnicy nie zrywają tych złośliwych kodów QR i o to samo apeluje do mieszkańców, bo … trwa oczekiwanie aż policja “zabezpieczy ślady”. A kradzież trwa w […]

Rodzaj: Phishing Zagrożenie: kradzież pieniędzy Użyte marki: PKO, IKO Otrzymujemy sygnały o masowym ataku wymierzonym w klientów banku PKO. Oszuści wysyłają SMS-y o następującej treści: Dzień dobry, informujemy o koniecznosci aktualizacji aplikacji IKO: hxxps://iko-pl[.]pw Twoj PKO Bank Polski Oto infografika przedstawiająca poszczególne kroki dzisiejszego ataku — zachęcamy do jej udostępnienia znajomym i wysłania pracownikom w firmowych […]

Stało się! Mamy pierwszy ogólnopolski bank, który właśnie umożliwił wszystkim swoim klientom ochronę kont przed przejęciem przy pomocy kluczy U2F. Jeśli jesteś klientem ING i wiesz czym jest klucz, to jak najszybciej dodaj go sobie w ustawieniach bezpieczeństwa (instrukcja poniżej). Jeśli klucza jeszcze nie masz, to rozważ jego zakup w naszym sklepiku, albo gdziekolwiek indziej […]

Rodzaj: smsishing Zagrożenie: kradzież pieniędzy Użyte marki: ZUS, GOV.PL Otrzymujemy sygnały o różnych wariantach ataku, którego motywem przewodnim jest “pomoc rządowa”, np. dla rodziców. Złodzieje podszywają się pod rządowe strony, w tym ZUS. Oto przykładowe SMS-y, od których zaczyna się atak: Linki w wiadomościach prowadzą albo do fałszywych stron rządowych, które obiecują np. “dodatek mieszkaniowy” albo […]

Rodzaj: e-mail phishing Zagrożenie: Kradzież pieniędzy i konta Użyte marki: Allegro Na skrzynki e-mailowe Polaków właśnie rozsyłana jest fałszywa wiadomość, w której przestępcy podszywają się pod Allegro. Wiadomość pod pretekstem “aktualizacji regulaminu” nakłania do kliknięcia w link, który prowadzi do fałszywej strony logowania. Uwaga! Wiadomość może zawierać pełne imię i nazwisko ofiary a także jej poprawny numer […]

Rządowy serwis moj.gov.pl pozwala każdemu Polakowi na załatwienie swoich urzędowych spraw online. Daje też dostęp do wielu rządowych rejestrów zawierających wrażliwe dane na temat każdego z nas, np. rejestru dowodów osobistych. Niestety, w moj.gov.pl znajdowała się dziura, która pozwalała na podglądanie cudzych danych z rejestru dokumentów paszportowych. O sprawie poinformował nas jeden z Czytelników, który błąd zauważył. […]

W internecie ktoś udostępnił plik o nazwie “jaki_kraj_taki_finfisher“. Plik zawiera dane użytkowników śledzonych za pomocą polskiego narzędzia do szpiegowania użytkowników Androida o nazwie LetMeSpy. Ale wyciekły też dane tych, którzy wykorzystywali to narzędzie do śledzenia innych 😈. “Albański wirus” – zainstaluj go sobie sam Zacznijmy od tego, że wiele osób ma różną definicję programów do […]

Wiele razy pisaliśmy, że dane publicznie dostępne nie mogą służyć jako element logowania do serwisu, w którym przetwarzane są dane osobowe. Niestety takie wpadki ciągle się zdarzają, a ostatnio błąd tego typu popełniła go Krajowa Izba Diagnostów Laboratoryjnych. W Niebezpieczniku nie raz pisaliśmy o tym, że dane osobowe nie mogą służyć za dane uwierzytelniające. Takie […]

Na konferencji CONFidence, w trakcie swojego wykładu, Piotrek zapowiedział start nowego niebezpiecznikowego szkolenia poświęconego tematyce OSINT-u (ang. Open Source Intelligence), czyli technikom pozyskiwania informacji na temat ludzi i firm na podstawie ogólniedostępnych (co nie znaczy, że zawsze publicznie dostępnych w internecie) źródeł. Miło nam zakomunikować, że właśnie ruszył nabór na pierwsze z terminów tego szkolenia! […]

Twisto – firma z branży płatności odroczonych – poinformowała swoich klientów o przekazaniu do innej spółki “danych, które nie powinny być tam wysłane”. Firma poinformowała klientów i UODO, mimo że w podobnych sytuacjach niejeden podmiot sięgnąłby po miotłę i dywan. Co poszło nie tak? Czytelnik Żytomir (imię zmienione) poinformował nas, że otrzymał od firmy Twisto […]

Rodzaj: e-mail phishing Zagrożenie: Kradzież tożsamości i pieniędzy Użyte marki: Play, Plus Na szkrzynki e-mailowe Polaków spłynęły e-maile podszywające się pod operatorów telefonii komórkowej Play i Plus. Wiadomości informują o rzekomym wyrobieniu karty eSIM dla naszego numeru i ostrzegają, że jeśli to nie my prosiliśmy o przeniesienie naszego numeru na eSIM, to powinniśmy kliknąć w link […]

Kolejny wyrok potwierdził zasadę, że to bank odpowiada za kradzież pieniędzy z konta. Sprawie warto przyjrzeć się bliżej bo dotyczyła ona popularnego i skutecznego oszustwa na dopłatę. Poza tym sąd wskazał bankowi, że proces zgłaszania nadużyć na infolinii mógłby przebiegać sprawniej. Temat odpowiedzialności banków za transakcje płatnicze wałkujemy w Niebezpieczniku od dawna. Mimo to wiele […]

Mobilne edytory wideo,  aplikacje do transferu plików czy gry – takie aplikacje mogły zawierać moduł moduł szpiegujący SpinOK o ciekawych właściwościach. Tymczasem w rozszerzeniach do przeglądarki Chrome też wykryto podejrzany kod, który trafił do wielu produktów z Chrome Web Store. Kto wie? Może też ich używasz? Google nie radzi sobie idealnie z wykrywaniem złośliwych aplikacji […]

Mainstreamowe media donoszą o “gigantycznym wycieku”, największym z największych, z “wielu znanych serwisów”, itp. Dane Polaków miały wyciec z Facebooka, rodzimych banków oraz setek innych znanych serwisów, m.in. Librusa, OLX, Allegro. Ludzie wpadają w panikę. Ale czy powinni? Zacznijmy od początku Po pierwsze, przywoływany przez media wyciek to tak naprawdę kompilacja tzw. “stealer logów”, czyli […]

Internetowe sklepy prześcigają się w sposobach na przyspieszenie i uatrakcyjnienie zakupów online. Odroczone płatności, opcje Kup Teraz, uproszczone i ekspresowe zakupy dostępne w kilka sekund. Wygoda i szybkość transakcji sprawiają, że bezpieczeństwo schodzi na drugi plan. Nie myślimy o nim zakładając, że „przecież zakupy internetowe są bezpieczne”. W odpowiedzi na zagrożenia płynące z sieciowych zakupów […]

Powieści są ciekawe. Ich autorzy kształtują akcje w sposób bardzo widowiskowy, choć nie zawsze realny. Cyberpunkowych powieści na rynku nie brakuje, ale w branży bezpieczeństwa rzeczywistości “podkręcać” nie trzeba. W branży bezpieczeństwa literatura faktu jest wystarczająco ciekawa, a historii, które zdarzyły się naprawdę i które trzymają w napięciu do ostatniej strony nie brakuje. W wielu […]

Rodzaj: SMS phishing Zagrożenie: Kradzież pieniędzy Użyte marki: InPost, Poczta Polska Obserwujemy zwiększoną aktywność oszustów, którzy wysyłają fałszywe SMS-y na polskie numery telefonów. Fałszywe SMS-y są wysyłane z nadpisem “InPost”, przez co pojawiają się na telefonach odbiorców pod prawdziwymi (!) wiadomościami z InPostu. Oto jak wygląda przykładowa wiadomość: Kilka innych treści: Twoje przesylki nie moga zostac dostarczone […]

Kluczowe tematy z branży cyberbezpieczeństwa i cenieni specjaliści z całego świata – 23 edycja konferencji CONFidence odbędzie się 5-6 czerwca 2023 w EXPO Kraków. W ramach konferencji odbędzie się ponad 40 wykładów oraz praktyczne warsztaty. Spotkaj się z koleżankami i kolegami po fachu Piętnaście razy zwracasz uwagę na tę samą lukę i dalej nic? Nie […]

Od rana informujecie nas o tym, że różnymi kanaÅ‚ami otrzymujecie wiadomoÅ›ci rzekomo pochodzÄ…ce od Ministerstwa Obrony Narodowej dotyczÄ…ce rekrutacji. Oto treść SMS-ów: MON zaprasza ochotnikow do sluzby w LitewskoPolskoUkrainskim Korpusie. Wszyscy chetni moga skladac wnioski droga elektroniczna na adres [email protected] PodobnÄ… treÅ›ciÄ… ktoÅ› spamuje także na Telegramie: Zanim wyjaÅ›nimy co na celu ma akcja, która […]

Zacznijmy od złej informacji: SNOWYAMBER, HALFRIG, QUARTERRIG — to 3 narzędzia stosowane aktualnie przez rosyjskie służby do tego, aby pozyskać informacje z komputerów polskich dyplomatów i pracowników różnych organizacji rządowych. Doświadczenie podpowiada nam, że celem rosyjskich rządowych hakerów mogą być także NGO-sy działające na terenie naszego kraju oraz firmy prywatne z kluczowych z perspektywy Rosjan […]

Pamiętacie serwis SKNERUS.pl? Miała to być nowatorska platforma handlowa, która okazała się oszustwem. Sąd Okręgowy we Wrocławiu uznał, że aukcje wymagające kupowania tzw. bidów nie były prowadzone zgodnie z regułami ustalonymi w regulaminie serwisu. Ten sam Sąd zarządził, aby wyrok w tej sprawie opublikować w Niebezpieczniku, co niniejszym czynimy. Wyrok w sprawie SKNERUS.pl został wydany […]

Rodzaj: e-mail phishing Zagrożenie: Kradzież pieniędzy Użyte marki: KAS, PUESC Otrzymujemy zwiększoną liczbę zgłoszeń o e-mailach, w których przestępcy informują o fałszywym zwrocie podatku. Wiadomości, co ciekawe, tym razem nie zawierają tradycyjnego linka a …kod QR. Jeśli go zeskanujesz, zostaniesz przeniesiony na stronę wyłudzającą dane, dzięki którym złodzieje będą mogli ukraść Twoje pieniądze. Oto jak […]

Już 18 kwietnia startuje konferencja Admin Days 2023 Global, dedykowana administratorom oraz specjalistom z branży IT. To trwający 6 dni cykl webinarów, prelekcji i praktycznych warsztatów, których celem jest wymiana wiedzy oraz doświadczeń między ekspertami i całą zaangażowaną społecznością. Konferencja odbywa się w formie online i jest całkowicie darmowa – wystarczy zapis na stronie admindays.pl. […]

Dostawca oprogramowania telefonicznego, m.in. aplikacji/softphone VoIP został zhackowany. Jeśli korzystacie z jego oprogramowania, też możecie mieć problem, bo atakujący zmodyfikowali aktualizację i w ten sposób złośliwy kod przeniknął na komputery klientów 3CX. Firma zaleca odinstalowanie swojej aplikacji. Jak ich zhackowano? 3CX w swoim komunikacie jakoś tak dookoła pisze o problemie. Że “antywirusy oflagowały ich aktualizację […]

Ci, którzy sprzedają w internecie, rzadko kiedy zwracają uwagę na bezpieczeństwo. Dopóki jest dobrze, to nie ma się czym przejmować, a kiedy coś się wydarzy, to… na myślenie o bezpieczeństwie jest już za późno. Ryzykowne to zachowanie, bo sklepy przechowują sporo wrażliwych danych osobowych oraz korzystają z bramek płatności, więc są dość częstym celem ataków […]