REKLAMA
WAKACJE NA GIEŁDZIE

Klienci mBanku zostali zaatakowani

2007-08-20 07:17
publikacja
2007-08-20 07:17

Przestępcza moda zawitała w Polsce na dobre. Weekendowy atak na klientów mBanku pokazuje, że żaden rodzimy bank nie może czuć się bezpiecznie. Tego rodzaju phishing, wbrew pozorom, może być skuteczny. Zebrane dane mogą posłużyć zarówno do włamania na konto (niekoniecznie przez internet), jak również do wykorzystania numeru karty płatniczej klienta.

Chociaż szkody w skali banku będą zapewne znikome, to znacznie gorsze mogą być straty wizerunkowe. Nie tylko poszkodowanego banku, ale całego sektora bankowego. Niestety same instytucje finansowe wciąż bagatelizują problem. Zamiast się zebrać i zrobić razem akcję edukacyjną, każdy sobie rzepkę skrobie, często wręcz po cichu wykorzystując niepowodzenia konkurencji do podkreślania jakości swoich zabezpieczeń.

Taka strategia jest jednak bez sensu, bo bankowość internetową należy w tym przypadku rozpatrywać jako kanał dystrybucji – taki sam jak placówki czy bankomaty. Tak jak skutki skimmingu mogą dotknąć każdy bank i zaniepokoić klientów wszystkich instytucji, tak phishing w krótkim czasie może uderzyć w całą branżę. Skutki mogą być opłakane… Nikt przecież nie chce masowego powrotu klientów do placówek.

Atak na klientów mBanku był klasykiem gatunku. Mail został wysłany również do osób, które konta w tej instytucji nie mają. Tak czy inaczej - zebrac taką bazę danych osobowych, których nie można przecież zmienić… Wszystkie banki będą musiały pomyśleć o dodatkowych zabezpieczeniach.

Pierwsza rzecz rzucająca się w oczy – w mailu były problemy z kodowaniem polskich znaków.


Po kliknięciu na link, użytkownik przenoszony był na stronę, która była właściwie kopią strony logowania mBanku. Wprawne oko wyłapałoby jednak brak charakterystycznej kłódeczki i szyfrowania połączenia. Co ciekawe na naszym komputerze FF nie ostrzegł przed możliwością phishingu.





Po wprowadzeniu danych (w tym przypadku fałszywych) użytkownik mógł się przekonać, że dane są weryfikowane. To kolejne ostrzeżenie – bo w mBanku nigdy nie pokazywały się tego rodzaju okienka, a do tego powinno zapalić się czerwona lampka przy adresie IP.



Po „zalogowaniu” użytkownik mógł zobaczyć pusty formularz, który należało wypełnić. Co ciekawe – system nie chciał puścić, kiedy nie wprowadzono wszystkich danych (czy raczej nie zapełniono komórek dowolnymi znakami), a przestępca był na tyle przewidujący, że dodał podpowiedz, co to jest CVV2. Tak, żeby mieć już wszystkie dane podane na tacy.



<




Po wpisaniu wszystkich danych następowało ich przekazywanie do przestępcy, a nieświadomy klient był informowany, że zgłoszenie weryfikacji zostało przyjęte.



Na koniec klient był przenoszony na oryginalną stronę mBanku z regulaminami. Jeśli ktoś był tak naiwny, to złodziej dostał komplet danych osobowych.



Na stronie mBanku nie od razu pojawiły się stosowne ostrzeżenia przy logowaniu i na stronie z aktualnościami. Raczej mało prawdopodobne, żeby ktoś to zauważył, no ale. Po co straszyć klientów ;) Komentarz? Brak. W końcu bronić się przed takim atakiem praktycznie się nie da. W tym momencie trafia na największych. Dzisiaj mBanku, jutro PKO BP, pojutrze Pekao SA i tak dalej. Oczywiście tak tylko sobie kraczemy. Przecież jakoś to będzie…


Michał Macierzyński & Łukasz Radomski /



Źródło:
Przeczytaj w Pulsie Biznesu
Kodano szturmuje Europę. Polska firma optyczna rośnie jak szalona, inwestuje w AI i rozważa przejęcia
Tematy
Nie tylko 0 zł za konto. Sprawdź, które rachunki firmowe naprawdę się opłacają
Nie tylko 0 zł za konto. Sprawdź, które rachunki firmowe naprawdę się opłacają

Komentarze (13)

dodaj komentarz
~Aneta
Kurczę, wiedziałam, że z tym mailem było cos nie tak...
Dostałam tego maila, ale ponieważ mam konto wspólne z narzeczonym sprawdziłam czy on tez go dostał i, oczywiście nie dostał :(. Weszłam na strone główna mBanku i tam tez nie bylo zadnej informacji o "nowych zabezpieczeniach" i wysylanym mailu. Nie ruszalam go w
Kurczę, wiedziałam, że z tym mailem było cos nie tak...
Dostałam tego maila, ale ponieważ mam konto wspólne z narzeczonym sprawdziłam czy on tez go dostał i, oczywiście nie dostał :(. Weszłam na strone główna mBanku i tam tez nie bylo zadnej informacji o "nowych zabezpieczeniach" i wysylanym mailu. Nie ruszalam go w takim razie.
Ale powiem szczerze zdarzyło mi sie to pierwszy raz, a z bankowści internetowej korzystam od hmmm... 5 lat mniej więcej. Ostrozności nigdy jednak za wiele jak widać.
~cube
no coz - glupota i kompletny brak wyobrazni ze strony uzytkownikow komputerow bedzie ich kosztowac coraz wiecej...

Uzywajcie dalej Windowsow pracujac non-stop na koncie administratora, odbierajcie poczte za pomoca OE i logujcie sie do mBanku za posrednictwem IE - powodzenia!
~Wojtek
Super. Ja w kazdym razie od kilku dni jestem wyjatkowo ostrozny. Ostatnio po zalogowaniu sie o mBanku pojawil mi sie komunikat (na podrobionym m-bankowym ekranie) z prośbą o podaniu 5 nieużywanych haseł jednorazowych(!). Bardzo głupie, bo po co bankowi 5 mioich nieuzywanych haseł jednorazowych? Jednak obawiam się że skoro haker chciał Super. Ja w kazdym razie od kilku dni jestem wyjatkowo ostrozny. Ostatnio po zalogowaniu sie o mBanku pojawil mi sie komunikat (na podrobionym m-bankowym ekranie) z prośbą o podaniu 5 nieużywanych haseł jednorazowych(!). Bardzo głupie, bo po co bankowi 5 mioich nieuzywanych haseł jednorazowych? Jednak obawiam się że skoro haker chciał 5 haseł jednorazowych to znaczy że resztę już ma. (login/haslo/telekod?).. =O
W kazdym razie Pan konsultant, z którym to niezwłocznie się skontaktowałem, powiedział, że to taki virus (robak) i powiedział jakiego programu mam uzyc do wyrzucenia go ze swojego komputera...
~KrzychG
Ja miałem do czynienia z inną wersją tego zdarzenia (?).

Ten e-mail przyszedł na konto dyrektora i sekretarka przesłała mi z prośbą o sprawdzenie, o co chodzi - nasza firma nie korzysta bowiem z usług mBanku.
O dziwo, link wiódł do prawdziwej strony logowania mBanku - protokół SSL, poprawny certyfkat.
Jedyne na co komunikatem
Ja miałem do czynienia z inną wersją tego zdarzenia (?).

Ten e-mail przyszedł na konto dyrektora i sekretarka przesłała mi z prośbą o sprawdzenie, o co chodzi - nasza firma nie korzysta bowiem z usług mBanku.
O dziwo, link wiódł do prawdziwej strony logowania mBanku - protokół SSL, poprawny certyfkat.
Jedyne na co komunikatem zwrócił mi uwagę Outlook, to możliwość potwierdzenia spamerowi poprawności mojego adresu poczty elektronicznej ze względu na konieczność pobrania obrazów z zewnętrznego serwera, kiedy chciałem sekretarce odpisać, odsyłając otrzymanego od niej e-maila.
Co jeszcze mnie zaniepokoiło, to brak certyfikatu e-maila i adres nadawcy, z którego dotąd mBank nie kontaktował się ze mną.
~Robercik
A ja wam opowiem taką historyjkę: kilka miesięcy temu sprawdzałem konto mojej karty kredytowej w Mbanku. Byłem już zalogowany w systemie i przeszedłem do zakładki z kartą kredytową. I co się stało? Wyskoczyło okienko, które powiedziało, że musi zweryfikować moje dane!!!! Poprosiło o numer karty, jej datę ważności, imię i nazwisko A ja wam opowiem taką historyjkę: kilka miesięcy temu sprawdzałem konto mojej karty kredytowej w Mbanku. Byłem już zalogowany w systemie i przeszedłem do zakładki z kartą kredytową. I co się stało? Wyskoczyło okienko, które powiedziało, że musi zweryfikować moje dane!!!! Poprosiło o numer karty, jej datę ważności, imię i nazwisko no i oczywiście o kod CVV i pin. Genialne. Zrobiłem zrzut ekranu, wysłałem do mBanku. I co? I nic!!! Odpowiedź dostałem taką, że poczułem się zlekceważony. Powtórzę: złośliwy kod wykonywał się PO ZALOGOWANIU DO SYSTEMU!
Na pohybel głąbom z mBanku. To, co mnie u nich trzyma, to ciągle dobre warunki prowadzenia konta. Ale otworzyłem już konto w innym banku. Ot tak, na wszelki wypadek....
~BartekP
mBank to jeden z bardziej kiepskich banków. Jedyną ciekawą rzeczą w ich ofercie jest prowadzenie konta za darmo.
~rekin
To proste zlosliwy KOD MIALES NA KOMPUETRZE i ten program czekal az na pasku pojawi sie www.mbank.pl jak sie pojawilo zaczal dzialac. Przeciez to trywialne.
~orestes86 odpowiada ~rekin
mily Kolego poczytaj moze sobie troche o html, php java scri tak dalej.. przy odrobinie szczescia moze sie dowiesz jak to jest ze w browse'rze wyswietlaja sie takie fajne kolorowe obrazki.. a potem popiszesz cos o rzeczach trywilanych ok?
kupryc
trzeba byc niezlym tlukiem zeby sie na to nabrac,no ale coz naiwnych mamy w brod
~Axe
mBank edukuje klientow... dostalem 2 dni temu telefon z mBanku. "Promocja! Mamy dla Pana specjalna oferte! Przejdziemy do identyfikacji... Prosze podac nazwisko panienskie matki". Swietnie. Przygotowani do podawania w ten swoich danych klienci mBanku nastepnym razem podadza je oszustowi podajacemu sie za mBank. Skoordynowac mBank edukuje klientow... dostalem 2 dni temu telefon z mBanku. "Promocja! Mamy dla Pana specjalna oferte! Przejdziemy do identyfikacji... Prosze podac nazwisko panienskie matki". Swietnie. Przygotowani do podawania w ten swoich danych klienci mBanku nastepnym razem podadza je oszustowi podajacemu sie za mBank. Skoordynowac te akcje ze zdobywaniem loginu i hasla i przejmuje sie pelna kontrole nad kontem, wlaczajac mozliwosc kupowania kredytow... super.

Pogratulowac specom od bezpieczenstwa w mBanku wyobrazni.

Pozdr,
Axe

Powiązane: Budżet rodziny

Polecane

Najnowsze

Popularne

Ważne linki