Envato Elements - pobieraj co chcesz, ile chcesz

Wprawdzie dziś miałem przedstawić „całkiem ciekawą strategię marketingową” Panoramy Firm, na którą niedawno natrafiłem, ale bezpieczeństwo najważniejsze, więc będzie o najnowszym ataku phishingowym wymierzonym w użytkowników mBanku – niestety, ale spora w tym wina samego banku (a właściwie firmy przygotowującej oficjalne forum mBanku).

Wiadomość dotycząca bezpieczeństwa. Twoje konto mBank zostało tymczasowo zablokowane.

Wczoraj dostałem e-mail „z mBanku”, który już w tytule „straszył”, że moje konto w banku zostało zablokowane:

Wiadomość dotycząca bezpieczeństwa. Twoje konto mBank zostało tymczasowo zablokowane.

Na szczęście z dalszej treści wynika, że nie całe konto, a tylko dostęp do systemu transakcyjnego:

Szanowny kliencie,

Twój dostęp do serwisu transakcyjnego mBank Online został tymczasowo zablokowany ze względów bezpieczeństwa.

Wykryliśmy podejrzane działania związane z Twoim kontem bankowym.

Aby uzyskać więcej informacji oraz odblokować dostęp online, należy przejść na stronę mBanku  https://online.mbank.pl/pl/odblokuj i zweryfikować swoje dane.

Pozdrawiamy,
Zespół mBanku

 

mbank_fake-email_20150209

(Grafikę z fałszywą wiadomością udało się wygenerować ponownie ;-))

Oczywiście powyższa wiadomość jest próbą wyłudzenia danych, i mniej doświadczonym użytkownikom internetu/komputerów zalecam niezwłoczne skasowanie…

Nagłówki wiadomości e-mail

Szybkie sprawdzenie nagłówków wiadomości wskazało, że wiadomości została prawdopodobnie wysłana z konta „sklep291”, działającego na serwerach jednej z firm oferujących hosting:

Return-Path: <[email protected]>
Received: by o2.pl (o2.pl mailsystem) with LMTP;
Mon, 09 Feb 2015 14:15:01 +0100
Received: from s7a.jupe.pl [144.76.87.59]
by mx13.o2.pl with ESMTP id rdQSUb;
Mon, 09 Feb 2015 14:15:21 +0100
Received-SPF: pass (mx13.o2.pl: domain of [email protected]
designates 144.76.87.59 as permitted sender)
Received: from sklep291 by s7.jupe.pl with local (Exim 4.80.1)
(envelope-from <[email protected]>)
id 1YKoBL-0006Gw-Mh

Fałszywy adres WWW (URL)

Wprawdzie link widoczny w treści wiadomości wydaje się poprawny, tj. mamy połączenie szyfrowane (https), jak i sama domena wygląda prawidłowo (mbank.pl), to tak naprawdę link prowadzi do strony:

http://www.mbank.pl-login.tooken.[…].promotion-ssl.systemsecure.[…].jupe24(kropeczka)pl/geting_set.SecureLoging-[…]_protocol_https.ssl/

I wprawdzie na samym początku adresu mamy „mbank.pl”, ale jest to tylko subdomena (jedna z kilku) w bezpłatnej – dla korzystających z hostingu w firmie Hekkonet – domenie jupe24(kropeczka)pl. Waszą uwagę zwrócił zapewne też brak protokołu HTTPS w samym adresie…

Oczywiście sama firma hostingowa z całym atakiem ma tylko tyle wspólnego, że ktoś założył u nich konto, które zostało wykorzystane w całej operacji (poczta e-mail i hosting fałszywej strony).

Fałszywy formularz logowania

Pod samym adresem znajdował się fałszywy formularz logowania do systemu transakcyjnego mBanku, gdzie znajdowała się prośba o wpisanie danych logowania – oczywiście dane można było wprowadzić dowolne, gdyż w następnym kroku system wymagał podania następujących danych:

  • Imię i nazwisko
  • Telekod
  • Nazwisko panieńskie matki
  • PESEL
  • Nr i termin ważności dowodu osobistego

Niestety, ale zrzuty ekranu zrobione podczas wczorajszych testów przepadły (czasem tak bywa, na szczęście notatka ze źródłami itp. poszła bezpośrednio do roboczej wersji wpisu), a w późniejszym terminie fałszywa strona już nie działała.

Forum mBanku prawdopodobnym źródłem wycieku adresów e-mail

Z racji tego, że fałszywą wiadomość dostałem na 2 różne adresy, które łączyło tylko jedno miejsce – oficjalne forum mBank – za zasadne uznałem skierować następne kroki w to miejsce.

Wprawdzie nie można było wykluczyć przypadku, lub wycieku danych z samego forum (np. adresy e-mail, loginy i hasła), to postanowiłem zacząć od sprawdzenia, czy gdzieś na stronie forum nie wyświetlają się adresy e-mail użytkowników – dawno nie korzystałem z forum, a w międzyczasie miały tam miejsce różne zmiany.

Adres e-mail w kodzie/źródle strony

By ułatwić sobie zadaniem i/lub ew. wyłapać adres e-mail „ukryty” np. pod nazwą użytkownika przeszukiwanie wykonałem na źródle strony, i to był celny strzał:

<input type=”hidden” value=”[adres e-mail użytkownika]” name=”userEmail”>

I niby taki adres e-mail w kodzie strony sam z siebie nie tworzy jakiegoś nadzwyczajnego zagrożenia (poza szansą na dodatkowy SPAM), to nie powinno mieć miejsca – zwłaszcza, na stronie banku, gdzie potencjalny atakujący (i/lub SPAMer) śmiało może założyć, że większość użytkowników tych wiadomości będzie zapewne klientami tego banku…

[Aktualizacja 2015.02.10 ~13:00]

Adresy e-mail już niewidoczne

Z tego co widzę, to dziura została załatana, i w tym momencie nie widać już w kodzie strony adresów e-mail użytkowników…

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Młody Szymon powiedział tacie o promocji dla czytelników WebInsider.pl i zaoszczędzili 80% na księgowości internetowej wFirma
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Młody Szymon pomógł tacie zapisać się do Newslettera WebInsider.pl i... teraz idzie popływać