Wprawdzie dziś miałem przedstawić “całkiem ciekawą strategię marketingową” Panoramy Firm, na którą niedawno natrafiłem, ale bezpieczeństwo najważniejsze, więc będzie o najnowszym ataku phishingowym wymierzonym w użytkowników mBanku – niestety, ale spora w tym wina samego banku (a właściwie firmy przygotowującej oficjalne forum mBanku).
Spis treści w artykule
Wiadomość dotycząca bezpieczeństwa. Twoje konto mBank zostało tymczasowo zablokowane.
Wczoraj dostałem e-mail “z mBanku”, który już w tytule “straszył”, że moje konto w banku zostało zablokowane:
Wiadomość dotycząca bezpieczeństwa. Twoje konto mBank zostało tymczasowo zablokowane.
Na szczęście z dalszej treści wynika, że nie całe konto, a tylko dostęp do systemu transakcyjnego:
Szanowny kliencie,
Twój dostęp do serwisu transakcyjnego mBank Online został tymczasowo zablokowany ze względów bezpieczeństwa.
Wykryliśmy podejrzane działania związane z Twoim kontem bankowym.
Aby uzyskać więcej informacji oraz odblokować dostęp online, należy przejść na stronę mBanku https://online.mbank.pl/pl/odblokuj i zweryfikować swoje dane.
Pozdrawiamy,
Zespół mBanku
(Grafikę z fałszywą wiadomością udało się wygenerować ponownie ;-))
Oczywiście powyższa wiadomość jest próbą wyłudzenia danych, i mniej doświadczonym użytkownikom internetu/komputerów zalecam niezwłoczne skasowanie…
Nagłówki wiadomości e-mail
Szybkie sprawdzenie nagłówków wiadomości wskazało, że wiadomości została prawdopodobnie wysłana z konta “sklep291”, działającego na serwerach jednej z firm oferujących hosting:
Return-Path: <[email protected]>
Received: by o2.pl (o2.pl mailsystem) with LMTP;
Mon, 09 Feb 2015 14:15:01 +0100
Received: from s7a.jupe.pl [144.76.87.59]
by mx13.o2.pl with ESMTP id rdQSUb;
Mon, 09 Feb 2015 14:15:21 +0100
Received-SPF: pass (mx13.o2.pl: domain of [email protected]
designates 144.76.87.59 as permitted sender)
Received: from sklep291 by s7.jupe.pl with local (Exim 4.80.1)
(envelope-from <[email protected]>)
id 1YKoBL-0006Gw-MhFałszywy adres WWW (URL)
Wprawdzie link widoczny w treści wiadomości wydaje się poprawny, tj. mamy połączenie szyfrowane (https), jak i sama domena wygląda prawidłowo (mbank.pl), to tak naprawdę link prowadzi do strony:
http://www.mbank.pl-login.tooken.[…].promotion-ssl.systemsecure.[…].jupe24(kropeczka)pl/geting_set.SecureLoging-[…]_protocol_https.ssl/
I wprawdzie na samym początku adresu mamy “mbank.pl”, ale jest to tylko subdomena (jedna z kilku) w bezpłatnej – dla korzystających z hostingu w firmie Hekkonet – domenie jupe24(kropeczka)pl. Waszą uwagę zwrócił zapewne też brak protokołu HTTPS w samym adresie…
Fałszywy formularz logowania
Pod samym adresem znajdował się fałszywy formularz logowania do systemu transakcyjnego mBanku, gdzie znajdowała się prośba o wpisanie danych logowania – oczywiście dane można było wprowadzić dowolne, gdyż w następnym kroku system wymagał podania następujących danych:
- Imię i nazwisko
- Telekod
- Nazwisko panieńskie matki
- PESEL
- Nr i termin ważności dowodu osobistego
Niestety, ale zrzuty ekranu zrobione podczas wczorajszych testów przepadły (czasem tak bywa, na szczęście notatka ze źródłami itp. poszła bezpośrednio do roboczej wersji wpisu), a w późniejszym terminie fałszywa strona już nie działała.
Forum mBanku prawdopodobnym źródłem wycieku adresów e-mail
Z racji tego, że fałszywą wiadomość dostałem na 2 różne adresy, które łączyło tylko jedno miejsce – oficjalne forum mBank – za zasadne uznałem skierować następne kroki w to miejsce.
Wprawdzie nie można było wykluczyć przypadku, lub wycieku danych z samego forum (np. adresy e-mail, loginy i hasła), to postanowiłem zacząć od sprawdzenia, czy gdzieś na stronie forum nie wyświetlają się adresy e-mail użytkowników – dawno nie korzystałem z forum, a w międzyczasie miały tam miejsce różne zmiany.
Adres e-mail w kodzie/źródle strony
By ułatwić sobie zadaniem i/lub ew. wyłapać adres e-mail “ukryty” np. pod nazwą użytkownika przeszukiwanie wykonałem na źródle strony, i to był celny strzał:
<input type=”hidden” value=”[adres e-mail użytkownika]” name=”userEmail”>
I niby taki adres e-mail w kodzie strony sam z siebie nie tworzy jakiegoś nadzwyczajnego zagrożenia (poza szansą na dodatkowy SPAM), to nie powinno mieć miejsca – zwłaszcza, na stronie banku, gdzie potencjalny atakujący (i/lub SPAMer) śmiało może założyć, że większość użytkowników tych wiadomości będzie zapewne klientami tego banku…
[Aktualizacja 2015.02.10 ~13:00]
Adresy e-mail już niewidoczne
Z tego co widzę, to dziura została załatana, i w tym momencie nie widać już w kodzie strony adresów e-mail użytkowników…
| Lub postaw nam kawę :-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami - 1970-01-01
- WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki - 1970-01-01
- Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330) - 1970-01-01
