Dostałeś wyciąg z mBanku? Uważaj na wirusa

Cyberprzestępcy ponownie rozsyłają wiadomości z zainfekowanym załącznikiem. Fałszywe e-maile przypominają wiadomości wysyłane przez mBank z elektronicznym zestawieniem operacji. W załączniku znajduje się plik *.zip zawierający wirusa.

mBank ponownie ostrzega przed fałszywymi wiadomościami e-mail. Hakerzy wysyłają e-maile z informujące o elektronicznym zestawieniu operacji, które zawierają załącznik w formacie *.zip. Adres nadawcy, który prezentowany jest w e-mailu, podszywa się pod adres banku.

Źródło: imago/Christian Ohde/EAST NEWS

Tak wygląda fałszywy e-mail:

Od: kontakt@mbank.pl

Do: xxxxxxxxxxxxxxxxxx

Data: RRRR-MM-DD HH:MM

Temat: mBank – elektroniczne zestawienie operacji

Witamy,

dziękujemy za korzystanie z usług mBanku. W załączniku przesyłamy wyciąg za kolejny miesiąc w wybranym formacie (HTML, PDF lub CSV). Aby zmienić format wyciągu albo zrezygnować z jego otrzymywania należy wypełnić wniosek „Wyciągi elektroniczne” w systemie transakcyjnym mBanku.

Zrealizuj marzenia z promocyjnym kredytem gotówkowym. Gwarantujemy oprocentowanie niższe niż najniższe. Pieniądze przyznajemy:

– na dowolny cel

– bez zbędnych formalności

– nawet w 15 minut

Aby przystąpić do promocji, należy złożyć wniosek o kredyt od 12.08 do 31.10.2014 r. Niniejszy materiał nie stanowi oferty w rozumieniu Kodeksu cywilnego i ma on charakter wyłącznie informacyjny. Przyznanie kredytu uzależnione jest od pozytywnej oceny zdolności kredytowej potencjalnego kredytobiorcy przez mBank SA. Szczegóły w regulaminie na www.mbank.pl/gotowka/

Pozdrawiamy,

Zespół mBanku

„Zawartość spakowanego załącznika sugeruje, iż jest to dokument .pdf/csv/html. Tak naprawdę, to wykonywalny plik w formacie .exe, który po uruchomieniu infekuje komputer klienta złośliwym oprogramowaniem” – ostrzega mBank. „Konsekwencje zarażenia mogą być różne, ale najczęściej sprowadzają się do zaburzenia procesu logowania w serwisie transakcyjnym banku (prezentowana jest nietypowa informacja o wydłużonym czasie logowania) i przejęcia kodów uwierzytelniających (login i hasło), bądź wyłudzenia SMS TAN wykorzystywanego do autoryzacji operacji. Pozyskane w ten sposób dane mogą zostać następnie użyte przez niepowołane osoby do wykonania nieautoryzowanych transakcji finansowych.”

Od kilku tygodni obserwujemy nową falę ataków na klientów banków. Cyberprzestępcy odchodzą od klasycznej techniki phishingu, wysyłając klientom zainfekowane pliki. Podszywają się pod standardową korespondencję wysyłaną cyklicznie przez banki. Nie jest do końca pewne, jakie negatywne konsekwencje wywołuje otwarcie pliku. Być może zainfekowany plik instaluje keyloggera, czyli program „podsłuchujący” jakie znaki wpisujemy na klawiaturze. W ten sposób złodzieje mogą bez trudu pozyskać login i hasło do banku – zwłaszcza tam, gdzie hasło nie jest maskowane. Programy mogą też wyłudzać kody ze zdrapek TAN, które posłużą przestępcom do wykonania operacji.

Istnieje jeszcze jedna hipoteza. Jest prawdopodobne, że wirus instaluje na komputerze klienta program, który podmienia numery rachunków wklejanych ze schowka. Jest to o tyle prawdopodobne, że po ostatnim ataku mBank zdecydował się na kilka dni zablokować wszystkim klientom możliwość edycji odbiorców zdefiniowanych. Wczoraj pisaliśmy o nowym wirusie, który jest w stanie podmienić każdy numer, nawet gdy wpisujemy go ręcznie. Wirus podmienia numery rachunków bankowych, ale wcale nie korzysta ze schowka systemowego. Zmiana danych wpisanych do formularza następuje dosłownie na oczach użytkownika. Więcej na ten temat pisaliśmy TUTAJ.

Ataki z wykorzystaniem programu spakowanego do pliku *.zip będą powtarzać się coraz częściej. Z prostej przyczyny: coraz więcej osób używa dziś kodów jednorazowych wysyłanych w formie SMS. Karty zdrapki powoli odchodzą do lamusa. Złodziejom będzie coraz trudniej wyłudzić od klienta kilka kodów ze zdrapek pod rząd. Cyberprzestępcy będą więc próbowali nowych technik opierających się na dotychczasowych technikach fałszowania wiadomości.

Co zrobić, jeśli już otworzyliśmy załącznik?

Należy zachować szczególną ostrożność. Banki zalecają przeskanowanie systemu operacyjnego programem antywirusowym. Skuteczniejszą metodą w takiej sytuacji może być reinstalacja systemu operacyjnego. mBank przypomina, że oryginalne dokumenty przesyłane są zawsze w formacie wybranym przez użytkownika, lecz nigdy w postaci skompresowanych plików *.zip.

w.boczon@bankier.pl