Michał Macierzyński
-
20.08.2007 (06:13) Przestępcza moda zawitała w Polsce na dobre. Weekendowy atak na klientów mBanku pokazuje, że żaden rodzimy bank nie może czuć się bezpiecznie. Tego rodzaju phishing, wbrew pozorom, może być skuteczny. Zebrane dane mogą posłużyć zarówno do włamania na konto (niekoniecznie przez internet), jak również do wykorzystania numeru karty płatniczej klienta.Chociaż szkody w skali banku będą zapewne znikome, to znacznie gorsze mogą być straty wizerunkowe. Nie tylko poszkodowanego banku, ale całego sektora bankowego. Niestety same instytucje finansowe wciąż bagatelizują problem. Zamiast się zebrać i zrobić razem akcję edukacyjną, każdy sobie rzepkę skrobie, często wręcz po cichu wykorzystując niepowodzenia konkurencji do podkreślania jakości swoich zabezpieczeń. Taka strategia jest jednak bez sensu, bo bankowość internetową należy w tym przypadku rozpatrywać jako kanał dystrybucji – taki sam jak placówki czy bankomaty. Tak jak skutki skimmingu mogą dotknąć każdy bank i zaniepokoić klientów wszystkich instytucji, tak phishing w krótkim czasie może uderzyć w całą branżę. Skutki mogą być opłakane… Nikt przecież nie chce masowego powrotu klientów do placówek.
Atak na klientów mBanku był klasykiem gatunku. Mail został wysłany również do osób, które konta w tej instytucji nie mają. Tak czy inaczej – zebrac taką bazę danych osobowych, których nie można przecież zmienić… Wszystkie banki będą musiały pomyśleć o dodatkowych zabezpieczeniach.
Pierwsza rzecz rzucająca się w oczy – w mailu były problemy z kodowaniem polskich znaków.
Po kliknięciu na link, uzytkownik przenoszony był na stronę, która była właściwie kopią strony logowania mBanku. Wprawne oko wyłapałoby jednak brak charakterystycznej kłódeczki i szyfrowania połączenia. Co ciekawe na naszym komputerze FF nie ostrzegł przed możliwością phishingu.
Po wprowadzeniu danych (w tym przypadku fałszywych) użytkownik mógł się przekonać, że dane są weryfikowane. To kolejne ostrzeżenie – bo w mBanku nigdy nie pokazywały się tego rodzaju okienka, a do tego powinno zapalić się czerwona lampka przy adresie IP.
Po „zalogowaniu” użytkownik mógł zobaczyć pusty formularz, który należało wypełnić. Co ciekawe – system nie chciał puścić, kiedy nie wprowadzono wszystkich danych (czy raczej nie zapełniono komórek dowolnymi znakami), a przestępca był na tyle przewidujący, że dodał podpowiedz, co to jest CVV2. Tak, żeby mieć już wszystkie dane podane na tacy.
Po wpisaniu wszystkich danych następowało ich przekazywanie do przestępcy, a nieświadomy klient był informowany, że zgłoszenie weryfikacji zostało przyjęte.
Na koniec klient był przenoszony na oryginalną stronę mBanku z regulaminami. Jeśli ktoś był tak naiwny, to złodziej dostał komplet danych osobowych.
Na stronie mBanku nie od razu pojawiły się stosowne ostrzeżenia przy logowaniu i na stronie z aktualnościami. Raczej mało prawdopodobne, żeby ktoś to zauważył, no ale. Po co straszyć klientów 😉 Komentarz? Brak. W końcu bronić się przed takim atakiem praktycznie się nie da. W tym momencie trafia na największych. Dzisiaj mBanku, jutro PKO BP, pojutrze Pekao SA i tak dalej. Oczywiście tak tylko sobie kraczemy. Przecież jakoś to będzie…
Wojciech Boczoń
