W ubiegłym tygodniu ostrzegaliśmy przed fałszywą korespondencją słaną rzekomo w imieniu mBanku. Pozornie nieudolna próba wyłudzenia przelewu, powoduje aktywację wirusa. Nie jest znana skala ataku, ale mBank zdecydował się zablokować wszystkim klientom możliwość edycji książki odbiorców.
Przypomnijmy, w ubiegłym tygodniu losowo wybrani klienci dostali e-maile z adresu windykacja @ brebank.pl przypominające o zaległej racie kredytu. Treść maila odsyłała po szczegóły do załącznika, w którym znajdował się plik z rozszerzeniem .zip. Zawartość spakowanego załącznika sugerowała, że jest to dokument .pdf. Jak podaje mBank, w rzeczywistości dokument ten, to wykonywalny plik w formacie .pif, infekujący stację klienta złośliwym oprogramowaniem.
Źródło: mbank.pl
„Konsekwencje zarażenia mogą być różne, ale najczęściej sprowadzają się do zaburzenia procesu logowania do serwisu transakcyjnego Banku (prezentowana jest nietypowa informacja o wydłużonym czasie logowania) i przejęcia czynników uwierzytelniających (login i jednorazowy kod). Pozyskane w ten sposób dane mogą zostać następnie użyte przez niepowołane osoby do wykonania nieautoryzowanych transakcji finansowych.” – czytamy na stronie banku.
W piątek na stronie banku pojawiła się dodatkowa informacja. Bank zdecydował się zablokować możliwość dodawania nowych kontaktów oraz modyfikowania istniejących w Książce Odbiorców serwisu transakcyjnego. Przelewy do zdefiniowanych już odbiorców można wykonywać na dotychczasowych zasadach, podobnie jak przelewy jednorazowe.
Źródło: mbank.pl
– Nie komentujemy sprawy ze względów bezpieczeństwa. Robimy to w trosce o bezpieczeństwo naszych klientów – powiedział nam Krzysztof Olszewski z biura prasowego mBanku.
Zablokowanie wszystkim klientom możliwości edycji książki odbiorców to bezprecedensowy przypadek. Nie znamy szczegółów, ale można podejrzewać, że wirus w jakiś sposób modyfikuje dane zdefiniowanych odbiorców. Najprawdopodobniej podmienia numery rachunków. Klienci niektórych banków stali się już ofiarami podobnych wyłudzeń.
Być może wirus z załącznika aktywuje program, który w locie podmienia numery nowo dodawanych rachunków w książce odbiorców klientów mBanku. Załóżmy, że klient wprowadza nowego odbiorcę, kopiuje do schowka numer rachunku i wkleja do formatki na stronie banku. W międzyczasie wirus podmienia numer rachunku w schowku i wkleja numer podstawiony przez oszusta. Może to być jeden z możliwych wariantów ataku. Z podobnymi wirusami mieliśmy już do czynienia.
Jeśli mBank zdecydował się zablokować wszystkim klientom możliwość edycji i definiowania nowych odbiorców, sprawa jest poważna. Bank na tę chwilę nie jest zapewne w stanie oszacować, ilu klientów mogło otworzyć załącznik i zainfekować komputery. Działanie jest więc raczej prewencyjne, ale świadczy też o skali problemu. Niewykluczone, że jest to nowy typ ataku, który może zostać powielony wśród klientów innych banków.
Poniżej przypominamy zalecenia mBanku, który radzi jak postępować po otrzymaniu fałszywych e-maili:
– pod żadnym pozorem nie otwierać dołączonego do maila załącznika, a w przypadku wykonania takiej operacji najlepiej dokonać reinstalacji systemu operacyjnego stacji (skuteczność oprogramowania antywirusowego może nie być wystarczająca i samo skanowanie może nic nie wykazać)
– przesłać podejrzanego maila na adres: spam@mbank.pl
– skontaktować się z:
– z mLinią pod numerem 801 300 800 lub +48 42 6300 800 (w przypadku Klientów detalicznych)
– ze wsparciem użytkowników systemu mBank CompanyNet pod numerami telefonów:
801 273 273 – dla połączeń z telefonów stacjonarnych lub +48 22 627 32 73 – dla połączeń z telefonów komórkowych lub z zagranicą (w przypadku Użytkowników systemu mBank CompanyNet)
– rozważyć możliwość złożenia do organów ścigania zawiadomienia o usiłowaniu podejrzenia przestępstwa