Poważna wpadka mBanku, za którą zapłacą nieuważni klienci

Klienci mBanku trafili na celownik cyberprzestępców. Co interesujące, wszystko wskazuje na to, że ich adresy e-mail mógł zdobyć każdy. Zostały one podane "na tacy" przez mBank...

Od 9 lutego cyberprzestępcy rozpoczęli akcję ukierunkowaną na klientów mBanku. Na ich skrzynki pocztowe zaczęły trafiać fałszywe wiadomości z banku, które informowały o tymczasowym zablokowaniu dostępu do serwisu transakcyjnego mBank Online. Aby go odblokować należało przejść do specjalnie spreparowanej strony mBanku i w pierwszej kolejności zalogować się do systemu podając identyfikator i hasło. Następnym krok to próba wyłudzenia kolejnych danych takich jak: imię i nazwisko, nazwisko panieńskie matki, telekod, pesel, numer dowodu osobistego i termin jego ważności.

Oczywiście żaden bank nie wysyła tego typu informacji do klientów. Z pewnością zdecydowana większość osób, które otrzymały wspomnianego maila natychmiast zorientowała się, że ma do czynienia z próba wyłudzenia ważnych danych. Niewkluczone jednak, że część internautów (miejmy nadzieję, że było ich niewielu) dała się podejść ignorując wszelkie sygnały mogące świadczyć o przekręcie.

Zobacz również:

To wydarzenie, chociaż bardzo nieprzyjemne dla klientów mBanku i wcale nie tak rzadkie w Internecie, jest dosyć interesujące z jednego powodu. Okazało się bowiem, że fałszywe maile były wysyłane ze 100-procentową trafnością jedynie do klientów mBanku. Oczywiście nasuwa się pytanie, skąd cyberprzestępcy pozyskali ich adresy mailowe? Wytłumaczenie przyszło z czasem. Jeden z internautów zauważył bowiem, że popełniono błąd programistyczny, w wyniku którego na forum mBanku w profilach użytkowników w źródle HTML strony wspomniane adresy można było odczytać w polu typu hidden.

mBank wprowadził już poprawkę rozwiązującą problem, co nie zmienia faktu, że zaliczył poważną wpadkę. Niestety do tej pory nie doczekaliśmy się z jego strony oświadczenia w tej sprawie.

Aktualizacja: 11 lutego 2015 11:46

Otrzymaliśmy oficjalne stanowisko mBanku w tej sprawie:

„Po stronie banku trwa analiza. Zapewniamy jednak, że baza adresów email używanych na forum jest niezależna od bazy adresów używanych przez bank do kontaktu z klientami.

Warto również pamiętać, że tego typu phishing jest niestety działaniem dość powszechnym, kierowanym przeciwko klientom wielu firm i zazwyczaj ma charakter masowy, nie wybiórczy (mailing rozsyłany jest masowo).

Jednocześnie przypominamy, że bank na bieżąco informuje swoich klientów o wykrytych i grożących im niebezpieczeństwach na swoich stronach internetowych w zakładce bezpieczeństwo oraz w publikowanych aktualnościach. Dodatkowo, stale przypominamy klientom, że bank w żadnej informacji nie prosi ich o podanie danych autoryzacyjnych, numerów ID czy haseł do bankowości elektronicznej. „


Zobacz również