Poważna wpadka mBanku, za którą zapłacą nieuważni klienci
-
- 10.02.2015, godz. 14:19
Klienci mBanku trafili na celownik cyberprzestępców. Co interesujące, wszystko wskazuje na to, że ich adresy e-mail mógł zdobyć każdy. Zostały one podane "na tacy" przez mBank...
Od 9 lutego cyberprzestępcy rozpoczęli akcję ukierunkowaną na klientów mBanku. Na ich skrzynki pocztowe zaczęły trafiać fałszywe wiadomości z banku, które informowały o tymczasowym zablokowaniu dostępu do serwisu transakcyjnego mBank Online. Aby go odblokować należało przejść do specjalnie spreparowanej strony mBanku i w pierwszej kolejności zalogować się do systemu podając identyfikator i hasło. Następnym krok to próba wyłudzenia kolejnych danych takich jak: imię i nazwisko, nazwisko panieńskie matki, telekod, pesel, numer dowodu osobistego i termin jego ważności.
Oczywiście żaden bank nie wysyła tego typu informacji do klientów. Z pewnością zdecydowana większość osób, które otrzymały wspomnianego maila natychmiast zorientowała się, że ma do czynienia z próba wyłudzenia ważnych danych. Niewkluczone jednak, że część internautów (miejmy nadzieję, że było ich niewielu) dała się podejść ignorując wszelkie sygnały mogące świadczyć o przekręcie.
Zobacz również:
To wydarzenie, chociaż bardzo nieprzyjemne dla klientów mBanku i wcale nie tak rzadkie w Internecie, jest dosyć interesujące z jednego powodu. Okazało się bowiem, że fałszywe maile były wysyłane ze 100-procentową trafnością jedynie do klientów mBanku. Oczywiście nasuwa się pytanie, skąd cyberprzestępcy pozyskali ich adresy mailowe? Wytłumaczenie przyszło z czasem. Jeden z internautów zauważył bowiem, że popełniono błąd programistyczny, w wyniku którego na forum mBanku w profilach użytkowników w źródle HTML strony wspomniane adresy można było odczytać w polu typu hidden.
mBank wprowadził już poprawkę rozwiązującą problem, co nie zmienia faktu, że zaliczył poważną wpadkę. Niestety do tej pory nie doczekaliśmy się z jego strony oświadczenia w tej sprawie.
Otrzymaliśmy oficjalne stanowisko mBanku w tej sprawie:
„Po stronie banku trwa analiza. Zapewniamy jednak, że baza adresów email używanych na forum jest niezależna od bazy adresów używanych przez bank do kontaktu z klientami.
Warto również pamiętać, że tego typu phishing jest niestety działaniem dość powszechnym, kierowanym przeciwko klientom wielu firm i zazwyczaj ma charakter masowy, nie wybiórczy (mailing rozsyłany jest masowo).
Jednocześnie przypominamy, że bank na bieżąco informuje swoich klientów o wykrytych i grożących im niebezpieczeństwach na swoich stronach internetowych w zakładce bezpieczeństwo oraz w publikowanych aktualnościach. Dodatkowo, stale przypominamy klientom, że bank w żadnej informacji nie prosi ich o podanie danych autoryzacyjnych, numerów ID czy haseł do bankowości elektronicznej. „
Autorzy
Krzysztof Lech
PCWorld
Współpracownik
Jestem absolwentem Politechniki Wrocławskiej. Od 2007 r. piszę teksty na potrzeby serwisów grupy IDG oraz sporadycznie magazynu PC World. W kręgu moich zainteresowań zawodowych znajduje się praktycznie wszystko, o czym chcą czytać internauci odwiedzający portal PCWorld.pl . Dokładniej to ujmując muszę jednak przyznać, że zdecydowani bliżej mi do tematów związanych ze sprzętem, czy nowymi technologiami, niż do oprogramowania oraz niepojętego dla mnie zjawiska, jakim są sieci społecznościowe.
Prywatnie jestem wielbicielem mojej pełnoletniej już Toyoty, starych filmów Kung Fu, koszykówki oraz wielu innych dyscyplin sportowych. Niestety chodzi jedynie o kibicowanie, co też od wielu lat (nieskutecznie) staram się zmienić...
Kontakt: Krzysztof Lech
