mBank a hakerzy


Tydzień temu Niebezpiecznik ujawnił jak doszło do kradzieży środków z konta ojca jednego z czytelników, który miał konto w mBanku (por. Przestępcy przekierowali mu telefon i okradli konto w banku). Warto odnotować, że mBank postanowił zwrócić skradzione środki ofierze i przy okazji zmienić sposób instalacji swojej aplikacji mobilnej na bezpieczniejszy.

mBank ostrzega klientów przed atakami

Zanim przejdziemy do opisu zmian, przypomnijmy jak doszło do ataku:

  • Najpierw złodziej włamał się na skrzynkę e-mailową taty czytelnika i odnalazł tam dokumenty, które pozwoliły mu poznać PESEL i nazwisko panieńskie matki ofiary oraz ustalić jego numer telefonu. To jest proste, bo większość osób ma na skrzynce pliki z różnymi umowami.
  • Później złodziej zadzwonił do T-Mobile i przekierował ten numer telefonu nas swój. To jest proste, bo na infolinii T-Mobile trzeba tylko podać numer telefonu ofiary, jej PESEL i nowy numer.
  • Następnie zainstalował na swoim telefonie aplikację mobilną mBanku i podpiął ją do konta ofiary. To było proste, bo podczas instalacji aplikacja wymagała podania nazwiska panieńskiego matki i numeru PESEL oraz wklepania kodu, który mBank przekazywał w rozmowie telefonicznej na numer właściciela rachunku (przekierowany na numer złodzieja).

mBank zmiania sposób instalacji aplikacji mobilnej

mBank po publikacji naszego artykułu wydał oświadczenie, w którym słusznie skrytykował praktyki T-Mobile a następnie wystosował ostrzeżenie do klientów:

mbank-ostrzezenie-600x437

Dodatkowo, wczoraj mBank zmienił sposób instalacji swojej aplikacji mobilnej. Do tej pory trzeba było odebrać na numerze telefonu rozmowę i odsłuchać kod. Teraz trzeba jeszcze odebrać kod SMS-em i podać go w trakcie rozmowy. Procedura wygląda tak:

    • 1. Po rozpoczęciu kojarzenia aplikacji z kontem i podaniu PESEL-u oraz nazwiska panieńskiego matki przychodzi SMS z kodem.
    • 2. mBank dzwoni na numer telefonu posiadacza rachunku
    • 3. Należy wstukać na klawiaturze w trakcie rozmowy przychodzącej z mBanku otrzymany SMS-em kod
      4. Lektor poda kod aktywacji aplikacji, który trzeba przepisać do aplikacji mobilnej (i dopiero wtedy jest ona “zlinkowana” z rachunkiem klienta)

mbank-2-1-600x359

Zmianą jest konieczność odebrania kodu z SMS-a. To paraliżuje atak, który opisywaliśmy, bo w żadnej polskiej sieci nie da się przekierować odbierania SMS-ów na inny numer. Połączenia tak, SMS-y nie. Ale to nie znaczy, że w przyszłości nie zobaczymy podobnych ataków.

Metodą przechwycenia numeru telefonicznego ofiary wciąż można okradać konta. Przestępcy będą musieli znaleźć sposób na odebranie SMS-a.

Ciekawym wektorem mogą być teraz ataki na posiadaczy iPhonów. SMS-y wysyłane na jedno urządzenie Apple da się odbierać na innym urządzeniu skojarzonym z tym samym kontem iCloud.

mBank zwraca środki ofierze

Co ciekawe, mBank zwrócił też skradzione w opisanym przez nas ataku pieniądze poszkodowanemu. “Ciekawe”, bo tak naprawdę winę za ten incydent przede wszystkim powinien ponosić operator T-Mobile …no i trochę sama ofiara, która zignorowała SMS-y o przekierowaniu numeru i SMS z mBanku wysyłany po zlinkowaniu aplikacji mobilnej (czyli w tym przypadku ten, który otrzymała po udanym ataku). Ale z drugiej strony, ofiara nie musi mieć ciągle swojego telefonu pod ręką i odczytywać SMS-ów w sekundzie, w której nadejdą, więc wyłączenie jej odpowiedzialności wydaje się być słuszne.

Niestety, jest też zła wiadomość

O ile dla ofiary sprawa kradzieży środków z konta bankowego zakończyła się pomyślnie, to jest też zła wiadomość. Złodziej miał dostęp do skrzynki ofiary na długo przed atakiem na jej konto w mBanku. Jak poinformował Czytelnik, jego tata kilka dni temu odebrał list od firmy pożyczkowej. Atakujący na dwa tygodnie przed zlinkowaniem aplikacji mobilnej z rachunkiem ofiary próbował innych ataków i na jej dane udało mu się wyłudzić co najmniej jedną pożyczkę na kwotę kilku tysięcy złotych w firmie HapiPożyczki.

 

źródło: niebezpiecznik.pl

 

Informacje

Jestem absolwentem WSZiA w Zamościu. W latach 1996 -2006 pracowałem dla firmy MABERO PROJEKT-TEL świadczącej usługi w zakresie okablowania strukturalnego i budowy sieci teleinformatycznych. Współpracowałem z firmą NETIA i IT-NET. Obecnie tworzę strony www z wykorzystaniem technologii CMS bazującej na silniku Wordpress i Joomla, odzyskuję dane z każdego nośnika danych, serwisuję komputery, zakładam instalacje logiczne.

Tagged with: , , , ,
Napisane w komputery, tablet, telefony
Pomiar prędkości łącza

www.netmeter.pl

Archiwum
Yanosik24
Widget Yanosik24.pl

Member of The Internet Defense League

Blog Stats
  • 10 948 hits
%d blogerów lubi to: