szukaj

19.12.2018 | 10:47

avatar

Adam Haertle

Nowy atak na klientów mBanku – na szczęście bardzo nieudany

Otrzymaliśmy zgłoszenie o ataku, w którym przestępca podszywa się pod mBank i próbuje infekować komputery internautów. Na szczęście przestępca to też człowiek i zdarza mu się popełniać błędy, dzięki którym mogliśmy skutki ataku zlikwidować.

Wszystkie ataki, o których nas informujecie, staramy się analizować, by ustalić, jaki jest cel działania przestępcy. Czasem jednak okazuje się, że nie jesteśmy w stanie tego celu w 100% ustalić – ponieważ przestępca popełnia błędy uniemożliwiające prześledzenie jego intencji. Tak też było w tym przypadku, jednak tu dodatkowo złoczyńca niechcący umożliwił nam poinformowanie jego potencjalnych ofiar o zagrożeniu.

Zlecenie przelewu, którego nie było

Wiadomość rozsyłana przez przestępców wygląda następująco:

Drogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.
Tytułem : NR 2204982/18 – Przelew Krajowy.
Kwota : 2629,99 zł
Typ : Z potwierdzeniem email na odbiorcę.
W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą „RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Wygenerowane potwierdzenie dostępne w załączeniu (.pdf)
Więcej informacji na temat szczegółów przelewu uzyskasz w swoim „Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat „Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie www.mbank.pl.
Pozdrawiamy
Zespół Mbank.

W załączniku do e-maila faktycznie znajduje się plik PDF:

W jego treści znajduje się link umożliwiający pobranie rzekomej aktualizacji Acrobat Readera, prowadzący (w zamyśle autora) do instalatora złośliwego oprogramowania. Link z dokumentu to:

http://pvv.pl/dobepdater

Gdy otrzymaliśmy próbkę złośliwej wiadomości, link nie działał. Okazało się jednak, że serwis, w którym się znajduje, umożliwia rejestrację darmowych aliasów, zatem skorzystaliśmy z tej okazji i obecnie link prowadzi (albo za chwilę zacznie, jak już się rozpropaguje domena, przez którą przekierowaliśmy ruch) do tego właśnie artykułu. Sprawdziliśmy także różne literówki, które mógł popełnić autor ataku, ale nie udało nam się trafić na „prawidłowy” link. Ubolewamy. Cieszymy się jednak, że chociaż w tej jednej kampanii nie będzie wcale ofiar.

Powrót

Komentarze

  • avatar
    2018.12.19 10:52 Fedoryna

    Coś chyba nie pykło. Alias prowadzi do nieskonfigurowanego hosta OVH pod http://goooooooooooooooogle.pl/

    Tak miało być?

    Odpowiedz
    • avatar
      2018.12.19 10:58 Adam Haertle

      Zaraz się rozpropaguje i będzie ładnie przekierowywać gdzie trzeba. U nas już działa ;)

      Odpowiedz
  • avatar
    2018.12.19 10:53 Grzegorz

    Atkualnie link prowadzi do hxxp://goooooooooooooooogle.pl hostowanym na ovh.com

    Odpowiedz
    • avatar
      2018.12.19 11:58 raaa

      Juz jest ok, prowadzi do artykulu.

      Odpowiedz
  • avatar
    2018.12.19 11:02 neates

    That’s the evilest thing I can imagine :-)

    Odpowiedz
  • avatar
    2018.12.19 11:18 Marcin

    U mnie Bitdefender blokuje tę stronę.

    Odpowiedz
  • avatar
    2018.12.19 12:13 KrzysiekQ

    Armaged0n #2

    Odpowiedz
  • avatar
    2018.12.19 13:34 Werner

    „Na szczęście przestępca też człowiek” aaa, ja nie wiem czy aż taki w 100% człowiek… złodziej.

    Odpowiedz
  • avatar
    2018.12.19 14:01 Marcin

    Ten link długo nie żył. ESET na Chromie zwraca uwagę na Pishing. ;)

    https://i.imgur.com/rKmah12.jpg

    Odpowiedz
  • avatar
    2018.12.19 14:15 Dombel

    Mnie avast przerywa połączenie informując o malware.

    Odpowiedz
  • avatar
    2018.12.19 17:08 ~~~

    Przepraszam, ale co to jest „z potwierdzeniem e-mail na odbiorcę”?

    Odpowiedz
    • avatar
      2018.12.20 08:51 e

      Taka śmieszna usługa od mbanku że można zamówić żeby bank wysłał meila z powiadomieniem. Przypuszczam że email wychodzi w czasie rozpoczęcia sesji Elixir.
      Rewelacyjny pomysł mbanku, dzięki temu dostaja emeila klientów/dostawców swojego klienta za darmo.

      Odpowiedz
  • avatar
    2018.12.20 17:23 welszu Odpowiedz
    • avatar
      2018.12.20 22:28 Grzesiek

      Ja nawet nie czytam takich maili, a nawet jak już go odczytam to wiem już, że to oszustwo.
      Po pierwsze sam mam maila na zoho.com i wiem, że każdy może sobie tam założyć konto.
      Po drugie to widać po adresie nadawcy, że jest podejrzany.
      Banki nie korzystają z adresów e-mail w innych domenach jak tylko we własnej.

      Odpowiedz
  • avatar
    2018.12.27 23:31 djDziadek

    Trafiłem trochę po czasie, ale co mnie urzekło w wiadomości od „banku”?
    from: [email protected] – no bez jaj, ze ktoś się na takie cuda nabiera
    to: [email protected] – może mój mózg się wyćwiczył przy „perfekcyjnej” ortografii moich wczesnoszkolnych pociech ale jestem bardzo wyczulony na wszelkiej maści literówki, mBnak jednak mocno rzuca się w oczy :)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowy atak na klientów mBanku – na szczęście bardzo nieudany

Komentarze