Otrzymaliśmy zgłoszenie o ataku, w którym przestępca podszywa się pod mBank i próbuje infekować komputery internautów. Na szczęście przestępca to też człowiek i zdarza mu się popełniać błędy, dzięki którym mogliśmy skutki ataku zlikwidować.
Wszystkie ataki, o których nas informujecie, staramy się analizować, by ustalić, jaki jest cel działania przestępcy. Czasem jednak okazuje się, że nie jesteśmy w stanie tego celu w 100% ustalić – ponieważ przestępca popełnia błędy uniemożliwiające prześledzenie jego intencji. Tak też było w tym przypadku, jednak tu dodatkowo złoczyńca niechcący umożliwił nam poinformowanie jego potencjalnych ofiar o zagrożeniu.
Zlecenie przelewu, którego nie było
Wiadomość rozsyłana przez przestępców wygląda następująco:
Drogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.
Tytułem : NR 2204982/18 – Przelew Krajowy.
Kwota : 2629,99 zł
Typ : Z potwierdzeniem email na odbiorcę.
W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą „RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Wygenerowane potwierdzenie dostępne w załączeniu (.pdf)
Więcej informacji na temat szczegółów przelewu uzyskasz w swoim „Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat „Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie www.mbank.pl.
Pozdrawiamy
Zespół Mbank.
W załączniku do e-maila faktycznie znajduje się plik PDF:
W jego treści znajduje się link umożliwiający pobranie rzekomej aktualizacji Acrobat Readera, prowadzący (w zamyśle autora) do instalatora złośliwego oprogramowania. Link z dokumentu to:
http://pvv.pl/dobepdater
Gdy otrzymaliśmy próbkę złośliwej wiadomości, link nie działał. Okazało się jednak, że serwis, w którym się znajduje, umożliwia rejestrację darmowych aliasów, zatem skorzystaliśmy z tej okazji i obecnie link prowadzi (albo za chwilę zacznie, jak już się rozpropaguje domena, przez którą przekierowaliśmy ruch) do tego właśnie artykułu. Sprawdziliśmy także różne literówki, które mógł popełnić autor ataku, ale nie udało nam się trafić na „prawidłowy” link. Ubolewamy. Cieszymy się jednak, że chociaż w tej jednej kampanii nie będzie wcale ofiar.
Komentarze
Coś chyba nie pykło. Alias prowadzi do nieskonfigurowanego hosta OVH pod http://goooooooooooooooogle.pl/
Tak miało być?
Zaraz się rozpropaguje i będzie ładnie przekierowywać gdzie trzeba. U nas już działa ;)
Atkualnie link prowadzi do hxxp://goooooooooooooooogle.pl hostowanym na ovh.com
Juz jest ok, prowadzi do artykulu.
That’s the evilest thing I can imagine :-)
U mnie Bitdefender blokuje tę stronę.
Armaged0n #2
„Na szczęście przestępca też człowiek” aaa, ja nie wiem czy aż taki w 100% człowiek… złodziej.
Ten link długo nie żył. ESET na Chromie zwraca uwagę na Pishing. ;)
https://i.imgur.com/rKmah12.jpg
Mnie avast przerywa połączenie informując o malware.
Przepraszam, ale co to jest „z potwierdzeniem e-mail na odbiorcę”?
Taka śmieszna usługa od mbanku że można zamówić żeby bank wysłał meila z powiadomieniem. Przypuszczam że email wychodzi w czasie rozpoczęcia sesji Elixir.
Rewelacyjny pomysł mbanku, dzięki temu dostaja emeila klientów/dostawców swojego klienta za darmo.
[email protected]
:-)
Ja nawet nie czytam takich maili, a nawet jak już go odczytam to wiem już, że to oszustwo.
Po pierwsze sam mam maila na zoho.com i wiem, że każdy może sobie tam założyć konto.
Po drugie to widać po adresie nadawcy, że jest podejrzany.
Banki nie korzystają z adresów e-mail w innych domenach jak tylko we własnej.
Trafiłem trochę po czasie, ale co mnie urzekło w wiadomości od „banku”?
from: [email protected] – no bez jaj, ze ktoś się na takie cuda nabiera
to: [email protected] – może mój mózg się wyćwiczył przy „perfekcyjnej” ortografii moich wczesnoszkolnych pociech ale jestem bardzo wyczulony na wszelkiej maści literówki, mBnak jednak mocno rzuca się w oczy :)