19.12.2018 | 10:47

Adam Haertle

Nowy atak na klientów mBanku – na szczęście bardzo nieudany

Otrzymaliśmy zgłoszenie o ataku, w którym przestępca podszywa się pod mBank i próbuje infekować komputery internautów. Na szczęście przestępca to też człowiek i zdarza mu się popełniać błędy, dzięki którym mogliśmy skutki ataku zlikwidować.

Wszystkie ataki, o których nas informujecie, staramy się analizować, by ustalić, jaki jest cel działania przestępcy. Czasem jednak okazuje się, że nie jesteśmy w stanie tego celu w 100% ustalić – ponieważ przestępca popełnia błędy uniemożliwiające prześledzenie jego intencji. Tak też było w tym przypadku, jednak tu dodatkowo złoczyńca niechcący umożliwił nam poinformowanie jego potencjalnych ofiar o zagrożeniu.

Zlecenie przelewu, którego nie było

Wiadomość rozsyłana przez przestępców wygląda następująco:

Drogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.
Tytułem : NR 2204982/18 – Przelew Krajowy.
Kwota : 2629,99 zł
Typ : Z potwierdzeniem email na odbiorcę.
W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą „RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Wygenerowane potwierdzenie dostępne w załączeniu (.pdf)
Więcej informacji na temat szczegółów przelewu uzyskasz w swoim „Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat „Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie www.mbank.pl.
Pozdrawiamy
Zespół Mbank.

W załączniku do e-maila faktycznie znajduje się plik PDF:

W jego treści znajduje się link umożliwiający pobranie rzekomej aktualizacji Acrobat Readera, prowadzący (w zamyśle autora) do instalatora złośliwego oprogramowania. Link z dokumentu to:

http://pvv.pl/dobepdater

Gdy otrzymaliśmy próbkę złośliwej wiadomości, link nie działał. Okazało się jednak, że serwis, w którym się znajduje, umożliwia rejestrację darmowych aliasów, zatem skorzystaliśmy z tej okazji i obecnie link prowadzi (albo za chwilę zacznie, jak już się rozpropaguje domena, przez którą przekierowaliśmy ruch) do tego właśnie artykułu. Sprawdziliśmy także różne literówki, które mógł popełnić autor ataku, ale nie udało nam się trafić na „prawidłowy” link. Ubolewamy. Cieszymy się jednak, że chociaż w tej jednej kampanii nie będzie wcale ofiar.

Powrót

Komentarze

  • 2018.12.19 10:52 Fedoryna

    Coś chyba nie pykło. Alias prowadzi do nieskonfigurowanego hosta OVH pod http://goooooooooooooooogle.pl/

    Tak miało być?

    Odpowiedz
    • 2018.12.19 10:58 Adam Haertle

      Zaraz się rozpropaguje i będzie ładnie przekierowywać gdzie trzeba. U nas już działa ;)

      Odpowiedz
  • 2018.12.19 10:53 Grzegorz

    Atkualnie link prowadzi do hxxp://goooooooooooooooogle.pl hostowanym na ovh.com

    Odpowiedz
    • 2018.12.19 11:58 raaa

      Juz jest ok, prowadzi do artykulu.

      Odpowiedz
  • 2018.12.19 11:02 neates

    That’s the evilest thing I can imagine :-)

    Odpowiedz
  • 2018.12.19 11:18 Marcin

    U mnie Bitdefender blokuje tę stronę.

    Odpowiedz
  • 2018.12.19 12:13 KrzysiekQ

    Armaged0n #2

    Odpowiedz
  • 2018.12.19 13:34 Werner

    „Na szczęście przestępca też człowiek” aaa, ja nie wiem czy aż taki w 100% człowiek… złodziej.

    Odpowiedz
  • 2018.12.19 14:01 Marcin

    Ten link długo nie żył. ESET na Chromie zwraca uwagę na Pishing. ;)

    https://i.imgur.com/rKmah12.jpg

    Odpowiedz
  • 2018.12.19 14:15 Dombel

    Mnie avast przerywa połączenie informując o malware.

    Odpowiedz
  • 2018.12.19 17:08 ~~~

    Przepraszam, ale co to jest „z potwierdzeniem e-mail na odbiorcę”?

    Odpowiedz
    • 2018.12.20 08:51 e

      Taka śmieszna usługa od mbanku że można zamówić żeby bank wysłał meila z powiadomieniem. Przypuszczam że email wychodzi w czasie rozpoczęcia sesji Elixir.
      Rewelacyjny pomysł mbanku, dzięki temu dostaja emeila klientów/dostawców swojego klienta za darmo.

      Odpowiedz
  • 2018.12.20 17:23 welszu Odpowiedz
    • 2018.12.20 22:28 Grzesiek

      Ja nawet nie czytam takich maili, a nawet jak już go odczytam to wiem już, że to oszustwo.
      Po pierwsze sam mam maila na zoho.com i wiem, że każdy może sobie tam założyć konto.
      Po drugie to widać po adresie nadawcy, że jest podejrzany.
      Banki nie korzystają z adresów e-mail w innych domenach jak tylko we własnej.

      Odpowiedz
  • 2018.12.27 23:31 djDziadek

    Trafiłem trochę po czasie, ale co mnie urzekło w wiadomości od „banku”?
    from: [email protected] – no bez jaj, ze ktoś się na takie cuda nabiera
    to: [email protected] – może mój mózg się wyćwiczył przy „perfekcyjnej” ortografii moich wczesnoszkolnych pociech ale jestem bardzo wyczulony na wszelkiej maści literówki, mBnak jednak mocno rzuca się w oczy :)

    Odpowiedz

Zostaw odpowiedź do ~~~

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowy atak na klientów mBanku – na szczęście bardzo nieudany

Komentarze