Ten email wygląda zupełnie jak phishing, ale to tylko wiadomość od mBanku

dodał 31 sierpnia 2015 o 18:54 w kategorii Wpadki  z tagami:
Ten email wygląda zupełnie jak phishing, ale to tylko wiadomość od mBanku

Od około roku mBank wysyła swój mailing w sposób którego nie powstydził by się nadawca phishingu. Klienci zgłaszają wątpliwości, lecz mBank problemu nie zauważa. Cieszą się jedynie oszuści, używający podobnych adresów.

Kilka dni temu otrzymaliśmy od klienta mBanku ciekawą wiadomość poczty elektronicznej. Była to informacja od banku o aktualizacji regulaminu. Na pierwszy rzut oka wiadomość ta posiada wszystkie atrybuty bycia phishingiem, lecz – co zaskakujące – jednak nim nie jest.

Lekcja pierwsza

Jak wygląda rozsyłana wiadomość? Wychodząc z założenia, że jeden obraz wart jest więcej niż 1000 słów od razu zaczniemy od przekazanego nam e-maila.

Wiadomość e-mail z regulaminem mBanku

Wiadomość e-mail z regulaminem mBanku

Treść wiadomości jest krótka, rzeczowa, wręcz niezachęcająca do kliknięcia w link, gdyż kto tak naprawdę czyta regulaminy? W mailu znajduje się również link do strony mBanku (wraz z https na początku). Jeśli jednak sprawdzimy, dokąd link naprawdę prowadzi, zobaczymy adres www.mail-mbank.pl już bez https oraz z innym odnośnikiem. Jak widać Mozilla Thunderbird również ostrzega przed phishingiem.

Jest to klasyczna sztuczka używana przez oszustów w wiadomościach phishingowych (w tym kierowanych do klientów mBanku) – opis linku wskazuje na prawdziwy serwer banku, lecz pod spodem ukrywa się link do zupełnie innej domeny.

Lekcja druga

Wiadomość wygląda podejrzanie, zatem zweryfikujmy jej nagłówki, zawierające informacje o systemach użytych do jej wysyłki.

Źródło wiadomości e-mail z regulaminem mBanku

Źródło wiadomości e-mail z regulaminem mBanku

Serwer e-mail z którego wysłano mailing to mx.mail-mbank.pl, nadawcą wiadomości był [email protected]. Czy serwer mx.mail-mbank.pl jest uprawniony do wysyłania wiadomości jako [email protected]? Można to sprawdzić weryfikując tzw. rekordy SPF domeny:

mbank.pl. 2881 IN TXT "v=spf1 ip4:193.41.230.0/24 ip4:213.180.131.38 ip4:213.180.147.136 ip4:213.180.147.137 mx -all"

Jak widać adres IP 31.186.86.197 nie znajduje się na powyższej liście, zatem nie jest formalnie uprawniony do wysyłania wiadomości w imieniu domeny mbank.pl. Sprawdziliśmy również serwery MX:

mbank.pl. 72 IN MX 0 war01mail2.brebank.com.pl.
mbank.pl. 72 IN MX 0 war01mail1.brebank.com.pl.

lecz tam również brak śladu by ten serwer mógł wysyłać maile w imieniu mBanku. Może więc chociaż domena jest obsługiwana przez te same serwery DNS?

mail-mbank.pl. 3585 IN NS dns2.hostersi.pl.
mail-mbank.pl. 3585 IN NS dns.hostersi.pl.
mbank.pl. 275 IN NS ns1.mbank.com.pl.
mbank.pl. 275 IN NS ns1.ikp.pl.

Również pudło. Serwery obsługujące domenę mail-mbank.pl nie mają nic wspólnego z oficjalną infrastrukturą mBanku. Jedyny ślad, wskazujący na powiązanie, to dane właściciela domeny – tu występuje mBank. Spójrzmy zatem w historię tego adresu.

Poczucie bezpieczeństwa naszych klientów

Domena mail-mbank.pl została zarejestrowana w czerwcu 2014, zatem wszystko wskazuje na to, że praktyka wysyłania z niej emaili trwa już od ponad roku. mBank wie o tym problemie co najmniej od grudnia 2014, kiedy z pytaniem o potwierdzenie autentyczności wiadomości zwrócił się do niego na Facebooku jeden z adresatów:

Pytanie o mail-mbank.pl na FB

Pytanie o mail-mbank.pl na FB

Przytoczmy to jeszcze raz: Poczucie bezpieczeństwa naszych klientów jest dla nas kluczową kwestią dlatego mBank stosuje najbardziej nowoczesne i profesjonalne metody zabezpieczeń sprzętowych i programowych. Aha.

Dlaczego używanie domeny mail-mbank.pl jest złym pomysłem

Jednym z większych problemów każdego banku stawiającego na usługi internetowe są oszuści, próbujący się podszyć pod oficjalną komunikację. Przestępcy rejestrują w tym celu domeny przypominające adres banku i używają ich, by nakłonić klientów do podania swoich danych. Nie jest to zagrożenie teoretyczne – w przypadku mBanku były i są to na przykład adresy takie jak:

  • autoryzacja-mbank.com (kampania z końca lutego 2015)
  • certyfikat-mbank.com (ta sama kampania)
  • online-mbank.com (zarejestrowana 30 sierpnia, w tej chwili trwa tam kampania phishingowa próbująca wyłudzić TELEKOD, czyli hasło do mLinii)
  • mail-mbank.com (choć o naszym planowanym artykule wiedziała tylko nasza redakcja i bank, to 29 sierpnia ktoś zarejestrował domenę podobną do tej, którą opisujemy, w tej chwili jest ona także wykorzystywana do ataku phishingowego).
Fałszywa strona mBanku

Fałszywa strona mBanku w trwającej właśnie kampanii oszustów

Stanowisko mBanku

Poprosiliśmy mBank o wyjaśnienie tego fenomenu. Poniżej pełne stanowisko banku:

Tak jak wiele firm (jest to powszechna praktyka), w celu wysyłki masowej korespondencji mailowej mBank korzysta z usług sprawdzonych, cenionych na rynku firm zewnętrznych, tj. SARE czy Onet (którzy w ramach podpisanych umów gwarantują poufność otrzymywanych od banku informacji). Właścicielem domeny mail-mBank.pl jest mBank, ale po zrobieniu stosownej delegacji została ona przekazana do wykorzystywania w ramach usług świadczonych na rzecz banku przez firmę SARE. Serwer mx.mail-mbank.pl jest wykorzystywany do wysyłki kampanii mailowych wyłącznie z domeny mail-mbank.pl, dlatego nie znalazł się w rekordzie SPF domeny mbank.pl.

Dziękujemy jednak za zwrócenie nam uwagi na zagrożenie związane z brakiem informacji, że Bank wykorzystuje do wysyłki maili również domenę mail-mbank.pl. Precyzyjne dane na ten temat wykorzystywanych przez bank domen zostaną opublikowane na stronie mBanku w zakładce Bezpieczeństwo (https://www.mbank.pl/bezpieczenstwo/). Dzięki temu klienci będą mogli sprawdzić czy mail wysłany z danej domeny jest bezpieczny i pochodzi faktycznie z mBanku. W celu podniesienia poziomu bezpieczeństwa pracujemy również nad rozszerzeniem zakresu maili wysyłanych do klientów, które opatrzone są podpisem cyfrowym. Obecnie taki podpis posiadają wszystkie maile zawierające istotne dane, jak np. wyciągi operacji wykonanych narachunkach. Docelowo chcemy, aby każdy mail wysyłany przez mBank posiadał takie zabezpieczenie.

W przypadku przesłanego do nas maila dotyczącego zmian w regulaminach banku mamy faktycznie do czynienia z błędem. Prezentowanie nazwy linku innej od adresu do którego on prowadzi, w przypadku kampanii administracyjnych, nie powinno mieć miejsca. 28.08.2015 r. wprowadziliśmy zmiany w tym zakresie i przekierowanie zostało wyłączone. Link kieruje obecnie tam gdzie wskazuje jego opis.

Skąd takie pomysły

Analiza innych domen znajdujących się na tym samym serwerze oraz nagłówków same mailingu pozwala stwierdzić, że mBank faktycznie korzysta z usług firmy Sare do wysyłki części swoich wiadomości. Nie ma w tym nic zdrożnego – jest to dość popularny model biznesowy. Dziwne jest jednak, że zamiast do serwera Sare przypisać np. domenę mail.mbank.pl (lub dowolną inną subdomenę z podstawowej domeny banku), bank zdecydował się na zarejestrowanie dodatkowego adresu podobnego do używanych przez przestępców.

Możemy jedynie spekulować, że jak to w przypadku dużych korporacji bywa, nie wie lewica co czyni prawica a uzyskanie zgody innego działu na cokolwiek trwa tygodniami, zatem dział marketingu mógł po prostu iść na skróty, by ominąć konieczność współpracy z działem IT lub bezpieczeństwa. Niestety takie skróty często kończą się niezbyt rozsądnymi decyzjami, czego przykład widzimy powyżej.

Co więcej, to nie jedyny przykład dziwnych praktyk pocztowych mBanku – powiadomienia o wysłanym przelewie przychodzą z serwera mbank.onet.pl. Choć tutaj wątpliwości odbiorcy mogą być mniejsze, to jednak pokazuje, że ciężko w tym obszarze o standaryzację. A teraz zobaczcie, z jakich serwerów piszą do Was Wasze banki – może będzie więcej kwiatków do kolekcji.