Spamerzy umieszczają swoje reklamy gdzie popadnie – wrzucają je nam do skrzynek, wstawiają na swoje strony, wklejają na fora internetowe, zdarza się, że zamieszczają je nawet na witrynach w domenach .gov.pl – to już nas nie zaskakuje. Ale na stronie banku? Tego jeszcze nie było.
Serwis InfoCast doniósł przed chwilą (dziękujemy Przemkowi za podesłanie linka), że wyszukiwanie w Google „getin bank oferta leasingu” pokazało niepokojący wynik w postaci reklamy Viagry, zindeksowanej przez Google. Sprawdziliśmy tę wiadomość i wygląda na to, że 2 dni temu ok. 140 stron w domenie www.getinbank.pl otrzymało dodatkową treść, która co prawda ma coś wspólnego z finansami, ale niewiele z działalnością bankową.
Zapytanie w wyszukiwarce Google pokazuje zidentyfikowane witryny ze wstrzykniętą dodatkową treścią.
Kopie zindeksowanych stron pokazują, że włamywacze dokleili swoje reklamy zarówno w tytule jak i w treści każdej podmienionej strony.
Analiza kopii stron z Googla pokazuje, że infekcja miała miejsce przynajmniej 27go maja ok. 2:40 GMT i trwała do 28go, 3:40 GMT (w tych godzinach Google pobrało kopie zainfekowanych stron).
Jaki był prawdopodobny scenariusz infekcji? Mamy nadzieję, że otrzymamy na ten temat informacje od samego banku, jednak wobec ich chwilowego braku możemy podejrzewać, ze hasło do konta FTP umożliwiającego modyfikację serwisu www zostało wykradzione przez złośliwe oprogramowanie z konta jednego z użytkowników, który taki dostęp posiadał. Bank może zatem cieszyć się, że włamywacz nie zorientował się, na co trafił i jedynie wrzucił reklamy Viagry, zamiast porządnego phishingu.
Czy to duża wpadka? Tak, całkiem spora. Ale Getin nie jest samotny – od wielu miesięcy reklamy Viagry nikomu nie przeszkadzają na jednym z serwerów Orange czy też serwerze z domeny .gov.pl. Jeśli znajdziecie jeszcze jakieś – dajcie znać w komentarzach.
W odpowiedzi na przesłane pytania uprzejmie informuję, iż w minionym tygodniu zanotowaliśmy atak złośliwego oprogramowania na serwer informacyjny www.getinbank.pl. Ze względu na architekturę zastosowanych rozwiązań informatycznych incydent ten nie miał i nie mógł mieć żadnych negatywnych skutków dla Klientów Banków oraz bezpieczeństwa ich środków. Witryna informacyjna Banku nie jest w żaden sposób powiązana z systemami transakcyjnymi i bankowością elektroniczną.
Złośliwe oprogramowanie zaburzyło jedynie wynik wyszukiwania w czołowych wyszukiwarkach internetowych. Skutkiem tego było czasowe prezentowanie strony Banku w wyszukiwarkach wraz z błędnym opisem. Dla bezpośrednio odwiedzających witrynę www było to praktycznie niezauważalne.”
Komentarz