Włączyliście w mBanku autoryzację w aplikacji, by nikt nie mógł ukraść Wam kodu z SMS-a? To dobry pomysł, ale niestety okazuje się, że bez żadnego problemu można dla konkretnej transakcji wymusić autoryzację SMS. Zaskoczeni? Słusznie.
Włączenie autoryzacji w aplikacji bankowej jest mądrym ruchem. Choć nie eliminuje wszystkich możliwych ataków, to najpopularniejsze znacznie przestępcom utrudnia. Rekomendujemy ją wszystkim użytkownikom bankowości internetowej – ale co z tego, skoro w mBanku, mimo włączonej autoryzacji w aplikacji, nadal można wymusić autoryzację przez kod SMS… Na szczęście jest to opcja, z której możecie zrezygnować.
Interfejs mobilny do usług
Jeden z naszych Czytelników odkrył przez przypadek sposób, w jaki można wymusić autoryzację za pomocą SMS-a. Wszedł na stronę mBanku z komórki i wymusił tryb „komputerowy”. Bank zaserwował mu inną stronę niż zwykle – dużo prostszą. Gdy zlecił przelew, okazało się, że nie ma opcji autoryzacji w aplikacji, za to na jego telefon przyszedł SMS z kodem autoryzującym transakcję. Zgłosił to do banku, jednak w odpowiedzi na złożoną reklamację przeczytał, że tak właśnie system ma działać. Czytelnik był przeciwnego zdania, dlatego opisał nam problem. Przetestowaliśmy – i faktycznie problem występuje. Wygląda to tak:
Na kolejnych ekranach zlecamy przelew, widzimy od razu prośbę o przepisanie kodu z wiadomości SMS i pokazujemy, że od czasu aktywacji kart w Apple Pay nie dostawaliśmy SMS-ów od mBanku… Poprzedni SMS autoryzacyjny niezwiązany z transakcją kartą kredytową jest sprzed bodajże roku, więc nie zmieścił się na ekranie.
Prześledziliśmy ten proces i okazało się, że aby wysłać przelew z zatwierdzeniem przez SMS-a, wystarczy wejść dowolną przeglądarką na adres https://m.mbank.pl – i już. Autoryzacja mobilna wyłączona. Jest to świadoma decyzja banku, jak wynika z otrzymanego przez nas oficjalnego stanowiska, ale na szczęście obowiązują tam limity transakcyjne oraz można ją wyłączyć (pełna treść pod koniec artykułu).
Nieaktualna dokumentacja na stronie banku?
Na stronie pomocy dla wersji „lajt” możemy znaleźć jedynie takie informacje:
Co oznacza „dostęp do tylko i wyłącznie do przelewów, które były zdefiniowane w tradycyjnej wersji serwisu transakcyjnego”? My bez problemu wykonaliśmy przelew do Pajacyka, który nie był zdefiniowany w wersji „tradycyjnej”. Dalsza analiza strony pomocy wskazuje, że w serwisie „lajt” nie ma możliwości autoryzowania transakcji kodami SMS. Na dowód tego zrzut ekranu poniżej:
Wnioskujemy zatem, że opis funkcji serwisu „lajt” zatrzymał się na etapie, gdzie nie było możliwe autoryzowanie przelewów innych niż wcześniej zdefiniowane – a sam serwis został później zmodyfikowany, by taką autoryzację umożliwić, tylko ktoś zapomniał zaktualizować dokumentację.
Informacja na temat braku autoryzacji mobilnej w serwisie „lajt” została umieszczona nie w opisie serwisu „lajt”, a w opisie autoryzacji mobilnej i brzmi:
Konsekwencje takiej konfiguracji usługi
Autoryzacja mobilna nie była nigdy stuprocentowym zabezpieczeniem przed atakami na konto. Ktoś, kto wyrobi duplikat naszej karty SIM, może na przykład włączyć autoryzację mobilną w aplikacji na swoim urządzeniu. Zostawia to jednak wyraźny ślad w systemach banku i mamy nadzieję, że zestaw operacji w postaci:
- przełączenie aplikacji mobilnej na nowe urządzenie,
- wysłanie dużego przelewu na nowy rachunek,
w krótkim odstępie czasu powoduje odpowiednią reakcję działu zwalczania nadużyć. Biorąc jednak pod uwagę możliwość wymuszenia autoryzacji SMS za pomocą mobilnego interfejsu banku pod adresem m.mbank.pl, przestępcy mają dużo większe pole do popisu.
- Klient, który zainfekuje swojego Androida złośliwą aplikacją przestępców, nie ma już szans na obronę – aplikacja złodziei nie potrafi „kraść” autoryzacji w aplikacji mobilnej banku, ale z kradzieżą SMS-ów poradzi sobie znakomicie.
- Złodziej, który wyrobił duplikat karty SIM, nie musi już instalować aplikacji mBanku (i podawać nazwiska panieńskiego matki i PESEL-a ofiary), bo znowu przychodzą zwykłe SMS-y.
- Przestępca wyłudzający kody SMS za pomocą ataków socjotechnicznych może przekonać ofiarę, że nastąpiła awaria zatwierdzania w aplikacji i trzeba znowu przepisać kod z SMS-a.
Jako aktywni użytkownicy produktów mBanku, korzystający od dawna z autoryzacji mobilnej, nie byliśmy w ogóle świadomi możliwości jej ominięcia. W naszej ocenie możliwość wymuszenia powrotu do kodów SMS jest przekreśleniem podniesionego poziomu bezpieczeństwa, które oferuje aplikacja mobilna. Na szczęście są czynniki ograniczające opisane wyżej ryzyka.
Komentarz banku
Problem zgłosiliśmy natychmiast do mBanku i otrzymaliśmy taki komentarz:
W lekkiej wersji (tzw. serwis „lajt”) wiele typów operacji nie jest w ogóle dostępnych. Dlatego potencjalne ryzyko nadużyć w tym kanale jest niższe.
Funkcjonuje tu również dzienny, sumaryczny limit wartości transakcji. Wynosi on 10 tys. zł. System automatycznie odrzuci zatem transakcje przekraczające go i skieruje klienta do pełnej wersji serwisu. A tu będzie już działać mobilna autoryzacja. Ponadto systemy bezpieczeństwa mBanku monitorują i w razie podejrzeń zareagują na „podejrzane” transakcje autoryzowane SMS-ami przez klientów, którzy mają aktywną mobilną autoryzację. Co najważniejsze, dostęp do serwisu lajt można również wyłączyć, dzwoniąc na mLinię.
Warto też zaznaczyć, że na stronach informacyjnych zamieściliśmy informacje na temat autoryzacji mobilnej, a także tego, że nie dotyczy ona lekkiej wersji serwisu.
Trzy rekomendacje
Rekomendujemy zatem Czytelniczkom i Czytelnikom, którzy korzystają z autoryzacji w aplikacji mobilnej mBanku, by zadzwonili na mLinię i wyłączyli usługę „lajt”. Dobrze, że taka możliwość istnieje, a sam limit 10 000 PLN nie chroni przed nadużyciami.
Czytelniczkom i Czytelnikom, korzystającym z usług mBanku, którzy nie mają autoryzacji w aplikacji mobilnej, rekomendujemy jej włączenie – nadal pozostaje bezpieczniejszym rozwiązaniem od kodów SMS.
Bankowi z kolei rekomendujemy automatyczne dodanie opcji „wyłącz serwis lajt” klientom, którzy aktywują autoryzację w aplikacji mobilnej.
Aktualizacja 19:30
Informujecie, że infolinia mBanku nic nie wie o możliwości wyłączenia usługi „lajt”. Przykro to słyszeć, ponieważ bank powiedział nam co innego. Zostawimy to już bez komentarza.
Komentarze
Przed chwilą otrzymałem na infolinii informację o tym, że niemożliwe jest wyłączenie wersji lite :)
Na mLinii nic nie wiedzą o wyłączeniu wersji „Lajt”. Pracownik chciał pomóc, nawet wchodził na waszą stronę i czytał ale to +15 minut konsultacji dało mi odpowiedź, że się nie da bo on takiej opcji nie ma.
Macie jakąś magiczną procedurę co trzeba powiedzieć lub kogo przydusić i jak aby to się jednak dało zrobić?
Nic tylko zadzwonić do pracownika banku i z pomocą social engineering zaprowadzić go na odpowiednią stronę ;-)
Co jest łatwiejsze niż się wydaje, kiedyś pracownik mbanku sam mi obrócił monitor służbowy, przełożył klawiaturę na moją stronę żebym mógł odpowiednie dane do przelewu znaleźć a sam sobie nalewał kawy. Mogłem wejść, gdzie tylko chciałem.
Wystarczy trzykrotnie błędnie przepisać hasło z sms-a i kanał sms zostanie zablokowany.
Pozdrawiam cieplutko :)
U mnie mBank automatycznie spłaca kartę która jest przypisana do innego konta i należy do innej osoby( co prawda upoważnionej do mojego konta). Od 2 miesięcy wymieniam korespondencję z mbankiem a oni twierdzą że ok.
I wciaz jestes w tym banku? Jakie te Kowalskie glupie…
Kto w tych czasach trzyma oszczędności w banku ? , ten sam się prosi o kłopoty :) „polska bezgotówkowa”
Wszyscy działamy żeby żyło się lepiej – może więc czasem dla wspólnego dobra zamiast publikować coś, co może zostać wykorzystane w złych celach – warto skontaktować się z instytucją X czy Y, powiedzieć o problemie a nie jak ten leming publikować wszystko jak leci, żeby był fejm. Wiadomo, ONI już to znają i z tego korzystają, więc można już opublikować ale mimo wszystko.
https://i.kym-cdn.com/photos/images/original/000/933/835/103.jpg
Jeżeli informacje o błędzie wysłała ta sama osoba, która powiadomiła o tym Niebepiecznik, to sprawa ma już 2 tygodnie. Mbank miał czas na reakcję.
Najsmitniejsze jest: banku zglasza sie problem a bank twierdzie ze jest OK i to nie problem tylko tak ma dzialac. I jak bank ma chronic nasze pieniadze?
Jarek, doczytaj dobrze artykuł bo nie ma tu żadnego złego działania i kontakt „z instytucją X czy Y” a nawet z MBankiem był bo jak widzisz są zamieszczone ich odpowiedzi.
To MBank podszedł niepoważnie do sprawy. Ewidentnie autorytety obszaru bezpieczeństwa mówią im że mają niezabezpieczony system a oni twierdzą że tak ma być – więc nic nie mają do poprawy.
W takim wypadku lepiej opisać taką sytuację aby to użytkownicy podnieśli poziom swojego bezpieczeństwa skoro bank o nich nie dba.
Dzwoniłem przed chwilą, bez problemu przez infolinie zablokowano mi wersję lite. Dzięki za informacje!
Może nie rozumiem tekstu pisanego.
Ale podsumowując: weszliście z telefonu na stronę banku i oczekujecie, że akceptacja przelewów będzie działała jak w aplikacji a nie kodem sms?
Chciałem własnie aktywować sobie autoryzacje mobilną, ale apk banku pyta o dostęp do zarządzania połączeniami telefonicznymi. Po co?
Żebyś na przykład mógł z aplikacji wybrać nr do banku.
Technicznie rzecz biorąc, niby tylko po to, ale nie wiemy czy tylko. Znane są przypadki, że jeśli wejdziesz w część informacyjną w banku odnośnie kredytu, zaraz do Ciebie oddzwoni konsultant z banku.
A co to ma niby wspólnego z uprawnieniami? To nie są „przypadki” tylko świadome działanie stron i aplikacji banków oraz sklepów internetowych.
Cały czas mi przychodzą sms-y o numer 80750 o treści ” twój kod autoryzacyjny :30.. I nie bardzo wiem oco chodzi… dziś dostałam takie 3 kody
Niestety po 3,5 roku mLinia w dalszym ciągu nie ma pojęcia co to jest wersja „light” i jak ją wyłączyć. Trochę to słabe.