13.08.2018 | 18:39

Adam Haertle

Wyłączyliście autoryzację SMS w mBanku? Niestety łatwo to ominąć

Włączyliście w mBanku autoryzację w aplikacji, by nikt nie mógł ukraść Wam kodu z SMS-a? To dobry pomysł, ale niestety okazuje się, że bez żadnego problemu można dla konkretnej transakcji wymusić autoryzację SMS. Zaskoczeni? Słusznie.

Włączenie autoryzacji w aplikacji bankowej jest mądrym ruchem. Choć nie eliminuje wszystkich możliwych ataków, to najpopularniejsze znacznie przestępcom utrudnia. Rekomendujemy ją wszystkim użytkownikom bankowości internetowej – ale co z tego, skoro w mBanku, mimo włączonej autoryzacji w aplikacji, nadal można wymusić autoryzację przez kod SMS… Na szczęście jest to opcja, z której możecie zrezygnować.

Interfejs mobilny do usług

Jeden z naszych Czytelników odkrył przez przypadek sposób, w jaki można wymusić autoryzację za pomocą SMS-a. Wszedł na stronę mBanku z komórki i wymusił tryb „komputerowy”. Bank zaserwował mu inną stronę niż zwykle – dużo prostszą. Gdy zlecił przelew, okazało się, że nie ma opcji autoryzacji w aplikacji, za to na jego telefon przyszedł SMS z kodem autoryzującym transakcję. Zgłosił to do banku, jednak w odpowiedzi na złożoną reklamację przeczytał, że tak właśnie system ma działać. Czytelnik był przeciwnego zdania, dlatego opisał nam problem. Przetestowaliśmy – i faktycznie problem występuje. Wygląda to tak:

Na kolejnych ekranach zlecamy przelew, widzimy od razu prośbę o przepisanie kodu z wiadomości SMS i pokazujemy, że od czasu aktywacji kart w Apple Pay nie dostawaliśmy SMS-ów od mBanku… Poprzedni SMS autoryzacyjny niezwiązany z transakcją kartą kredytową jest sprzed bodajże roku, więc nie zmieścił się na ekranie.

Prześledziliśmy ten proces i okazało się, że aby wysłać przelew z zatwierdzeniem przez SMS-a, wystarczy wejść dowolną przeglądarką na adres https://m.mbank.pl – i już. Autoryzacja mobilna wyłączona. Jest to świadoma decyzja banku, jak wynika z otrzymanego przez nas oficjalnego stanowiska, ale na szczęście obowiązują tam limity transakcyjne oraz można ją wyłączyć (pełna treść pod koniec artykułu).

Nieaktualna dokumentacja na stronie banku?

Na stronie pomocy dla wersji „lajt” możemy znaleźć jedynie takie informacje:

Co oznacza „dostęp do tylko i wyłącznie do przelewów, które były zdefiniowane w tradycyjnej wersji serwisu transakcyjnego”?  My bez problemu wykonaliśmy przelew do Pajacyka, który nie był zdefiniowany w wersji „tradycyjnej”. Dalsza analiza strony pomocy wskazuje, że w serwisie „lajt” nie ma możliwości autoryzowania transakcji kodami SMS. Na dowód tego zrzut ekranu poniżej:

Wnioskujemy zatem, że opis funkcji serwisu „lajt” zatrzymał się na etapie, gdzie nie było możliwe autoryzowanie przelewów innych niż wcześniej zdefiniowane – a sam serwis został później zmodyfikowany, by taką autoryzację umożliwić, tylko ktoś zapomniał zaktualizować dokumentację.

Informacja na temat braku autoryzacji mobilnej w serwisie „lajt” została umieszczona nie w opisie serwisu „lajt”, a w opisie autoryzacji mobilnej i brzmi:

Mobilna autoryzacja nie działa w „lekkiej” wersji serwisu transakcyjnego: https://lajt.mbank.pl/. Operacje potwierdzane są w dalszym ciągu za pomocą haseł SMS.

Konsekwencje takiej konfiguracji usługi

Autoryzacja mobilna nie była nigdy stuprocentowym zabezpieczeniem przed atakami na konto. Ktoś, kto wyrobi duplikat naszej karty SIM, może na przykład włączyć autoryzację mobilną w aplikacji na swoim urządzeniu. Zostawia to jednak wyraźny ślad w systemach banku i mamy nadzieję, że zestaw operacji w postaci:

  • przełączenie aplikacji mobilnej na nowe urządzenie,
  • wysłanie dużego przelewu na nowy rachunek,

w krótkim odstępie czasu powoduje odpowiednią reakcję działu zwalczania nadużyć. Biorąc jednak pod uwagę możliwość wymuszenia autoryzacji SMS za pomocą mobilnego interfejsu banku pod adresem m.mbank.pl, przestępcy mają dużo większe pole do popisu.

  1. Klient, który zainfekuje swojego Androida złośliwą aplikacją przestępców, nie ma już szans na obronę – aplikacja złodziei nie potrafi „kraść” autoryzacji w aplikacji mobilnej banku, ale z kradzieżą SMS-ów poradzi sobie znakomicie.
  2. Złodziej, który wyrobił duplikat karty SIM, nie musi już instalować aplikacji mBanku (i podawać nazwiska panieńskiego matki i PESEL-a ofiary), bo znowu przychodzą zwykłe SMS-y.
  3. Przestępca wyłudzający kody SMS za pomocą ataków socjotechnicznych może przekonać ofiarę, że nastąpiła awaria zatwierdzania w aplikacji i trzeba znowu przepisać kod z SMS-a.

Jako aktywni użytkownicy produktów mBanku, korzystający od dawna z autoryzacji mobilnej, nie byliśmy w ogóle świadomi możliwości jej ominięcia. W naszej ocenie możliwość wymuszenia powrotu do kodów SMS jest przekreśleniem podniesionego poziomu bezpieczeństwa, które oferuje aplikacja mobilna. Na szczęście są czynniki ograniczające opisane wyżej ryzyka.

Komentarz banku

Problem zgłosiliśmy natychmiast do mBanku i otrzymaliśmy taki komentarz:

Gdy wdrażaliśmy mobilną autoryzację, założyliśmy, że będziemy ją systematycznie rozwijać, ale rozpoczniemy od obszarów o największym ryzyku, czyli takich, w których klienci zlecają najwyższe przelewy – pełnej wersji serwisu transakcyjnego.

W lekkiej wersji (tzw. serwis „lajt”) wiele typów operacji nie jest w ogóle dostępnych. Dlatego potencjalne ryzyko nadużyć w tym kanale jest niższe.

Funkcjonuje tu również dzienny, sumaryczny limit wartości transakcji. Wynosi on 10 tys. zł. System automatycznie odrzuci zatem transakcje przekraczające go i skieruje klienta do pełnej wersji serwisu. A tu będzie już działać mobilna autoryzacja. Ponadto systemy bezpieczeństwa mBanku monitorują i w razie podejrzeń zareagują na „podejrzane” transakcje autoryzowane SMS-ami przez klientów, którzy mają aktywną mobilną autoryzację. Co najważniejsze, dostęp do serwisu lajt można również wyłączyć, dzwoniąc na mLinię.

Warto też zaznaczyć, że na stronach informacyjnych zamieściliśmy informacje na temat autoryzacji mobilnej, a także tego, że nie dotyczy ona lekkiej wersji serwisu.

Trzy rekomendacje

Rekomendujemy zatem Czytelniczkom i Czytelnikom, którzy korzystają z autoryzacji w aplikacji mobilnej mBanku, by zadzwonili na mLinię i wyłączyli usługę „lajt”. Dobrze, że taka możliwość istnieje, a sam limit 10 000 PLN nie chroni przed nadużyciami.

Czytelniczkom i Czytelnikom, korzystającym z usług mBanku, którzy nie mają autoryzacji w aplikacji mobilnej, rekomendujemy jej włączenie – nadal pozostaje bezpieczniejszym rozwiązaniem od kodów SMS.

Bankowi z kolei rekomendujemy automatyczne dodanie opcji „wyłącz serwis lajt” klientom, którzy aktywują autoryzację w aplikacji mobilnej.

Aktualizacja 19:30

Informujecie, że infolinia mBanku nic nie wie o możliwości wyłączenia usługi „lajt”. Przykro to słyszeć, ponieważ bank powiedział nam co innego. Zostawimy to już bez komentarza.

Powrót

Komentarze

  • 2018.08.13 19:54 Sebastian

    Przed chwilą otrzymałem na infolinii informację o tym, że niemożliwe jest wyłączenie wersji lite :)

    Odpowiedz
  • 2018.08.13 19:57 JanQ

    Na mLinii nic nie wiedzą o wyłączeniu wersji „Lajt”. Pracownik chciał pomóc, nawet wchodził na waszą stronę i czytał ale to +15 minut konsultacji dało mi odpowiedź, że się nie da bo on takiej opcji nie ma.

    Macie jakąś magiczną procedurę co trzeba powiedzieć lub kogo przydusić i jak aby to się jednak dało zrobić?

    Odpowiedz
    • 2018.08.13 22:03 Michal

      Nic tylko zadzwonić do pracownika banku i z pomocą social engineering zaprowadzić go na odpowiednią stronę ;-)
      Co jest łatwiejsze niż się wydaje, kiedyś pracownik mbanku sam mi obrócił monitor służbowy, przełożył klawiaturę na moją stronę żebym mógł odpowiednie dane do przelewu znaleźć a sam sobie nalewał kawy. Mogłem wejść, gdzie tylko chciałem.

      Odpowiedz
  • 2018.08.13 23:21 Dobra dusza

    Wystarczy trzykrotnie błędnie przepisać hasło z sms-a i kanał sms zostanie zablokowany.
    Pozdrawiam cieplutko :)

    Odpowiedz
  • 2018.08.14 05:19 bartek

    U mnie mBank automatycznie spłaca kartę która jest przypisana do innego konta i należy do innej osoby( co prawda upoważnionej do mojego konta). Od 2 miesięcy wymieniam korespondencję z mbankiem a oni twierdzą że ok.

    Odpowiedz
    • 2018.08.18 16:15 A.

      I wciaz jestes w tym banku? Jakie te Kowalskie glupie…

      Odpowiedz
    • 2018.09.24 01:09 lepian

      Kto w tych czasach trzyma oszczędności w banku ? , ten sam się prosi o kłopoty :) „polska bezgotówkowa”

      Odpowiedz
  • 2018.08.14 07:09 Jarek

    Wszyscy działamy żeby żyło się lepiej – może więc czasem dla wspólnego dobra zamiast publikować coś, co może zostać wykorzystane w złych celach – warto skontaktować się z instytucją X czy Y, powiedzieć o problemie a nie jak ten leming publikować wszystko jak leci, żeby był fejm. Wiadomo, ONI już to znają i z tego korzystają, więc można już opublikować ale mimo wszystko.

    https://i.kym-cdn.com/photos/images/original/000/933/835/103.jpg

    Odpowiedz
    • 2018.08.14 10:02 jo

      Jeżeli informacje o błędzie wysłała ta sama osoba, która powiadomiła o tym Niebepiecznik, to sprawa ma już 2 tygodnie. Mbank miał czas na reakcję.

      Odpowiedz
  • 2018.08.14 07:48 Xxxero

    Najsmitniejsze jest: banku zglasza sie problem a bank twierdzie ze jest OK i to nie problem tylko tak ma dzialac. I jak bank ma chronic nasze pieniadze?

    Odpowiedz
  • 2018.08.14 07:55 Crazy

    Jarek, doczytaj dobrze artykuł bo nie ma tu żadnego złego działania i kontakt „z instytucją X czy Y” a nawet z MBankiem był bo jak widzisz są zamieszczone ich odpowiedzi.
    To MBank podszedł niepoważnie do sprawy. Ewidentnie autorytety obszaru bezpieczeństwa mówią im że mają niezabezpieczony system a oni twierdzą że tak ma być – więc nic nie mają do poprawy.

    W takim wypadku lepiej opisać taką sytuację aby to użytkownicy podnieśli poziom swojego bezpieczeństwa skoro bank o nich nie dba.

    Odpowiedz
  • 2018.08.14 10:09 Karol

    Dzwoniłem przed chwilą, bez problemu przez infolinie zablokowano mi wersję lite. Dzięki za informacje!

    Odpowiedz
  • 2018.08.14 13:06 Supek

    Może nie rozumiem tekstu pisanego.
    Ale podsumowując: weszliście z telefonu na stronę banku i oczekujecie, że akceptacja przelewów będzie działała jak w aplikacji a nie kodem sms?

    Odpowiedz
  • 2018.08.15 18:43 Rafał

    Chciałem własnie aktywować sobie autoryzacje mobilną, ale apk banku pyta o dostęp do zarządzania połączeniami telefonicznymi. Po co?

    Odpowiedz
    • 2018.08.15 19:15 Adam Haertle

      Żebyś na przykład mógł z aplikacji wybrać nr do banku.

      Odpowiedz
      • 2018.08.24 12:47 Michał

        Technicznie rzecz biorąc, niby tylko po to, ale nie wiemy czy tylko. Znane są przypadki, że jeśli wejdziesz w część informacyjną w banku odnośnie kredytu, zaraz do Ciebie oddzwoni konsultant z banku.

        Odpowiedz
        • 2018.09.13 17:08 Piotr

          A co to ma niby wspólnego z uprawnieniami? To nie są „przypadki” tylko świadome działanie stron i aplikacji banków oraz sklepów internetowych.

          Odpowiedz
  • 2018.12.16 20:55 Paulina

    Cały czas mi przychodzą sms-y o numer 80750 o treści ” twój kod autoryzacyjny :30.. I nie bardzo wiem oco chodzi… dziś dostałam takie 3 kody

    Odpowiedz
  • 2022.01.13 16:49 Łukasz

    Niestety po 3,5 roku mLinia w dalszym ciągu nie ma pojęcia co to jest wersja „light” i jak ją wyłączyć. Trochę to słabe.

    Odpowiedz

Zostaw odpowiedź do lepian

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyłączyliście autoryzację SMS w mBanku? Niestety łatwo to ominąć

Komentarze