8:27
29/6/2016

W piątek na naszą redakcyjną skrzynkę spłynęło kilkanaście e-maili w sprawie SkyCash — aplikacji służącej do mobilnych płatności za przejazdy komunikacją miejską i parkingi w wybranych miastach. Użytkownicy chcący zalogować się na swoje konto, zamiast panelu logowania widzieli komunikat przeglądarki ostrzegający ich o zainfekowanej stronie.

Oto wiadomość od czytelnika Mariusza:

Chyba Skycash ma problemy. Z aplikacji mobilnej nie mogę od pół godziny zatrzymac uruchomionego parkowania, strona otwiera sie jak poniżej

unnamed-3

Z kolei drugi z czytelników informował:

Wyglada na to, ze ktoś sie włamał do SkyCash.com. Najpierw przekierowywało na jakaś lewą stronę, teraz maja błąd bazy danych. Nie mozna było tez korzystać z ich aplikacji do płacenia.

Trzeci czytelnik wskazał na zagrożenie, jakie zaraportował mu jego antywirus:

Avast wyrzuca alert o infekcji S:Injection-I [Trj]

A czwarty z czytelników, opisał co dzieje się po wejściu (pomimo ostrzeżenia) na zainfekowaną stronę logowania:

Przekierowanie (…) kierowało na stronę wyłudzającą numery telefonów (należy zwrócić uwagę, że loginem do SkyCash jest właśnie numer telefonu).

Problemy zgłaszano też na oficjalny Fanpage aplikacji, (gdzie o godz. 11:00 pojawił się komunikat informujący o przywróceniu działania usługi, ale nie informujący o żadnych szczegółach ataku, ani też nie proszący użytkowników o zmianę haseł):

skycash0

Niektórzy zwracali uwagę, że to kolejne w tym miesiącu “awarie”, a inni informowali, że przez brak możliwości skorzystania z aplikacji otrzymali mandaty:

skycash-mandaty

I choć SkyCash prosił o kontakt z BOK-iem, to — jak wynika z realacji czytelników — nie był on łatwy (choć niektórzy cierpliwie czekali kilkadziesiąt minut na infolinii):

skycash-3

safe_image

Firma w odpowiedziach na komentarze użytkowników informujące o infekcji udzielała tylko skąpych informacji, że logowanie pod innym adresem powinno działać:

skycash-1

Szczerze mówiąc, nie rozumiemy, dlaczego firma dysponując innym adresem logowania, cały czas na stronie głównej linkuje do starego adresu, który wciąż wyrzuca użytkownikom ostrzeżenie o infekcji…

Stanowisko firmy SkyCach

Postanowiliśmy więc zapytać SkyCash, co właściwie się stało i poprosiliśmy o oświadczenie przedstawicieli firmy. We wtorek rano, odpowiedzi udzielił nam Adam Krypel, Chief Technology Officer SkyCash.

Zakłócenia w działaniu systemu transakcyjnego wynikały z problemów natury sprzętowej. Nie miało to żadnego związku z informacyjną stroną internetową, ponieważ system transakcyjny jest od niej fizycznie odseparowany.

Nasi użytkownicy zgłaszali nam, że w przeglądarkach pojawia się standardowy komunikat o podejrzeniu złośliwego oprogramowania na stronie informacyjnej. Zgłosiliśmy sprawę agencji interaktywnej odpowiedzialnej za naszą stronę, która zweryfikowała informację i zajęła się usunięciem problemu związanego z mechanizmem zarządzania treścią.

A więc mieliśmy do czynienia z awarią sprzętową i infekcją na stronie. Co było pierwsze, ciężko ustalić. Czy firma widząc infekcję, wyłączyła systemy aby ustalić jej źródło? Czy może awaria spowodowała taką rekonfigurację środowiska, że jakiemuś skryptowi udało się “wstrzelić” na stronę logowania na skutek obniżonego bezpieczeństwa infrastruktury? Na ekranie mógł np. pojawić się przez chwilę listing katalogu z plikiem backup.zip zawierającym hasła, jak to chociażby miało miejsce na stronach Tomasza Braniewskiego, przed którym ostrzegał UOKiK).

Co się faktycznie stało w piątek?

Oświadczenie jest dość skąpe w szczegóły techniczne, ale spróbujmy samodzielnie zastanowić się, co było powodem umieszczenia na stronach SkyCash złośliwego skryptu, który przekierował użytkowników na podejrzane strony wyłudzające dane lub nakłaniające do instalowania złośliwego oprogramowania.

Wspomniany przez Adama Krypela “mechanizm zarządzania treścią” to, jak możemy wyczytać w kodzie, WordPress. Gdybyśmy mieli strzelać, co stało się w piątek, obstawialibyśmy, że WordPress został zaatakowany (lub któraś z jego wtyczek), bo ktoś zapomniał o wgraniu aktualizacji. Z wypowiedzi CTO SkyCash można wnioskować, że obsługą zajmuje się zewnętrzna firma. W kodzie znajdujemy odwołania do agencji Boy-Coy i Uzyteczni.pl:

view-source_www_skycash_com_moj-skycash_ 2

Można oczywiście rozważać alternatywne scenariusze, takie jak zainfekowany komputer programisty, który podczas aktualizacji “produkcji” poprzez FTP dopisał złośliwy skrypt do kodu strony logowania albo błąd w innej części serwisu umożliwiający wstrzykiwanie treści. Warto jednak zauważyć, że Google zgłasza infekcje tylko w obrębie ścieżki: http://www.skycash.com/moj-skycash/, czyli tam, gdzie hostowany jest WordPress obsługujący panel logowania do SkyCash:

Safe_Browsing_Site_Status_–_Transparency_Report_–_Google

Korzystam ze SkyCash — co robić, jak żyć?

Jeśli w przeciągu ostatnich 7 dni logowałeś się do aplikacji SkyCash, na wszelki wypadek zmień hasło. Zrób to, chociaż firma SkyCash do tego nie nawołuje. Czy powinna? Naszym zdaniem tak. Złośliwy skrypt, który był umieszczony na podstronie /mojskycash/ mógł mieć możliwość przechwytywania wszystkich wprowadzanych na tej stronie danych, czyli numeru telefonu. Niestety, poprzez podmianę znajdujących się na stornie elementów (i linków), złośliwy skrypt mógł także wykonywać ataki phishingowe mające na celu przechwycenie danych logowania do serwisu transakcyjnego SkyCash lub bankowości elektronicznej (na zaatakowanej podstronie znajduje się formatka doładowywania konta). Do redakcji Niebezpiecznika nie wpłynęły żadne zgłoszenia sugerujące tego typu działanie, należy więc mieć nadzieję, że przestępcy łaskawie potraktowali SkyCash, być może nawet nie zdając sobie sprawy z tego, co zaatakował ich automatyczny skrypt.

Kilka osób na fanpage’u SkyCash donosi o stracie środków, ale wszystko wskazuje na to, że jest to spowodowane brakiem możliwości odwołania rozpoczętego parkowania, raczej z powodu trwającej “awarii” niż na skutek włamania i “wyczyszczenia konta”.

Przypominamy, że zmieniając hasło należy zmienić je nie tylko do SkyCasha, ale do każdego innego serwisu/usługi, w której korzystaliście z tego samego, lub podobnego hasła.

Jeśli podczas logowania zostałeś przekierowany na inną stronę, sprawdź swój komputer programem antywirusowym — internauci, podobnie jak Google, raportują próby instalacji złośliwego oprogramowania na komputerze. Jeśli stronę odwiedzałeś z telefonu komórkowego, sprawdź historię wysłanych SMS-ów — mogłeś zostać zmanipulowany do zapisania się na usługę SMS Premium i niebawem otrzymasz za to wysoki rachunek.

A jeśli na skutek piątkowego incydentu straciłeś wszystkie środki lub za parkowanie zapłaciłeś więcej niż powinieneś, to sugerujemy kontakt z (obciążonym) BOK-iem SkyCash i złożenie reklamacji.

PS. Dziękujemy czytelnikom, którzy przesyłali nam informację na temat niniejszego incydentu: Radkowi, cimlikowi, Mariuszowi, Mateuszowi oraz tym, którzy zastrzegli swoje dane do wiadomości redakcji.

Aktualizacja 30 czerwca 2016
Uściśliliśmy pierwszy akapit w sekcji “co robić, jak żyć?”, aby wytłumaczyć jakie skutki może odnieść nieautoryzowany kod JavaScript znajdujący się na stronie /mojskycash/.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Problem nadal występuję. Nadal widać ostrzeżenie. Czyli nie naprawili

    • Dokładnie. U mnie też Chrome ostrzega przed wejściem na stronę.

    • Albo google jeszcze nie zareagowało na naprawę.

    • Google zaktualizowało bazę danych 29.06 (czyli dzisiaj), a Chrome zapewne tylko się do niej odwołuje (gdzie sens w dostarczaniu jej wraz z aktualizacjami przeglądarki, od razu by skoczyło do 100).

    • U mnie to samo :(

  2. Problem natury sprzętowej a jeden z poszkodowanych zgłosił że strona przekierowuje na ‘lewą’ stronę wyłudzającą numery telefonów… z kogo oni robią durni?

  3. Hm, atak udał się… Jeszcze leży.

  4. Awarie mają co tydzień-dwa i trzeba z facebooka sie o nich dowiadywać. Przeszedłem na mobilet i toporniejszy ale działa

    • To prawda, przeżyłem ostatnio zimny prysznic gdy chciałem skorzystać z skycasha w pociągu – niedziałająca usługa w takiej chwili to koszmar dla klienta.

    • I dodam jeszcze ze skycash rozpatruje reklamacje wbrew logice i na niekorzyść klienta. Dostarczyłem im wyciąg z konta, screeny z panelu, screeny z aplikacji, skan oplaty od kanara, Co jawnie pokazywało błąd w aplikacji. Dopiero przewoźnik się nade mną zlitował widząc groteskę skycasha i anulowano opłatę dodatkową.

      W mobilet tez reklamowalem i mają lepsze podejście do klienta, oddają kasę od razu.

  5. Mam pytanie, co jeżeli logowałem się z aplikacji mobilnej? Czy zmiana hasła też jest konieczna? Nawet nie wiedziałem o istnieniu strony :p

  6. http://www.skycash.com/moj-skycash/

    dalej syf

  7. Od kiedy za parkowanie bez opłaty można w Polsce dostać MANDAT?

  8. Nie wiem jak u innych, ale u mnie FF i Chrome dalej ostrzegają przed logowaniem na skycash.com

  9. Czegoś tu nie rozumiem: “Jeśli w przeciągu ostatnich 7 dni logowałeś się do aplikacji SkyCash, na wszelki wypadek zmień hasło”. Przechwyceniu mogły ulec hasła do profilu na stronie, czy PIN do autoryzacji transakcji? Przeciez w aplikacji używa się tylko PINu, nie hasła.

  10. a aplikacja mobilna Android wogole nie moze zmienic hasła. Ciekawi mnie co z wykupieniem usługi….

  11. Czy jak używam tylko aplikacji iOS to muszę hasło zmieniać?

  12. “Uściśliliśmy pierwszy akapit”… ale redaktorowi przed publikacją już nie pozwoliliście przeczytać :)

  13. Google nadal zgłasza, że strona http://www.skycash.com/mobiparking/
    “Strona, którą chcesz otworzyć, zawiera złośliwe oprogramowanie”

    Chciałem wydrukować sobie naklejkę ponieważ kilka dni temu założyłem konto. Rozumiem, że w obecnej chwili sugerujecie poczekać z tym i nie wchodzić na ową stronę?

  14. Najgorsze, że hasło nie może mieć znaków przestankowych, podczas gdy inni je dopuszczają.

  15. WordPress – największy botnet świata.

  16. Dlatego warto mieć drugą aplikacje np mPay płatności mobilne. Jak jedna nie działa to używam drugiej.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.