13:25
22/9/2012

* mBank ostrzega przed trojanem

mBank wysyła swoim klientom taką wiadomość:

mbank

mBank

Postawa godna pochwały (dajcie znać w komentarzach, jak zareagowaliście po otrzymaniu takiej wiadomości, jesteśmy ciekawi ile osób pomimo tego, że jest to akcja mBanku, odebrało tego e-maila jako “podejrzany”). Szkoda jednak, że mBank nie podążył za wszystkimi dobrymi praktykami, odróżniającymi tego typu maile od prób pishingu:

  • mBank nie zwraca się się w takim e-mailu po imieniu (a może)
  • mBank “zachęca” do klikania w linki umieszczone w e-mailu z banku, ucząc złego nawyku.

PS. Zadanie domowe: o jaki malware chodzi, dlaczego ostrzega tylko mBank i dlaczego dopiero teraz?

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

36 komentarzy

Dodaj komentarz
  1. Ja dostałem to w wersji tekstowej (bo sobie takie zamówiłem), ale link im się popsuł…
    http://prntscr.com/g08io
    nawet nie wiedziałem, że mają domenę .eu…

  2. hehehe.. dostałem wczoraj.. Gmail zapodał mi to z miejsca do spamu ;)

  3. Jestem klientem mBanku i nic jeszcze nie dostałem. Jestem wg nich zbyt biedny by się o mnie martwili?

  4. Ups.. miałem dopisać, a mi posłało..
    mBank ma też dość ciekawego babola (chyba to błąd) w systemie, albo na stronie.
    Mianowicie, jeśli zaznaczy się w ustawieniach na ich stronie, że nie wyraża się zgody na informacje handlowe, to mimo tego zaznaczenia i zapisania ustawień, w ich systemie te ustawienia się jakimś cudem nie zapisują i info handlowe przychodzą na pocztę i na tel.
    Nie wiem czy jeszcze komuś się taka sytuacja przytrafiła, ale ja musiałem dzwonić do nich ze 4 razy i prosić o przestawienie tego w systemie. Przestawiają, a za jakiś czas znów to samo się dzieje.

  5. Nie zgodzę się, że mBank nie zwraca się po imieniu. Co prawda nie jest ono podane w treści maila, ale w polu “To:” z nagłówków wiadomości, czyli wyświetla się również w większości klientów pocztowych w polu ‘Do’.

  6. Jeśli jeszcze nie macie mogę Wam podesłać skrypty JS jakie są ‘doczepiane’ do strony mBank. Ostatnio z szefem coś nam nie pasowało w źródłach strony.
    Po wstępnej analizie: dość ciekawie zbierają dane o kontach i wykonywanych transakcjach.

  7. Ja podejrzewałem, że to phishing. Domena dziwna i nieznana (banery.mbank.eu), ale sprawdzenie DNSów poświadczyło, że należy ona do mbanku i IP jest ten sam co mbank.pl. Kiepskie jest to że na stronie mbank.pl po wyszukaniu mbank.eu, pojawiają się tylko wpisy z linkami do tej domeny jakiegoś klienta – żadnych oficjalnych informacji.

  8. Ja mam tam konto a maila nie dostałem :/
    Spam też sprawdziłem

  9. Wyświetla się też przy wejściu na konto przez www. Przy wejściu natomiast przez ich aplikację na androida nie ma żadnych info.

  10. Po sieci krąży polski trojan który ma w sobie “plugin” do FireFoxa wstrzykujący javascriptem komunikat do systemu transakcyjnego mBanku o tym ze mamy zwrócić 9876zł na jakies tam konto i automatycznie przekierwouje uzytkownika na wypelniony formularz platnosci.

    • Mbank nie podaje takich szczegółów – wszystko dzieje się na oryginalnie wyglądającej stronie z protokołem https, oryginalnym certyfikatem, kłódką etc. – saldo rachunku jest powiększone dokładnie o kwotę, którą trzeba oddać – po wykonaniu przelewu wszystko się zgadza, w historii jest przelew przychodzący i wychodzący – bilans tych dwóch = 0 – w kolejnych dniach nadal nie widać nic podejrzanego – żaden antywirus (przetestowanych było kilka) nie wykrywa wirusa

  11. SpyEye, ZitMo, Zeus (V3?)/Zbot, czy ich kolejne wariacje….Sie narobiło tego syfu i namnożyły ich ofiary z ogromnymi stratami… Czemu mBank mówi a reszta nie… Te same treści są na ING ( https://online.ingbank.pl/bskonl/login.html , http://www.ingbank.pl/aktualnosci/bankowosc-elektroniczna?news_id=1001370%2CNowa-forma-ataku-na-systemy-bankowosci-internetowej ) w pocztowym24… nie sprawdzałem gdzie indziej bo po co, podobne treści ma każdy bank na swoich stronach… A tak na powaznie – oficjalnie banki ( Powazne Banki ) nie straszą / nie spamuja na maila takimi informacjami bo ludzie zaczynają panikować i różnie się zachowują – albo klikają w te linki (a to właśnie bardzo zły przykład na uczenie złych nawyków ) albo przenoszą swoje środki gdzie indziej. Banki celowo unikają tego. Czemu mBank coś tam wysłał i czemu tylko on… niedość, że mail wygląda jak phishing to jeszcze nic z niego nie wynika ” jakis tam wirus sie pojawił “. Dla mnie brak jakiejkolwiek informacji jest lepszy niż ten spam co wysłali bo tylko ( w durny sposób ) zachęcają do klikania w dziwne linki… Ktoś albo nie pomyślał albo sprawdzają czy ludzie to straszni idioci czy nie… i kalkulują % ryzyka…

  12. Ja nie dostałem a moja mama tak. Sprawdzałem w spamie. Dziwne. Może wiedzą że mam dobrze zabezpieczony pc? :P

    • Hehe, albo Oni wiedzą, taki wielki brat bankowy…
      Albo ten trojan usunął tą wiadomość… ;P

  13. Dostałem, rzuciłem okiem i skasowałem, bez klikania w linki. Nawet nie sprawdzałem nadawcy, bo nie ufam takiej korespondencji.

    • Same here

  14. Sprawdziłem nagłówki i trochę się zdziwiłem, że mail wyszedł z Onetu.

  15. @Piotrze chyba wystarczy, że email jest podpisany cyfrowo, czy to za mało?

    • Zapytaj Mamy/Babci/Kolegów z pracy, jak (czy w ogóle) sprawdzają podpis cyfrowy… :-)

    • @GrabbaMan rzucasz kilka linków i już jesteś cool? Jakoś nie widzę ich związku z tym z tym co napisałem. Jeżeli masz inne zdanie to rozwiń bardziej swoją myśl.

      Oczywiście, że żaden obecnie system nie gwarantuje 100% bezpieczeństwa, jednak jeżeli widzę wiadomość podpisaną cyfrowo i po zapoznaniu się z treścią widzę, że raczej nie mam do czynienia z próbą wyłudzenia to raczej mam zaufanie do tej wiadomości.

      Co do linku w wiadomości, kieruje on do: http://banery.mbank.eu/kreacja/59138,,39258.html

      Po jego kliknięciu jesteśmy przekierowani do:
      http://www.mbank.pl/informacja/#cats=p/1////bezpieczenstwo/zagrozenie-dla-twojego-komputera.html

      Gdy wejdziemy na stronę główną mBanku —> Pomoc i Informacje/Bezpieczeństwo to widzimy ten artykuł tam.

      @Piotrze oczywiście typowy Kowalski nie ma o tym pojęcia o podpisach i ich nie sprawdza. Nie powinien też w wiadomości umieszczać odnośnika w żadnej formie.

      Lepszym rozwiązaniem będzie wskazanie w którym miejscu na stronie jest ta informacja dostępna, np.
      Proszę wejść na naszą stronę, w górnym menu wybrać Pomoc i Informacje – zakładka bezpieczeństwo i wybrać artykuł o tytule – “Program mogący zagrażać Twojemu komputerowi”

    • @sandy

      Zjedz sznikersa bo zaczynasz gwiazdorzyć. Ja nie uważam się ani za eksperta, ani jak to napsałes ” cool “. Zwykły szary przezorny realista. Ale fajnie jest zobaczyć / posłuchać jak gdzies pojawi się EkSZpert Twojego pokroju chcący udowodnić za wszelka cenę coś dodatkowo dyskredytując i naśmiewając się w dość prostacki sposób… Domniemam, że to napewno już jest “cool ” . Jeśli nie zrozumiałeś o czym pisze / co wklejam to mi przykro z tego powodu. Miałem na mysli rsa które jest uzywane min przy logowaniu do stron bankowych – zwykły użytkownik wtedy otrzymuje przekaz / obraz, że połaczenie jest bezpieczne i szyfrowane. Miałem też na myśli e-maile które korzystają z tych samych tokenów – zarówno u mnie w pracy jak i w wielu instytucjach rządowych. Chodziło mi o to jak łatwe do rozwalenia i PODROBIENIA dzis są i że to złudne bezpieczeństwo jak wszystko co cyfrowe… To moim zdaniem wystarczająca odpowiedź na wcześniejsze pytanie cyt ” @Piotrze chyba wystarczy, że email jest podpisany cyfrowo, czy to za mało? “

    • @GrabbaMan widzę, że lubisz kozaczyć w komentarzach, w normalny sposób nie potrafisz odpisać?
      Po drugie czy gdzieś pisałem, że jestem ekspertem? Wyraziłem swoją opinię na dany temat.
      Twoje wklejone linki w żaden sposób nie odnoszą się do podpisywania/szyfrowania wiadomości email.

      Co ma do tego pierwszy link, który odnosi do błędu w tokenach? Co to ma do podpisania cyfrowo wiadomości email?

      Drugi odnosi się do ataków na algorytm RSA – przedstawia problem tego algorytmu – naukowcom udaje się wyciągnąć klucz prywatny. Oczywiście na końcu jest podana informacja w jaki sposób można zablokować tą podatność – sam artykuł jest z 2010 roku więc najprawdopodobniej nie jest on już aktualny.

      Ostatni link opisuje złamanie protokołu TLS1, obecnie mbank serwuje nam wersję 1.2:
      The hostname in the certificate matches ‘www.mbank.com.pl’.
      – Peer’s certificate issuer is unknown
      – Peer’s certificate is NOT trusted
      – Version: TLS1.2
      – Key Exchange: RSA
      – Cipher: 3DES-CBC
      – MAC: SHA1
      – Compression: NULL
      – Handshake was completed

      Nawet jeżeli by używali TLS1 to jaki to ma związek z podpisywaniem cyfrowym emaili?

      Moim skromnym zdaniem podpisanie wiadomości cyfrowo przez bank gwarantuje w 99% jej autentyczność. Oczywiście może ktoś zrobić

    • Nacisnąłem dodaj zanim dokończyłem pisać ;)

      Więc, podsumowując. Użycie podpisu cyfrowego jest MOIM ZDANIEM w 99% potwierdzeniem autentyczności listu.

      Nie twierdzę też, że obecne algorytmy są w 100% bezpieczne – bo nie są. Ale na obecną chwilę można im ufać o ile ktoś nie popełnił błędu w implementacji.

      Jeżeli chodzi o kwestię informowania przez bank to jednak Piotr ma trochę racji, nawet mimo podpisania wiadomości nie powinni umieszczać odnośnika. Lepiej już opisać w dwóch linijkach gdzie na ich stronach tej informacji szukać – nie uczymy złych nawyków – klikanie w linki w wiadomościach.

      uff

  16. Jak komuś zależy na bezpieczeństwie w kwestii klikanych w mailach linków to i tak ma domyślnie podgląd TXT, a w wersji TXT tego maila normalnie widać domenę, na którą się przejdzie. Inna rzecz, że jest to domena mbank.eu, a od kiedy pamiętam logowanie było na com.pl / pl, więc…

  17. Do też nic nie przyszło. To na pewno mBank rozsyła?

  18. przyznać trzeba że na podany w mailu link zerknęłam dopiero po przeczytaniu tego artykułu (swoją drogą adres po najechaniu kursorem “banery.mbank.eu/kreacje/cośtam,,cośtam.html” nie wygląda na godny zaufania, to na co przekierowuje po kliknięciu i to że tytuł strony nijak się ma do zawartości również…).
    na stronie link do CERTu, ale strony głównej a nie konkretnego przypadku tego przed czym ostrzegają.
    tak jak już ktoś wspomniał, w polu Do: jest imię.

    a reakcja? wrodzona nieufność podpowiada, że skoro wysyłają maile to już musi być bardzo źle.

  19. Właśnie dostałam takiego maila i jakoś nie uwierzyłam, że to z mBanku, bo w polu od jest po prostu “kontakt”, a po otwarciu maila widzę kontakt@mbank.pl przez mbank.onet.pl – i ten onet mnie jakoś nie przekonał. Maila przeczytałam, ale bez przekonania.

  20. Nie dostałem na maila, pokazało się po zalogowaniu do banku przez www i odesłało do obszerniejszego opisu na ich stronie. Przeczytałem z zainteresowaniem, ale sam problem mnie nie dotknął.

  21. Wszystko co o tym mailu wiem to to co zostało napisane w tym artykule, ale być może mBank zrobił tak specjalnie żeby sprawdzić ilu ludzi nabrałoby się na tego typu mail ;)

  22. Nie dostałem maila, tylko wiadomość na koncie. Jeżeli jest to plugin do FF to może nie dostałem dlatego, że używam Chrome, albo dlatego że mam 25gr na koncie…

  23. Mnie takie wiadomości denerwują więc kliknąłem, że spam spam.
    Malwer to wirus o nazwie trojan, informują sami, bo to nie dzieci żeby z tego akcję na fb robić, a dlaczego teraz to pojęcia nie mam.

  24. Dostałam maila, wydał mi się wybitnie podejrzany :P

    • Dlaczego wydał Ci się wybitnie podejrzany? Która jego część wydała się na tyle “dziwna”, że pomyślałeś, że to nie jest wiadomość wysłana przez bank?

      Sprawdziłeś podpis, oraz nagłówki wiadomości?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: