9:16
10/2/2015

Od wczoraj na skrzynki klientów mBanku (na adresy e-mail, które podane zostały podczas rejestracji konta na oficjalnym forum mBanku) spływają fałszywe e-maile. Pod pretekstem rzekomej blokady konta, wyłudzają dane osobowe klientów. Poniżej przedstawiamy na czym polega atak i zastanawiamy się, skąd atakujący mieli faktyczne e-maile, wykorzystywane przez klientów tylko do rejestracji na oficjalnym forum mBanku. Czy ktoś wykradł bazę danych bankowego forum?

Na czym polegał atak?

Wczoraj jeden naszych czytelników poinformował nas, że otrzymał fałszywą wiadomość, podszywającą się pod mBank. Nie byłoby w tym niczego dziwnego, gdyby nie to, że czytelnik wskazał, iż wiadomość przyszła na jego unikatowy adres e-mail, który wykorzystywany był tylko do założenia konta na …oficjalnym forum mBanku. Kiedy od innych czytelników spływały do nas doniesienia o tym samym fałszywym e-mailu, pytaliśmy, czy otrzymali go oni na adres e-mail użyty do rejestracji na forum mBanku. Do tej pory, wszyscy czytelnicy potwierdzili, że adres e-mail, na który wysłany został fałszywy e-mail, był przez nich wykorzystywany na forum mBanku… Do sposobu pozyskania e-maili z bazy oficjalnego forum mBanku jeszcze wrócimy — najpierw jednak przyjrzyjmy się temu, na czym polegał atak i co miał na celu.

Oto treść e-maila (zrzuty dzięki uprzejmości czytelnika Jacka):

Treść fałszywego e-maila

Treść fałszywego e-maila

Nagłówki:

Return-Path: sklep291@s7.jupe.pl
Received: from s7a.jupe.pl (s7a.jupe.pl. [144.76.87.59])
by mx.google.com with ESMTPS id i4si23375358wjw.15.2015.02.09.05.15.55
for
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 09 Feb 2015 05:15:56 -0800 (PST)
Received-SPF: pass (google.com: domain of sklep291@s7.jupe.pl designates 144.76.87.59 as permitted sender) client-ip=144.76.87.59;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of sklep291@s7.jupe.pl designates 144.76.87.59 as permitted sender) smtp.mail=sklep291@s7.jupe.pl
Received: from sklep291 by s7.jupe.pl with local (Exim 4.80.1)
(envelope-from sklep291@s7.jupe.pl)
id 1YKoBw-0006cp-2k
for ; Mon, 09 Feb 2015 14:15:56 +0100
Subject: Wiadomość dotycząca bezpieczeństwa. Twoje konto mBank zostało tymczasowo zablokowane.
X-PHP-Originating-Script: 1520:wiadomosc.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-2
From: mBank kontakt@mbank.pl
Reply-To: mBank kontakt@mbank.pl
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Just My Server
Message-Id: X@s7.jupe.pl

A poniżej wygląd fałszywej strony mBanku, na jaką przekierowywał link zawarty w wiadomości:

Strona, na którą przekierowywał link w e-mailu

Strona, na którą przekierowywał link w e-mailu

Jak widać, docelowa domena na której hostowany był atak nie korzysta z Certyfikatu SSL, a i jej nazwa domenowa tylko w pierwszej części jest zbliżona do mBanku. Ale zapewne jak zawsze — znajdzie się grono osób, które “nie zauważy różnicy”.

Po podaniu loginu i hasła, atakujący wyłudzają kolejne dane dostępowe:

Wygląd strony fałszywego mBanku po podaniu jakichkolwiek danych logowania

Wygląd strony fałszywego mBanku po zalogowaniu się

Dane te zapewne miały posłużyć do “odzyskania” hasła przez infolinię. Włamywacz zbiera informacje, o które zapytać mogą konsultanci mLinii w celu weryfikacji, czy rozmawiają z prawdziwym “zapominalskim” klientem.

Skąd atakujący pozyskali e-maile klientów?

Wszystko wskazuje na to, że atak został rozesłany tylko do faktycznych klientów mBnku — i to na adresy, które jak część czytelników kontaktujących się z nami sugeruje, używane były tylko do rejestracji na oficjalnym forum mBanku. Jak phisherzy je pozyskali?

Oto możliwe hipotezy:

  • Błąd w skrypcie forum mBanku, który pozwala pozyskać adresy e-mail użytkowników
    (np. możliwe, że na skutek błędu programistycznego e-maile użytkowników można było pozyskać ze strony profilowej danego użytkownika, a żeby zdobyć wszystkie wystarczyło przeiterować się po ID profili — podobny błąd dotknął kilka lat temu użytkowników Allegro)
  • Włamanie do serwisu internetowego forum mBanku i pozyskanie bazy. W tej sytuacji atakujący odczytuje dane wprost z wykradzionej, np. na skutek SQL injection, bazy danych.
  • Wcześniejszy atak phishing na użytkowników forum. Jeśli phishing dostali wszyscy, hipotezę tę należy wykluczyć. Ale jeśli odbiorcą phishingu była wąska grupa użytkowników forum, to być może atakujący pozyskał ich adresy wcześniej, poprzez post na forum, który np. pod pretekstem promocji wymuszał podanie adresu e-mail lub zalogowanie się na podstawionej stronie forum.
  • Nieuczciwy pracownik. Adresy e-mail klientów często pozyskuje się przekupując pracowników danej firmy, którzy mogą mieć dostęp do tego typu danych. Nie musiał to być pracownik mBanku — równie dobrze mogła być to jedna z firm, która np. obsługuje bank pod kątem mailingów.
O weryfikacje powyższych hipotez zapytaliśmy rzecznika mBanku — czekamy na odpowiedź i zaktualizujemy wpis, kiedy ją otrzymamy. W międzyczasie polecamy lekturę wątku poświęconego tej sprawie na oficjalnym forum mBanku.

Na koniec podkreślmy, że nawet, jeśli sprawdzi się najczarniejszy scenariusz — czyli włamanie do serwisu internetowego forum mBanku i pozyskanie jego bazy danych — to system ten jest na pewno odizolowany od bankowości internetowej i wykradzione dane nie pozwolą włamywaczowi na dostęp do konta klienta. Aby zalogować się do mBanku, należy znać identyfikator klienta, którego w bazie forum raczej włamywacz nie znajdzie. I to kolejny argument za tym, że warto mieć nie tylko unikatowe hasło, ale i unikatowy login (adres e-mail).

PS. Jeśli otrzymaliście ten phishing, dajcie znać, na jaki adres e-mail (jeśli był unikatowy i możecie z całą pewnością stwierdzić, że korzystaliście z niego w jednym i tylko jednym miejscu).

Aktualizacja 9:51
Osoba, która założyła konto na forum mBanku 2 tyg. temu, nie otrzymała powyższej wiadomości. To może sugerować, że dane zostały zebrane wcześniej (lub e-mail z jakiegoś powodu nie dotarł).

Aktualizacja 10:30
Hipoteza numer 1 jest prawdziwa. Jak zauważa jeden z naszych czytelników, e-maile można pozyskać z profilu użytkownika. Były ujawniane w kodzie strony HTML …jawnym tekstem (ale z atrybutem hidden ;)

fot. OJezu

fot. OJezu

Aktualizacja 11:40
Poprawka została zaaplikowana — e-maili już nie widać.

Aktualizacja 16.02.2015, 9:34
Jeden z naszych czytelników, którego unikatowy adres e-mail używany na forum mBanku został zaspamowany, otrzymał od mBanku następujące wyjaśnienia:

Po analizie zidentyfikowaliśmy przyczynę sytuacji związanej z pozyskaniem części adresów mailowych służących do rejestracji na forum mBanku. Na skutek błędu programistycznego informacje te znajdowały się w kodzie strony forum, nie były jednak widoczne dla przeciętnego użytkownika
Zapewniamy, że powyższa baza użytkowników forum nie jest w żaden sposób powiązana z systemem bankowości elektronicznej, co oznacza, że bezpieczeństwo rachunków bankowych oraz danych identyfikacyjnych klientów nie zostało naruszone.
Serdecznie przepraszamy za zaistniałą sytuację i zapewniamy, że sytuacja ta została rozwiązana.
Przypominamy także, że bank na bieżąco informuje swoich klientów o wykrytych i grożących im niebezpieczeństwach na swoich stronach internetowych w zakładce bezpieczeństwo oraz w publikowanych aktualnościach. Dodatkowo, stale przypominamy klientom, że bank w żadnej informacji nie prosi ich o podanie danych autoryzacyjnych, numerów ID czy haseł do bankowości elektronicznej.
Klientów, którzy otrzymali wiadomość prosimy o zignorowanie zawartych w niej poleceń, przeskanowanie komputera, z którego następuje logowanie do serwisu transakcyjnego, pod kątem złośliwego oprogramowania zainstalowanego w systemie operacyjnym, a także zmianę haseł dostępu zarówno do mBanku, jak również innych Banków, portali społecznościach czy kont mailowych, w tym forum mBanku.

Z kronikarskiego obowiązku odnotujmy, że mBank podesłał i nam swoje oświadczenie (już w dniu incydentu), ale w przedmiotowej sprawie zawierało ono tylko informację, że “po stronie banku trwa analiza” oraz standardową formułkę o powszechności phishingu.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

79 komentarzy

Dodaj komentarz
  1. Szkoda, że nie dostałem tego maila – gdzieś jeszcze mam skrypty, które wypełniają takie formularze bzdurnymi, trudnymi do automatycznego odfiltrowania danymi niwecząc tym samym cały sens ich zbierania.

    • Na szczęście takich, którzy wpisują bzdury na takich stronach, jest wielu – widziałem kiedyś zrzut danych z takiego serwera, gdzie 95% danych to śmieci. Niestety jest pewien odsetek ludzi, którzy nie zwracają uwagi, że coś jest nie tak, i faktycznie wpisują swoje wszystkie dane :(.

    • Odfiltrują sobie wpisy z Twojego IP i nici z tej intrygi.

    • Obstawiam że atakujący są przygotowani na takie numery ;)

    • Nie wiem jak teraz,ale zakładają konto w mbank (2011~2012)musiałem podać konto mailowe. A bank co zrobił na nowy miesiąc ? przypier!!!!!lił na maila plik PDF z kompleksowy wyciągiem za poprzedni miesiąc ! Imie,nazwisko,adres, co i kiedy i za ile,czym placone! i podsumowanie, ile zostało,i ile wydane :/ dosłownie bank wszystko mi wysłał. Od tamtej pory w polu mail mam wpisane dość jednoznaczny przekaz :) :] nie podam bo © ®

  2. W nagłówku widać, że Message-ID jest nieprawidłowy. Nie jest niepowtarzalny bo część przed @ nie jest unikalna. Ale kto by sprawdzał takie coś pierwszy raz widzę.
    X-mailer też dziwny może po tym ciąć?

  3. w profilach użytkowników (forum mbanku), w źródle html strony jest pole typu hidden z adresem e-mail użytkownika

    • Hahahaha faktycznie!

    • I to wyjaśnia sprawę. Adresy email userów forum są publicznie dostępne.

    • O ja pierd***le rzeczywiście :O
      http://i.imgur.com/zCzzBvg.png

      Baza e-mail spamerów została zaktualizowana

    • ZOMG! Rzeczywiście! Epic fail. :D

    • Faktycznie:) Cóż.. nie trzeba się nawet włamywac

    • OMG faktycznie :D Czy można być większym debilem projektując tak aplikację?

      http://www.mbank.pl/forum/uzytkownik,25983,svistakk.html

    • Auć, aż takiej wtopy to się nie spodziewałem.

    • Mike: można. Brakuje jeszcze hidden pass :-)

    • Masakra … ciekawe co na to Mbank.
      Z każdym dniem jestem coraz bardziej przekonany że czas spier…. z tego banku.

    • I aby było jeszcze ciekawiej link do profilu jest numerem z iteracja 1. Nick w nazwie linku można zastąpic dowolnym textem. Jedna linijka w bashu i mamy skaner jadacy od 1.
      Chyba juz usneli maile z profili

    • A ponieważ zgodnie z wykładnią GIODO adres e-mail jest daną osobową, więc po zgłoszeniu incydentu do GIODO mbank ma poważne problemy…

    • Poprawili – pola już nie ma

    • @kostuch: a od kiedy adres e-mail (dowolny) jest daną osobową? Daną osobową jest taka dana, która jednoznacznie identyfikuje jakaś osobę – czy adres e-mail frajer@mbank.pl czy biuro@firma.com.pl identyfikuje taką osobę? NIE!

    • @Pablo_Wawa: Wypowiedź jednego z dyrektorów GIODO podczas szkolenia (pytanie z sali w sprawie newsletterów) odnośnie właśnie adresów e-mail: “Jeżeli choć jeden adres e-mail jest daną osobową, cały zbiór traktuje się jako zbiór danych osobowych.”
      Wystarczy JEDEN e-mail typu imie.nazwisko@gmail.com

    • @Pablo_Wawa: oczywiscie ze moze identyfikowac jednoznacznie, nie musi ale moze… np. anna.grodzka@sejm.gov.pl

    • @Pablo_Wawa Wysil się następnym razem i poszukaj (www . giodo . gov . pl/330/id_art/3529/j/pl/) oszczędzi Ci to wstydu po krytyce kogoś kto ma rację.

      “Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.”

    • Na co czekacie? Zgłaszać!

  4. żadne włamanie, żadne kradzieże, baza wprost podaje maile w źródle

    118 linia źródła profilu usera:

  5. Mam konto na forum mbanku od stycznia 2011 roku i do mnie żaden mail nie przyszedł.

  6. a ja nic nie dostałem, mimo że jestem klientem mBanku i mam tam konto na ichniejszym forum dyskusyjnym. Więc wychodzi na to, że nie wszystkich dane udało się pozyskać, a możliwe ze jest to tylko jakaś stara baza.

  7. I stanu konta ;)

  8. Hipoteza nr. 1 jednak nie jest prawdziwa. To nie jest błąd. To forum po prostu jest spartaczone.

  9. i już posprzątane, mbank usunął linię 118 :)
    view-source:http://www.mbank.pl/forum/uzytkownik,25983,svistakk.html

  10. Już załatali, ciekawe czy teraz podadzą komunikat czy zmiotą pod dywan z napisem “może się po kościach rozejdzie”..

  11. Może emaile dostali tylko najbardziej aktywni użytkownicy?

  12. Nawet mi nie żal tych co to wypełnią. Trzeba być niepełnosprawnym komputerowo, żeby się nabrać na coś takiego. Ja to nazywam naturalną selekcją…

    • @Waldek: Czy kiedy trzech dryblasow zgwalci Twoja kobiete tez nazwiesz to selekcja naturalna? przeciez nie dala rady sie obronic to sie jej nalezy… sorry ale nazwac Ciebie niepelnosprawnym to obraza dla tych ostatnich….

  13. Dobrze, że nie jestem zarejestrowany na ich forum :D

  14. Jezeli emale dostali najbardziej aktywni urzytkownicy to spory blad, bo tacy raczej nie dadza sie nabrac na proste numery..

  15. Jak rozwiazujecie sprawe indywidualnych adresow email dla kazdego portalu?
    Stosujecie jedno konto i na nim mnostwo aliasow?
    Jakie macie pomysly?

  16. I co – to niby się nie kwalifikuje na zakup książek w tematyce bezpieczeństwa dla bibliotek / szół? Dawać ich :)

    • +1

    • Na miejscu mbank to już bym grunt pod bibliotekę publiczną kupował.
      Wtopa jakich mało.

  17. A co radzicie tym, którzy się nabrali i wpisali prawdziwe dane?

    • zmienić telekod

    • i wszystkie inne kody do tego banku również

  18. A ja nie wierzę w takie “błędy”. Uważam, że ktoś celowo zostawił buga w kodzie.

  19. Stary serwis transakcyjny, nie wiem czy ktoś jeszcze nie ma go zablokowanego. Ja mam zablokowane od ponad roku.

    • I co to da?

  20. rażący błąd w ochronie danych osobowych.,nie obedzie sie to bez echa, pewnie juz odpowiednie konsorcjum bankowe jest w toku, polecam zglosic do GIODO, im wiecej zgloszen tym lepiej.

  21. @Soket

    Teraz najczęściej skrypty robią drop wszystkiego między + a @

    Ja polecam używanie specjalnych wzorów Krapkowice w Gmaila bo jak wiadomo “kropkowane” adresy są takie same foobar = foo.bar = f.o.o.b.ar =f.oobar :)

    • To znaczy, ze skrypty usuwaja ciagi znakow miedzy + i @ ale nie sa w stanie odfiltrowac kropek w Gmailowych adresach? Dziwne to troche…

      Pytam z ciekawosci-nie znam praktyki, a nie chce mi sie recznie sprawdzac.

  22. witam , wiem ze nie na temat , ale czy ktos z Was mial lub ma ostatnio problem z haslami sms od kilku dni nie przychodza mi owe hasla ani na przelewy przez konto internetowe , jak i mobilne , i bladego pojecia nie mam co za tym stoi , nr tel. nie zmieniony jak cos

  23. Ale jak to – [type=hidden] to nie głębokie ukrycie?!

  24. Pytanie: unikatowe hasła raczej mam, ale jak mieć unikatowy login zwłaszcza w formie email ?
    Skąd wziąć tyle adresów email ?

    • Własna domena z rekordem MX przekierowującym pocztę lub serwer z SMTP.

    • Jest dużo serwisów oferujących darmowe aliasy email, które przekierowują na Twój prawdziwy adres. Ja korzystam już od paru dobrych lat z takiego rozwiązania. Za jednym kliknięciem myszki generujesz nowy unikalny adres, idealne do rejestracji we wszelkiego rodzaju serwisach…

  25. To taka pewna forma “głębokiego ukrycia”. Widać to modne jest. ;-)
    Ciekawe czy mBank powinien teraz kupić książki informatyczne za np. 10 tys. zł dla bibliotek (i swoich programistów też)?

  26. A ja dostałem maila z iPKO.

    Twoje konto jest zablokowane

    Otrzymaliśmy wiele nieudanych prób logowania ze swojego konta online.
    Dla Twojego bezpieczeństwa, mamy zablokowane konta.

    Aby przywrócić dostępu on-line kliknij: Zaloguj się do iPKO i kontynuować proces weryfikacji.
    Prosimy nie odpowiadać bezpośrednio na tego automatycznie generowanych wiadomości e-mail.

    Z powazaniem,
    PKO Bank Polski

    Link do rzekomej strony banku. http://h2o.org.ua/idk3/

    • “PAMIĘTAJ!
      Logowanie do serwisu iPKO
      nie wymaga podania kodu z karty kodów jednorazowych.
      Bank również nigdy nie poprosi Cię o podanie jednocześnie kilku kodów z karty kodów lub danych karty płatniczej.”

      Mają taki komunikat na podstawionej stronie, a sami proszą o jednorazowe kody :-D i jeszcze stosują podstęp z pierwszą nieudaną autoryzacją :-) Oczywiście po drugiej próbie uzyskujemy “informację”:

      “Szanowny Kliencie,
      zainicjowałeś właśnie proces aktywacji aplikacji IKO. Jego dokończenie wiąże się z koniecznością dodatkowej weryfikacji telefonicznej. Wkrótce zadzwoni do Ciebie konsultant PKO Banku Polskiego w celu dokończenia procesu aktywacji.”

    • Również dostaliśmy.

      Treść – identyczna.
      Temat: “Twoje konto jest zablokowane”.
      From: iPKO [mailto:no-reply@ipkoo.com]

      Adres strony: http://secretsofgoldennumbers.com/private/index.htm

      Obrazki w mailu (logo iPKO) również są z tej domeny.

    • Seems legit.

    • strona:
      http://secretsofgoldennumbers.com/private/index.htm
      blokowana przez chrome i AV (Norton). Ciężko się dostać :)

  27. Pytania od laika do bezieczników:

    1. Jak mógł wyglądać skrypt zbirające takie dane?
    2. Jak (ogólnie) sprawdzać nagłówki maili? Wiem, że można się podszyć tak, że widać adres sfałszowany, który w rzeczywistości pochodzi z innego serwera. Jak ro wykryć?

    • 1. na przykład (pisane na kolanie): pastebin (.) com/GWJmRs13
      2. To co widać w kliencie pocztowym to jedno, to co widzi serwer który posredniczy w wysylaniu/odbieraniu maila to co innego.
      Wysyłając maila (przez SMTP) definiujesz zawartość pola MAIL FROM: test1@mail.pl, potem wpisujesz DATA: i w ramach DATA definiujesz Subject:, To:, From:, CC: itd. To co wpiszesz w ramach DATA jako From – to będzie widoczne w kliencie poczowym ktorego uzywa odbiorca. To co jest MAIL FROM to adres nadawcy który widzi serwer. Żeby poznac adres widniejacy w MAIL FROM trzeba zajrzec w źródło maila (jak kod źródłowy strony) i patrzeć w nagłówki. wiecej tu: en (.) wikipedia (.) org/wiki/Simple_Mail_Transfer_Protocol#SMTP_transport_example

  28. Poprawili skrypt. A google cache swoje będzie trzymać :). Brawo mbank. Z tego co pamiętam z konferencji na temat ochrony danych osobowych to kara w takim przypadku może sięgać do 5% obrotów firmy. W tym przypadku nie samego mBank, a CommerzBank (bo to chyba oni są właścicielem?)

  29. To dziwne, bo ja nie jestem klientem MBanku, a mail również otrzymałem. Jedyne, co mam wspólnego z tym bankiem to mail z takim właśnie spamem.

    Ciekawostką jest to, że bliźniaczo podobny mail trafił mi się z PKO (a dokładniej platformy IPKO), której również nie jestem użytkownikiem.

  30. Ciekawe ile osób się na to nacięło?

  31. Do grona MBanku dołączyło IPKO
    Twoje konto jest zablokowane

    Otrzymaliśmy wiele nieudanych prób logowania ze swojego konta online.
    Dla Twojego bezpieczeństwa, mamy zablokowane konta.

    Aby przywrócić dostępu on-line kliknij: Zaloguj się do iPKO i kontynuować proces weryfikacji.

    Prosimy nie odpowiadać bezpośrednio na tego automatycznie generowanych wiadomości e-mail.

    Z powazaniem,
    PKO Bank Polski

    © 2015 PKO Bank Polski

    a tak wygląda nagłówek:
    Received: from cbcflap (unresolved [10.174.34.254]:40981)
    by konto.pl (Ota) with LMTP id 953E23EE49F9A
    for ; Wed, 11 Feb 2015 09:39:29 +0100 (CET)
    Received: from mx.konto.pl (unresolved [10.174.34.83]:58528)
    by konto.pl (Ota) with LMTP id DBC60C45E6113
    for ; Wed, 11 Feb 2015 07:27:42 +0100 (CET)
    Received: from mail.szechenyi.at (mail.szechenyi.at [213.129.230.135])
    by konto.pl (Konto) with ESMTP id 3khrcZ50Rmz1l;
    Wed, 11 Feb 2015 07:27:42 +0100 (CET)
    Received: from localhost (localhost [127.0.0.1])
    by mail.szechenyi.at (Postfix) with ESMTP id DDC5D4EA5FB;
    Mon, 9 Feb 2015 10:03:00 +0100 (CET)
    Received: from mail.szechenyi.at ([127.0.0.1])
    by localhost (xserve.szechenyi.lan [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id xNKcqA3marak; Mon, 9 Feb 2015 10:03:00 +0100 (CET)
    Received: from ikob.pl (vm-12.pub1.tdccloud.dk [178.23.244.12])
    by mail.szechenyi.at (Postfix) with ESMTP id 3B92A4EA5F4;
    Mon, 9 Feb 2015 10:02:59 +0100 (CET)
    Reply-To: no-reply@ikob.pl
    From: “iPKO”
    Subject: Twoje konto jest zablokowane
    Date: 09 Feb 2015 09:59:12 +0100
    Message-ID:
    MIME-Version: 1.0
    Content-Type: text/html;
    charset=”iso-8859-1″
    Content-Transfer-Encoding: quoted-printable
    To: undisclosed-recipients:;

  32. Śmiesznie. Nawet nie wiedziałem, że mbank ma jakieś forum… I co niby ludzie tam robią? Oo

  33. Swoją drogą dziś z numeru tel mbankowego sms:
    http://i.imgur.com/pwDhRRI.jpg
    http://i.imgur.com/WQkXZkW.jpg

    Ktoś ma pomysł co to za kanał dostępu “ip” ?
    Są osobne kanały dostępu “Internet”, “urządzenie mobilne” itd więc “ip” to nie “internet”.

    • Zdaje się to aplikacja mobilna… wczoraj się aktualizowała, dziś nieaktywna. Może coś skopali.

  34. Ludzie :/. Powoli odechciewa się czytać. mbank.pl-login.tooken ? Po co tych ludzi ostrzegać? Niech wtopią swoje hasła i id usera, niech działa selekcja naturalna.

  35. W dniu dzisiejszym również otrzymałem maila, w którym ktoś podszywający się pod mbank prosi o zalogowanie się poprzez podany przez nich link (oczywiście wszystko hyperlink’owane, żeby przeciętny użytkownik się nie zorientował…)

    url to tej strony: http://autoryzacja-mbank.com/

    W przypadku zainteresowania mogę forward’nąć mail ku przestrodze.

    Pozdrawiam i przestrzegam przed cwaniakami phishingowymi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: