19:29
29/2/2016

Właśnie trwa kampania phishingowa mająca na celu wyłudzić dane logowania do konta i dane karty płatniczej. Poniżej treść wiadomości i linki do wykorzystywanych obecnie przez oszustów domen.

Na skutek dużej popularności tego (mimo wszytko mało innowacyjnego) artykułu i niesłabnących e-maili od czytelników w tej sprawie, przenieśliśmy ten wpis z linkbloga ptr* (znajdującego się w prawym sidebarze) na główną stronę Niebezpiecznika — aby każdy go widział (i już więcej do nas w tej sprawie nie pisał :P).

941c4f46-6f38-47c9-8d8d-0ecde08fa83d

Dostęp do serwisu transakcyjnego mBank został tymczasowo zablokowany!

W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie mBank, powodem jest nieautoryzowany dostęp do konta.
W celu uzyskania informacji oraz odblokowania dostępu prosimy o weryfikację właściciela rachunku, logując się na:

www.online.mbank.pl

Serdecznie pozdrawiamy,
Zespół mBank
W przypadku jakichkolwiek pytań prosimy o kontakt z mLinia 801 300 300

Ten e-mail został wygenerowany automatycznie. Prosimy na niego nie odpowiadać. mBank S.A. z siedzibą w Warszawie, ul. Senatorska 18, 00-950 Warszawa, Oddział Bankowości Mobilnej w Łodzi, zarejestrowany przez Sąd Rejonowy dla m. st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000025237, posiadający numer identyfikacji podatkowej NIP: 526-021-50-88, o wpłaconym w całości kapitale zakładowym, którego wysokość według stanu na dzień 01.01.2016 r. wynosi 168.955.696 zł (w całości wpłacony).

Akcja, choć łatwa do wykrycia jako oszustwo (brak https:// i odbiegająca od prawdziwej domena oraz nadesłanie e-maila z losowego adresu e-mail) jest “grubsza”. Kampania korzysta z kilku domen: (jeszcze nie są wykrywane prze przeglądarki jako phishing):

hxxp://mautoryzacja.pw/?email=
hxxp://m-autoryzacja.com/?email=
hxxp://mbank-autoryzacja.pw/?email=
hxxp://mweryfikacja.com/?email=

…i wielu tematów:
Autoryzacja konta mBank
Weryfikacja w systemie mBank
Blokada systemu mBank
Weryfikacja konta mBank
Blokada rachunku mBank
Ważna wiadomość mBank

A tak wygląda przebieg ataku:

unnamed-1

mBank_serwis_transakcyjny2


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

71 komentarzy

Dodaj komentarz
  1. Mi przysłali też maila z przekierowaniem na adres http://mbank-autoryzacja.pw/?email=

  2. Strony już nie istnieją. .pw zwraca 404, .com błąd DNS.

    Czyjaś szybka reakcja?

    • Istnieją, musisz podać parametr email.

  3. nawet się nie postarali o kłudeczkę haha

    • Za to ty możesz się postarać o słownik.

    • #rekt

  4. Do tematów warto dołożyć:
    Blokada systemu mBank
    Weryfikacja konta mBank

  5. To jeszcze doszedł temat ,,Wazna wiadomosc mBank” ;)

  6. Ja dostałem z tematem: “Blokada rachunku mBank”

  7. Chyba są wariacje na temat tematu tych wiadomości. Dostałem temat “Wazna wiadomosc mBank” linkujący do http://mweryfikacja.com/?email= i drugi temat “Blokada konta mBank” linkujący do http://mautoryzacja.pw/?email= Adresy email nigdy nie były użyte w mBanku.

  8. I jeszcze straszaka wsadzili na koniec!

  9. Właśnie miałem Wam to zgłosić, ale już jest informacja :)

  10. “Nowa wiadomosc mBank”
    http://online-mbank.ru/?email=

  11. Oszustwo tym łatwiejsze do wykrycia że nie działa żaden z linków na oszukanej stronie :)

  12. Ciekawe ile osób da się nabrać i odruchowo wypełni przynajmniej login i hasło do portalu zanim skapnie się że coś jest nie tak.

  13. Jeszcze nie przyjrzałem się dokładnie, ale w kodzie widać, że atakujący chce nawiązać połączenie przez socket z domeną creativedns.ru portem 8002

  14. Dostałem dwie takie wiadomości, pierwsza przeszła, druga trafiła już z automatu do spamu… Wujek Google szybko reaguje ;)

  15. Ciekawe jest to, że jako transport danych wykorzystali websockety zamiast słać ajaxem. Stoi za takim wyborem coś konkretnego?

  16. Konkurs! Bierzemy dowolny generator numerów kart kredytowych i wypełniamy formularz. Kto wypełni go najwięcej razy wygrywa chłodny uśmiech prezesa.

  17. Jeszcze korzystają z domeny hxxp://online-mbank.ru/

  18. Informujemy, że wiadomość nie pochodzi od mBanku. W przypadku otrzymania e-maila prosimy o jego zignorowanie i przeskanowanie komputera programem antywirusowym. O tej sprawie ostrzegamy naszych Klientów również na naszej stronie: https://www.mbank.pl/informacje-dla-klienta/indywidualny/post,6866,ostrzezenie-przed-falszywymi-mailami-wyludzajacymi-dane.html

    Pozdrawiamy,
    Zespół mBanku.

    Zespół mBanku, zapraszamy do dyskusji lub kontaktu bezpośredniego. Chętnie odpowiemy na pytania dotyczące naszej oferty.

    • Serio? Kapitan Obious pracuje u Was w PR? :)

  19. Najlepiej wydanie pieniądze w życiu :D

  20. Serwer mweryfikacja stoi na Fudzi, utworzony wczoraj więc akcja przygotowana na konkretny dzień:
    http://whois.testerzy.pl/index.php?domain=mweryfikacja.com

  21. coś dziwnie mają, przy podawaniu numerów kart (wygenerowanych oczywiście np za pomocą http://www.getcreditcardnumbers.com/generated-credit-card-numbers + jakieś losowe daty) nic się nigdzie nie wysyła choćby takim AJAXEM, czyżby faktycznie po stronie frontu sprawdzali czy dane kart są prawidłowe?

  22. Też dostałem takiego maila tyle, że nie jestem klientem mBanku ani żadnego innego banku na terenie RP. Za to mam konto pocztowe na go2 gdzie dostaję około 100 maili/spamu dziennie. Tylko promil z nich wygląda przekonująco jak to coś z “mBanku”. W sumie nawet chciałem wam podesłać info, ale stwierdziłem, że nie jestem jedynym zapewne i ktoś inny to zrobi. PS Czy pokusiłby się ktoś, aby sprawdzić dlaczego tylko go2 posiada tyle spamu w swoich skrzynkach? I dziwnym jest to, że ten spam jest w pewien sposób powiązany z otrzymywanymi mailami… Tymi prawdziwymi. W senie tematycznie.

  23. Wiadomość napisana w tej sprawie do mbanku z prosba o komunikat na ich profilu (bo po co on im, do sweet kotkow?) odbil sie od pseudokorpobelkotu. Dobrze ze jest niebezpiecznik.pl :-)

  24. http://www.online.mbank.pl
    doszła kolejna domena

  25. Ciekawi mnie na jakie strony wy wchodzicie, że ja nigdy nie dostaję takich wiadomości://

  26. spoko to tylko my ! działamy pod klienta

  27. Witam.
    Również dostałem takiego maila, jak tylko zobaczyłem ten śmieszny nagłówek nie zawierający “ż, ś, ć ” domyśliłem się co jest grane.
    Nadawca: (mBank) erahomes@loveold.com
    Odnośnik: http://mautoryzacja.pw/?email=

  28. A nie da sie napisac automatu co w godzine nawalilby im 10 terabajtow falszywych loginow? Zapchac serwer zlodziejom a potem niech odsiewaja ziarna od plew. Takie zwas cwaniaki to napiszcie skrypta

  29. No dobra, ale skąd znają adresy email klientów mbanku?

  30. Britney? :)

  31. oszuści rejestrują te domeny w Chinach w firmie: bizcn.com/
    Policja mogłaby przecież międzynarodowo poprosić o źródłowe adresy IP z których te domeny były zakładane i są hostingowane, następnie namierzyć złodziei.. ale to wymaga inicjatywy prawda? To powinna być jedna z podstawowych ról aparatu państwowego, chronienie swoich obywateli przed takimi przekrętami !!!

    • Ale po co?
      Wezmą Cię zinfiltrują i zobaczą, że masz 3 nielegalne mp3 i wsadzą na 2 lata do paki. Tak jest łatwiej, taniej. Ty piracie jeden ty ;-)

    • @Marcin Co to są nielegalne mp3? Mógłbyś podać kilka przykładowych?

    • @Therminus A wiesz, że nie wiem? Mam wszystkie legalne :P

  32. lipa, mogli bardzie się przyłożyć do ostylowania formularza :D

  33. A u mnie w firmie przyszły 4 różne na postmaster xD. Jakim głąbem trzeba być żeby wysyłać spam na postmaster

  34. mBank nie jest tutaj przypadkiem. Pomijając akcję promocyjną dot. bezpieczeństwa, mBank ma duże problemy z wiarygodnością wśród swoich klientów.

    1. Mailing jest rozsyłany z domeny nie zarejestrowanej przez mBank, tylko firmy newsletterowej. bodajże “@mail-mbank.pl”

    2. Kilkukrotnie dzwoniła do mnie przemiła Pani oferując rozmaite usługi bankowe. Chcąc z nich skorzystać zostałem poproszony o autoryzację moich danych (sic!). Przypomnę, że to oni do mnie dzwonili i prosili o moje dane w postaci danych logowania do mLini. Kiedy odpowiedziałem, że nie ma takiej opcji i ja zadzwonię na mLinię, żeby kontynuować rozmowę, usłyszałem, że to niemożliwe i mogę wziąć ofertę tylko za pomocą telefonu od nich. Po zgłoszeniu problemu do działu bezpieki, otrzymałem odpowiedź w stylu: “nie ma w tym nic podejrzanego, ponieważ Konsultantka podała swoje dane i powiedziała, że dzwoni z mbanku” – Śmiech na sali!

    Przez tego typu zabiegi mBank przygotowuje swoich klientów, do komunikacji różnymi niezweryfikowanymi kanałami, co ułatwia wyłudzenia jak powyższe.

  35. Ajaxów nie ma bo wysyłają socketami: ws://creativedns.ru:8002

    Gdyby się komuś nudziło to w konsoli: $conn.send(Aes.Ctr.encrypt(JSON.stringify({ query: “to_server”, type: “login”, data: { login: 555, password: 999 }}), ‘fuckyou’, 256));

  36. Podobne maile dostawałem z PKO iPKO itp itd. Co dziwne, nie mam u nich konta ;-)
    Metoda dokładnie ta sama.

  37. I ciag dalszy-czyżby jakaś zorganizowana akcja? Ktoś chyba próbuje zasiac panikę: http://dyskusja.biz/biznes/nowoczesny-napad-na-bank-53306

  38. wyjaśnijcie mi jedną rzecz, wklejam w adres przeglądarki:
    online.mbank.pl – i wchodze na strone m-bank a jak wkleję http://www.online.mbank.pl to już nie, zawsze mi się zdawało że wszystko co jest przed …mbank.pl należy do mbank

    • No właśnie jak to jest możliwe?

    • A skąd wnioskujesz, że ten adres nie należy do mb? błąd “NET::ERR_CERT_COMMON_NAME_INVALID” oznacza, że adres strony nie pasuje do domeny dla jakiej jest zainstalowany certyfikat ssl. Po prostu mają certyfikat dla “online.mbank.pl” a nie “www.online.mbank.pl”

  39. Jeśli ludziom trzeba tłumaczyć by nie podawali nigdzie i nikomu tych danych, to chyba nie dojrzeli jeszcze do posiadania konta w banku. -.-

  40. Mam 11 lat konto w m banku i jak zwykle okazuje się że najsłabsze ogniwo zabezpieczeń to człowiek. Bo przecież m bank ciągle mówi o jakie dane nie prosi. Taaa i pewnie pani z obsługi ma służbowego meila Britney coś tam @ ru. ;)

  41. Akcja jest szersza, przez co może powodować, że ludzie w pośpiechu nie będą uważać. W mediach krąży plotka o planwanej upadłości banku (co jest bzdurą). Pracuję w tej branży i moi klienci pytają czy coś jest na rzeczy. Całkiem nieźle przygotowany ten atak:

    http://dyskusja.biz/biznes/nowoczesny-napad-na-bank-53306

    • Kilka godz temu dzwoni do mnie znajomy:
      – “hey wiesz coś może o akcji z mBankiem? Bo ponoć ludzie masowo kasę zabierają i uciekają bo podobno ogłosili upadłość, wiesz coś o tym? Nie mam internetu i akurat nie mogę sprawdzić.”
      – taa, phishing z ruskich domen
      – aaa ok, dzięki za info

      :)

  42. Jak to możliwe że domena http://www.online.mbank.pl nie należy do mbanku???

  43. Czy jestem tak biedny, że nawet nie próbują mnie okraść? :f

  44. Dopóki nie zajrzałem do katalogu “spam”, to nawet nie wiedziałem, że mam konto w mBanku…

  45. Mi tez przyslali to gowno. A poniewaz zaden bank nie zna mojego emaila, totez spuscilem te falszywke na drzewo…

  46. “W sumie nawet chciałem wam podesłać info, ale stwierdziłem, że nie jestem jedynym zapewne i ktoś inny to zrobi. PS Czy pokusiłby się ktoś, aby sprawdzić dlaczego tylko go2 posiada tyle spamu w swoich skrzynkach?”

    Nie. Wygodniej być egoistą.

  47. Czyli co, złodzieje mają możliwość postawienia dowolnej strony w domenie mbank? Np http://www.xxx.mbank.pl??

  48. Ja mam takie pytanie od laika. Skąd ci oszuści mają adresy e-mailowe? Do mnie np nie trafiają takie maile “od banku”. To wynika że gdzieś taki e-mail wyciekł i została kupiona baza z tym adresem? Nieuczciwe firmy które same sprzedają byle komu swoje bazy? Ja kiedyś nieopatrznie udostępniłem swój mail na google groups i dostaje spam typu penis enlarge, ale to wszystko wyłapuje mail provider.
    Parafrazując słowa klasyka “chciałbym poznać historię tego maila”. Pozdrawiam.

  49. Prawdziwy link jest w

    To jest tylko Title.

  50. Po wpisaniu nawet ręcznie http://www.online.mbank.pl pojawiała się strona oszustów.

  51. Przekierowuje również na domenę: http://zaloguj-mbank.com/?email=

  52. U mnie (dzisiaj):

    mailto:454859553@andernachu.bleck.com

    http://mbankblokada.pw/?email=

  53. Ja nei wiem jak się w ogóle na to można nabrać. Nie trzeba siedzieć zbytnio w kwestiach bezpieczeństwa, wystarczy elementarne myślenie i rozsądek, jeden rzut oka na adres przychodzący wiadomości, gdzie nawet nie wysilili się by go podmienić i już wiadomo, że to kant. A druga sprawa, poziom bzdurności treści tych emaili jest tak porażający, że nawet ludzie niekoniecznie obeznani w świecie komputerów powinni wyłapać szwindel.

  54. Maile z mBanku to nie jedyne tego typu, trafiłem w mojej skrzynce na identyczne z iPKO (powiadomiłem PKO). Autor maili wysyła tyle, że może wpadnie na Twój bank i się zainteresujesz :-)).

  55. Jest tez proba z mbank-serwis.pw

  56. Witajcie, a nie można jakoś namierzyć takiego gnoja? U mnie oszukańcza strona to: http://mbankblokada.pw/?email= itd. Uwierzcie, że są użytkownicy którzy bezmyślnie klikną… To nie ja, np. dlatego że żadnego konta w mbanku nie miałem i nie mam. Ja podaję IP z którego to do mnie zostało przesłane, może gdzieś można to zgłosić? Żeby ukrócić takiego cwaniaczka?
    O to dane
    Received: from ip-89-161-31-24.tel.tkb.net.pl ([89.161.31.24])

  57. U mnie dziś po raz pierwszy.
    Return-Path:
    Received: from 91-230-114-23.auto.m2m.net.pl [91.230.114.23]
    ISP Centrum Edukacyjne OLIMP – Caffe MATRIX Cezary Taraszkiewicz (AS57055)
    Strona: http://mbankzaloguj.pw/?email=
    W tym tygodniu podpisałem wniosek na kartę kredytową….
    Przypadek?

  58. Witam.
    Dziś kolejny pseudo e-mail z “mbanku” informujący o zablokowanym dostępie do konta ! ! !
    odnośnik do strony logowania: http://mbankzaloguj.pw/?email=
    Nadawca: (mBank) m.stark@gzdy.com

  59. Do mnie dzisiaj też dotarło.

    Received: from static-95-174-34-150.is.net.pl [95.174.34.150]

    Strona: http://mbanklogowanie.com/?email=

  60. to wszystko, to tylko egzamin nowego hakera:)
    To, że ktoś się na to nabierze, to efekt uboczny:)

Odpowiadasz na komentarz Jakub

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: