Klienci mBanku narażeni na kradzież pieniędzy. Atakujący nie muszą znać PESEL-u ofiary

Klienci mBanku narażeni na kradzież pieniędzy. Atakujący nie muszą znać PESEL-u ofiary14.08.2018 08:21
Najnowszy pomysł na kradzież pieniędzy z jednego z banków (depositphotos)

Wraca temat bezpieczeństwa związany z bankowością mobilną oferowaną przez mBank. Okazuje się, że skuteczne uszczuplenie konta ofiary to stosunkowo proste zadanie. Jak zauważa Niebezpiecznik, w praktyce wystarczy, że ofiara przez przypadek pobierze na smartfona z Androidem szkodliwe oprogramowanie, które zdobędzie jej login i hasło. Reszta jest już formalnością. Teoretyczne zabezpieczenie pod postacią autoryzacji przelewów SMS-em nie jest bowiem przeszkodą, a dzięki nowej metodzie problemu nie stanowi również brak znajomości dodatkowych danych.

Na podobny rodzaj ataku zwracano uwagę już wcześniej. Wówczas zakładano jednak, że prócz loginu i hasła oraz duplikatu karty SIM (który łatwo wyrobić mając dostęp do danych klienta w panelu banku po zalogowaniu), atakujący przymierzający się do kradzieży dysponuje także PESEL-em i nazwiskiem panieńskim ofiary. To dane, które są niezbędne, aby skutecznie zainstalować na smartfonie aplikację mBanku, a potem móc z niej korzystać, by przelać środki na swoje konto.

Zlecenie przelewu w mobilnej wersji witryny mBanku, źródło: Niebezpiecznik.
Zlecenie przelewu w mobilnej wersji witryny mBanku, źródło: Niebezpiecznik.

Jak zwrócono uwagę, istnieje jednak jeszcze łatwiejszy sposób. Znajomość PESEL-u i nazwiska nie jest konieczna, jeśli atakujący zdecyduje się skorzystać z mobilnej wersji bankowości w przeglądarce, a nie proponowanej na etapie logowania aplikacji. Wówczas dodatkowa autoryzacja wspomnianymi danymi nie jest wymagana i przestępca znający jedynie login i hasło ofiary może przystąpić do kradzieży.

Tutaj rozmach nie będzie jednak tak duży, jak przy przytaczanym wyżej ataku za pośrednictwem mobilnej aplikacji. W tamtym przypadku dziennie możliwe jest wykonanie przelewów na łączną kwotę nawet miliona złotych, zaś w mobilnej wersji serwisu w przeglądarce ograniczenie jest dużo niższe i wynosi 10 tysięcy. Do autoryzacji transakcji wystarczy kod z SMS-a, który atakujący przechwyci dzięki wyrobionemu duplikatowi karty SIM ofiary.

Co ciekawe, jeden z klientów banku, który zwrócił uwagę na to niedopracowanie i zgłosił problem jako usterkę, otrzymał od mBanku odpowiedź, że to nie błąd, ale zamierzone działanie. Okazuje się więc, że bank jest świadomy niższego poziomu bezpieczeństwa takiego rozwiązania i prawdopodobnie z tego powodu oferuje wyraźnie niższy limit dziennych transakcji realizowanych w ten sposób. Skoro jest to jednak celowe, aktualnie niewiele wskazuje na to, by ta funkcjonalność miała zostać przez bank dodatkowo dopracowana. Warto również przypomnieć, że niezbędna do tego ataku kradzież danych logowania wcale nie należy do rzadkości. Niedawno opisywaliśmy szkodliwą aplikację podszywającą się pod tę oficjalną, która skutecznie dezorientowała klientów mBanku.

Na łamach Niebezpiecznika pojawiło się również oświadczenie mBanku w odpowiedzi na zadane przez serwis pytania:

Gdy wdrażaliśmy mobilną autoryzację założyliśmy, że będziemy ją systematycznie rozwijać, ale rozpoczniemy od obszarów o największym ryzyku, czyli takich, w których klienci zlecają najwyższe przelewy – pełnej wersji serwisu transakcyjnego. W lekkiej wersji (tzw. serwis „lajt”) wiele typów operacji nie jest w ogóle dostępnych. Dlatego potencjalne ryzyko nadużyć w tym kanale jest niższe. Funkcjonuje tu również dzienny, sumaryczny limit wartości transakcji. Wynosi on 10 tys. zł. System automatycznie odrzuci zatem transakcje przekraczające go i skieruje klienta do pełnej wersji serwisu. A tu będzie już działać mobilna autoryzacja. Ponadto, systemy bezpieczeństwa mBanku monitorują i w razie podejrzeń zareagują na „podejrzane” transakcje autoryzowane SMS-ami przez klientów, którzy mają aktywną mobilną autoryzację. Co najważniejsze, dostęp do serwisu lajt można również wyłączyć dzwoniąc na mLinię. Warto też zaznaczyć, że na stronach informacyjnych zamieściliśmy informacje na temat autoryzacji mobilnej a także tego, że nie dotyczy ona lekkiej wersji serwisu.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na