Klienci mBanku narażeni na kradzież pieniędzy. Atakujący nie muszą znać PESEL-u ofiary
Wraca temat bezpieczeństwa związany z bankowością mobilną oferowaną przez mBank. Okazuje się, że skuteczne uszczuplenie konta ofiary to stosunkowo proste zadanie. Jak zauważa Niebezpiecznik, w praktyce wystarczy, że ofiara przez przypadek pobierze na smartfona z Androidem szkodliwe oprogramowanie, które zdobędzie jej login i hasło. Reszta jest już formalnością. Teoretyczne zabezpieczenie pod postacią autoryzacji przelewów SMS-em nie jest bowiem przeszkodą, a dzięki nowej metodzie problemu nie stanowi również brak znajomości dodatkowych danych.
Na podobny rodzaj ataku zwracano uwagę już wcześniej. Wówczas zakładano jednak, że prócz loginu i hasła oraz duplikatu karty SIM (który łatwo wyrobić mając dostęp do danych klienta w panelu banku po zalogowaniu), atakujący przymierzający się do kradzieży dysponuje także PESEL-em i nazwiskiem panieńskim ofiary. To dane, które są niezbędne, aby skutecznie zainstalować na smartfonie aplikację mBanku, a potem móc z niej korzystać, by przelać środki na swoje konto.
Jak zwrócono uwagę, istnieje jednak jeszcze łatwiejszy sposób. Znajomość PESEL-u i nazwiska nie jest konieczna, jeśli atakujący zdecyduje się skorzystać z mobilnej wersji bankowości w przeglądarce, a nie proponowanej na etapie logowania aplikacji. Wówczas dodatkowa autoryzacja wspomnianymi danymi nie jest wymagana i przestępca znający jedynie login i hasło ofiary może przystąpić do kradzieży.
Tutaj rozmach nie będzie jednak tak duży, jak przy przytaczanym wyżej ataku za pośrednictwem mobilnej aplikacji. W tamtym przypadku dziennie możliwe jest wykonanie przelewów na łączną kwotę nawet miliona złotych, zaś w mobilnej wersji serwisu w przeglądarce ograniczenie jest dużo niższe i wynosi 10 tysięcy. Do autoryzacji transakcji wystarczy kod z SMS-a, który atakujący przechwyci dzięki wyrobionemu duplikatowi karty SIM ofiary.
Co ciekawe, jeden z klientów banku, który zwrócił uwagę na to niedopracowanie i zgłosił problem jako usterkę, otrzymał od mBanku odpowiedź, że to nie błąd, ale zamierzone działanie. Okazuje się więc, że bank jest świadomy niższego poziomu bezpieczeństwa takiego rozwiązania i prawdopodobnie z tego powodu oferuje wyraźnie niższy limit dziennych transakcji realizowanych w ten sposób. Skoro jest to jednak celowe, aktualnie niewiele wskazuje na to, by ta funkcjonalność miała zostać przez bank dodatkowo dopracowana. Warto również przypomnieć, że niezbędna do tego ataku kradzież danych logowania wcale nie należy do rzadkości. Niedawno opisywaliśmy szkodliwą aplikację podszywającą się pod tę oficjalną, która skutecznie dezorientowała klientów mBanku.
Na łamach Niebezpiecznika pojawiło się również oświadczenie mBanku w odpowiedzi na zadane przez serwis pytania:
Gdy wdrażaliśmy mobilną autoryzację założyliśmy, że będziemy ją systematycznie rozwijać, ale rozpoczniemy od obszarów o największym ryzyku, czyli takich, w których klienci zlecają najwyższe przelewy – pełnej wersji serwisu transakcyjnego. W lekkiej wersji (tzw. serwis „lajt”) wiele typów operacji nie jest w ogóle dostępnych. Dlatego potencjalne ryzyko nadużyć w tym kanale jest niższe. Funkcjonuje tu również dzienny, sumaryczny limit wartości transakcji. Wynosi on 10 tys. zł. System automatycznie odrzuci zatem transakcje przekraczające go i skieruje klienta do pełnej wersji serwisu. A tu będzie już działać mobilna autoryzacja. Ponadto, systemy bezpieczeństwa mBanku monitorują i w razie podejrzeń zareagują na „podejrzane” transakcje autoryzowane SMS-ami przez klientów, którzy mają aktywną mobilną autoryzację. Co najważniejsze, dostęp do serwisu lajt można również wyłączyć dzwoniąc na mLinię. Warto też zaznaczyć, że na stronach informacyjnych zamieściliśmy informacje na temat autoryzacji mobilnej a także tego, że nie dotyczy ona lekkiej wersji serwisu.
