Wyciek danych klientów mBanku i spółki należącej do PKO. Pracownicy utracili korespondencję
Wygląda na to, że powiązana z mBankiem spółka mFinanse S.A. została zhackowana. To samo spotykało również konkurencję, spółkę PKO Leasing S.A. – pisze Niebezpiecznik. Najciekawszy w tej sprawie jest jednak niecodzienne podejście, jakie zaprezentował napastnik.
W skrócie: Ktoś uzyskał dostęp do skrzynek mailowych pracowników wyżej wymienionych firm, zdobywając tym samym korespondencję z klientami, jak również same adresy klientów. Pierwszą ofiarą, a zarazem punktem wyjścia ataku stali się doradcy kredytowi, a nietrudno zauważyć, że ich wiadomości są prawdziwą kopalnią wrażliwych danych.
Klienci mBanku i PKO Leasing S.A otrzymali e-maile, w których przestępca podszywa się pod pracownika banku. Wiadomość zawiera cytaty z poprzednich rozmów, co usypia czujność. Niemniej tym, co rzeczywiście stanowi zagrożenie, są trzy załączniki w formacie DOC. Inicjują one skrypt PowerShella, pobierający bardzo niebezpieczny trojan Emotet. Malware ten potrafi przejmować całe sesje bankowe, włącznie z hasłami i autoryzacjami. Tak oto można stracić wszystkie oszczędności.
Niebezpiecznik słusznie zauważa, że cztery dni po pierwszych atakach z Emotetem radzi sobie większość antywirusów, a także wbudowane mechanizmy obronne Gmaila. Nie można jednak wykluczyć ofiar.
Banki oficjalnie nie przyznają się do przyjęcia ataku. Zgodnie deklarują, że infrastruktura nie została naruszona. PKO podkreśla, że PKO Leasing S.A. jest zupełnie oddzielną spółką. Póki co nie rozesłały też żadnych informacji o naruszeniu. Najprawdopodobniej winę ponoszą pracownicy, którzy utracili korespondencję na prywatnych komputerach. To pozwala narzucić wygodną retorykę, gdyż do złamania zabezpieczeń serwerów nie doszło.
To naprawdę przemyślany atak
Podsumujmy. Napastnik zastosował głośny ostatnimi czasy malware, ale do jego dystrybucji wykorzystał sztuczkę socjotechniczną, zwiększając prawdopodobieństwo powodzenia całej akcji. Patrząc z perspektywy napastnika, do ideału zabrakło tylko wysyłki wiadomości z uprzednio zhackowanych skrzynek. Ale w teorii taki scenariusz nie jest wykluczony i w każdej chwili może wejść w życie.
Jak się chronić? To dobre pytanie, gdyż w tym wypadku weryfikacja nadawcy nie wystarczy. Microsoft Office pyta o zgodę na wykonanie ewentualnych makr i chyba w tej funkcjonalności należy upatrywać głównej linii obrony. Żaden bank nie będzie wysyłać skryptów PowerShella. Abstrahując już od tego, że akurat wobec Emoteta warto wyposażyć się w program antywirusowy. No i użytkownicy Maców lub Linuksa mają tym razem spokój. Atak może dotknąć tylko systemu Windows.
