Nowy atak na klientów mBanku – na szczęście bardzo nieudany


Nowy atak na klientów mBanku – na szczęście bardzo nieudany

Otrzymaliśmy zgłoszenie o ataku, w którym przestępca podszywa się pod mBank i próbuje infekować komputery internautów. Na szczęście przestępca też człowiek i też zdarza mu się popełniać błędy, dzięki którym mogliśmy skutki ataku zlikwidować.

Wszystkie ataki, o których nas informujecie, staramy się analizować by ustalić, jaki jest cel działania przestępcy. Czasem jednak okazuje się, że nie jesteśmy w stanie tego celu w 100% ustalić – ponieważ przestępca popełnia błędy uniemożliwiające prześledzenie jego intencji. Tak też było w tym przypadku, jednak tu dodatkowo złoczyńca niechcący umożliwił nam poinformowanie jego potencjalnych ofiar o zagrożeniu.

Zlecenie przelewu, którego nie było

Wiadomość rozsyłana przez przestępców wygląda następująco:

Drogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.
Tytułem : NR 2204982/18 – Przelew Krajowy.
Kwota : 2629,99 zł
Typ : Z potwierdzeniem email na odbiorcę.
W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą „RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Wygenerowane potwierdzenie dostępne w załączeniu (.pdf)
Więcej informacji na temat szczegółów przelewu uzyskasz w swoim „Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat „Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie www.mbank.pl.
Pozdrawiamy
Zespół Mbank.

W załączniku do emaila faktycznie znajduje się plik PDF:

W jego treści znajduje się link umożliwiający pobranie rzekomej aktualizacji Acrobat Readera, prowadzący (w zamyśle autora) do instalatora złośliwego oprogramowania. Link z dokumentu to

Gdy otrzymaliśmy próbkę złośliwej wiadomości, link nie działał. Okazało się jednak, że serwis, w którym się znajduje, umożliwia rejestrację darmowych aliasów, zatem skorzystaliśmy z tej okazji i obecnie link prowadzi (albo za chwilę zacznie, jak już się rozpropaguje domena, przez którą przekierowaliśmy ruch) do tego właśnie artykułu. Sprawdziliśmy także różne literówki, które mógł popełnić autor ataku, ale nie udało nam się trafić na „prawidłowy” link. Ubolewamy. Cieszymy się jednak, ze chociaż w tej jednej kampanii nie będzie wcale ofiar.



Source link

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *