Jeszcze jeden sposób, żeby wyczyścić konto w mBanku

Wszystko ma związek z niedawno opisywaną metodą ataku, wymagającą podrobienia karty SIM. Na pierwszy rzut oka wyrobienie duplikatu karty SIM wydaje się sporą trudnością, ale według Niebezpiecznika nie jest to wielki problem dla przestępców. A otwiera sporo furtek.

Niebezpiecznik opisuje kolejny sposób ataku na użytkowników mBanku. Zakładając, że nasza karta SIM zostanie podrobiona, przestępca musi mieć też dostęp do loginu i hasła bankowego. Tyle że to również nie jest wielka przeszkoda - o czym świadczą liczne oszustwa z wykorzystaniem spamu. Wystarczy podrzucić ofierze fałszywą stronę, na której poda dane do logowania i gotowe, wszelkie niezbędne informacje zdobyte.

Na czym polega luka w zabezpieczeniach? Dysponując duplikatem karty SIM i danymi do logowaniami, złodziej wchodzi na stronę mBanku z telefonu komórkowego i wybiera wersję mobilną serwisu, czyli tzw. wersję "lajt". To wystarczy, by za jej pomocą zatwierdzać transakcje SMS-em, nawet jeśli ofiara korzysta z autoryzacji aplikacją mobilną.

W oświadczeniu mBank tłumaczy się, że limit takich transakcji wynosi 10 tys. zł, ale to akurat marne pocieszenie. Bardziej uspokajający jest fakt, że bank monitoruje wszelkie niepokojące transakcje - czyli takie, które są autoryzowane SMS-ami, mimo aktywnej autoryzacji przez aplikację mobilną.

"Co najważniejsze, dostęp do serwisu lajt można również wyłączyć dzwoniąc na mLinię" - dodaje mBank, a Niebezpiecznik sugeruje, by szybko z tej możliwości skorzystać.

Cała metoda na "duplikat karty SIM" wydaje się być skomplikowana i "zbyt czasochłonna, by mnie dotyczyła", ale w tym problem, że to aż tak trudne nie jest. Owszem, pewnie dla wielu przestępców łatwiejsze będzie podstawienie fałszywej strony i wgranie wirusa, który przechwyci kody z autoryzacjami. Trudniej się jednak bronić przed bardziej wyrafinowanymi atakami - a gdy ktoś podrabia naszą kartę SIM, to pewnie znajdzie skuteczny sposób na to, by wyłudzić hasło i login. I w sprytny sposób wyczyścić konto.