0

Uważajcie, jeżeli jesteście klientami mFinanse lub PKO Leasing!

wyciek danych
Wyciek danych nie jest teraz dla nikogo wielkim zaskoczeniem. Niestety, tym razem mówimy o naprawdę poważnych problemach dla klientów mFinanse i PKO Leasing. Co było tego genezą?

Poważne problemy klientów

O całej akcji dowiedzieliśmy się z tweeta jednego z klientów PKO Leasing, który prowadzi konto TVΠ Korea na Twitterze. Sprawę dokładniej opisał z kolei niezawodny Niebezpiecznik. Okazało się, że ktoś co najmniej miesiąc temu uzyskał dostęp do skrzynek e-mailowych kilku pracowników mFinanse oraz PKO Leasing. Cyberprzestępcy uzyskali w ten sposób dostęp do korespondencji z klientami oraz adresów mailowych klientów. W samych wiadomościach znajdowały się poufne informacje oraz dane osobowe, co jest zupełnie normalne dla takich maili.

Atakujący wykorzystali zdobyte informacje do kontynuowania konwersacji. Z tego względu cały atak wyglądał wiarygodnie i pierwsze podejrzenia padły na problem z serwerami firm lub wirusami po stronie ich pracowników.

Przeczytaj również: Ochrona danych osobowych, a RODO.

Ciekawe jest natomiast to, jak wyglądały niektóre maile. Zdarzało się, że część klientów otrzymało wiadomości po niemiecku, ale z cytatem z oryginalnej polskiej konwersacji. Pojawiło się również coś takiego:

email nie przyszedł z domeny mfinanse.pl, lecz z innych. Prawdziwy [był] natomiast temat wiadomości. [Ofiara — dop. red.] faktycznie wysłała do Pana Grzegorza J.[ciach] z mFinanse wiadomość o takim temacie [jak w otrzymanej fałszywej wiadomości] około miesiąca temu.

Oprócz samej treści w mailach przesyłano także załączniki. Nazywały się one dosyć wiarygodnie:

  • Instrukcje_150144883_19_09_2019.doc
  • Projekt_umowy 0391310451 23 09 2019.doc
  • Zeskanowany_dokument_9543481_24_09_2019.doc

Naturalnie zawierają w sobie złośliwy kod i po otworzeniu zachęcają do uruchomienia makr. Wówczas nasz komputer łączy się do serwerów i pobiera z nich trojana Emotet. Pozwala on na przejmowanie kontroli nad sesją bankową ofiary. W ten sposób może dojść do kradzieży pieniędzy, a atakujący mogą również go użyć do wykradania danych z dysku czy szyfrowania plików, aby potem żądać okupu za ich odszyfrowanie.

Sprawdź też: Kara dla Morele.net za wyciek danych.

Oczywiście firmy poinformowały swoich klientów o wycieku. Jestem ciekaw, jak zareagują poszczególne instytucje i jakie kroki podejmą te firmy finansowe, aby zabezpieczyć się na przyszłość przed takimi akcjami. Niewątpliwie zawiodły tu procedury bezpieczeństwa. Prawdopodobnie sami pracownicy kliknęli w nieco za dużo linków, a efekty tego są naprawdę opłakane.

źródło:  Niebezpiecznik