Niedawny phishing z mBanku zawdzięczamy… mBankowi?!

Interesujące: o niedawnej sprawie podszywania się pod mBank i próby wyłudzenia od klientów (tzw. phishing) danych do logowania pisze Niebezpiecznik (Uwaga klienci mBanku, udzielający się na oficjalnym forum mBanku: wasz e-mail był udostępniany w kodzie strony jawnym tekstem… — naprawdę warto kliknąć i przeczytać).


mBank phishing


Dociekliwy Niebezpiecznik poszedł nawet dalej niż ja w tropieniu przekrętu. Okazuje się, że w kolejnym kroku bandyterka wyłudza dodatkowe dane, w tym imię i nazwisko, telekod, PESEL, nazwisko panieńskie matki, numer dowodu osobistego i datę jego ważności — czyli wszystkie informacje, które są niezbędne do tego, by podczas rozmowy z bankiem móc perfekcyjnie podszyć się pod klienta. (Nb. aż nie mogę uwierzyć, że ktoś mógłby podać takie dane… ale pewnie mierzę swoim miernikiem, czyli przeciętnego-ogarniętego konsumenta, nie gardzącego dobrym IPA, nie zaś… ;-)

Najlepsze jednak jest to skąd oszuści w ogóle wzięli dane klientów banku. Jak się okazuje pośrednio odpowiedzialność za ten spam ponosi… sam mBank, który tak doskonale zabezpieczył dane użytkowników swojego forum internetowego, że ich wyłuskanie było po prostu dziecinnie proste. A wszystko przez to — cytuję Niebezpiecznika — że adresy użytkowników forum mBanku były ujawniane w kodzie strony jawnym tekstem, wyłącznie z atrybutem hidden.

Jak dla mnie to jest to wtopa na całej linii, ale zanim zacznę się zastanawiać czy nowy system transakcyjny — w którym nacisk ewidentnie położono na warstwę wizualną — nie cierpi na podobne dolegliwości, mogę tylko powiedzieć: uważam, że jeśli któryś z klientów mBanku dał się naabrać, to być może warto się zastanowić na ile do owej szkody przyczynił się sam bank? Bo druga sprawa — że te adresy poczty elektronicznej to też dane osobowe — to już insza inszość…