autor: Bartosz Świątek
Wyciek danych klientów w PKO Leasing i mFinanse. Uwaga na oszustów
Przestępcy włamali się na konta e-mailowe pracowników spółek powiązanych z mBankiem oraz PKO - mFinanse S.A. oraz PKO Leasing S.A. Informacje z wykradzionych wiadomości zostały wykorzystywane w próbach oszustwa, których celem stali się klienci wspomnianych firm. Niektórzy użytkownicy nadal mogą być narażeni na atak.
Serwis Niebezpiecznik donosi, że hakerzy najprawdopodobniej włamali się na skrzynki mailowe pracowników dwóch spółek powiązanych z mBankiem oraz PKO - mFinanse S.A. oraz PKO Leasing S.A. Przestępcy uzyskali dostęp do - co najmniej - fragmentów konwersacji prowadzonych z klientami na temat kredytów, w których często pojawiają się prywatne informacje i różnego rodzaju wrażliwe dane.
Oszuści wykorzystali treści e-maili, by podszyć się pod wspomnianych pracowników i wysłać ich klientom wiadomości z załącznikami (np. Instrukcje_150144883_19_09_2019.doc, Projekt_umowy 0391310451 23 09 2019.doc czy Zeskanowany_dokument_9543481_24_09_2019.doc), które po otwarciu instalowały na komputerze ofiary groźnego wirusa Emotet. Pozwala on wykradać dane, przejmować kontrolę nad sesjami bankowości elektronicznej, a nawet szyfrować pliki w celu wymuszenia okupu (tzw. ransomware).
Maile były przez oszustów wysyłane z domen nienależących do mBanku oraz PKO, ale w ich treści często można było znaleźć cytaty z poprzednich wiadomości, co uwiarygadniało je w oczach klientów. Treść może prezentować się następująco:
From: “Katarzyna.K[ciach]@mfinanse.pl” [email protected]
Date: 24 September 2019 at 10:33:06 CEST
Subject: Lista dokumentów
Witam serdecznie,
W nawiązaniu do rozmowy zgodnie z podanym przez Panią adresem e-mail przesyłam ofertę.
pozdrawiam,
K[ciach] Katarzyna
From: K[ciach] Katarzyna [email protected]
Date: [] September 2019
Subject: Re: [Cytat tematu klienta]
Dzień Dobry Państwu,
Przesyłam harmonogram płatności.
Pozdrawiam, Pozdrawiam
K[ciach] Katarzyna
Według PKO Leasing incydent miał ograniczony zasięg i nie stwierdzono przejęcia samych skrzynek pocztowych, a jedynie uzyskanie dostępu do fragmentów konwersacji.
Incydent miał ograniczony zasięg. Doszło do wycieku fragmentów korespondencji mailowej, którą prowadziło naszych siedmiu pracowników, nieposiadających uprawnień uprzywilejowanych do systemów Spółki. Sprzęt biorący udział w incydencie został zabezpieczony. Przeprowadzony audyt zewnętrzny potwierdził brak podejrzanej aktywności w infrastrukturze spółki - czytamy w komentarzu przesłanym redakcji Niebezpiecznika.
Zatrudniona w mBanku ekspertka ds. relacji z mediami - Kinga Wojciechowska - poinformowała, że firma pracuje nad tym, by zapobiec możliwym konsekwencjom wycieku.
Wiemy o ataku cyberprzestępców na spółkę mFinanse. Wyjaśniamy sytuację i pracujemy intensywnie by zapobiec jej potencjalnym konsekwencjom. Priorytetem w tej sprawie jest ochrona wszelkich danych i informacji przetwarzanych przez mFinanse. O sprawie poinformujemy uprawnione organy zgodnie z przepisami prawa - czytamy w komunikacie.
Spółki mFinanse oraz PKO Leasing poinformowały swoich klientów o wycieku danych - informacje na ten temat znalazły się na stronie głównej oraz profilu na Facebooku.
Zalecamy zachowywanie szczególnej ostrożności w kontaktach mailowych z pracownikami banków, a także ich spółek podległych. Warto też zadbać o to, by program antywirusowy na Waszym komputerze był zaktualizowany - redaktorzy Nibezpiecznika donoszą, że większość tego typu aplikacji bez problemu radzi sobie ze wspomnianym wirusem.