Do skrzynek mailowych przypadkowych osób trafiają maile z informacją, że dostęp do serwisu transakcyjnego mBank został im tymczasowo zablokowany. „W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie mBank, powodem jest nieautoryzowany dostęp do konta.” – czytamy w mailu. Oczywiście w celu odblokowania konta należy kliknąć w link załączony w wiadomości. Mail podpisany jest „Zespół mBanku”, podano nawet numer na infolinię.
Link kieruje nas na fałszywą stronę do złudzenia przypominającą panel logowania banku – tyle tylko, że nie jest ona szyfrowana i nie posiada stosownego certyfikatu. Po wpisaniu loginu i hasła strona prosi nas o podanie danych karty płatniczej. W ten sposób złodzieje stają się posiadaczami danych karty nieświadomych klientów. Maile mają różne tematy, m.in. Autoryzacja konta mBank, Weryfikacja w systemie mBank, Blokada systemu mBank, Blokada rachunku mBank, Ważna wiadomość mBank. Fałszywa wiadomość jest o tyle łatwa do wykrycia, że przestępcy korzystają z przypadkowych adresów e – mail.
Co na to bank? Rzecznik mBanku Krzysztof Olszewski zapewnia, że firma wie o ataku, podjęła już środki zaradcze i powiadomiła swoich klientów. Jak? Informując o tym na stronie internetowej oraz poprzez profile społecznościowe.
Informacja na stronie owszem, jest, ale ukryta w zakładce „informacje dla klienta” na samym dole panelu. Wchodząc na główną stronę nie ma żadnej informacji o możliwości ataku, podobnie po zalogowaniu na konto. Oficjalne profile mBanku na Facebooku i Twitterze również milczą na ten temat. Rzecznik o ataku wspomina na swoim profilu, wywołany do tablicy przez dziennikarzy.
Jakie organy ścigania zostały poinformowane o ataku? O tym Krzysztof Olszewski nie chce rozmawiać - zgodnie z zasadą, że „ochronę się zapewnia zamiast o niej mówić”. Przy podobnym ataku sprzed dwóch tygodni bank PKO BP poinformował, że zgłosił ten incydent do międzynarodowych zespołów CERT. Nie wiemy, czy tak samo zadziałał mBank.
- Standardowo w takich sytuacjach powiadamia się policję i prokuraturę – twierdzi dr Przemysław Barbrich, rzecznik prasowy Związku Banków Polskich. On również jest tajemniczy: Nie ujawnia, czy ZBP zostało poinformowane o ataku na klientów mBanku. – Takie akcje powtarzają się od kilku lat. Cały czas informujemy klientów, że banki nigdy nie proszą o logowanie się do systemu za pośrednictwem poczty elektronicznej - nie wysyłają tego rodzaju maili . Takich wiadomości najlepiej w ogóle nie otwierać. Cieszy nas, że spada liczba osób, które nabierają się na pułapki zastawiane na nich świat przestępczy – tłumaczy.
Rzecznik Związku Banków Polskich także hołduje zasadzie, zgodnie z którą "ochronę (przed cyberatakami - przed cyberatakami - przyp. red.) się zapewnia zamiast o niej mówić". Tyle tylko, że to nieprawdziwa teza. Eksperci od dawna udowadniają, że mówić także, a może przede wszystkim, należy. Jako przykład podawana jest akcja brytyjskiego operatora komórkowego Talk – Talk, który padł ofiarą hakerskiego ataku. Z firmy wyciekło blisko 157 tys. danych klientów, w tym ponad 15 tys. kont bankowych. Mimo to właśnie dzięki polityce transparentności firma odzyskała szacunek klientów i stabilną pozycję finansową.
Według ekspertów z Deloitte w Polsce sytuacja wygląda zgoła inaczej i wciąż popularny jest model ukrywania ataków. Jeszcze kilka lat temu działy PR rodzimych banków zupełnie nie umiały rozmawiać o incydentach, a nierzadko po prostu im zaprzeczały. Teraz komunikacja jest już lepsza, ale do ideału wciąż jeszcze daleko – mówią eksperci Deloitte. Ostatnie zdarzenia zdają się to potwierdzać.