Firma Golden Computer już niejednokrotnie usuwała takie złośliwe oprogramowanie na komputerach klientów, o którym mowa poniżej.
Ten artykuł poniżej do złudzenia przypomina ataki na prywatne skrzynki pocztowe z fragmentami korespondencji oraz haseł różnego rodzaju. Ataki takie były możliwe dzięki malware, który przez przeglądarki dostawał się do komputera klienta.Czyżby przestępcy przenieśli się na szersza skalę ? Wcześniej była to za każdym razem próba wyłudzenia w przybliżeniu kilku tysięcy złotych za tak zwane siedzenie cicho i nie rozsyłanie w imieniu zaatakowanego wstydliwej korespondencji.
Zapraszamy do artykułu!
Ktoś co najmniej miesiąc temu uzyskał dostęp przynajmniej do skrzynek e-mailowych kilku pracowników tych dwóch firm. Włamywacze weszli w posiadanie zarówno korespondencji z klientami (dotyczącej kredytów, a tego typu konwersacje jak wiemy potrafią zawierać dość wrażliwe informacje i nierzadko dane osobowe) jak również samych adresów e-mail klientów. Jak długo przestępcy prowadzili nasłuch i jakie informacje jeszcze wykradi? To sprawa otwarta…
Skąd wiemy o tym incydencie? Od osób, które otrzymały złośliwe e-maile zawierające cytaty z korespondencji z doradcami PKO Leasing i mFinanse.
Ktoś zaatakował pożyczkodawców, aby wykraść informacje o ich klientach a potem ich okraść
Po raz pierwszy o tej ciekawej kampanii dowiedzieliśmy się od klienta PKO Leasing, który prowadzi profil TVΠ Korea na Twitterze:
Nie jest prawdą, że zainfekowane zostały serwery PKO Leasing, bo atak polegał na czymś innym — ale zacznijmy od początku. Oto jak wyglądał przykładowy e-mail z tej kampanii (każdy ze znanych nam poszkodowanych dostał po kilka różnych wiadomości):
Zwróćcie uwagę, że wiadomość od przestępcy podszywającego się pod p. Annę, faktyczną pracowniczkę PKO Leasing zawiera cytat z poprzedniej — prawdziwej — wiadomości jaką ofiara wcześniej faktycznie wysłała p. Annie. Z tego wniosek, że przestępcom udało się wykraść co najmniej korespondencję PKO Leasing z klientami.
Informacje o podobnym ataku otrzymaliśmy też od klientów i dostawców usług dla spółki mFinanse (generalnie narażeni są wszyscy, którzy kiedykolwiek wymieniali e-maile z pracownikami mFinanse, którzy zostali zhackowani).
W przypadku mFinanse przestępcy również kontaktowali się z ofiarami podszywając się pod tożsamość prawdziwych pracowników spółki:
From: “Katarzyna.K[ciach]@mfinanse.pl” asesoria@valerodiaz.com
Date: 24 September 2019 at 10:33:06 CEST
Subject: Lista dokumentówWitam serdecznie,
W nawiązaniu do rozmowy zgodnie z podanym przez Panią adresem e-mail przesyłam ofertę.
pozdrawiam,
K[ciach] Katarzyna
Ofiary otrzymywały też taką treść:
From: K[ciach] Katarzyna export@dayalssteels.com
Date: [] September 2019
Subject: Re: [Cytat tematu klienta]Dzień Dobry Państwu,
Przesyłam harmonogram płatności.
Pozdrawiam, PozdrawiamK[ciach] Katarzyna <katarzyna.k[ciach]@mfinanse.pl></katarzyna.k[ciach]@mfinanse.pl>
——– Oryginalna wiadomość ——–
[treść e-maila ofiary do mFinanse sprzed kilku tygodni]
Niektóre z ofiar informowały nas, że otrzymały e-maila po… niemiecku (z cytatem ich polskiej korespondencji), a w jednym przypadku wyglądało to tak:
“email nie przyszedł z domeny mfinanse.pl, lecz z innych. Prawdziwy [był] natomiast temat wiadomości. [Ofiara — dop. red.] faktycznie wysłała do Pana Grzegorza J.[ciach] z mFinanse wiadomość o takim temacie [jak w otrzymanej fałszywej wiadomości] około miesiąca temu.”
Chodziło o kradzież pieniędzy z rachunków bankowych?
Obie wiadomości, choć podszywają się pod faktycznych pracowników PKO Leasing i mFinanse, są wysyłane z serwerów pocztowych firm trzecich. Zawierają też załączniki, odpowiednio:
Instrukcje_150144883_19_09_2019.doc
-
- ,
Projekt_umowy 0391310451 23 09 2019.doc
Zeskanowany_dokument_9543481_24_09_2019.doc
- .
Załączniki są oczywiście złośliwe. Po otworzeniu zachęcają do uruchomienia makr:
Następnie wywoływany jest powershell który łączy się do poniższych serwerów:
…z których pobiera trojana Emotet. Ten może przejąć kontrolę nad sesją bankowości online ofiary i w konsekwencji okraść ją z jej pieniędzy. Przestępcy mogą też wykradać za jego pomocą inne dane z dysku ofiary (np. treści e-maili i książki kontaktowe) a także szyfrować pliki użytkownika aby potem domagać się okupu za ich odszyfrowanie.
Z próbką dziś, czyli 4 dni po pierwszych atakach, całkiem nieźle radzi sobie większość antywirusów:
jak i poczta Google (co nie dziwi, bo GMail to najlepszy i najbezpieczniejszy wybór dla przeciętnego internauty) a także przeglądarki internetowe:
Co na to mFinanse?
Oto jakie pytania zadaliśmy zespołowi prasowemu mBanku:
1. Czy Bank jest świadomy incydentu dotyczącego mFinanse, w wyniku którego przestępcy pozyskali dane klientów mFinanse?
Jeśli tak, to:
2. Jak konkretnie doszło do przejęcia kontroli nad skrzynkami pracowników mFinanse?
3. Jakie informacje na temat klientów przejęli atakujący?
4. Kiedy incydent miał miejsce?
5. Czy mFinanse/mBank powiadomił poszkodowanych?
6. Co grozi osobom, które myśląc iż korespondują z pracownikiem mFinanse otworzyły złośliwy załącznik?
7. Czy Bankowi znane są inne firmy z sektora finansowego, które padły ofiarą podobnego incydentu w ostatnich dniach?
Bank poprosił nas o przedłużenie czasu na przygotowanie odpowiedzi. A oto odpowiedź, jaką uzyskaliśmy od Kingi Wojciechowskiej, eksperta ds. relacji z mediami mBanku:
Wiemy o ataku cyberprzestępców na spółkę mFinanse. Wyjaśniamy sytuację i pracujemy intensywnie by zapobiec jej potencjalnym konsekwencjom. Priorytetem w tej sprawie jest ochrona wszelkich danych i informacji przetwarzanych przez mFinanse. O sprawie poinformujemy uprawnione organy zgodnie z przepisami prawa.
OPSEC 10/10.
Co na to PKO Leasing?
Te same pytania przesłaliśmy także do PKO Leasing. Ta spółka rownież poprosiła nas o wydłużenie czasu na przygotowanie odpowiedzi i dziś po godz. 14:00 przesłała nam następującą wiadomość:
1. Czy PKO Leasing jest świadoma incydentu w wyniku którego przestępcy pozyskali dane klientów PKO Leasing?
PKO Leasing jest świadome incydentu bezpieczeństwa i niezwłocznie podjęło jego obsługę.2. Jak konkretnie doszło do przejęcia kontroli nad skrzynkami pracowników PKO Leasing?
Nie stwierdzono przejęcia kontroli nad skrzynkami pracowników PKO Leasing.3. Jakie informacje na temat klientów przejęli atakujący?
Incydent miał ograniczony zasięg. Doszło do wycieku fragmentów korespondencji mailowej, którą prowadziło naszych siedmiu pracowników, nieposiadających uprawnień uprzywilejowanych do systemów Spółki. Sprzęt biorący udział w incydencie został zabezpieczony. Przeprowadzony audyt zewnętrzny potwierdził brak podejrzanej aktywności w infrastrukturze spółki.4. Kiedy incydent miał miejsce?
Do incydentu doszło w maju br.5. Czy PKO Leasing powiadomił poszkodowanych?
W związku z informacjami z ostatniego tygodnia o tym, że wysyłane są maile do osób spoza naszej organizacji podszywające się pod pracowników PKO Leasing natychmiast podjęliśmy działania informujące klientów o sytuacji. Na stronie www oraz portalu klienta zamieszczone zostały odpowiednie komunikaty z prośba o zgłaszanie tego typu zdarzeń do Spółki.6. Co grozi osobom, które myśląc iż korespondują z pracownikiem PKO Leasing? otworzyły złośliwy załącznik?
Obecnie obserwujemy kampanie phishingowe, w których dodatkowo wykorzystywane są złośliwe załączniki. W związku z tym ostrzegamy naszych klientów, by w komunikacji z PKO Leasing weryfikowali poprawność domeny nadawcy korespondencji. Jeśli ktoś otworzył załącznik lub ma podejrzenie, że otrzymał fałszywą korespondencję, prosimy o pilny kontakt z infolinią.7. Czy PKO Leasing znane są inne firmy z sektora finansowego, które padły ofiarą podobnego incydentu w ostatnich dniach?
Nie komentujemy tego zagadnienia.
Możemy tylko zgadywać, jak “bez przejęcia skrzynek e-mail pracowników” doszło do “wycieku fragmentów korespondencji e-mailowej“… Stwierdzenie braku podejrzanej aktywności w “infrastrukturze spółki” zapewne oznacza, że sprzęt tych “pracowników, nieposiadających uprawnień uprzywilejowanych” nie jest przez PKO Leasing traktowany jako element infrastruktury. No cóż, infrastruktura to faktycznie pojemne i szeroko-definiowalne pojęcie.
Gdybyśmy mieli strzelać, strzelilibyśmy, że tych 7 pracowników kliknęło nie w to co powinni kliknąć, zainfekowało swoje komputery i ich korespondencja wyciekła z “lokalnego” Outlooka lub innego klienta poczty. Tu warto nadmienić, że zazwyczaj jeśli malware ma dostęp do urządzenia ofiary, w tym do lokalnego klienta poczty, który odbiera e-maile z firmowej (nie)infrastruktury, to ten malware ma też dostęp do loginu i hasła do konta pracownika w firmowej (nie)infrastrukturze.
Na stronach PKO Leasing rzeczywiście znaleźliśmy informacje z ostrzeżeniem o atakach, w których przestępcy podszywają się pod pracowników spółki. Firma nie wspomina tam jednak, że ataki są związane z nieuprawnionym pozyskaniem danych osobowych klientów (i treści korespondencji) w wyniku udanego ataku na pracowników PKO Leasing…
To bardzo sprytny atak!
Niniejszy atak jest bardzo sprytny. Wzięcie na cel instytucji finansowych (oraz ich klientów) to dotarcie do grupy, która ma pieniądze. Odwołanie do poprzednich wiadomości podnosi zaufanie do zawartych w wiadomościach załącznikach. Waga sprawy, tj. kredyt, leasing i chęć jego pozyskania często zaślepia zdrowy rozsądek do tego stopnia, że ktoś faktycznie może kliknąć. W końcu prośby o wypełnienie formularza, podesłanie “planu spłaty rat” to dokumenty, które każdy otworzy w ramach takiej konwersacji. Przecież rozmawia ze swoim doradcą, którego dane kojarzy.
Generalnie przestępcom dajemy 9/10, zabierając punkt za to, że e-maile w ramach tych kampanii nie zostały wysłane z prawdziwych, zhackowanych wcześniej skrzynek pracowników mFinanse i PKO Leasing — a mogły! (por. Oficjalne serwery Ergo Hestia wykorzystane do sprytnego ataku na Polaków).
Pracownicy banków (i instytucji finansowych) też mogą być ofiarami
Jak widać na przykładzie powyższego incydentu — nawet pracownicy szacownych instytucji finansowych, które łożą na bezpieczeństwo mogą stać się ofiarami przestępców. I co ważne — mogli mieć najnowszego antywirusa, bo wcale nie musieli oni w nic klikać (choć w przypadku Emoteta, to właśnie od klikania w malware się zaczyna).
Zauważmy jednak, że jeśli do skrzynek pocztowych pracowników da się dostać “z internetu” (np. przez webmaila), to ci pracownicy mogą zostać sphishowani i żaden system antywirusowy czy “end point protection” na to nie zareaguje. Wyleci wszystko to, co pracownik miał na skrzynce pocztowej, korespondencja z klientami, wzory pism, raporty, książka kontaktowa (zawierająca nie tylko dane klientów, ale i współpracowników, co ułatwia penetrację firmy). Kontrolując e-maila pracownika, przestępcy mogą też “zresetować” dostępy do wszystkich usług, które ten założył na ten adres e-mail i nie zabezpieczył przy pomocy dwuskładnikowego uwierzytelnienia.
Co na to RODO? I klienci/partnerzy mFinanse oraz PKO Leasing?
Z naszych informacji wynika, że żadna ze spółek, ani mFinanse ani PKO Leasing, nie informowała jeszcze klientów o tym, że ich dane (co najmniej e-mail) oraz informacje (zawarte w korespondencji) zostały wykradzione. Teoretycznie nie musi — RODO wcale tego nie wymaga. Choć ciężko będzie poszkodowanym nie zauważyć, że coś jest nie tak… Dostają przecież od przestępców fragmenty swoich starych wiadomości kierowanych do doradców z konkretnej firmy. Nikt inny niż ta (i tylko ta) firma nie powinien ich mieć.
Wiemy też, że w fałszywych e-mailach wykorzystywane są treści, które do spółki mFinanse były wysyłane zaledwie 4 tygodnie temu, więc przestępcy mieli dostęp do “świeżych” e-maili co najmniej dwóchczterech pracowników. Pana Grzegorza J, Jacka, Stanisława P. i Katarzyny K. Jak długo? Tego nie nie wiadomo… Atak na mFinanse nie musi być związany z atakiem na PKO Leasing, który — wedle spółki — miał miejsce w maju 2019 i dotknął 7 pracowników.
Ale to nie wszystko! Na komputerach doradców klienci logowali się do swoich kont w bankach…
Ten akapit został dopisany już po publikacji artykułu, na podstawie informacji z tego komentarza.
Przychodzi klient do doradcy – loguje sie na swoje konto w banku i sciaga ostatnie 6 wyciagow z swojego konta (pracuje na laptopie doradcy). Wyciagi zostaja na laptopie w katalogu downloads. Mozna sobie w trakcie takiej operacji zobaczyc liste wszystkich klientow i ich wyciagi. Skopiowac, wgrac na dropbox, onedrive, co tam kto woli. Nie trzeba byc hackerem. W trakcie jak Pani zostawia odblokowany komputer i drukuje te wyciagi na drukarce obok zostawia klienta z dostepem do absolutnie wszytkiego. To nie SF – to rzeczywistosc. Tak to wyglada w mFinanse.
Jak wskazuje jeden z naszych Czytelników, zakres pozyskanych przez przestępców danych może być większy niż sadziliśmy. Komputery niektórych doradców mFinanse miały być udostępniane klientom, którzy — aby wykazać zdolność kredytową — logowali się z nich na swoje konta w banku. To oznacza, że zainfekowane komputery doradców mogły przechwycić te hasła, a w krytycznym przypadku nawet przeprowadzić atak na klienta w trakcie wizyty u doradcy!
Czytelnik wspomina też o tym, że ponieważ ten sam komputer był udostępniany wielu klientom, na jego dysku można było znaleźć “wyeksportowane” dane z kont innych klientów.
Dostałeś takiego e-maila?
Jeśli dostałeś podejrzaną wiadomość od pracowników mFinanse lub PKO Leasing, to
- (jeśli ją otworzyłeś) odłącz komputer od sieci i przeskanuj oprogramowaniem antywirusowym. Zrób też na wszelki wypadek kopie bezpieczeństwa najważniejszych danych (mogą zostać zaszyfrowane) i pozmieniaj hasła dostępowe do wszystkich kont, do których logowałeś się z tego komputera. Dane na tym komputerze (i skrzynkach e-mail, jakie miałeś na nim skonfigurowane) traktuj jako publicznie dostępne.
- daj nam znać (nie forwarduj wiadomości z mFinanse i PKO Leasing, bo nasze serwery i tak je zablokują — po prostu odezwij się do nas na emotet@niebezpiecznik.pl i napisz z którego miesiąca/dnia pochodzi cytowana w wiadomości treść).
Z tego miejsca dziękujemy też wszystkim Czytelnikom, którzy w weekend przesłali juz do nas sygnały w tej sprawie. To dzięki Wam możemy wpadać na ślady takich incydentów jak ten i informować o nich poszkodowanych.
Podobne ataki w ramach tej kampanii (choć nie w kontekście spółek mFinanse i PKO Leasing) zaobserwowali też nasi przyjaciele z CERT Orange.
Aktualizacja 26.09.2019, 11:53
Relacja jednego z aktualnych klientów mFinanse:
Akurat jestem w trakcie procesu uzyskania kredytu hipotecznego z pomocą mFinanse (…) Na chwilę obecną, wszyscy pracownicy dostali mailing na temat otwierania niebezpiecznych załączników. 24.09 pracownicy mięli problem z dostępem do skrzynek (pewnie [security] w akcji), a potem od strony serwera pocztowego wprowadzili blokady wysyłania i odbierania plików .doc i .docx (możecie to sprawdzić próbując wysłać .doca na jakikolwiek adres z domeny mfinanse – od razu odrzuca). Z tego co wiem, pracownicy muszą połączyć się z VPN-em, aby mieć dostęp do poczty (nie wiem, czy będąc w biurze też). Spora część pracowników to kontraktorzy, więc często pracują zdalnie z domu.
Co do wzmianki o logowaniu do konta bankowego w placówce mBanku w celu pobrania wyciągów, to walczyłem z nimi w tej sprawie z dwa tygodnie i odpuściłem. Pracownicy nie widzieli w tym niczego złego. Kiedy pytałem o to w Credit-Agricole i Nest Bank, to powiedzieli, abym się na to nie godził. U nich zwykły wydruk wystarczył. Rozumiem, że czasami ktoś może spreparować dokumenty, ale nadal myślę, że jest to bardzo niedobra praktyka.
Chcesz się z nami skontaktowac? <<kliknij tutaj>>
0 komentarzy