– Od 22 sierpnia br. użytkownicy mobilnej autoryzacji nie zalogują się do uproszczonej wersji serwisu transakcyjnego banku (mBank lajt). Klienci wciąż będą mogli korzystać z aplikacji mobilnej mBanku oraz pełnej wersji serwisu transakcyjnego – czytamy w komunikacie mBanku.

Jak działa atak z wykorzystaniem duplikatu kart SIM?

W ostatnim czasie coraz częściej dochodziło do sytuacji, w których cyberprzestępcy pozyskiwali login i hasło do konta klienta, po czym wyrabiali duplikat używanej przez niego karty SIM. Dzięki temu złodzieje otrzymywali dostęp do kodów SMS, którymi autoryzuje się transakcje.

Odpowiedzią na tego typu procedery miała być mobilna autoryzacja, czyli potwierdzanie zleconej transakcji z poziomu aplikacji mobilnej powiązanej z kontem. Przestępcy znaleźli jednak czuły punkt w systemie, wykorzystując system transakcyjny w wersji „lajt”. mBank lajt to mobilna wersja serwisu bankowości elektronicznej o ograniczonej liczbie funkcji, dopasowana do przeglądarek w smartfonach.

Ma jednak pewną wadę, o której pisał serwis Niebezpiecznik. Cyberprzestępca loguje się do systemu mBank lajt i nawet jeżeli ofiara korzysta z mobilnej autoryzacji, to w uproszczonej wersji systemu złodziej zostanie poproszony o podanie kodu SMS, który otrzyma na własny telefon dzięki zduplikowanej karcie SIM.

Właśnie dlatego mBank postanowił zmienić zasady i zablokować możliwość logowania do serwisu „lajt” użytkownikom mobilnej autoryzacji. Jeżeli tacy klienci będą chcieli wykonywać transakcje z poziomu smartfona, to niezbędna będzie aplikacja mobilna. To chyba niewielka cena, za zwiększone bezpieczeństwo.