13:16
4/8/2014

Nic dziwnego, że tyle osób nabiera się na fałszywe wiadomości e-mail z fakturami, skoro same firmy im to ułatwiają… Dziś 2 ciekawe przypadki prawdziwych (!!!) e-maili od znanych firm. W teście na phishing, pewnie każdy wskazałby je jako “fałszywe”, a tu taka niespodzianka…

Allegro, nawias, nawias, przecinek

Na początek Allegro. Kilku czytelników otrzymało wiadomość z lipcową fakturą za korzystanie z usług serwisu (Brzmi znajomo? Jeśli nie to porównaj z Nowa fala zainfekowanych żądań opłaty od Allegro). Wiadomość ta jednak jest prawdziwa, ale wygląda tak:

E-mail (prawdziwy) od Allegro, fot. Tomasz

E-mail (prawdziwy) od Allegro, fot. Tomasz

I ma poprawne nagłówki:

Received: from unknown (HELO allegro.pl) ([10.214.5.46])
by smtpfarm.allegro.pl with ESMTP; 04 Aug 2014 10:30:25 +0200
Received: by allegro.pl (Postfix, from userid 33)
id 7346482B62; Mon, 4 Aug 2014 10:30:25 +0200 (CEST)

A więc zapewne był to błąd programistyczny, który obiecanego w treści e-maila imienia i nazwiska nie podpiął do wiadomości. W kontekście ostatnich ataków i ostrzeżenia wbudowanego w treść wiadomości potknięcie jest zabawne, ale nie straszne — link prowadzi do strony Allegro — faktura nie jest dołączona do wiadomości, więc przynajmniej użytkownicy serwisu nie podrapią się w głowę czy otworzyć PDF-a, czy nie…

T-Mobile z niewiadomoczego2011

T-Mobile to druga z marek wykorzystywanych ostatnio do ataków z e-mailowymi załącznikami (por. Fałszywe faktury od T-Mobile).

Klienci tej firmy otrzymali dziś takiego e-maila:

T-Mobile, prawdziwy e-mail z podejrzanej domeny, fot. rafał

T-Mobile, prawdziwy e-mail z podejrzanej domeny, fot. Rafał

Też jest on prawdziwy (tzn. rzeczywiście pochodzi od T-Mobile i zawiera poprawne dane osobowe klienta), ale został wysłany z …”podejrzanej” domeny, należącej zapewne do jednej z agencji marketingowych obsługujących T-Mobile. Dlaczego zdecydowano się na taką wysyłkę? Chyba, żeby bardziej przyzwyczaić klientów do klikania w fałszywe e-maile. Kto wie, może w wakacje T-Mobile ma za mały ruch na infolinii?

Z kronikarskiego obowiązku, nagłóweczki:

Received-SPF: pass (mx5.o2.pl: domain of mbounce@ext.marketing-house.pl
designates 217.67.218.118 as permitted sender)
Received: from ext.marketing-house.pl by neptun.ermh.pl (MDaemon PRO v13.0.4)
with ESMTP id 60-md50000193239.msg
for ; Fri, 01 Aug 2014 21:47:50 +0200
X-Spam-Processed: neptun.ermh.pl, Fri, 01 Aug 2014 21:47:50 +0200
(not processed: message from trusted or authenticated source)
X-Authenticated-Sender: t-mobile@fne2011.pl
X-Return-Path: mbounce@ext.marketing-house.pl
X-Envelope-From: mbounce@ext.marketing-house.pl
X-MDaemon-Deliver-To:
X-Mailer: MIME-tools 5.411 (Entity 5.404)
From: T-Mobile Polska S.A. t-mobile@fne2011.pl

Marketerze, uważaj z mailingami!

Drogie firmy, apelujemy o ostrożność przy wysyłaniu mailingów. Zwłaszcza w ostatnim okresie pełno jest kampanii e-mailowych skierowanch w Waszych klientów. E-maile te wykorzystują socjotechnikę i podszywają się pod Wasz wizerunek aby nakłonić klienta do wykonania złośliwej akcji (otworzenia załącznika i zainfekowania sobie systemu operacyjnego).

Kampanie te stają się coraz bardziej dopracowane, dlatego powinniście, drogie firmy, bardzo uważnie konstruować każdą oficjalną wiadomość e-mail, którą wysyłacie swoim klientom. Chodzi zarówno o warstwę merytoryczną, jak i techniczną. Poniżej kilka wskazówek:

  • Wiadomości wysyłajcie zawsze z adresu nadawcy w swojej oficjalnej domenie
  • TECHNICZNE: Dla domeny ustawcie poprawnie nagłówek SPF. To wyeliminuje możliwość zespoofowania, czyli podszycia się przestępców pod wasz adres e-mail. Większość serwerów pocztowych wspiera SPF i oznacza e-maile pochodzące spoza dedykowanych serwerów jako spam (polecamy ustawienie tzw. hard faila czyli “-all“, a nie soft faila, czyli “~all“).
  • TECHNICZNE: Skonfigurujcie serwer pocztowy do przyjmowania i wysyłania e-maili po SSL. Opis odpowiednich mechanizmów plus statystyki dotyczące tego, które polskie serwery pocztowe już wspierają szyfrowanie znajdziecie tutaj.
  • Do klienta zawsze zwracajcie się po imieniu i nazwisku w pierwszej linii wiadomości. Scamerzy często nawet jeśli dysponują czyimś adresem e-mail, to nie posiadają innych danych osobowych ofiary.
  • Nie dołączajcie załączników do wiadomości e-mail, ani nie umieszczajcie w niej linków. Przyzwyczajanie klientów do otwierania załączników/przechodzenia na stronę firmy po linkach jest zgubne. Pliki powinniście udostępniać na swoich firmowych stronach internetowych, po HTTPS. Dzięki takiemu podejściu, nawet jeśli klient zostanie oszukany przez treść e-maila, to jest szansa, że na własne konto w waszej usłudze zaloguje się w sposób bezpieczny (wpisując jej adres ręcznie lub korzystając z zakładki w swojej przeglądarce). Dodatkowo, w przypadku e-maili z podstawionym fałszywym linkiem do logowania, mechanizmy bezpieczeństwa przeglądarek będą w stanie je blokować.
  • Przy mass-mailingu, czyli takiej samej treści kierowanej do wielu odbiorców, pamiętajcie o tym, aby adres klienta umieścić w polu BCC/UDW — inaczej pewnie ktoś poprosi Was o dofinansowanie bibliotek albo domów dziecka… por. Kolejne 10 000 PLN na hospicjum dla dzieci zdobyte.
W wersji supertechnicznej, dla maksymalnej ochrony treści wiadomości i pewnej weryfikacji tożsamości stron polecalibyśmy pobierać od klientów klucze GPG i szyfrować każdy e-mail do nich wysłanych ich kluczem oraz podpisywać swoim. Ale chyba żaden tego typu serwis w Polsce jeszcze nie istnieje…

Przede wszystkim jednak piszcie jasno. Niedawna wpadka mBanku jest dobrym przykładem tego, jak źle skomponowany komunikat ostrzegający przed atakiem może klientów narazić na atak jeszcze bardziej.

I na koniec, z ciekawych pomyłek, które wyglądały jak próby scamu, warto przypomnieć pomyłkę pracownika ING, gdzie zbyt “szeroki” dobór odbiorców wiadomości i treść oficjalnego komunikatu idealnie pokryła się w atak, o którym kilka dni wcześniej bank ostrzegał

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Taaa, też się dziś zdziwiłem tym mailem od Allegro, ale jest OK.
    Ciekawe czy wyślą poprawnego maila :)

  2. Nigdy tego nie zrozumie – jaki jest problem zeby zrobic subdomene i z niej slac e-maile. Przeciez takie firmy jak t-mobile i inne telekomy nie maja 1000 klientow – spokojnie mozna stworzyc subdomene ktora mozna wydelegowac na inny serwer – firmy marketingowej chocby – zeby oni zajmowali sie obsluga serwerowa.

  3. Chyba dużo zapytań mieli z Allegro ;-).

    “Otrzymałeś dziś od nas powiadomienie o e-fakturze wystawionej za sprzedaż na Allegro w lipcu 2014 roku. Niestety, wiadomość ta nie zawierała w nagłówku tytułu, Twojego imienia i nazwiska ani loginu.

    Jeśli otrzymałeś taką wiadomość, zapewniamy, że jest ona bezpieczna i została wysłana przez nasz serwis.

    Błąd został już naprawiony i następne powiadomienia będą zawierały wszystkie konieczne elementy. Przepraszamy za powstałe utrudnienia.

    Powiadomienia od Allegro powinny zawierać Twoje imię i nazwisko, co zwiększa bezpieczeństwo konta i chroni Cię przed otrzymywaniem fałszywych wiadomości. “

  4. Lata lecą a oni się niczego nie uczą… Nieprawdopodobne.

  5. Właśnie dostałem wiadomość (), :)

    pzodrawiam

  6. “W wersji supertechnicznej, dla maksymalnej ochrony treści wiadomości i pewnej weryfikacji tożsamości stron polecalibyśmy pobierać od klientów klucze GPG i szyfrować każdy e-mail do nich wysłanych ich kluczem oraz podpisywać swoim.”

    A nie istnieje coś takiego, jak S/MIME? Idealnie nadaje się do potwierdzania oryginalności wiadomości :)

  7. Poradnik dla phisherów;)

  8. Dostałem takiego maila (o godzinie 9:26) ale dostałem też drugiego (o godzinie 14:59) o treści:
    Mirosław xxxxxxxxx, powiadomienie dotyczące e-faktury
    Otrzymałeś dziś od nas powiadomienie o e-fakturze wystawionej za sprzedaż na Allegro w lipcu 2014 roku. Niestety, wiadomość ta nie zawierała w nagłówku tytułu, Twojego imienia i nazwiska ani loginu.

    Jeśli otrzymałeś taką wiadomość, zapewniamy, że jest ona bezpieczna i została wysłana przez nasz serwis.

    Błąd został już naprawiony i następne powiadomienia będą zawierały wszystkie konieczne elementy. Przepraszamy za powstałe utrudnienia.

    Powiadomienia od Allegro powinny zawierać Twoje imię i nazwisko, co zwiększa bezpieczeństwo konta i chroni Cię przed otrzymywaniem fałszywych wiadomości.

  9. Mnie najbardziej rozbraja PayPal z tymi swoimi mailami: http://demotywatory.pl/4280689/Brawo-PayPal

    Czasami mam wrażenie, że te duże firmy same rozsyłają pishing, by wyłudzić od nas pieniądze, których im sami nie damy. A później się tłumaczą, że trzeba było uważać w co się klika, i że klient sam jest sobie winny, że mu zginęło kilka tysięcy z konta…

    • Ja nigdy w tym cholerstwie żadnych linków nie klikam. Zwykle albo jakieś dziwaczne domeny albo inne nie wiadomo co.

  10. …są wakacje studenci za 1300zł modernizują infrastrukturę Allegro :-)

  11. Firmy generalnie mają problem z komunikacją
    1. Ostrzegają nas przed fałszywymi mailami i klikaniem w linki, a same “dziwne maile” nam wysyłają
    2. Apelują o niepodawanie danych osobowych, ale wymagają potwierdzenia naszej tożsamości gdy do nas dzwonią z ofertą (nazwisko panieńskie matki, data urodzenia itp).
    3. modyfikują wygląd stron www i aplikacji mobilnych, co dodatkowo ułatwia sprawę przestępcom.
    Jak napisał przedpiśca wyżej: “Czasami mam wrażenie, że te duże firmy same rozsyłają pishing”

  12. Artykuł przypominał mi jak działa paypal: oczywiście wszystko robimy w paypal.com, ale gdy chcemy przelać pieniądzie na swoje konto, zostajemy przekierowani na paypal-doladowania.pl. A wystarczyło by zrobić to jako subdomenę doladowania.paypal.com…

    • Przypomniałeś mi, że już się kiedyś nad tym pochylaliśmy: tytuł postu mówi wszystko: https://niebezpiecznik.pl/post/omujbosze-paypal-serio/

    • paypal-doladowania.pl nie nalezy do PayPal’a. To polska firma Blue Media z Sopotu. Najwidoczniej dogadali się z PP celem zrobienia strony do doładowania kont na PP przy użyciu rachunków bankowych. W sumie o domenę też mogliby się dogadać, ale mi tam to nie przeszkadza, ważne, że działa.

  13. Dodałbym jeszcze informację o DomainKeys Identified Mail (DKIM) oraz Domain-based Message Authentication, Reporting & Conformance (DMARC) – oba możliwe do prostego ustawienia w Google Apps

    • No tak, może jeszcze ruch do 127.0.0.1 puśćmy przez gógla…

      DKIM-em, SPF-em czy (ostatnio) DMARC-em łatwo zarządza się również z cPanela w większości dobrych hostingów. Ostatnio na swoim deweloperskim hostingu US-based znalazłem nawet ikony do ustawiania tego z poziomu home’a (wcześniej te funkcje były głęboko ukryte) :)

      Nic nie pobije maili urzędowych instytucji UE. SPF na hard-failu (-all) i… wysyłka ZAWSZE z nieautoryzowanego IP :)

  14. Dostałem ten mail od t-mobile i szczerze mówiąc mnie nie zaniepokoił, mimo że dość uważnie przyglądam się wiadomościom tego typu. Niemniej następnym razem osoba wysyłająca wiadomość powinna odrobinę bardziej uważać ;) Poradnik elegancki!

  15. Tez niedawno ladowal

  16. Najbardziej zrąbaną wysyłkę maili ma chyba DECATHLON. Ostatnio kupowałem u nich parę rzeczy przez sieć. Pomijając fakt, że kilka maili z informacją, że zamówienie czeka na odbiór, w ogóle nie dotarło (brak śladu w logach), to pozostałe przychodziły z adresami nadawcy z kilku różnych domen (co prawda należących do koncernu), także z nieistniejących w (publicznym przynajmniej) DNSie poddomen.

    HELO się nie zgadzało z domeną nadawcy maila (RCPT) ani z odwrotnym DNSem – domeny w HELO należały do różnych tanich hostingów, a samo połączenie SMTP z moim serwerem też przychodziło z wirtualnych mazyn w tanich hostingach, przy czym nigdy domena z HELO nie zgadzała się z domeną hostingu, z którego połączenie wychodziło. Wygląda, jakby ktoś domyślnie wygenerowaną na hostingu X konfigurację postfixa (myhostname = …) przeniósł bez zmian na hosting Y.

    Kilka maili przeszło przez Google.

    Generalnie – totalny bałagan.

  17. Czemu na screenie od allegro narysowaliście różowe strzałeczki, skoro róż to kolor charakterystyczny dla T-mobile? Przez to cały czas myślę, że pierwszy screen to mail od temobajla.

  18. a propos t-mobile: zwróćcie uwagę, że majl od T zawiera informację o zmianie cen, a konkretnie o podwyżce. Oznacza to, że klient ma prawo zrezygnować bez ponoszenia kary, pod warunkiem, że dokona tego w ciągu 30 dni (do 1 września). Tylko skąd ma to wiedzieć, skoro majl wylądował w spamie? przypadek? oczywiście, że przypadek ;)

    • To już twoja sprawa, że mail wylądował w spamie. Może chciałbyś, żeby do każdego abonenta dzwonili i łaskawie pytali, czy mogą podnieść opłaty? W regulaminie masz na pewno wyraźnie napisane, że mogą zmienić regulamin kiedy chcą, ale muszą o tym powiadomić (niekoniecznie mailem, może być adnotacja na stronie) na jakiś czas przed wprowadzeniem zmian.
      BTW: O jakiej karze mówisz? Jeśli umowa jest bezterminowa można ją rozwiązać w dowolnym momencie, jeśli zaś terminowa – przez cały czas obowiązują opłaty ustalone w trakcie jej podpisywania.

  19. “Dlaczego zdecydowano się na taką wysyłkę”
    Bo mają duże bazy mailowe których nie ma bo sobie nie kupił T-mobile
    i taki mailing trafia zapewne również do “przyszłych” klientów firmy a nie tylko obecnych, byłych

  20. a domena jest “podejrzana” bo z normalnej firma zewnętrzna nie mogła by wysyłać bez
    zgrzytów z winy tych okropnych spf-ów i innych stafów które przeszkadzają w dotarciu meili do adresatów

  21. Od kilkunastu miesięcy dostaję z Netii powiadomienia o wystawieniu faktury na kwotę 0 zł. (słownie – zero) i braku zaległości w płatnościach. Bardzo mnie to cieszy. I bawi – ponieważ nie jestem i nie byłem klientem Netii. Faktura jest oczywiście dostępna na stronie, na moim koncie. Okazuje się (czyż to nie dziwne? :D ), że nie ma takiego konta. Duże brawa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.