4/8/2014
Nic dziwnego, że tyle osób nabiera się na fałszywe wiadomości e-mail z fakturami, skoro same firmy im to ułatwiają… Dziś 2 ciekawe przypadki prawdziwych (!!!) e-maili od znanych firm. W teście na phishing, pewnie każdy wskazałby je jako “fałszywe”, a tu taka niespodzianka…
Allegro, nawias, nawias, przecinek
Na początek Allegro. Kilku czytelników otrzymało wiadomość z lipcową fakturą za korzystanie z usług serwisu (Brzmi znajomo? Jeśli nie to porównaj z Nowa fala zainfekowanych żądań opłaty od Allegro). Wiadomość ta jednak jest prawdziwa, ale wygląda tak:
E-mail (prawdziwy) od Allegro, fot. Tomasz
I ma poprawne nagłówki:
Received: from unknown (HELO allegro.pl) ([10.214.5.46])
by smtpfarm.allegro.pl with ESMTP; 04 Aug 2014 10:30:25 +0200
Received: by allegro.pl (Postfix, from userid 33)
id 7346482B62; Mon, 4 Aug 2014 10:30:25 +0200 (CEST)
A więc zapewne był to błąd programistyczny, który obiecanego w treści e-maila imienia i nazwiska nie podpiął do wiadomości. W kontekście ostatnich ataków i ostrzeżenia wbudowanego w treść wiadomości potknięcie jest zabawne, ale nie straszne — link prowadzi do strony Allegro — faktura nie jest dołączona do wiadomości, więc przynajmniej użytkownicy serwisu nie podrapią się w głowę czy otworzyć PDF-a, czy nie…
T-Mobile z niewiadomoczego2011
T-Mobile to druga z marek wykorzystywanych ostatnio do ataków z e-mailowymi załącznikami (por. Fałszywe faktury od T-Mobile).
Klienci tej firmy otrzymali dziś takiego e-maila:
T-Mobile, prawdziwy e-mail z podejrzanej domeny, fot. Rafał
Też jest on prawdziwy (tzn. rzeczywiście pochodzi od T-Mobile i zawiera poprawne dane osobowe klienta), ale został wysłany z …”podejrzanej” domeny, należącej zapewne do jednej z agencji marketingowych obsługujących T-Mobile. Dlaczego zdecydowano się na taką wysyłkę? Chyba, żeby bardziej przyzwyczaić klientów do klikania w fałszywe e-maile. Kto wie, może w wakacje T-Mobile ma za mały ruch na infolinii?
Z kronikarskiego obowiązku, nagłóweczki:
Received-SPF: pass (mx5.o2.pl: domain of mbounce@ext.marketing-house.pl
designates 217.67.218.118 as permitted sender)
Received: from ext.marketing-house.pl by neptun.ermh.pl (MDaemon PRO v13.0.4)
with ESMTP id 60-md50000193239.msg
for ; Fri, 01 Aug 2014 21:47:50 +0200
X-Spam-Processed: neptun.ermh.pl, Fri, 01 Aug 2014 21:47:50 +0200
(not processed: message from trusted or authenticated source)
X-Authenticated-Sender: t-mobile@fne2011.pl
X-Return-Path: mbounce@ext.marketing-house.pl
X-Envelope-From: mbounce@ext.marketing-house.pl
X-MDaemon-Deliver-To:
X-Mailer: MIME-tools 5.411 (Entity 5.404)
From: T-Mobile Polska S.A. t-mobile@fne2011.pl
Marketerze, uważaj z mailingami!
Drogie firmy, apelujemy o ostrożność przy wysyłaniu mailingów. Zwłaszcza w ostatnim okresie pełno jest kampanii e-mailowych skierowanch w Waszych klientów. E-maile te wykorzystują socjotechnikę i podszywają się pod Wasz wizerunek aby nakłonić klienta do wykonania złośliwej akcji (otworzenia załącznika i zainfekowania sobie systemu operacyjnego).
Kampanie te stają się coraz bardziej dopracowane, dlatego powinniście, drogie firmy, bardzo uważnie konstruować każdą oficjalną wiadomość e-mail, którą wysyłacie swoim klientom. Chodzi zarówno o warstwę merytoryczną, jak i techniczną. Poniżej kilka wskazówek:
- Wiadomości wysyłajcie zawsze z adresu nadawcy w swojej oficjalnej domenie
- TECHNICZNE: Dla domeny ustawcie poprawnie nagłówek SPF. To wyeliminuje możliwość zespoofowania, czyli podszycia się przestępców pod wasz adres e-mail. Większość serwerów pocztowych wspiera SPF i oznacza e-maile pochodzące spoza dedykowanych serwerów jako spam (polecamy ustawienie tzw. hard faila czyli “-all“, a nie soft faila, czyli “~all“).
- TECHNICZNE: Skonfigurujcie serwer pocztowy do przyjmowania i wysyłania e-maili po SSL. Opis odpowiednich mechanizmów plus statystyki dotyczące tego, które polskie serwery pocztowe już wspierają szyfrowanie znajdziecie tutaj.
- Do klienta zawsze zwracajcie się po imieniu i nazwisku w pierwszej linii wiadomości. Scamerzy często nawet jeśli dysponują czyimś adresem e-mail, to nie posiadają innych danych osobowych ofiary.
- Nie dołączajcie załączników do wiadomości e-mail, ani nie umieszczajcie w niej linków. Przyzwyczajanie klientów do otwierania załączników/przechodzenia na stronę firmy po linkach jest zgubne. Pliki powinniście udostępniać na swoich firmowych stronach internetowych, po HTTPS. Dzięki takiemu podejściu, nawet jeśli klient zostanie oszukany przez treść e-maila, to jest szansa, że na własne konto w waszej usłudze zaloguje się w sposób bezpieczny (wpisując jej adres ręcznie lub korzystając z zakładki w swojej przeglądarce). Dodatkowo, w przypadku e-maili z podstawionym fałszywym linkiem do logowania, mechanizmy bezpieczeństwa przeglądarek będą w stanie je blokować.
- Przy mass-mailingu, czyli takiej samej treści kierowanej do wielu odbiorców, pamiętajcie o tym, aby adres klienta umieścić w polu BCC/UDW — inaczej pewnie ktoś poprosi Was o dofinansowanie bibliotek albo domów dziecka… por. Kolejne 10 000 PLN na hospicjum dla dzieci zdobyte.
Przede wszystkim jednak piszcie jasno. Niedawna wpadka mBanku jest dobrym przykładem tego, jak źle skomponowany komunikat ostrzegający przed atakiem może klientów narazić na atak jeszcze bardziej.
I na koniec, z ciekawych pomyłek, które wyglądały jak próby scamu, warto przypomnieć pomyłkę pracownika ING, gdzie zbyt “szeroki” dobór odbiorców wiadomości i treść oficjalnego komunikatu idealnie pokryła się w atak, o którym kilka dni wcześniej bank ostrzegał…
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Taaa, też się dziś zdziwiłem tym mailem od Allegro, ale jest OK.
Ciekawe czy wyślą poprawnego maila :)
Nigdy tego nie zrozumie – jaki jest problem zeby zrobic subdomene i z niej slac e-maile. Przeciez takie firmy jak t-mobile i inne telekomy nie maja 1000 klientow – spokojnie mozna stworzyc subdomene ktora mozna wydelegowac na inny serwer – firmy marketingowej chocby – zeby oni zajmowali sie obsluga serwerowa.
Chyba dużo zapytań mieli z Allegro ;-).
“Otrzymałeś dziś od nas powiadomienie o e-fakturze wystawionej za sprzedaż na Allegro w lipcu 2014 roku. Niestety, wiadomość ta nie zawierała w nagłówku tytułu, Twojego imienia i nazwiska ani loginu.
Jeśli otrzymałeś taką wiadomość, zapewniamy, że jest ona bezpieczna i została wysłana przez nasz serwis.
Błąd został już naprawiony i następne powiadomienia będą zawierały wszystkie konieczne elementy. Przepraszamy za powstałe utrudnienia.
Powiadomienia od Allegro powinny zawierać Twoje imię i nazwisko, co zwiększa bezpieczeństwo konta i chroni Cię przed otrzymywaniem fałszywych wiadomości. “
Lata lecą a oni się niczego nie uczą… Nieprawdopodobne.
Właśnie dostałem wiadomość (), :)
pzodrawiam
“W wersji supertechnicznej, dla maksymalnej ochrony treści wiadomości i pewnej weryfikacji tożsamości stron polecalibyśmy pobierać od klientów klucze GPG i szyfrować każdy e-mail do nich wysłanych ich kluczem oraz podpisywać swoim.”
A nie istnieje coś takiego, jak S/MIME? Idealnie nadaje się do potwierdzania oryginalności wiadomości :)
Poradnik dla phisherów;)
Dostałem takiego maila (o godzinie 9:26) ale dostałem też drugiego (o godzinie 14:59) o treści:
Mirosław xxxxxxxxx, powiadomienie dotyczące e-faKtury
Otrzymałeś dziś od nas powiadomienie o e-fakturze wystawionej za sprzedaż na Allegro w lipcu 2014 roku. Niestety, wiadomość ta nie zawierała w nagłówku tytułu, Twojego imienia i nazwiska ani loginu.
Jeśli otrzymałeś taką wiadomość, zapewniamy, że jest ona bezpieczna i została wysłana przez nasz serwis.
Błąd został już naprawiony i następne powiadomienia będą zawierały wszystkie konieczne elementy. Przepraszamy za powstałe utrudnienia.
Powiadomienia od Allegro powinny zawierać Twoje imię i nazwisko, co zwiększa bezpieczeństwo konta i chroni Cię przed otrzymywaniem fałszywych wiadomości.
Mnie najbardziej rozbraja PayPal z tymi swoimi mailami: http://demotywatory.pl/4280689/Brawo-PayPal
Czasami mam wrażenie, że te duże firmy same rozsyłają pishing, by wyłudzić od nas pieniądze, których im sami nie damy. A później się tłumaczą, że trzeba było uważać w co się klika, i że klient sam jest sobie winny, że mu zginęło kilka tysięcy z konta…
Ja nigdy w tym cholerstwie żadnych linków nie klikam. Zwykle albo jakieś dziwaczne domeny albo inne nie wiadomo co.
…są wakacje studenci za 1300zł modernizują infrastrukturę Allegro :-)
Firmy generalnie mają problem z komunikacją
1. Ostrzegają nas przed fałszywymi mailami i klikaniem w linki, a same “dziwne maile” nam wysyłają
2. Apelują o niepodawanie danych osobowych, ale wymagają potwierdzenia naszej tożsamości gdy do nas dzwonią z ofertą (nazwisko panieńskie matki, data urodzenia itp).
3. modyfikują wygląd stron www i aplikacji mobilnych, co dodatkowo ułatwia sprawę przestępcom.
Jak napisał przedpiśca wyżej: “Czasami mam wrażenie, że te duże firmy same rozsyłają pishing”
Artykuł przypominał mi jak działa paypal: oczywiście wszystko robimy w paypal.com, ale gdy chcemy przelać pieniądzie na swoje konto, zostajemy przekierowani na paypal-doladowania.pl. A wystarczyło by zrobić to jako subdomenę doladowania.paypal.com…
Przypomniałeś mi, że już się kiedyś nad tym pochylaliśmy: tytuł postu mówi wszystko: https://niebezpiecznik.pl/post/omujbosze-paypal-serio/
paypal-doladowania.pl nie nalezy do PayPal’a. To polska firma Blue Media z Sopotu. Najwidoczniej dogadali się z PP celem zrobienia strony do doładowania kont na PP przy użyciu rachunków bankowych. W sumie o domenę też mogliby się dogadać, ale mi tam to nie przeszkadza, ważne, że działa.
Dodałbym jeszcze informację o DomainKeys Identified Mail (DKIM) oraz Domain-based Message Authentication, Reporting & Conformance (DMARC) – oba możliwe do prostego ustawienia w Google Apps
No tak, może jeszcze ruch do 127.0.0.1 puśćmy przez gógla…
DKIM-em, SPF-em czy (ostatnio) DMARC-em łatwo zarządza się również z cPanela w większości dobrych hostingów. Ostatnio na swoim deweloperskim hostingu US-based znalazłem nawet ikony do ustawiania tego z poziomu home’a (wcześniej te funkcje były głęboko ukryte) :)
Nic nie pobije maili urzędowych instytucji UE. SPF na hard-failu (-all) i… wysyłka ZAWSZE z nieautoryzowanego IP :)
Dostałem ten mail od t-mobile i szczerze mówiąc mnie nie zaniepokoił, mimo że dość uważnie przyglądam się wiadomościom tego typu. Niemniej następnym razem osoba wysyłająca wiadomość powinna odrobinę bardziej uważać ;) Poradnik elegancki!
Tez niedawno ladowal
Najbardziej zrąbaną wysyłkę maili ma chyba DECATHLON. Ostatnio kupowałem u nich parę rzeczy przez sieć. Pomijając fakt, że kilka maili z informacją, że zamówienie czeka na odbiór, w ogóle nie dotarło (brak śladu w logach), to pozostałe przychodziły z adresami nadawcy z kilku różnych domen (co prawda należących do koncernu), także z nieistniejących w (publicznym przynajmniej) DNSie poddomen.
HELO się nie zgadzało z domeną nadawcy maila (RCPT) ani z odwrotnym DNSem – domeny w HELO należały do różnych tanich hostingów, a samo połączenie SMTP z moim serwerem też przychodziło z wirtualnych mazyn w tanich hostingach, przy czym nigdy domena z HELO nie zgadzała się z domeną hostingu, z którego połączenie wychodziło. Wygląda, jakby ktoś domyślnie wygenerowaną na hostingu X konfigurację postfixa (myhostname = …) przeniósł bez zmian na hosting Y.
Kilka maili przeszło przez Google.
Generalnie – totalny bałagan.
Czemu na screenie od allegro narysowaliście różowe strzałeczki, skoro róż to kolor charakterystyczny dla T-mobile? Przez to cały czas myślę, że pierwszy screen to mail od temobajla.
a propos t-mobile: zwróćcie uwagę, że majl od T zawiera informację o zmianie cen, a konkretnie o podwyżce. Oznacza to, że klient ma prawo zrezygnować bez ponoszenia kary, pod warunkiem, że dokona tego w ciągu 30 dni (do 1 września). Tylko skąd ma to wiedzieć, skoro majl wylądował w spamie? przypadek? oczywiście, że przypadek ;)
To już twoja sprawa, że mail wylądował w spamie. Może chciałbyś, żeby do każdego abonenta dzwonili i łaskawie pytali, czy mogą podnieść opłaty? W regulaminie masz na pewno wyraźnie napisane, że mogą zmienić regulamin kiedy chcą, ale muszą o tym powiadomić (niekoniecznie mailem, może być adnotacja na stronie) na jakiś czas przed wprowadzeniem zmian.
BTW: O jakiej karze mówisz? Jeśli umowa jest bezterminowa można ją rozwiązać w dowolnym momencie, jeśli zaś terminowa – przez cały czas obowiązują opłaty ustalone w trakcie jej podpisywania.
“Dlaczego zdecydowano się na taką wysyłkę”
Bo mają duże bazy mailowe których nie ma bo sobie nie kupił T-mobile
i taki mailing trafia zapewne również do “przyszłych” klientów firmy a nie tylko obecnych, byłych
a domena jest “podejrzana” bo z normalnej firma zewnętrzna nie mogła by wysyłać bez
zgrzytów z winy tych okropnych spf-ów i innych stafów które przeszkadzają w dotarciu meili do adresatów
Od kilkunastu miesięcy dostaję z Netii powiadomienia o wystawieniu faktury na kwotę 0 zł. (słownie – zero) i braku zaległości w płatnościach. Bardzo mnie to cieszy. I bawi – ponieważ nie jestem i nie byłem klientem Netii. Faktura jest oczywiście dostępna na stronie, na moim koncie. Okazuje się (czyż to nie dziwne? :D ), że nie ma takiego konta. Duże brawa.