11:13
10/4/2017

Od czytelników, którzy są także klientami Inteligo, od 2 dni otrzymujemy e-maile, zwracające nam uwagę na drobne potknięcie tego banku. E-maili w tej sprawie mamy jednak tyle, że postanowiliśmy wszystko opisać, aby mieć gdzie odsyłać kolejne informujące nas o tej sytuacji osoby. Co ciekawe, niektórzy z czytelników byli do tego stopnia “ostrożni”, że nawet zgłaszali nam tego e-maila od Inteligo jako “nową falę ataków”. Tak naprawdę, to jednak żaden atak, a po prostu niefortunny sposób komunikacji z klientami.

Pechowy 13 kwietnia

Otóż od kilku dni Inteligo rozsyła klientom informację o nowej funkcji w ich systemie. Problem w tym, że e-mail wygląda tak:

Witamy,
Od 13 kwietnia 2017 roku Klienci Inteligo będą mieli możliwość samodzielnego ustalania limitów dziennych na płatności internetowe.
Szczegóły w załączniku. Prosimy o otwarcie, zapoznanie się i zapisanie załączonego dokumentu.

Pozdrawiamy
Zespół Inteligo

Oprócz zachęcania do praktyki, która w środowisku finansowym powoduje wiele problemów (otwieranie załączników z e-maili rzekomo od banku), Inteligo rozesłało swój mailing z serwera, którego adres IP nie jest wprost podany w rekordzie SPF wykorzystanego hosta:

spf=neutral (google.com: 193.109.225.250 is neither permitted nor denied by best guess record for domain of noreply@mailstats.pkobp.pl)

I to właśnie powoduje, że jeden z najpopularniejszych wśród Polaków dostawców poczty e-mail, GMail, przy Nadawcy wyświetla ikonę z ostrzeżeniem, która zaniepokoiła sporą część naszych mniej technicznych czytelników.

Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?

Naszym czytelnikom, którzy poinformowali nas o tej wiadomości, gratulujemy czujności. A tym, którzy bali się kliknąć w załącznik, podsyłamy jego bezpieczny printscreen:

PS. Pozdrawiamy też osoby, które przeczuwały publikację tego artykułu i od przedwczoraj w naszą wyszukiwarkę wciąż wprowadzały termin “inteligo” :)

Przeczytaj także:

22 komentarzy

Dodaj komentarz
 1. Fakt, że niezręcznie im to wyszło – ale wypadałoby dodać, że email i załącznik były opatrzone prawidłowym podpisem cyfrowym PKO BP.
  Co OTOH oczywiście nie wyklucza możliwości wysyłki podpisanego pdf-a z “ciekawym” payloadem, [tu miejsce na dowcip o czapeczkach z folii amelininowej] ;)

  • W analizowanych przez nas przypadkach – podpisu cyfrowego nie stwierdzono. Ani w mailu ani w załączniku.

   EDIT: podpis jest. Also gmail i smime to porazka.

  • To bardzo dziwne. Ja jestem ich wieloletnim klientem, i *zawsze* *każda* wiadomość, niezależnie czy wyciąg, powiadomienie czy inna duperela, jest podpisana cyfrowo.
   Tak to wyglądało z mojego końca:
   http://imgur.com/UnuMOMa
   http://imgur.com/zcXZiTT

  • Nie ma takiej opcji. Nigdy nie wysłali wiadomości bez podpisu. Ja również otrzymałem ten list, i “podpis stwierdzono”.

 2. Dla mnie hitem byla jakas firma windykacyjna (nie pamietam nazwy), ktora wysylala (i pewnie dalej wysyla) wezwania w formie skanu w jpeg zawinietego w pdf, zawinietego w samorozpakowujace sie archiwum 7z. Czyli dostajesz zalacznik .exe i informacje, ze masz go otworzyc i sie zastosowac, bo jak nie to zgina wszystkie male kotki w promieniu kilometra :)

 3. I naprawdę taki PDF tylko z tekstem trzeba było wysyłać jako PDF? Nie można tego było zrobić bezpośrednio w email? :/

  • Dokładnie, coś tu śmierdzi…

 4. Byłem wśród tych ostrożnych, którzy załącznika nie otworzyli – mail spełniał wszystkie przesłanki kwalifikujące go jako phishing. Dzięki za informację – nie muszę czekać do 13.IV

 5. Nic, tylko pogratulować!

  A raporty miesięczne przysyłają w formacie HTML! Tu parę zdań, informacja w zasadzie błaha i aż w pdf? Zupełny bezsens. No, ale oficjalne pismo niby na firmowym papierze, to już nie to samo co zwykły email!

 6. “Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?”
  Chyba was coś pogieło – dlaczego dział marketingu miałby się komunikować z działem bezpieczeństwa – naprawdę macie sprane mózgi.

  • Gdyż cała korespondencja wychodząca z banku(nie placówki) do klienta oraz zmiany produkcyjne trafiają do bezpieczników i to jest normalne?
   Jestem akurat adminem w banku z czerwonym logiem i białym tekstem. To co widać, to zapewne jakiś PM cisnął zespół za to odpowiedzialny , admini przyklasnęli na pominięcie bezpieczników gdyż ów PM jęczał za uchem,a suma summarum – całość poszła dalej bez jakiejkolwiek weryfikacji. Teraz będą mieli bardzo ciepło w pracy, za równo ów PM, marketingowcy , jak i admin :)

  • A chociażby dlatego, by nie trafić na jakieś blacklisty tworzone przez osoby wyczulone na phishing albo automatycznego wpadania do katalogów poczty typu virus/spam. Niekoniecznie przy każdym mailingu, ale choćby w formie szkolenia jak wysyłać maile, aby uniknąć problemów.

  • haha, co to za agresja, skąd tyle żółci w tak błahej sprawie… Może dla własnego zdrowia nie czytaj Niebezpiecznika, skoro uważasz, że prowadzony jest przez pogiętych ludzi ze spranymi mózgami?:)

 7. Brak uwierzytelnienia poczty za pomocą SPF to jest bolączka mniejszych firm. Nagminnie to widzę w Gmailu.

  • SPF to zwyczajnie plaster na przestarzały protokół SMTP/POP3. Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.

   Najlepiej też byłoby DNS zaorać, ale tu dłużej by trwała przesiadka (jak wyłączysz nagle DNS i karzesz updateo’wać soft do nowego standardu bo nie działa to cały internet padnie a nie każdy ma kopię w hosts/pamięta IP-ki, jak wyłączysz wszelkie SMTP/POP3/IMAP to parę nieroprezesów się wkurwi ale po instalacji nowych klientów i serwerów e-mail wszystko będzie OK)

   Najlepiej też byłoby dodatkowo wprowadzić wymaganie prawne, ale w obecnym klimacie politycznym mało to prawdopodobne.

  • “Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.” Ciężko mi sobie wyobrazić, żeby najwięksi dostawcy poczty elektronicznej, zwłaszcza G****Mail, zgodzili się na szyfrowanie w standardzie. Chyba, że chodzi o jakiś kolejny dziurawy system, który daje pośrednikowi dostęp do przesyłanych danych.

 8. Niestety ale do wyciekow danych bedzie dochodzilo coraz czesciej i nie tu jest najwieksze zagrozenie i blad systemu z ktorym nikt nie chce walczyc, bo to jest w interesie bankow i firm pozyczkowych. Najwiekszym problemem jest uproszczona metoda zakladania konta w banku i kredytu konsumpcyjnego. Wystarczy zdobyc odpowiednie dane lub ksero dowodu osobistego a oszust moze wziac za was kredyt lub pozyczke. Wystarczy, ze ktos nakloni was do przelewu za zlotowke i w ten sposob zalozy na wasze dane drugie konto z ktorego tez wezmie kredyt lub pozyczke. A pozniej bedzie was scigac komornik i bedziecie wloczeni po sadach i udowadniac, ze to nie wy a jakis oszust sie pod was podszyl. Tyle lat sie o tym mowi ale lobby bankowe mocno blokuja zmiany a zwykli ludzie na tym traca.

 9. W mojej opinii trochę nadmuchany temat. Podpis cyfrowy był. Banki zazwyczaj wysyłają dużo dokumentów jako załączniki PDF (chociażby nowy TOiP).

 10. prosze:

  —–BEGIN CERTIFICATE—–
  MIIGITCCBQmgAwIBAgIQCdmwVYGszrm3DvVMp2g8mzANBgkqhkiG9w0BAQUFADB3
  MQswCQYDVQQGEwJQTDEiMCAGA1UEChMZVW5pemV0byBUZWNobm9sb2dpZXMgUy5B
  LjEnMCUGA1UECxMeQ2VydHVtIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MRswGQYD
  VQQDExJDZXJ0dW0gTGV2ZWwgSVYgQ0EwHhcNMTYxMTMwMTM1NzE5WhcNMTcxMTMw
  MTM1NzE5WjCBuzELMAkGA1UEBhMCUEwxNjA0BgNVBAoMLVBvd3N6ZWNobmEgS2Fz
  YSBPc3pjemVkbm9zY2kgQmFuayBQb2xza2kgUy5BLjEcMBoGA1UECwwTU2VjdXJp
  dHkgRGVwYXJ0bWVudDERMA8GA1UEBwwIV0FSU1pBV0ExGzAZBgNVBAMMElBLTyBC
  QU5LIFBPTFNLSSBTQTEmMCQGCSqGSIb3DQEJARYXYWt0dWFsbm9zY2lAaW50ZWxp
  Z28ucGwwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCz7lBp5rDSLrke
  wZ9hMqrETBhzjNqakeG8ONZcqur8Cjvi7aBB+AzcUEwltwxPzfxMaKgxup21fTnZ
  hGRcxCmMmy9hcLxi0eImIb8VNFyZ0NcTClQXTk+WgVqfd2NPO5oaYLCMZAsF43a4
  0CGF6BrpRmrtqymYMQ+8bIAe2JSnzQCvrS7fWaHjctHXyX04bYp8+Q+lGXfnlxyE
  9hVaJNh2w3lWWEHXHXcxMqpTMUs1w58N6cuissS2PilU4ydDCQ5rw8wCevdDkNJn
  P0hL9e2LzMKTfi/rGTmN4E0lWX4louDldfQpCIqJtD3EQtL83r9PKaJymIFDjulJ
  njynUc8XAgMBAAGjggJiMIICXjAMBgNVHRMBAf8EAjAAMB8GA1UdIwQYMBaAFM1K
  RsoDZZDmMRAagsalHF7RUM8fMB0GA1UdDgQWBBRBpqpJV/1qJrfD5NyxVuHvekpE
  cTAOBgNVHQ8BAf8EBAMCBPAwYQYIKwYBBQUHAQEEVTBTMCEGCCsGAQUFBzABhhVo
  dHRwOi8vb2NzcC5jZXJ0dW0ucGwwLgYIKwYBBQUHMAKGImh0dHA6Ly9yZXBvc2l0
  b3J5LmNlcnR1bS5wbC9sNC5jZXIwggEVBgNVHSAEggEMMIIBCDCCAQQGCiqEaAGG
  9ncCAgQwgfUwgfIGCCsGAQUFBwICMIHlMCAWGVVuaXpldG8gVGVjaG5vbG9naWVz
  IFMuQS4wAwIBARqBwFVzYWdlIG9mIHRoaXMgY2VydGlmaWNhdGUgaXMgc3RyaWN0
  bHkgc3ViamVjdGVkIHRvIHRoZSBDRVJUVU0gQ2VydGlmaWNhdGlvbiBQcmFjdGlj
  ZSBTdGF0ZW1lbnQgKENQUykgaW5jb3Jwb3JhdGVkIGJ5IHJlZmVyZW5jZSBoZXJl
  aW4gYW5kIGluIHRoZSByZXBvc2l0b3J5IGF0IGh0dHBzOi8vd3d3LmNlcnR1bS5w
  bC9yZXBvc2l0b3J5LjAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwQwEQYJ
  YIZIAYb4QgEBBAQDAgWgMCwGA1UdHwQlMCMwIaAfoB2GG2h0dHA6Ly9jcmwuY2Vy
  dHVtLnBsL2w0LmNybDAiBgNVHREEGzAZgRdha3R1YWxub3NjaUBpbnRlbGlnby5w
  bDANBgkqhkiG9w0BAQUFAAOCAQEAhenveLFeoJYlpOrS2WEl7Pk30HOZ9TYYuwzA
  YGcanOkJsfqzGUFmj+5nSgqJggb/TrV09QNohFMwjslmA2Dy/8hMA0wTyyQUbSsl
  023W3iQoBxOlXHp9Ivd2FMZk0Ed0u22aScTwsxkLDFwsaCNJWnMys05kHu6iiNw9
  1SPu9qRHGymvE0MqpCyXnsBypZ2W2gKuLD1SuIsjxoRmqGT53OOX5CdmuJE93GNy
  R256JNluSPXls2kdod3aKQBRT7x8nVudBm/EsdBbXIesYW/Kr7oVh9cawCOOf7md
  iG+8hK4b/YLDxiy9hlvsLujG4AfXgqLan6TsQgF1/07853HuqQ==
  —–END CERTIFICATE—–

 11. PKO BP ma jeszcze inne permanentne potknięcie. Otóż niektóre transakcje weryfikują oni telefonicznie. Niby pomysł dobry, tylko osoba dzwoniąca sama nie przedstawia żadnych informacji uwiarygadniających że dzwoni z banku, a wymaga podania daty urodzenia, adresu zamieszkania i nazwiska panieńskiego matki. Dopiero po podaniu tych danych podają kwotę transakcji, parę cyfr z rachunku odbiorcy i proszą o potwierdzenie. Na prawdę nic by im się nie stało, gdyby podali te dane PRZED podaniem danych przez klienta, skoro to oni dzwonią. A tak tylko przyzwyczajają ludzi do takich wyłudzeń. Na dopytywanie się skąd mam wiedzieć że to bank mówią tylko że mogę sprawdzić w internecie że to numer do banku. Twierdzą że nie ma takiej możliwości że to ja oddzwonię na znany mi numer banku i potwierdzę transakcję.

 12. Mi nie było szkoda chwili czasu na zrobienie reguł @ zwłaszcza jak 16/17 jest znaczny wzrost małpiego cyrku, ale to prywatnie. Firmy niestety muszą się borykać i zabezpieczać.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: