11:13
10/4/2017

Od czytelników, którzy są także klientami Inteligo, od 2 dni otrzymujemy e-maile, zwracające nam uwagę na drobne potknięcie tego banku. E-maili w tej sprawie mamy jednak tyle, że postanowiliśmy wszystko opisać, aby mieć gdzie odsyłać kolejne informujące nas o tej sytuacji osoby. Co ciekawe, niektórzy z czytelników byli do tego stopnia “ostrożni”, że nawet zgłaszali nam tego e-maila od Inteligo jako “nową falę ataków”. Tak naprawdę, to jednak żaden atak, a po prostu niefortunny sposób komunikacji z klientami.

Pechowy 13 kwietnia

Otóż od kilku dni Inteligo rozsyła klientom informację o nowej funkcji w ich systemie. Problem w tym, że e-mail wygląda tak:

Witamy,
Od 13 kwietnia 2017 roku Klienci Inteligo będą mieli możliwość samodzielnego ustalania limitów dziennych na płatności internetowe.
Szczegóły w załączniku. Prosimy o otwarcie, zapoznanie się i zapisanie załączonego dokumentu.

Pozdrawiamy
Zespół Inteligo

Oprócz zachęcania do praktyki, która w środowisku finansowym powoduje wiele problemów (otwieranie załączników z e-maili rzekomo od banku), Inteligo rozesłało swój mailing z serwera, którego adres IP nie jest wprost podany w rekordzie SPF wykorzystanego hosta:

spf=neutral (google.com: 193.109.225.250 is neither permitted nor denied by best guess record for domain of noreply@mailstats.pkobp.pl)

I to właśnie powoduje, że jeden z najpopularniejszych wśród Polaków dostawców poczty e-mail, GMail, przy Nadawcy wyświetla ikonę z ostrzeżeniem, która zaniepokoiła sporą część naszych mniej technicznych czytelników.

Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?

Naszym czytelnikom, którzy poinformowali nas o tej wiadomości, gratulujemy czujności. A tym, którzy bali się kliknąć w załącznik, podsyłamy jego bezpieczny printscreen:

PS. Pozdrawiamy też osoby, które przeczuwały publikację tego artykułu i od przedwczoraj w naszą wyszukiwarkę wciąż wprowadzały termin “inteligo” :)

Przeczytaj także:


22 komentarzy

Dodaj komentarz
  1. Fakt, że niezręcznie im to wyszło – ale wypadałoby dodać, że email i załącznik były opatrzone prawidłowym podpisem cyfrowym PKO BP.
    Co OTOH oczywiście nie wyklucza możliwości wysyłki podpisanego pdf-a z “ciekawym” payloadem, [tu miejsce na dowcip o czapeczkach z folii amelininowej] ;)

    • W analizowanych przez nas przypadkach – podpisu cyfrowego nie stwierdzono. Ani w mailu ani w załączniku.

      EDIT: podpis jest. Also gmail i smime to porazka.

    • To bardzo dziwne. Ja jestem ich wieloletnim klientem, i *zawsze* *każda* wiadomość, niezależnie czy wyciąg, powiadomienie czy inna duperela, jest podpisana cyfrowo.
      Tak to wyglądało z mojego końca:
      http://imgur.com/UnuMOMa
      http://imgur.com/zcXZiTT

    • Nie ma takiej opcji. Nigdy nie wysłali wiadomości bez podpisu. Ja również otrzymałem ten list, i “podpis stwierdzono”.

  2. Dla mnie hitem byla jakas firma windykacyjna (nie pamietam nazwy), ktora wysylala (i pewnie dalej wysyla) wezwania w formie skanu w jpeg zawinietego w pdf, zawinietego w samorozpakowujace sie archiwum 7z. Czyli dostajesz zalacznik .exe i informacje, ze masz go otworzyc i sie zastosowac, bo jak nie to zgina wszystkie male kotki w promieniu kilometra :)

  3. I naprawdę taki PDF tylko z tekstem trzeba było wysyłać jako PDF? Nie można tego było zrobić bezpośrednio w email? :/

    • Dokładnie, coś tu śmierdzi…

  4. Byłem wśród tych ostrożnych, którzy załącznika nie otworzyli – mail spełniał wszystkie przesłanki kwalifikujące go jako phishing. Dzięki za informację – nie muszę czekać do 13.IV

  5. Nic, tylko pogratulować!

    A raporty miesięczne przysyłają w formacie HTML! Tu parę zdań, informacja w zasadzie błaha i aż w pdf? Zupełny bezsens. No, ale oficjalne pismo niby na firmowym papierze, to już nie to samo co zwykły email!

  6. “Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?”
    Chyba was coś pogieło – dlaczego dział marketingu miałby się komunikować z działem bezpieczeństwa – naprawdę macie sprane mózgi.

    • Gdyż cała korespondencja wychodząca z banku(nie placówki) do klienta oraz zmiany produkcyjne trafiają do bezpieczników i to jest normalne?
      Jestem akurat adminem w banku z czerwonym logiem i białym tekstem. To co widać, to zapewne jakiś PM cisnął zespół za to odpowiedzialny , admini przyklasnęli na pominięcie bezpieczników gdyż ów PM jęczał za uchem,a suma summarum – całość poszła dalej bez jakiejkolwiek weryfikacji. Teraz będą mieli bardzo ciepło w pracy, za równo ów PM, marketingowcy , jak i admin :)

    • A chociażby dlatego, by nie trafić na jakieś blacklisty tworzone przez osoby wyczulone na phishing albo automatycznego wpadania do katalogów poczty typu virus/spam. Niekoniecznie przy każdym mailingu, ale choćby w formie szkolenia jak wysyłać maile, aby uniknąć problemów.

    • haha, co to za agresja, skąd tyle żółci w tak błahej sprawie… Może dla własnego zdrowia nie czytaj Niebezpiecznika, skoro uważasz, że prowadzony jest przez pogiętych ludzi ze spranymi mózgami?:)

  7. Brak uwierzytelnienia poczty za pomocą SPF to jest bolączka mniejszych firm. Nagminnie to widzę w Gmailu.

    • SPF to zwyczajnie plaster na przestarzały protokół SMTP/POP3. Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.

      Najlepiej też byłoby DNS zaorać, ale tu dłużej by trwała przesiadka (jak wyłączysz nagle DNS i karzesz updateo’wać soft do nowego standardu bo nie działa to cały internet padnie a nie każdy ma kopię w hosts/pamięta IP-ki, jak wyłączysz wszelkie SMTP/POP3/IMAP to parę nieroprezesów się wkurwi ale po instalacji nowych klientów i serwerów e-mail wszystko będzie OK)

      Najlepiej też byłoby dodatkowo wprowadzić wymaganie prawne, ale w obecnym klimacie politycznym mało to prawdopodobne.

    • “Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.” Ciężko mi sobie wyobrazić, żeby najwięksi dostawcy poczty elektronicznej, zwłaszcza G****Mail, zgodzili się na szyfrowanie w standardzie. Chyba, że chodzi o jakiś kolejny dziurawy system, który daje pośrednikowi dostęp do przesyłanych danych.

  8. Niestety ale do wyciekow danych bedzie dochodzilo coraz czesciej i nie tu jest najwieksze zagrozenie i blad systemu z ktorym nikt nie chce walczyc, bo to jest w interesie bankow i firm pozyczkowych. Najwiekszym problemem jest uproszczona metoda zakladania konta w banku i kredytu konsumpcyjnego. Wystarczy zdobyc odpowiednie dane lub ksero dowodu osobistego a oszust moze wziac za was kredyt lub pozyczke. Wystarczy, ze ktos nakloni was do przelewu za zlotowke i w ten sposob zalozy na wasze dane drugie konto z ktorego tez wezmie kredyt lub pozyczke. A pozniej bedzie was scigac komornik i bedziecie wloczeni po sadach i udowadniac, ze to nie wy a jakis oszust sie pod was podszyl. Tyle lat sie o tym mowi ale lobby bankowe mocno blokuja zmiany a zwykli ludzie na tym traca.

  9. W mojej opinii trochę nadmuchany temat. Podpis cyfrowy był. Banki zazwyczaj wysyłają dużo dokumentów jako załączniki PDF (chociażby nowy TOiP).

  10. prosze:

    —–BEGIN CERTIFICATE—–
    MIIGITCCBQmgAwIBAgIQCdmwVYGszrm3DvVMp2g8mzANBgkqhkiG9w0BAQUFADB3
    MQswCQYDVQQGEwJQTDEiMCAGA1UEChMZVW5pemV0byBUZWNobm9sb2dpZXMgUy5B
    LjEnMCUGA1UECxMeQ2VydHVtIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MRswGQYD
    VQQDExJDZXJ0dW0gTGV2ZWwgSVYgQ0EwHhcNMTYxMTMwMTM1NzE5WhcNMTcxMTMw
    MTM1NzE5WjCBuzELMAkGA1UEBhMCUEwxNjA0BgNVBAoMLVBvd3N6ZWNobmEgS2Fz
    YSBPc3pjemVkbm9zY2kgQmFuayBQb2xza2kgUy5BLjEcMBoGA1UECwwTU2VjdXJp
    dHkgRGVwYXJ0bWVudDERMA8GA1UEBwwIV0FSU1pBV0ExGzAZBgNVBAMMElBLTyBC
    QU5LIFBPTFNLSSBTQTEmMCQGCSqGSIb3DQEJARYXYWt0dWFsbm9zY2lAaW50ZWxp
    Z28ucGwwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCz7lBp5rDSLrke
    wZ9hMqrETBhzjNqakeG8ONZcqur8Cjvi7aBB+AzcUEwltwxPzfxMaKgxup21fTnZ
    hGRcxCmMmy9hcLxi0eImIb8VNFyZ0NcTClQXTk+WgVqfd2NPO5oaYLCMZAsF43a4
    0CGF6BrpRmrtqymYMQ+8bIAe2JSnzQCvrS7fWaHjctHXyX04bYp8+Q+lGXfnlxyE
    9hVaJNh2w3lWWEHXHXcxMqpTMUs1w58N6cuissS2PilU4ydDCQ5rw8wCevdDkNJn
    P0hL9e2LzMKTfi/rGTmN4E0lWX4louDldfQpCIqJtD3EQtL83r9PKaJymIFDjulJ
    njynUc8XAgMBAAGjggJiMIICXjAMBgNVHRMBAf8EAjAAMB8GA1UdIwQYMBaAFM1K
    RsoDZZDmMRAagsalHF7RUM8fMB0GA1UdDgQWBBRBpqpJV/1qJrfD5NyxVuHvekpE
    cTAOBgNVHQ8BAf8EBAMCBPAwYQYIKwYBBQUHAQEEVTBTMCEGCCsGAQUFBzABhhVo
    dHRwOi8vb2NzcC5jZXJ0dW0ucGwwLgYIKwYBBQUHMAKGImh0dHA6Ly9yZXBvc2l0
    b3J5LmNlcnR1bS5wbC9sNC5jZXIwggEVBgNVHSAEggEMMIIBCDCCAQQGCiqEaAGG
    9ncCAgQwgfUwgfIGCCsGAQUFBwICMIHlMCAWGVVuaXpldG8gVGVjaG5vbG9naWVz
    IFMuQS4wAwIBARqBwFVzYWdlIG9mIHRoaXMgY2VydGlmaWNhdGUgaXMgc3RyaWN0
    bHkgc3ViamVjdGVkIHRvIHRoZSBDRVJUVU0gQ2VydGlmaWNhdGlvbiBQcmFjdGlj
    ZSBTdGF0ZW1lbnQgKENQUykgaW5jb3Jwb3JhdGVkIGJ5IHJlZmVyZW5jZSBoZXJl
    aW4gYW5kIGluIHRoZSByZXBvc2l0b3J5IGF0IGh0dHBzOi8vd3d3LmNlcnR1bS5w
    bC9yZXBvc2l0b3J5LjAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwQwEQYJ
    YIZIAYb4QgEBBAQDAgWgMCwGA1UdHwQlMCMwIaAfoB2GG2h0dHA6Ly9jcmwuY2Vy
    dHVtLnBsL2w0LmNybDAiBgNVHREEGzAZgRdha3R1YWxub3NjaUBpbnRlbGlnby5w
    bDANBgkqhkiG9w0BAQUFAAOCAQEAhenveLFeoJYlpOrS2WEl7Pk30HOZ9TYYuwzA
    YGcanOkJsfqzGUFmj+5nSgqJggb/TrV09QNohFMwjslmA2Dy/8hMA0wTyyQUbSsl
    023W3iQoBxOlXHp9Ivd2FMZk0Ed0u22aScTwsxkLDFwsaCNJWnMys05kHu6iiNw9
    1SPu9qRHGymvE0MqpCyXnsBypZ2W2gKuLD1SuIsjxoRmqGT53OOX5CdmuJE93GNy
    R256JNluSPXls2kdod3aKQBRT7x8nVudBm/EsdBbXIesYW/Kr7oVh9cawCOOf7md
    iG+8hK4b/YLDxiy9hlvsLujG4AfXgqLan6TsQgF1/07853HuqQ==
    —–END CERTIFICATE—–

  11. PKO BP ma jeszcze inne permanentne potknięcie. Otóż niektóre transakcje weryfikują oni telefonicznie. Niby pomysł dobry, tylko osoba dzwoniąca sama nie przedstawia żadnych informacji uwiarygadniających że dzwoni z banku, a wymaga podania daty urodzenia, adresu zamieszkania i nazwiska panieńskiego matki. Dopiero po podaniu tych danych podają kwotę transakcji, parę cyfr z rachunku odbiorcy i proszą o potwierdzenie. Na prawdę nic by im się nie stało, gdyby podali te dane PRZED podaniem danych przez klienta, skoro to oni dzwonią. A tak tylko przyzwyczajają ludzi do takich wyłudzeń. Na dopytywanie się skąd mam wiedzieć że to bank mówią tylko że mogę sprawdzić w internecie że to numer do banku. Twierdzą że nie ma takiej możliwości że to ja oddzwonię na znany mi numer banku i potwierdzę transakcję.

  12. Mi nie było szkoda chwili czasu na zrobienie reguł @ zwłaszcza jak 16/17 jest znaczny wzrost małpiego cyrku, ale to prywatnie. Firmy niestety muszą się borykać i zabezpieczać.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: