10/4/2017
Od czytelników, którzy są także klientami Inteligo, od 2 dni otrzymujemy e-maile, zwracające nam uwagę na drobne potknięcie tego banku. E-maili w tej sprawie mamy jednak tyle, że postanowiliśmy wszystko opisać, aby mieć gdzie odsyłać kolejne informujące nas o tej sytuacji osoby. Co ciekawe, niektórzy z czytelników byli do tego stopnia “ostrożni”, że nawet zgłaszali nam tego e-maila od Inteligo jako “nową falę ataków”. Tak naprawdę, to jednak żaden atak, a po prostu niefortunny sposób komunikacji z klientami.
Pechowy 13 kwietnia
Otóż od kilku dni Inteligo rozsyła klientom informację o nowej funkcji w ich systemie. Problem w tym, że e-mail wygląda tak:
Witamy,
Od 13 kwietnia 2017 roku Klienci Inteligo będą mieli możliwość samodzielnego ustalania limitów dziennych na płatności internetowe.
Szczegóły w załączniku. Prosimy o otwarcie, zapoznanie się i zapisanie załączonego dokumentu.Pozdrawiamy
Zespół Inteligo
Oprócz zachęcania do praktyki, która w środowisku finansowym powoduje wiele problemów (otwieranie załączników z e-maili rzekomo od banku), Inteligo rozesłało swój mailing z serwera, którego adres IP nie jest wprost podany w rekordzie SPF wykorzystanego hosta:
spf=neutral (google.com: 193.109.225.250 is neither permitted nor denied by best guess record for domain of noreply@mailstats.pkobp.pl)
I to właśnie powoduje, że jeden z najpopularniejszych wśród Polaków dostawców poczty e-mail, GMail, przy Nadawcy wyświetla ikonę z ostrzeżeniem, która zaniepokoiła sporą część naszych mniej technicznych czytelników.
Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?
Naszym czytelnikom, którzy poinformowali nas o tej wiadomości, gratulujemy czujności. A tym, którzy bali się kliknąć w załącznik, podsyłamy jego bezpieczny printscreen:
PS. Pozdrawiamy też osoby, które przeczuwały publikację tego artykułu i od przedwczoraj w naszą wyszukiwarkę wciąż wprowadzały termin “inteligo” :)
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Fakt, że niezręcznie im to wyszło – ale wypadałoby dodać, że email i załącznik były opatrzone prawidłowym podpisem cyfrowym PKO BP.
Co OTOH oczywiście nie wyklucza możliwości wysyłki podpisanego pdf-a z “ciekawym” payloadem, [tu miejsce na dowcip o czapeczkach z folii amelininowej] ;)
W analizowanych przez nas przypadkach – podpisu cyfrowego nie stwierdzono. Ani w mailu ani w załączniku.
EDIT: podpis jest. Also gmail i smime to porazka.
To bardzo dziwne. Ja jestem ich wieloletnim klientem, i *zawsze* *każda* wiadomość, niezależnie czy wyciąg, powiadomienie czy inna duperela, jest podpisana cyfrowo.
Tak to wyglądało z mojego końca:
http://imgur.com/UnuMOMa
http://imgur.com/zcXZiTT
Nie ma takiej opcji. Nigdy nie wysłali wiadomości bez podpisu. Ja również otrzymałem ten list, i “podpis stwierdzono”.
Dla mnie hitem byla jakas firma windykacyjna (nie pamietam nazwy), ktora wysylala (i pewnie dalej wysyla) wezwania w formie skanu w jpeg zawinietego w pdf, zawinietego w samorozpakowujace sie archiwum 7z. Czyli dostajesz zalacznik .exe i informacje, ze masz go otworzyc i sie zastosowac, bo jak nie to zgina wszystkie male kotki w promieniu kilometra :)
I naprawdę taki PDF tylko z tekstem trzeba było wysyłać jako PDF? Nie można tego było zrobić bezpośrednio w email? :/
Dokładnie, coś tu śmierdzi…
Byłem wśród tych ostrożnych, którzy załącznika nie otworzyli – mail spełniał wszystkie przesłanki kwalifikujące go jako phishing. Dzięki za informację – nie muszę czekać do 13.IV
Nic, tylko pogratulować!
A raporty miesięczne przysyłają w formacie HTML! Tu parę zdań, informacja w zasadzie błaha i aż w pdf? Zupełny bezsens. No, ale oficjalne pismo niby na firmowym papierze, to już nie to samo co zwykły email!
Raporty przychodzą w takim formacie jaki sobie ustawisz. Nie siej paniki. Można nawet podać certyfikat aby otrzymywać je w zaszyfrowanej postaci: http://inteligo.pl/konto/funkcjonalnosci/wyciagi-z-konta/
“Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?”
Chyba was coś pogieło – dlaczego dział marketingu miałby się komunikować z działem bezpieczeństwa – naprawdę macie sprane mózgi.
Gdyż cała korespondencja wychodząca z banku(nie placówki) do klienta oraz zmiany produkcyjne trafiają do bezpieczników i to jest normalne?
Jestem akurat adminem w banku z czerwonym logiem i białym tekstem. To co widać, to zapewne jakiś PM cisnął zespół za to odpowiedzialny , admini przyklasnęli na pominięcie bezpieczników gdyż ów PM jęczał za uchem,a suma summarum – całość poszła dalej bez jakiejkolwiek weryfikacji. Teraz będą mieli bardzo ciepło w pracy, za równo ów PM, marketingowcy , jak i admin :)
A chociażby dlatego, by nie trafić na jakieś blacklisty tworzone przez osoby wyczulone na phishing albo automatycznego wpadania do katalogów poczty typu virus/spam. Niekoniecznie przy każdym mailingu, ale choćby w formie szkolenia jak wysyłać maile, aby uniknąć problemów.
haha, co to za agresja, skąd tyle żółci w tak błahej sprawie… Może dla własnego zdrowia nie czytaj Niebezpiecznika, skoro uważasz, że prowadzony jest przez pogiętych ludzi ze spranymi mózgami?:)
Brak uwierzytelnienia poczty za pomocą SPF to jest bolączka mniejszych firm. Nagminnie to widzę w Gmailu.
SPF to zwyczajnie plaster na przestarzały protokół SMTP/POP3. Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.
Najlepiej też byłoby DNS zaorać, ale tu dłużej by trwała przesiadka (jak wyłączysz nagle DNS i karzesz updateo’wać soft do nowego standardu bo nie działa to cały internet padnie a nie każdy ma kopię w hosts/pamięta IP-ki, jak wyłączysz wszelkie SMTP/POP3/IMAP to parę nieroprezesów się wkurwi ale po instalacji nowych klientów i serwerów e-mail wszystko będzie OK)
Najlepiej też byłoby dodatkowo wprowadzić wymaganie prawne, ale w obecnym klimacie politycznym mało to prawdopodobne.
“Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.” Ciężko mi sobie wyobrazić, żeby najwięksi dostawcy poczty elektronicznej, zwłaszcza G****Mail, zgodzili się na szyfrowanie w standardzie. Chyba, że chodzi o jakiś kolejny dziurawy system, który daje pośrednikowi dostęp do przesyłanych danych.
Niestety ale do wyciekow danych bedzie dochodzilo coraz czesciej i nie tu jest najwieksze zagrozenie i blad systemu z ktorym nikt nie chce walczyc, bo to jest w interesie bankow i firm pozyczkowych. Najwiekszym problemem jest uproszczona metoda zakladania konta w banku i kredytu konsumpcyjnego. Wystarczy zdobyc odpowiednie dane lub ksero dowodu osobistego a oszust moze wziac za was kredyt lub pozyczke. Wystarczy, ze ktos nakloni was do przelewu za zlotowke i w ten sposob zalozy na wasze dane drugie konto z ktorego tez wezmie kredyt lub pozyczke. A pozniej bedzie was scigac komornik i bedziecie wloczeni po sadach i udowadniac, ze to nie wy a jakis oszust sie pod was podszyl. Tyle lat sie o tym mowi ale lobby bankowe mocno blokuja zmiany a zwykli ludzie na tym traca.
W mojej opinii trochę nadmuchany temat. Podpis cyfrowy był. Banki zazwyczaj wysyłają dużo dokumentów jako załączniki PDF (chociażby nowy TOiP).
prosze:
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
PKO BP ma jeszcze inne permanentne potknięcie. Otóż niektóre transakcje weryfikują oni telefonicznie. Niby pomysł dobry, tylko osoba dzwoniąca sama nie przedstawia żadnych informacji uwiarygadniających że dzwoni z banku, a wymaga podania daty urodzenia, adresu zamieszkania i nazwiska panieńskiego matki. Dopiero po podaniu tych danych podają kwotę transakcji, parę cyfr z rachunku odbiorcy i proszą o potwierdzenie. Na prawdę nic by im się nie stało, gdyby podali te dane PRZED podaniem danych przez klienta, skoro to oni dzwonią. A tak tylko przyzwyczajają ludzi do takich wyłudzeń. Na dopytywanie się skąd mam wiedzieć że to bank mówią tylko że mogę sprawdzić w internecie że to numer do banku. Twierdzą że nie ma takiej możliwości że to ja oddzwonię na znany mi numer banku i potwierdzę transakcję.
Mi nie było szkoda chwili czasu na zrobienie reguł @ zwłaszcza jak 16/17 jest znaczny wzrost małpiego cyrku, ale to prywatnie. Firmy niestety muszą się borykać i zabezpieczać.