11:13
10/4/2017

Od czytelników, którzy są także klientami Inteligo, od 2 dni otrzymujemy e-maile, zwracające nam uwagę na drobne potknięcie tego banku. E-maili w tej sprawie mamy jednak tyle, że postanowiliśmy wszystko opisać, aby mieć gdzie odsyłać kolejne informujące nas o tej sytuacji osoby. Co ciekawe, niektórzy z czytelników byli do tego stopnia “ostrożni”, że nawet zgłaszali nam tego e-maila od Inteligo jako “nową falę ataków”. Tak naprawdę, to jednak żaden atak, a po prostu niefortunny sposób komunikacji z klientami.

Pechowy 13 kwietnia

Otóż od kilku dni Inteligo rozsyła klientom informację o nowej funkcji w ich systemie. Problem w tym, że e-mail wygląda tak:

Witamy,
Od 13 kwietnia 2017 roku Klienci Inteligo będą mieli możliwość samodzielnego ustalania limitów dziennych na płatności internetowe.
Szczegóły w załączniku. Prosimy o otwarcie, zapoznanie się i zapisanie załączonego dokumentu.

Pozdrawiamy
Zespół Inteligo

Oprócz zachęcania do praktyki, która w środowisku finansowym powoduje wiele problemów (otwieranie załączników z e-maili rzekomo od banku), Inteligo rozesłało swój mailing z serwera, którego adres IP nie jest wprost podany w rekordzie SPF wykorzystanego hosta:

spf=neutral (google.com: 193.109.225.250 is neither permitted nor denied by best guess record for domain of noreply@mailstats.pkobp.pl)

I to właśnie powoduje, że jeden z najpopularniejszych wśród Polaków dostawców poczty e-mail, GMail, przy Nadawcy wyświetla ikonę z ostrzeżeniem, która zaniepokoiła sporą część naszych mniej technicznych czytelników.

Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?

Naszym czytelnikom, którzy poinformowali nas o tej wiadomości, gratulujemy czujności. A tym, którzy bali się kliknąć w załącznik, podsyłamy jego bezpieczny printscreen:

PS. Pozdrawiamy też osoby, które przeczuwały publikację tego artykułu i od przedwczoraj w naszą wyszukiwarkę wciąż wprowadzały termin “inteligo” :)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. Fakt, że niezręcznie im to wyszło – ale wypadałoby dodać, że email i załącznik były opatrzone prawidłowym podpisem cyfrowym PKO BP.
    Co OTOH oczywiście nie wyklucza możliwości wysyłki podpisanego pdf-a z “ciekawym” payloadem, [tu miejsce na dowcip o czapeczkach z folii amelininowej] ;)

    • W analizowanych przez nas przypadkach – podpisu cyfrowego nie stwierdzono. Ani w mailu ani w załączniku.

      EDIT: podpis jest. Also gmail i smime to porazka.

    • To bardzo dziwne. Ja jestem ich wieloletnim klientem, i *zawsze* *każda* wiadomość, niezależnie czy wyciąg, powiadomienie czy inna duperela, jest podpisana cyfrowo.
      Tak to wyglądało z mojego końca:
      http://imgur.com/UnuMOMa
      http://imgur.com/zcXZiTT

    • Nie ma takiej opcji. Nigdy nie wysłali wiadomości bez podpisu. Ja również otrzymałem ten list, i “podpis stwierdzono”.

  2. Dla mnie hitem byla jakas firma windykacyjna (nie pamietam nazwy), ktora wysylala (i pewnie dalej wysyla) wezwania w formie skanu w jpeg zawinietego w pdf, zawinietego w samorozpakowujace sie archiwum 7z. Czyli dostajesz zalacznik .exe i informacje, ze masz go otworzyc i sie zastosowac, bo jak nie to zgina wszystkie male kotki w promieniu kilometra :)

  3. I naprawdę taki PDF tylko z tekstem trzeba było wysyłać jako PDF? Nie można tego było zrobić bezpośrednio w email? :/

    • Dokładnie, coś tu śmierdzi…

  4. Byłem wśród tych ostrożnych, którzy załącznika nie otworzyli – mail spełniał wszystkie przesłanki kwalifikujące go jako phishing. Dzięki za informację – nie muszę czekać do 13.IV

  5. Nic, tylko pogratulować!

    A raporty miesięczne przysyłają w formacie HTML! Tu parę zdań, informacja w zasadzie błaha i aż w pdf? Zupełny bezsens. No, ale oficjalne pismo niby na firmowym papierze, to już nie to samo co zwykły email!

  6. “Czyżby — jak to często miało miejsce w przypadku także innych banków — dział marketingu banku zadziałał bez konsultacji z działem bezpieczeństwa?”
    Chyba was coś pogieło – dlaczego dział marketingu miałby się komunikować z działem bezpieczeństwa – naprawdę macie sprane mózgi.

    • Gdyż cała korespondencja wychodząca z banku(nie placówki) do klienta oraz zmiany produkcyjne trafiają do bezpieczników i to jest normalne?
      Jestem akurat adminem w banku z czerwonym logiem i białym tekstem. To co widać, to zapewne jakiś PM cisnął zespół za to odpowiedzialny , admini przyklasnęli na pominięcie bezpieczników gdyż ów PM jęczał za uchem,a suma summarum – całość poszła dalej bez jakiejkolwiek weryfikacji. Teraz będą mieli bardzo ciepło w pracy, za równo ów PM, marketingowcy , jak i admin :)

    • A chociażby dlatego, by nie trafić na jakieś blacklisty tworzone przez osoby wyczulone na phishing albo automatycznego wpadania do katalogów poczty typu virus/spam. Niekoniecznie przy każdym mailingu, ale choćby w formie szkolenia jak wysyłać maile, aby uniknąć problemów.

    • haha, co to za agresja, skąd tyle żółci w tak błahej sprawie… Może dla własnego zdrowia nie czytaj Niebezpiecznika, skoro uważasz, że prowadzony jest przez pogiętych ludzi ze spranymi mózgami?:)

  7. Brak uwierzytelnienia poczty za pomocą SPF to jest bolączka mniejszych firm. Nagminnie to widzę w Gmailu.

    • SPF to zwyczajnie plaster na przestarzały protokół SMTP/POP3. Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.

      Najlepiej też byłoby DNS zaorać, ale tu dłużej by trwała przesiadka (jak wyłączysz nagle DNS i karzesz updateo’wać soft do nowego standardu bo nie działa to cały internet padnie a nie każdy ma kopię w hosts/pamięta IP-ki, jak wyłączysz wszelkie SMTP/POP3/IMAP to parę nieroprezesów się wkurwi ale po instalacji nowych klientów i serwerów e-mail wszystko będzie OK)

      Najlepiej też byłoby dodatkowo wprowadzić wymaganie prawne, ale w obecnym klimacie politycznym mało to prawdopodobne.

    • “Zaorać to, zaorać IMAP i zbudować to wszystko od nowa z autoryzacją i szyfrowaniem w standardzie.” Ciężko mi sobie wyobrazić, żeby najwięksi dostawcy poczty elektronicznej, zwłaszcza G****Mail, zgodzili się na szyfrowanie w standardzie. Chyba, że chodzi o jakiś kolejny dziurawy system, który daje pośrednikowi dostęp do przesyłanych danych.

  8. Niestety ale do wyciekow danych bedzie dochodzilo coraz czesciej i nie tu jest najwieksze zagrozenie i blad systemu z ktorym nikt nie chce walczyc, bo to jest w interesie bankow i firm pozyczkowych. Najwiekszym problemem jest uproszczona metoda zakladania konta w banku i kredytu konsumpcyjnego. Wystarczy zdobyc odpowiednie dane lub ksero dowodu osobistego a oszust moze wziac za was kredyt lub pozyczke. Wystarczy, ze ktos nakloni was do przelewu za zlotowke i w ten sposob zalozy na wasze dane drugie konto z ktorego tez wezmie kredyt lub pozyczke. A pozniej bedzie was scigac komornik i bedziecie wloczeni po sadach i udowadniac, ze to nie wy a jakis oszust sie pod was podszyl. Tyle lat sie o tym mowi ale lobby bankowe mocno blokuja zmiany a zwykli ludzie na tym traca.

  9. W mojej opinii trochę nadmuchany temat. Podpis cyfrowy był. Banki zazwyczaj wysyłają dużo dokumentów jako załączniki PDF (chociażby nowy TOiP).

  10. prosze:

    —–BEGIN CERTIFICATE—–
    MIIGITCCBQmgAwIBAgIQCdmwVYGszrm3DvVMp2g8mzANBgkqhkiG9w0BAQUFADB3
    MQswCQYDVQQGEwJQTDEiMCAGA1UEChMZVW5pemV0byBUZWNobm9sb2dpZXMgUy5B
    LjEnMCUGA1UECxMeQ2VydHVtIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MRswGQYD
    VQQDExJDZXJ0dW0gTGV2ZWwgSVYgQ0EwHhcNMTYxMTMwMTM1NzE5WhcNMTcxMTMw
    MTM1NzE5WjCBuzELMAkGA1UEBhMCUEwxNjA0BgNVBAoMLVBvd3N6ZWNobmEgS2Fz
    YSBPc3pjemVkbm9zY2kgQmFuayBQb2xza2kgUy5BLjEcMBoGA1UECwwTU2VjdXJp
    dHkgRGVwYXJ0bWVudDERMA8GA1UEBwwIV0FSU1pBV0ExGzAZBgNVBAMMElBLTyBC
    QU5LIFBPTFNLSSBTQTEmMCQGCSqGSIb3DQEJARYXYWt0dWFsbm9zY2lAaW50ZWxp
    Z28ucGwwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCz7lBp5rDSLrke
    wZ9hMqrETBhzjNqakeG8ONZcqur8Cjvi7aBB+AzcUEwltwxPzfxMaKgxup21fTnZ
    hGRcxCmMmy9hcLxi0eImIb8VNFyZ0NcTClQXTk+WgVqfd2NPO5oaYLCMZAsF43a4
    0CGF6BrpRmrtqymYMQ+8bIAe2JSnzQCvrS7fWaHjctHXyX04bYp8+Q+lGXfnlxyE
    9hVaJNh2w3lWWEHXHXcxMqpTMUs1w58N6cuissS2PilU4ydDCQ5rw8wCevdDkNJn
    P0hL9e2LzMKTfi/rGTmN4E0lWX4louDldfQpCIqJtD3EQtL83r9PKaJymIFDjulJ
    njynUc8XAgMBAAGjggJiMIICXjAMBgNVHRMBAf8EAjAAMB8GA1UdIwQYMBaAFM1K
    RsoDZZDmMRAagsalHF7RUM8fMB0GA1UdDgQWBBRBpqpJV/1qJrfD5NyxVuHvekpE
    cTAOBgNVHQ8BAf8EBAMCBPAwYQYIKwYBBQUHAQEEVTBTMCEGCCsGAQUFBzABhhVo
    dHRwOi8vb2NzcC5jZXJ0dW0ucGwwLgYIKwYBBQUHMAKGImh0dHA6Ly9yZXBvc2l0
    b3J5LmNlcnR1bS5wbC9sNC5jZXIwggEVBgNVHSAEggEMMIIBCDCCAQQGCiqEaAGG
    9ncCAgQwgfUwgfIGCCsGAQUFBwICMIHlMCAWGVVuaXpldG8gVGVjaG5vbG9naWVz
    IFMuQS4wAwIBARqBwFVzYWdlIG9mIHRoaXMgY2VydGlmaWNhdGUgaXMgc3RyaWN0
    bHkgc3ViamVjdGVkIHRvIHRoZSBDRVJUVU0gQ2VydGlmaWNhdGlvbiBQcmFjdGlj
    ZSBTdGF0ZW1lbnQgKENQUykgaW5jb3Jwb3JhdGVkIGJ5IHJlZmVyZW5jZSBoZXJl
    aW4gYW5kIGluIHRoZSByZXBvc2l0b3J5IGF0IGh0dHBzOi8vd3d3LmNlcnR1bS5w
    bC9yZXBvc2l0b3J5LjAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwQwEQYJ
    YIZIAYb4QgEBBAQDAgWgMCwGA1UdHwQlMCMwIaAfoB2GG2h0dHA6Ly9jcmwuY2Vy
    dHVtLnBsL2w0LmNybDAiBgNVHREEGzAZgRdha3R1YWxub3NjaUBpbnRlbGlnby5w
    bDANBgkqhkiG9w0BAQUFAAOCAQEAhenveLFeoJYlpOrS2WEl7Pk30HOZ9TYYuwzA
    YGcanOkJsfqzGUFmj+5nSgqJggb/TrV09QNohFMwjslmA2Dy/8hMA0wTyyQUbSsl
    023W3iQoBxOlXHp9Ivd2FMZk0Ed0u22aScTwsxkLDFwsaCNJWnMys05kHu6iiNw9
    1SPu9qRHGymvE0MqpCyXnsBypZ2W2gKuLD1SuIsjxoRmqGT53OOX5CdmuJE93GNy
    R256JNluSPXls2kdod3aKQBRT7x8nVudBm/EsdBbXIesYW/Kr7oVh9cawCOOf7md
    iG+8hK4b/YLDxiy9hlvsLujG4AfXgqLan6TsQgF1/07853HuqQ==
    —–END CERTIFICATE—–

  11. PKO BP ma jeszcze inne permanentne potknięcie. Otóż niektóre transakcje weryfikują oni telefonicznie. Niby pomysł dobry, tylko osoba dzwoniąca sama nie przedstawia żadnych informacji uwiarygadniających że dzwoni z banku, a wymaga podania daty urodzenia, adresu zamieszkania i nazwiska panieńskiego matki. Dopiero po podaniu tych danych podają kwotę transakcji, parę cyfr z rachunku odbiorcy i proszą o potwierdzenie. Na prawdę nic by im się nie stało, gdyby podali te dane PRZED podaniem danych przez klienta, skoro to oni dzwonią. A tak tylko przyzwyczajają ludzi do takich wyłudzeń. Na dopytywanie się skąd mam wiedzieć że to bank mówią tylko że mogę sprawdzić w internecie że to numer do banku. Twierdzą że nie ma takiej możliwości że to ja oddzwonię na znany mi numer banku i potwierdzę transakcję.

  12. Mi nie było szkoda chwili czasu na zrobienie reguł @ zwłaszcza jak 16/17 jest znaczny wzrost małpiego cyrku, ale to prywatnie. Firmy niestety muszą się borykać i zabezpieczać.

Odpowiadasz na komentarz Konrad

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: