9:54
27/10/2017

Jedna z naszych Czytelniczek przesłała nam ciekawy screen MMS-a, jakiego dostała od pracownicy banku Credit Agricole. Oferta jak oferta, ale to co przykuło uwagę naszej czytelniczki to lista numerów telefonów… należą one do klientów banku i teraz każdy z nich widzi numer pozostałych klientów obsługiwanych przez tą pracownicę banku.

Skala problemu nie jest zbyt wielka, bo jak pisze nasza czytelniczka:

Bank mnie wczoraj zaskoczył ofertą promocyjną kredytu konsolidacyjnego (proponowanego, jak podejrzewam, głównie jednostkom zadłużonym).
Zaskoczył, bo wiem aż za dobrze, do ilu osób tę ofertę skierował (na liście jest 11 numerów, w tym numer konsultanta), mogę wręcz pogadać z tymi osobami, gdybym chciała wymienić plotki “między nami, klientami z kredytami”…

Ale wiemy, że niektóre telefony dzielą wiekszą liczbę odbiorców na kilka MMS-ów, wiec takich “jedenastek” może być więcej. Co ciekawe, pracownica banku nie wyci�?gnęła wniosku ze swojego potknięcia, bo jak informuje nasza czytelniczka, po 3 dniach od powyższej wiadomości, na jej telefon spłynęła kolejna. Przesłana w taki sam sposób.

Nawet jeśli pierwszy komunikat można uznać za pomyłkę, dzisiaj dostałam drugi, identycznej treści, wysłany do tej samej grupy odbiorców – wychodzi na to, że pani doradca założyła grupę do spamowania ofertą i przypomina się regularnie.

Pracownica banku może nie wiedzieć, że ciągle udostępnia numery klientów

Nie chcemy usprawiedliwiać pracownicy banku, ale warto zauważyć że w niektórych telefonach podczas komponowania wiadomości SMS do wielu osób, telefon rozsyła ją n razy (do każdego z osobna). Niestety (i z tego może sobie nie zdawać sprawy pracownica banku), kiedy do wiadomości dołączy się obrazek (tak jak tu zrobiła to pracownica banku) a następnie doda wielu odbiorców, to wiadomość jest przez telefon zamieniana na MMS. A ten format rządzi się już trochę innymi “zasadami”. Wysłanie go do wielu osób w niektórych telefonach sprawi, że wiadomość nie zostanie wysłana n razy (do każdego z osobna) ale 1 raz, do wszystkich razem, ujawniając im ich numery.

Smartfon to szatan!

W taki sposób jeden z naszych klientów zapowiadał nasz wykład dla pracowników, którzy podczas swoich obowiązków korzystają ze smartfonów.

…i dlatego tak ważne jest edukowanie swoich pracowników pod kątem czyhających na nich pułapek związanych z wykorzystaniem komputera, smartfona czy internetu podczas wykonywania służbowych obowiązków.

A tak się składa, że od kilku lat prowadzimy takie uświadamiające wykłady. Jeśli więc chcecie wyposażyć swoich pracowników w wiedzę, która pomoże im unikać takich wycieków danych i pomoże ochronić ich przed innymi atakami (phishingiem, spoofingiem i szeregiem popularnych w polsce scamów), to zapraszamy do kontaktu. Nasi trenerzy z przyjemnością wcielą się w czarne charaktery i na żywo, z humorem ale przede wszystkim w przystępny dla nietechnicznych osób sposób pokażą kilka ataków na waszych pracownikach. Warto tę wiedzę posiąść jak najszybciej, bo niebawem dzięki nadchodzącemu RODO, każdy wyciek danych będzie penalizowany mocniej…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

18 komentarzy

Dodaj komentarz
  1. Problem dotyczy tylko telefonów z systemem Android, IOSy i Windowsy nie ujawnią informacji o innych odbiorcach w MMSach.

    • Chcesz powiedziec, że domyślna apka od sms/mms nie pokazuje tych informacji. To nie znaczy, że te informacje nie dolatują do telefonu odbiorcy. Jak zmienisz domyslna apke od smsow – moze tez bedziesz widzial jak na androidzie. To raczej wada protokołu.

    • Chesz powiedzieć, że jesteś jednym z dwóch użytkowników windows phone? ;)

    • Problem dotyczy posiadaczy telefonow ogolnie ;] To, ze jako posiadacz tel. z systemem Windows nie widzisz adresatow to nie znaczy ze inni adresaci nie widza wszystkich. Tak samo dziala to na Symbianie oraz na Nokiowych S40-tkach (okrojony system dostepny we wszystkich “nie-smart” starszych sluchawkach – adresaci sa widoczni.

  2. Mnie tylko zastanawia, co *w tym konkretnym przypadku* dzieliło te MMSy? Czy to był smartfon (czyli ktoś miał dużo dotykania), czy też była to jakaś aplikacja na komputer?

    W przypadku aplikacji jest więcej potencjalnych wektorów faila. Przykładowo w jednej z tego typu aplikacji można ręcznie podać w pliku konfiguracyjnym INI linię “ForceBCC=Yes”, która załatwia wszystko. Problem jednak się pojawia już przy tzw. czystej instalacji…

  3. TĘ pracowniczkę banku. “TĘ”.

    • a nawet pracownicę :)

  4. Tu mógłby zadziałać operator sieci i odpowiednio zwielokrotnić wiadomość lub wyciąć numery odbiorców innych niż ten co pobiera MMS.

    • Już widzę ten lament użytkowników, którzy mają rozliczane MMS-y za sztukę.

    • Niestety pomysł bezsensowny, tak samo, jak przymusowa zamiana CC na BCC w mailach przez serwer — w jaki sposób sieć ma wiedzieć, że użytkownik naprawdę chce takiego rozdzielania? O ile może MMS raczej rzadko wysyła się z premedytacją w taki sposób (ale na pewno znajdą się tacy, co wysyłają), to e-maile już zdarzają się częściej, szczególnie w większych firmach gdzie ważne jest, żeby konkretne osoby wiedziały o każdym szczególe sprawy.

  5. Co to za wzorzec, via e-mail? Jak nic jakiś Android.

  6. Dziękuję redakcji za sygnał. Oczywiście, macie rację, to nie jest dobra praktyka i zwykle nie stosujemy jej w banku. W tym przypadku był to błąd pracownika, który nie powinien się zdarzyć. W imieniu Credit Agricole Bank Polska przepraszam wszystkich klientów zaangażowanych w tę sprawę. Obiecuję, że dołożymy wszelkich starań, aby takie pomyłki więcej się nie zdarzały.

    • Odpowiedź na poziomie.

  7. to jest kwestia aplikacji do wysyłki wiadomości (systemu)
    w poprzednim telefonie wysyłając MMS mogłem dodać wielu nadawców w kilku różnych opcjach – takich samych jak w mailach: do, dw, udw bo MMS “idą” jak maile.
    osoby z pól do i dw widziały się nawzajem i odpisując “do wszystkich” wysyłały odpowiedź wszystkim.
    I tak wysłane wiadomości były prawidłowo odbierane u innych, niezależnie od ich telefonów czy operatora.
    Ja, jako odbiorca wiadomości “do wielu” mogłem odpowiedzieć konkretnemu nadawcy lub wszystkim.
    Nie wiem czemu teraz taka funkcjonalność zaniknęła w (wielu?) telefonach.

  8. Dlaczego słowo pracownica pozostaje w wielu miejscach nie odmienione przez przypadki? Czy może chodziło o “pracownika”?

  9. W sumie są abonamenty bez limitu mms i gość który spamuje innych mmsami powinien taki mieć. Jak ma służbowy telefon do tego celu, to oczywisty fuckup pracodawcy, jak to kontraktor i musi używać własnego fona…to można na niego wszystko zwalić.

  10. Próbowałem podobne szkolenia robić w swojej firmie nawet z przykładami ale.. średnio gawiedź zainteresowana.

Odpowiadasz na komentarz Maciej

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: