11:12
10/3/2011

Rzeczpospolita opisuje dziś przypadek 25-letniego Pawła Mitera, który zespoofował adres e-mail należący do pracownika Kanelarii Prezydenta RP i napisał do TVP list proszący o czas antenowy dla nowego programu o polityce oraz zatrudnienie wskazanej przez siebie osoby jako prowadzącego. Oczywiście wskazaną osobą był Paweł.

Odpowiedni adres e-mail potrafi cuda

Przekręt nawet się udał, Paweł, nazwywany przez pracowników TVP “człowiekiem z Kancelarii Prezydenta” podpisał kontrakt na 39 tys. złotych, VIP-owską przepustkę i — jak twierdzi — szereg innych benefitów, w tym samochód z kierowcą:

Pamiętam, że raz poprosiłem o podrzucenie na zakupy do Galerii Mokotów. Ciągle sprawdzałem, na ile mogę sobie pozwolić, gdzie jest granica. Czasem było to dość zabawne, że grono poważnych panów w garniturach nadskakuje gówniarzowi w trampkach i bluzie z kapturem.

Jak pisze RZ, nikt Pawła nie wylegitymował, a wszelkie dane (do umowy, przepustek) podawał on z pamięci.

Koniec zabawy socjotechnika

Idylla trwałaby pewnie długo, gdyby projekt nie zaczął przechdzić z fazy “papieru” do fazy “realizacji” — ktoś w TVP doszedł do wniosku, że nie jest on wartościowy, a przy okazji TVP dowiedziało się, że Paweł ma już wyrok w zawieszeniu za spoofing e-maili właśnie (grozi za to kara do 5 lat więzienia). Na szczęście (dla TVP) kłamstwo ma krótkie nogi…

TV kłamie

Powyższe zdarzenie obrazuje jednak, jak niewiele wagi zwykli użytkownicy przywiązują do weryfikacji nadawcy e-maila i jak bardzo ufają “komputerom”. Oraz, że człowiek prezydenta może więcej niż inni.

Myślę, że mamy już wystarczająco dużo przykładów na to, że socjotechnika to całkiem skuteczny atak.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. medal czy coś dla niego. Dobitnie pokazał jak wygląda zatrudnianie w tvp (i nie tylko w domyśle).

  2. Epic win

  3. Brak słów, ja bym nawet konta e-mail byłej sekretarki nie usunął dopóki nie miał bym pewności, że zleca mi to osoba mająca do tego prawo.

  4. Nie wiem czy bohater artykułu ma wyrok za spoofing emaili czy nie. Zastanawiam się tylko, skąd mogą wiedzieć o tym ludzie z TVP, skoro ani razu nie zadali sobie nawet trudu wylegitymowania tej osoby. Mam uwierzyć w zapewnienia, że sprawdzali go pod kątem wyroków, skoro nie sprawdzili nawet, kim jest? Coś tu nie bangla.

    Wg tego, jak sprawa została przedstawiona w artykule, wygląda mi to ze strony TVP na zwykłe pomówienie – próbę obrzucenie błotem i odwrócenia uwagi od własnego błędu.

  5. Ale jak on to zespoofował, że dał radę odczytać odpowiedź, wysłaną na @prezydent.pl? Chyba tylko przez podmianę reply-to na swój prawdziwy adres.

  6. Indolencja kadry zarządzającej w TVP S.A. czasem poraża. Wystarczyłby jeden telefon do Kancelarii Prezydenta RP i wszystko byłoby jasne.
    Swoją drogą przykre, że człowiek prezydenta może więcej niż inni. Wszystkie zwierzęta są równe, ale…

    • @KAS: tj co, zadzwoniliby i zapytali “ten pan którego prosiliście zatrudnić po znajomości jest tym za kogo się podaje?” ?

  7. Tutaj nie chodzi tylko o nie sprawdzenie skąd naprawdę jest email.
    Taka firma jak TVP powinna w którymś momencie podpisywania umowy jakkolwiek sprawdzić pracownika :)

  8. No historia jest niezła ;) Pokazuje, że szkolenia z bezpieczeństwa wśród użytkowników spoza IT powinny być dobrą praktyką. Ile procent użytkowników wie, że można się podszyć pod nadawcę maila? 5%?

    • nie przesadzaj moze 1%

  9. Rządy się zmieniają, politycy też, a zwykły człowiek nadal boi się władzy …

  10. Trzeba jeszcze wziąć pod uwagę kraj w którym się to wydarzyło.Wydaje mi się że w takiej np. Skandynawii nie było by to możliwe.

  11. LOL!
    Niestety w Polsce tak jest, że jak ktoś jest wyżej to się nie dyskutuje, polemizuje itp. Pewnie pracownicy TVP nie chcąc narazić się “górze” nawet nie pisnęli słowem.. Żenada

  12. “Myślę, że mamy już wystarczająco dużo przykładów na to, że socjotechnika to całkiem skuteczny atak”. Kevin Mitnick wie o tym od 20 lat, a z doświadczenia wiem jak łatwo zagadać telefonicznie miłą panią z BOKu i wyciągnąć informacje (nazwiska, telefony itp) których raczej nie powinna przekazywać telefonicznie, co prawda wspomniane BOKi to nie wielkie korporacje ale jak by na to nie patrzeć każda firma ma wartościowe dane (dla niej) które można odpowiednio wykorzystać chociaż by do załatwienia komuś pracy.

  13. Hehe, już wiem jak pisać CV :)
    a na marginesie widać jaka partia rządzi tvp… a kto by zapłacił te 39tyś zł? wrr. abonament trzeba płacić, żeby ktoś miał prywatnego kierowcę na zawołanie.

  14. Zrobiłem test bo ktoś twierdził, że fake maile łatwo Gmail i nowe Outlooki oznaczają jako Warning i normalnie wszystko po staremu:

    http://img638.imageshack.us/f/fakemailprezydentplgmai.jpg/

    • Borys, jak google ma alertować, jak w podstawowej wersji połączenia gmaila z innymi kontami (np. aa@aa.pl) łączy się tylko z kontem aa@aa.pl do pobierania, a jak z gmaila wysyłasz nibyz konta aa@aa.pl, to tak naprawdę podmienia tylko pole “od” :)

      Musieliby o samych sobie alertować

      PS opisana sytuacja miała miejsce kilka miesięcy temu

    • Oczywiście, że oznaczają. Żart to jest dopiero w Lotus Notes, gdzie w nadawcy nie ma w ogóle adresu ani domeny, a tylko nazwa – bez problemu można więc założyć konto 123@gmail.com o nazwie “Twój szef” i wysylać do ludzi fiszingowe wiadomości.

  15. TVP jest rządzona przez partię biezącą :] Standard od lat.

    Moim zdaniem wyczyn Pana Mitera przede wszystkim pokazał jak działa taka wielka instytucja (finansowana z naszych kieszeni). Sam spoofing jest jego drugą, podrzędną stroną.

  16. Popatrzcie sobie ile domen ze sfery publicznej głupiego SPF nie ma… Możecie sobie wyobrazić dalsze kompetencje.

    Gdy jednemu posłowi laptopa ukradli i gadał, że narażone jest bezpieczeństwo państwa, to się okazało, że trzymał tam gołe baby i crackowaną GTA Vice City.
    To nie są przypadki, to norma jest w tej branży.

    A tak poza tym, jak widać zrobili z tego państwa prywatny folwark – no ale to już czysta polityka, nie IT.

    • Raczej w prywatnej telewizji to by nie przeszło. Ale to tylko moje zgadywanie.

    • W prywatnej przeszłoby to pewnie tak samo gładko – w końcu pracują tam tylko ludzie, którzy, nie oszukujmy się, są naiwni i niezbyt troszczą się o własność szefa.

  17. Ciągle myślę, że nic już mnie w życiu nie zaskoczy i ciągle się mylę :) hehe

  18. Zastanawia mnie ewentualna kara za taki czyn. Wydaje mi się, że w grę wchodzą co najmniej 2 artykuły Kodeksu Karnego:
    – 227, czyli “Kto, podając się za funkcjonariusza publicznego albo wyzyskując błędne przeświadczenie o tym innej osoby, wykonuje czynność związaną z jego funkcją, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”
    – 286 §1: “Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.”
    Mógłby ktoś mądrzejszy mnie w tym upewnić bądź zaprzeczyć? ;-)

    • Żaden ze mnie prawnik, ale te pojęcia są tak szerokie, że bez trudu da się gościa pod nie podpiąć. I pewnie jeszcze kilka innych paragrafów ;)

    • “czynność związaną z jego funkcją” – od kiedy to wkręcanie w ramach “kolesiostwa” znajomych na lukratywne posady w telewizji jest czynnością służbową pracowników kancelarii prezydenta?

      A może to po prostu takie niepisane prawo, że aż sądy zaczną je egzekwować – święty przywilej partii rządzącej, by poustawiać krewnych i znajomych na dobrze płatnych stanowiskach. W końcu jaki sens pchać się do władzy, jak nie by praktykować nepotyzm? Samemu tak smutno, na stołkach raźniej Razem.

  19. @clondike : To jest artykuł za który na ogół się skazuje w polaczkowie:

    Art. 287§ 1. „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji,
    podlega karze pozbawienia wolności od 3 miesięcy do lat 5.”
    § 2. „W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”
    § 3. „Jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.”

  20. SPF nic nie da, jeśli się wyśle z prawdziwym envelope-from i fałszywym nagłówkiem From:
    Ba, taki outlook pewnie by dał się oszukać nawet czymś takim:

    From: najwyzszy@prezydent.pl

    i wyświetliłby tylko “najwyzszy@prezydent.pl”

  21. Polecam przeczytać źródło zanim zaczniecie się ‘spierać’ o techniczne aspekty: (…)skorzystał z internetowej strony, za pomocą której można wysyłać e-maile, wpisując jako nadawcę, kogo się chce. Gdy ktoś na taką wiadomość odpowie, a nie napisze nowej z adresem nadawcy, można ją też na tej stronie odczytać.

    @ovh: Nadawca miał sprawę za spoof ale jak tłumaczy: Chodziło o wprowadzenie w błąd spółki finansowej odnośnie niekorzystnego rozporządzenia kwotą ponad 100 tys. zł, dostałem tylko grzywnę, zostałem wciągnięty w tę sprawę ze względu na to, że byłem pracownikiem tej spółki.

    • ciekaw jestem, jak ta strona przejmuje władzę nad MX domeny prezydent.pl w przypadku kiedy ktoś odpowie na maila wysłanego z tej strony :)

  22. Serwer pocztowy instytucji rządowej, z którego wysłano e-mail musiałby być w domenie .gov a zapewne nie był. A gdyby nawet (zespoofowanie adresu nadawcy jest bardzo proste) to przecież są jeszcze nałówki “Received:”. W nich jest zapisana cała droga wiadomości. Jeżeli wiadomość jest nietypowa i podejrzana, zawsze warto sprawdzić. Ponadto współczesne mechanizmy antyspamowe automatycznie badają nagłówki i wykonują zapytania revDNS. Jak się coś nie zgadza, wiadomośc jest filtrowana i nie powinna ona w ogóle dotrzeć do adresata. No i do tego są jeszcze inne formy kontaktu (np. telefon) z których od czasu do czasu wypada skorzystać aby się upewnić co do sprawy.

  23. Witam
    TVP może i dala ciała ale podobnie działa bez wiedzy dużo więcej instytucji i to nawet te z działu IT :) Jeżeli chodzi o przykład socjotechniki to niedawno popisał się tym jeden z większych polskich operatorów – żeby nie robić złej reklamy powiem ze ów operator zaczyna sie na literke G.. . A skąd wiem ? bo doswiadczyłem tego i jakie było moje zdumienie …
    Admini jak to admini – są leniwi ;) Pijąc kolejną kawę wreszcie napisalem do firmy G.. , żeby ustawili mi REVa na pare adresów ip z jednej z naszej klasy PI. Bardzos zybko dostałem e-mail od G.. ,że mój adres e-mail nie jest w żaden sposób dla nich wiarogodny i nieautoryzowany, gdyż nie widnieje w ich bazie. Dalej dostałem liste e-maili które sa autoryzowane przez nich. W domku ładnie odpaliłem sobie maszynkę z openrelayem i wysłałem “jako autoryzujący e-mail” prośbe o dodanie wpisów oraz o autoryzacje mojego e-maila. Nie muszę pisać iz przychodząc rano do pracy okazało się że rev dns ładnie działa. Napisałem w tej sprawie e-mail do firmy. Pani ładnie opisała że ich specjaliści się tym zajmą :)

    Zadajcie sobie pytanie czemu pisze nazwe “G.. .” (ostatnie to . w sensie koniec zdania) A nie G… ;)

  24. […] polega na przesłaniu ofierze fałszywego e-maila, w którym nadawcę ustawia się na współpracownika lub przyjaciela ofiary. Mail zawiera link do podrobionej strony logowania do […]

  25. […] aferę z chłopakiem, który dostał pracę w TVP, bo podszył się pod pracownika Kancelarii Prezydenta RP? Przypadek Beaty Kempy jest taki sam — nie mam pojęcia, dlaczego media poświęcają mu tyle […]

  26. […] sytuacjami u naszych klientów, odwołam się do publicznie znanych przypadków — por. fałszywy e-mail załatwił mu pracę w TVP, czy też podrobili e-maila posłanki lub o sposobie na czytanie rządowych […]

  27. […] okazję się przekonać, jak wiele daje zwykły spoofing; przypomnijmy chociażby studenta, który podszywając się pod e-mail z Kancelarii Prezydenta RP dostał pracę w TVP oraz PAP, które opublikowało fałszywą wiadomość, bo ktoś podszył się pod e-mail Beaty […]

  28. […] Dziękujemy wszystkim, którzy poinformowali nas o tej “akcji” i przypominamy, że spoofing e-maili to nic specjalnie trudnego, a w kontekście rozsyłania spamu znany jest jako […]

  29. […] posłanki Kempy oraz jak studentowi udało się zatrudnić w TVP na prestiżowym stanowisku, bo podszył się pod pracownika Kancelarii Prezydenta RP, który go […]

  30. […] Podrabiacz (spoofer) e-maili (CHANGELING) — takich narzędzi w internecie jest pełno, i jak pokazują incydenty w Polsce — potrafią nieźle namieszać, por. Beata Kępa rezygnuje ze startu w wyborach oraz Podrobiony e-mail dał mu pracę w TVP […]

  31. […] razu pojawiły się hipotezy, że mail jest zespoofowany — ale nagłówki potwierdziły, że rzeczywiście wyszedł on z konta Satoshiego. Obalono […]

  32. […] żadnych zdolności technicznych. Maila podrobić jest łatwo (czasem można na jego podstawie dostać pracę w telewizji). Stworzenie fałszywej papeterii jest jeszcze prostsze. Nawet lewe konto bankowe można łatwo […]

  33. Witam, podam przykład. Ostatnio dostałem emaila z Polskiej firmy żebym wpłacił Euro na adres Bitcoina ponieważ według nadawcy miał moje filmiki erotyczne. To było szantaż, żebym pieniądze wpłacił Na początku myślałem że ktoś z firmy napisał. Gdy analizowałem nagłówek, to wyszło że IP nadawcy znajduje się zagranicą. Jedna strona pokazała że dane emaila tej firmy zostały naruszone. Prawdopodobnie jakiś haker wkradł się na pocztę i wysłał z tej poczty tego emaila. Wniosek: warto analizować nagłówki emaliów.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: