10. marec 2008 06.55 E-MAIL

Som albánsky hacker a pošlite mi svoje meno a heslo

Ups. Ako klient veľkej firmy, ktorej už viac ako desať rokov mesačne platím som si pred časom požiadal o posielanie faktúr e-mailom. Príjemne ma prekvapilo, že sú posielané zaheslované (klasický zip).

V stredu mi táto firma poslala dlhý e-mail "Elektronicka faktura - navod na zrusenie ochrany heslom el. faktur" - téma na maturity 2008 :-)

Vravím si, či nejde o oneskorený či zatúlaný e-mail, ktorý je následkom môjho pomerne naštvaného pokusu ZMENIŤ si moju e-mailovú adresu v ťažkopádnom webovom systéme tejto firmy. Proste som si vtedy chcel zabezpečiť aby ma NEOTRAVOVALI megabajtovými prílohami s ich skvelými ponukami na dementné nezmysly.

Potom som sa začítal...

...a dozvedel som sa, že tí klienti sú pohodlné stvorenia vyžadujúce zasielanie faktúr nekryptovane. Proste si nespomínajú na heslo k ZIP súboru. A chceli by posielať faktúry nešifrovane: Na zaklade poziadaviek zakaznikov, ktori uprednostnuju jednoduchsi pristup k Elektronickym fakturam sme rozsirili moznosti o deaktivaciu ochrany Elektronickej faktury prostrednictvom hesla. Jesus... chápem klientov, že chcú mať pohodlné veci. Ale nechápem prečo by sme mali dovoliť každému čokoľvek aj napriek zdravému rozumu. No dobre, demokracia etc etc. Tak ok. Môžu.

E-mail sa snažil, pomerne chabo, Je na Vasom zvazeni, aku uroven ochrany budete pouzivat. Ak mate zaujem pouzivat novy, jednoduchsi pristup bez ochrany heslom presvedčovať ma o zhovadilosti takéhoto nápadu. Väčšina textu však bola návodom ako spáchať samovraždu. V podstate to nemôžem inak nazvať :-)

Samovraždu klienta a samovraždu zdravého rozumu toho, koho napadlo posielať informatívny mail.

Akoby som sa zobudil z 50tych rokov do dnešnej doby a nič netušil o phishingu. Ježkove oči :-)

Pokračujme však k odstavcu, ktorý nemám odvahu komentovať:

O zmenu v nastaveniach, pripadne ak ste zabudli Vase sucasne heslo k sluzbe, mozete poziadat aj formou "reply/odpovedat" na tento email (s ponechanim celeho obsahu e-mailovej komunikacie). V emaily prosim uvedte, ci ziadate o Zrusenie ochrany heslom zasielanych elektronickych faktur alebo ziadate o zaslanie noveho hesla k sluzbe elektronicka faktura, a doplnte Vase identifikacne udaje, tel. cislo, meno a priezvisko / nazov firmy, rodne cislo / ICO.

Iba slabo pípnem: phishing?

Skontroloval som hlavičku mailu. Preboha, to vážne splodil niekto z tejto firmy a rozposlal zrejme všetkým, čo majú elektronické faktúry. Jesus.

Pozor: tento mail je vlastne ok. Jeho problémom je narušenie akejsi formy výchovy ľudí, že nemajú dôverovať "len tak priletenému emailu" a konať iba na jeho základe. Je však aj prejavom absolútneho ignorovania doby kedy phishing je čosi, čo v úžasných množstvách poletuje internetom každú stotinu sekundy. Akurát takýto e-mail nemal nikdy vzniknúť.

Naviac email končí lakonickým

Prajeme Vam pekny a uspesny den, *******

Miesto hviezdičiek je názov firmy. Žiadny pokus aspoň zachovať si alibi v štýle "ak neveríte tomuto mailu, overte si pravosť informácii tu alebo tu". Nič také.

Vravím ups. Padla nákova. Nič sa nestalo, všetko je ok. Len mám stále taký divný pocit. Vy nie?

Pokiaľ sa ti zdá, že tento článok by sa hodil do výberu zaujímavých stránok, tak ho sme.sk pošli do vybrali.sme.sk

Komentáre k obsahu príspevku:

Chcete napísať nesúhlasný komentár? Prosím, zvážte nasledovné: je šanca, aby niekto zmenil Váš názor alebo chcete iba trvať na svojom? V prvom prípade sú Vaše slová vítané.

Chcete urážať? Nepíšte sem urážky a invektívy. Každý, kto na týchto stránkach publikuje je automaticky (doplňte vhodný výraz). Takže už to všetci vopred vieme, čo si myslíte a preto sa neopakujte.

  1. [1] Ruziklan, 10. marec 2008 08.17

    A to si vazne citoval? Copy & paste? Lebo to by som si myslel, ze ide o phishing aj preto, ze je to povedane pekne natvrdo "V emaily".

  2. [2] ehmo, 10. marec 2008 09.31

    ruziklan, 3x som sa ronyho vcera spytal, ci skontroloval hlavicku emailu. po cely cas som tom unechcel uverit. spolocnost asi rada vyvolava rozruch

  3. [3] sloper, 10. marec 2008 09.39

    A to akoze UUUPLNE VAAAAZNE ziadaju posielat "meno a priezvisko, rodne cislo", cize osobne udaje, e-mailom?!?!?!?!?!?!?
    Preboha... Hodinovu vypoved pre zodpovedneho!!!

  4. [4] OttY, 10. marec 2008 09.40

    asi majú v Orange veľkú fluktuáciu a noví zamestnanci nestíhajú pochopiť základné postuláty bezpečnosti na Inete. Ale aspoň vedúci oddelenia by mal takéto veci skontrolovať než ich vypustia. Rony, napíš to na staznosti.sme.sk :-)

  5. [5] rony, 10. marec 2008 11.27

    [4] mne je jedno, kto taky mail vymyslel a preco.

    dolezite pre mna je to, ze to naburava snahu naucit ludi, aby neverili PRESNE takymto mailom, ktore dorazia do ich dorucenej posty.

    proste snahu zrusit akukolvek vymenu citlivych dat a operacii cez email.

  6. [6] emmacore, 10. marec 2008 12.49

    ROFL! BTW, ked sme mali internet cez Telekom, do mailboxu priatelke denne chodil tatrabankovy vypis z uctu nejakeho cudzieho cloveka (zaheslovany zip). Stalo sa totiz, ze on uz nepouzival ten alias a zrejme zabudol, ze mu tam chodia vypisy. Ked sme zriadili konto v T-Come, nahodou som sa trafil do aliasu, ktory sa kedysi pouzival. Pokusal som sa Tatra banku presvedcit, ze vypis posielaju nespravnej osobe, ale na maily nereagovali. Uplne zabavne bolo, ked nejaky orangovy obchodnik zacal na ten mail spamovat ponuky a na moju podrazdenu reakciu odpovedal, ze on ich predsa posiela panovi XY na jeho sukr. mail a ze co mu vlastne pisem ja :-) Pribeh skoncil, ked sme zmenili providera. Bolo by to ovela zabavnejsie, keby Tatra banka posielala ten vypis nezaheslovany :-)

  7. [7] dusoft, 10. marec 2008 12.59

    emmacore:
    nieco podobne spomina RSnake

  8. [8] Mat, 10. marec 2008 13.32

    Vase Problemy.

  9. [9] rony, 10. marec 2008 14.15

    [8] Matove problemy.

  10. [10] Ruziklan, 10. marec 2008 14.22

    [9] Mat uz zrejme zabudol, ako to sam ma s Patom problematicke.

  11. [11] emmacore, 10. marec 2008 17.29

    dusoft, dik za zaujimavy link.

  12. [12] mimoklepes, 11. marec 2008 08.14

    pre tak maly textovy subor, akym je vypis z uctu, je zaheslovanie v zipe naozaj smiesna ochrana a hrubou silou to rozbijes za chvilku. mozno je naozaj lepsie, ak to maju ludia bez hesla, aspon nemaju naivnu predstavu, ze je to chranene.

    ale to pozadovanie osobnych udajov v beznom mejli je naozaj mimo.

  13. [13] rony, 11. marec 2008 09.56

    [12] poslem ti jeden z tych zaheslovanych suborov. Posles mi to rozbalene na obed? Musis stat za svojim tvrdenim, takze by si mi to mohol dokazat :-) Iste predstavy o bruteforce takeho zipu mam, takze mozno mi ich potvrdis alebo vyvratis ;-)

    Ano, samozrejme ma zarazil prave ten citovany odstavec.

  14. [14] ad, 11. marec 2008 10.57

    asdd

  15. [15] bolek, 11. marec 2008 12.13

    [13] sorry nestihol som to presne do 12tej ale heslo je nbuSR123

    Co vyhravam?

  16. [16] rony, 11. marec 2008 13.08

    [15] budes zodpovedny za bezpecnost pocitacovej siete statneho organu podla vyberu :)

  17. [17] naivka, 11. marec 2008 13.48

    bude to zniet asi hlupo, ale aky problem je ak niekomu poslem meno, rodne cislo,...?
    ked to niekto velmi chce zistit, tak si to tak ci tak zisti, nie?
    a neviem ako by sa to dalo zneuzit, ale rad sa necham poucit

  18. [18] emmacore, 11. marec 2008 14.54

    [17] Preco brat vazne ochranu osobnych udajov

  19. [19] rony, 11. marec 2008 16.49

    [17] trebars na zaklade takehoto emailu mozem vystupovat vo vztahu k danej firme ako ty. Mozem urobit nieco, co nechces. Samozrejme Vyskocov clanok je ilustrativnejsi.

    Jadrom mojho clanku je to, ze firma vystupuje voci ludom ako autorita "ked toto robi FIRMA a je to v poriadku, potom su v poriadku aj ine emaily, ktore ma ziadaju o podobne udaje". Treba vediet, v com je nebezpecny phishing a v globale nezdrava dovera v to, ze "nic sa neudialo hned po tom ako som nieco urobil, takze uz sa nic nemoze stat."

  20. A tvoj názor?





Podmienky pre Váš komentár: Tlačidlo na odoslanie stlačte 1x, v texte nenadávajte, nevkladajte linky za účelom SEO, nepropagujte, Váš text musí mať zmysel, neporušujete vlastnícke práva majiteľa tejto stránky, ste pravidelný čitateľ tejto stránky, komentujete príspevok (nie erupcie Slnka) a nemýlite si komentáre s kvákacími fórami a chatom. Používajte formátovanie TEXTILE najmä na odkazy! Rozumiete tomuto poučeniu? áno, nie alebo Týmto sa pošle komentár?



čo jajkám

Photoshopbook

Čítal som

Stručne komentované stránky, ktoré ma zaujali:

  • Šéf špionů vypovídá 15.03 generálmajor Karel Randák. Několik let pracoval jako důstojník Bezpečnostní informační služby, pak se stal náměstkem ředitele a poté ředitelem rozvědky – Úřadu pro zahraniční styky a informace
  • iPhone Doom developers talk about iPhone potential and SDK 10.27 The reason it was ’so easy’ to port doom is because of iPhone runs a real OS. “It’s a full UNIX system in your pocket, with brilliant Objective-C frameworks that make coding beautiful and powerful applications a dawdle,”, explains Psychochromati
  • Aforizmy 08.58 Už dlho čakáme na úspešnú strelu od modrej. Zatiaľ sme len svedkami neodpískaných faulov na červenej za jasotu 40% divákov.
môj najnovší obrázok
Macence na sedacke


kde to ste?

príspevky

média

Čítaš Spravodaj? Klikni na Surf.sk!

WebHosting: WebServer.sk

Na také to domáce ukladanie veľkých súborov Kotuha.com

Dva šifrované gigabajty zadarmo pre vaše súkromné zálohy na mozy

Späť na obsah

Textile

Pomocník pre formátovanie komentárov pomocou Textile

_zošikmenie_

*ztučnenie*

??citácia??

Číslovaný zoznam: #

Odrážkovaný zoznam: *

"popis odkazu":odkaz