Som albánsky hacker a pošlite mi svoje meno a heslo

Ups. Ako klient veľkej firmy, ktorej už viac ako desať rokov mesačne platím som si pred časom požiadal o posielanie faktúr e-mailom. Príjemne ma prekvapilo, že sú posielané zaheslované (klasický zip).
V stredu mi táto firma poslala dlhý e-mail „Elektronicka faktura – navod na zrusenie ochrany heslom el. faktur“téma na maturity 2008 :-)
Vravím si, či nejde o oneskorený či zatúlaný e-mail, ktorý je následkom môjho pomerne naštvaného pokusu ZMENIŤ si moju e-mailovú adresu v ťažkopádnom webovom systéme tejto firmy. Proste som si vtedy chcel zabezpečiť aby ma NEOTRAVOVALI megabajtovými prílohami s ich skvelými ponukami na dementné nezmysly.
Potom som sa začítal…


…a dozvedel som sa, že tí klienti sú pohodlné stvorenia vyžadujúce zasielanie faktúr nekryptovane. Proste si nespomínajú na heslo k ZIP súboru. A chceli by posielať faktúry nešifrovane: Na zaklade poziadaviek zakaznikov, ktori uprednostnuju jednoduchsi pristup k Elektronickym fakturam sme rozsirili moznosti o deaktivaciu ochrany Elektronickej faktury prostrednictvom hesla. Jesus… chápem klientov, že chcú mať pohodlné veci. Ale nechápem prečo by sme mali dovoliť každému čokoľvek aj napriek zdravému rozumu. No dobre, demokracia etc etc. Tak ok. Môžu.
E-mail sa snažil, pomerne chabo, Je na Vasom zvazeni, aku uroven ochrany budete pouzivat. Ak mate zaujem pouzivat novy, jednoduchsi pristup bez ochrany heslom presvedčovať ma o zhovadilosti takéhoto nápadu. Väčšina textu však bola návodom ako spáchať samovraždu. V podstate to nemôžem inak nazvať :-)
Samovraždu klienta a samovraždu zdravého rozumu toho, koho napadlo posielať informatívny mail.
Akoby som sa zobudil z 50tych rokov do dnešnej doby a nič netušil o phishingu. Ježkove oči :-)
Pokračujme však k odstavcu, ktorý nemám odvahu komentovať:

O zmenu v nastaveniach, pripadne ak ste zabudli Vase sucasne heslo k sluzbe, mozete poziadat aj formou „reply/odpovedat“ na tento email (s ponechanim celeho obsahu e-mailovej komunikacie). V emaily prosim uvedte, ci ziadate o Zrusenie ochrany heslom zasielanych elektronickych faktur alebo ziadate o zaslanie noveho hesla k sluzbe elektronicka faktura, a doplnte Vase identifikacne udaje, tel. cislo, meno a priezvisko / nazov firmy, rodne cislo / ICO.

Iba slabo pípnem: phishing?
Skontroloval som hlavičku mailu. Preboha, to vážne splodil niekto z tejto firmy a rozposlal zrejme všetkým, čo majú elektronické faktúry. Jesus.
Pozor: tento mail je vlastne ok. Jeho problémom je narušenie akejsi formy výchovy ľudí, že nemajú dôverovať „len tak priletenému emailu“ a konať iba na jeho základe. Je však aj prejavom absolútneho ignorovania doby kedy phishing je čosi, čo v úžasných množstvách poletuje internetom každú stotinu sekundy. Akurát takýto e-mail nemal nikdy vzniknúť.
Naviac email končí lakonickým
Prajeme Vam pekny a uspesny den, *******
Miesto hviezdičiek je názov firmy. Žiadny pokus aspoň zachovať si alibi v štýle „ak neveríte tomuto mailu, overte si pravosť informácii tu alebo tu“. Nič také.
Vravím ups. Padla nákova. Nič sa nestalo, všetko je ok. Len mám stále taký divný pocit. Vy nie?

Written by rony

19 komentárov

Ruziklan

A to si vazne citoval? Copy & paste? Lebo to by som si myslel, ze ide o phishing aj preto, ze je to povedane pekne natvrdo „V emaily“.

ehmo

ruziklan, 3x som sa ronyho vcera spytal, ci skontroloval hlavicku emailu. po cely cas som tom unechcel uverit. spolocnost asi rada vyvolava rozruch

sloper

A to akoze UUUPLNE VAAAAZNE ziadaju posielat „meno a priezvisko, rodne cislo“, cize osobne udaje, e-mailom?!?!?!?!?!?!?
Preboha… Hodinovu vypoved pre zodpovedneho!!!

OttY

asi majú v Orange veľkú fluktuáciu a noví zamestnanci nestíhajú pochopiť základné postuláty bezpečnosti na Inete. Ale aspoň vedúci oddelenia by mal takéto veci skontrolovať než ich vypustia. Rony, napíš to na staznosti.sme.sk :-)

rony

[4] mne je jedno, kto taky mail vymyslel a preco.
dolezite pre mna je to, ze to naburava snahu naucit ludi, aby neverili PRESNE takymto mailom, ktore dorazia do ich dorucenej posty.
proste snahu zrusit akukolvek vymenu citlivych dat a operacii cez email.

emmacore

ROFL! BTW, ked sme mali internet cez Telekom, do mailboxu priatelke denne chodil tatrabankovy vypis z uctu nejakeho cudzieho cloveka (zaheslovany zip). Stalo sa totiz, ze on uz nepouzival ten alias a zrejme zabudol, ze mu tam chodia vypisy. Ked sme zriadili konto v T-Come, nahodou som sa trafil do aliasu, ktory sa kedysi pouzival. Pokusal som sa Tatra banku presvedcit, ze vypis posielaju nespravnej osobe, ale na maily nereagovali. Uplne zabavne bolo, ked nejaky orangovy obchodnik zacal na ten mail spamovat ponuky a na moju podrazdenu reakciu odpovedal, ze on ich predsa posiela panovi XY na jeho sukr. mail a ze co mu vlastne pisem ja :-) Pribeh skoncil, ked sme zmenili providera. Bolo by to ovela zabavnejsie, keby Tatra banka posielala ten vypis nezaheslovany :-)

mimoklepes

pre tak maly textovy subor, akym je vypis z uctu, je zaheslovanie v zipe naozaj smiesna ochrana a hrubou silou to rozbijes za chvilku. mozno je naozaj lepsie, ak to maju ludia bez hesla, aspon nemaju naivnu predstavu, ze je to chranene.
ale to pozadovanie osobnych udajov v beznom mejli je naozaj mimo.

rony

[12] poslem ti jeden z tych zaheslovanych suborov. Posles mi to rozbalene na obed? Musis stat za svojim tvrdenim, takze by si mi to mohol dokazat :-) Iste predstavy o bruteforce takeho zipu mam, takze mozno mi ich potvrdis alebo vyvratis ;-)
Ano, samozrejme ma zarazil prave ten citovany odstavec.

rony

[15] budes zodpovedny za bezpecnost pocitacovej siete statneho organu podla vyberu :)

naivka

bude to zniet asi hlupo, ale aky problem je ak niekomu poslem meno, rodne cislo,…?
ked to niekto velmi chce zistit, tak si to tak ci tak zisti, nie?
a neviem ako by sa to dalo zneuzit, ale rad sa necham poucit

rony

[17] trebars na zaklade takehoto emailu mozem vystupovat vo vztahu k danej firme ako ty. Mozem urobit nieco, co nechces. Samozrejme Vyskocov clanok je ilustrativnejsi.
Jadrom mojho clanku je to, ze firma vystupuje voci ludom ako autorita „ked toto robi FIRMA a je to v poriadku, potom su v poriadku aj ine emaily, ktore ma ziadaju o podobne udaje“. Treba vediet, v com je nebezpecny phishing a v globale nezdrava dovera v to, ze „nic sa neudialo hned po tom ako som nieco urobil, takze uz sa nic nemoze stat.“

Comments are closed.