Som albánsky hacker a pošlite mi svoje meno a heslo

Ups. Ako klient veľkej firmy, ktorej už viac ako desať rokov mesačne platím som si pred časom požiadal o posielanie faktúr e-mailom. Príjemne ma prekvapilo, že sú posielané zaheslované (klasický zip).
V stredu mi táto firma poslala dlhý e-mail „Elektronicka faktura – navod na zrusenie ochrany heslom el. faktur“téma na maturity 2008 :-)
Vravím si, či nejde o oneskorený či zatúlaný e-mail, ktorý je následkom môjho pomerne naštvaného pokusu ZMENIŤ si moju e-mailovú adresu v ťažkopádnom webovom systéme tejto firmy. Proste som si vtedy chcel zabezpečiť aby ma NEOTRAVOVALI megabajtovými prílohami s ich skvelými ponukami na dementné nezmysly.
Potom som sa začítal…


…a dozvedel som sa, že tí klienti sú pohodlné stvorenia vyžadujúce zasielanie faktúr nekryptovane. Proste si nespomínajú na heslo k ZIP súboru. A chceli by posielať faktúry nešifrovane: Na zaklade poziadaviek zakaznikov, ktori uprednostnuju jednoduchsi pristup k Elektronickym fakturam sme rozsirili moznosti o deaktivaciu ochrany Elektronickej faktury prostrednictvom hesla. Jesus… chápem klientov, že chcú mať pohodlné veci. Ale nechápem prečo by sme mali dovoliť každému čokoľvek aj napriek zdravému rozumu. No dobre, demokracia etc etc. Tak ok. Môžu.
E-mail sa snažil, pomerne chabo, Je na Vasom zvazeni, aku uroven ochrany budete pouzivat. Ak mate zaujem pouzivat novy, jednoduchsi pristup bez ochrany heslom presvedčovať ma o zhovadilosti takéhoto nápadu. Väčšina textu však bola návodom ako spáchať samovraždu. V podstate to nemôžem inak nazvať :-)
Samovraždu klienta a samovraždu zdravého rozumu toho, koho napadlo posielať informatívny mail.
Akoby som sa zobudil z 50tych rokov do dnešnej doby a nič netušil o phishingu. Ježkove oči :-)
Pokračujme však k odstavcu, ktorý nemám odvahu komentovať:

O zmenu v nastaveniach, pripadne ak ste zabudli Vase sucasne heslo k sluzbe, mozete poziadat aj formou „reply/odpovedat“ na tento email (s ponechanim celeho obsahu e-mailovej komunikacie). V emaily prosim uvedte, ci ziadate o Zrusenie ochrany heslom zasielanych elektronickych faktur alebo ziadate o zaslanie noveho hesla k sluzbe elektronicka faktura, a doplnte Vase identifikacne udaje, tel. cislo, meno a priezvisko / nazov firmy, rodne cislo / ICO.

Iba slabo pípnem: phishing?
Skontroloval som hlavičku mailu. Preboha, to vážne splodil niekto z tejto firmy a rozposlal zrejme všetkým, čo majú elektronické faktúry. Jesus.
Pozor: tento mail je vlastne ok. Jeho problémom je narušenie akejsi formy výchovy ľudí, že nemajú dôverovať „len tak priletenému emailu“ a konať iba na jeho základe. Je však aj prejavom absolútneho ignorovania doby kedy phishing je čosi, čo v úžasných množstvách poletuje internetom každú stotinu sekundy. Akurát takýto e-mail nemal nikdy vzniknúť.
Naviac email končí lakonickým
Prajeme Vam pekny a uspesny den, *******
Miesto hviezdičiek je názov firmy. Žiadny pokus aspoň zachovať si alibi v štýle „ak neveríte tomuto mailu, overte si pravosť informácii tu alebo tu“. Nič také.
Vravím ups. Padla nákova. Nič sa nestalo, všetko je ok. Len mám stále taký divný pocit. Vy nie?

Môže sa Vám ešte páčiť...

19 komentárov

  1. Ruziklan píše:

    A to si vazne citoval? Copy & paste? Lebo to by som si myslel, ze ide o phishing aj preto, ze je to povedane pekne natvrdo „V emaily“.

  2. ehmo píše:

    ruziklan, 3x som sa ronyho vcera spytal, ci skontroloval hlavicku emailu. po cely cas som tom unechcel uverit. spolocnost asi rada vyvolava rozruch

  3. sloper píše:

    A to akoze UUUPLNE VAAAAZNE ziadaju posielat „meno a priezvisko, rodne cislo“, cize osobne udaje, e-mailom?!?!?!?!?!?!?
    Preboha… Hodinovu vypoved pre zodpovedneho!!!

  4. OttY píše:

    asi majú v Orange veľkú fluktuáciu a noví zamestnanci nestíhajú pochopiť základné postuláty bezpečnosti na Inete. Ale aspoň vedúci oddelenia by mal takéto veci skontrolovať než ich vypustia. Rony, napíš to na staznosti.sme.sk :-)

  5. rony píše:

    [4] mne je jedno, kto taky mail vymyslel a preco.
    dolezite pre mna je to, ze to naburava snahu naucit ludi, aby neverili PRESNE takymto mailom, ktore dorazia do ich dorucenej posty.
    proste snahu zrusit akukolvek vymenu citlivych dat a operacii cez email.

  6. emmacore píše:

    ROFL! BTW, ked sme mali internet cez Telekom, do mailboxu priatelke denne chodil tatrabankovy vypis z uctu nejakeho cudzieho cloveka (zaheslovany zip). Stalo sa totiz, ze on uz nepouzival ten alias a zrejme zabudol, ze mu tam chodia vypisy. Ked sme zriadili konto v T-Come, nahodou som sa trafil do aliasu, ktory sa kedysi pouzival. Pokusal som sa Tatra banku presvedcit, ze vypis posielaju nespravnej osobe, ale na maily nereagovali. Uplne zabavne bolo, ked nejaky orangovy obchodnik zacal na ten mail spamovat ponuky a na moju podrazdenu reakciu odpovedal, ze on ich predsa posiela panovi XY na jeho sukr. mail a ze co mu vlastne pisem ja :-) Pribeh skoncil, ked sme zmenili providera. Bolo by to ovela zabavnejsie, keby Tatra banka posielala ten vypis nezaheslovany :-)

  7. Mat píše:

    Vase Problemy.

  8. rony píše:

    [8] Matove problemy.

  9. Ruziklan píše:

    [9] Mat uz zrejme zabudol, ako to sam ma s Patom problematicke.

  10. emmacore píše:

    dusoft, dik za zaujimavy link.

  11. mimoklepes píše:

    pre tak maly textovy subor, akym je vypis z uctu, je zaheslovanie v zipe naozaj smiesna ochrana a hrubou silou to rozbijes za chvilku. mozno je naozaj lepsie, ak to maju ludia bez hesla, aspon nemaju naivnu predstavu, ze je to chranene.
    ale to pozadovanie osobnych udajov v beznom mejli je naozaj mimo.

  12. rony píše:

    [12] poslem ti jeden z tych zaheslovanych suborov. Posles mi to rozbalene na obed? Musis stat za svojim tvrdenim, takze by si mi to mohol dokazat :-) Iste predstavy o bruteforce takeho zipu mam, takze mozno mi ich potvrdis alebo vyvratis ;-)
    Ano, samozrejme ma zarazil prave ten citovany odstavec.

  13. ad píše:

    asdd

  14. bolek píše:

    [13] sorry nestihol som to presne do 12tej ale heslo je nbuSR123
    Co vyhravam?

  15. rony píše:

    [15] budes zodpovedny za bezpecnost pocitacovej siete statneho organu podla vyberu :)

  16. naivka píše:

    bude to zniet asi hlupo, ale aky problem je ak niekomu poslem meno, rodne cislo,…?
    ked to niekto velmi chce zistit, tak si to tak ci tak zisti, nie?
    a neviem ako by sa to dalo zneuzit, ale rad sa necham poucit

  17. rony píše:

    [17] trebars na zaklade takehoto emailu mozem vystupovat vo vztahu k danej firme ako ty. Mozem urobit nieco, co nechces. Samozrejme Vyskocov clanok je ilustrativnejsi.
    Jadrom mojho clanku je to, ze firma vystupuje voci ludom ako autorita „ked toto robi FIRMA a je to v poriadku, potom su v poriadku aj ine emaily, ktore ma ziadaju o podobne udaje“. Treba vediet, v com je nebezpecny phishing a v globale nezdrava dovera v to, ze „nic sa neudialo hned po tom ako som nieco urobil, takze uz sa nic nemoze stat.“