Archive for the ‘Сигурност’ Category

Как не (може да) се прави защита от хакери !

сряда, март 28th, 2018

Клиент съм на една (относително голяма) българска банка. Днес забелязах че съм получил phishing поща представяща се за идваща от тази банка:

скъпи клиенти,

Вашата електронна сметка в xxx е временно заключена от съображения за сигурност.

Ако искате да активирате профила си, следвайте инструкциите по-долу.

можете да го направите тук: 


Отключване на профила


С уважение,

Обслужване на клиенти 

Стандартен phishing ! На чист български 🙂
Моята пощенска кутия правилно го беше маркирала като спам заради съмнителния пощенски сървър от който идва:

Received: from pulsar.univ-valenciennes.fr (pulsar.univ-valenciennes.fr. [293.350.492.531])
        by xxx with ESMTPS id 12si632797wru.372.2018.03.27.01.56.14
        for 
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 27 Mar 2018 01:56:14 -0700 (PDT)
Received-SPF: softfail (xxx: domain of transitioning gbzay222@outlook.fr does not designate 293.350.492.531 as permitted sender) client-ip=293.350.492.531;
Authentication-Results: xxx;
       spf=softfail (xxx: domain of transitioning gbzay222@outlook.fr does not designate 293.350.492.531 as permitted sender) smtp.mailfrom=Gbzay222@outlook.fr
Received: from [885.313.636.729] (srv418.firstheberg.net [985.513.636.829]) by pulsar.univ-valenciennes.fr (Postfix) with ESMTPSA id 406B03074D2 for ; Tue, 27 Mar 2018 10:48:20 +0200 (CEST)

Но в списъка с емейли в потребителския интерфейс си изглеждаше напълно редовен. И бих го отворил ако не знаех че не трябва 🙂

Стана ми интересно и реших да сигнализирам банката която се използваше като претекст. Какво би направил всеки съвестен гражданин надявам се !

Препратих им оригиналното писмо, копие от служебните хедъри и малък текст обясняващ от къде и как съм се сдобил с това.

Нямаха специален адрес, така че използвах адреса за контакти от сайта им.

И ето какво получих като отговор:

Отговорът от отдалечения сървър бе:
554 5.7.1 This message has been blocked because ASE reports it as spam. 

Final-Recipient: rfc822; xxxx@xxxbank.bg
Action: failed
Status: 5.7.1
Remote-MTA: dns; xxxxxbank.bg. (222.345.332.812, the server for the domain xxxxxbank.bg.)
Diagnostic-Code: smtp; 554 5.7.1 This message has been blocked because ASE reports it as spam.
Last-Attempt-Date: Wed, 28 Mar 2018 05:00:59 -0700 (PDT)

Тоест толкова се бяха защитили че чак не приемат и информация за атаките от съвестни граждани като мен !

Хмм !