Comments 35
Правда что, чтобы это работало, я должен быть авторизованным?
Можно кого-нибудь забавно разыграть: «Уважаемый клиент, в уходящий год козы мы провели лотерею и вы стали обладателем ...». Вообще конечно такое недопустимо, люди по умалчиванию доверяют письмам отправленным с реальных адресов банка.
Это самое безобидное, что можно сделать с такой уязвимостью. А можно перенаправить на фишинговый сайт интернет-банка и попросить авторизоваться
Адрес отправителя можно подделать и без этой уязвимости. DMARC у банков популярности еще не заработал.
С альфабанка обычно идет столько бесполезных писем, что скорей ваше поздравление удалят не читая
Чем отличается результат от использования любого сервиса подмены отправителя?
Наверное тем, что ваше сообщение если и не попадет в спам, то например gmail напишет что-то типа «Возможно, это сообщение отправлено не пользователем ...»
А покажите заголовки писем отправленных таким образом.
Delivered-To: my.email@gmail.com
Received: by 10.***.**.93 with SMTP id *****;
Mon, 29 Dec 2014 15:09:08 -0800 (PST)
X-Received: by 10.***.**.142 with SMTP id ****.45.14****552;
Mon, 29 Dec 2014 15:09:06 -0800 (PST)
Return-Path: <prvs=4332b2943=ccd@alfabank.kiev.ua>
Received: from dsipv.alfabank.kiev.ua (dsipv.alfabank.kiev.ua. [91.197.218.25])
by mx.google.com with ESMTP id ******.122.2014.12.29.15.09.05
for <my.email@gmail.com>;
Mon, 29 Dec 2014 15:09:06 -0800 (PST)
Received-SPF: none (google.com: prvs=4332b2943=ccd@alfabank.kiev.ua does not designate permitted sender hosts) client-ip=91.197.218.25;
Authentication-Results: mx.google.com;
spf=none (google.com: prvs=4332b2943=ccd@alfabank.kiev.ua does not designate permitted sender hosts) smtp.mail=prvs=4332b2943=ccd@alfabank.kiev.ua
Date: 30 Dec 2014 01:09:04 +0200
Received: from mynode2.alfa.bank.int ([172.17.142.104])
by dsip.alfabank.kiev.ua with ESMTP; 30 Dec 2014 01:09:04 +0200
From: AlfaBank <ccd@alfabank.kiev.ua>
To: <my.email@gmail.com>
Message-ID: <***********.JavaMail.myalfabank@mynode2.alfa.bank.int>
Subject: =?UTF-8?B?0J/RgNC40LLQtdGCISEh?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
Received: by 10.***.**.93 with SMTP id *****;
Mon, 29 Dec 2014 15:09:08 -0800 (PST)
X-Received: by 10.***.**.142 with SMTP id ****.45.14****552;
Mon, 29 Dec 2014 15:09:06 -0800 (PST)
Return-Path: <prvs=4332b2943=ccd@alfabank.kiev.ua>
Received: from dsipv.alfabank.kiev.ua (dsipv.alfabank.kiev.ua. [91.197.218.25])
by mx.google.com with ESMTP id ******.122.2014.12.29.15.09.05
for <my.email@gmail.com>;
Mon, 29 Dec 2014 15:09:06 -0800 (PST)
Received-SPF: none (google.com: prvs=4332b2943=ccd@alfabank.kiev.ua does not designate permitted sender hosts) client-ip=91.197.218.25;
Authentication-Results: mx.google.com;
spf=none (google.com: prvs=4332b2943=ccd@alfabank.kiev.ua does not designate permitted sender hosts) smtp.mail=prvs=4332b2943=ccd@alfabank.kiev.ua
Date: 30 Dec 2014 01:09:04 +0200
Received: from mynode2.alfa.bank.int ([172.17.142.104])
by dsip.alfabank.kiev.ua with ESMTP; 30 Dec 2014 01:09:04 +0200
From: AlfaBank <ccd@alfabank.kiev.ua>
To: <my.email@gmail.com>
Message-ID: <***********.JavaMail.myalfabank@mynode2.alfa.bank.int>
Subject: =?UTF-8?B?0J/RgNC40LLQtdGCISEh?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
Как минимум тем, что в заголовках письма будет реальный IP банка.
Наличием у письма DKIM подписи, которая подтверждает отправителя письма и то что письмо не было перехвачено и модифицировано.
Даже если ничем (хотя если бы они использовали SPF или DKIM то уровень доверия письмам был бы выше), то в любом случае это даёт возможность устроить DoS-атаку банка: если разослать с их сервера достаточно спама то их IP добавят в чёрные списки (из которых они задолбаются удаляться, особенно если проделать это несколько раз) и письма банка настоящим клиентам перестанут доходить. В общем, такие баги надо фиксить, не важно можешь лично ты прямо сейчас придумать вектор атаки через этот баг или нет — если ты не придумал, это ещё не значит, что его нет.
А ещё Альфа-Банк — это уже второй банк, который считает, что мой e-mail адрес в зоне .name (something@firstname.lastname.name) имеет некорректный формат.
Ответ службы поддержки: «В настоящее время настройки Интернет-Банка позволяют сохранять email с одним доменом. Обозначенный в обращении адрес данному правилу не соответствует.»
Ответ службы поддержки: «В настоящее время настройки Интернет-Банка позволяют сохранять email с одним доменом. Обозначенный в обращении адрес данному правилу не соответствует.»
Помню, когда-то имел почту вида something@a.ua — тоже многие парсеры не пропускали. А потом и почта эта то ли закрылась, то ли переехала куда-то.
у меня в доменом имени дефис так тоже некоторык банки не принимали — пришлось поменять банк :)
Это еще что, у меня и просто first@last.name местами не принимают :(
Глупость конечно от банка великая, открывает достаточно широкие возможности для фишинга. Получается достаточно написать бота который в атоматическом режиме может заходить под аккаунтов и снимать деньги или оплачитвать указанный товар, а так же отсылать новую партию писем. Потом рассылаем потенциальным клиентам банка письмо с ссылкой на фишинговый сайт и радуемся. Клиент заходит на фишинговый сайт вводит пароль/логин, программа делает запрос авторизации на раельном сайте банка — клиенту по двух факторной авторизации отправляется СМС, на фишинговом сайте пользователю показывается запрос на код в этом СМС. Клиент не замечая никакой разницы в интерфейсе вводит код для авторизации на фишинговом сайте. И все, двух факторная авторизация пройдена.
Sign up to leave a comment.
Как я племянника с Днем рождения поздравлял