Как я племянника с Днем рождения поздравлял

    В очередной раз, когда я пользовался интернет-банкингом украинского Альфа-банка, мое внимание привлекла форма отправки квитанции на имейл:



    Интересное в ней было то, что заголовок письма и текст сообщения можно было редактировать. Исследовав отправляемый на сервер запрос, я добился того, что можно было саму квитанцию не отправлять, а только тему письма и текст сообщения.

    Полученный запрос приобрел следующий вид:

    https://my.alfabank.com.ua/report/email?id=&type=order&recipientEmail=your.email@gmail.com&subject=Привет!!!&body=Тут текст сообщения и ссылка http://fakesite.com&next=
    

    Таким образом, получилось, что я могу отправить абсолютно любого содержания письмо от имени Альфа-Банка с адреса ccd@alfabank.kiev.ua на любой имейл. Я сразу же уведомил о найденной уязвимости службу безопасности банка, но, к сожалению, спустя 2 месяца они так и не предприняли меры по её устранению. Единственно, что успокаивает, так это то, что с недавних пор в интернет-банкинге введена обязательная двухфакторная авторизация через смс или имейл и, таким образом, использовать эту уязвимость на взломанных аккаунтах стало на порядок сложнее.

    Ну и напоследок, пользуясь случаем, я поздравил племянника с прошедшим Днем рождения:

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 35

      +3
      Правда что, чтобы это работало, я должен быть авторизованным?
        +6
        Статью не читай, комментарии пиши.
        Единственно, что успокаивает, так это то, что с недавних пор в интернет-банкинге введена обязательная двухфакторная авторизация через смс или имейл и таким образом использовать эту уязвимость на взломанных аккаунтах стало на порядок сложнее.
          +11
          Я эту фразу читал, и её можно интерпретировать по разному.
        +1
        Можно кого-нибудь забавно разыграть: «Уважаемый клиент, в уходящий год козы мы провели лотерею и вы стали обладателем ...». Вообще конечно такое недопустимо, люди по умалчиванию доверяют письмам отправленным с реальных адресов банка.
          +9
          Это самое безобидное, что можно сделать с такой уязвимостью. А можно перенаправить на фишинговый сайт интернет-банка и попросить авторизоваться
            +6
            Адрес отправителя можно подделать и без этой уязвимости. DMARC у банков популярности еще не заработал.
              +2
              С альфабанка обычно идет столько бесполезных писем, что скорей ваше поздравление удалят не читая
                +1
                Письмо раз в два-три месяца, но да, полезными назвать их трудно :)
                  0
                  и не удивительно, с такой то уязвимостью…
                –4
                Чем отличается результат от использования любого сервиса подмены отправителя?
                  +6
                  Наверное тем, что ваше сообщение если и не попадет в спам, то например gmail напишет что-то типа «Возможно, это сообщение отправлено не пользователем ...»
                    +1
                    А покажите заголовки писем отправленных таким образом.
                      +11
                      Delivered-To: my.email@gmail.com
                      Received: by 10.***.**.93 with SMTP id *****;
                      Mon, 29 Dec 2014 15:09:08 -0800 (PST)
                      X-Received: by 10.***.**.142 with SMTP id ****.45.14****552;
                      Mon, 29 Dec 2014 15:09:06 -0800 (PST)
                      Return-Path: <prvs=4332b2943=ccd@alfabank.kiev.ua>
                      Received: from dsipv.alfabank.kiev.ua (dsipv.alfabank.kiev.ua. [91.197.218.25])
                      by mx.google.com with ESMTP id ******.122.2014.12.29.15.09.05
                      for <my.email@gmail.com>;
                      Mon, 29 Dec 2014 15:09:06 -0800 (PST)
                      Received-SPF: none (google.com: prvs=4332b2943=ccd@alfabank.kiev.ua does not designate permitted sender hosts) client-ip=91.197.218.25;
                      Authentication-Results: mx.google.com;
                      spf=none (google.com: prvs=4332b2943=ccd@alfabank.kiev.ua does not designate permitted sender hosts) smtp.mail=prvs=4332b2943=ccd@alfabank.kiev.ua
                      Date: 30 Dec 2014 01:09:04 +0200
                      Received: from mynode2.alfa.bank.int ([172.17.142.104])
                      by dsip.alfabank.kiev.ua with ESMTP; 30 Dec 2014 01:09:04 +0200
                      From: AlfaBank <ccd@alfabank.kiev.ua>
                      To: <my.email@gmail.com>
                      Message-ID: <***********.JavaMail.myalfabank@mynode2.alfa.bank.int>
                      Subject: =?UTF-8?B?0J/RgNC40LLQtdGCISEh?=
                      MIME-Version: 1.0
                      Content-Type: multipart/mixed;
                    +9
                    Как минимум тем, что в заголовках письма будет реальный IP банка.
                      +9
                      Наличием у письма DKIM подписи, которая подтверждает отправителя письма и то что письмо не было перехвачено и модифицировано.
                        +5
                        Судя по заголовкам выше, этот банк не используется DKIM, SPF и прочее.
                          +4
                          В данном случае это так.
                          Проблема в том, что когда банковский сервер честно отправляет письма пользователям, любые механизмы определения подмен становятся бесполезны.
                        +2
                        Даже если ничем (хотя если бы они использовали SPF или DKIM то уровень доверия письмам был бы выше), то в любом случае это даёт возможность устроить DoS-атаку банка: если разослать с их сервера достаточно спама то их IP добавят в чёрные списки (из которых они задолбаются удаляться, особенно если проделать это несколько раз) и письма банка настоящим клиентам перестанут доходить. В общем, такие баги надо фиксить, не важно можешь лично ты прямо сейчас придумать вектор атаки через этот баг или нет — если ты не придумал, это ещё не значит, что его нет.
                      • UFO just landed and posted this here
                          +7
                          Это же деньги нужно тратить на программистов. А откуда у банка деньги?
                          +5
                          А ещё Альфа-Банк — это уже второй банк, который считает, что мой e-mail адрес в зоне .name (something@firstname.lastname.name) имеет некорректный формат.
                          Ответ службы поддержки: «В настоящее время настройки Интернет-Банка позволяют сохранять email с одним доменом. Обозначенный в обращении адрес данному правилу не соответствует.»
                            0
                            Помню, когда-то имел почту вида something@a.ua — тоже многие парсеры не пропускали. А потом и почта эта то ли закрылась, то ли переехала куда-то.
                              0
                              У меня есть e-mail вида i@<мой_ник>.ru Тоже время от времени приходится писать в техподдержку разных сервисов, не считающих его валидным (например, в TeamViewer'е уже исправили).
                                0
                                оффтопик
                                Отличная у тебя «имеджборда» :D
                                  0
                                  Скрытый текст
                                  Спасибо, я старался. Пришлось поставить её не настраивая, а потом забыть про неё на 2 года. Было трудно, но я сумел.
                              0
                              у меня в доменом имени дефис так тоже некоторык банки не принимали — пришлось поменять банк :)
                                0
                                Это еще что, у меня и просто first@last.name местами не принимают :(
                                  +2
                                  Конечно, 4 буквы в зоне первого уровня это много. Всем должно хватать 3х.
                                    0
                                    Да, хорошо, что я домен в зоне .asia продлять не стал =)
                                    +2
                                    Что ж будет с доменами .engineering или .international?..
                                      0
                                      porno.technology
                                      0
                                      Подскажите, где можно такое зарегистрировать?
                                        0
                                        когда зона NAME только появилась — только так и можно было регистрировать,
                                        домен 3го уровня first.last.name и к нему в придачу почта first@last.name
                                        Позже разрешили регистрировать домены 2го уровня.
                                          0
                                          А регистратор-то какой?
                                    0
                                    Глупость конечно от банка великая, открывает достаточно широкие возможности для фишинга. Получается достаточно написать бота который в атоматическом режиме может заходить под аккаунтов и снимать деньги или оплачитвать указанный товар, а так же отсылать новую партию писем. Потом рассылаем потенциальным клиентам банка письмо с ссылкой на фишинговый сайт и радуемся. Клиент заходит на фишинговый сайт вводит пароль/логин, программа делает запрос авторизации на раельном сайте банка — клиенту по двух факторной авторизации отправляется СМС, на фишинговом сайте пользователю показывается запрос на код в этом СМС. Клиент не замечая никакой разницы в интерфейсе вводит код для авторизации на фишинговом сайте. И все, двух факторная авторизация пройдена.

                                    Only users with full accounts can post comments. Log in, please.