05.05.2017 07:29
Velibekov 25 2300 Источник
Доброе утро.

Основная цель этой статьи — докричаться до людей в Tele2, которые могут хоть как-то повлиять на это дело, ибо я не сумел этого сделать. На оставленную мной сотруднику компании заявку, я получил на электронку ответ:



Думаете это безответственность отдельно взятого сотрудника?
Что-то мне подсказывает, что они там все такие.


В наше время очень много статей о поддельных письмах от банков и крупных компаний.
И вот, вчера пришло письмо от якобы Tele2



Полазив по сайту Tele2, не нашел куда отправить об этом информацию и написал в онлайн-чат.

Переписка через онлайн-чат:
01:34
Михаил
Здравствуйте

01:21
Лилия
Здравствуйте! =)

01:21
Лилия
Меня зовут Лиля. Чем я могу Вам помочь? =)

01:21
Михаил
Как мне связаться с вашими СБ-шниками или IT-шниками?

01:22
Михаил
Нужен емейл, на который я мог бы отправить вот это:

01:22
Михаил
file-service-0-sdk-production-1.livetex.ru/2017/05/04/dcb1f9b5-300d-4eb2-af43-4c6cbafc1a79/tele2.png

01:22
Михаил
Поддельное письмо, от якобы Теле2. Ссылка ведет на совершенно левый сайт

01:23
Михаил
ahdaaf.org/wp-content/themes/spacious/genericons/download.html?id=193f91aa51

01:23
Михаил
То есть, у вас проблемы с настройкой почты. Скорее всего не настроена корректно DKIM подпись. Поэтому, любой желающий, может подделывать электронные письма от вашей компании.

01:24
Лилия
Михаил, спасибо за вашу бдительность. Контакты СБ по понятным причинам я не могу предоставить, данную информацию передам самостоятельно.

01:24
Лилия
Пару минут, пожалуйста. Я предоставлю вам номер заявки.

01:25
Лилия
По которой вам ответят

01:25
Лилия
Скажите, как и куда предоставить ответ?

01:25
Михаил
velibekov@mail.ru

01:26
Лилия
Спасибо. Немного времени, пожалуйста.

01:26
Михаил
и еще один файл примите:

01:26
Михаил
file-service-0-sdk-production-1.livetex.ru/2017/05/04/1ff117ad-6057-47b8-829b-1ac6091045e3/tele2.txt

01:27
Михаил
его тоже передайте. Он содержит в себе всю информацию о письме.

01:27
Лилия
По Вашему запросу создана заявка номер ТТ5346038. Среднее время рассмотрения подобных заявок составляет 24 часа. Но мы сделаем все возможное, чтобы решить Ваш вопрос как можно быстрее. Итоги рассмотрения вопроса Вам предоставит наш специалист на контактный e-mail velibekov@mail.ru и сообщит результат.

01:32
Лилия
Могу еще помочь?

01:32
Михаил
нет, спасибо)

01:32
Лилия
Спасибо Вам за бдительность =)))

01:33
Лилия
Будут вопросы, обязательно обращайтесь! =) Всего доброго! =)


И выше вы видели, полученный мной ответ от Tele2.
В общем, господа, начался период поддельных писем от крупных компаний, в которых сотрудники работают ровно столько, чтобы их не уволили, а работодатели платят ровно столько, чтобы сотрудники не уволились. И всем на все пофигу.

Если вы работаете, например, системным администратором в компании, потратьте немного времени, создайте инструкцию для сотрудников, проведите тренинг — это позволит снизить вероятность возникновения проблем.

Заголовки письма (если это кому-то интересно)
Received: from mxback16j.mail.yandex.net ([127.0.0.1])
by mxback16j.mail.yandex.net with LMTP id nl9bZ7ch
for <******@yandex.ru>; Wed, 3 May 2017 02:06:57 +0300
Received: from rpop2m.mail.yandex.net (rpop2m.mail.yandex.net [2a02:6b8:0:2519::188])
by mxback16j.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 1cjbNADc86-6vBugTq6;
Wed, 03 May 2017 02:06:57 +0300
X-Yandex-Front: mxback16j.mail.yandex.net
X-Yandex-TimeMark: 1493766417
X-Yandex-Spam: 4
X-yandex-pop-server: imap.yandex.ru
X-yandex-rpop-id: 1928954
X-yandex-rpop-info: info@imap.yandex.ru
Received: from info@imap.yandex.ru ([87.250.251.124])
by mail.yandex.ru with POP3 id ubH5m20MWmI1
for 921684506@1928954; Wed, 3 May 2017 02:06:57 +0300
Received: from mxfront3m.mail.yandex.net ([127.0.0.1])
by mxfront3m.mail.yandex.net with LMTP id qMhTS6Me
for <info@******.ru>; Wed, 3 May 2017 02:01:04 +0300
Received: from mail.findox.org (mail.findox.org [146.185.176.53])
by mxfront3m.mail.yandex.net (nwsmtp/Yandex) with ESMTP id XQDnOkzIey-13ZCuPQG;
Wed, 03 May 2017 02:01:03 +0300
X-Yandex-Front: mxfront3m.mail.yandex.net
Received: from hosting (unknown [176.120.37.237])
by mail.findox.org (Postfix) with ESMTP id 7BB1520E8D
for <info@******.ru>; Wed, 3 May 2017 02:01:03 +0300 (EEST)
DMARC-Filter: OpenDMARC Filter v1.3.1 mail.findox.org 7BB1520E8D
Received: by hosting (Postfix, from userid 1000)
id 534AB1013F82E; Wed, 3 May 2017 02:01:03 +0300 (EEST)
To: info@******.ru
Subject: Новый счет
X-PHP-Originating-Script: 1000:system_m.php
MIME-Version: 1.0
Content-type: text/html; charset=UTF-8
From: <noreply@tele2.ru>
Message-Id: <20170502230103.534AB1013F82E@hosting>
Date: Wed, 3 May 2017 02:01:03 +0300 (EEST)
X-Yandex-Forward: 60d0b0c1c3229da3782eb2f895887a80
Return-Path: ******@yandex.ru
X-Yandex-Forward: 561606bb773d22514f64f6b2dd795b4b

Добрый день,

в результате сверки документов был обнаружен неоплаченный вами счет, просим оплатить его в кратчайшие сроки.
Документ: https://www.files.tele2.ru/193f91aa51/documents/2017/05/...

Спасибо за внимание.

Поделиться с друзьями
-->

Комментарии (25)


  1. saboteur_kiev
    05.05.2017 10:55
    #10047315

    Хм, а вы пробовали свзяться по указанным Юлией контактам?
    Я так понял, они хотят интерактивно уточнить информацию?


    1. Xalium
      05.05.2017 11:40
      #10047469

      А чего в чате не интерактивного? Или они хотят в реале посмотреть в его красивые глазки?


    1. Velibekov
      05.05.2017 11:48
      #10047499

      Вы действительно верите в то, что квалификация сотрудников центра обслуживания Tele2 (то есть салона по продаже тарифов и оборудования), позволит им получить какую-то дополнительную информацию?)))
      Telegram и Viber выполняют ровно тот же функционал, что и онлайн-чат.

      Просто был отправлен шаблонный ответ: Юлия либо даже не прочитала что ей переслали, либо уровень ее квалификации не позволил понять в чем речь, а уровень интеллекта, либо внутрекорпоративные протоколы не позволили ей переслать информацию тем, кто разбирается в предмете вопроса.


  1. pyrk2142
    05.05.2017 11:17
    #10047383

    Довольно интересно, что раньше мне приходили исключительно рекламные поддельные письма. Но уже несколько недель приходят фишинговые, а это уже неприятно.


    1. Velibekov
      05.05.2017 11:50
      #10047505

      Да. При чем динамика явно удручающая.
      Здесь интересная статья по настройке почтовых серверов Российских банков, от которых тоже валятся фишинговые письма.
      Я уже молчу про письма от хостинговых компаний и регистраторов доменных имен.


  1. Andy_Big
    05.05.2017 11:30
    #10047437

    Если уж Вы решили скрывать свой email, то затрите его и в заголовке письма, а не только на скрине :)
    И я недостаточно хорошо знаю эти технологии, но как настройки почтового сервера у Tele2 могут помешать мошенникам подставлять в поле заголовка «From» любые адреса? То есть что тут вообще могут сделать сотрудники Tele2?


    1. korzunin
      05.05.2017 11:40
      #10047465

      SPF, DKIM, DMARC


      1. Andy_Big
        05.05.2017 12:23
        #10047609

        Вот для меня, например, это ни о чем не говорящий набор букв. Я же написал — плохо знаю почтовые технологии. Это сделает невозможным отправку писем с защищаемым адресом в поле «From»? Или только сможет достоверно определять, что письмо получено действительно от адресата? Если второе, то эффект будет весьма незначительный.


        1. ValdikSS
          05.05.2017 12:42
          #10047679

          Это сделает невозможным отправку писем с защищаемым адресом в поле «From»?
          Да, DMARC сделает невозможным подмену отправителя.


        1. korzunin
          05.05.2017 12:52
          #10047715

          Это позволит принимающему серверу понять является ли отправитель легитимным.

          Если коротко — SPF позволяет задать сервера имеющих право отправлять почту от имени домена и что нужно делать с письмами идущими с других серверов.
          DKIM позволяет подписывать письма. DMARC описывает что делать с не легитимными письмами.


    1. Velibekov
      05.05.2017 11:50
      #10047507

      Спасибо за подсказку, пропустил в двух местах свой емейл, заменил звездочками.


      1. xDimus
        05.05.2017 12:17
        #10047585

        в переписке онлайн чата он тоже есть :)


  1. dmitry_dvm
    05.05.2017 11:41
    #10047475

    Почему этим людям в корпорациях всегда на всё насрать? Чем они вообще занимаются в рабочее время?


  1. Eldhenn
    05.05.2017 11:43
    #10047485

    А в чём ваша претензия к теле2? К сотдруникам поддержки? Какие результаты вы бы хотели получить?


    1. Xalium
      05.05.2017 11:47
      #10047497

      korzunin выше ответил.


      1. Eldhenn
        05.05.2017 11:51
        #10047513

        SPF, DKIM, DMARC — но это, наверное, в яндекс вопросы? Да, а ваш почтовый клиент не помечает подозрительными письма с чужим доменом в поле From?


        1. ValdikSS
          05.05.2017 12:43
          #10047687

          По какой-то причине, почтовые клиенты вообще не проверяют SPF, DKIM и DMARC самостоятельно, надеясь на сервер. Для Thunderbird есть плагин Thundersec, про другие клиенты не знаю.


    1. Velibekov
      05.05.2017 11:55
      #10047529

      Понимаете ли, я то могу как-то догадаться, поддельное письмо или нет. Но огромное количество людей не способно на это. Они видят письма от банков, опсосов и переходят по ссылкам.
      Я считаю, что крупная компания должна заморачиваться вопросами безопасности, должна сводить к минимуму подобные инциденты. И простите, если их почта настроена так, что «любой желающий» может подделать письмо от них — это не нормальная ситуация.

      И в данном случае у меня не претензия. Данная статья — попытка достучаться до лиц в компании, которые способны понимать подобные проблемы и решать их!


      1. ValdikSS
        05.05.2017 12:49
        #10047709

        Некоторые компании не используют DMARC осознанно, из-за того, что он делает невозможным пересылку письма с сохранением отправителя, так как считают, что работоспособная пересылка важнее возможной подмены отправителя злоумышленником.

        У меня на домене настроен DMARC. Мне приходится писать в некоторые списки рассылки с адреса на gmail, т.к. письма с моего домена не доходят участникам списка рассылки: ПО рассылки рассылает письма от моего имени, а они не принимаются из-за ограничивающей политики DMARC. В стандарте такой сценарий не предусмотрели, для доменов крупных почтовых сервисов сделаны исключения, а мелким приходится страдать.


    1. diletant1
      05.05.2017 12:05
      #10047557

      наверно что бы они (теле2) предупредил своих пользователей о том что бы были внимательнее.


      1. Velibekov
        05.05.2017 12:06
        #10047561

        Как минимум, пусть настроят как надо свою почту.
        А после, сделают рассылку своим клиентам.


  1. ssdvig
    05.05.2017 12:06
    #10047563

    Приходили подобные письма от ростелекома, писал также им в тех. поддержку, пересылал письма, ответа не получил.


  1. iPerson
    05.05.2017 12:06
    #10047567

    Не могу понять недовольство автора. Вы сегодня (05.05.17) обратились к Теле2 с жалобой. Сотрудник контакт-центра приняла вашу заявку и открыла ТТ. Утром вы получили приглашение в Центр обслуживания Теле2, от вас ожидают деталей проблемы. Так как вопрос серьезный, необходимы детали, а не одна только переписка в чате. Я тут даже намека на безразличие оператора не вижу!


    1. Velibekov
      05.05.2017 12:09
      #10047571

      Вы действительно верите в то, что квалификация сотрудников центра обслуживания Tele2 (то есть салона по продаже тарифов и оборудования), позволит им получить какую-то дополнительную информацию?)))

      Я все детали им перестал: скрин письма и служебные заголовки.
      Я вот лично не понимаю, подскажите, какие еще могут быть детали?)

      Такое ощущение, что вы — сотрудник Tele2)


  1. Shell88
    05.05.2017 12:32
    #10047647

    предлагаю заспамить вайбер теле2, одинаковыми вопросами, можкт тогда сообрязят, что чтото у них не то)) Я таким образом названивал в ростелеком ( втюхали глючный роутер и менять не хотели, ссылаясь на то что проблем нет....) В общем 20 звонков в день сделали свое дело.