Основная цель этой статьи — докричаться до людей в Tele2, которые могут хоть как-то повлиять на это дело, ибо я не сумел этого сделать. На оставленную мной сотруднику компании заявку, я получил на электронку ответ:
Думаете это безответственность отдельно взятого сотрудника?
Что-то мне подсказывает, что они там все такие.
В наше время очень много статей о поддельных письмах от банков и крупных компаний.
И вот, вчера пришло письмо от якобы Tele2
Полазив по сайту Tele2, не нашел куда отправить об этом информацию и написал в онлайн-чат.
Михаил
Здравствуйте
01:21
Лилия
Здравствуйте! =)
01:21
Лилия
Меня зовут Лиля. Чем я могу Вам помочь? =)
01:21
Михаил
Как мне связаться с вашими СБ-шниками или IT-шниками?
01:22
Михаил
Нужен емейл, на который я мог бы отправить вот это:
01:22
Михаил
file-service-0-sdk-production-1.livetex.ru/2017/05/04/dcb1f9b5-300d-4eb2-af43-4c6cbafc1a79/tele2.png
01:22
Михаил
Поддельное письмо, от якобы Теле2. Ссылка ведет на совершенно левый сайт
01:23
Михаил
ahdaaf.org/wp-content/themes/spacious/genericons/download.html?id=193f91aa51
01:23
Михаил
То есть, у вас проблемы с настройкой почты. Скорее всего не настроена корректно DKIM подпись. Поэтому, любой желающий, может подделывать электронные письма от вашей компании.
01:24
Лилия
Михаил, спасибо за вашу бдительность. Контакты СБ по понятным причинам я не могу предоставить, данную информацию передам самостоятельно.
01:24
Лилия
Пару минут, пожалуйста. Я предоставлю вам номер заявки.
01:25
Лилия
По которой вам ответят
01:25
Лилия
Скажите, как и куда предоставить ответ?
01:25
Михаил
velibekov@mail.ru
01:26
Лилия
Спасибо. Немного времени, пожалуйста.
01:26
Михаил
и еще один файл примите:
01:26
Михаил
file-service-0-sdk-production-1.livetex.ru/2017/05/04/1ff117ad-6057-47b8-829b-1ac6091045e3/tele2.txt
01:27
Михаил
его тоже передайте. Он содержит в себе всю информацию о письме.
01:27
Лилия
По Вашему запросу создана заявка номер ТТ5346038. Среднее время рассмотрения подобных заявок составляет 24 часа. Но мы сделаем все возможное, чтобы решить Ваш вопрос как можно быстрее. Итоги рассмотрения вопроса Вам предоставит наш специалист на контактный e-mail velibekov@mail.ru и сообщит результат.
01:32
Лилия
Могу еще помочь?
01:32
Михаил
нет, спасибо)
01:32
Лилия
Спасибо Вам за бдительность =)))
01:33
Лилия
Будут вопросы, обязательно обращайтесь! =) Всего доброго! =)
И выше вы видели, полученный мной ответ от Tele2.
В общем, господа, начался период поддельных писем от крупных компаний, в которых сотрудники работают ровно столько, чтобы их не уволили, а работодатели платят ровно столько, чтобы сотрудники не уволились. И всем на все пофигу.
Если вы работаете, например, системным администратором в компании, потратьте немного времени, создайте инструкцию для сотрудников, проведите тренинг — это позволит снизить вероятность возникновения проблем.
by mxback16j.mail.yandex.net with LMTP id nl9bZ7ch
for <******@yandex.ru>; Wed, 3 May 2017 02:06:57 +0300
Received: from rpop2m.mail.yandex.net (rpop2m.mail.yandex.net [2a02:6b8:0:2519::188])
by mxback16j.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 1cjbNADc86-6vBugTq6;
Wed, 03 May 2017 02:06:57 +0300
X-Yandex-Front: mxback16j.mail.yandex.net
X-Yandex-TimeMark: 1493766417
X-Yandex-Spam: 4
X-yandex-pop-server: imap.yandex.ru
X-yandex-rpop-id: 1928954
X-yandex-rpop-info: info@imap.yandex.ru
Received: from info@imap.yandex.ru ([87.250.251.124])
by mail.yandex.ru with POP3 id ubH5m20MWmI1
for 921684506@1928954; Wed, 3 May 2017 02:06:57 +0300
Received: from mxfront3m.mail.yandex.net ([127.0.0.1])
by mxfront3m.mail.yandex.net with LMTP id qMhTS6Me
for <info@******.ru>; Wed, 3 May 2017 02:01:04 +0300
Received: from mail.findox.org (mail.findox.org [146.185.176.53])
by mxfront3m.mail.yandex.net (nwsmtp/Yandex) with ESMTP id XQDnOkzIey-13ZCuPQG;
Wed, 03 May 2017 02:01:03 +0300
X-Yandex-Front: mxfront3m.mail.yandex.net
Received: from hosting (unknown [176.120.37.237])
by mail.findox.org (Postfix) with ESMTP id 7BB1520E8D
for <info@******.ru>; Wed, 3 May 2017 02:01:03 +0300 (EEST)
DMARC-Filter: OpenDMARC Filter v1.3.1 mail.findox.org 7BB1520E8D
Received: by hosting (Postfix, from userid 1000)
id 534AB1013F82E; Wed, 3 May 2017 02:01:03 +0300 (EEST)
To: info@******.ru
Subject: Новый счет
X-PHP-Originating-Script: 1000:system_m.php
MIME-Version: 1.0
Content-type: text/html; charset=UTF-8
From: <noreply@tele2.ru>
Message-Id: <20170502230103.534AB1013F82E@hosting>
Date: Wed, 3 May 2017 02:01:03 +0300 (EEST)
X-Yandex-Forward: 60d0b0c1c3229da3782eb2f895887a80
Return-Path: ******@yandex.ru
X-Yandex-Forward: 561606bb773d22514f64f6b2dd795b4b
Добрый день,
в результате сверки документов был обнаружен неоплаченный вами счет, просим оплатить его в кратчайшие сроки.
Документ: https://www.files.tele2.ru/193f91aa51/documents/2017/05/...
Спасибо за внимание.
Комментарии (25)
pyrk2142
05.05.2017 11:17Довольно интересно, что раньше мне приходили исключительно рекламные поддельные письма. Но уже несколько недель приходят фишинговые, а это уже неприятно.
Velibekov
05.05.2017 11:50Да. При чем динамика явно удручающая.
Здесь интересная статья по настройке почтовых серверов Российских банков, от которых тоже валятся фишинговые письма.
Я уже молчу про письма от хостинговых компаний и регистраторов доменных имен.
Andy_Big
05.05.2017 11:30Если уж Вы решили скрывать свой email, то затрите его и в заголовке письма, а не только на скрине :)
И я недостаточно хорошо знаю эти технологии, но как настройки почтового сервера у Tele2 могут помешать мошенникам подставлять в поле заголовка «From» любые адреса? То есть что тут вообще могут сделать сотрудники Tele2?
korzunin
05.05.2017 11:40SPF, DKIM, DMARC
Andy_Big
05.05.2017 12:23Вот для меня, например, это ни о чем не говорящий набор букв. Я же написал — плохо знаю почтовые технологии. Это сделает невозможным отправку писем с защищаемым адресом в поле «From»? Или только сможет достоверно определять, что письмо получено действительно от адресата? Если второе, то эффект будет весьма незначительный.
ValdikSS
05.05.2017 12:42Это сделает невозможным отправку писем с защищаемым адресом в поле «From»?
Да, DMARC сделает невозможным подмену отправителя.
korzunin
05.05.2017 12:52Это позволит принимающему серверу понять является ли отправитель легитимным.
Если коротко — SPF позволяет задать сервера имеющих право отправлять почту от имени домена и что нужно делать с письмами идущими с других серверов.
DKIM позволяет подписывать письма. DMARC описывает что делать с не легитимными письмами.
dmitry_dvm
05.05.2017 11:41Почему этим людям в корпорациях всегда на всё насрать? Чем они вообще занимаются в рабочее время?
Eldhenn
05.05.2017 11:43А в чём ваша претензия к теле2? К сотдруникам поддержки? Какие результаты вы бы хотели получить?
Xalium
05.05.2017 11:47korzunin выше ответил.
Eldhenn
05.05.2017 11:51SPF, DKIM, DMARC — но это, наверное, в яндекс вопросы? Да, а ваш почтовый клиент не помечает подозрительными письма с чужим доменом в поле From?
ValdikSS
05.05.2017 12:43По какой-то причине, почтовые клиенты вообще не проверяют SPF, DKIM и DMARC самостоятельно, надеясь на сервер. Для Thunderbird есть плагин Thundersec, про другие клиенты не знаю.
Velibekov
05.05.2017 11:55Понимаете ли, я то могу как-то догадаться, поддельное письмо или нет. Но огромное количество людей не способно на это. Они видят письма от банков, опсосов и переходят по ссылкам.
Я считаю, что крупная компания должна заморачиваться вопросами безопасности, должна сводить к минимуму подобные инциденты. И простите, если их почта настроена так, что «любой желающий» может подделать письмо от них — это не нормальная ситуация.
И в данном случае у меня не претензия. Данная статья — попытка достучаться до лиц в компании, которые способны понимать подобные проблемы и решать их!ValdikSS
05.05.2017 12:49Некоторые компании не используют DMARC осознанно, из-за того, что он делает невозможным пересылку письма с сохранением отправителя, так как считают, что работоспособная пересылка важнее возможной подмены отправителя злоумышленником.
У меня на домене настроен DMARC. Мне приходится писать в некоторые списки рассылки с адреса на gmail, т.к. письма с моего домена не доходят участникам списка рассылки: ПО рассылки рассылает письма от моего имени, а они не принимаются из-за ограничивающей политики DMARC. В стандарте такой сценарий не предусмотрели, для доменов крупных почтовых сервисов сделаны исключения, а мелким приходится страдать.
ssdvig
05.05.2017 12:06Приходили подобные письма от ростелекома, писал также им в тех. поддержку, пересылал письма, ответа не получил.
iPerson
05.05.2017 12:06Не могу понять недовольство автора. Вы сегодня (05.05.17) обратились к Теле2 с жалобой. Сотрудник контакт-центра приняла вашу заявку и открыла ТТ. Утром вы получили приглашение в Центр обслуживания Теле2, от вас ожидают деталей проблемы. Так как вопрос серьезный, необходимы детали, а не одна только переписка в чате. Я тут даже намека на безразличие оператора не вижу!
Velibekov
05.05.2017 12:09Вы действительно верите в то, что квалификация сотрудников центра обслуживания Tele2 (то есть салона по продаже тарифов и оборудования), позволит им получить какую-то дополнительную информацию?)))
Я все детали им перестал: скрин письма и служебные заголовки.
Я вот лично не понимаю, подскажите, какие еще могут быть детали?)
Такое ощущение, что вы — сотрудник Tele2)
Shell88
05.05.2017 12:32предлагаю заспамить вайбер теле2, одинаковыми вопросами, можкт тогда сообрязят, что чтото у них не то)) Я таким образом названивал в ростелеком ( втюхали глючный роутер и менять не хотели, ссылаясь на то что проблем нет....) В общем 20 звонков в день сделали свое дело.
saboteur_kiev
Хм, а вы пробовали свзяться по указанным Юлией контактам?
Я так понял, они хотят интерактивно уточнить информацию?
Xalium
А чего в чате не интерактивного? Или они хотят в реале посмотреть в его красивые глазки?
Velibekov
Вы действительно верите в то, что квалификация сотрудников центра обслуживания Tele2 (то есть салона по продаже тарифов и оборудования), позволит им получить какую-то дополнительную информацию?)))
Telegram и Viber выполняют ровно тот же функционал, что и онлайн-чат.
Просто был отправлен шаблонный ответ: Юлия либо даже не прочитала что ей переслали, либо уровень ее квалификации не позволил понять в чем речь, а уровень интеллекта, либо внутрекорпоративные протоколы не позволили ей переслать информацию тем, кто разбирается в предмете вопроса.