Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Uwaga na wirusy rozsyłane przez Pocztę Polską

Tak, to nie żart.

W dniu dzisiejszym serwery pocztowe Poczty Polskiej rozsyłały w usłudze eAWIZO maile z informacjami o oczekującej przesyłce.

Nic specjalnego, usługa została wprowadzona już jakiś czas temu i działa naprawdę świetnie, nie tym razem jednak, tym razem z informacją o nieistniejącej (jak się później okazało) przesyłce otrzymałem archiwum ZIP, maila odebrałem na telefonie i całe szczęście :) - nie tworzył archiwum.

Sprawdziłem numer przesyłki na stronie poczty polskiej i w/g tej strony przesyłka o podanym numerze nie istniała. Po przyjeździe na pocztę okazało się, że nie ma takiej przesyłki, sprawdziłem maila w domu i oto efekt:

Zadzwoniłem do biura prasowego rzecznika Poczty Polskiej i okazało się, że faktycznie jest taki problem i PP opublikowała już informację na swojej stronie o treści :

Uwaga na numery przesyłek w powiadomieniach e-mail!

Szanowni Państwo, uprzejmie informujemy, że niektórzy klienci Poczty Polskiej mogli otrzymać dziś systemowe powiadomienie o przesyłce kurierskiej oczekującej na odbiór w placówce pocztowej. Maile te zawierają numer przesyłki składający się z 19, a nie jak w przypadku właściwego numeru przesyłki kurierskiej Poczty – 20 cyfr.
Prosimy o uważne sprawdzenie i ignorowanie maili z błędnym numerem przesyłki, a także o nie otwieranie załączników, które mogą być częścią takiej korespondencji. Poczta Polska podjęła odpowiednie działania wyjaśniające.

Jak widać sytuacja jest ciekawa i postanowiłem drążyć temat.

Po otrzymaniu odpowiedzi z PP oczywiście poinformuję czego się dowiedziałem ;)

 

bezpieczeństwo hobby inne

Komentarze

0 nowych
ariiell   11 #1 23.07.2014 15:45

Fajnie, że umieścili od razu komunikat na stronie.
Dobrze byłoby gdyby jeszcze wysłali informację drogą mailową do klientów. Może ostrzeże to tych, którzy jeszcze nie stali się nabywcami niechcianego konika ;)

gowain   18 #2 23.07.2014 15:48

To samo ostatnio dotknęło Orange, UPC i kilka jeszcze innych firm. Że też nie ma siły na takie dziadostwo :/

wojtekadams   18 #3 23.07.2014 15:56

Też dostałem :)

Predator312   9 #4 23.07.2014 16:38

Po przeczytaniu tytułu wpisu, myślałem, że chodzi o jakieś wirusy w kopertach/paczkach.

djgrzenio   8 #5 23.07.2014 16:41

@gowain: jest na to metoda :) konfiguracj serwera poczty.

reject :)
http://pastebin.com/TVZVzp5w

Autor edytował komentarz.
kam193   6 #6 23.07.2014 16:46

Tylko pytanie - maile są wysyłane z serwerów PP czy obcych?

djDziadek   16 #7 23.07.2014 16:54

@kam193:z serwerów PP i tego również dotyczą pytania jakie zadałem rzecznikowi tej instytucji?

Darthnorbe   13 #8 23.07.2014 17:05

Poczta polska to jeden wielki wirus :P wirus który został jeszcze z czasów komuny i nie dopuszcza konkurencji do biznesu.

djDziadek   16 #9 23.07.2014 17:10

@Darthnorbe: masz na myśli konkurencję, która korespondencję sądowa porzuca w krzakach?
Zaiste, zacna konkurencja...
A poczta elektroniczna to nie konkurencja dla PP, a smsy? O czym ty mówisz?

januszek   18 #10 23.07.2014 17:14

@djDziadek: Ten tego tam, ale cały nagłówek wiadomości mogłeś wkleić też :)

Bo aktualnie informacja na stronie PP wygląda trochę inaczej: "...dziś od rana ***ktoś podszywający*** się pod Pocztę Polską rozsyła maile..."

Autor edytował komentarz.
djgrzenio   8 #11 23.07.2014 17:16

@djDziadek: jakie serwery PP??? zobacz moj log
host-89-228-141-53.gorzow.mm.pl[89.228.141.53]

  #12 23.07.2014 17:17

djDziadek, podobne maile w ostatnim czasie otrzymałem od nadawcy podpisującego się jako DHL i UPS, informujące o otrzymaniu faktury za usługi kurierskie(nie realizowane). Analizując właściwości maila, został on wysłany z serwerów z domen .it i .ru, co wskazuje raczej na złośliwy spam?

Piter432   10 #13 23.07.2014 17:20

A to pały jedne. Wykiwać znowu próbują uczciwych ludzi...

gwarissimo   2 #14 23.07.2014 17:21

Ostatnio dostawałem codziennie takie maile od Amazon, a następnie podobne od innych nadawców. Utworzyłem na webmailu filtr, który je usuwa i mam spokój. Z ciekawości uruchomiłem wirtualnego Windows 7 i uruchomiłem tam plik exe z rozpakowanej paczki zip. Uruchomił się proces o tej samej nazwie i za chwilę zniknął. Po drugim uruchomieniu plik exe zniknął. Ciekawa sprawa. Nie miałem ochoty ani czasu sprawdzać, jakie szkody powoduje uruchomienie załącznika.

Darthnorbe   13 #15 23.07.2014 17:22

@djDziadek: "masz na myśli konkurencję, która korespondencję sądowa porzuca w krzakach? "
Z sądu listy zawsze są polecone więc nie rozumiem jak mogliby wyrzucić list, pomyśl co by było gdybyśmy we wszystkim nie mieli żadnej konkurencji jak to jest teraz na rynku poczty, była by tylko stacja benzynowa ORLEN, tylko komputery IBM, musiało by być świetnie, drogo i jakość byłaby taka jak na poczcie, 5 dni na list to norma.

januszek   18 #16 23.07.2014 17:23

@djgrzenio: Taa... wygląda na to, że djD szybciej pisze niż czyta ;P

SebaZ   15 #17 23.07.2014 17:24

@Darthnorbe: Nie siej fermentu. Od kilku lat bardzo się poprawili i to dzięki konkurencji np w postaci inPostu musieli coś zmienić - na lepsze. Zupełnie nie zgadzam się z Twoją opinią.

djDziadek   16 #18 23.07.2014 17:26

@januszek: Eset zablokował możliwość sprawdzenia czegokolwiek związanego z tą wiadomością, nagłówek jest widoczny - wysłana z "Poczta Polska SA informacja@poczta-polska.pl"
To co jest w cytacie, to pierwotna informacja,@djgrzenioła na stronie PP
djgrzenio - czy uważasz, że każdy sprawdza logi? Jeśli ktoś odbiera takich maili sporo i są poprawne - nic nie sprawdza.
Czekam na oficjalną odpowiedź na zadane mailowo pytania.

Autor edytował komentarz.
januszek   18 #19 23.07.2014 17:27

@djDziadek: Możesz do mnie forwardnąć tego maila?

djDziadek   16 #20 23.07.2014 17:29

@januszek: z zawartością?

januszek   18 #21 23.07.2014 17:35

@djDziadek: Tak. Całość.

Darthnorbe   13 #22 23.07.2014 17:35

@SebaZ: "Nie siej fermentu. Od kilku lat bardzo się poprawili i to dzięki konkurencji np w postaci inPostu musieli coś zmienić - na lepsze."
KONKURENCJI, o to chodzi. Inpost nie jest pełną konkurencją, wyobraż sobie że taki inpost jeszcze dostarcza Ci listy do domu, to jest konkurencja z prawdziwego zdarzenia.
To że się pp polepszyła bo list nie idzie tydzień, tylko 4 dni to chyba nie jest za dobrze?

GBM MODERATOR BLOGA  19 #23 23.07.2014 17:36

@djDziadek Wklej do wpisu, albo podeślij mi proszę oryginał (w sensie źródło) tego mejla.

Autor edytował komentarz.
djgrzenio   8 #24 23.07.2014 17:37

@djDziadek: masz racje, jednak trzeba czasem pomyslec :) no i pozostaje zobaczec naglowki w zrodle wiadomosci

2099   8 #25 23.07.2014 17:37

U mnie w firmie w tygodniu dostajemy kilka takich maili.
Zawsze załącznik .pdf.zip.
Nadawcy oczywiście fałszywi to w kolejności według częstotliwości:
UPS, TNT, DPD, UPC i ten sam mail z Poczty.
W firmy celują hasłami : "Invoice" "Delivery" i "paczka" tudzież "przesyłka".
Jeden mail został otwarty na Laptopie z Windows 7- zresetował Explorer.exe i cisza (a Pani Bożence dostała się bura za otwieranie co popadnie).

djgrzenio   8 #26 23.07.2014 17:38

@januszek: forward ci nic nie da, lepiej na pastebina czy cos zeby byly oryginalne naglowki wlasnie

SebaZ   15 #27 23.07.2014 17:43

@Darthnorbe: Nie mam ochoty się sprzeczać, bo np. jakością usług inPostu jestem rozgoryczony. Wygrali przetarg na przesyłki sądowe, a są zupełnie do tego nieprzygotowani. W dużym mieście - Gdańsku - musiałem zapierdzielać 6km na zadupie jakieś (nawet nie będące już w granicach miasta, tylko wiocha obok, przy obwodnicy), żeby odebrać polecony z sądu.

A przesyłki jak szły tak idą - 2-3 dni - nie przesadzaj, że 4.

Darthnorbe   13 #28 23.07.2014 17:47

@SebaZ: " Wygrali przetarg na przesyłki sądowe, a są zupełnie do tego nieprzygotowani. "
To tylko się czepiać głupoty urzędasów. Zamiast PP dali monopol inpostowi.
Ja piszę że konkurencja lepsza a ten o takiej sytuacji.
Każdy jak ma monopol to się nie stara bo po co.

"A przesyłki jak szły tak idą - 2-3 dni - nie przesadzaj, że 4."
Może w gdańsku w dużym mieście, na wieś to raczej te 4 idą, wiem bo czasami zdarzyło mi się wysłać list.

januszek   18 #29 23.07.2014 18:13

Tu jest nagłówek takiego maila (wykopałem ze spamu bo jak się okazało, też taki dziś dostałem): http://januszek.info/dp/naglowek.txt
ps. moim zdaniem ktoś się pod PP podszywa.

gowain   18 #30 23.07.2014 18:23

@djDziadek: "z serwerów PP" - nie są z serwerów PP... Trochę się zagalopowałeś :)

djDziadek   16 #31 23.07.2014 18:27

@forest2014: przyhamuj przyjacielu, redakcja DP nie ma z tym wpisem nic wspólnego, to ja jestem autorem i to ja czekam na wyjaśnienia PP, jeśli takowe otrzymam zaktualizuję informację, wiec hejt zostaw dla siebie.

Autor edytował komentarz.
mkwm   3 #32 23.07.2014 18:48

Wyjaśnienia Poczty Polskiej? Litości, przecież każdy może wpisać byle co w nagłówek From i nadawca pod którego ktoś się podszywa nie bardzo może coś z tym zrobić (ba, pewnie nawet się o tym nigdy nie dowie). To że w zwykłym kliencie pocztowym to prawdopodobnie nie przejdzie (bo będzie próbował ustawić nagłówek From w wiadomości i FROM na poziomie sesji SMTP na to samo - a to albo odrzuci serwer wysyłający, albo zostanie wyłapane na serwerze docelowym przez SPFa który zweryfikuje FROM z sesji SMTP) nie znaczy że tego się nie da zrobić. Jak najbardziej można, nawet "dziergając" maila w ręcznej rozmowie z serwerem SMTP z użyciem np. telnetu.

Na administrowany przeze mnie serwer dzisiaj jedna i ta sama fałszywka przyszła 54 razy (na różne adresy e-mail i z różnych komputerów - zainfekowane Neostrady, hosty z Grecji, Austrii, Niemiec, Włoch, Węgier...). W zeszłym tygodniu przychodziła (nawet z dokładnie tych samych hostów) fałszywka udająca DHLa, jeszcze wcześniej "faktury" z Vectry, UPC, Netii i Orange... Pięknie się rozwalają o wycinanie plików wykonywalnych w załącznikach.

  #33 23.07.2014 18:52

@kam193: obcych

kam193   6 #35 23.07.2014 19:37

@djDziadek: Znajdź właściwości wiadomości/źródło/czysty tekst i skopiuj stamtąd nagłówki - to są nagłówki e-maila ;) - z podanymi serwerami. Adres nadawcy nie określa serwera wysyłającego, można tam podać cokolwiek.

jawnuta   7 #36 23.07.2014 20:04

@Darthnorbe: bzdura to wielki plus.a nie jakiś inpost co mu do pięt ni dorówna.

Autor edytował komentarz.
jawnuta   7 #37 23.07.2014 20:06

@Darthnorbe: teraz listy z sądu przejęły kioski.nie wiesz o tym?

  #38 23.07.2014 20:09

Ale ESET wykrył ;)

Axles   16 #39 23.07.2014 20:36

Nie rozumiem tego:
"otrzymałem archiwum ZIP, maila odebrałem na telefonie i całe szczęście :) - nie tworzył archiwum."
Znaczy, że Twoja poczta automatycznie ci załączniki otwiera?

Wpis faktycznie pisany jakby w pośpiechu na kolanie, nigdy tyle liter nie pogubiłeś.

Autor edytował komentarz.
wobes   4 #40 23.07.2014 20:40

Kilka słów wyjaśnień od strony technicznej: te wiadomości rozsyłane są z różnych serwerów, dostałem ich kilka i w zasadzie każdy przeszedł przez przynajmniej jeden open relay. Adres Poczty Polskie ustawiony jest jedynie na kopercie (tzw. envelope sender), pierwotny nadawca jest zwykle postaci neoihknjvxe.njldsbkuzjjvg.ua czy srwxfp.fdzwsidpsgra.com, choć ze względu na wykorzystanie jako pośredników kiepsko skonfigurowanych serwerów poczty jest to informacja bezużyteczna. Nie można się przed takim czymś za bardzo ustrzec konfiguracją swojego serwera bo:
-adres widoczny w kliencie (czyli envelope sender) czy "Reply to" można ustawić dowolnie i żaden serwer nic z tym nie zrobi, bo to dozwolona technika. Mogę ze swojego konta wysłać maila z adresem kopertowym putin@kremlin.ru, i jeśli jakiś serwer takiego maila odrzuci, to znaczy że jest źle skonfigurowany. Jedyny, który może go odrzucić to serwer pracujący w domenie kremlin.ru.
-po przejściu przez open relay z poprawnie skonfigurowanymi rekordami w dnsie filtry spf stają się bezużyteczne, podobnie filtry helo, greylisting czy listy rbl itp. Za to nic nie stoi na przeszkodzie, żeby na listę rbl trafił właściciel open relaya.

Jedyne zabezpieczenie to filtry treści, choćby najprostszy, lecz zadziwiająco skuteczny, odrzucający wiadomości z binariami wykonywalnymi w załącznikach.

Autor edytował komentarz.
Shaki81 MODERATOR BLOGA  37 #41 23.07.2014 20:47

łeee a ja nie dostałem, :)

wobes   4 #42 23.07.2014 20:50

@kam193: Niezupełnie. Poprawnie wysłany mail ma:
-w pełni kwalifikowaną nazwę serwera z poprawnymi wpisami w dnsie
-adres "From" zgodny z domeną obsługiwaną przez ten serwer
-cokolwiek na kopercie i w polu adresu zwrotnego

Jeśli pierwszy lub drugi punkt nie jest spełniony, to poprawnie skonfigurowany serwer poczty odrzuci tego maila.

Autor edytował komentarz.
wobes   4 #43 23.07.2014 20:55

@forest2014: dokładnie, wystarczy elementarna wiedza o działaniu poczty elektronicznej i od razu okazuje się, że w zasadzie całej sprawy nie ma.

kam193   6 #44 23.07.2014 21:04

@wobes: Ok, dzięki, chodziło mi oczywiście o adres widoczny w kliencie. :)

  #45 23.07.2014 21:09

Proszę mi wyjaśnić, bo z treści artykułu to jakoś moim zdaniem nie wynika:
Czy rozsyłane maile tylko podszywały się pod nadawcę, czy wysyłane były do wybranych klientów usługi eAwizo?

wobes   4 #46 23.07.2014 21:14

@J.Sz. (niezalogowany): to była zwyczajna próba podszycia się pod PP, maile rozsyłane były do całkowicie losowych posiadaczy kont mailowych.

Autor edytował komentarz.
djgrzenio   8 #47 23.07.2014 21:39

w zasadzie to PP sama sobie winna....
text = "v=spf1 ip4:212.160.130.155 ip4:212.160.130.175 ip4:194.99.117.3 ip4:212.160.130.177 ip4:212.160.130.178 ip4:194.99.117.4 include:spf.protection.outlook.com mx ~all"

jesli by było -all to spoko, a taki spf to o d... rozbić
oczywiscie nie urchoni to w 100% jednak zmniejszylo by ilosc tego spamu

Autor edytował komentarz.
  #48 23.07.2014 21:41

Tytuł rzeczywiście godny pudelkowych serwisów... Brakuje tylko wykrzyknika ;)

wobes   4 #49 23.07.2014 21:54

@djgrzenio: ale tutaj spf PP do niczego nie jest przydatny, bo te maile nie miały nic wspólnego z serwerami/domeną PP. Poczta Polska widniała tylko w napisie z adresem. Serwer, do którego taki spamerski mail dojdzie nie może użyć rekordów spf PP w celu weryfikacji czy dany serwer może maile wysyłać czy nie. Więcej, jak taki syf przeszedł przez open relay, to liczą się wpisy spf relaya, nie spamserwera. A open relay, mimo że zwykle skonfigurowany na kolanie, to zazwyczaj jakieś wpisy spf ma.

Autor edytował komentarz.
kam193   6 #50 23.07.2014 22:00

Aczkolwiek udowadnia to, że nawet człowiek obeznany z technologią może dać nabrać się na dosyć prostą sztuczkę i nie bez powodu spamerzy ją stosują. :)

Autor edytował komentarz.
wobes   4 #51 23.07.2014 22:11

@kam193: dlatego mając własny serwer poczty można zadać sobie trochę trudu, by część myślenia zostawić jemu. W chwili obecnej ma się do dyspozycji tyle darmowych (czyt. niekomercyjnych) rozwiązań/mechanizmów/oprogramowania, że postawienie naprawdę dobrego serwera poczty na kawałku peceta, odpornego na większość tego rodzaju syfów nie wymaga w zasadzie żadnych nakładów finansowych, a jedynie trochę dobrych chęci. Ja o tych spamach z poczty dowiedziałem się przypadkiem, jak przeglądałem raport serwera co ostatnio odrzucił. Mail o którym napisał djDziadek był naprawdę technicznie bardzo słabo wysłany i konfiguracja serwera, który by sobie z nim poradził i nie dopuścił by dotarł do adresata, jest niemalże podstawowa.

Prosty opensourcowy zestaw pocztowy: postfix, dovecot, amavisd, clamav, spamassassin, postgrey, mxfilter, procmail, do tego jakiś webowy klient jak np. roundcube i większość darmowych skrzynek się chowa.

Autor edytował komentarz.
Darthnorbe   13 #52 24.07.2014 00:42

@jawnuta: "teraz listy z sądu przejęły kioski.nie wiesz o tym?"
Nie wiem, nie otrzymuję codziennie listów sądu :D

sr57be45   5 #53 24.07.2014 01:11

@djDziadek: A np: Allegro też wysyła fałszywe informacje o aukcjach... czy to ktoś inny się podszywa ? O tym nie bijesz... na alarm.

  #54 24.07.2014 03:33

@Predator312: penie wąglik...

SebaZ   15 #55 24.07.2014 06:48

@forest2014: Wrzuć na luz, bo żeś się czepnął jak rzep psiego ogona. Upierdliwe to strasznie i irytujące.

Semtex   17 #56 24.07.2014 17:34

@forest2014: Zacznij Sam coś pisać i wynieś wiadomości IT na wyżyny...

Semtex   17 #57 24.07.2014 18:11

@forest2014: Czy Ty widzisz jaki jest (był) tag przy wpisie na głównej, podpowiem Ci "Blog", przecież to Modek albo ktoś wrzucił z bloga na główną, sama Redakcja nie napisała tego wpisu, żeby Ci rozjaśnić, zobacz listę Redakcji i Współpracowników: http://www.dobreprogramy.pl/OPortalu.html#redakcja widzisz tam gdzieś djDziadka? Ja stosuję prostą receptę, jak mi coś nie pasuje to nie czytam....

GBM MODERATOR BLOGA  19 #58 24.07.2014 19:00

@semtex Szkoda czasu, nie kop się z koniem :)

GBM MODERATOR BLOGA  19 #59 24.07.2014 19:24

@forest2014: Tego nie powiedziałem, natomiast uważam, że dyskusja z Tobą to jak kopanie się z koniem :-)

Pangrys WSPÓŁPRACOWNIK  18 #60 24.07.2014 21:56

Ależ nikt nie neguje twojego spojrzenia na tytuł. Tylko nie zauważasz, że to BLOGI a nie wpisy Redakcji ...

Jeśli miało by pójść oskarżenie od PP to będzie szło da autora bloga a nie do portalu DP. Treści blogów są odzwierciedleniem opini autora bloga a nie Redakcji ...

Autor edytował komentarz.
djgrzenio   8 #61 25.07.2014 14:18

@wobes: ej no ale pacz jaki masz from
From: "Poczta Polska SA"
wiec spf to wytnie jak jest na serwerze

mkwm   3 #62 25.07.2014 16:24

@djgrzenio: właśnie nie... SPF dotyczy envelope sender, czyli adresu który jest używany w sesji SMTP, a nie tego z nagłówka From samej wiadomości.

Does it protect the "From:" header field?

SPF was designed to protect the envelope sender. That means the return-path that shows up in "MAIL FROM", and to a lesser extent the HELO argument that is supposed to be an FQDN.

The vast majority of SPF implementations today use the return-path as the subject of authentication and do not get involved with the header "From:".

Tym co może chronić przed spoofowaniem nagłówka From wiadomości jest DMARC - niestety jest trochę skutków ubocznych, zwłaszcza problemów z automatycznym forwardowaniem wiadomości przy jego użyciu zabezpieczonych. W teorii powinno działać, w praktyce było gorzej...

Autor edytował komentarz.
Melers   3 #63 26.07.2014 17:34

Tytuł wpisu bardzo krzywdzący dla Poczty Polskiej. Akurat adres jaki się wyświetla przy e-mailu nie świadczy wcale o tym że maile są rozsyłane z ich serwerów....

  #64 29.07.2014 09:36

@kam193: Obcych, dlatego nie wiem dlaczego autor wpisu bez sprawdzenia pisze, że Poczta Polska rozsyła. Zainfekowane maile idą z serwerów Syrii i Turcji

  #65 29.07.2014 09:38

@djDziadek: To zanim się napisze, warto sprawdzić. Spam idzie z obcych serwerów. Zainfekowane maile idą z serwerów Syrii i Turcji

  #66 29.07.2014 09:42

@wobes: Wreszcie konkretne wyjaśnienie. SPAM szedł z serwerów w Syrii i Turcji. Nie był rozsyłany z serwerów PP.

  #67 29.07.2014 22:36

Podaj nagłówek... Bo dla mnie to ściema...zwłaszcza zedytowany nagłówek.

djgrzenio   8 #69 30.07.2014 12:45

no a teraz allegro i t-mobile widze w logach :/

Autor edytował komentarz.
  #70 05.05.2016 13:46

wie ktos jak usunac rss z 7?