Bezpečnosť ČSOB som na blogu opisoval niekoľkokrát, či už z pohľadu webu, alebo ich SSL certifikátu. ČSOB dnes predviedla ďalšie faux pas, ktoré môže mať veľmi nepríjemné a dlhodobé následky. V schránkach niektorých klientov banky sa objavil email, ktorý sa nápadne podobal na phishing.
Šlo pritom o prieskum, ktorý si ČSOB objednala u inej spoločnosti.
Originálna správa
Od: info@csob.sk
Dátum: 9. decembra 2009 11:00
Predmet: CSOB Prieskum
Komu: ***************Vážený klient,
máme záujem neustále zlepšovať kvalitu poskytovaných služieb, preto aj za
účelom zvýšenia Vašej spokojnosti si Vás dovoľujeme požiadať o vyplnenie
krátkeho dotazníka, ktorý nájdete na:http://surveytool70.3s.se/?s=exist
[https://mail.q7.sk/12all/lt/t_go.php?i=1002&e=MTg2OTQ4&l=-http--surveytool70.3s.se/--Q-s--E-exist]
Ďakujeme za vyjadrenie Vášho názoru a za spoluprácu.
S úctou
ČSOB
Originálny email bol odosielaný vo formáte HTML.
Odkazujúca linka
Keď sa na túto správu pozriete, okamžite vám udrie do oka veľmi zvláštna linka. Phishing je ľahko identifikovateľný práve vďaka linkám, ktoré najčastejšie vedú na iný, často hacknutý web, obsahujú veľké množstvo URL parametrov aby boli čo najnečitateľnejšie.
Odosielateľ emailu
Nemenej dôležitý je odosielateľ uvedený v hlavičke emailu. Napriek tomu, že formálnym odosielateľom je spoločnosť ČSOB From: info@csob.sk <info@csob.sk>,skutočným odosielateľom je Received: from <bounce@q7.sk> a teda Received: from cn03.christ-net.sk ([195.28.95.43]).
Emaily klientov
Ďalším veľkým prehreškom sú emailové adresy, na ktoré emaily prišli. Je evidentné, že ČSOB odovzdala zoznam emailových adries spoločnosti Q7 a tak získala táto spoločnosť emaily pravdepodobne všetkých klientov spoločnosti. Ak by došlo k ich odcudzeniu, skutočný phishingový útok by bol presne mierený na užívateľov banky, a nie na kohokoľvek iného.
Overovacia linka
Ak si všimnete, v originálnej správe nájdete aj linku (uvedená v hranatých zátvorkách), ktorá v skutočnosti bola uvedená ako 1×1 px obrázok.
<img src=”https://mail.q7.sk/12all/lt/t_go.php?i=1002&e=MTgyNDk1&l=open” width=”1″ height=”1″ border=”0″>
Linka sa pravdepodobne v tomto prípade využíva na overenie, či klient prečítal email, možno zber istých informácií o prehliadači/emailovom klientovi. Linka v phishingovom emaile by mohla byť CSRF útokom voči webu/počítaču/serveru, mohla by napríklad hlasovať v ankete za užívateľa, atď. Možností je skutočne veľa, nedávno opisoval využitie CSRF Mike Bailey.
Škola života
A konečne, podľa mňa najdôležitejšia časť. Klienti bánk a tým aj samotné banky, sa každým rokom stávajú terčom phishingových (ale aj iných) útokov, ktoré sa snažia od ľudí vymámiť prístupy do bankových účtov aby z nich následne boli odcudzené finančné prostriedky. Banky investujú nemalé prostriedky do ochrany ale samozrejme aj do prevencie proti takýmto útokom. Základným nástrojom je informovanosť klientov, ktorých sa snažia banky naučiť rozlíšiť podvodné emaily od tých skutočných.
Ak však banka siahne po takýchto praktikách, nielenže všetko vynaložené úsilie zahodí, stratí dôveru znalých klientov, ale ešte aj tých neznalých doslova ponúkne šikovnému phisherovi ako na tanieri.
Záver
Neviem, čo ČSOB viedlo k takémuto postupu, ale určite ho nepovažujem za správny. Pevne verím, že sa nič podobné už opakovať nebude. Aké stopy zanechal tento email na klientoch banky je ťažké odhadnúť, no dnes mi prišlo takmer 30 mailov, v ktorým ma čitatelia upozorňovali a týmto by som sa chcel všetkým veľmi poďakovať. Aj to je dôkaz, že povedomie pomaly ale iste rastie a že sa časom dočkáme znalej väčšiny, ktorá nebude reagovať na výzvy typu Drahousek Zakaznik.
Nezabúdajte, že dôležitá je aj odozva od samotných klientov. Ak ste klientom ČSOB a dostali ste tento email, napíšte banke svoje stanovisko. Aj takto prispejete k tomu, že sa podobná situácia nebude opakovať.
cafko Rastik, dik za pekny clanok. Vies ako to v tychto instituciach byva – niekto rozhodne – dajme spravit prieskum, dalsi rozhodne, dame ho spravit tejto a tejto spolocnosti (najlepsie kamosovej…), spolocnost sa toho chopi a cele to ide mimo banky. A hladat zodpovedneho ? Tazko…len tak dalej, co tak spravit analyzu hesiel ? :)
#1 2ge: veru, uz ten clanok odkladam viac ako rok. coskoro sa don pustim
rasto> jaksi mi nedochadza, coho ze sa takeho dopustila CSOB, okrem toho samozrejme, ze pravdepodobne odovzdala zoznam mailovych adries spolocnosti Q7?
#3 drakko: pravdepodobne sa pytas konkretne na CSOB, teda oddelene od agentury, ktora tento prieskum poslal. Nuz, samozrejme, odovzdala emaily klientov (ktovie co dalsie) a vybrala si agenturu, ktora cely prieskum zmrsila. podla mna je to viac nez drobne pochybenie
Zdar,
tiež na to vytočilo, banku som informoval do 5 minút od prijatia emailu. Z ČSOB som dostal obratom odpoveď, že ide naozaj o prieskum, ktorý zadala ČSOB. To ma úplne odrovnalo, pretože správu som na 100% považoval za podvod. Moja odpoveď:
———————8<———————-
Dakujem za odpoved,
nakolko ide o relevantny prieskum, zvoleny sposob oslovenia je velmi nestastny, nakolko naplna niekolko atributov podvodneho emailu:
- nesulad zobrazenej a skutocnej adresy v odkaze
- nedoveryhodny odosielatel spravy localhost.localdomain (mail.q7.sk [195.28.95.47])
- nedoveryhodny SMTP/ESMTP server: cn03.christ-net.sk
Na zaklade uvedenych skutocnosti vacsina modernych emailovych klientov automaticky vyhodnoti vas email ako podvodny.
–
Patrik Jan
———————8<———————-
Pritom by stačilo, aby odkaz na prieskum umiestnili na svoj ofociálny web a do mailu dali link na oficiálnu sajtu csob.sk. No čo dodať – amatérizmus v plnej paráde. :-/
Tak to je ciste zlyhanie CSOB z hladiska dlhodobeho vzdelavania klientov o rizikach, prave tym popreli vsetky best practices. Absolutne zle, phisheri maju teraz lahku cestu, hlavne smerom k ludom, co sa neorientuju.
Hned ako som dostal ten mail som si spomenul na Rasta :)
Dal by sa tento unik osobnych udajov nejako riesit ?
Nejaka hromadna zaloba ? alebo hromadne uzatvaranie uctov u CSOB ?
CSOB sa uz dost dlho zahrava a prestava sa mi to pacit … :(
Navyše ČSOB (okrem už v článku spomínanej bezpečnosti, imidžu a profesionality), zdá sa, zvysoka kašle aj na klientov, ich otázky a záujem o stav všeobecne. Odvčera som poslal tri e-maily, dožadujúce sa objasnenia situácie; ako odpoveď na všetky tri mi prišla tá istá šablónová správa, nesúvisiaca s otázkami, ktoré som kládol.
Chápem, že vyjadrenie banky je vec, nad ktorou musí niekto kompetentný nejakú dobu popremýšľať a slečna brigádnička v call centre ho istotne nespíše a tiež chápem, že zrejme každý môj mail vybavovala iná osoba.
Avšak takéto opakované odbývanie nezmyselnými šablónami je z môjho pohľadu klienta výsmech do očí, jasný signál “zvysoka na vás kašleme a nezaujímate nás, ale však mailujte si, keď vás to baví” a asi čokoľvek by bolo menej neúctivé — či už stručný mail “k tomu sa teraz nebudeme vyjadrovať, možno neskôr” alebo hoci aj žiadna odpoveď — len nie, preboha, nezmysly.
Nabudúce mi zneužijú platobnú kartu alebo vykradnú účet a na supporte sa akurát 3x po sebe dozviem, že ČSOB otvára novú pobočku v Seredi?
Nemailujte do ČSOB, ak niečo potrebujete, aj tak to tam nikto nečíta, odpíšu vám stručný nezmysel a zahodia vás do koša.
Ahoj, preco sa zrusili odkazy na tri pribuzne clanky? :) Pred par hodinami tu este boli.. teraz uz su len v texte pod linkami..
#9 Daniel: pribuzne clanky vypocitava YARP, takze neviem co mu preletelo cez kod. Pozriem na to
uz by to malo byt v poriadku
tento mail prisiel aj mne a hned mi bol podozrivy. co ma vsak viac sokovalo bolo, ze v CSOB som zrusil konto uz pred viac nez stvrt rokom..
Neprijemne natom je, ked tento mail dostane clovek ktory nikdy s CSOB nic nemal!!! Odmietaju mu odpovedat ako sa k jeho udajom dostali….moja osobna skustenost. Vcera som dostal tento mailik, s tym ze v CSOB som nikdy klient nebol a maju moju aktualnu mailovku, ktoru si hodne strazim.
Pisal som im na kontaktu emailovu adresu, ako odpoved prislo ako aj “ziman”ovi sablonka, ze to je len prieskum.
Ako pisal “Sargonout” , vie niekto ci sa da nieco s tym riesit, hlavne pre mna by to bolo zaujimave, ako neklienta, ako sa k mojim udajom dostali…
Po obdrzani mailu som ostal, mierne povedane sokovany. Pretoze ak som dostal takyto mail(jeho zdrojovy tvar mi naladu est zhorsil), tak muselo ist minimalne o unik informacii z CSOB. A bohvie coho este. Hladal som na ich sajte link na ITsec, antiphising oddelenie a tak, a nie len kontaktne centrum, s kt. mam velmi zle skusenosti. Tie hovada taku funkciu ako ITsec asi nepoznaju. Este, ze si to tu uverejnil. Keby sa tym nieco vyriesilo, napisem tu kopu nadavok … P.S. vysvetli mi niekto, preco v sprave bol ako oddelovac textovej casti a html casti pouzity retazec _=_swift-ciselnyretazec_=_ ? SWIFT je predsa identifikator pouzivany pri medzinarodnych platobnych prevodoch. http://en.wikipedia.org/wiki/SWIFT. Ja skor mam pocit, ze CSOB zase chce nieco chce ututlat !
Z odpovede banky na môj mail:
“Banka ČSOB a.s., v spolupráci s prieskumnou agentúrou Mercuri International v týchto dňoch realizuje prieskum zameraný na vnímanie spokojnosti svojich klientov” …
:)
Mercuri International: http://www.mercuri.net/site/sk-sk
ked tak pozeram reklama a imidz CSOB je na velmi vysokej urovni. S tym postojom k bezpecnosti je to uz horsie, uz len co mam z vlastnej skusenosti a z citania tohoto blogu by som si tam ucet nezakladal teda aspon elektronicke bankovnictvo. Ale ine, chcel som sa spytat ako to vidite s portalom a bezpecnostou mBank?
#15 foobar: mBank sa nijak bezpecnostou nelisi od tych ostatnych. IB je, no povedzme, ako tak, web je na tom horsie.
Email som takisto obdrzal, prve co ma napadlo bol samozrejme phising, na stranku som dokonca siel z mojej virtualnej testovacej masiny, a ked som videl, ze je tam naozaj len par hlupych otazok, ziadne hesla, nic.. tak som si povedal, ze v CSOB to teda riadne posrali :/
Hehe, no myslim ze aj firma q7 ma este inych zopar kuskov za sebou … teda nemyslim, ale mali sme s nimi co to docinenia :)
Nedávno som prešiel do ČSOB z TatraBanky. Považujem sa za skúsenejšieho používateľa a pýtam sa – čo sa vlastne také stalo? Tak ako písal drakko, až tak veľa toho neurobili.
Bežný človek si nevšimne, z akej adresy bol mail odoslaný, nevšimne si, že sa nezhoduje skutočný a zobrazený odkaz. Úprimne – ani ja som si to nevšimol. Keby sa pýtali na chúlostivé veci, tak mi napadne, že je to pravdepodobne phishing.
Ale tu išlo iba o trochu nešťastne zrealizovaný prieskum.
Čo by sa zmenilo, keby sedela adresa odkazu, bol tam dôveryhodný odosielateľ a formulár by bol na webe csob.sk a nie na q7.sk? Nič. Rovnako by za tým mohla stáť firma Q7 (ktorá by mala naše údaje, iba by sa to nikto nedozvedel). Je to len môj názor, aj ja to niekedy preháňam s paranojou, ale v tomto prípade je to zbytočné.
#19 shaggy: ake udaje su podla teba chulostive? keby si pytali meno heslo? co ak by si nepytali nic, len by tam bolo podakovanie a cez CSRF a XSS by upravili tvoj bankovy profil, alebo poslali platbu, alebo nieco podobne? Potom by to uz bol problem? Stalo sa presne to, co som opisal. Je to problem a to dost velky. Ako mozes vidiet, vnima to uz relativne vela zakaznikov a to je velmi dobre. Je jasne, ze povedomie stupa.
Ako hovoris, ani si si len nevsimol, ze tam nieco nesedi. Ako by si potom odhalil akukolvek sofistikovanejsiu formu utoku? Nuz, ale tak musia byt aj obete.
Mail prisiel aj mne, pritom som zakaznikom CSOB nikdy nebol. Prisiel mi na mailovu adresu, ktoru uz viacej ako 7 rokov aktivne nepouzivam, ale drzim ju este pri zivote ako alias, pre kazdy pripad. Rovnako prva vec co ma napadla bolo – phishing. Zacal som si overovat linky, jednotlive weby a mail servre a v soku som zistil, ze je to legitimny email od CSOB. A to som im povodne chcel napisat, ze niekto robi na ich triko phishing.
Suhlasim s Rastom, ze stalo sa toho naozaj dost. Vobec to nieje nepodstatne. Postupom casu sa ludia konecne pomalicky zacali ucit, ze nie vsetko je take ako to vyzera a zacali byt opatrnejsi, ak v maily od banky su linky, ktore ale niesu umiestnene na webe banky. To co trvalo dost dlho ludi naucit, to CSOB teraz v pohode zburala.
Tazko mi je teraz tvrdit, ci chybu urobil priamo niekto v CSOB alebo amateri su v Q7. Najskor by som povedal ze obe tieto institucie zamestnavaju riadnych idiotov. Samozrejme ze CSOB si chcelo spravit prieskum a kedze mozno na to nema kapacity, tak si objednalo sluzbu u firmy Q7. Ale maily mali ist z CSOB (a nie databaza kontaktov do Q7) a stranky ankety mali byt umiestnene na webe CSOB (a nie smerovane na web Q7 odkial boli presmerovane kdesi na svedsku domenu). Ved uz len obycajny MailScanner na tom hned zarve, ze
“MailScanner has detected a possible fraud attempt from “mail.q7.sk” claiming to be http://surveytool70.3s.se/?s=strat”
Amaterizmus a nezodpovednost najhrubsieho zrna, alebo zase dal niekto zarobit svojmu pribuznemu/kamaratovi, ktori si na internete nasiel nejaky dostupny survey tool. Skor by som povedal, ze vsetko spolu.
Inak neviem ako vam, ale mne uz ta linka z mailu, ked na nu kliknem, hadze toto:
“Please run updater.php to update this product.”
Takze ani im to poriadne nefunguje .. nuz CSOB ma “z ostudy kabat”.
Pánové, stát se to mně, tak bych neplakal, nýbrž konal v tomto případě….
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=428
A pokud by na to házeli bobek, tak bych to řešil přes
http://ec.europa.eu/justice_home/index_en.htm
ČSOB by dostala možná pár milionů euro pokutu.. :-P To má myslím větší efekt než 50 mailů asistentkám za počítačem..
#22 Accuphose: CSOB by dostala pokutu v rade tisicok eur, pretoze vyssiu ani dostat nemoze. tazko povedat, ci tento pripad porusil nejaku zmluvu. ziadnu som necital ale udanie by sa mohlo podat, to je fakt
#19 shaggy: myslím, že v tomhle případě ani člověk nemusí být paranoidní, aby to považoval za průšvih. Uživatelům se vštěpují různá bezpečnostní pravidla, včetně neklikání na podezřelé odkazy, vysvětlování jak podezřelý odkaz vypadá atd…
To, že průzkum se má týkat nějaké banky, je odeslán jako z banky a odkaz naněj směřuje mimo banku je krajně podezřelé. Na odkazovaném webu by totiž nemusel být formulář na tahání důvěrných informací, ale klidně něco “neviného”, ale stránky by mohly obsahovat kus kódu, který by se do nezabezpečeného počítače mohl pokusit propašovat nějakou havěť.
Jak e-mail vypadal a celkem oprávněná výstraha Thunderbirdu je tady:
http://www.hoax.cz/phishing/pruzkum-csob—neni-phishing-20091209/
plus další komentář.
Stanovisko ČSOB
Týmto by sme v prvom rade chceli poďakovať za ostražitosť a podnety respondentov ako aj internetovej verejnosti. Radi by sme zároveň ozrejmili a zodpovedne vysvetlili podrobnosti a bezpečnosť tohto prieskumu.
Účel a realizácia prieskumu:
Prieskum bol realizovaný spoločnosťou ČSOB v spolupráci s externými dodávateľmi Mercuri International (prieskumná agentúra) a Direct Marketing. Prieskum bol zameraný na vnímanie spokojnosti klientov s poskytovanými službami. Prieskum bol anonymný a prebiehal prostredníctvom elektronického dotazníka zasielaného emailom na adresy súčasných a bývalých klientov ČSOB a ISTROBANKY, ktoré nám klienti poskytli pri kontakte s bankou. Takáto forma oslovovania klientov nie je porušením ochrany osobných údajov a býva bežne využívaná spoločnosťami na marketingovú komunikáciu. Pre túto formu kontaktovania nie je na základe všeobecných právne záväzných predpisov potrebný súhlas klienta. Napriek tomu s emailovými adresami spoločnosť zaobchádza s najvyššou opatrnosťou a využíva ich len na zmluvne ošetrené a bankou riadené marketingové aktivity.
Bezpečnosť prieskumu:
Dotazník nevyžaduje vyplnenie žiadnych osobných údajov a už vôbec nie prístupové heslá a v žiadnom prípade neohrozuje bezpečnosť klienta. Prostredníctvom tohto mailu a prieskumu nie je možné ani monitorovať aktivitu respondentov v rámci ich schránky, prehliadača či počítača, okrem zaslaného predmetného mailu v závislosti od užívateľských nastavení. Použité technické riešenie mailingového systému sa využíva len na overenie, či klient prečítal email. Slúži pre vypracovanie štatistík úspešnosti dotazníka pre spoločnosť Direct Marketing.
Vyplnenie dotazníka je dobrovoľné a anonymné. Výsledky prieskumu budú použité výhradne pre potreby ČSOB.
Technická realizácia prieskumu:
Dotazník bol realizovaný v spolupráci s Mercuri International s.r.o., ktorá je slovenskou pobočkou švédskej poradenskej spoločnosti, a to s využitím nástroja SurveyTool™, ktorý je na takéto prieskumy určený. Vlastníkom nástroja SurveyTool™ je spoločnosť 3S Sweden AB a nástroj je umiestnený na ich serveroch a technologickej infraštruktúre. Nástroj je riadne licencovaný na základe medzinárodnej dohody a pravidelne používaný pri podobných prieskumoch.
Následné zasielanie emailu bolo realizované spoločnosťou Direct Marketing na základe zadania ČSOB. Podobné e-mailingové kampane sú spoločnosťou Direct Marketing realizované pomocou mailingového systému firmy Q7 digital media, s.r.o. Ide o systém hromadného dávkového posielania mailov tak, aby takýto email nebol identifikovaný ako spam a nezahlcoval internetové servre.
Nemám důvod nevěřit, že odpověď není od ČSOB, i ten styl by odpovídal. V souvislosti s tím, mě ovšem napadá několik věcí:
1) E-mail měl být koncipovaný důvěryhodně. Proč se nepoužily ochranné známky ČSOB (logo, loga partnerů průzkumu) a další prvky, které by zvyšovaly optickou legitimitu e-mailu.
2) Za amatérské zpracování je zodpovědná tedy firma Mercuri? :-D
3) Pokud klienti banky vypověděli smlouvu (ukončili vztah s bankou), potom by automaticky měl zaniknout i souhlas ke zpracování údajů třetími osobami mající vztah k bance. Nejsem si teda jistý, že využití těchto údajů je v souladu se zákonem a docela by mě zajímala reakce úřadu pro ochranu údajů…
Suma sumárum, ČSOB na jednu stranu jako další banky tvoří brand vlastní společnosti a na druhou stranu amatérským chováním poškozuje vlastní jméno a tím i svého zahraničního majitele že… :-)) Takže se dá říct, že brand ČSOB, kterým se odlišuje od konkurence, je nezodpovědný přístup k marketingovému využití vlastní značky :-)) To je taky umění… Ale podobné věci používají rády i telekomunikační firmy, aspoň v ČR určitě…
Ahoj,
pozrel som si odosielatela, ostatne znaky.. Po prezreti co je to za spolocnost (surveyeri) som si dal namahu a naklikal som odpovede pricom som daval dobry bacha co sa pytali – neboli tam ziadne citlive info. Cakal som na kolonku “vyjadrite svoj nazor” kde som im napisal ze ich vlastnou chybou ocakavam VELMI MALY pocet odpovedajucich respondentov nakolko s takym diletantstvom som sa ete nestretol (povedane inymi slovami).
Reagujem tymto na Tvoju poslednyu vetu – ano dal som im vediet ze takto sa to nerobi…
#25 CSOB: Vazena CSOB, to ze prieskum bol anonymny mozete vykladat tak akurat hadom v lese. Kazdy email mal v sebe link s jedinecnym identifikatorom v URL adrese. Napr. vyssie v clanku uvedena linka:
[https://mail.q7.sk/12all/lt/t_go.php?i=1002&e=MTg2OTQ4&l=-http--surveytool70.3s.se/--Q-s--E-exist]
ma identifikator MTg2OTQ4. V mojom pripade bol ten retazec iny a ked sa pozeram na screenshot na webe, ktory tu vyssie uviedol #24 Džubis: tak aj napriek tomu ze ho tam ciastocne prekryl (zjavne pochopil co to je, ze?), je lahke spoznat, ze sa lisi od toho co mam ja alebo co bol uvedeny v tomto clanku. Ak na konkretnu jedinecnu mailovu adresu posielate konkretny jedinecny identifikator, tak ma prosim neurazajte PR vyjadreniami, ze priezkum bol anonymny. Ten zvysok vam mozem ale nemusim verit. A to ze ste to cele zvrzali mozete vidiet na odozve, aka vznikla.
Chcem sa vam este podakovat za vysvetlenie, ako sa vam jednoducho a elegantne podarilo porusit vsetky pravidla bezpecnosti a ostrazitosti, ktore banky seriozne sa zaoberajuce bezpecnostou svojich klientov a ich uctov neustale vkladaju do pozornoti svojim klientom.
Bravooo!
som rad, ze som od CSOB odisiel, najhorsie bolo ked za zrusenie uctu uctovali 500 sk (svojho casu). Nemam rad banky a uz vobec nie amaterov. Vyjadrenie v komentaroch od CSOB je samostatne kapitola – preco ste to neposlali majitelovi webu a updatol – resp by tomu dal novy clanok? Takto to vyzera, ze chcete veci zakryvat…ale ludi, co do toho trosku vidia vedia, ze je to absolutny amaterizmus a neexistuje ziadna obhajob, jedine ospravedlnenie, ze sa to uz v buducnosti nestane. Ale priznat chyby je velmi tazke, ze ano?
ach jaj.
#7 Sargonout: nie je potrebne hovorit hned o uniku osobnych udajov…emailove adresy mohli byt dane spolocnosti q7 uplne zakonnym sposobom…je viacero ciest…podotykam zakonnych…
#12 peter: mozes ich podla § 20 zakona o ochrane osobnych udajov poziadat o odpis osobnych udajov, ktore o tebe spracuvaju ako aj o informaciu o ich zdroji…pokial ti neodpovedia alebo odpovedia nedostatocne, mozes podat oznamenie na Urad na ochranu osobnych udajov, ktory to vie presetrit…
#25 CSOB: zrejme bude jedinym prehreskom CSOB to, ze napriek snahe vychovat klientov tak aby boli voci phishingu imunni, urobila nieco absolutne kontraproduktivne a ti ktori imunni boli prestanu byt takto ostraziti lebo to uz nabuduce nebudu vnimat ako podozrive…
a pomimo >>> tiez som klient tejto banky…bohuzial…a email som nedostal…bohuvdaka… :)
#29 2ge: a ostatny
najlepsi sposob ako odist z csob je … vybrat z tade vsetky peniaze a nechat to bezat. a ignorovat ich. pol roka budu posielat upomienky ze mate na ucte zapornu ciastku, a potom to vzdaju a napisu vam ze vas ucet bol zatvoreny a poslu vam cislo uctu kde mate tie peniaze vyplatit :)
zrusit ucet u csob normalnou cestou je utrpenie, ‘to robi katka ta tu teraz nieje musite prist inokedy’ ‘dobre moment tlaciva mam dole musite pockat’ ‘musite podpisat na kazdej strane tychto 38 stran’ … fakt horsie zrusenie uctu som este nevidel.
Ak je pravda, ze CSOB s plnym vedomim poslala klientom tento mail, tak im NAPLULA do tvare, pretoze:
1. Uviest zakaznika do omylu, ze klika na stranku http://surveytool70.3s.se, a v skutocnosti je posielany bez jeho vedomia na https://mail.q7.sk,
2. vsetci vieme ze zakaznik je debil, a bude klikat na nejake svedske stranky, ktore nemaju nic spolocne so znackou CSOB. Takisto mu tam supneme mail akoze od nas info@csob.sk, ved toho chudaka obabreme … zeby bezna praktika ?
3. MY chceme vediet ci si citate maily. MY to spravime ako pravi internetovi gangstri, mi mu potichucky vlozime nevidielny akoze obrazok do mailu. pre istotu o rozmere 1×1 pixel, aby mail nevyzeral podozrivo, ze. Samozrejme to bude anonymny prieskum o nic nejde, mame tu nejake identifikatory v URL, ale kto by si to spajal s konkretnym zakaznikom prosim vas … A uzivatel ani nebude tusit, ze jeho pocitac vykonava nejaku aktivitu na internete. Tak je to dobre, len nech ho dostaneme kam potrebujeme. BEZ JEHO VEDOMIA !!!
Mimochodom, po obdrzani tohto mailu som presunul vsetky volne financne prostriedky z mojho uctu od Vas prec. A prosim, nabuduce nechcem od Vas v schranke mail typu 0 day exploitu ako buffer overflow v prilozenom JPEGu … Lebo podla toho co tu bolo doposial predvedene k tomu smerujete.
P.S. SwiftMailer Version 3 is now deprecated.
#31 ayslix:: len potom pozor aby sa ti banka “neodvdacila” zaznamom v uverovom registri.
Drahoušek zákazník
Kvôli chyba vnútorného systém my stratiť všetky pozície z vaša grid karta. Prosím pošli všetky pozície do adresy bankadmin@viagra.ru
ČSOB dlhodobo vedie proste… :D inak Rasťo, viem že máš (mal si) Tatrabanku a dlhodobo ju nemáš radšej ako ostatné, tak ktorú banku máš z hľadiska bezpečnosti najradšej? Lebo prekvapil ma jeden tvoj starší článok ohľadne karty a čítačky, kde ju dosť kritizuješ z hľadiska použiteľnosti. Mňa celkom potešilo, keď toto Tatrabanka zaviedla (ale ja sa týmto vyslovene bavím, takže asi nie som dobrý príklad), chápem že niektorých ľudí to môže zas otravovať (aj keď u teba ma to prekvapuje, pretože ty si bol ten ten čo napísal, že šifruje 3 kaskádou, že pokiaľ ide o bezpečnosť, tak neexistujú kompromisy, že tam nejde o jednoduchosť ani o nič podobné – navyše potvrdzovanie platieb kartou a čítačkou sa dá zmeniť za grid kartu alebo bez dodatočného potvrdzovania), tak by som rád počul, ktorá banka je najbezpečnejšia podľa teba? Teda banka ktorá ma bezpečne poriešenú autentizáciu pri prihlasovaní/prevodných príkazoch a zároveň ktorá najmenej trpí na XSS a všetky tie srandy, ktoré s takým nadšením sleduješ + ktorá nerobí zo zákazníkov takých volov ako ČSOB.
#34 Danoboss: tak ako sa vyvijaju ini ludia, vyvijam sa aj ja (aspon dufam) a so mnou i moje nazory. Dnes uz nestaviam bezpecnost nekompromisne nad vsetko ostatne, ale snazim sa do nej vnasat aj pouzitelnost. ano, aktivny token je dnes asi najbezpecnejsia forma ochrany, no pouzitelnost je katastrofalna. preto je pre mna urcite lepsia banka, ktora sice moje peniaze neochrani, ale okamzite mi ich v “ozdravnom” procese vrati. tzn, banka, ktora dokaze promptne reagovat na podvody a odskodnit svojich klientov. pretoze nic na svete sa neda uplne zabezpecit, ale toto je 100% ochrana klienta. ano mam tb, ano, nie som s nou spokojny a ano, pri prvej moznosti z nej idem prec. najradsej mam citi bank, nie preto ze by bola najbezpecnejsia, ale preto ze maju zapadny pristup k zakaznikovi a necitim sa tam ako tretotriedne seno
Aj to je možnosť, ovšem tá vec čo si napísal Radkovi ohľadne trojkaskády, tú si napísal až po Tatrabanke. Ale bezpečnosť banky je nielen o samotných peniazoch ale o ochrane osobných údajov a podobných veciach, takže to sa pýtam, ktorá banka má svoj web s najmenej chybami a doplňuje to čo najlepším autentifikáciou?
#36 Danoboss: ja predsa netvrdim, ze som zmenil nazor prvy den po napisani clanku o TB :) ano, mam kryptovane disky cez tri sifry, ale tam sa chyba uz vratit neda, kdezto ako klient ak u banky dostanem svoje peniaze spat v rozumnom case (1 den), tak s tym problem nemam.
neviem ktora banka ma najbezpecnejsi web. musel by som u kazdej urobit pentest s tym, ze by som mal pristup aj do ib a to nemam. viem ze to nie je ani tb, ani csob, ani mbank a citi. u ostatnych mozem len a len hadat. u mbank je ib relativne v poriadku, tam maju “len” problematicky web.
Rasťo: ok, ja som sa skutočne nesnažil obhajovať tatrabanku, ja s ňom mám tiež určité problémy :) napríklad čo sa týka technológie i:key pre dodatočnú autorizáciu platieb, to je skutočne niečo úžasné… alebo čo sa týka hesla, ktoré je obmedzené 30 znakmi (to je ešte celkom dosť, to mi až tak nevadí, aj keď nevidím zmysel obmedzenia), malé a veľké písmena sa nerozlišujú (tak to mi už vadí celkom dosť…) a nakoniec nemožnosti použiť špeciálne znaky (to mi tiež vadí celkom dosť). Ako nie že by heslo zložené z 30 písmen a čísel bolo málo bezpečné, ale ja jednoducho neznášam zbytočné obmedzenia, ktoré nemajú žiadny zmysel. Potom keď si na základe master passwordu generujem (nie je to generovanie v pravom slova zmysle) nové heslo cez hashovaciu funkciu, musím tam zbytočne vypínať špeciálne znaky a podobne a musím si to pamätať, že v tomto hesle nie sú…
@ MICo:
Dik za radu, kupodivu nasiel som potom celkom slusny navod na to na jednej oficialnej .gov stranke – bol som normalne az prekvapeny ze nasi uradnici sa k takemu niecomu dostali a je to pouzitelne! (http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=428) ale dakujem za radu!
Presne podla toho navodu som im poslal ziadost o odpis tak aj namietku so suhlasom o spracovani a uvidime co bude dalej ale predpokladam ze niekde nakupili udaje…
Vsetko tu uz vlastne bolo napisane, tak len sa pripojim. Po obdrzani som poslal “dotazovaci” email (ze ci naozaj), na ktory prisla spominana “default” odpoved. Na to som im poslal dalsi mail. Ten je zatial bez odpovede. Mimochodom, dotaznik som nevyplnal a myslim si, ze kazdy zakaznik, ktory na odkaz v maily klikol a vyplnil ho, tak porusil zakladne bezbecnostne pravidla spravania sa na internete.
A spominany mail. Unikatne udaje su vymazane, v maily boli povodne.
Dobry den
Dakujem za odpoved. Ale aj tak si myslim, ze ste to zvolili velmi nestastne a neprofesionalne. Na stranke mate napisane “Neotvárajte e-mailové správy od neznámych adresátov alebo správy s podozrivým názvom či obsahom”. Tento email dokonca aj moj mailovy program oznacil ako podvodny! Vsetky banky sa snazia varovat svojich zakaznikov pred podvodnymi mailami a Vy poslete mail, ktory:
- sa tvari, ze je odoslany z info@csob.sk ale v hlavicke je Return-Path:
- nabada ma, aby som klikol na odkaz http://surveytool70.3s.se/?s=exist , ktory ale navyse v skutocnosti odkazuje na
https://mail.q7.sk/12all/lt/t_go.php?i=0000&e=XXXXXXXX&l=-http–surveytool70.3s.se/–Q-s–E-exist – keby sa ten odkaz aspon nachadzal na Vasej stranke csob.sk, kde by ziskal na “doverihodnosti”, takto mam verit nejakym domenam q7.sk a 3s.se ?
A co sa tyka anonymity, tak v maily aj v odkaze je “schovany” kod, vdaka ktoremu cela anonymita moze padat (i=0000&e=XXXXXXXX).
Ak nabuduce nejaky podvodnik preposle “podobny” mail, ale za odkazom bude napriklad “prihlasovanie” na internet banking, ako chcete naucit svojich zakaznikov, aby im svoje udaje nezverili?
S pozdravom
…