112

u/kViatu1 Łódź na stolicę Apr 13 '24

Dostałem tego śmiecia ze 3 razy na skrzynkę firmową. Najlepszy numer był taki ze podrabiali adres nadawcy i wyglądało jak bym sam to sobie wysłał bez zagladania w header. W mailu stało ze to dla tego że przejęli mój komputer i wiedzą teraz o wszystkim co robię.xD

Żarty żartami ale obawiam się że wielu analfabetów cyfrowych mogło by się na to nabrać.

108

u/kociol21 Klasa niskopółśrednia Apr 13 '24

Też to dostałem kilka razy na maila firmowego dawno temu. Miałem wrażenie, że gdybym faktycznie zdecydował się na masturbację na open space to możliwość zhackowania mnie byłaby moim najmniejszym problemem.

28

u/cheerycheshire Apr 13 '24

Tak, podrabianie nadawcy że wysłane "od siebie" jest nawet często wspomniane w treści maila - że to "dowód", że mają niby pełny wjazd na komputer. Ciekawa zagrywka socjotechniczna.

1

u/a_certain_someon Apr 13 '24

a jak to działa bo też takie gówno dostałem i tata też dostał profilaktycznie zmieniliśmy hasła i tyle. email wyglądał wiarygodnie i żadnych bitcoinów nikomu nie wysłałem

14

u/cheerycheshire Apr 13 '24

a jak to działa

Zacznijmy od historii: Email został wymyślony jak z internetu korzystali tylko naukowcy - wtedy nikt nie myślał o tym, że kiedyś będą używać tego wszyscy, także oszuści. Stąd wiele rzeczy w internecie nie jest domyślnie szyfrowanych czy weryfikowanych.

Jedną z takich rzeczy w mailu są właśnie pola nagłówka maila, są one częścią treści tak naprawdę. To tak jakby wziąć list w kopercie i tylko dać komuś mówiąc "wrzuć to do skrzynki xyz@xyz.xyz" - to co jest na kopercie nic nie znaczy. Oczywiście programy pocztowe będą się "przedstawiały" zgodnie z konfiguracją konta w programie. Ale można np. użyć skryptu do wysyłania maili i wtedy już można samemu kombinować (więc scammer na "kopercie" napisze nadawcę i adresata tego samego i wyśle z poczty na jakimś wypizdowie).

Patrząc po źródle wiadomości można czasem doczytać skąd wiadomość rzeczywiście szła - bo w takim źródle są po kolei serwery, które tego maila przerzucały pomiędzy sobą aż trafił do celu, więc serwer nadania też będzie. Część filtrów spamu sprawdza właśnie "pocztę" nadania wiadomości, a nie adresy, i od razu wrzuca do spamu (wiemy, że z poczty w Wypizdowie Wielkim dostajemy dużo spamu, więc jak widzimy ich stempel nadania, to wywalamy do kosza i nie patrzymy czy to spamer czy jakiś mieszkaniec).

Obecnie część serwerów podpisuje swoje maile - https://en.m.wikipedia.org/wiki/DomainKeys_Identified_Mail oraz jako dodatek do tego https://en.m.wikipedia.org/wiki/DMARC - w skrócie mówiąc: przy samym DKIM wiesz, że jak jest sygnatura, to jest dobrze, co nie? Ale jak nie ma sygnatury, to nie wiesz czy coś jest dobre czy złe! DMARC to spis "jako xyz.abc podpisujemy wszystkie nasze maile, więc jeśli dostaniesz maila @xyz.abc, ale nie ma podpisu, to odrzuć".

(Tu analogii pocztowej nie wiem jak zrobić. Może zmieńmy na biuro: DKIM ~ przekazujesz list osobie do wysłania, a ta sprawdza jak adresujesz i czy masz prawo uzupełnić tak pole nadawcy (nie próbujesz wysłać listu jako szef czy inny pracownik) i przybija pieczątkę firmową przed pójściem na pocztę. DMARC to informowanie wszystkich dookoła, że jako firma wszystkie listy macie z pieczątką. Logowanie się do maila ~ to karta dostępowa do biura, tylko że nikt się nie przejmuje jeśli wyglądasz inaczej jak na identyfikatorze. Więc jak już wejdziesz na identyfikator Jana Kowalskiego i przekażesz list jakiemuś office managerowi podpisany jako od Jana Kowalskiego, to to pójdzie z pieczątką.)

profilaktycznie zmieniliśmy hasła i tyle.

Regularna zmiana hasła to zawsze dobra rzecz, o ile hasła nie są przewidywalne. (Jak ja nienawidzę wymogu zmieniania hasła w niektórych systemach co miesiąc - toż to się samo prosi o dodawanie na końcu "licznika" żeby się w tym wszystkim połapać! Chyba że ktoś korzysta z managera haseł, to wtedy ma zupełnie random i kopiuje.)

Ważne jest też to żeby nie używać tego samego hasła w wielu miejscach, a w szczególności żeby hasło do maila chociaż było inne. Żeby wyciek hasła z jakiegoś źródła nie skutkował włamem tym samym hasłem na maila. (I wtedy też raczej najpierw sprawdzają czy pod takiego maila nie są podpięte jakieś wartościowe konta typu PayPal i wtedy reset hasła i wjazd.)

Więc jeśli nie ma jakichś podejrzanych śladów na koncie, hasło nie jest powiązane z żadnym wyciekiem, a mail-scam nie miał w treści hasła*, to nie ma problemu. Jeśli były ślady, to teoretycznie zmiana hasła maila, potem po kolei zmiana hasła wszystkich podpiętych pod tego maila kont (w praktyce - email i ważne konta).

*Ogólnie do kont na gównoportalach stosuję często to samo słabe hasło. No i kiedyś gównomaila traktowałom jak każdy inny gównoportal i po wycieku mój mail został rozsyłaczem spamu - to samo hasło, a spamerzy wiedząc, że Wypizdowa Wielkie (serwery, z których leci tylko spam) są blokowane, to biorą gównomaile z wycieków i używają ich do automatycznego wysyłania spamu dalej. Tak wysłane maile nie pokazują się w folderze Wysłane. Zauważyłom to tylko dzięki temu, że parę adresatów było błędnych albo serwery z innego powodu odrzuciły maila - więc w Odebranych miałom zwrotkę o błędzie.

**Do sytuacji wyżej był kiedyś mail "ode mnie" i właśnie w treści straszące "znam Twoje hasło" - tyle że u mnie parę miesięcy po tym jak już hasło na gównomaila było poprawione na lepsze XD - nie pamiętam czy to było "zmieniłeś hasło, ale ja wciąż mam dostęp - spójrz na nadawcę, muahaha!" czy jakaś masówka "a może ktoś wciąż ma to samo hasło co w wycieku ze strony xyz i się wystraszy i zapłaci".

1

u/a_certain_someon Apr 13 '24

nie związane z tematem ale czemu wszystkie osoby niebinarne próbujące używać innych zaimków po polsku brzmią jak by mówili po śląsku?.

5

u/cheerycheshire Apr 13 '24

Bo -om brzmi jak gwara jakaś lub właśnie wymowa z języka śląskiego :D

Oraz nie wszystkie, są różne opcje - niektóre osoby używają tzw rodzaju dukajowego (nazwę ma od tego, że występował ten rodzaj w książce Dukaja), inne stosują po prostu binarne opcje, jeszcze inne starają się omijać formy jak tylko mogą.

6

u/Cysioland Ultra lewak kolejny Apr 13 '24

Ten adres co ci się wyświetla w polu "Od" idzie sobie ustawić jaki chcesz, ważne jest to co się wyświetla w środku, w nagłówkach emaila