Levelet hozott a posta. Mármint az elektronikus. Az MVM írt, hogy…
Nos, rögtön itt volt az első gyanús jel. Az MVM ugyan küldözget nekem leveleket számlafizetésekről, de semmilyen levelezőlistának nem vagyok a tagja, nem iratkoztam fel semmilyen MVM hírlevélre és az évek során nem is kaptam ilyeneket. Ez viszont egy virtigli hírlevél, ott figyel rögtön a fejlécben az Unsubscribe menüpont.
Aztán mit mond? Azt, hogy szerinte nem stimmelnek a regisztráció során megadott adataim a szerződésben szereplő adatokkal. Ezzel megint van két gond. Miért hírlevélben küldik ki ezt az infót? Másfelől meg mára már közhely, hogy a jelszólopó alkalmazások pontosan ezzel a trükkel nyomulnak.
És így is van. Azt mondják, hogy menjek el az MVM online ügyfélszolgálatára, jelentkezzek be, majd korrigáljak.
Nyilván gyanús, mint a fene. Viszont a szöveg tiszta, tökéletes magyarságú, a grafikus elemek is rendben vannak. Kattintsunk rá a linkre! Átdob a https://onlineugyintezes.mvmnext.hu/ oldalra, ami megint teljesen rendben van, pontosan ide tesz be a hivatalos MVM levél is.
Akkor hol van a rosszfiú?
Nézzük meg a levél fejlécét.
Ez is olyan jófélének tűnik. SPF, DKIM, DMARC rendben. Akkor ez nem lehet phising. Vagy mégis? Azért az a @send.rocketmail.hu smtp domain kábé olyan, mint amikor a szamár beleordít Bach Passiójába.
Itt már kifejezetten kezdett érdekelni a történet. Nézzük meg, honnan is jött valójában a levél.
Received: from mta47.rmta.hu (mta47.rmta.hu. [185.43.206.47]) by mx.google.com with ESMTPS id n13-20020a170906088d00b00946fa87bed8si222369eje.800.2023.04.05.00.02.05 for <envagyok@mikiahegyrol.com> (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Wed, 05 Apr 2023 00:02:05 -0700 (PDT)
Szóval mta47.rmta.hu. Ez kicsoda?
Hát, legális bejegyzésnek tűnik. Tudom, vannak is ilyenek. Mármint olyanok, hogy nagy cégek külső cégeket bíznak meg a szürkezónás tömeges leveleik kiküldésével, nehogy véletlenül őket blokkolja be egy túlzottan szigorú spam blacklist.
Oké. Na de rocketmail?
Egy kis nosztalgia. 1997-98 környékén, az első internetes szárnypróbálgatásomnál – amikor nemhogy a cégnek nem volt emailcíme, de a kábé 250 ember közül egyedül én tudtam, mi is az az smtp emailcím és mire jó – nos, nekem is csak külső, ingyenes szolgáltatónál volt postafiókom. A Rocketmail-nél. Most már ideírhatom, ennyi idő után már az anyósgyilkosság is elévül, szóval ez volt a cím: lazybear@rocketmail.com.
Rocketmail. És MVM. Némileg gyanús.
Bogarásszunk tovább. Itt van a korábban bekeretezett szöveg, azaz a lényeg.
<td style=3D"font-family: Arial, Helvetica Neue, Helvetica, sans-serif; fon= t-size: 14px; color: #131313; line-height: 20px; mso-line-height: exactly; = mso-text-raise: undefinedpx; margin: 0; padding-right: 6px;" align=3D"right= " width=3D"26.560835" valign=3D"top">•</td> <td style=3D"font-family: Arial, Helvetica Neue, Helvetica, sans-serif; fon= t-size: 14px; color: #131313; line-height: 20px; mso-line-height: exactly; = mso-text-raise: undefinedpx; padding: 0; margin: 0;" align=3D"left"><span c= lass=3D"mso-font-fix-arial">E-mail-címe és jelszava megad&aac= ute;sával lépjen be az </span><span class=3D"mso-font-fix-ari= al"><a href=3D"https://send.rocketmail.hu/tl.php?p=3D1ip/1il/rs/3cn/174/rs/= /https%3A%2F%2Fonlineugyintezes.mvmnext.hu%2F" target=3D"_blank" style=3D"c= olor: #008c8c !important; text-decoration: underline !important;"><font sty= le=3D"color: #008c8c;"><span style=3D"color: #008c8c;">új online &uu= ml;gyfélszolgálatunkra</span></font></a></span><span class=3D= "mso-font-fix-arial"> vagy az MVM Next appba.</span></td>
Azaz mi is a link, amelyre rákattintok? Ez.
https://send.rocketmail.hu/tl.php?p=3D1ip/1il/rs/3cn/174/rs//https%3A%2F%2Fonlineugyintezes.mvmnext.hu%2F
Egyre izgalmasabb. A send.rocketmail.hu szerveren fut egy tl.php nevű szkript. Ez csinálja a varázslatot. Pontosabban csinál valamit, majd utána továbbdob az MVM teljesen legális online ügyfélszolgálatára.
Lassan itt az ideje, hogy megnézzük azt a rocketmail.hu oldalt.
“Küldjön ki RocketMaillel napi akár milliós nagyságrendben tranzakciós és marketing emailt, rendkívül magas kézbesítési rátával, anélkül, hogy elkövetné a tömeges email küldés végzetes hibáit!“
Oké, a szimat jó volt. Szürkezóna, tömeges levélküldés.
Na de… MVM? Ez így annyira, de annyira amatőr lenne, hogy nincs is rá szó. Különösen ezzel a körítéssel, hogy kéretlen személyes hírlevél, meg kattintson a linkre és lépjen be a jelszavával.
Másfelől viszont… mire is jó ez az egész?
Ha valaki rákattint a linkre, lefut a rocketmail.hu tl.php szriptje. Bármennyire is gyanús, mégsem valószínű, hogy itt a rocketmail.hu tudtával működne a szerverükön egy jelszóbegyűjtő phising alkalmazás. Az oldal pedig, amelyre továbbdob, már teljesen valid, az tényleg az MVM hivatalos oldala.
Szintén kizárt, hogy a php szkript röptében telepítsen egy keylogger alkalmazást. Nem is tudna. Man-in-the-Middle Attack a https sessionban? De ehhez megint kell a rocketmail.hu tevőleges részvétele.
Akárhogy is rágom, meg csócsálom a levelet, azt kell mondjam, hogy ez – minden gyanús kitétel ellenére – valószínűleg tényleg valódi MVM levél. Gáz, persze, übergáz, még a Riska BT-től is az lenne, nemhogy egy ekkora mamuttól. Most egyelőre ott állunk, hogy továbbítottam a levelet az adathalasz@mvm.hu címre, aztán hátha mondanak valamit.
Recent Comments