Ez vagy valami, vagy megy valahová

Levelet hozott a posta. Mármint az elektronikus. Az MVM írt, hogy…

Nos, rögtön itt volt az első gyanús jel. Az MVM ugyan küldözget nekem leveleket számlafizetésekről, de semmilyen levelezőlistának nem vagyok a tagja, nem iratkoztam fel semmilyen MVM hírlevélre és az évek során nem is kaptam ilyeneket. Ez viszont egy virtigli hírlevél, ott figyel rögtön a fejlécben az Unsubscribe menüpont.

Aztán mit mond? Azt, hogy szerinte nem stimmelnek a regisztráció során megadott adataim a szerződésben szereplő adatokkal. Ezzel megint van két gond. Miért hírlevélben küldik ki ezt az infót? Másfelől meg mára már közhely, hogy a jelszólopó alkalmazások pontosan ezzel a trükkel nyomulnak.

És így is van. Azt mondják, hogy menjek el az MVM online ügyfélszolgálatára, jelentkezzek be, majd korrigáljak.

Nyilván gyanús, mint a fene. Viszont a szöveg tiszta, tökéletes magyarságú, a grafikus elemek is rendben vannak. Kattintsunk rá a linkre! Átdob a https://onlineugyintezes.mvmnext.hu/ oldalra, ami megint teljesen rendben van, pontosan ide tesz be a hivatalos MVM levél is.

Akkor hol van a rosszfiú?

Nézzük meg a levél fejlécét.

Ez is olyan jófélének tűnik. SPF, DKIM, DMARC rendben. Akkor ez nem lehet phising. Vagy mégis? Azért az a @send.rocketmail.hu smtp domain kábé olyan, mint amikor a szamár beleordít Bach Passiójába.

Itt már kifejezetten kezdett érdekelni a történet. Nézzük meg, honnan is jött valójában a levél.


Received: from mta47.rmta.hu (mta47.rmta.hu. [185.43.206.47])
        by mx.google.com with ESMTPS id n13-20020a170906088d00b00946fa87bed8si222369eje.800.2023.04.05.00.02.05
        for <envagyok@mikiahegyrol.com>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Wed, 05 Apr 2023 00:02:05 -0700 (PDT)

Szóval mta47.rmta.hu. Ez kicsoda?

Hát, legális bejegyzésnek tűnik. Tudom, vannak is ilyenek. Mármint olyanok, hogy nagy cégek külső cégeket bíznak meg a szürkezónás tömeges leveleik kiküldésével, nehogy véletlenül őket blokkolja be egy túlzottan szigorú spam blacklist.
Oké. Na de rocketmail?

Egy kis nosztalgia. 1997-98 környékén, az első internetes szárnypróbálgatásomnál – amikor nemhogy a cégnek nem volt emailcíme, de a kábé 250 ember közül egyedül én tudtam, mi is az az smtp emailcím és mire jó – nos, nekem is csak külső, ingyenes szolgáltatónál volt postafiókom. A Rocketmail-nél. Most már ideírhatom, ennyi idő után már az anyósgyilkosság is elévül, szóval ez volt a cím: lazybear@rocketmail.com.

Rocketmail. És MVM. Némileg gyanús.
Bogarásszunk tovább. Itt van a korábban bekeretezett szöveg, azaz a lényeg.


<td style=3D"font-family: Arial, Helvetica Neue, Helvetica, sans-serif; fon=
t-size: 14px; color: #131313; line-height: 20px; mso-line-height: exactly; =
mso-text-raise: undefinedpx; margin: 0; padding-right: 6px;" align=3D"right=
" width=3D"26.560835" valign=3D"top">&bull;</td>
<td style=3D"font-family: Arial, Helvetica Neue, Helvetica, sans-serif; fon=
t-size: 14px; color: #131313; line-height: 20px; mso-line-height: exactly; =
mso-text-raise: undefinedpx; padding: 0; margin: 0;" align=3D"left"><span c=
lass=3D"mso-font-fix-arial">E-mail-c&iacute;me &eacute;s jelszava megad&aac=
ute;s&aacute;val l&eacute;pjen be az </span><span class=3D"mso-font-fix-ari=
al"><a href=3D"https://send.rocketmail.hu/tl.php?p=3D1ip/1il/rs/3cn/174/rs/=
/https%3A%2F%2Fonlineugyintezes.mvmnext.hu%2F" target=3D"_blank" style=3D"c=
olor: #008c8c !important; text-decoration: underline !important;"><font sty=
le=3D"color: #008c8c;"><span style=3D"color: #008c8c;">&uacute;j online &uu=
ml;gyf&eacute;lszolg&aacute;latunkra</span></font></a></span><span class=3D=
"mso-font-fix-arial">&nbsp;vagy az MVM Next appba.</span></td>

Azaz mi is a link, amelyre rákattintok? Ez.


https://send.rocketmail.hu/tl.php?p=3D1ip/1il/rs/3cn/174/rs//https%3A%2F%2Fonlineugyintezes.mvmnext.hu%2F

Egyre izgalmasabb. A send.rocketmail.hu szerveren fut egy tl.php nevű szkript. Ez csinálja a varázslatot. Pontosabban csinál valamit, majd utána továbbdob az MVM teljesen legális online ügyfélszolgálatára.
Lassan itt az ideje, hogy megnézzük azt a rocketmail.hu oldalt.

Küldjön ki RocketMaillel napi akár milliós nagyságrendben tranzakciós és marketing emailt, rendkívül magas kézbesítési rátával, anélkül, hogy elkövetné a tömeges email küldés végzetes hibáit!

Oké, a szimat jó volt. Szürkezóna, tömeges levélküldés.

Na de… MVM? Ez így annyira, de annyira amatőr lenne, hogy nincs is rá szó. Különösen ezzel a körítéssel, hogy kéretlen személyes hírlevél, meg kattintson a linkre és lépjen be a jelszavával.
Másfelől viszont… mire is jó ez az egész?
Ha valaki rákattint a linkre, lefut a rocketmail.hu tl.php szriptje. Bármennyire is gyanús, mégsem valószínű, hogy itt a rocketmail.hu tudtával működne a szerverükön egy jelszóbegyűjtő phising alkalmazás. Az oldal pedig, amelyre továbbdob, már teljesen valid, az tényleg az MVM hivatalos oldala.
Szintén kizárt, hogy a php szkript röptében telepítsen egy keylogger alkalmazást. Nem is tudna. Man-in-the-Middle Attack a https sessionban? De ehhez megint kell a rocketmail.hu tevőleges részvétele.

Akárhogy is rágom, meg csócsálom a levelet, azt kell mondjam, hogy ez – minden gyanús kitétel ellenére – valószínűleg tényleg valódi MVM levél. Gáz, persze, übergáz, még a Riska BT-től is az lenne, nemhogy egy ekkora mamuttól. Most egyelőre ott állunk, hogy továbbítottam a levelet az adathalasz@mvm.hu címre, aztán hátha mondanak valamit.

7 Comments

  1. Hát ha valaki, akkor te biztos tudod, mennyire jó lepasszolni az emailezés nyűgeit másnak :)

    De amúgy a rocketmail redirect csak méri a megnyitásokat, aztán az MVM-nél meg lehet dashboardra gyűjteni az engagement-számokat anélkül, hogy az IT-seiknek naponta kelljen levelezni a feketelistázós cégekkel. Legalábbis a saját ritkás tapasztalatom a Drip-pel meg a Mailchimp-pel ezt mondják.

    • Persze, nem is erről szólt az írás, hanem arról, hogy mennyire szánalmas egy MVM méretű cégtől egy rocketmail, vagy akár egy mailchimp használata. Különösen akkor, ha egy olyan levelet szeretnének kiküldeni, mely rendelkezik a jelszólopó phising levelek összes attribútumával. Ilyenkor különösen figyelniük kellene a hitelességre.

      • Nyilván, időnként én magam is megcsinálom a posztban írt köröket egy-egy gyanús levélnél, de speciel nekem azzal nincs kifogásom, ha profikat bérelnek fel egy ilyen ingoványos talajon közlekedésre.

        Meg ráadásul a hackerek pont nem fognak legitim szolgáltatókat használni, nem? Legalábbis amiket én kapok, azok általában valami feltört oldal mailerétől jönnek.

      • Mostanában egyre több cég számolja fel a saját levelezési infrastruktúráját és költözik felhőbe, vagy legalábbis a tömeges levélkiküldéseket – mint ez is – telepíti át olyan szolgáltatókhoz, akik erre szakosodtak. Ez független a cég méretétől – kis és nagy cégek is csinálják, hogy elkerüljék a “spamre került a levelezőszerverünk IP címe” kezdetű kanosszákat. Szóval szerintem egyáltalán nem szánalmas tőlük – nem igazán informatikai cég, nem akarnak erre időt és – főleg – pénzt áldozni.

        Cserébe ma már lassan megkülönböztethetetlen egy tömeges szolgáltatótól jövő levél és egy spam a régi ismérvek alapján.

        Az mondjuk fura, hogy le lehet iratkozni erről a levélről…

  2. Szakmabeliként ezt olvasva olyan volt, mint egy Poirot epizód – csak itt bekezdésenként változik, van-e egyeltalán gyilkos :D

    De nagyjából én is így kezelek már minden kicsit is gyanús levelet, mert már hihetetlen méreteket ölt a probléma…

  3. Válaszoltaz MVM amúgy?

Leave a Reply

Your email address will not be published. Required fields are marked *