Izvodi Poštanke štedionice bez e-mail enkripcije

Izvodi Poštanke štedionice bez e-mail enkripcije - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Privatnost (https://bezbedanbalkan.net/forum-10.html)
+--- Thread: Izvodi Poštanke štedionice bez e-mail enkripcije (/thread-199.html)

Izvodi Poštanke štedionice bez e-mail enkripcije - 1van - 10-26-2022

Na slici ispod možete videti da Poštanska štedionica ne šalje e-mail poruke sa osetljivim informacijama putem enkriptovanih kanala. Na ovaj način ova poruka će biti dostupna u čistom tekstu prilikom slanja kroz mrežu.

Postavlja se i pitanje da li je samo pogrešna konfiguracija, ili neko(napadač)/nešto(IPS) uklanja "STARTSSL" da bi mogao da radi inspekciju paketa? Bilo bi dobro kada bi neko mogao da potvrdi da li je situacija oduvek ovakva ili je ovo od skorije.

Izvor: https://twitter.com/Nikola68800720/status/1585281983407587328
Arhivirano: https://archive.ph/Yl8hH

[Image: attachment.php?aid=155]

RE: Izvodi Poštanke štedionice bez e-mail enkripcije - 1van - 10-28-2022

Dobili smo potvrdu iz više izvora da se ove osetljive poruke oduvek šalju na ovaj nebezbedan način.

RE: Izvodi Poštanke štedionice bez e-mail enkripcije - 1van - 10-28-2022

Iz analize hedera, preneću zanimljiv detalj da se još uvek pojavljuje ".co.yu", i da ima ARC-AUTHENTICATION-RESULTS, ARC-SEAL i ARC-MESSAGE-SIGNATURE vrednosti. A ako adresu unesemo u MxToolBox dobijemo ovakve rezultate:

[Image: attachment.php?aid=163]

DNS detalji: https://intodns.com/posted.co.rs
Arhivirano: https://archive.ph/GL6MU

RE: Izvodi Poštanke štedionice bez e-mail enkripcije - 1van - 10-28-2022

Još jedna zanimljiva stvar je da u poruci piše i: "Datoteka poslata kao attachment je proverena na viruse i ne sadrži iste.". Šta mislite o ovom pristupu?

Ja ne mislim da je pametno učiti korisnike da slepo veruju onome što piše u poruci. Prvo jer je poruka malo čudna, sadrži engleske reči u rečenici na srpskom jeziku, i to može biti indikator da je neka poruka maliciozna. Drugo šta ako fajl u prilogu nije stvarno PDF nego EXE (možda u tranzitu nije moguće izmeniti ga, ali server može biti kompromitovan ili neki posebno pripremljeni spoofing prođe nedovoljno bezbedan korisnički mejl server), ili ima više fajlova, itd.?