ロシア最大の銀行からの手紙を偽造

電子メールを見ていると、BinBankからスパムに遭遇しました。 私は銀行サービスではなく、「1日あたり70,000ルーブルの収益」レベルのサービスを提供されたため、これは特に奇妙でした。 スパマーはさまざまな企業に代わって（おそらくいくつかのフィルターをバイパスするために）手紙を送信し始めたようです。 ロシアの大手銀行からの手紙を偽造し、セキュリティサービスの問題を完全に無視することに興味がある場合は、catへようこそ。





偽造のかなり単純な例



まず、少しの理論。 電子メールは非常に便利なものですが、かなり深刻な欠点があります。手紙を偽造するのは非常に簡単です。 銀行がこの手紙を送ったことを常に確認できるわけではなく、あなたのお金を盗もうとするある種の邪悪なハッカーではありません。 これを防ぐために、SPFやDMARCのようなものが発明されました（これらはHabréについて何度も書かれていました：1、2、3）。 これらの技術を簡単に説明すると、このドメインから誰が手紙を送信できるか、偽の手紙で何をすべきかを言うことができます。



適切に使用して手紙を偽造することは非常に危険です。バカなスパムを受け取らない場合の対処方法について考えてください。ただし、パスワードを変更するか、メインアカウントを使用してログインできる新しい銀行サービスを宣伝するように銀行のドメインから適切な手紙を受け取り、たくさんのボーナスをもらえますか？ 多くの人がこの手紙を信じて何かをするだろうと確信しています。



BinBankはそのような問題を忘れており、ユーザーを危険にさらしていることがわかりました。 私はすぐに技術サポートに手紙を書き、そこでそれについて話しました。 しばらくして、私は銀行から丁寧な返事を受け取ったが、彼は不便をおかけして謝罪した。



技術サポートがこれにまったく興味がないことに気付いたとき、他の銀行がこのような問題を起こしやすいものを調べることにしました。



banki.ruレーティングから次の銀行を選択しました。

• ズベルバンク
• VTB
• ティンコフ
• ガスプロムバンク
• 発見
• ロシア農業銀行
• アルファバンク
• モスクワ信用銀行
• プロムスビアズバンク
• UniCredit Bank
• BINBANK
• ロスバンク
• ライファイゼン銀行
• 合資銀行「ロシア」
• グロースバンク
• ソフコムバンク
• Akバー
• ウラルシブ銀行
• ロシア標準銀行
• 国立銀行信託
• シティバンク
• ヴァンガード
• モジュールバンク
• DeltaCredit
• トランスキャピタルバンク
• SMP銀行
• セテレム銀行
• ロコ銀行
• サンクトペテルブルク銀行

私が調べた後、SPFとDMARCを使用しているかどうか。 ドメインをなりすましからドメインを保護するにはSPFで十分であるというかなり危険な誤解があります。実際、多くのメールサービスはSPF（hi、mail.ru）を無視します。また、SPFは存在しないサブドメインからの偽の手紙からあなたを保護しません。 DMARCを必ず使用する必要があります。



良いニュースは、4つを除くすべての銀行（Promsvyazbank、Joint-Stock Bank "Russia"、Sovcombank、Uralsib）が少なくともSPFをセットアップしたことです。



5つの銀行（Sberbank、Gazprombank、BINBANK、Rosbank、およびCitibank）はほぼDMARCをセットアップできましたが、設定したポリシー（なし）は偽の手紙によるアクションを必要としません。



そして、監査の時点で保護されていた銀行は1つだけでした。これはTinkoffです。 見つかった脆弱性に対する報酬プログラムの存在と適切なセキュリティサービスが何かを意味している可能性があります。



一般に、結果は非常に悲しいことが判明しました。28のうち1つの銀行のみが保護されていました（リストにない他の銀行にも同様の問題があると確信しています）。



私は各銀行に問題を説明する手紙を送りました。 そして、ここで非常に悲しくなりました：手紙を1週間待って再送信した後、私は4つの適切な回答しか受け取りませんでした（これらはPromsvyazbank、ロシア農業銀行、SberbankおよびCitibankです）。 残りは手紙を無視したか、私の申し立てが受け入れられ、すぐに返信を受け取ることを示す標準メッセージを送信しました（いいえ）。 電話のみで通信したいガスプロムバンクへの特別な挨拶。



最後の脆弱性通知が送信されてから（最終の手紙は3月6日に送信されて）1か月以上が経過しました。結果は次のとおりです。SberbankはDMARCを正常に実装し、BinBankは何かを始め、Tinkoffは問題ありませんでした。 残りの銀行は何もしないことに決めたようです。



実際、状況はひどいものです。すべてのシステムに脆弱性が存在しますが、完成したフォームの情報がすぐにあなたの鼻に届くと、何かができるでしょうか？ おそらく、少なくとも手紙に答えてください？



そして、はい、この記事は詐欺や銀行に代わって偽のメールを送信することを決して奨励しません。



UPD 1：上記の銀行リストにサンクトペテルブルク銀行を含めませんでしたが、そこに手紙を送りました。 修正しました。