Také mi to přišlo, tak jsem hned ráno psal do Forpsi, co že to jako má být, protože danou doménu obvykle prodlužuji někdy v dubnu a teď jsem určitě žádost o prodloužení neposílal...
No a vida - on je to podvod. :-)
Ta PDFka úplně stejná nejsou. Jsou mnohem větší (asi 200 kB místo 10 kB) - obsahují některé fonty. Název souboru neodpovídá variabilnímu symbolu (u pravých faktur ano). V metadatech není nic moc, u originálu je zmínka o tom, že je to generováno LaTeXem.
Měl bych jedno doporučení - kdyby Forpsi pro svoji doménu používalo SPF, tak mi takový mail ani nepřijde. Prostě zprávy z adres něco@forpsi.com by směly posílat jen určité servery - a jak by si to poslal nějaký "serverik.vigla.cz", tak by to alespoň můj poštovní server prostě zahodil...
Jelikož to tu určitě bude číst i někdo z Forpsi - platí to pořád, nebo už jste také přešli na hashovaná hesla? Ty argumenty co jsou v tom odkazovaném článku, ty jste nemysleli vážně, že ne?
Tak naštěstí heslo co u nich mám nemám použité nikde jinde. Neříkám, že jejich UI je úplně nejpřívětivější - ale ceny mají jedny z nejnižších. Ale i tak je podobné chování ostuda...
Reklamovat transakci u své banky s odkazem, že se jedná o podvodný účet. Ale nevím, jakou šanci to má.
Nevím jak ten email vypadá ve skutečnosti. Především odkud email přichází (i když ten se dá falšovat). Ale majitel domény by měl snad vědět jakého registrátora má a kdy přibližně má expiraci. A pokud má pochybnosti, tak se podívá do administrace registrátora, kde by měla být rovněž vystavena zálohová faktura.
Dobrý den,
jediná možnost, jak dostat peníze zpět je připojit se k trestnímu oznámení. Centrální registr bude podávat trestní oznámení, až bude k dispozici číslo jednací, zveřejníme jej na našem webu (www.domainmaster.cz) a každý, kdo už uhradil se může k tomuto úkonu připojit.
Sledoval jsem z různých zdrojů a je to jak píšete. Je to docela dobře promyšlený.
V tom případě by mělo platit jedno zásadní pravidlo. Nikdy se nespoléhat na emaily. Emaily vždy brát jen jako informační nebo komunikační, ale nikdy ne vykonávací. Pokud přijde nějaká žádost o platbu, tak nespoléhat se na údaje v něm, ale platbu provádět a ověřovat jen přes skutečné stránky nebo osoby. To jest, přihlásit se k registrátorovi a ověřit fakturu tam. A ze stejného místa provádět i platby.
To samé i u těch exekučních podvodů. Ověřit si u zdroje, zda je ta platba skutečná.
Webmaily by podpisy mohly umět kontrolovat, ale nedělají to, protože by tím na sebe braly odpovědnost, kterou má mít uživatel. Navíc by bylo divné, kdyby jejich uživatelé mohli podpisy kontrolovat ale ne vytvářet.
I když po včerejšku si říkám, že zpráva "podpis e-mailu je asi platný" by nebyla k zahození ani u webmailu.
SPF ani DKIM snad neřeší adresu uvedenou ve zprávě, ne? Umožnili by lépe vystopovat skutečného odesílatele, ale těm e-mailům by to nezabránilo.
E-podpisy na webmailech. Implementačně to není složitý. Sám jsem něco podobného dělal, i když nešlo o webmail, ale o systém, jež přijímal emaily a kontroloval pravost. Stejně tak podepisoval a odesílal. Problém ale představuji dvě věci. Tím prvním je správa CA. Webmail musí mít nějaký seznam podporovaných CA certifikátů, aby mohl ověřit email. Navíc je tu i určitá režie. Webmail by musel pořád něco ověřovat (není jen jeden email, ale stovky tisíc) a to je zátěž. Takže nejde ani tak o zodpovědnost, ale o technické aspekty a rozšiřitelnost e-podpisu. A druhým a to je největší problém. Webmail musí mít přístup k privátnímu klíči, aby mohl vůbec email podepsat. Což představuje bezpečnostní riziko - klíč se někam posílá ven. Takže jde o důvěru. A pochybuji, že by někdo jen tak dával serveru privátní klíč, jen aby podepsal email.
Na desktopu je to jednoduché. Všechno je na jednom místě. Ověření provádí program a jen při načtení emailu, takže v daný moment se ověřuje jen jeden email - nulová zátěž. Navíc správa CA je na uživateli. Pokud tam vloží CA, tak je to jen na jeho riziko, zda CA důvěřuje. A podepisování je také snadné. Program jen sáhne do systému nebo pokud to má v sobě, a přímo na místě email podepíše.
Co brání útočníkovi hlavičku From z podpisu vynechat? Nebo váš klient vám zobrazuje, které hlavičky byly DKIM podepsány? Pravda je, že třeba GMail zobrazuje název domény, kterou byl e-mail podepsán, toho by si někdo všimnout mohl.
Nicméně DKIM je primárně určen pro ověření serveru, ne obsahu e-mailu. Je úplně v pořádku posílat e-mail s fakturou třeba přes SMTP server ISP. U registrátora domén by bylo trochu divné, že nemá svůj server, ale třeba u e-shopu by to nebylo nic překvapivého.
Certifikáty CA by si mohl každý uživatel udržovat sám i na webmailu. Jak je vidět, smysl by mělo i pouhé ověřování, bez možnosti e-mail také podepsat. Problém je v tom, že je pak potřeba věřit, že provozovatel webmailu dělá to ověření správně. Na druhou stranu, Googlu bych v případě faktury na pár korun, jako je tenhle případ,to ověření podpisu věřil.
Podpis by se dal udělat, pokud by byl elektronický podpis implementován v prohlížečích. Nějaké náznaky, že by se něco takového mohlo udělat, se občas objevují, ale je to hodně okrajové. Jsou mnohem důležitější věci, co v prohlížečích implementovat – přehrávání videa, 3D transformace…
a? Pointa toho celeho mala byt, ze ak je vsetko s DKIM v poriadku, moze sa vo freemailoch ukazat label - tento mail je pravdepobone OK. Ak nebude DKIM valid, tak sa to tam nezobrazi. Vysledok? Pride ti mail od odosielatela u ktoreho si zvyknuty ze tam mas "soft safe" kde ziaden label nebude, tak spozornies.
Ano, v mailu může být DKIM podpisů kolik chce, klidně z každého mail serveru, kterým mail projde. Takové podpisy po kontrole mi řeknou, že daným serverme opravdu mail prošel a případně v podpisu zahrnuté hlavičky nebyly od té doby změněny. K ničemu jinému to nepoužiju (a tyto podpisy se často ani nevyhondocují).
Ale existuje pojem author domain. To je ta doména v From: (a ne z obálky nebo odněkud jinud), takže pokud ověřuji odesilatele, tak se hledá, zda je v DKIM podpisech doména s d= odpovídající From, to je pak author domain, ta se použije pro úvahu o tom, zd mail přišle z místa odkud měl. A pokud chci říco, že pro maily From: <něco>@firma.cz to má chodit podepsané pomocí DKIM, tak to říkám přes _adsp._domainkey.firma.cz s dkim=all a ten DKIM klíč musí být nějaký dostupný pod _domainkey.firma.cz..
Nicméně v praxi těch podpisujících pomocí DKIM v našich vodách moc není a ještě míň těch s definovaným ADSP. Mnohme míň, než těch SPFek.
tak si ta firma ktora bude chciet vypadat doveryhodne voci klientom vyriesi DKIM tak, aby tag From obsahoval domenu z parametru d.
Nie je to nic komplikovane. DKIM filter pre Postfix vie podpisovat odchadzajuce maily na zaklade domeny. Nastavi sa tam private key, selector, zabezpeci sa propagacia DNS zaznamu a je vymalovane. Nic nebrani aby si DKIM vyriesili po vlastnej ose a nespoliehali sa na nejaky hosting.
Treba len aby niekto velky ako napriklad Gmail to zacal riesit. Kym na to budu vsetci prdet, bude DKIM v stave v akom je: nic-moc ale vzdy lepsie ako dratom do oka.
Pokud ta firma chce vypadat důvěryhodně, měla by především podepisovat tu fakturu a/nebo e-mail. Ověření domény odesílatele totiž pořád ještě mnoho neznamená pro důvěryhodnost obsahu. Třeba e-mail odeslaný z domény vysoké školy může mít všechno v pořádku, DKIM podpis pro odesílatele uvedené ve zprávě sedí, doména má ADSP s dkim=all, ale přesto bych neproplácel každou fakturu, kterou student té školy odešle.
Zrovna GMail DKIM bere v úvahu při analýze spamu a pokud je DKIM podpis ověřen, zobrazuje to u e-mailu.
Takže mi přijde e-mail s From faktury@eshop.cz
s validním DKIM podpisem z domény hosting.cz
. A někde v hlavičkách bude možná zmínka, že obálkovým odesílatelem byl faktury@eshop.cz
. Příště přijde další e-mail s From faktury@eshop.cz
s validním DKIM podpisem z domény hosting.cz
.A někde v hlavičkách bude možná zmínka, že obálkovým odesílatelem byl hacker@taky-klient-hosting.cz
. To mi asi moc nepomůže, ne?
Registrátor domén svůj e-mailový server nemusí poskytovat i klientům, ale spousta registrátorů je zároveň třeba webhostery, takže je dost pravděpodobné, že přes jejich e-mailové servery mohou e-maily posílat i klienti.
Email přišel ze správné adresy, byl bez chyb a ve stnadardní úpravě. Termín taky nějak seděl. Domén máme více, tak si to na den nepamatuji.
Platil jsem dnes více různých faktur a zde jsem se zarazil s Air Bank. Zadal jsem tedy do google >>Ignum bankovní účet<< a ten mi našel stejné číslo u Air Banky zveřejněné na domena.cz
Tak jsem to zaplatil a když okno s googlem zavíral všiml jsem si celého textu, že se jedná o podvod. Hned jsem volal svému bankovnímu poradci v KB, ale cca 3 minutová prodleva už nešla dohnat a platbu udajně nešlo zastavit.
Poučení:
prověřovat si platby a ČÍST POŘÁDNĚ. Já nalezené info z google už nerozkliknul - email byl z domena.cz a na domena.cz našel google i to číslo účtu, tak jsem tu platbu potvrdil a šel dál.
Jo, jsem vůl.
Forpsi bezpečnost moc neřeší ;) http://pooh.cz/pooh/a.asp?a=2018338
Někdo si zjevně dal záležet ... podvodný email mi sice nepřišel, ale vůbec se nedivím, že někteří majitelé domén zaplatili. Jediné v čem se prakticky email liší od výzvy k úhradě od mého registrátora, je číslo účtu. Navíc, velké množství domén je hrazeno právě v září, neboť to bylo přelomové období, kdy CZnic začal vybírat platby za domény, takže šance, že zrovna ta "správná" doména vyprší je asi relativně velká. Také jsem zrovna uhradil doménu, také převodem, naštěstí jsem si ale vytiskl fakturu přímo přes stránky registrátora.
Pominu-li, že je to svinstvo, tak je určitě promyšlené.
Tak situace je vyřešena. Zavolal jsem ( v pondělí ) po proplacení na svoji banku i na Air banku. Tam mě sdělili, že mám zatím vyčkat do středy ( dnešku ), zda platba přijde zpět. Pokud ne, ozvat se. Dnes platba byla připsána zpět na náš účet. Podvodník se s penězi moc neohřál. Ještě podám trestní oznámení,ať těch podvodníků je co nejméně.
tak nevím, jak to mají jiní, ale já mám přehled o tom, co máme kde objednané a z jakých mailových adres mi chodí faktury. Jiné maily ani neotevírám. A i když mám mailovou adresu nahlášenou všude možně, ještě nikdy mi takový mail nepřišel.
A zaráží mě, kolik se vždycky najde hlupáků, kteří bezmyšlenkovitě zaplatí, aniž by třeba "té své" společnosti zavolali a informovali se na případný dluh.
A posílat peníze kamkoliv na základě pofiderních mailů s pravopisnými chybami..... no co dodat, to bude asi poplatek za blbost.
nesouhlasím s vámi: e-mail se v klientovi zobrazoval z tvaru e-mailu od mého registrátora - informace v e-mailu měli standardní formát - příloha vypadala k nerozeznání stejně - jediné co nesedělo byl číslo bankovního účtu (to já ovšem nemám uložené v bankovnictví) a neseděl termín, doménu mám obnovovat až za několik týdnů .. ovšem registrátoři posílají platby dopředu a datum, do kdy vyzývají k úhradě se nekreje s datumem expirace .. to nebyl pofidérní e-mail s pravopisnými chybami, ale chytře provedený podvod .. i když je to bagatelní částka, já se k trestnímu oznámení připojím, pokud mi banka peníze nevrátí .. to je čistý podvod, nenechám jim to ..