K&H phishing email SPF PASS

Spam, Adathalászat

Sziasztok!

Egy rejtélyes levelet szeretnék megfejteni.
Ma reggel jött egy kamu banki mail ilyen kezdettel:

"Fiók ellenőrzés szükséges
Tisztelt Ügyfelünk,
Rendszerünk észlelte, hogy K&H Bank fiókja ellenőrzésre szorul a felfüggesztés elkerülése érdekében."

A feladó info@kh.hu

A levél fejléce:

Return-Path: <bounces+32934010-8d23-user=xxx.hu@sendgrid.net>
Delivered-To: user@xxx.hu
X-Virus-Scanned: Clamav at mail.xxx.hu
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=168.245.115.227; helo=o168245115x227.outbound-mail.sendgrid.net; envelope-from=bounces+32934010-8d23-user=xxx.hu@sendgrid.net; receiver=<UNKNOWN> 
Received: from o168245115x227.outbound-mail.sendgrid.net (o168245115x227.outbound-mail.sendgrid.net [168.245.115.227])
        (using TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits)
         key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
        (No client certificate requested)
        by mail.xxx.hu (Postfix) with ESMTPS id DB43D120479
        for <user@xxx.hu>; Tue, 28 Oct 2025 09:40:52 +0100 (CET)
 

 

A levélben szereplő "Fiók ellenőrzése" gomb ide mutatott: https://u32934010.ct.sendgrid.net/ls/click?upn=u001.C7GiZ-2FSmbwgP-2BHb…

Rákattintva ma már not found belső hibaoldalra visz.
Egyértelműen kamu az egész, viszont a kh.hu domain tényleg a k&h bankhoz tartozik, 2000 óta beregisztrálva.
Az SPF szűrőm elvileg jól működik egy kontra teszt szerint. SPF FAIL hibával visszadobja a TXT rekordban nem engedélyezett smtp IP-ről érkező leveleket.
Ez a levél még is átjött SPF PASS eredménnyel.

Ezen az oldalon teszteltem a 168.245.115.227 IP címet és a kh.hu domaint. Szerinte FAIL.

Vajon időközben kivették a kh.hu domain SPF rekordjából ezt az IP-t vagy az én szűrőm csinált egy téves PASS-t?

 

Köszi, ha segítetek kibogozni.

  • 773 megtekintés

( n.balazs v | 2025. 10. 28., k – 21:33 )

Szerkesztve: 2025. 10. 28., k – 21:35

Amit én látok most:
- Vagy nagyon ritkán változik a kh.hu domain SOA rekordjában a serial vagy szimplán nem követik az ajánlásokat, szokásokat.
- Az összes kh.hu-s MX a 193.245.73.x zónában van.

A sendgridet általában tömeges levélküldésre szokták használni.

Biztos, hogy kh.hu a domain? Nem véletlenül ĸh.hu (U+0138) vagy ƙh.hu(U+0199) vagy κh.hu (U+03BA)? 

Én is kaptam ilyet. (Illetve pár nappal ezelőtt egy MBH-sat is ugyanígy sendgriddel.) Az első ötlet nálam is az volt, hogy homoglyph, de nem. Látszólag normál ASCII karakterekből áll a domain. A legszebb az, hogy a Reply-To és a List-Unsubscribe header is szépen ki van töltve.

> E szerint 2012-ben változott utoljára

marmint azt a szamot irtak oda? mert az egy sima 32 bites integer, egy verzioszam, azt irsz oda amit akarsz, csak a za lenyeg nagyobb legyen a szam mint a modositas elott.  oke van egy olyan konvencio, hogy sokan a datumot es utana meg 1 vagy 2 szamjegyet irnak oda, de ezt semmi nem irja elo es nem is keri szamon. es termeszetesen barmilyen datumot is odairhatsz.

( sandroshu | 2025. 10. 28., k – 23:11 )

Szerkesztve: 2025. 10. 28., k – 23:25

A mail szervered a From vagy az Envelope-From címet nézi? Mert alapból szerintem az envelope-from címet, az meg pass-olhatja az IP-t. (sendgrid.net pl. enged egy elég nagy tartományt: 168.245.0.0/17)

A Received-SPF fejlécedben benne is van, hogy envelope-from. DMARC-ban SPF alignmenttel lehetne /megkövetelni/, hogy a MailFrom és From domainnek azonosnak kell lenni.

( arpi_esp v | 2025. 10. 29., sze – 07:08 )

hat valojaban a @sendergrid.net domain ment at az SPF-en ahogy latszik:

envelope-from=bounces+32934010-8d23-user=xxx.hu@sendgrid.net

( Czo v | 2025. 10. 29., sze – 09:23 )

Sok-sok eve nem hasznaltam sendgridet, de akkor ellenoriztek, hogy a sendgrid user hozzafer-e az adott domainhez. Ez idokozben megszunt, vagy egyszeruen elloptak a kh sendgrid accountjat es a legitim accounttal kuldenek spamet?

De, simán lehet. Ez egy SaaS tömeges email küldő alkalmazás, kb mint a MailChimp és még ezer társa. Olcsóbb ezt fizetni, mint egy rendes email küldő infrát üzemeltetni.

És nem is biztos, hogy scam email, ugyanis az ilyen tömeges email küldő alkalmazások lecserélik a linkeket a levélben az úgynevezett engagement mérés miatt. Tehát az, hogy egy kh.hu -s levélben a linkek többsége az ilyen sendgrid.net/x/xyz formájú linkek, az csak egy click-through cucc, mögötte ott van a rendes link (curl -ksv -vel ha megküldöd a linket, akkor egy valamilyen redirect lesz a tényleges linkre).

Viszont, amennyire tudom, idén elég sokmindent alakított a KH a honlapján, lehet, hogy ezek a linkek azért nem élnek, mert a levél összeállítója balfasz volt, és egy régebbi sablont töltött fel a SendGrid-be, amin még olyan linkek vannak, amik 404-ek.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Ezt a levelet en is megkaptam, de nem vagyok kh ugyfel. akkor meg is neztem, hogy SPF pass es sendgrid, de jobban nem is foglalkoztam vele, mert eleve a spam folderben landolt. Nem is kattintottam ra, igy nem is tudom hova visz/vitt/vinne a link benne. De akinek megvan meg a level, az igazan reportolhatna a sendgirdhez, mert nem kene ilyennek erkeznie szerintem.