Domov Securitywatch Ako posielať riskantne vyzerajúce legitímne e-maily v cieľovom štýle

Ako posielať riskantne vyzerajúce legitímne e-maily v cieľovom štýle

Video: Gina Yashere - Dodgy Emails (November 2024)

Video: Gina Yashere - Dodgy Emails (November 2024)
Anonim

Spoločnosť Target zaslala zákazníkom e-mail s informáciou, že ich osobné údaje mohli byť ukradnuté. Mnoho ľudí, ktorí dostali e-mail, žiaľ žiaľ považovali podvod.

Krátko po tom, čo útočníci, ktorí pripustili cieľ, ukradli informácie o platobných kartách a osobné informácie patriace jej zákazníkom, odborníci varovali spotrebiteľov, aby hľadali podvody súvisiace s cieľmi, ako sú napríklad phishingové e-maily a škodlivé prílohy. Tieto sekundárne útoky sú veľmi časté po porušení údajov, pretože zločinci vedia, že používatelia hľadajú viac informácií a zaujímajú sa o to, či boli súčasťou dotknutej skupiny.

Tento týždeň spoločnosť Target rozoslala e-maily adresované „Váženému cieľovému hosťovi“ s prvkami, ktoré zvyšovali varovné príznaky a nútili príjemcov zaujímať sa o pravosť správy. E-mailová adresa odosielateľa nebola z adresy Target.com a niektorí ľudia sa čudovali, prečo dostali e-mail, keď neboli cieľovými zákazníkmi. Správa tiež obsahovala odkaz a požiadala používateľov, aby na ňu klikli, čo je bežná taktika, ktorú používajú podvodníci, ktorí sa snažia prilákať obete na škodlivú webovú stránku.

„Tento e-mail od spoločnosti Target je lekciou o tom, ako vytvoriť e-mail, ktorý vyzerá ako podvodník (ale je skutočne legitímny) a je zlou praxou, ktorej by sa mali vyhnúť všetky podniky, “ napísal Jame Lyne, globálny vedúci bezpečnostného výskumu pre Sophos. na webe Forbes.com.

Prečo bol e-mail Targetu podozrivý

Útočníci ukradli zhruba 40 miliónov čísiel debetných a kreditných kariet od nakupujúcich, ktorí počas dovolenky nakupovali karty v maloobchodných predajniach Target po celej krajine. Útočníci tiež ukradli osobné identifikačné informácie, ako sú mená, poštové adresy, telefónne čísla a e-mailové adresy, pre 70 miliónov zákazníkov, z ktorých mnohí nemuseli nakupovať v cieľovom obchode za mesiace, ak nie roky. Zacielenie zasielalo e-mailové upozornenia nakupujúcim v druhej skupine a tento týždeň ponúka bezplatné služby sledovania kreditných kariet so spoločnosťou Experian.

Napriek tejto skromnosti bol tento konkrétny e-mail „od“ cieľového riaditeľa spoločnosti Gregg Steinhafel legitímny. Zdá sa tiež, že Target tiež poslal marketingový e-mail ostatným ľuďom približne v rovnakom čase s rovnakými problémami. Ďalej uvádzame niektoré z problémov v týchto správach.

E-mail nepochádzal z adresy Target.com. Odporúčame vždy skontrolovať adresu „od“ a overiť, kto e-mail odoslal. Podvodníci často používajú názov spoločnosti pred vlastnou doménou v nádeji, že príjemcovia uvidia názov spoločnosti a neuvedomujú si, že pošta pochádza z iného zdroja. V prípade Target prišiel mail z [email protected]. Bfi0.com znie pekne, ale v skutočnosti je vo vlastníctve marketingovej spoločnosti Epsilon. Priemerný človek to však v skutočnosti nemôže vedieť, pretože ak prejdete na stránku bfi0.com, dostanete stránku „Povolenie bolo odmietnuté“ alebo „Zakázané“. Jedna červená vlajka a je to trochu strašidelné.

Ľudia nevedeli, prečo dostali e-mail. Mnohí ľudia, ktorí dostali e-mail, boli prekvapení, pretože uviedli, že počas sviatočného obdobia neobchodovali v cieľovom obchode. Toto e-mailové oznámenie bolo zaslané ľuďom, ktorých osobné informácie mal maloobchodník v evidencii. Target si mohol tieto informácie zachovať z nákupu, ktorý ste uskutočnili pred starými rokmi.

Iní ľudia, ktorí dostali e-mail, tvrdili, že nikdy nezakúpili v službe Target, online alebo v obchodoch. Na základe konverzácií na rôznych online fórach a na Twitteri sa zdá, že Target mohol získať e-mailové adresy od spoločnosti Amazon ako súčasť staršieho partnerstva. Nevyžiadaný e-mail bol druhou červenou vlajkou.

E-mail vás požiadal o kliknutie na odkaz. E-mail poučil používateľov, aby klikli na odkaz, aby získali aktivačný kód na registráciu do monitorovacej služby. Vzhľadom na to, že ľudia sa už v súvislosti s potenciálnymi podvodmi cítia nervózne, nemusí byť výzva pre používateľov, aby klikli na odkaz, tým najlepším krokom, najmä preto, že správa pokračuje s upozornením: „Neklikajte na odkazy v e-mailoch, ktoré nepoznáte.“

Podľa Lyne bola situácia v marketingovom e-maile horšia. Používatelia by si mali zvyknúť umiestniť kurzor myši nad odkaz a zistiť, kam ich odkaz zavedie, skôr ako naň kliknú. V marketingovom e-maile odkaz „vyzerá neuveriteľne riskantne“, povedala Lyne.

Musí byť ostražitý

Toto nie je paranoia - už sa vyskytlo „viac ako tucet operácií“, ktorých cieľom je obetovať podvody prostredníctvom e-mailu, telefonických hovorov a textových správ. Príkladom nedávneho podvodu s cieľom je predmet správy: „Cieľ: Získajte 25 cieľových dolárov za svoj názor.“

Ak dostanete e-mail, o ktorom si nie ste istí, či je legitímny, prejdite na webovú stránku spoločnosti a vyhľadajte tam informácie. Nie je potrebné klikať na odkazy - stačí otvoriť prehliadač a ísť priamo na stránku spoločnosti. Target zverejnil kópiu e-mailu, ktorý poslal zákazníkom, ako aj pokyny, ako sa zaregistrovať na bezplatné sledovanie kreditov na svojej webovej stránke. Očakáva sa, že maloobchodný predajca luxusných vecí Neiman Marcus zverejní na svojom webe pokyny pre obete porušenia pravidiel niekedy budúci týždeň.

Ako posielať riskantne vyzerajúce legitímne e-maily v cieľovom štýle