La BBC non è estremamente irresponsabile nel descrivere come autenticare un'e-mail relativa all'account?

Naviga le tue risposte
86

Nella questa pagina web , la BBC dice:

I’ve received a ‘Changes to your BBC account’ email claiming to be from the BBC – is this a genuine email?

At the end of September 2016, we upgraded our ‘BBC iD’ sign-in system to ‘BBC Account’, and as a result we had to sign everyone out of their ‘BBC iD’ account.

If an email address was previously registered against a ‘BBC iD’ account, we’ve been sending emails to these email addresses (from ‘[email protected]’) advising users that we’ve signed them out of their account and asking them to sign back in.

These are genuine emails from the BBC and not phishing emails or spam (below is a screenshot of the email content).

... e il gioco è fatto.

L'ho scoperto su un thread di commenti di Facebook, in cui la pagina web di cui sopra è stata data come "prova" che un'e-mail inaspettata era autentica e non un phish.

L'e-mail contiene un link per "accedere" - questo link richiede agli utenti di inserire le proprie credenziali, per definizione (a causa del motivo per cui invia l'e-mail in primo luogo).

Non è tutto questo incredibilmente irresponsabile? La BBC non sta lanciando grossolanamente il suo pubblico? Il campo Da di un'e-mail non è mai stato vicino alla prova dell'identità del mittente e fornire uno screenshot del contenuto originale semplifica la riproduzione e la truffa dei truffatori.

O mi manca qualcosa?

    
posta Lightness Races in Orbit 12.11.2016 - 19:35
fonte

1 risposta

87

Molto cose pericolose potrebbero accadere qui, davvero. Sarebbe ridicolmente facile per un truffatore fare clic sugli utenti di phish.

Una migrazione è una scusa che molti phisher già usano:

There was xyz problem in our user database [...] just "log in" or you won't be able to use our service.

Quindi la ragione legittima

we upgraded our ‘BBC iD’ sign-in system to ‘BBC Account’

si allinea perfettamente con queste attività nefande. Gli spammer potrebbero persino mettere una "prova" con il link del sito web. Gli utenti vedono che il layout dell'email è lo stesso, pensa oh, questo è legittimo , fai clic su "accedi" e invia le credenziali agli aggressori.

Avere accesso a un account della BBC non è una grande minaccia, per quanto ne so. Tuttavia, per quegli utenti che hanno la stessa password in tutti i siti (e nessuna verifica in due passaggi), allora hai un modo semplice per accedere a e-mail, conti bancari e simili.

La BBC ha lanciato la palla difficile . Li contatterò per risolvere il problema, ti incoraggio a fare la stessa cosa.

    
risposta data 12.11.2016 - 20:27
fonte

Leggi altre domande sui tag

Quali attacchi sono resi possibili dalla pubblicazione pubblica della mia cronologia web? FTPS (FTP + S) offre una sicurezza migliore di SFTP sul lato server?