Qual è il meccanismo per questa rappresentazione dell'utente?

0

Sto cercando di capire come potrebbe aver avuto luogo la rappresentazione di questo utente. Ecco lo scenario:

Questa mattina il nostro controllore ha ricevuto una chiamata dalla nostra banca in merito a una sospetta richiesta di bonifico bancario. Dopo un po 'avanti e indietro con il controller e con la banca, abbiamo stabilito che questo è quello che è successo:

  1. Qualcuno ha inviato una e-mail alla banca richiedendo un bonifico bancario utilizzando un nostro vecchio dominio: [email protected]. Questo è un vecchio dominio che usavamo per la posta elettronica e che possediamo ancora. Il servizio di posta elettronica è ancora impostato per questo dominio, tuttavia tutti gli indirizzi di posta elettronica sono stati sostituiti con alias che inoltrano gli indirizzi di posta elettronica al nostro nuovo dominio.

  2. La banca ha risposto con istruzioni e amp; un modulo da completare.

  3. Il cattivo ha restituito il modulo, completato e firmato, da un indirizzo di hotmail. La banca potrebbe anche aver parlato con il cattivo: non è chiaro per me (dal momento che sto ricevendo le informazioni di seconda mano).

  4. La banca ci ha chiamato (al nostro numero di telefono registrato) per confermare la transazione.

La domanda che ho è questa: in che modo il cattivo ha ricevuto l'e-mail che la banca ha inviato? Abbiamo controllato i log sia per i nostri sistemi di posta elettronica (sia vecchi che nuovi) e non ci sono visite registrate da qualsiasi indirizzo IP insolito.

Penso che sia stata una semplice intestazione "reply-to" sull'email originale, e la persona in banca non si è accorta che la risposta è stata inviata a un'altra email. tuttavia, la banca non dovrebbe avere qualcosa in atto per avvisare l'utente se l'indirizzo "reply-to" è diverso dall'indirizzo "from"?

Il mio collega pensa che l'unica altra possibilità sia il record DNS della banca che viene violato per reindirizzare la posta in uscita. Mi sembra altamente improbabile: è possibile che il record DNS della banca sia stato violato?

Infine, ci sono altri modi per farlo funzionare?

    
posta Kryten 28.05.2014 - 22:22
fonte

1 risposta

3

Vai sempre con la scelta più semplice.

Quasi certamente si trattava di un'e-mail falsificata con una risposta (temporanea) legittima. Non c'è bisogno di nulla di più complesso. Il personale della banca utilizza gli stessi strumenti di tutti gli altri per i contatti con i clienti front-end. Controllate gli indirizzi di risposta? No, nemmeno io e amp; né la banca. Invece, si affidano ai loro processi annidati per mitigare il rischio - che ha funzionato, quindi nessun problema. Almeno per quanto riguarda la banca, hanno bloccato la frode e questo è tutto ciò che devono fare.

Mentre la banca avrebbe potuto essere soggetta a un attacco di avvelenamento del DNS, questo è abbastanza improbabile e troppo complesso e costoso perché valga la pena farlo per un così piccolo ritorno.

    
risposta data 29.05.2014 - 22:39
fonte

Leggi altre domande sui tag