源之原味

您的银行可能正在对您使用网络仿冒策略

 

本文来自thenextweb.com。源URL是: https://thenextweb.com/syndication/2017/12/25/bank-probably-using-phishing-tactics/

以下内容由机器翻译生成。如果您觉得可读性不好, 请阅读原文或 点击这里.

你曾经接到过银行诈骗部门的电话吗?

一个号码出现在我的手机, 我不认识, 而且, 只是这一次, 我接起来, 我听到, "你好, 我的名字是六月。我是 诈骗部门的电话。我可以确认我在和谁说话吗?

So I respond, “Hi June, my name is Duncan Riach. What is this call about?”

然后六月说, "我今天打电话给你, Mr. 雷契, 确认你信用卡上的一些可疑交易, 但首先我需要确认你的身份。请您告诉我您的帐号或社会保险号码好吗?

停止

什么.的.他妈的.

也许这不会给你增加红旗。也许这似乎完全正常。

在这里, 我有一个人从一个完全陌生的号码打电话给我问我最机密的信息。这是一个网络钓鱼骗局, 对不对?不, 这是诈骗部门我的银行打电话给我。

他们的行为就像一个网络钓鱼骗子。

在类似的情况下, 我不知道有多少人会继续前进, 并给来电者要求的机密信息, 以验证自己与这个未经验证的陌生人。

我真的很难相信, 我必须写这篇文章, 特别是现在, 经过多年的呼吁。

我花了好几个小时在客户服务热线上, 至少有两家不同的银行试图向他们解释为什么这是个问题。在某一时刻, 我认为我的银行已经明白了, 但几年后却发现他们仍然在做同样的事情。

对我来说, 这代表了一个 mind-boggling 的无能的水平。

我很惊讶这些公司能在光天化日之下 after-day, 一年都。在一个需要最高安全和保密性的行业中, 负责任的人想必是训练有素、知识渊博的专家。

在接到我的医疗保险提供商的类似电话后, 我今天终于被提示写这篇文章。

有什么问题吗?

你可能会惊呼, "为什么你会永远回答一个无法识别的号码的电话?!我从来没有这样做!

嗯, 你可能不会, 但想必很多人会这样做, 否则银行和其他组织不会这样做。

也许更重要的是, 即使您将银行的电话号码存储在通讯簿中, 骗子也可能会从不同的号码中调用或给您发短信, 但使其看起来像是来自受信任组织的电话或文本。

所以你甚至不能信任你的来电者 ID。

情况变得更糟了

银行--庞大的国家和国际银行--也在使用电子邮件的行为举止像骗子。

即使你从来不接电话, 当它似乎是你的银行或当你不认识的号码, 你可能已经收到一封电子邮件, 说一些类似的东西, "有一些新的声明给你。单击此处并登录。

请注意, 骗子可以修改电子邮件的明显来源, 使其看起来像来自合法来源。

登录到一个网站, 当然, 是使用高度保护的机密进行身份验证。如果链接实际上去到一个未经授权的网站, 那么你将给你的秘密银行登录凭证的骗子。

这些电子邮件通常也包含类似的警告, "当您单击链接时, 请确保 web 地址是正确的, 并且连接是安全的。

如果这是一个网络钓鱼电子邮件, 骗子可能会或可能不会选择复制这一段文字, 但无论如何, 大多数人不知道什么是正确的和安全的网址看起来像, 或如何检查它。

Regardless, on the cloned website that you are taken to when you click on the link in a fraudulent email, the web address bar can be modified, using Javascript, so that it looks correct.

Even worse, if the bank’s website has a security flaw that enables something called cross-site scripting, it’s possible for a phishing email to contain a link that actually takes you to the bank’s real website, which is secured using a valid certificate, yet there can be some information in the web address that allows the hacker to capture your login credentials, or the authentication cookie from your browser, for later use.

总而言之, 银行和其他组织经常给我们打电话, 给我们发电子邮件, 就像网络钓鱼骗子一样。这些组织希望我们信任并响应这些未经身份验证的通信。

在这样做的时候, 他们正在训练我们信任并被网络钓鱼诈骗者欺骗。

这就是我所做的

当我接到一个组织的电话说他们需要和我谈谈某件事时, 我会问他的名字和部门, 然后我告诉他们我会给他们回电。

然后, 我会为我所信任的组织找到一个数字, 例如信用卡背面的一个号码, 或者在组织的网站上。我叫那个号码, 要求把电话交给打电话给我的人。

然后, 我可以自信地验证自己, 安全的知识, 我已经验证他们.

我从来没有点击电子邮件中的链接。相反, 我去网站的组织, 显然给我发电子邮件。然后, 我登录到我的帐户, 并寻找通知。

或者, 我叫他们。

此处的关键是首先对与您联系的实体进行身份验证。不要以为你可以信任他们, 只是因为他们在和你联系。

对欺诈部门来说, 警惕性更重要, 因为当我们被 "诈骗部门" 联系在一起时, 这是非常容易的, 因为他们是合法的。

讽刺的是, 他们可能实际上是一个真正的诈骗部门 (骗子), 而不是你认为他们是欺诈部门。

所有这些都需要额外的时间, 特别是在处理电话的时候, 但是值得花时间去保护你自己、你的资产和你的身份。

银行 (和其他组织) 应该做什么

在我和朋友的讨论中, 已经提出了许多解决这个问题的方法。有人说, 它可以使用公钥密码学解决, 而其他人认为分布式 blockchain 是解决方案。

事实上, 这个问题可以不使用任何复杂的技术来解决。一个非常健壮的解决方案是有需要的, 只需一点点的内部教育, 改变政策, 和简化的程序。

下面是我的一个健壮的钓鱼安全策略示例:

  • 我们从来致电客户并要求他们进行身份验证。
  • 我们从来向包含任何登录链接或电话号码的客户发送电子邮件。我们从来ask customers to click on a link and login to their account or call a number and authenticate themselves.
  • If we need to communicate with a customer about anything that requires them to authenticate themselves with us, we总是do so either inside our secure web or mobile apps or in phone conversations where the customer has called us.
  • If we need to communicate with a customer, we may phone, email, text, or notify them asking them to call us using a number that they know to be authentic (such as one printed on the back of their credit card or their statement), or to visit our website and login (using a web address that they have obtained from a trusted source), or to login to our mobile app.
  • (Optional) We routinely and randomly call, email, text, and notify our customers and educate them as follows, “We recommend that you do not answer your phone if you do not recognize the number. We want you to know that we will never call you and ask you for private or confidential information. If this ever seems to happen, then please let us know immediately. We recommend that you never click on links in emails unless you are absolutely certain that they are safe. We will never send you an email containing a login link, or ask you to click on a link and login to your account. If this ever seems to happen to you, then please let us know immediately.”

结论

The way things stand, banks and other organizations routinely act as if they are scammers. This is training all of us to trust this kind of behavior.

You can protect yourself, as I do, by ensuring that you authenticate these organizations before authenticating yourself with them, and before sharing any private or confidential information with them.

If you feel as strongly as I do about this, you can lobby your bank or other organizations to fix this. Please share this article with them, so that they can understand what they are doing wrong. As a bonus, they will also get a free template — the above policy — that fixes the problem.

If you work for an organization that is handling this incorrectly, or if you are an influential shareholder or board member of such an organization, then please advocate for getting this fixed in your organization.

这个故事是从 黑客中午: the destination for where hackers start their afternoons. Like them on Facebook 这里 然后在下面跟着他们:

下一篇:

I’ve made daily writing my New Years resolution and you should too

Leave A Reply

Your email address will not be published.