Berlin'deki Outfittery şirketi yenilikçi bir konseptle reklam yapıyor: Müşterilere tek tek kıyafetler yerine kendilerine özel hazırlanmış kıyafetler veriliyor. Ancak Aralık ayının başından bu yana kimlik avı girişimleri de kaydediliyor. Bunlar Outfittery'nin resmi alan adlarına işaret ediyor ve görünüşe göre şirketin kendi sistemlerinden geliyor. İpuçları için kişisel bir arama.
Duyurudan sonra devamını okuyun
Noel'e yaklaşırken, dijital gelen kutunuza her türlü haber bülteni ve teklif geliyor: Bir nakliye şirketi, tatillerden önceki siparişler için son teslim tarihlerini belirtmek istiyor, bir çevrimiçi mağaza, sevdikleriniz için hediye fikirleri sunuyor ve üçüncü bir taraf, ödeme ayrıntılarının acilen güncellenmesini talep ediyor. Buraya kadar normal ama bekleyin: Outfittery'nin e-postasında tuhaf bir şeyler var.
Meşru bir kaynaktan gelen şüpheli e-postalar
5 Aralık sabah saat 9.20'de gelen kutuma gelen mesajın düzeni, Outfittery'nin tasarım dilini güçlü bir şekilde anımsatıyor: modaya uygun, uyumlu giyim eşyaları pastel bir arka planda hareket ediyor. İngilizce olarak, ödeme yöntemimle ilgili bir sorun bana (ismimle) bildiriliyor ve mavi renkle işaretlenmiş bir bağlantı aracılığıyla güncelleme yapmam isteniyor. Üyeliğimin devam edebilmesinin tek yolu budur.
Outfittery'den Kimlik Avı E-postası: Ödeme ayrıntılarını acilen değiştirin
Yalnız: Hangi üyelik? Sonuçta bu hizmeti hiç kullanmadım, yalnızca bir kez kıyafet hazırladım ve bu nedenle ödeme detaylarını hiç vermedim. E-posta aynı zamanda Facebook hesabımla ilişkili e-posta adresine de gönderilmişti; gerçek müşteri hesapları için bireysel adresler kullanıyorum.
CRM tarafından yanıltıldınız mı?
Duyurudan sonra devamını okuyun
Mavi düğmenin arkasındaki URL'ye ve ayrıca e-postadaki diğer tüm bağlantılara daha yakından bakın: görebilirsiniz http://lnk.stylist.outfittery.com/ls/click?upn=<lange Zeichenkette>uluslararası faaliyet gösteren şirketlere de verilebilmektedir. İzleme bağlantısına HTTP URL'si üzerinden erişilebilmesi ve dolayısıyla görünüşe göre dünyadaki son şifrelenmemiş web sitelerinden biri olması bir hediyedir. Ancak tıkladığımda kendimi beklenmedik bir yerde buluyorum: önce HTTP bağlantısı bir HTTPS bağlantısına dönüşüyor (kendimi çok daha güvende hissediyorum), sonra da şifreli adrese dönüşüyor https://l00ginse1tuponline.net/marketstorep/ iletildi. Başlangıçta bir kimlik avı sayfası (2 Aralık'ta kayıtlı) vardı, şu anda CloudAccess adlı bir ana bilgisayarın engelleme sayfası.
Dolandırıcılık Tespit Edildi: Barındırıcı, Outfittery kimlik avı sitesini engelledi.
Görünüşe göre suçlular, Outfittery'nin pazarlama e-postaları için izleme bağlantıları oluşturmak amacıyla kullandığı sisteme en azından kısa süreli erişime sahipti. Gerçek hedefini maskeleyen ve ona meşru bir görünüm veren bir bağlantı oluşturdular ve bugün de devam ediyor: Kötü niyetli yönlendirme, e-postadan yaklaşık iki hafta sonra, 18 Aralık'ta çalışmaya devam ediyor.
Peki e-posta nereden geldi? Uzun süreli posta sunucusu emektarı, kaynak görünümünü açmak ve posta başlıklarını incelemek için Ctrl-U tuş kombinasyonunu refleks olarak kullanmak zorunda kaldı. Ve şunu gösteriyorlar: E-posta, Outfittery tarafından meşru bir e-posta kaynağı olarak kabul edilen bir sunucu aracılığıyla gönderildi. Geçerli DKIM başlıkları bunu kanıtlıyor. Ters çözünürlük, DNS girişine karşılık gelir; IP, posta servis sağlayıcısı Twilio'ya (eski adıyla Sendgrid) aittir. Ayrıca e-posta, spam gönderenlerin onlarca yıldır kullandığı basit başlık sahteciliği hilelerine dair hiçbir kanıt ortaya koymuyor.
Kısayollar: Outfittery'nin posta sunucusu kimlik avı e-postasını doğrudan benimkine iletti. Bu, takibi kolaylaştırır.
Analizden sonra netleşiyor: Outfittery'nin teknik platformu aracılığıyla bir e-posta gönderildi. Şirketin resmi alan adına bir bağlantı içerir ancak kimlik avı bağlantısına yönlendirir. Bu bir güvenlik olayının göstergesidir. Geçen hafta bize aynı ifadeleri içeren e-postalar gönderen birçok okuyucu durumu bu şekilde değerlendirdi. Münferit bir vaka göz ardı edilmiş gibi görünüyor, ancak kazanın kaynağı belirsizliğini koruyor. Outfittery'nin veya posta hizmeti sağlayıcısının sistemlerine izinsiz giriş mi oldu? Kişisel verilerin ifşa edilmiş olması mümkün mü?
Ekipman yer altına iniyor
Outfittery'yi kontrol etme zamanı gelmişti. 9 Aralık'ta şirkete her zamanki soruları sordum: Ne yaptı, hangi veriler ele geçirildi ve Outfittery ne gibi karşı önlemler aldı? Şirket, destek ve veri koruma talebime yanıt vermedi. Bir hafta sonra ana şirketin veri koruma görevlisiyle iletişime geçtim ve onun sözde adresini aldım. [email protected]dağıtım devresinde. Bu adres bana anında yanıt verdi: teslim edilemedi mesajıyla.
Geri kalanı için dün, yani 17 Aralık'a kadar bir yanıt talep etmeme rağmen radyo sessizliği vardı. Outfittery kendisini telefonla da tanıtıyor: Yayıncı, veri koruma beyanında belirtilen Berlin telefon numarasından yalnızca telefon desteğinin ne yazık ki durdurulduğuna dair kaydedilmiş bir duyuru duyar. Şirket yakın zamanda el değiştirdi: Mart ayında İspanyol Lookiero şirketinin CEO'su, Berlin şirketinin kurucusu Julia Bösch ile birleşeceğini duyurdu. Bu yılın ağustos ayında Bösch ve menajeri, o zamandan beri İspanyolların elinde olan yönetimden ayrıldı.
Ancak tam olarak ne olduğu hala belirsiz: Okurlarımız da şirketten taleplerine yanıt alamadıklarını belirtiyor. Artık yalnızca Berlin veri koruma görevlisine yönelik bir soruşturma karanlığa ışık tutabilir.
(cku)
Bir yanıt yazın