5 октября 2012 г.

Письма службы тех.поддержки 2.0

Лет 10 назад популярным был способ увода пароля через фейковые письма от якобы служб технической поддержки, вроде:
Добрый день, уважаемый пользователь.

В связи с атакой вируса MIR.DOS.X213-1 на сервера нашего сервиса электронной почты, часть данных об абонентах была утеряна.
Пожалуйста для актуализации информации перешлите нам следующие данные:
- адресс электронной почты;
- ФИО;
- год рождения;
- пароль доступа.

С уважением, служба технической поддержки mail.ru.
и многие велись. Потом уже начали предупреждать о том, что служба поддержки данных аутентификационных не запрашивает, да и пользователи пограмотнее стали.

Думаю из этого метода можно еще что-то выжать, если не так очевидно спрашивать.

Например есть сервис А с секретными паролями для восстановления пароля и есть сервис В. Отправляем сообщение от "службы безопасности" в сервис B, в которой просим пользователя в целях повышения безопасности аккаунта ответить на несколько секретных вопросов, один из которых совпадает с вопросами сервиса А.

Вроде ничего секретного и не запрашивается, подозрений особо нет, а доступ (пусть и не надолго, т.к. обнаружат сразу по измененному паролю) получаем.

Комментариев нет:

Отправить комментарий