Фишинг атака пак пробва да краде профили от ePay
Фишинг офанзивите през електронна поща към този момент са всекидневие и макар съществуването на филтри, някои „ писма “ съумяват да се промъкнат и невнимателни консуматори могат да се заразят, кликвайки върху сякаш законен линк.
Поредният опит е писмо, изпратено сякаш от системата на ePay.bg, което уведомява потребителя, че “техническите услуги на … правят планувано надстройване на софтуера. Искрено ви молим да посетите следната връзка, с цел да започнете процедурата за удостоверение на данните за клиентите. За да започнете, апелирам, кликнете върху връзката по-долу” като на мястото на точките би трябвало да стои името на ePay, което е прикачено като лого при започване на писмото.
Така наподобява подправеното писмо, изпратено сякаш от ePay.bg
Освен очевидния проблем със смисловото нареждане на изреченията, адресът, от който се изпраща предизвестието е много чудноват със швейцарски домейн. По-умели хакери биха се пробвали да го маскират като идващо от админ на уеб страницата или отдел техническа поддръжка.
От ePay оповестиха, че са уведомили своя отдел „ сигурност на системата “, като са взети всички вероятни ограничения. „ Има известие в ePay.bg в раздел” Какво ново?”, също и в профила на всеки клиент има предизвестие. Всеки препратен имейл от клиент с фишинг се ревизира и изпраща до компанията, която хоства имейлите да блокират профила, от който излиза фишинга “, допълват от компанията.
От ePay изясняват, че тези електронни писма се изпращат на инцидентен принцип и не е наложително получателя да има профил в ePay.bg. От компанията припомнят, че не би трябвало да се отварят сходни линкове, които изискват въвеждане на потребителско име /парола за вход и/или данни за банкова карта. Ако въпреки всичко потребителят е въвел данните на банковата си карта, би трябвало неотложно да се свърже с картовия отдел на обслужващата банка и да я блокира.
От компанията за следващ път изясняват, че данните за вход в системата се вкарват единствено в предпазен HTTPS уебсайт, започващ с https://www.epay.bg. След зареждането в браузъра се появява зелен катанец, който дава информация за документа на уеб страницата, който „ наложително би трябвало да „ е публикуван на “/Issued To/ www.epay.bg. “
За отбрана на заплащанията в уеб страницата компанията от дълго време вкара редица спомагателни механизми за сигурност, в това число еднократна ключова дума dpass, която е годна 30 секунди. За задачата потребителят би трябвало да конфигурира на смарт телефона си мобилно приложение от вида на ePay.bg Mobile, налично за iOS и Android. Другата безвъзмездна услуга за отбрана е изпращане на краткотраен SMS код (безплатен за потребителя), който е годен 30 минути. Двете услуги обаче не работят по едно и също време, в един миг може да е дейна единствено една от двете. Включването на едната услуга изисква деактивиране на другата, изясняват от ePay.bg.
Клиентите на уеб страницата могат да защитят заплащанията си и посредством регистрация на личен дипломиран електронен автограф (КЕП) в профила си.
Поредният опит е писмо, изпратено сякаш от системата на ePay.bg, което уведомява потребителя, че “техническите услуги на … правят планувано надстройване на софтуера. Искрено ви молим да посетите следната връзка, с цел да започнете процедурата за удостоверение на данните за клиентите. За да започнете, апелирам, кликнете върху връзката по-долу” като на мястото на точките би трябвало да стои името на ePay, което е прикачено като лого при започване на писмото.
Така наподобява подправеното писмо, изпратено сякаш от ePay.bg
Освен очевидния проблем със смисловото нареждане на изреченията, адресът, от който се изпраща предизвестието е много чудноват със швейцарски домейн. По-умели хакери биха се пробвали да го маскират като идващо от админ на уеб страницата или отдел техническа поддръжка.
От ePay оповестиха, че са уведомили своя отдел „ сигурност на системата “, като са взети всички вероятни ограничения. „ Има известие в ePay.bg в раздел” Какво ново?”, също и в профила на всеки клиент има предизвестие. Всеки препратен имейл от клиент с фишинг се ревизира и изпраща до компанията, която хоства имейлите да блокират профила, от който излиза фишинга “, допълват от компанията.
От ePay изясняват, че тези електронни писма се изпращат на инцидентен принцип и не е наложително получателя да има профил в ePay.bg. От компанията припомнят, че не би трябвало да се отварят сходни линкове, които изискват въвеждане на потребителско име /парола за вход и/или данни за банкова карта. Ако въпреки всичко потребителят е въвел данните на банковата си карта, би трябвало неотложно да се свърже с картовия отдел на обслужващата банка и да я блокира.
От компанията за следващ път изясняват, че данните за вход в системата се вкарват единствено в предпазен HTTPS уебсайт, започващ с https://www.epay.bg. След зареждането в браузъра се появява зелен катанец, който дава информация за документа на уеб страницата, който „ наложително би трябвало да „ е публикуван на “/Issued To/ www.epay.bg. “
За отбрана на заплащанията в уеб страницата компанията от дълго време вкара редица спомагателни механизми за сигурност, в това число еднократна ключова дума dpass, която е годна 30 секунди. За задачата потребителят би трябвало да конфигурира на смарт телефона си мобилно приложение от вида на ePay.bg Mobile, налично за iOS и Android. Другата безвъзмездна услуга за отбрана е изпращане на краткотраен SMS код (безплатен за потребителя), който е годен 30 минути. Двете услуги обаче не работят по едно и също време, в един миг може да е дейна единствено една от двете. Включването на едната услуга изисква деактивиране на другата, изясняват от ePay.bg.
Клиентите на уеб страницата могат да защитят заплащанията си и посредством регистрация на личен дипломиран електронен автограф (КЕП) в профила си.
Източник: computerworld.bg
КОМЕНТАРИ