BBC 在描述如何验证与帐户相关的电子邮件时,是不是非常不负责任?

信息安全 电子邮件 网络钓鱼
2021-08-28 04:39:43

这个网页上,BBC 说:

我收到了一封声称来自 BBC 的“更改您的 BBC 帐户”电子邮件——这是一封真实的电子邮件吗?

2016 年 9 月末,我们将“BBC iD”登录系统升级为“BBC 帐户”,结果我们不得不将所有人从“BBC iD”帐户中注销。

如果某个电子邮件地址之前已针对“BBC iD”帐户注册,我们会向这些电子邮件地址(来自“bbcaccount@e.bbcmail.co.uk”)发送电子邮件,告知用户我们已将他们从他们的帐户中注销。帐户并要求他们重新登录。

这些是来自 BBC 的真实电子邮件,而不是网络钓鱼电子邮件或垃圾邮件(以下是电子邮件内容的屏幕截图)。

……就是这样。

我在 Facebook 评论线程上发现了这一点,上面的网页被作为“证据”,证明意外电子邮件是真实的,而不是网络钓鱼。

该电子邮件包含一个“登录”链接——根据定义,此链接将要求用户输入他们的凭据(由于首先发送电子邮件的原因)。

这一切难道不是难以置信的不负责任吗?BBC不是在严重误导观众吗?电子邮件的“发件人”字段从未接近于证明发件人的身份,提供真实内容的屏幕截图只会让欺诈者更容易复制它并欺骗人们。

还是我错过了什么?

1个回答

确实,这里可能会发生非常危险的事情。对于诈骗者来说,网络钓鱼用户很容易。

迁移是许多网络钓鱼者已经使用的借口:

我们的用户数据库中存在 xyz 问题 [...] 只需“登录”,否则您将无法使用我们的服务。

所以正当的理由

我们将“BBC iD”登录系统升级为“BBC 帐户”

与这些邪恶的活动完全吻合。垃圾邮件发送者甚至可以在网站链接上放置“证据”。用户看到电子邮件布局相同,认为哦,这是合法的,单击登录并将凭据发送给攻击者。

据我所知,访问 BBC 帐户并不是什么大威胁。但是,对于那些在所有站点中具有相同密码(并且没有两步验证)的用户,您可以轻松地访问电子邮件、银行帐户等。

BBC狠狠地丢了球。我会联系他们解决问题,我鼓励你做同样的事情。

其它你可能感兴趣的问题
上一篇为什么其他敏感数据不显示时,密码框总是空白? 下一篇如何保护我的 REST API?