ในบางครั้ง อีเมลด้านการตลาดของหน่วยงานก็อาจหน้าตาดูเหมือนอีเมลหลอกลวง (scam/phishing) เสียจนฝ่ายอื่นๆ ของหน่วยงานเข้าใจว่าเป็นเช่นนั้นจริงๆ
เรื่องนี้เกิดกับกลุ่มธุรกิจโรงแรม Hilton Worldwide โดยลูกค้าที่เป็นสมาชิกสะสมแต้ม HHonors ได้รับอีเมลขอให้ยืนยันข้อมูลในบัญชีว่าถูกต้อง โดยให้ล็อกอินบัญชีตามลิงก์ที่แนบมากับอีเมล เพื่อตรวจสอบข้อมูลที่อยู่และหมายเลขโทรศัพท์ของลูกค้า
ลูกค้ารายหนึ่งเกิดไม่แน่ใจว่านี่คืออีเมล phishing หลอกเอาข้อมูลบัญชีหรือไม่ จึงจับภาพหน้าจอแล้วทวีตไปถาม @HiltonHHonors ซึ่งก็ได้รับคำตอบว่านี่ไม่ใช่อีเมลของบริษัท และขอให้ลูกค้าไม่แชร์ข้อมูลบัญชีให้ใคร
เพียงแต่เคสนี้มันคืออีเมลของ Hilton ของจริง!
Lenny Zeltser ผู้เชี่ยวชาญด้านความปลอดภัย ให้ข้อมูลว่า Hilton ไม่ใช่บริษัทเดียวที่ผิดพลาดในเรื่องนี้ บริษัทใหญ่ๆ อย่างสายการบิน Delta ก็เคยทำแบบบนี้เช่นกัน คำแนะนำของ Zeltser คือองค์กรต้องหันมาใส่ใจเรื่องเนื้อหาอีเมลที่ส่งให้ลูกค้า จะให้ดีควรใช้โพรโทคอล DMARC เพื่อยืนยันว่าส่งจากเซิร์ฟเวอร์ของบริษัทจริง, ไม่ให้ลิงก์เพื่อล็อกอินโดยตรง แต่บอกให้ลูกค้าเข้าเว็บแล้วกดล็อกอินด้วยตัวเอง และควรให้ข้อมูลเชื่อมโยงกับธุรกรรมที่ลูกค้าเคยทำในอดีต เพื่อยืนยันว่าเป็นตัวองค์กรจริงๆ
ที่มา - Zeltser via The Register
Comments
สังเกตุตรงไหนฮะว่าเหมือนพุชชิ่ง
The Last Wizard Of Century.
ถ้ามีปุ่ม Login ในอีเมลล์ผมจะไม่กล้ากดครับ กลัว
oxygen2.me , panithi's blo g
Device: HP Zbook, iPad Pro, iPhone 15PM, iPhone 16+, Nothing Phone 1
ส่วนตัวผมสังเกต 2 ตัวหลักคือ
1. มี link ให้
2. บอกให้รีบทำ
ในเคสนี้มี link ให้ ซึ่งมันอาจจะไปในที่ไม่เหมาะสมได้ครับ
อ่าว ผมอ่าน ฟิชชิ่งมาตลอด 5555 นึกว่าอ่านแบบคล้ายตกปลา
ตกปลาถูกแล้วครับ
https://www.youtube.com/watch?v=4EDzMDEwugo
The word is a neologism created as a homophone of fishing due to the similarity of using a bait in an attempt to catch a victim.
สังเกต ไม่ต้องมีสระอุ ครับ :)
รับงานของบางองค์กรมาครับ บางแห่งกลัวมากขนาดต้องออกเมลปลอมส่งให้พนักงานตัวเองทุกเดือนเพื่อฝึกให้รู้จักระวัง phising.
อีเมลในเครือ Microsoft เอง Outlook ยังจัดให้เป็นอีเมลขยะเลยครับ
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ