I morse fick jag ett samtal från en användare på ett fjärrkontor som har fått ett e-postmeddelande som påstås innehålla ett ”zix säkert e-post ”meddelande. Den leder honom till en sida http://zixmessagecenter.com/s/e som har plats för honom att ange sitt google-postkonto och lösenord i ordning för att dekryptera e-postmeddelandet.
Verkligen?!?
Jag undersökte (bland annat här) och det verkar som att zix är ett legitimt företag som tillhandahåller säker e-post, men jag har inget sätt att skilja mellan vad som är deras verkliga webbplatser och vad som är nätfiske. Och ”zixmessagecenter.com” är verkligen inte ”t” zixcorp.com ”så jag är inte säker på att det här verkligen är deras webbplats eller någon oseriös domän som har konstverk av några legitima zix-sidor laddade ner och läggs in på deras sida.
Dessutom tyder några påminnelser och länkar till några saker från 2014 att google vid något tillfälle integrerade zix i google mail, så skulle han helt enkelt ha sett ett legit zix-meddelande i klartext i sin google-post?
Så hur vet jag om det här är nätfiske eller inte?
Kommentarer
- När jag går till webbplatsen gör det inte be om mina Google-uppgifter. Är du säker på att du tolkar webbplatsen korrekt?
- Zix verkar också kräva att du redan har skapat ett konto hos dem. Så, en användare bestämmer ett phishing-försök baserat på deras förväntningar på legitim domän, precis som alla andra webbtjänster.
- Ah, användaren och jag missförstod båda användargränssnittet. Genom att klicka på Google-länken kom du till en brevlåda utan något lösenord.
- Var inte ' t zix något lurat alternativ till WinRar för länge sedan?
Svar
I dessa dagar är det enkelt att skapa ett falskt e-postmeddelande som hävdar att det är från zixcorp med nedgrävda länkar till tredje parts webbplatser som har nyttolast för skadlig programvara som väntar på att komma åt och distribueras. Det är fantastiskt för mig att det fortfarande finns företag som använder ett förmodligen säkert meddelandesystem som så lätt kan komprometteras.
Men jag är ledsen att rapportera att det är. Min egen bank skickar uppenbarligen säker kommunikation via ZixCorp i form av ett grovt formulärbrev med länkar som användaren uppenbarligen måste klicka för att få det ”säkra meddelandet” från sin bank. Fantastiskt nog att dessa e-postmeddelanden inte ens ha en digital signatur!
Så, den som vill få tillgång till en enorm skattkista av användarnamn och lösenord måste bara skapa ett formulärbrev som hävdar att ha Vi har säkra meddelanden för läsaren med en lite fettknapp som påstås vara en länk till zixcorp och skräppost ut till världen. Då går du, jobbet gjort. Tsk tsk tsk och skam för alla finansinstitut som förlitar sig på en sådan tunn tjänst.
Svar
Den här länken är legit. Användargränssnittet är förmodligen ganska rimligt ur en person som förstår produkten och vad den gör och hur den fungerar. För någon som inte vet något om företaget eller vad det här är, utlöser det en vem är du och varför ber du om min e-postadress?!?!?!? reaktion. Det är ett mycket viktigt problem i användargränssnittsdesignen – eftersom alla som programmerar och testar användargränssnittet är väl förtrogna med produkten, hur testar du webbplatsens utseende för en okänd användare?
Kommentarer
- Jag håller med om att UI-designen är hemsk och förvirrande.
- kanske är länken verkligen från Zixcorp, men är Zixcorp legit? de verkar låtsas erbjuda säker e-post, men i många fall har ' inte någon form av säkerhet (ja, kanske tillgänglighet, men ingen sekretess / äkthet). Jag känner att PAC ' s svar kan vara lite närmare här …
- Zix Corp kan lätt hittas online. Det är inte lätt att fastställa att zixmessagecenter.com är deras giltiga webbadress. Att få ett meddelande från " zixmessagecenter.com " utan varning är riktigt dåligt av avsändaren. Avsändaren bör informera i god tid om att förvänta sig kommunikation från " zixmessagecenter.com ", och de bör specifikt påpeka exakt stavning av domän. Nätfiske har blivit mycket sofistikerat, och om du var ett mål, med en liknande domän, till exempel " zixmessagescenter.com ", kan tillåta ett utformat e-postmeddelande för att samla in den information som den dåliga skådespelaren önskar.