Моя ловушка спама поймала компанию - насколько правомерен их ответ? [закрыто]

9

У меня есть свой собственный домен (назовем его MyDomain.com), и моя учетная запись электронной почты настроена таким образом, что все письма, отправляемые на @ MyDomain.com, попадают в один и тот же почтовый ящик.

Итак, придумайте слово, поместите его перед @ MyDomain.com, пришлите мне письмо, и я его получу.

Когда я регистрируюсь на SomeService.com, адрес электронной почты, который я им сообщу, будет «someservice@MyDomain.com».

Это означает, что если я получу спам по электронной почте «To» someservice@MyDomain.com, я смогу идентифицировать «someservice» как скомпрометировавший мой адрес электронной почты ... Или так я думал.

Когда я поймал компанию (аптеку, в которой я купил затычки для ушей), то, насколько я был обеспокоен, с поличным, я разыскал их и получил следующий ответ:

Я один из веб-мастеров коммерческого портала [SomeService]. Мы очень серьезно относимся к безопасности пользовательских данных, так как от этого зависит наш бизнес.

Мы были сертифицированы PCI двумя независимыми агентствами, которые регулярно сканируют наши системы на наличие уязвимостей.

Электронные письма могут просачиваться на нескольких уровнях, включая компьютер пользователя или в пути, из-за сетевых перехватчиков, которые все чаще используются профессиональными спамерами.

Мы не только храним наши системы за брандмауэром, но и шифруем пользовательские данные, чтобы обеспечить конфиденциальность даже от нашего собственного персонала.

Я повторяю, что это не то, что мы потворствуем, и мы проведем внутреннее расследование, чтобы убедиться, что наши системы чисты. С наилучшими пожеланиями [администратор]

Что вы, ребята, делаете из этого? Некоторые вопросы я задаю

  • Что такое сертификация PCI, и могу ли я принять это всерьез / заслуживает доверия?
  • Достоверны ли утверждения о «утечке электронной почты» и «перехвате сети»?

И никаких мыслей в целом. Скажем так, я учусь.

Спасибо Джеймс

Джеймс Уайзман
источник
Как вы имеете в виду, что вы можете идентифицировать «someservice» как скомпрометировавший ваш адрес электронной почты? Ведете ли вы учет каждого используемого вами адреса электронной почты "someservice @"?
Коннор W
Да. Сейчас мне около 20 лет. И даже если бы я этого не сделал, электронное письмо, подобное этому, потрясло бы мою память. :-)
Джеймс Уайзман
2
@ Коннор Конечно, запись находится в части "someservice". Можно было бы зарегистрироваться в «stackoverflow» с адресом «stackoverflow@mydomain.com» и использовать этот адрес электронной почты ни для чего другого. Вопрос в том, получает ли спам адрес «stackoverflow@mydomain.com», откуда спамер получил адрес, если не от «stackoverflow»?
Нил
2
Некоторые спамеры ищут зарегистрированные домены, а затем пытаются составить адреса из словарей, чтобы был другой способ получить спам. Тем не менее, если бы это было так, было бы завистью такая установка, как описанная операция.
AndrejaKo
1
Я делаю это тоже, и это прекрасно работает. У меня был только один случай, когда третье лицо активно давало адрес спамерам. Очевидно, это было результатом отправки бланков скидок в популярный магазин электроники. Этот адрес сейчас заблокирован.
Крис Нава

Ответы:

7

Сертификация PCI, вероятно, относится к Совету по стандартам безопасности PCI , который в основном касается безопасности данных платежных приложений, а не безопасности электронной почты. Короче говоря: никакого отношения к вашему запросу.

Что касается снифферов в вашей локальной сети, я действительно не думаю, что кто-то сталкивался с проблемами при подключении к вашему дому, чтобы получить ваши адреса электронной почты. Итак, еще раз: не связано с вашим вопросом.

Брандмауэр не является окончательной защитой, поскольку он может иметь отключенные дыры в безопасности, и в любом случае он передает электронные письма, которые могут убедить сотрудников установить шпионское ПО позади него во внутренней сети, которая затем становится широко открытой для хакера.

Шифрование пользовательских данных - это хорошо, но вирус всегда может перехватить электронное письмо до того, как оно будет закодировано.

Вывод: это могучий бла-бла, чья цель - скрыть, что парень не имеет ни малейшего понятия о безопасности. Не верьте им, они могут быть полны вирусов и все еще наивно уверены в своем брандмауэре.

Для защиты вашей электронной почты я предлагаю взглянуть на e4ward . У него есть бесплатные или платные аккаунты (всего 10 долларов в год), и он позволяет намного лучше контролировать вашу электронную почту, поскольку позволяет вам отключать таких парней.

harrymc
источник
3

Соответствие PCI - это стандарт безопасности данных, используемый теми, кто обрабатывает данные кредитных карт. Конечно, можно собирать адреса электронной почты разными способами. Вопрос в том, как часто это делается по проводам. В ответе не указывается, продают ли они свои адреса электронной почты. Вы должны быть в состоянии получить их политику конфиденциальности на их веб-сайте или по запросу, и это должно покрыть эту проблему. Кроме того, для инсайдера может оказаться возможным собирать адреса (я не знаю, как PCI справляется с этой возможностью).

Деннис Уильямсон
источник
4
PCI не имеет ничего общего с безопасностью электронной почты. До начала этого года я работал менеджером в POS-поставщике, который занимался множеством проблем с PCI, и я (к сожалению для меня) довольно внимательно прочитал документы и стандарты.
JNK
Я должен был также отметить, что аптеки в США подчиняются правилам конфиденциальности данных, которые не имеют ничего общего с PCI. Я знаю, что они применяются к рецептам, но я не знаю, применимы ли они к другим деловым отношениям.
Деннис Уильямсон
3

Как говорилось в других ответах, PCI - это безопасность сервера / службы, а не личные данные.

Я думаю, что наиболее вероятный ответ - вам просто не повезло.

Я также запускаю адрес электронной почты на своем сервере и получаю тысячи спама каждый день - эти люди просто угадывают комбинации адресов. В этом нет ничего особенного, и чем дольше вы владеете доменом, тем больше спама будет на вашем пути.

Хотя, как говорится, вы не можете исключить, что это место дало ваш адрес электронной почты, но если это большое место, вы должны спросить себя, действительно ли это в их интересах.

Если это подлинный массовый нежелательный спам, например, электронное письмо с одним вложением или реклама Viagra, маловероятно, что он поступил из проданного списка.

Уильям Хилсум
источник
Приветствия Уил. Я владею доменом уже 8 лет и получаю большое количество спама, практически все из которого перенаправлено в папку со спамом. Я на самом деле рад, что метод, который я использовал, сработал. Это не большое место, и я не удивлюсь, если это сделает его хорошим дополнительным источником дохода.
Джеймс Уайзман