¿No es la BBC extremadamente irresponsable al describir cómo autenticar un correo electrónico relacionado con una cuenta?

Navega tus respuestas
86

En esta página web , la BBC dice:

  

Recibí un correo electrónico de "Cambios en su cuenta de la BBC" que dice ser de la BBC. ¿Es este un correo electrónico genuino?

     

A finales de septiembre de 2016, actualizamos nuestro sistema de inicio de sesión "BBC iD" a "Cuenta de BBC", y como resultado tuvimos que cerrar la sesión de "BBC iD" para todos.

     

Si una dirección de correo electrónico se registró anteriormente en una cuenta de 'BBC iD', hemos estado enviando correos electrónicos a estas direcciones de correo electrónico (desde '[email protected]') informando a los usuarios que los hemos firmado fuera de su cuenta y pidiéndoles que vuelvan a iniciar sesión.

     

Estos son correos electrónicos genuinos de la BBC y no correos electrónicos de phishing o spam (a continuación se muestra una captura de pantalla del contenido del correo electrónico).

... y eso es todo.

Descubrí esto en un hilo de comentarios de Facebook, donde la página web anterior se presentó como "prueba" de que un correo electrónico inesperado era genuino y no un phish.

El correo electrónico contiene un enlace para "iniciar sesión": este enlace requerirá que los usuarios ingresen sus credenciales, por definición (debido a la razón para enviar el correo electrónico en primer lugar).

¿No es todo esto increíblemente irresponsable? ¿No está la BBC malinterpretando gravemente a su audiencia? El campo De de un correo electrónico nunca ha estado cerca de la prueba de la identidad del remitente, y proporcionar una captura de pantalla del contenido genuino facilita la reproducción y estafa de los estafadores.

¿O me falta algo?

    
pregunta Lightness Races in Orbit 12.11.2016 - 19:35
fuente

1 respuesta

86

Muy pueden ocurrir cosas peligrosas aquí, de hecho. Sería ridículamente fácil para un estafador engañar a los usuarios.

Una migración es una excusa que muchos phishers ya usan:

  

Hubo un problema con xyz en nuestra base de datos de usuarios [...] simplemente "inicie sesión" o no estará   capaz de utilizar nuestro servicio.

Así que la razón legítima

  

hemos actualizado nuestro sistema de inicio de sesión "BBC iD" a "Cuenta de BBC"

se alinea perfectamente con estas actividades infames. Los spammers podrían incluso poner una "prueba" con el enlace al sitio web. Los usuarios ven que el diseño del correo electrónico es el mismo, piense oh, esto es legítimo , haga clic en iniciar sesión y envíe las credenciales a los atacantes.

Por lo que sé, tener acceso a una cuenta de la BBC no es una gran amenaza. Sin embargo, para aquellos usuarios que tienen la misma contraseña en todos los sitios (y no hay verificación en dos pasos), entonces tiene una manera fácil de acceder al correo electrónico, cuentas bancarias y similares.

La BBC dejó caer la bola hard . Me pondré en contacto con ellos para solucionar el problema, te animo a que hagas lo mismo.

    
respondido por el Jaime Gallego 12.11.2016 - 20:27
fuente

Lea otras preguntas en las etiquetas

¿Por qué los archivos que no están asignados a un usuario se consideran un riesgo de seguridad? [duplicar] ¿Por qué debería ofrecer HTTP además de HTTPS?