¿Cuál es el mecanismo para esta suplantación de usuario?

Navega tus respuestas
0

Estoy tratando de entender cómo podría haberse producido esta suplantación de usuario. Aquí está el escenario:

Nuestro controlador recibió una llamada de nuestro banco esta mañana sobre una solicitud de transferencia bancaria sospechosa. Después de algunos pasos con el controlador y con el banco, hemos establecido que esto es lo que sucedió:

  1. Alguien envió un correo electrónico al banco solicitando una transferencia bancaria utilizando un antiguo dominio nuestro: [email protected]. Este es un dominio antiguo que solíamos usar para el correo electrónico y que aún poseemos. El servicio de correo electrónico aún está configurado para este dominio, sin embargo, todas las direcciones de correo electrónico han sido reemplazadas por alias que reenvían el correo electrónico a las direcciones en nuestro nuevo dominio.

  2. El banco respondió con instrucciones & un formulario para completar.

  3. El malo envió el formulario, completado y firmado, desde una dirección de hotmail. Es posible que el banco también haya hablado con el malo, eso no lo tengo claro (ya que recibo la información de segunda mano).

  4. El banco nos llamó (a nuestro número de teléfono registrado) para confirmar la transacción.

La pregunta que tengo es la siguiente: ¿cómo recibió la persona mala el correo electrónico que envió el banco? Hemos revisado los registros de nuestros sistemas de correo electrónico (antiguos y nuevos) y no hay Visitas registradas desde cualquier dirección IP inusual.

Creo que fue un simple encabezado de "respuesta a" en el correo electrónico original, y la persona del banco no se dio cuenta de que la respuesta se estaba enviando a un correo electrónico diferente. Pero ¿no debería el banco tener algo en su lugar para alertar al usuario si la dirección de "respuesta a" es diferente de la dirección "de"?

Mi compañero de trabajo cree que la única otra posibilidad es que el registro de DNS del banco se piratee para redirigir el correo electrónico saliente. Me parece muy improbable. ¿Es posible que el registro DNS del banco haya sido pirateado?

Finalmente, ¿existen otras formas para que esto funcione?

    
pregunta Kryten 28.05.2014 - 22:22
fuente

1 respuesta

3

Vaya siempre con la opción más sencilla.

Es casi seguro que se trataba de un correo electrónico falsificado con una respuesta legítima (temporal). No hace falta nada más complejo. El personal del banco usa las mismas herramientas que todos los demás para los contactos de los clientes de front-end. ¿Comprueba las direcciones de respuesta? No, ni yo ni amp; ni el banco tampoco. En su lugar, confían en sus procesos anidados para mitigar el riesgo, que funcionó, por lo que no hay problema. Al menos en lo que concierne al banco, bloquearon el fraude y eso es todo lo que necesitan hacer.

Si bien el banco pudo haber estado sujeto a un ataque de envenenamiento de DNS, es poco probable y demasiado complejo y costoso para que valga la pena hacerlo por tan poco rendimiento.

    
respondido por el Julian Knight 29.05.2014 - 22:39
fuente

Lea otras preguntas en las etiquetas

Forma de descodificar una carga útil codificada [cerrado] ¿Herramientas para probar la dureza total de una instalación de Unix? [cerrado]