พนักงานเซ็งไปตามๆ กัน เมื่อ Copper Courier สำนักข่าวท้องถิ่นในแอริโซน่ารายงานว่า GoDaddy บริการรับจดโดเมนและโฮสติ้ง ส่งอีเมลถึงพนักงาน ระบุว่าจะได้รับเงินพิเศษช่วงวันหยุดอีก 650 ดอลลาร์ แต่อีเมลนั้นเป็น phishing เมื่อกดเข้าไปแล้วจะแสดงข้อความว่าเราสอบตกกับการทดสอบ phishing ต้องเอางานไปทำเพิ่ม
เนื้อหาในอีเมลเป็นการแสดงความขอบคุณ และให้สัญญาว่าจะให้โบนัสเพิ่ม โดยต้องเขียนเมลตอบกลับไปโดยระบุข้อมูลส่วนตัวอย่างพิกัดสถานที่ รายละเอียดสำหรับการชำระเงิน
โฆษกของ GoDaddy กล่าวว่า บริษัทขอโทษพนักงาน GoDaddy ซึ่งบริษัทให้ความสำคัญกับความปลอดภัยของแพลตฟอร์มเป็นอย่างมาก เราเข้าใจดีว่าพนักงานบางคนไม่พอใจกับความพยายามเพื่อความปลอดภัยนี้ ครั้งต่อไปจะทดสอบความปลอดภัยโดยคิคถึงใจพนักงานกว่านี้
ที่มา - Engadget
Comments
ถ้าไม่หลอกด้วยเรื่องโบนัส ในสถานการณ์ที่ (อาจจะ?) ไม่มีโบนัส ก็น่าจะไม่โดนโกรธขนาดนี้มั้ง
คือถ้าหลอกด้วยเรื่องอื่นๆ น่าจะพอเอาตัวรอดได้
ถ้าผมเป็นบริษัทที่ปรึกษา ผมก็จะออกแบบเนื้อหาให้มัน่น่ากดที่สุดนี่ล่ะครับ ยิ่งบริษัทน่าจะไม่มีโบนัส ถ้าที่ปรึกษารู้คนร้ายก็รู้เหมือนกัน
lewcpe.com, @wasonliw
ประเด็นมันอยู่ที่เรื่องความรู้สึกน่ะครับ
คือเข้าใจว่าถ้าคนร้ายก็น่าจะเล่นเรื่องนี้ แต่พอมันเฉลยว่า องค์กรเล่นเอง แถมมาเล่นเรื่องนี้ ความรู้สึกของ พนง ก็คง failed บอกไม่ถูก
ถ้าเป็นคนนอกทำ ยัง failed น้อยกว่า
บริษัทผมก็ทำแบบนี้ คือมันก็ต้องแบบนี้ปะครับ เป็นการฝึกพนักงาน be vigilant อย่าโลภ ไม่งั้นก็รอวันเป็นแบบองค์กรตามข่าวต่างๆที่พนักงานโดนหลอก
อีกอย่าง...ถ้าลองคิดดู โบนัสเค้าส่งเมลล์บอกกันเหรอ
องค์กรควรทำยังไงครับ?
องกรณ์จ้างบริษัทภายนอก แล้วให้เปิดเผยโดยบริษัทข้านอกแต่ไม่ต้องชี้แจงว่ามากบริษัท
คราวนี้บริษัทเองเครดิตน่ะจะตกเพราะพนักงานสอบตก
ผมเชื่อว่าพนักงานเองเข้าใจเหตุผลดีมากกว่าคนในบล็อกนันด้วยซ้ำครับ
พนักงานที่รู้ตัวว่าพลาดควรปรับปรุง ไม่ใช่งอแงว่าบริษัทเล่นเกมจิตวิทยานะครับ
โจรไม่มีวันหยุด คนร้ายไม่เลือกวิธีการ บ.เสียหายขึ้นมาผลเสียไม่พ้นไปตกกับพนักงานอยู่ดี
จริงๆ ต้องดูเมล์ด้วย ว่าถูกส่งมาจากใคร โดเมนไหน เนียนขนาดไหน ... ถ้าใช้เมล์คอปอรเรทที่ใช้ประจำ ยังไงๆ ก็รอดยากครับ อย่างบ.ผมเองก็มีคล้ายๆ แบบนี้ แต่เนื้อหาคือผู้บริหารอยากคุยเรื่องแคเรียร์พาธ ซึ่งคุยกันทุก 3 เดือนอยู่แล้ว เลยดูว่าปกติ แต่เมล์ที่ใช้ส่งเป็นเมล์แปลกๆ ฝั่งเดฟรอดเกือบหมด ฝั่งการตลาดและเซลล์โดนเกือบหมดครับ
ปล. บ.ผมมีการเตือนเรื่องความปลอดภัยเป็นประจำทุกอาทิตย์ด้วย ก็ต้องไปดูว่าโกแดดดี้เค้าให้ความรู้พนักงานดีขนาดไหน
ส่งจากเมล์ระบบตัวเองได้เปล่า่เนี่ย
จะให > จะให้
Security 2-1 user(ติดดีบัพโบนัสไม่มีไปอีก555)
2=Fail Awareness, Fail Knowledge
1=ให้ปลอบใจ555
เมล์พวกนี้ปกติก็เล่นกับใจแบบนี้แหละครับ
"คุณเป็นผู้โชคดี"
"เราส่งorderให้คุณ"
"เราอยากทำธุระกิจกับคุณ"
ถ้าเกิดมีphishingของจริงส่งมาแบบนี้จะเป็นยังไง
ต้องดูว่า link หรือ mail address ที่ต้องตอบกลับเป็นอะไร ถ้าเป็น address บริษัทก็สมควรโดนโกรธ แต่ถ้าเป็น address ปลอมอันนี้ถือว่าพนักงานสอบตกจริง
ผมว่า ผมเคยเจอการทดสอบ Phishing แนวนี้นะ แต่พอดีว่าหัวข้อหลอกด้วยโบนัสมันอยู่ในเทรนนิ่งด้วยก็เลยรอด
แต่กลายเป็นว่าคนไม่เชื่อของจริงไปด้วย 555
ตามนั้นแหละฮะ phishing ต้องแบบนี้
คิดว่าแบบนี้ก็ถูกแล้วล่ะ เพียงแต่สิ่งที่เอามาล่อมันทำให้มีความหวังมากเกินไป ถ้าลดระดับลงหน่อยเป็น ได้ลาพักร้อนหรืออะไรประมาณนั้น กระแสด้านลบน่าจะไม่แรงขนาดนั้น
ดีแล้วครับ ดีกว่าบริษัทยับเพราะโดนของจริง
ได้ bonus คืองานเพิ่มไงครับ
ถ้าเป็นผม... คิดว่าไม่รอดเหมือนกันครับ 5555
มันขึ้นกับว่า หัวจดหมาย และเนื้อหาจดหมาย มีความเป็น Official ขนาดไหน และ Source Address ด้วย คือมันมีลักษณะของ Phishing อยู่อ่ะ
ถ้า Source เป็น Corporate Address มาด้วย Corporate Theme อันนี้ผมถือว่า Fail ในการเทสเลยนะ เพราะว่าแสดงว่าการออกแบบระบบเมล์ ไม่ได้ป้องกันการส่งต้นทางหลอกเลย และยังมีเรื่องของลักษณะจดหมายรั่วไหลด้วย
แล้วมันจะกระทบกับความน่าเชื่อถือของ การส่งเมล์ด้วยหัวบริษัทด้วยนะ เพราะหลังจากนั้น คุณจะยืนยันความถูกต้องของ corp mail ไม่ได้แล้ว
แต่ถ้าหัวเมล์เป็นคนนอก อันนั้นก็อีกเรื่องนึง
จริง เห็นด้วยตามนี้เบย
เห็นด้วยเหมือนกันครับ ถ้าขนาด Source Address โดนเอาไปใช้ได้นี่ก็เละแล้วครับ
ผมพยายามหาข้อมูลจนเจอตัวอย่างจาก coppercourier
sender เป็น Happyholiday@Godaddy.com อันนี้ผมมองว่า ไม่ใช่เรื่องปกติที่จะมี sender แบบนี้ส่งมาหา (แต่ก็ไม่รู้ว่าปกติแล้ว เขามีเมลที่มี sender แปลก ๆ แบบนี้ส่งมาหากันหรือเปล่านะ)
แต่อย่างที่คุณว่า ถ้าเมลมันใช้ต้นทางหลอก แล้วผ่านมาได้เนี่ย มันก็ fail ตั้งแต่เริ่มจริง ๆ นั่นแหละ
Jusci - Google Plus - Twitter