อยากทำให้แผนก IT ของคุณหัวร้อนไหม? ลิงก์ของคุณยังดูไม่อันตรายพอหรือเปล่า?

ความเห็นใน Hacker News

• ฮ่า! ฉันก็คิดคล้าย ๆ กันเลย ที่บริษัทเรามีอะไรบางอย่างที่ทำให้แม้แต่ลิงก์จริงก็ดูเหมือนลิงก์อันตราย น่าจะเรียกว่า Microsoft Safelink จุดประสงค์คือเอาลิงก์ทุกอันในกล่องจดหมาย Outlook ไปซ่อนไว้ จนตอนคลิกไม่รู้เลยว่านี่คือลิงก์อะไร สุดท้ายก็เลยมีมุกว่า ไม่มีใครถูกไล่ออกเพราะเลือกซื้อ Microsoft

  • เมื่อไม่กี่เดือนก่อนเคยมีช่วงที่เซิร์ฟเวอร์ Microsoft ล่มหรือช้ามาก แล้วตอนนั้นลิงก์ทั้งหมดในอีเมลก็ใช้ไม่ได้
  • อันนี้โดนใจมาก ProofPoint ก็กรองลิงก์คล้าย ๆ กัน

• แบบนี้ก็ไม่เลวนะ
  https://carnalflicks.online/var/lib/systemd/coredump/logging...

  • พูดตามตรง ฉันคาดหวังจะเห็นอะไรแบบนี้[1] นะ สงสัยบน HN จะไม่ค่อยมีแบบนี้
    1: https://pc-helper.xyz/scanner-snatcher/session-snatcher/cred...
  • ไม่รู้ทำไม แต่การกดลิงก์แบบนี้ตอนที่มันอยู่บนสุดของหน้าให้ความรู้สึกสะใจแปลก ๆ
  • มันดูน่าสงสัยยังไงไม่รู้ NoScript เด้งคำเตือน XSS ให้ด้วย <_<

• อันนี้เหมาะกับตอนทำ infinite loop
  https://gonephishing.me/shell-jacker/shell-jacker/worm_launc...

• บทสนทนาทั้งหมดนี้ทำให้นึกถึงเรื่องขำ ๆ ที่ฉันเคยเจอในบริษัทเก่า บริษัทนั้นย้ำกับพนักงานมากว่าให้เอาเมาส์ไปชี้ที่ลิงก์เพื่อตรวจว่ามันเป็นลิงก์เว็บไซต์ทางการจริงไหม แต่คนก็ยังโดนลิงก์ฟิชชิงหลอกกันอยู่ดี สุดท้ายเลยเอาอุปกรณ์ของ Trend Micro เข้ามาสแกนอีเมล และเขียนลิงก์ทุกอันใหม่ให้ผ่านบริการสแกน URL ของตัวเอง ทำให้ทุกลิงก์ดูเป็น “https://ca-1234.check.trendmicro.com/?url=...;” ไปหมด หลังจากนั้นในบริษัทก็แทบคลิกลิงก์ไหนในอีเมลไม่ได้เลย แน่นอนว่าการเขียน URL ใหม่ทำให้ลิงก์จำนวนมากใช้ไม่ได้ พอมีอีเมลแจ้ง incident ตอนเช้า ฉันต้องเปิดแล็ปท็อป ล็อกอินเข้า Pagerduty หรือ Sentry เอง แล้วไปค้นรายละเอียดเหตุการณ์จากในอีเมลอีกที

  • ฉันเคยเจอประสบการณ์ตลกในทางกลับกัน ตอนทำงานที่ Global MegaCorp บริษัทจะส่งอีเมลฟิชชิงปลอมมาเป็นระยะเพื่อฝึกพนักงาน ถ้าคลิกลิงก์ก็จะมีการบันทึกไว้ และถ้าพลาดสองสามครั้งก็ต้องกลับไปอบรมใหม่ สุดท้ายทุกคนก็เรียนรู้ว่าอย่าคลิกลิงก์ในอีเมล ซึ่งก็ได้ผลดีนะ แต่พอถึงเวลาส่งแบบสำรวจประจำปีให้พนักงานทั้งบริษัท กลับไม่มีใครกดลิงก์เลย จนต้องส่งอีเมลตามมาอีกฉบับว่า "อีเมลแบบสำรวจฉบับนี้เป็นของจริง คลิกได้"
  • ช่วงหลัง ๆ ฉันได้รับอีเมลถึงบัญชี AWS ส่วนตัวว่า ต่อไปใบแจ้งหนี้จะถูกส่งมาจาก "no-reply@tax-and-invoicing.us-east-1.amazonaws.com" และให้เปลี่ยนกฎประมวลผลใบแจ้งหนี้อัตโนมัติมาใช้ที่อยู่นี้ ซึ่งมันช่างโง่มาก ถ้าเห็นอีเมลจากผู้ส่งแบบนั้น ฉันก็คงคิดว่าเป็นสแปมหรือฟิชชิงทันทีเหมือนกัน สุดท้าย AWS ก็ยกเลิกนโยบายนี้ไป อ้างอิงจากปกติ อีเมลมักจะมาจากที่อยู่ที่ดูเป็นทางการกว่า เช่น "no-reply-aws@amazon.com" หรือ "aws-marketing-email-replies@amazon.com"

• คุณอาจรายงานอีเมลบังคับด้าน compliance ว่าเป็นความพยายามฟิชชิงไปเลยก็ได้ ฉันเคยทำงานในบริษัทยักษ์ใหญ่หลายแห่ง และอีเมลยืนยันความปลอดภัย IT ประจำปีมักหน้าตาเหมือนอีเมลอันตรายมาก: ฟอร์แมตประหลาด, ต้นทางเป็น external url น่าสงสัย, ขอให้รีบดำเนินการ, ขู่ลงโทษถ้าไม่ทำ ทั้งที่ใช้เงินไปกับการอบรมมากขนาดนี้ แต่สุดท้ายกลับทำให้ผู้ใช้ชาชินกับภัยคุกคาม

  • ถ้ามี "X-PHISH" อยู่ในอีเมลเฮดเดอร์ ก็น่าจะเพิ่มเงื่อนไขเข้าไปได้ด้วย

• ฉันคิดว่าถ้าจะให้คนเข้าเว็บ น่าจะต้องใช้ URL ที่ดูอันตรายกว่านี้อีก
  https://pc-helper.xyz/root-exploit/virus_loader_tool.exe?id=...

• วิธีที่อันตรายจริง ๆ คือใช้จิตวิทยาย้อนกลับประมาณหนึ่ง

1. สร้างเว็บไซต์แบบนี้ขึ้นมา
2. เปิดให้คนเอา URL ของเว็บสำคัญอย่างธนาคาร โซเชียลมีเดีย อีเมล ฯลฯ มาทดสอบ
3. ปล่อยให้ใช้งานได้ปกติช่วงหนึ่ง แล้วค่อยแอบพาผู้เยี่ยมชมไปยังเว็บฟิชชิงที่เกี่ยวข้องในภายหลัง
4. ผู้ใช้เคยชินกับการมองข้ามคำเตือนที่ "ปลอมแบบเห็นชัด" ไปแล้ว ดังนั้นพอเกิดภัยจริง ความระแวงอาจลดลง

• ฉันทดสอบด้วยชื่อโดเมนของตัวเอง แล้วได้ลิงก์ไปที่โดเมน
  https://cheap-bitcoin.online พอส่ง URL นี้เข้า VirusTotal ก็ขึ้นว่ามีอยู่เจ้าเดียวที่จัดว่าเป็นมัลแวร์ มันตลกมากและสนุกจริง ๆ

• เจ๋ง! ถ้าในลิงก์ที่สร้างมี 'safelinks.protection.outlook' แทรกอยู่ที่ไหนสักแห่งด้วยก็คงดี

• ฉันจดโดเมน "very-secure-no-viruses.email" ไว้ใช้เป็นอีเมลชั่วคราว โดยตั้งใจให้มันฟังดูน่าสงสัยที่สุดเท่าที่จะทำได้ แต่เพราะแบบนี้ เวลาคุยกับทีมซัพพอร์ตเลยมักจะสับสนกันบ่อย

  • ฉันใช้ที่อยู่แบบ firstname@lastname.email แล้วคนชอบทักว่ามันผิดหรือเปล่า เพราะมันไม่ใช่ email.com