web-dev-qa-db-fra.com

La BBC n'est-elle pas extrêmement irresponsable lorsqu'elle décrit comment authentifier un e-mail lié à un compte?

Sur cette page Web , la BBC dit:

J'ai reçu un e-mail "Modifications de votre compte BBC" prétendant provenir de la BBC - est-ce un véritable e-mail?

Fin septembre 2016, nous avons mis à niveau notre système de connexion "BBC iD" vers "BBC Account" et, par conséquent, nous avons dû déconnecter tout le monde de leur compte "BBC iD".

Si une adresse e-mail a déjà été enregistrée sur un compte "BBC iD", nous avons envoyé des e-mails à ces adresses e-mail (de "[email protected]") pour informer les utilisateurs que nous les avons déconnectés de leur compte et en leur demandant de se reconnecter.

Il s'agit d'authentiques e-mails de la BBC et non d'e-mails de phishing ou de spam (ci-dessous, une capture d'écran du contenu de l'e-mail).

… et c'est tout.

J'ai découvert cela sur un fil de commentaires Facebook, où la page Web ci-dessus a été donnée comme "preuve" qu'un e-mail inattendu était authentique et non un hameçonnage.

L'e-mail contient un lien pour "se connecter" - ce lien obligera les utilisateurs à saisir leurs informations d'identification, par définition (en raison de la raison de l'envoi de l'e-mail en premier lieu).

Tout cela n'est-il pas incroyablement irresponsable? La BBC ne trompe-t-elle pas grossièrement son public? Le champ From d'un e-mail n'a jamais été aussi proche de la preuve de l'identité de l'expéditeur, et fournir une capture d'écran du contenu authentique facilite la tâche des fraudeurs pour le reproduire et escroquer les gens.

Ou est-ce que je manque quelque chose?

87

Des choses très très dangereuses pourraient se produire ici, en effet. Il serait ridiculement facile pour un escroc de hameçonner les utilisateurs.

Une migration est une excuse que de nombreux hameçonneurs utilisent déjà :

Il y a eu un problème xyz dans notre base de données [...] d'utilisateurs, il suffit de "se connecter" ou vous ne pourrez pas utiliser notre service.

Donc, la raison légitime

nous avons mis à niveau notre système de connexion "BBC iD" vers "Compte BBC"

s'aligne parfaitement avec ces activités néfastes. Les spammeurs pourraient même mettre une "preuve" avec le lien du site Web. Les utilisateurs voient que la disposition des e-mails est la même, pensez oh, c'est légitime , cliquez sur connexion et envoyez les informations d'identification aux attaquants.

Pour autant que je sache, avoir accès à un compte BBC n'est pas vraiment une menace. Cependant, pour les utilisateurs qui ont le même mot de passe sur tous les sites (et pas de vérification en deux étapes), vous avez un moyen facile d'accéder aux e-mails, aux comptes bancaires, etc.

La BBC a laissé tomber la balle dur . Je vais les contacter pour résoudre le problème, je vous encourage à faire la même chose.

90
Jaime Gallego