アカウント名:
パスワード:
この手の訓練メールって、作る側のレベルが低いから、スキルのある人ほどが引っかかったことにされるという問題がある。
例えば、メールヘッダーまで確認して、組織内の正規のメールサーバーから送信されていることと、リンク先のドメイン名のIPアドレスがLAN内の正規のWebサーバとなっていることを確認して情報入力しても、「はいこれはフィッシングメールの訓練でした。情報乳利力した人は再教育プログラムを~」となったりする。
酷い組織だと、仮想環境からリンク先にアクセスしただけでも引っかかったことにされてしまう。
実際こういう「訓練」をやるならば、外部のレンタルサーバと紛らわしいドメイン名(もしくはfromの詐称などを実際に行う)などを使用するなどして、実践に近い状況を再現すべきだが、そこまでせずに正規のメールサーバと正規のWebサーバで訓練するといったろくでもない組織が多い。
その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。リンクを踏まずに、メール以外の方法の内線電話とかで真贋を確認しなきゃ。
正規のサーバがクラッキングされているのならば、そもそも全ての業務が危険に晒されてますよね。いつも使っている正規の業務システムも悪意のある第三者に情報を中継するようになってるかもしれないし、フィッシング詐欺訓練以前の問題。
そうです、全ての業務が危険にさらされてますよね。フィッシング詐欺訓練ではなく、本番になった訳です。
そして、貴方が最初の発見者かもしれません。その事を管理者に伝えれば、ネットワーク隔離やアカウント停止といった判断が可能になります。アカウント乗っ取りの可能性に気づいたのに放置するのですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
この手の訓練ってスキルのある人が引っかかったことにされる (スコア:0, すばらしい洞察)
この手の訓練メールって、作る側のレベルが低いから、スキルのある人ほどが引っかかったことにされるという問題がある。
例えば、メールヘッダーまで確認して、組織内の正規のメールサーバーから送信されていることと、リンク先のドメイン名のIPアドレスがLAN内の正規のWebサーバとなっていることを確認して情報入力しても、
「はいこれはフィッシングメールの訓練でした。情報乳利力した人は再教育プログラムを~」
となったりする。
酷い組織だと、仮想環境からリンク先にアクセスしただけでも引っかかったことにされてしまう。
実際こういう「訓練」をやるならば、外部のレンタルサーバと紛らわしいドメイン名(もしくはfromの詐称などを実際に行う)などを使用するなどして、実践に近い状況を再現すべきだが、そこまでせずに正規のメールサーバと正規のWebサーバで訓練するといったろくでもない組織が多い。
Re: (スコア:0)
その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。
リンクを踏まずに、メール以外の方法の内線電話とかで真贋を確認しなきゃ。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:0)
正規のサーバがクラッキングされているのならば、そもそも全ての業務が危険に晒されてますよね。
いつも使っている正規の業務システムも悪意のある第三者に情報を中継するようになってるかもしれないし、フィッシング詐欺訓練以前の問題。
Re: (スコア:0)
そうです、全ての業務が危険にさらされてますよね。
フィッシング詐欺訓練ではなく、本番になった訳です。
そして、貴方が最初の発見者かもしれません。
その事を管理者に伝えれば、ネットワーク隔離やアカウント停止といった判断が可能になります。
アカウント乗っ取りの可能性に気づいたのに放置するのですか?