Meine Spam-Falle hat ein Unternehmen erwischt - Wie legitim ist ihre Reaktion? [geschlossen]

9

Ich habe meine eigene Domain (nennen wir sie MyDomain.com) und mein E-Mail-Konto ist so eingerichtet, dass alle an @ MyDomain.com gesendeten E-Mails in derselben Mailbox landen.

Denken Sie also an ein Wort, stellen Sie es vor @ MyDomain.com, senden Sie mir eine E-Mail, und ich werde es erhalten.

Wenn ich mich bei SomeService.com anmelde, lautet die E-Mail-Adresse, die ich ihnen geben werde, "[email protected]".

Dies bedeutet, dass ich, wenn ich eine Spam-E-Mail an [email protected] erhalte, "someservice" als meine E-Mail-Adresse kompromittiert identifizieren kann ... Zumindest dachte ich das.

Als ich eine Firma (eine Apotheke, bei der ich Ohrstöpsel gekauft hatte) auf frischer Tat ertappte, suchte ich sie auf und erhielt die folgende Antwort:

Ich bin einer der Webmaster des Handelsportals [SomeService]. Wir nehmen die Sicherheit von Benutzerdaten sehr ernst, da unser Geschäft davon abhängt.

Wir wurden von 2 unabhängigen Agenturen PCI-zertifiziert, die unsere Systeme routinemäßig auf Sicherheitslücken prüfen.

E-Mails können auf mehreren Ebenen, einschließlich des Computers des Benutzers oder während der Übertragung, auslaufen, da Netzwerk-Sniffer zunehmend von professionellen Spammern eingesetzt werden.

Wir halten unsere Systeme nicht nur hinter einer Firewall, sondern verschlüsseln auch Benutzerdaten, um die Privatsphäre auch unserer eigenen Mitarbeiter zu gewährleisten.

Ich wiederhole, dass wir dies nicht gutheißen und eine interne Untersuchung durchführen werden, um sicherzustellen, dass unsere Systeme sauber sind. Mit freundlichen Grüßen [Administrator]

Was haltet ihr davon? Einige Fragen, die ich stelle, sind

  • Was ist eine PCI-Zertifizierung und kann ich das ernst nehmen / ist es glaubwürdig?
  • Sind die Behauptungen "E-Mail-Leck" und "Netzwerk-Sniffer" glaubwürdig?

Und irgendwelche Gedanken im Allgemeinen. Sagen wir einfach, ich lerne.

Danke, James

James Wiseman
quelle
Wie meinen Sie, dass Sie "Someservice" als eine E-Mail-Adresse identifiziert haben können? Führen Sie Aufzeichnungen über jede von Ihnen verwendete E-Mail-Adresse "someservice @"?
Connor W
Ja, ich will. Ich bin derzeit bis zu 20 Jahre alt. Und selbst wenn ich es nicht tun würde, würde das Erhalten einer solchen E-Mail mein Gedächtnis auf Trab halten. :-)
James Wiseman
2
@ Connor Sicherlich befindet sich die Aufzeichnung im 'Someservice'-Teil. Man würde sich bei "stackoverflow" mit der Adresse "[email protected]" anmelden und diese E-Mail-Adresse für nichts anderes verwenden. Die Frage ist, ob Spam an "[email protected]" adressiert wird. Woher hat der Spammer die Adresse, wenn nicht von "stackoverflow"?
Neal
2
Einige Spammer suchen nach registrierten Domains und versuchen dann, Adressen aus Wörterbüchern zu erstellen, damit es eine andere Möglichkeit gibt, Spam zu erhalten. Wäre dies dennoch der Fall, wäre es neidisch gewesen, ein Setup wie das beschriebene OP einzurichten.
AndrejaKo
1
Ich mache das auch und es funktioniert großartig. Ich hatte nur eine Instanz eines Dritten, der Spammern aktiv eine Adresse gab. Es war anscheinend das Ergebnis des Absendens von Rabattformularen für ein beliebtes Elektronikgeschäft. Diese Adresse ist jetzt gesperrt.
Chris Nava

Antworten:

7

Die PCI-Zertifizierung bezieht sich wahrscheinlich auf den PCI Security Standards Council , bei dem es hauptsächlich um die Datensicherheit von Zahlungsanwendungen und nicht um die E-Mail-Sicherheit geht. Kurzum: Keine Beziehung zu Ihrer Anfrage.

In Bezug auf Sniffer in Ihrem lokalen Netzwerk glaube ich wirklich nicht, dass sich jemand die Mühe gemacht hat, eine Verbindung zu Ihrem Haus herzustellen, um Ihre E-Mail-Adressen zu erhalten. Also nochmal: Nicht im Zusammenhang mit Ihrer Frage.

Eine Firewall ist kein ultimativer Schutz, da sie möglicherweise Sicherheitslücken aufweist und E-Mails weiterleitet, die Mitarbeiter davon überzeugen können, dahinter Spyware im internen Netzwerk zu installieren, das dann für den Hacker weit offen ist.

Das Verschlüsseln von Benutzerdaten ist nett, aber ein Virus kann die E-Mail immer abfangen, bevor sie verschlüsselt wurde.

Fazit: Dies ist ein hochmächtiges bla-bla, dessen Zweck es ist, zu verbergen, dass der Typ keine Ahnung von Sicherheit hat. Vertrauen Sie ihnen nicht, sie sind möglicherweise voller Viren und dennoch naiv von ihrer Firewall überzeugt.

Zum Schutz Ihrer E-Mail empfehle ich einen Blick auf e4ward . Es hat kostenlose oder bezahlte Konten (nur 10 US-Dollar pro Jahr) und ermöglicht eine viel bessere Kontrolle über Ihre E-Mails, da Sie damit solche Leute abschneiden können.

harrymc
quelle
3

Die PCI-Konformität ist ein Datensicherheitsstandard, der von Personen verwendet wird, die mit Kreditkartendaten umgehen. Es ist sicherlich möglich, E-Mail-Adressen auf verschiedene Arten zu sammeln. Ob und wie oft dies über das Kabel erfolgt, ist die Frage. In der Antwort wird nicht angegeben, ob sie ihre E-Mail-Adressen verkaufen. Sie sollten in der Lage sein, ihre Datenschutzrichtlinien auf ihrer Website oder auf Anfrage zu erhalten, und sie sollten dieses Problem abdecken. Es könnte auch für einen Insider möglich sein, Adressen zu sammeln (ich weiß nicht, wie PCI mit dieser Möglichkeit umgeht).

Bis auf weiteres angehalten.
quelle
4
PCI hat nichts mit E-Mail-Sicherheit zu tun. Ich war bis Anfang dieses Jahres Manager bei einem POS-Anbieter, der sich mit vielen PCI-Problemen befasste, und ich habe (leider für mich) die Dokumente und Standards ziemlich gründlich gelesen.
JNK
Ich hätte auch beachten müssen, dass Apotheken in den USA Datenschutzbestimmungen unterliegen, die nichts mit PCI zu tun haben. Ich weiß, dass sie für Rezepte gelten, aber ich weiß nicht, ob sie für andere Geschäfte gelten.
Bis auf weiteres angehalten.
3

Wie die anderen Antworten bereits sagten, dreht sich bei PCI alles um die Sicherheit des Servers / Dienstes und nicht um persönliche Daten.

Ich denke, die wahrscheinlichste Antwort ist, dass Sie einfach Pech haben.

Ich führe auch eine Sammel-E-Mail-Adresse auf meinem Server aus und erhalte jeden Tag Tausende von Spam - diese Leute erraten einfach Kombinationen von Adressen. Es ist nichts Besonderes und je länger Sie die Domain besitzen, desto mehr Spam wird auf Sie zukommen.

Abgesehen davon können Sie nicht ausschließen, dass dieser Ort Ihre E-Mail-Adresse preisgegeben hat, aber wenn es ein großer Ort ist, den Sie sich fragen müssen, ist es wirklich in ihrem besten Interesse, dies zu tun.

Wenn es sich um echten Massen-Spam handelt, z. B. Müll-E-Mail mit einem Anhang oder Viagra-Anzeigen, ist es unwahrscheinlich, dass er von einer verkauften Liste stammt.

William Hilsum
quelle
Prost Wil. Ich besitze die Domain seit 8 Jahren und erhalte eine große Menge an Spam, die praktisch alle in meinen Spam-Ordner umgeleitet werden. Ich freue mich wirklich, dass eine Methode, die ich verwendet habe, funktioniert hat. Es ist kein großer Ort, und ich wäre nicht überrascht, wenn dies eine schöne zusätzliche Einnahmequelle wäre.
James Wiseman