credit: unknown
灵感来源: twitter - PyroBatNL
故事发生是发生在小粉工作公司的客服部门,
某天他们收到一封客诉信,而客诉内容长的文情并茂,
大意如下:
我在 OO 日购买你们家的产品,
结果收到的却是这样包装!
请给我一个合理的解释,照片我附上了
密码是:companyname
而附件本身是压缩档,里面夹带了恶意程序
而身为小粉家的资安顾问,看到这封信都觉得有趣,
以往对於这些客服的信都写得很烂,但这次手法明显进步,
还有一种常见的方式就是因为很多客服都会透过 skype 打电话,
攻击者会把名字相似的人(e.g. 大家英文名字都是 John) 拉进一个群组,
然後丢一个说薪资调整,要在今天下班前回覆。
至於被锁定的公司吗? 根据小粉亲友团分享,在你熟悉和你不熟悉的电商都收到过类似的信。
我们常常看到电商被攻击,其实面向很广,而这边我们只讲客服吧。
会想攻击电商客服的组织通常是受雇於诈骗集团,
或是直接诈骗集团本身的骇客。
攻击这些人员的好处:
老生常谈的定期做教育训练,但因为这些人员本质上就是要打开信箱检查客诉信,
所以导致有些两难,但笔者认为在客户资料上应该做些许权限控管。
不是客服直接进入系统任意调阅,因为一台客服电脑被攻击等於整个资料就外泄,
至少要看个资应该配上二次验证机制,或是手机 notification 验证,这样骇客要捞资料没办法立刻做,
笔者听过最快的偷资料纪录,骇客进来 10 分钟搞定从系统下载个资。
<<: Day07 - 在 Next.js 中使用 pre-rendering (getStaticProps) — Part 1
>>: day 14 - drone 的go-test & golangci-lint
好的~ 昨天做好搜寻栏了,今天来做下面的列表 那一样需要先建一个子组件,可以参考 Day21,这边就...
成为公司的一份子大都是经由招募流程而加入的,但某一天团队需要扩大或是人手不足,而你刚好有机会可以参与...
昨天我们提到了如何透过Vue-Router切换页面,今天我们来谈谈如何传递参数到路由上。 new V...
提前退出 正常情况是必须达到函示的末尾,但是如果编写包含许多语法的函式通常会在意识到没有更多计算要做...
今天要分享的是事件传递的机制,相信初学的大家听到比较多的应该是捕获、冒泡、stopPropogati...