Banking on a Genuine Phishing Email Bancário em um verdadeiro Email Phishing

My bank emailed me this week to remind me of how to keep my savings secure online. O meu banco emailed me esta semana a lembrar-me de forma a manter a minha poupança seguro online. The headers looked genuine and it was properly addressed with decent grammar and spelling. Os cabeçalhos parecia verdadeira e foi devidamente abordada com digno gramática e ortografia. So, at first glance it didn’t seem to be a Assim, à primeira vista não parece ser uma phishing attack phishing . But, I figured a bank shouldn’t be emailing me at all unless it’s via its logged in secure website channel, after all anyone snooping on my internet connection will now know I have a bank account. Mas, eu figurava um banco não deve ser enviando-me a todos, salvo se através do seu site seguro registrado no canal, depois de tudo ninguém snooping a minha conexão irá agora sei que tenho uma conta bancária.

Anyway, I called the bank’s press office to offer them some advice about how they should and shouldn’t be contacting us. De qualquer forma, me chamou a imprensa do banco gabinete para lhes oferecer alguns conselhos sobre como devem e não devem ser de nos contactar.

As I said, other banks use an inline communication system to send messages only once you’re logged into your account. Como eu disse, outros bancos inline utilizar um sistema de comunicação para enviar mensagens apenas uma vez que você estiver conectado em sua conta. This ensures that communications to and fro are genuine, encrypted and hopefully secure. Isso garante que a comunicação eo vaivém são verdadeiras, seguras e criptografadas e esperemos. There are occasions when a bank may need to contact you via regular email if you have not logged in for a while and it’s an important message they need to get to you. Há ocasiões em um banco poderá necessitar de contacto regular via e-mail, se você não tiver entrado no sistema por um tempo, ele é uma mensagem importante de que necessitam para obter a você. Regardless, my bank’s email, at the very top of the message offered a link that they suggested I click if I was having “difficulty viewing this newsletter”. Independentemente, o meu e-mail do banco, na parte superior da mensagem oferecido um link que eles sugeriram eu clicar se eu estava tendo "dificuldade para visualizar este boletim". Another big no-no. Outro grande nenhum-nenhum. That’sa common ploy in phishing bait-mail. É comum no jogo contra phishing isca-mail. Needless to say, I clicked nothing. Escusado será dizer que eu cliquei nada. How would a less experienced user know this to be genuine? Como um usuário experiente menos sabemos que este é verdadeira?

Anyway, the email itself was all “In the interest of improved online security for our valued customers, we thought we’d give you some helpful pointers on how to ensure that your online savings are kept secure.” (Oh, there is a grammatical error in there, “in the interest”, should be “interests”, maybe it was a phish, after all, grammar is not a strong point with phishers of men, and women). De qualquer maneira, todos os e-mails em si foi "No interesse da melhoria da segurança on-line para os nossos clientes valorizado, pensávamos nós deseja dar-lhe algumas indicações úteis sobre a forma de garantir que a sua poupança são mantidos em linha segura." (Ah, há uma gramaticais erro de lá, "no interesse", deveria ser "interesses", que foi talvez um phish, afinal de contas, gramática não é um ponto forte com os golpistas de homens e mulheres). Apparently, this security thing is “scary”! Aparentemente, essa coisa de segurança é "assustador"!

But, the scaremongering message then goes on to calm the reader down again: “It’s nothing to lose sleep over, just basic housekeeping really.” They suggest the following, which has to be the most contrived and useless piece of advice regarding password generation: Mas, o alarmismo mensagem vai então a acalmar o leitor para baixo novamente: "É nada a perder mais de sono, apenas o de base doméstica realmente." Eles sugerem o seguinte, o que tem de ser o mais previsto e inútil pedaço de aconselhamento em matéria senha geração:

When setting your password, make sure it’s something memorable to you, so that you don’t have to write it down. Ao fixar a sua senha, certifique-se que é algo inesquecível para você, para que você não tem que anotá-la. Try steering clear of the obvious, like your kids names or pets… anything that is an obvious link to you or your family really. Tente direcção clara dos óbvios, como os seus filhos nomes ou animais de estimação… tudo o que é uma ligação óbvia a você e sua família realmente.

Usually, for a password to be memorable, it’s going to have to be something you can remember like a name or a something similar. Normalmente, para uma senha para ser memorável, ele vai ter que ser algo que você pode lembrar, como um nome ou algo similar. But, making passwords memorable is not what anyone should do. Mas, tornando senhas memoráveis não é o que ninguém deveria fazer. A password needs to have mixed characters, letters, and numbers, be fairly long and have no personal relevance that might be guessed. A senha deve ter misturado personagens, letras e números, é bastante longa e não têm qualquer relevância pessoal que possa ser adivinhada. It’s also best if it has no repeating letters, no real words, and passes the general Também é melhor, se não tem qualquer repetição de letras, não palavras reais, e passa a gerais password strength tests senha força testes . Otherwise, bruteforce or guesswork could allow anyone who gets hold of your username access to your account. Caso contrário, bruteforce ou adivinhação poderia permitir que alguém que recebe do seu nome de usuário mantenha o acesso à sua conta. Much better is my Muito melhor é o meu passwords for scientists senhas para cientistas approach coupled with a service like abordagem, conjugada com um serviço como a Passpack .

The final piece of advice in the bank’s thrilling “newsletter” is that “if you do think that someone has been using your password, change it immediately and contact us on this number. A última peça do conselho no banco emocionante "newsletter" é que "se você não acha que alguém está usando a sua senha, alterá-la imediatamente e contacte-nos sobre este número. They cite a phone number. Eles citar um número de telefone. Of course, if this were a phish, then who’s to say that it’sa genuine bank call center number. Evidentemente, se este fosse um phish e, em seguida, que quer dizer que é um verdadeiro banco call center número. How would you know for sure that you were speaking to your bank when you called? Como você sabe, com toda a certeza que você estava falando para o seu banco quando chamado? You might call the number thinking your password has been compromised, and hand over all sorts of details on request. Você poderia chamar o número pensar sua senha foi comprometida, e entregar todos os tipos de detalhes sobre o pedido. The only numbers you should ever call to contact your bank are those you can read once you’re genuinely logged into your account or the one found on legitimate printed statements and literature from your bank. Os únicos números que você nunca deve pôr em contato com o banco são aqueles que você pode ler uma vez que você está realmente conectado em sua conta ou a uma encontrado em legítima ea literatura impressa declarações do seu banco.

Maybe I’m being a little unfair on the bank in question, but I don’t think so, they’ve had many years now to get the security and privacy policies honed and it’s not as if banking fraud is something novel to the online realm. Talvez eu estou sendo um pouco injusto com o banco em questão, mas não penso assim, eles já tinham muitos anos para obter a segurança e políticas de privacidade e de aperfeiçoar, não é como se bancário fraude é algo a novela o domínio online. This kind of email from a bank really is inexcusable. Este tipo de e-mail a partir de um banco é realmente imperdoável. The only redeeming feature is a not at the foot of the email that does offer some useful advice to the gullible, read it or weep (we’ll ignore the shoddy grammar): A única característica é um resgate não ao pé do e-mail que não oferecer alguns conselhos úteis para o crédulo, lê-la ou chorar (vamos ignorar o shoddy gramática):

It is also important to remind you that we will never email you asking you for your account number or log on details, so if you do receive an email claiming to do so from us, please contact us straight away. É importante também recordar-lhe que nunca nos e-mail perguntando-lhe o seu número de conta ou entre em detalhes, por isso, se você fizer receberá um e-mail alegando a fazê-lo de nós, entre em contato conosco imediatamente. And make sure that you never respond to any such unsolicited email with PINs, log in details or passwords, no matter who they claim to be from. E tenha certeza que você nunca responder a qualquer desses e-mails não solicitados com PINs, faça o login ou senhas detalhes, não importa que eles alegam ser de.

UPDATE: The UPDATE: A Official Google Blog Blog oficial do Google just posted on the subject of genuine phishing emails as opposed to the kind that come from one’s bank that are actually genuine emails. afixou apenas sobre o tema da verdadeira phishing e-mails, por oposição aos que provêm de uma espécie de banco que são realmente genuínas e-mails.