Почему фишинг всё ещё работает: кейс FedEx

Разбор очередного прокола безопасности FedEx, который объясняет, почему мы продолжаем вестись на фишинг.

Помните старую шутку про «нажми на ссылку, чтобы выиграть айфон»? Сегодня она уже не смешная — особенно когда такие гиганты, как FedEx, сами подкладывают дрова в топку фишинга.

На днях Трой Хант (да, тот самый парень с Have I Been Pwned) рассказал, как FedEx снова облажалась с безопасностью. Оказывается, компания рассылает письма с ссылками, ведущими на страницы, где запрашивают личные данные — прямо как типичные фишеры. Только вот это официальные уведомления от FedEx. Абсурд?

В чём суть инцидента: клиент FedEx получил письмо о доставке, перешёл по ссылке, ввёл свои данные — и только потом понял, что страница выглядит подозрительно. Но нет, это был настоящий сайт FedEx. Просто компания использует практику, которую любой специалист по безопасности назовёт «антипаттерном».

Что пошло не так? - Ссылка ведёт на внешний сервис (не fedex.com), который собирает данные. - Письмо не содержит явных признаков легитимности (например, отсутствует цифровая подпись). - Дизайн страницы ввода данных совпадает с типичными фишинговыми шаблонами.

Для разработчиков и владельцев стартапов это отличное напоминание: не копируйте поведение фишеров в своих легитимных процессах. Если ваш сервис просит пользователя ввести пароль или данные карты, убедитесь, что: - Домен совпадает с основным. - Есть HTTPS и валидный сертификат. - Письма подписаны DKIM/SPF. - Пользователь может верифицировать отправителя.

Комментарий студии METABYTE: Кажется, даже гиганты логистики иногда путают свой софт с фишинговым тренажёром. При разработке своих продуктов всегда помните: доверие пользователя — хрупкая вещь, и одна кривая ссылка может его разрушить. Мы помогаем проектам проектировать безопасные UX-паттерны, которые не заставят пользователя гадать: «Это вы или хакеры?»