Mi trampa de spam atrapó una empresa: ¿cuán legítima es su respuesta? [cerrado]

9

Tengo mi propio dominio (llamémoslo MyDomain.com), y mi cuenta de correo electrónico está configurada de tal manera que todos los correos enviados a @ MyDomain.com terminarán en el mismo buzón.

Entonces, piense en una palabra, póngala delante de @ MyDomain.com, envíeme un correo electrónico y la recibiré.

Cuando me registro en SomeService.com, la dirección de correo electrónico que les daré es '[email protected]'.

Esto significa que si recibo un correo electrónico no deseado enviado 'a' [email protected], puedo identificar que 'someservice' ha comprometido mi dirección de correo electrónico ... O eso pensé.

Cuando encontré una empresa (una farmacia de la que había comprado tapones para los oídos), en lo que a mí respecta, con las manos en la masa, los busqué y obtuve la siguiente respuesta:

Soy uno de los webmasters del portal de comercio [SomeService]. Nos tomamos muy en serio la seguridad de los datos del usuario, ya que nuestro negocio depende de esto.

Hemos sido certificados por PCI por 2 agencias independientes que analizan nuestros sistemas de manera rutinaria en busca de fallas de seguridad.

Los correos electrónicos pueden filtrarse en múltiples niveles, incluida la computadora de los usuarios o en tránsito debido a los rastreadores de red que están siendo empleados cada vez más por los spammers profesionales.

No solo mantenemos nuestros sistemas detrás de un firewall, sino que también ciframos los datos del usuario para garantizar la privacidad incluso de nuestro propio personal.

Reitero que esto no es algo que aprobemos y haremos una investigación interna para garantizar que nuestros sistemas estén limpios. Saludos cordiales [administrador]

¿Qué piensan ustedes de esto? Algunas preguntas que hago son

  • ¿Qué es la certificación PCI y puedo tomar esto en serio / es creíble?
  • ¿Son creíbles las afirmaciones de 'fuga de correo electrónico' y 'sniffer de red'?

Y cualquier pensamiento en general. Digamos que estoy aprendiendo.

Gracias James

email security spam-prevention James Wiseman
fuente
¿Cómo quiere decir que puede identificar 'someservice' como comprometiendo su dirección de correo electrónico? ¿Mantiene un registro de cada dirección de correo electrónico 'someservice @' que ha utilizado?
Connor W
Sí. Actualmente tengo alrededor de 20. E incluso si no lo hiciera, recibir un correo electrónico como este podría activar mi memoria. :-)
James Wiseman
2
@ Connor Seguramente el registro se encuentra en la parte de "servicio de algunos". Uno se registraría en "stackoverflow" con una dirección de "[email protected]" y usaría esa dirección de correo electrónico para nada más. La pregunta es, si uno recibe correo no deseado dirigido a "[email protected]", ¿de dónde obtuvo el spammer la dirección, si no es de "stackoverflow"?
Neal
2
Algunos spammers buscan dominios registrados y luego intentan inventar direcciones de diccionarios para que haya otra forma de recibir spam. Aún así, si ese fuera el caso, habría sido envidioso su configuración, como la que describió OP.
AndrejaKo
1
Yo también hago esto y funciona muy bien. Solo he tenido una instancia de un tercero que proporciona activamente una dirección a los spammers. Aparentemente fue el resultado del envío de formularios de reembolso para una tienda de electrónica popular. Esa dirección ahora está bloqueada.
Chris Nava

Respuestas:

7

La certificación PCI probablemente se relaciona con el PCI Security Standards Council , que se trata principalmente de la seguridad de los datos de la aplicación de pago, en lugar de la seguridad del correo electrónico. En resumen: sin relación con su solicitud.

En cuanto a los rastreadores en su red local, realmente no creo que nadie haya tenido problemas para conectarse a su hogar para obtener sus direcciones de correo electrónico. Así que de nuevo: no está relacionado con su pregunta.

Un firewall no es una protección definitiva, ya que puede tener agujeros de seguridad desconectados, y de todos modos pasa correos electrónicos que pueden convencer a los empleados de instalar spyware detrás de él en la red interna, que luego se abre de par en par al pirata informático.

Cifrar los datos del usuario es bueno, pero un virus siempre puede interceptar el correo electrónico antes de codificarlo.

Conclusión: Este es un bla bla bla alto y poderoso cuyo propósito es ocultar que el tipo no tiene ni idea sobre la seguridad. No confíes en ellos, pueden estar llenos de virus y todavía ingenuamente confiados en su firewall.

Para proteger su correo electrónico, le sugiero que eche un vistazo a e4ward . Tiene cuentas gratuitas o pagas (solo $ 10 al año) y permite un control mucho mejor de su correo electrónico, ya que le permite cortar a esos tipos.

harrymc
fuente
3

El cumplimiento de PCI es un estándar de seguridad de datos utilizado por quienes manejan datos de tarjetas de crédito. Ciertamente es posible recolectar direcciones de correo electrónico de varias maneras. La cuestión es si y con qué frecuencia esto se hace por cable. La respuesta no aborda si venden sus direcciones de correo electrónico. Debería poder obtener su política de privacidad en su sitio web o mediante solicitud y debería cubrir este problema. Además, es posible que una persona con información privilegiada recopile direcciones (no sé cómo PCI aborda esta posibilidad).

Pausado hasta nuevo aviso.
fuente
44
PCI no tiene nada que ver con la seguridad del correo electrónico. Fui gerente de un proveedor de POS que se ocupó de MUCHOS problemas de PCI hasta principios de este año, y he leído (desafortunadamente para mí) los documentos y estándares bastante a fondo.
JNK
También debería haber notado que las farmacias en los EE. UU. Están sujetas a regulaciones de privacidad de datos que no tienen nada que ver con PCI. Sé que se aplican a las recetas, pero no sé si se aplican a otras transacciones comerciales.
Pausado hasta nuevo aviso.
3

Como han dicho las otras respuestas, PCI tiene que ver con la seguridad del servidor / servicio, y no con los datos personales.

Creo que la respuesta más probable es que simplemente tienes mala suerte.

También ejecuto una dirección de correo electrónico general en mi servidor y recibo miles de spam cada día; estas personas simplemente adivinan combinaciones de direcciones. No es nada especial y cuanto más tiempo posea el dominio, más spam llegará.

Aunque, dicho esto, no se puede descartar que este lugar haya revelado su dirección de correo electrónico, pero si es un gran lugar tiene que preguntarse, ¿es realmente de su interés hacerlo?

Si se trata de spam genuino a granel, no solicitado, como correo basura con un archivo adjunto o anuncios de Viagra, es poco probable que provenga de una lista vendida.

William Hilsum
fuente
Saludos Wil. He tenido el dominio durante 8 años y recibo una gran cantidad de correo no deseado, prácticamente todo lo cual se desvía a mi carpeta de correo no deseado. De hecho, estoy encantado de que un método que he usado haya funcionado. No es un lugar grande, y no me sorprendería si esto lo convirtiera en una buena fuente de ingresos adicionales.
James Wiseman