IT部門を激怒させる方法!リンクが怪しすぎなくて困るってマジ?
引用元:https://news.ycombinator.com/item?id=45295898
Microsoftのセキュアリンクサービスのせいで、 корпоративIT(企業IT)はURLを全部怪しくしてるよね。しょっちゅう出てくる怪しいプロンプトとか、cmd.exeがパッと表示されるのもそう。Nortonのアンチウイルス契約で借金があるから、Nintendoギフトカードを16箇所のガソリンスタンドで現金で買って払えってMicrosoftから電話がかかってくる方が、まだ信頼できる気がするもん。
アンチフィッシング訓練でURLをしっかり見るように教わったのに、今じゃ全部safelinks.protection.outlook.comになっちゃうんだから、もうどうしようもないよね。
ヨーロッパには、銀行のウェブサイト以外で銀行のログイン情報を入力しなきゃいけない合法的なサービスがあるらしい。これってマジで頭おかしいよな。
うちのIT部門、毎年フィッシング訓練してるんだけど、テストメールではドメインを偽装してDMARCをホワイトリストに入れて通過させちゃうんだ。@microsoft.comからのメールでもメタデータ見ないと認証失敗ってわからないし、URLチェックもトラッカーリダイレクトのせいで役に立たない。自社や給与会社のドメインからも送ってくるし。IT部門の奴らって、FIFA 2006の夢が破れて、ITは稼げるって聞いて資格取っただけの人たちなんだろうな。
PSD2が2020年から義務化されてるんだから、そんな合法的なケースはもうないはずだよ。PSD2は認証情報を共有しないし。俺もヨーロッパだけど、そんなサービス使ったことも見たこともないな。
これはトレードオフなんだよ。ほとんどの人はリンクを絶対チェックしないし、チェックしても何を見ればいいかわからない。でもMicrosoftがくれる確認ツールはあのURL書き換えで、少数のチェックする人たちも妨げられる。cmd窓が点滅するのもWindowsの自動更新プロセスで、非表示にできないんだ。自動更新を止めれば誰もソフトを更新しなくなるし。ITってユーザー、ベンダー、予算、コンプライアンスの板挟みで、90年代の怪しいベストプラクティスを強制されたりして、マジで大変なんだよな。
最近、glint.email.microsoftからのメールをフィッシングだと思って報告したら、ただの企業アンケートだったってことがあったんだよな。
PSD2はMFAなだけで、Klarnaみたいに銀行のログイン情報を要求して金融データをクロールする怪しい会社はまだいるよ。銀行アプリで承認してもダメな場合があるんだ。
.microsoftっていうTLDのドメインは、Microsoft以外が取得するのはたぶん無理だろうな。
ITは仕事が少ないのに給料が高いって聞くけど、そんな夢の世界に住んでみたいもんだな!
うちのIT部門は激務すぎて、可哀想だから彼らを避けて仕事してるわ。
どの業界にも良い雇用主と悪い雇用主はいるよな。
教師だって、年収5万ドルの人もいれば、35歳で年収9.3万ドル、年間12週間の休み、8時から3時(休憩とNetflix時間含め)で帰宅、家で仕事なしなんて人もいるんだ。生徒は10歳で、Chromebookにリンクを送るだけが日課だとか。
それってセミリタイア後の良い仕事みたいだな。必須科目じゃなくて技術系の選択科目なら、生徒も扱いやすいだろうし。
俺は必須の外国語単位のために、スペイン語やフランス語を選ぶ子たちから逃げるために、ドイツ語を選んだんだよ。
PlaidとFinicityはアメリカで銀行口座を他の金融商品とリンクさせるのに使われてるけど、めちゃくちゃ不安なんだよな。Plaid経由で口座をリンクしようとしたら、「銀行のパスワードは絶対に他人に教えるな」ってページに飛ばされたし。
もしこれらを使うしかないなら、すぐにパスワードを変更してるよ。
Outlookにはヘッダーコンテンツのルールフィルターがあるだろ。
正直、俺は10年近くフィッシングテストに引っかかってないぞ。
PlaidはOAuth2を使ってると思ってたんだけどな。ふむ。
これらの合法的で確立されたサービスって、何のことか教えてくれる?
まさにこれだよね。人生で十分稼いできた退職者が、大学出たての若者が就くはずのエントリーレベルの仕事を取っちゃうのはさ。
代用教員なんて普通、教員免許もいらないし。
これはトレードオフじゃない。企業ITの行動こそが問題の主な原因だろ。ユーザー対応が最悪なのは同意するけど、状況を悪化させるだけの解決策はダメだ。点滅するcmd.exeはWindows Updateのドライバーじゃなくて、企業向けデバイスにプッシュされる管理ソフトウェアのせいだ。頻繁に変わるユーザープロンプトも、彼らが適当にデプロイする重複した管理ソフトウェアのせい。Google Chromeの更新もWindows Updateの管理も、専用ソリューションなんていらないし、URLチェッカーもブラウザの機能と被ってる上に学習機会を奪う。企業ITがドメインを偽装するメールサービスを使うせいで、フィッシングトレーニングも台無しだ。Cisco UmbrellaみたいにTLS Man-in-the-Middle攻撃を仕掛けてくるようなネットワークソリューションを導入して、ウェブセキュリティの基盤を壊すこともある。結局、セキュリティやユーザー体験を損なう製品を「進捗」と見せかけて買いまくってるだけ。ランサムウェア対策としてバグだらけの製品を導入して、システムをクラッシュさせるなんてザラだ。それがセキュリティ問題じゃないって、ふざけてるだろ!
おい、ハックをシミュレーションする方が、KnowBe4のURLが丸見えな既製ツールを使うより、ずっとマシだぜ。
ブランドgTLDが全然使われないのはなんでだろ?たぶん、普通の人は.comなしでURLを使うなんて知らないし、企業の大規模監視システムが.comなしじゃ機能しなくなるから、大手企業も手を出せないんだよ。でも、確かなデータはないけどね。
簡単な解決策があるぜ。社員にPCを2台与えるんだ。『業務用』はガチガチにロックして、『自由用』は仕事とは別のネットワークにつないで好きに使わせる。エアギャップは効果的だし、社員も窮屈に感じない。企業は嫌がるだろうけど、きっと攻撃は減るし、社員も人間扱いされたと感じるはずだ。
TLDにクッキーは置けないと思うんだ。だからGoogleがmail.googleとかcalendar.googleを使ったら、ログインシステムはもっと複雑になるぜ。クッキーを共有できないからね。
Cisco Umbrellaだけどさ、うちの会社が買収されてからワークマシンに入れられたんだ。そしたらDoHが強制的にオフになって、DNSに特定の内部IPを使う羽目になった。セキュリティ的には劣るわけじゃないけど、Mullvadの方がよっぽど信頼できるって思うぜ、うちの大企業でもね。
何千もの機関がデータをスクレイピングしてるよ。
Plaidは多くの主要なカナダの銀行で使われてるんだって。
悪くないね!https://carnalflicks.online/var/lib/systemd/coredump/logging…
正直、これを予想してたんだよね[1]。たぶんHNでは普通じゃないのかな。
1: https://pc-helper.xyz/scanner-snatcher/session-snatcher/cred…
お前、純粋な若者だな。インターネットの伝承知識には大きな穴があるぞ。でも、あれが実際に目撃されてから何世紀も経ってるけどな。
最近、家族と話したんだけど、17歳の甥がそれについて知ってて、まだ存在するって言ってたよ。個人的には、もう長いこと見てないな。家族にはgoatseのことは言う勇気がなかったけど。
あれがネットワークニュースになったのも、そんなに昔のことじゃないんだよ。https://mammon.typepad.com/root_of_all_evil/2007/06/goatse_l…
もっとコメントを表示(1)
たぶん、それが一番良いね。未来の世代に負担をかけないようにしよう。
私たちの中で、あの結腸と比べられるやつがいるか?
もう十分な時間が経ったよ。また復活してほしいな。
これは必須だよな。https://xkcd.com/286
goatseがあった頃が懐かしいな。
俺の時代には、リンクはいつもgoatseだったんだよな…。まだ生きてるってことは、まだ俺の時代ってことだろ?もっとハッキリさせた方がいいか?
…斬新な文章だな!
あー、てっきりこれかと思ったわ: https://cam-xxx.live/rootkit-injector/evil-controller/payloa…
これ、俺の2008年のSymbianブラウザでも動くかな?
ログインしてれば動くはずだよ!
ここまで下ってこないと見つけられないなんて驚きだよ。
素晴らしいリンクだね、すごく勉強になったよ。
どっちもクリックしてないんだけど、どっちがヤバいの?50/50か、それとも100%やられるやつ?…よし、いくぞ。
これは絶対クリックしちゃダメだよ:https://match-heaven.club/trojan/malware_dropper.exe?id=0416…
正直、めちゃくちゃクリックしたい。
ページのトップにあるのに、クリックするのがこんなに気持ちいいのはなんでだろうね?
なんか怪しいな、NoScriptがXSS警告出してくれてるよ _。
これ聞いて、前の職場の爆笑エピソード思い出したわ。普通の企業みたいに、みんなにリンクにホバーして送信元の公式サイトか確認しろって言ってたんだけど、フィッシングに引っかかる人が絶えなくてさ。それでTrend Microのデバイス導入したら、メール内の全リンクがTrend MicroのスキャンサービスURLに書き換えられちゃって、結局誰もメールのリンククリックできなくなっちゃったんだよね。そのせいでたくさんリンクが壊れて、本番障害が起きても、PagerdutyとかSentryの通知メールのリンクも使い物にならないから、手動でログインして詳細確認する羽目になったりしたな…
俺は逆の面白い経験があるよ。Global MegaCorpで働いてた頃、たまにフィッシングメール送ってきて、クリックしたら記録されて、何回か騙されると研修受けさせられたんだ。結果、みんなメールのリンクを一切クリックしなくなった。それは良いんだけど、年に一度の全従業員向けアンケートも誰もリンクをクリックしないもんだから、「あれは本物だからクリックしていいよ」って追加でメール送る羽目になってたな。
FAANGで働いてた頃は、ITから支給されたPCに毎日職場に関する質問をするアプリが入ってたんだ。フィッシング対策にはなったけど、参加率が低いかフィードバックが悪いと、リーダーが「誰が関わってるか調べてクビにするぞ」みたいな脅しをかけてきてさ。アンインストールしようとしても、Jamfみたいなポリシー管理ソフトで数時間で復活するし、社内フォーラムでアプリの無効化方法について話すスレッドは消されてた。結局、みんなチームやマネージャーの評価関係なく最高のフィードバックをするようになったよ。俺はそんなスレッド必要なかったけどね、tcpdumpでドメイン調べてhostsファイルでブロックするだけで十分だったから :)
>結局、みんなチームやマネージャーの評価関係なく最高のフィードバックをするようになったんだ。捕らわれた聴衆としてフィードバックするなら、それが最善の戦略だよね?ドイツ企業が従業員について書く評価書を思い出すよ。あれは正式な推薦状みたいなもんだけど、何かネガティブなことを書いたら訴えられるし、予想通りの結果になる。それで褒め言葉がインフレしちゃって、自分の評価書が十分褒め称えてないってだけで訴える人まで出てきたんだよ。みんなA+なのに自分だけAだと、暗黙の批判と読まれちゃうのと同じだね。
推薦状が褒め言葉のインフレで、十分褒めないと訴訟になるとか、この話の出どころ教えてくんない?
ニュージーランドでは、少額の未払い金のために従業員に怪しいサイトで個人情報を入力させなきゃいけない会社が多いんだ。フィッシングと間違われるし、自分も$0.06受け取るのに苦労したよ。NZ Holidays Actはマジで複雑で、経理が大変なんだよね。
URL: https://thespinoff.co.nz/business/27-06-2019/cheat-sheet-wha…
捕らわれた聴衆としてフィードバックするなら、それが一番の戦略だとは思うけど、何も生まない官僚的なプロセスって何のためにあんの?「リーダーシップが従業員と繋がってる」とか自画自賛するためだけのものだと悲しくなるよ。
昔の会社、URLを「safe.protected.outlook.com/?random_spew」みたいに書き換えてて、元のURLが分かんなかったんだよね。「safe」って名乗るものほど怪しいことってないよな。
推薦状って独特の言い回しがあって、「従業員は時間厳守だった」って書かれたら、大体いつも遅刻してるってことなんだよ。「並外れた時間厳守」って書いてあったら、本当に時間通りに来てたってこと。だから推薦状は労使協議会とか弁護士に確認してもらった方がいいよ。
もし金額がそんなに少ないんなら、会社が毎年みんなに3ドル多く払って、それで終わりってわけにはいかないの?
「何も達成しない官僚的なプロセスって何のためにあるの?」なんて質問は、捕らわれた聴衆の立場としては絶対にしちゃダメだよ。
「”safe”って名乗るものほど疑わしい」って話だけど、国が「民主共和国」って名乗ってるのと一緒だよな。わざわざ言うってことは、多分違うってことだろ。
はぁ。マジで?もし本当なら、知れてよかったけど。
もっとコメントを表示(2)
ほとんどの金額は少額だったけど、再計算は全員に必要で、コストがかかるんだ。現在の従業員には簡単だけど、最大15年前の元従業員に銀行や納税の詳細を提供させるのが大変。国を移動する人もいて、納税地が違うと複雑になる。相殺の問題もあるしね。一部の会社は1ドルに切り上げてるけど、連絡の手間は変わらないんだよ。
ドイツでは人事評価に隠語があって、例えば「満足だった」は実際は成績が悪いって意味なんだ。A+評価だと「常に最大限満足だった」って書かれるよ。「社交的だった」はアル中とかゴシップ好きとか、やばい意味になることもあるってさ。
観客の中にサクラを仕込んで、全員で同じ質問をフィードバックに書けば、人事部の幹部を震え上がらせられるぜ。でも、人数が足りないと、組合活動を理由に\まあ、そういうことにして\クビになるから気をつけろよ。
こんなことしても良いことないよ。デメリットだらけだし、せいぜいトローリングして笑えるくらいだろ。
昔の従業員に銀行口座とか税金情報を聞き出すのって大変だよね。30ドル渡して、それで連絡不要にすれば大半は解決するんじゃない?
会社がすでに多く払いすぎてたら、わざわざ連絡しなくてもいいんじゃないの?それって無理?
ドイツの雇用証明書には隠語があって、マイナスなことは書けないから、言葉の選び方や強調の有無で意味を変えるんだ。「最大限満足」と「常に最大限満足」じゃ全然評価が違うってことね。人事部門の人はみんな知ってるらしいよ。非ドイツ系の同僚にはF評価でもすごいって聞こえちゃうから説明しなきゃいけないんだ。変な慣習だよね。
前の会社では逆の問題があったんだ。Apple Mailアプリでリンクにカーソルを合わせると、ページのプレビューが開いちゃうんだよね。だからURLを確認しようとすると、自動的にリンクにアクセスしちゃって、追加の研修を受けさせられちゃうんだ。
「Freedom of Information Act」ってさ、なんか良い響きじゃん!
「元のメールは正規で、リンクをクリックしても大丈夫」っていうフォローアップメール、それこそフィッシング詐欺師がやりそうな手口じゃん。絶対クリックしちゃダメだろ。
AWSから請求書のメールアドレスが変わるって連絡が来たんだけど、新しいアドレスが「no-reply@tax-and-invoicing.us-east-1.amazonaws.com」とかいう怪しいやつでさ。これじゃ詐欺メールと間違えるだろって思ったら、やっぱりAWSが通知を撤回したよ。他のAWSメールのアドレスはもっとちゃんとしてるのにね。
「Amazon Connections」ってあのFAANGで使われてたアプリのこと?あれ、社員からマジで嫌われてたよね。Linuxラップトップユーザーは、みんなあのアプリを無効化したり削除したりするハックを見つけてたよ。
これ、俺のフィッシングビジネスで使えそうだな。最初のフィッシング試行を追跡して、2日後に「あれ本物だったよ」ってフォローアップメール送るって手もあるぞ。
俺が働いてたとこは、必須のセキュリティトレーニング通知が怪しいメールから来てたんだ。「あなたはトレーニングに登録されました https://phishing.site.example.com/abdlejrj 」みたいな短文でさ。俺はいつもフィッシングとして報告してたけど、誰もフォローアップしてこなかったな。
これって一般的な慣行じゃない?重要な役職を雇う時って、リファレンスを求めたり、以前の上司に連絡取ったりするよね。誰も悪いことなんて言わないから、HRはポジティブなコメントの「評価レベル」をどう採点するか、ってトレーニングを受けてるし、採用担当者にも教えてるんだ。「Xさんがここで働いてたのは事実で、頼んだ仕事は全部ちゃんとやってくれたよ」と、「彼は仕事が素晴らしかったし、積極的でイノベーションを推進してくれた。彼が辞めるのは寂しいね」じゃ、全然意味が違うってこと。
俺の疑問はこれ。なんでわざわざ本音を書く必要があるの?雇用主が正直なことを書くインセンティブなんてある?結局、当たり障りのない、一番ポジティブなことしか書かないじゃん。何も隠れた意味がないようなやつを。
会社の必須コンプライアンスメールをフィッシングとして報告しちゃえばいいじゃん。俺が働いたことのある複数の大企業では、毎年のITセキュリティの確認メールが、まさに悪意のあるメールそっくりなんだよ。変なフォーマットだし、怪しい外部URLから来てて、緊急のアクションを求めてて、従わないと懲戒処分だぞって脅してくるし。トレーニングにこんなに金使ってるのに、すぐにユーザーを脅迫に慣れさせてるってこと。
X-PHISHっていうヘッダーが付いたメールに、条件を追加するかどうか、ってことかもしれないね。
それブロックしても、結局俺の受信箱に強制的に表示されるんだよね。
