Home/Blog/Электронное письмо AT&T с подтверждением адреса: Что это такое и как безопасно ответить
Published May 11, 202620 min read
Электронное письмо AT&T с подтверждением адреса: Что это такое и как безопасно ответить

Электронное письмо AT&T с подтверждением адреса: Что это такое и как безопасно ответить

В вашей почте появляется письмо. Отправитель показывает "AT&T", в теме что-то вроде "Подтвердите адрес вашего обслуживания" или "Подтвердите адрес биллинга, чтобы избежать прерывания услуги". Вы наводите мышь на ссылку. URL выглядит наполовину правильно и наполовину неправильно. Добро пожаловать в наиболее распространённую точку принятия решения в современном сценарии письма о проверке адреса AT&T — момент, когда у вас есть примерно шестьдесят секунд, чтобы решить, следует ли вам выполнить запрос, проигнорировать его или пожаловаться.

AT&T действительно отправляет законные письма, связанные с адресом, для обеспечения точности биллинга, регистрации услуги E911 и доставки оборудования. Мошенники знают об этом и подделывают точный формат. Вы не можете позволить себе ошибку в любом направлении — клик по ссылке фишинга может привести к подмене SIM-карты и захвату аккаунта; игнорирование реального запроса может нарушить обслуживание. Асимметрия последствий — вот что делает этот конкретный шаблон фишингового письма AT&T таким эффективным.

К концу этого руководства вы сможете идентифицировать реальное письмо о проверке адреса AT&T менее чем за шестьдесят секунд, безопасно ответить без клика по чему-либо в самом письме и понять, почему этот шаблон — одна из самых стойких социально-инженерных атак в дикой природе сегодня.

Крупный план через плечо человека, сидящего за кухонным столом и смотрящего на открытый ноутбук. На экране ноутбука виден почтовый клиент с непрочитанным сообщением от "AT&T" во входящих. Рука человека зависает над трекпадом с колебанием

Содержание

Как отличить реальное письмо о проверке адреса AT&T от подделки за 60 секунд

Большинство читателей могут разрешить этот вопрос менее чем за минуту, если они знают шесть криминалистических маркеров для проверки. Таблица ниже — это диагноз. Проверьте полученное письмо по каждой строке, и ответ обычно становится ясен до того, как вы достигнете конца.

Маркер проверкиЗаконное письмо AT&TФишинговая подделка
Домен отправителяatt.com, att-mail.com, поддомены att.netПохожие домены (att-billing.com, attverify.co) или обычные ESP
ПриветствиеИспользует имя вашего аккаунта"Уважаемый клиент", "Уважаемый пользователь AT&T" или без приветствия
Что запрашиваетсяВойти для подтверждения адреса, уже имеющегося в файлеОтправить данные адреса через связанную форму
Назначение ссылки при наведенииРазрешается на att.com или известный поддомен AT&TРазрешается на незнакомый домен или сокращатель URL
Тон и срочностьИнформационный, без жёсткого языка с дедлайнами"В течение 24 часов", "Требуется немедленное действие"
Зеркало со стороны аккаунтаЗапрос также появляется при прямом входеНет соответствующего запроса внутри вашего аккаунта AT&T

Единственный наиболее надёжный признак — это домен отправителя. Законное письмо AT&T исходит из поддоменов att.com, att-mail.com, em.att-mail.com или att.net. Согласно официальному руководству AT&T по фишингу, любой адрес отправителя вне этих шаблонов следует по умолчанию считать подозрительным. Фишинговые наборы обычно используют похожие домены (att-billing.com, attsecure-verify.com, att.support-team.co) или обычные поставщики услуг электронной почты, которые не соответствуют инфраструктуре отправки операционных писем AT&T.

Второй по надежности признак — тест "что они запрашивают". Реальный запрос AT&T о проверке адреса просит вас подтвердить адрес, который у них уже есть в файле — вы входите, кликаете подтвердить или обновляете при необходимости. Фишинговое письмо просит вас отправить адрес в форму, встроенную в письмо или связанную с ним. Направление потока данных изменено, и это изменение диагностично.

Универсальные приветствия — третий почти окончательный маркер. Как документирует поддержка AT&T для малого бизнеса, операционные системы AT&T знают имя вашего аккаунта и используют его. "Уважаемый клиент" или "Уважаемый ценный подписчик AT&T" должны восприниматься как признак автоматического фишингового шаблона, а не как подлинная корреспонденция. Проверка ссылок — наведение мышки для выявления фактического целевого URL без клика — это единственное безопасное действие, которое вы должны выполнять внутри письма.

Что AT&T действительно нужно для проверки адреса — и пять вещей, которые они никогда не попросят

AT&T отправляет законные письма о проверке адреса по трём причинам. Во-первых, точность адреса биллинга важна для правильного применения государственных и местных налогов — неправильные адреса вызывают ошибки биллинга, которые вызывают последующую проверку аккаунта. Во-вторых, регистрация адреса услуги E911 требуется для беспроводной связи AT&T и установок AT&T Fiber; федеральные нормативы требуют от операторов связи поддерживать точный адрес отправки, связанный с каждой линией. В-третьих, доставка оборудования и планирование установки зависят от проверенного адреса. Руководство AT&T по фишингу Cyber Aware описывает это как стандартные контексты, в которых вы можете законно увидеть адресное сообщение.

Объём реального запроса ограничен. Законное письмо о проверке просит вас подтвердить адрес, который у AT&T уже есть. Ваша задача в подлинном процессе — войти в свой аккаунт и либо кликнуть "Подтвердить", либо обновить, если он устарел. AT&T не собирает новые конфиденциальные идентификаторы — номера социального страхования, номера платёжных карт, пароли аккаунта — через этот рабочий процесс. Канал проверки адреса является информационным, а не сбор данных.

Это различие — вот что делает следующие пять элементов диагностичными. Если любой из них появляется в письме, якобы от AT&T о проверке адреса, письмо мошеннически:

  • Ваш полный номер социального страхования. Проверка адреса не имеет компонента SSN. Любое письмо или связанная форма, запрашивающая полный SSN, — фишинг. AT&T может использовать последние четыре цифры SSN для проверки личности во время входящего звонка в службу поддержки клиентов — никогда через исходящую ссылку электронной почты.
  • Ваш полный номер платёжной карты или CVV. Проверка адреса не требует переполучения данных платежей. AT&T уже имеет ваш платежный инструмент в файле, если вы активный клиент; аутентифицированный портал биллинга — это единственное место, где эти данные собираются или обновляются.
  • Ваш пароль аккаунта AT&T или PIN. Ни один законный рабочий процесс AT&T не просит вас вводить пароль в форму, полученную из письма. Сброс пароля происходит на att.com после инициирования вами — не в ответ на незапрашиваемое сообщение.
  • Ваш номер и маршрутный номер банковского счёта. Они должны быть внутри аутентифицированного портала биллинга, за вашим входом и MFA. Любая неаутентифицированная форма, запрашивающая банковские данные, — фишинг, независимо от того, как убедительным выглядит брендинг.
  • Одноразовый пароль (OTP), отправленный на ваш телефон. Это красная линия подмены SIM-карты и захвата аккаунта. Согласно руководству AT&T по PIN-мошенничеству, AT&T никогда не будет отправлять письмо или звонить, прося вас прочитать, ввести или переслать SMS-код. OTP существует, чтобы держать злоумышленников в стороне; передача позволяет им войти.
AT&T никогда не попросит вас подтвердить одноразовый пароль, поделиться паролем или отправить ваш полный номер социального страхования через ссылку в письме. Любой из этих трёх запросов — достаточное доказательство того, что письмо мошеннически.

Если вам нужно проверить какой-либо запрос, существуют три безопасных канала, и ни один из них не включает клик по чему-либо в письме. Во-первых, позвоните по номеру, напечатанному на обратной стороне вашего последнего бумажного счёта AT&T, или номеру, напечатанному на att.com после того, как вы вручную введёте URL. Во-вторых, откройте мобильное приложение myAT&T — подлинные запросы на уровне аккаунта появляются внутри аутентифицированного опыта. В-третьих, вручную введите att.com и войдите. Если реальный запрос на проверку существует, он будет ждать внутри панели управления вашего аккаунта или центра сообщений. Документация AT&T по отчётам о мошенничестве подтверждает, что проверенная коммуникация всегда имеет зеркало в аккаунте.

Семиэтапный рабочий процесс безопасного ответа при получении письма о проверке адреса AT&T

Этот рабочий процесс предполагает, что вы уже получили письмо и пытаетесь решить, что делать дальше. Он применяется независимо от того, оказалось ли письмо реальным или поддельным — одни и те же шаги защищают вас в обоих случаях. Следуйте им по порядку.

  1. Не кликайте на какие-либо ссылки, кнопки или вложения в письме. Это включает ссылки "отписаться" — фишинговые письма иногда используют отписку как подтверждение того, что адрес живой и контролируемый. Относитесь к письму как к инертному доказательству до проверки через независимый канал.
  2. Проверьте домен отправителя. Кликните или коснитесь, чтобы развернуть полный адрес отправителя (большинство почтовых клиентов скрывают его по умолчанию). Сравните его с законными доменами AT&T: att.com, att-mail.com, em.att-mail.com, att.net. Всё остальное подозрительно до доказательства противного.
  3. Откройте новую вкладку браузера и вручную введите att.com. Не ищите "вход AT&T" в поисковой системе — спонсируемые фишинговые объявления иногда появляются выше законных результатов. Вводите URL посимвольно. Адресная строка — это единственный механизм аутентификации, который вы полностью контролируете.
  4. Войдите в свой аккаунт AT&T напрямую. Используйте существующие учётные данные. Если MFA включен — и это должно быть — завершите его с вашего собственного устройства. Целью этого шага является достижение аутентифицированной среды без доверия чему-либо в подозреваемом письме.
  5. Проверьте панель управления вашего аккаунта, раздел биллинга и центр сообщений на наличие соответствующего запроса. Если AT&T действительно нуждается в проверке адреса, запрос появляется внутри аутентифицированного аккаунта — вкладка биллинга, вкладка профиля или уведомление центра сообщений. Если ничего не появляется, письмо почти наверняка фишинг.
  6. Сообщите о подозреваемом письме AT&T. Переправьте письмо как вложение (а не как переадресованное встроенное сообщение) на [email protected], или используйте рабочий процесс отчётности AT&T. Пересылка как вложение сохраняет заголовки, которые нужны команде безопасности AT&T для отслеживания кампании и запроса удаления.
  7. Удалите письмо из папки входящих и папки корзины. Затем, если вы подозреваете какое-либо другое воздействие на аккаунт, измените пароль AT&T и включите дополнительную MFA на странице безопасности аккаунта. Очистка дешева; предположение, что вы в безопасности, когда вы не в безопасности, — дорого.
Инфографика: Рабочий процесс безопасного ответа на подозреваемые письма AT&T

Порядок имеет значение. Каждый шаг предполагает, что предыдущий шаг сузил вашу уязвимость. К тому времени, когда вы дойдёте до шага пять, вы либо подтвердили, что письмо законно (запрос появляется в аккаунте), либо подтвердили, что оно мошеннически (нет зеркала в аккаунте). Шаг шесть даёт команде безопасности AT&T артефакт, который ей нужен, чтобы действовать в отношении кампании. Шаг семь предотвращает повторное сомнение письма в следующий раз, когда вы прокручиваете папку входящих.

Почему проверка адреса — это шаблон фишинга, который работает так хорошо

Проверка адреса кажется скучной и бюрократической. Запрос "подтвердить адрес вашего аккаунта" не вызывает такого же скептицизма, как "Ваш аккаунт взломан" или "Подозрительный вход из Беларуси". Злоумышленник использует низкое эмоциональное сопротивление. Поведенческое соответствие выше, когда просьба небольшая, процедурная и согласуется с тем видом рутинного письма об обслуживании, которое люди получают каждую неделю от коммунальных служб, банков и сервисов подписки. Получатель не в тревоге, потому что запрос не кажется таковым.

То, что мошенники действительно хотят от этого шаблона, редко является одним адресом. Собранная комбинация — полное имя, текущий физический адрес, номер телефона, адрес электронной почты и (в более продвинутых наборах) последние четыре цифры карты или частичный SSN — это почти полный профиль личности. Последующее использование хорошо задокументировано в практике безопасности: атаки на подмену SIM-карты на захватанный номер телефона, попытки захвата аккаунта на других сервисах с использованием повторного распыления учётных данных, перехват пакета по физическому адресу и создание синтетической личности для мошеннических заявок на кредит. Руководство AT&T по PIN-мошенничеству явно связывает сбор номеров телефонов с попытками подмены SIM-карты, что является атакой с наибольшим воздействием, которую этот шаблон проверки адреса включает.

Мошенникам не нужна ваша полная личность, чтобы нанести реальный ущерб. Ваш физический адрес, электронная почта и номер телефона — точно те три поля, которые собирает форма проверки адреса — достаточны для запуска подмены SIM-карты, перехвата пакета или запуска повторного распыления учётных данных на другие ваши аккаунты.

AT&T — один из самых узнаваемых брендов в Северной Америке. Фишинговые наборы, которые его выдают, наследуют благодатный ореол бренда. Получатели дают письму пользу сомнения, которую они никогда не распространили бы на неизвестного отправителя. Мошенники специально нацеливаются на шаблоны брендов с высоким доверием, потому что стоимость производства убедительного клона примерно фиксирована, а коэффициент отклика масштабируется с узнаваемостью бренда. Клонирование региональной интернет-компании даёт небольшую аудиторию; клонирование AT&T даёт десятки миллионов правдоподобных получателей. Экономика благоприятствует большей цели каждый раз.

Некоторые кампании добавляют давление с дедлайном — "Подтвердите в течение 24 часов, чтобы избежать прерывания обслуживания" — чтобы подтолкнуть колеблющихся получателей к действию. Это срабатывает на небольшом, но надёжном проценте получателей, обычно на тех, кто недавно переехал, недавно изменил планы или недавно установил новую услугу, где реальный запрос проверки адреса казался бы правдоподобным в этот конкретный момент. Злоумышленнику не нужно, чтобы каждый получатель согласился. Коэффициент отклика примерно в один-два процента на кампанию из миллионов — это всё ещё существенный урожай, и структура затрат фишинговых наборов поглощает отказ остальных девяносто восьми процентов без напряжения.

Инфраструктура укрепляет эту математику. Фишинговые наборы, выдающие крупные телекоммуникационные бренды, продаются и сдаются в аренду как товары на криминальных рынках. Расходы на установку низкие; один скомпрометированный домен может запустить кампанию в течение часов до того, как уведомления о удалении получат. Новые домены возникают в тот момент, когда старые исчезают. Экономика работает даже при коэффициентах конверсии значительно ниже одного процента, что объясняет, почему эти шаблоны сохраняются год за годом несмотря на кампании по просвещению потребителей и непрерывные улучшения в аутентификации электронной почты. Пока стоимость запуска кампании остаётся ниже стоимости собранных данных, шаблон остаётся в производстве.

Знание вариантов помогает вам быстрее сопоставлять шаблоны. Наиболее распространённые шаблоны фишинга проверки адреса попадают в несколько узнаваемых форм, и как только вы увидели каждую форму с меткой, следующее событие разрешается за секунды, а не за минуты.

Шесть вариантов письма о проверке адреса AT&T, которые вы должны узнавать с первого взгляда

Один и тот же шаблон постоянно переоформляется, но основные социально-инженерные крючки попадают в полдюжина знакомых шаблонов. Если вы можете назвать вариант, вы уже наполовину разрешили вердикт.

  • "Подтвердите адрес вашей службы AT&T в течение 24 часов." Язык с жёстким дедлайном — это выдача. AT&T не устанавливает 24-часовые дедлайны для подтверждения адреса; даже обновления E911 допускают более длительные окна. Вердикт: Почти наверняка фишинг. Действие: Запустите рабочий процесс раздела 3, сообщите на [email protected] и удалите.
  • "Обновите адрес биллинга для соответствия налогам." Правдоподобно звучащий, потому что точность налогов штата и местные налоги — реальная причина, по которой AT&T отслеживает адреса биллинга. Фразировка заимствует достаточно операционной лексики, чтобы казаться внутренней. Вердикт: Правдоподобно, но проверьте. Действие: Войдите на att.com напрямую. Если обновление биллинга действительно необходимо, оно появляется в разделе биллинга. Если нет, сообщите о письме и продолжайте.
  • "Проверьте свой адрес для активации службы 5G / Fiber." Доступность 5G определяется охватом вышки, а не проверкой адреса, отправленной пользователем через ссылку в письме. Установки AT&T Fiber включают назначенные встречи и подтверждённые наряды на работу, а не незапрашиваемые формы электронной почты. Вердикт: Фишинг почти во всех случаях. Действие: Подтвердите любую предстоящую установку через свой аккаунт AT&T или печатный наряд техника, а не через письмо.
  • "Проверка безопасности аккаунта AT&T — проверьте вашу информацию." Универсальный catch-all шаблон. Законные проверки безопасности AT&T не просят вас переполучать адрес, SSN или данные платежей через ссылку в письме — они появляются внутри страницы безопасности аутентифицированного аккаунта. Вердикт: Фишинг. Действие: Войдите напрямую и проверьте раздел безопасности вашего аккаунта.
  • "Адрес в файле не соответствует недавней активности — переподтвердите." Разработано звучать как предотвращение мошенничества со стороны AT&T. Ирония в том, что само письмо является мошенничеством, работающим в противоположном направлении. Вердикт: Фишинг. Действие: Позвоните в AT&T, используя номер на вашем бумажном счёте, если у вас есть какие-либо опасения по поводу фактической активности аккаунта. Не отвечайте на письмо.
  • "Запрос подтверждения адреса в простом тексте" (без логотипа, без форматирования). Операционные письма AT&T отформатированы в HTML с фирменными заголовками, персонализацией для конкретного аккаунта и согласованной информацией в подвале. Запрос адреса простого текста от чего-либо, похожего на AT&T, — признак фишингового набора низкой сложности, пропустившего бюджет дизайна. Вердикт: Фишинг. Действие: Удалите и сообщите.
Снимок сверху вниз смартфона, показывающего входящую папку с несколькими видимыми письмами. Одно письмо выделено красным полупрозрачным наложением или визуальным маркером (чехол телефона, клейкая ярлычок флага или скрепка, расположенные на краю экрана) indica

Если полученное вами письмо не совпадает точно с одним из этих шести, оно вероятно совпадает с гибридом — большинство активных кампаний смешивают два или три крючка (срочность плюс соответствие налогам, или проверка безопасности плюс активация 5G). Логика вердикта остаётся прежней. Запустите её через таблицу сравнения раздела 1 и рабочий процесс раздела 3; ответ разрешается сам собой.

Клик по ссылке фишинга не эквивалентен передаче вашего аккаунта. Ущерб зависит от того, что произошло дальше — вводили ли вы учётные данные, загружали ли вложение или просто приземлились на страницу и закрыли вкладку. Действуйте в худшем предположении и сортируйте вниз. Контрольный список ниже расположен по срочности: завершите шаг первый перед шагом второй, шаг второй перед шагом третий и так далее.

  1. Сначала отключитесь, если вы что-нибудь загрузили. Если ссылка вызвала загрузку файла — даже такого, который явно не открывался — отключите устройство от Wi-Fi и запустите полное сканирование антивируса перед возобновлением какой-либо активности аккаунта с этого устройства. Вредонос, который приземлился молча, — наихудший сценарий, и изоляция даёт вам время.
  2. Немедленно измените пароль AT&T с другого доверенного устройства. Используйте приложение myAT&T на телефоне, если вы кликнули на ссылку с рабочего стола, или наоборот. Используйте уникальный пароль, не переиспользуемый ни на каком другом сервисе. Цель — аннулировать любые учётные данные, которые злоумышленник мог захватить, прежде чем они будут использованы.
  3. Включите или укрепите MFA на вашем аккаунте AT&T. Специально включите защиту пин-кода / пароля аккаунта AT&T, которая согласно руководству AT&T по PIN-мошенничеству является основной защитой от подмены SIM-карты. Без PIN-кода уровня аккаунта злоумышленник с вашим номером телефона и основной информацией личности может иногда социально-инженерировать подмену SIM-карты через канал обслуживания клиентов.
  4. Измените пароли на любых других аккаунтах, которые совместно используют пароль AT&T или адрес восстановления по электронной почте. Сначала идут аккаунты электронной почты и банковские; всё остальное следует. Фишеры запускают скрипты повторного распыления учётных данных в течение часов после сбора, а переиспользуемые пароли — единственный наиболее высокодоходный ввод для этих скриптов.
  5. Проверьте свой аккаунт AT&T на предмет несанкционированных изменений. Посмотрите на: адрес биллинга, методы платежей в файле, номера переадресации, авторизованные пользователи, недавние заказы оборудования и недавние изменения плана обслуживания. Любое неожиданное изменение — сигнал того, что аккаунт был просмотрен — не только зонди.
  6. Свяжитесь со службой поддержки мошенничества AT&T напрямую. Используйте канал отчётности о мошенничестве на странице отчёта о мошенничестве AT&T для отмечивания инцидента на вашем аккаунте. Это размещает примечание на аккаунте, поэтому любая последующая подозреваемая активность проверяется вручную, а не обрабатывается автоматически.
  7. Подайте предупреждение о мошенничестве в кредитные бюро, если вы отправили SSN или финансовые данные. 12-месячное предупреждение о мошенничестве бесплатно и требует связи только с одним бюро — они обязаны уведомить две другие. Это вынуждает кредиторов проверять личность перед открытием новых аккаунтов на ваше имя.
  8. Следите за вашим телефоном на предмет необычной активности SIM в течение следующих 72 часов. Потеря сотовой сети без очевидной причины — классический симптом подмены SIM. Если это произойдёт, немедленно свяжитесь с AT&T с другой линии. Окно между подменой SIM и последующим захватом аккаунта часто измеряется в минутах, а не в часах.

Контрольный список масштабируется с воздействием. Если вы только кликнули на ссылку и закрыли вкладку без ввода чего-либо, шаги 1-3 и шаг 6 достаточны. Если вы вводили учётные данные или отправляли какие-либо данные формы, запустите весь контрольный список по порядку без пропусков.

Как операторы SaaS и email-маркетеры должны защищать своих пользователей от фишинга на тему AT&T

Каждый бизнес с потоком регистрации наследует часть поверхности угроз, с которой сталкивается AT&T. Злоумышленники, которые собирают учётные данные AT&T, используют их в качестве восстановления на продуктах SaaS. Злоумышленники, которые запускают фишинг стиля AT&T, запускают ту же игру с вашим брендом, как только вы станете достаточно крупными, чтобы быть стоящими клонирования. Игровое поле защиты значительно перекрывается, и уроки того, как AT&T формирует свою позицию по фишингу, напрямую переводятся в операционные элементы управления, которые вы можете реализовать в этом квартале.

  • Проверяйте адреса электронной почты при регистрации, а не только во время отправки. Валидация электронной почты в реальном времени в форме регистрации блокирует одноразовые, ролевые и известные вредоносные адреса перед тем, как они попадут в вашу базу пользователей. Пользователь, который регистрируется с одноразовым адресом, намного более вероятно запускает рабочий процесс злоупотребления или перепродажи фишинга, чем подлинный клиент. Вот где валидация адреса электронной почты принадлежит — в форме, возвращающей результат менее чем за секунду, поэтому опыт пользователя остаётся гладким, в то время как плохие актёры получают блокировку у дверей.
  • Специально блокируйте одноразовые и временные домены входящего ящика. Мошенники, собирающие учётные данные AT&T, обычно организуют их через одноразовые входящие — Mailinator, Guerrilla Mail, Temp-Mail и тысячи менее известных эквивалентов. Проверка адреса одноразовой электронной почты в реальном времени перехватывает адреса, происходящие из этих сервисов, что одновременно уменьшает злоупотребление и улучшает долгосрочный профиль доставляемости вашего отправляющего домена.
  • Внедрите DMARC, SPF и DKIM на собственном исходящем домене. Фишеры, которые не могут легко выдать себя за ваш домен, вынуждены использовать похожие домены, которые легче заметить для конечных пользователей. Без принудительного установления политики DMARC на уровне p=reject, ваш бренд — один из более дешёвых шаблонов для клонирования. Аутентификация электронной почты больше не является дополнительной инфраструктурой — это основное условие для любого бренда, который ведёт операции через электронную почту.
  • Просвещайте пользователей в тех же каналах, через которые вы с ними общаетесь. Краткое примечание в ваших операционных письмах — "Мы никогда не будем просить вас подтвердить свой адрес, кликнув на ссылку в письме; всегда входите напрямую" — преподаёт тот же урок, который преподаёт AT&T, от вашего имени. Стоит ничего и компундируется со временем. Пользователи, которые усваивают этот принцип, применяют его ко всем брендам, включая ваш.
  • Требуйте MFA на аккаунтах, которые имеют существенную ценность. Адрес плюс электронная почта плюс телефон — достаточно данных для начала запуска повторного распыления учётных данных. MFA разрывает цепочку убийств даже при утечке учётных данных. Для аккаунтов с методами платежей в файле, доступом к биллингу или разрешениями администратора MFA должна быть обязательной, а не дополнительной.
  • Следите за сигналами чёрного списка и злоупотребления в активной базе пользователей. Периодическая переверификация адресов электронной почты выявляет аккаунты, которые с тех пор показали себя в списках злоупотребления. Адрес, который был чистым при регистрации, может быть нечистым через шесть месяцев — адреса могут быть скомпрометированы, аккаунты могут быть проданы, поведенческие шаблоны могут измениться. Ежеквартальный проход переверификации сигналов чёрного списка — дешевая страховка против ношения скомпрометированных пользователей в вашем списке.

Самый быстрый способ протестировать первые два рекомендации — это бесплатный уровень — 50 вызовов API, без кредитной карты. Подключите его к форме регистрации за флагом функции, смотрите неделю трафика регистрации и измерьте скорость, с которой одноразовые и недействительные адреса появляются в вашей воронке. Большинство операторов удивлены базовым показателем. Эксперимент стоит ничего для запуска и даёт вам конкретный номер для размера проблемы перед тем, как вы берёте обязательство по плану с оплатой. Это примерно самая дешёвая часть операционной тщательности, которую вы запустите этот квартал.

Часто задаваемые вопросы о письмах о проверке адреса AT&T

Я проигнорировал письмо о проверке адреса AT&T несколько месяцев назад. Должен ли я волноваться?

Если ваша услуга AT&T всё ещё активна и вы не видели проблем с биллингом или обслуживанием, письмо было почти наверняка фишингом, и игнорирование его было правильным вызовом. Войдите в свой аккаунт AT&T один раз, чтобы подтвердить, что нет ожидающего законного запроса. Далее относитесь к любому неразрешённому уведомлению внутри аутентифицированного аккаунта как к источнику истины, а не к письму.

Могу ли я просто позвонить в AT&T, чтобы проверить, является ли письмо о проверке адреса реальным?

Да — и это безопасный путь при сомнении. Используйте номер обслуживания клиентов, напечатанный на обратной стороне вашего последнего бумажного счёта, или номер, напечатанный на att.com после того, как вы вручную вводите URL. Не используйте номер телефона, указанный в самом подозреваемом письме; фишинговые наборы обычно включают номера обратного звонка, контролируемые злоумышленниками, которые завершают социально-инженерный цикл. Страница отчётов о мошенничестве AT&T содержит список проверенных каналов.

Когда-либо AT&T просит проверку адреса через SMS или телефонный звонок?

Редко, и никогда таким образом, чтобы просить вас подтвердить одноразовый код или прочитать PIN. Любой входящий звонок или текст, претендующие на AT&T и просящие вас проверить код, полученный на ваш телефон, — это попытка подмены SIM-карты. Повесьте трубку, не отвечайте и свяжитесь с AT&T через известный канал. Шаблон PIN-мошенничества задокументирован в руководстве AT&T Cyber Aware.

Я управляю малым бизнесом с услугой AT&T. Шаблоны фишинга отличаются?

Шаблон одинаков; ставки выше. Бизнес-аккаунты часто имеют более высокие кредитные лимиты, несколько линий и прилагаемые к ним договоры аренды оборудования, что делает их непропорционально привлекательными целями. Поддержка AT&T для малого бизнеса специально предупреждает о шаблонах подделки фишинга, направленных на бизнес-аккаунты. Обучите любого сотрудника с доступом к аккаунту AT&T рабочему процессу, описанному ранее — стоимость скомпрометированного бизнес-аккаунта значительно выше, чем скомпрометированного потребительского аккаунта.

Насколько опасно, если мошенники получат только мой адрес — больше ничего?

Само по себе, низший риск. В сочетании с адресом электронной почты и номером телефона, которые обычно собирает та же форма, значительно выше риск — эта тройка — отправная точка для подмены SIM-карты, захвата аккаунта и перехвата пакета. Относитесь к трём полям как к одному пакету, а не к трём отдельным элементам. Форма, которая собрала адрес, почти наверняка собрала и два других.

Куда я должен сообщить о письме фишинга, выдающем AT&T?

Переправьте его как вложение (а не как встроенную пересылку) на [email protected]. Рабочий процесс отчётности AT&T о мошенничестве задокументирован на их странице поддержки. Вы также можете сообщить о фишинге FTC на reportfraud.ftc.gov, что помогает построить более широкую картину правоприменения, хотя это не разрешит вашу индивидуальную ситуацию. Сообщение через оба канала займёт около двух минут и способствует действиям по удалению против основной инфраструктуры фишинга.