![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Как не надо бороться с identity theft.
1. Если у вас есть известная марка - например Experian - ни в коем случае не делайте сайт для борьбы с identity theft под этим доменом. Найдите что-нибудь максимально длинное, общее и допускающее различные толкования. Пусть юзер гадает - на самом деле оно называется defendmyid.com, protectmyid.com, protectidforme.com, protectmyidentity.com или identityprotector.com?
2. Регулярно посылайте пользователям письма, в которых призывайте их залогиниться на сайт и посмотреть новости. Ни в коем случае не пишите в письме, какого рода новости, кому предназначено письмо и вообще не оставляйте никаких маркеров, позволяющих отличить ваше письмо от обычного спама. Присылайте это письмо, даже если на самом деле никаких новостей нет - настоящая дружба не тускнеет от повторных встреч!
3. Настойчиво предлагайте в вышеуказанном письме кликнуть на линк прямо в письме и ввести в получившейся страничке свой логин и пароль.
4. Важно: адрес вышеуказанного линка ни в коем случае не должен совпадать ни с основным доменом компании, ни со специальным доменом, который вы придумали в п.1. Этот линк должен вести на совершенно новый, третий домен, который не имеет отношение к первым двум. Так вы приучите пользователя, что нужно кликать на любые линки, которые пришлют вам по почте, и вводить в получившиеся сайты пароли, и ваш бизнес по защите от identity theft всегда будет востребован. Ещё лучше, если линк ведёт на домен, который используется ещё миллионом компаний для трекинга линков и достигает вашего домена только после десятка перенаправлений.
5. Ещё важно: адрес, с которого послано письмо, ни в коем случае не должен совпадать с тремя доменами, перечисленными выше, а исходить из четвёртого домена, называющегося максимально таинственно - вроде xrtpzht.com. Этим вы приучите юзера, что не нужно смотреть, откуда письмо, а надо кликать и вводить пароли.
6. Сайт, на который юзер попадёт, кликнув на линк, после ввода пароля должен периодически выдавать ошибки вроде "извините, что-то пошло не так, попробуйте ещё раз" и "мы вот прямо сейчас чиним наш сайт, зайдите попозже" (чинить сайт надо начинать непосредственно перед массовой рассылкой всем юзерам, это самый лучший для этого момент). Этим вы приучите юзера, что если вы ввели куда-то пароль и не получили нужного сайта, не надо паниковать и менять пароли, а надо просто ввести пароль куда-нибудь ещё раз - авось на этот раз повезёт.
7. Обязательно в каждом письме напоминайте юзерам, что если они заплатят вам скромную сумму денег прямо сейчас, то вы будете заботиться об их приватности ещё круче и посылать им мейлы ещё чаще.
Все примеры кагбэ из реальности, увы.
1. Если у вас есть известная марка - например Experian - ни в коем случае не делайте сайт для борьбы с identity theft под этим доменом. Найдите что-нибудь максимально длинное, общее и допускающее различные толкования. Пусть юзер гадает - на самом деле оно называется defendmyid.com, protectmyid.com, protectidforme.com, protectmyidentity.com или identityprotector.com?
2. Регулярно посылайте пользователям письма, в которых призывайте их залогиниться на сайт и посмотреть новости. Ни в коем случае не пишите в письме, какого рода новости, кому предназначено письмо и вообще не оставляйте никаких маркеров, позволяющих отличить ваше письмо от обычного спама. Присылайте это письмо, даже если на самом деле никаких новостей нет - настоящая дружба не тускнеет от повторных встреч!
3. Настойчиво предлагайте в вышеуказанном письме кликнуть на линк прямо в письме и ввести в получившейся страничке свой логин и пароль.
4. Важно: адрес вышеуказанного линка ни в коем случае не должен совпадать ни с основным доменом компании, ни со специальным доменом, который вы придумали в п.1. Этот линк должен вести на совершенно новый, третий домен, который не имеет отношение к первым двум. Так вы приучите пользователя, что нужно кликать на любые линки, которые пришлют вам по почте, и вводить в получившиеся сайты пароли, и ваш бизнес по защите от identity theft всегда будет востребован. Ещё лучше, если линк ведёт на домен, который используется ещё миллионом компаний для трекинга линков и достигает вашего домена только после десятка перенаправлений.
5. Ещё важно: адрес, с которого послано письмо, ни в коем случае не должен совпадать с тремя доменами, перечисленными выше, а исходить из четвёртого домена, называющегося максимально таинственно - вроде xrtpzht.com. Этим вы приучите юзера, что не нужно смотреть, откуда письмо, а надо кликать и вводить пароли.
6. Сайт, на который юзер попадёт, кликнув на линк, после ввода пароля должен периодически выдавать ошибки вроде "извините, что-то пошло не так, попробуйте ещё раз" и "мы вот прямо сейчас чиним наш сайт, зайдите попозже" (чинить сайт надо начинать непосредственно перед массовой рассылкой всем юзерам, это самый лучший для этого момент). Этим вы приучите юзера, что если вы ввели куда-то пароль и не получили нужного сайта, не надо паниковать и менять пароли, а надо просто ввести пароль куда-нибудь ещё раз - авось на этот раз повезёт.
7. Обязательно в каждом письме напоминайте юзерам, что если они заплатят вам скромную сумму денег прямо сейчас, то вы будете заботиться об их приватности ещё круче и посылать им мейлы ещё чаще.
Все примеры кагбэ из реальности, увы.
Tags:
no subject
no subject
no subject
no subject
А платить этим мудакам денег - не просто бессмысленно, а даже вредно.
no subject
Оштрафовать за каждый украденный identity по 1 тыс. долл.
Вот тогда...
https://youtu.be/zBFF7uwZpKQ?t=490
no subject
no subject
А лучше, если б Конгресс послал бы их на три буквы, пусть сами разбираются.
no subject
Если злоумышленник украл identity у Джона Смита и теперь, хоть иногда, себя так называет, то Джона Смита же и штрафовать. Не промахнешся.
no subject
no subject
no subject