Vimeo成员遭受网络钓鱼电子邮件骗局

Vimeo, 一个流行的在线视频分享网站, 通常有黑客和激进分子社区的支持(看看最近对互联网服务提供商的黑客攻击，他们选择阻止Vimeo，因为它用于视频分享). 然而，上周晚些时候的一次网络钓鱼攻击表明，Vimeo越来越受欢迎可能会让那些从未使用过该网站的人付出代价.

美国东部时间上周四下午6点左右，一位Vimeo用户在twitter上发表了一条评论 Vimeo论坛文章表示收到一封电子邮件，据称是来自 华盛顿邮报》 记者.

Vimeo论坛是Vimeo允许用户举报垃圾邮件的方式. 在周四发布之前, 在过去的12个月里，对这篇垃圾文章的评论不超过20条.

当Vimeo用户发表评论时, 包括邮件正文, Vimeo的技术支持代表回应说，没有这个名字的账户记录，这似乎不是一个问题. 最初的帖子和技术支持代表的回复都已被删除, 这表明Vimeo直到周五早上才被告知问题的性质.

我在一个非公开的电子邮件地址收到了这封钓鱼邮件, 也没有在Vimeo注册, 周五凌晨12:47. 通过iPhone的预览功能, 不打开电子邮件, 我确定这是垃圾邮件, 虽然邮件系统没有将其标记为垃圾邮件.

几个小时后, 我搜索了邮件中的关键短语，找到了上面提到的关于Vimeo垃圾邮件的文章. 到那时，早上6点半. 在周五, 这篇垃圾文章收到了120多条回复, 最后100封是专门针对钓鱼邮件的.

关于这篇垃圾文章最古老的评论来自Vimeo用户Chris Cook, 他提供了这封邮件的正文:

Hi!

我在vimeo上找到了你的视频.Com(视频分享网站)，我们可以在我们的新闻网站上发布你的视频吗?

谢谢你！

记者戴丽丝·沙利文

华盛顿邮报 (华盛顿邮报.com)

网络钓鱼攻击提供了一组链接 华盛顿邮报》 “请求”发布视频, 包括一个链接，以回复来自Vimeo消息系统的所谓消息, 一个指向用户个人资料的链接，以及——至少对库克来说——第三个链接. 最近这封邮件的文本质量有所提高.

东部时间今天中午, 似乎有超过300个帖子是关于这个特定的垃圾邮件的, 一些有趣的趋势出现了.

首先，模板副本是一个非常好的副本，甚至显示它是从“noreply@vimeo”发送的.Com”，为那些最初可能认为这封邮件是垃圾邮件的人提供帮助.

“我们今天早些时候发现了网络钓鱼企图,Vimeo发言人周五晚些时候写道, 在第一个帖子出现后将近24小时. “第三方复制了Vimeo的电子邮件模板，并一直在使用该模板向许多人发送网络钓鱼邮件."

第二个, 邮件中的链接指向一家加拿大的在线药店, 至少基于悬停在链接上. 对于很多用户来说, 然而, 链接解析到其他位置, 包括几个德国和俄罗斯的网站.

“内部链接, 虽然它们看起来像Vimeo, 显然不是来自Vimeo,Vimeo成员曼迪·托马斯写道. “如果我把鼠标悬停在电子邮件的内部链接上，它们是别的东西，而不是Vimeo链接. 以下是我一直收到的邮件内容. 唯一改变的是所谓的记者的名字 ...".

第三, 正如托马斯提到的, 似乎网络钓鱼攻击中的每封电子邮件都有不同的名称 华盛顿邮报》 “记者”:在我的私人电子邮件地址收到的三封邮件中, 每个都声称来自 华盛顿邮报》 记者，“记者”的名字是不同的. 搜索一下Vimeo论坛的帖子，就会发现数百个不同的名字被使用.

第四, 这些钓鱼邮件不仅发送给Vimeo用户, 但对许多非用户来说, 比如我自己, 没有注册Vimeo账户的人.

“第三方复制了Vimeo的电子邮件模板,Vimeo发言人在一份书面声明中重申, 并一直在使用该模板向许多人发送网络钓鱼邮件，包括没有Vimeo账户的人."

第五, 考虑到这么多名字被使用, 这似乎是一个足够复杂的网络钓鱼攻击，它带来了一个安全漏洞的问题. Vimeo否认此事.

“重要的是, 然而, Vimeo没有安全漏洞，负责任的第三方没有使用Vimeo的服务器或电子邮件数据库发送这些电子邮件,发言人指出. “我们已经通知用户这种情况，并指示他们不要回复电子邮件."

第六，有可能每一个 华盛顿邮报》 “记者”的名字是另一个Vimeo用户的名字，造成了更多的混乱.

例如, 在发给Vimeo Plus用户Visual Nomad的电子邮件中写道, 该记者是“Sliona White”，如果Visual Nomad想回复(vimeo.com/messages/user142695221)，以及据称指向Sliona White在Vimeo上的个人资料的链接(vimeo.com/user142695221).

不确定用户配置文件是否与名称匹配. 然而，如果是这样，这将表明潜在的数据泄露.

第七，它进入了如此多的私人账户，以及非常多的Mac电脑.com / Me.com地址引发了一个问题，即网络钓鱼攻击是来自Vimeo内部的列表还是电子邮件服务提供商. 例如，许多网络钓鱼电子邮件是由nk11p00mm-smtpin129生成的.mac.com ([17.158.160.[111])， Mac电脑.Com电子邮件服务器.

Vimeo表示，它正在与电子邮件服务提供商合作, 特别是在非vimeo账户持有人收到来自facebook的多个“请求”之后 华盛顿邮报》 “记者”.

“我们也在联系电子邮件提供商，他们的域名似乎被锁定为阻止这些电子邮件的目标,发言人指出.

最后，当 华盛顿邮报》 “请求”邮件已经停止, 一些垃圾邮件取代了最初的邮件，声称“在线销售高质量药物”.

我的个人账户从未收到过垃圾邮件, 在过去的两天里，我已经收到了六条信息. 这再次导致了潜在的安全漏洞, 在最坏的情况下, 或者它最多表明网络钓鱼攻击成功地提高了受损Vimeo用户帐户和非用户的个人资料.

华盛顿邮报 用自己的博客文章回应了网络钓鱼攻击.

“垃圾邮件发送者似乎冒充来自 华盛顿邮报 并向视频分享网站Vimeo的用户发送电子邮件。 华盛顿邮报的 Andrew Pergam在周五下午晚些时候的博客文章中写道.

“在那些电子邮件中，他们提出要在《百家乐app下载》上播放这些视频.Pergam继续说道，并补充道，“这些电子邮件不是来自帖子. 我们的工作人员中没有人在寻找有关Vimeo视频的任何信息."

那么，流媒体行业如何看待这次攻击呢? 这仅仅是网络视频越来越受欢迎的迹象，还是数据泄露? 目前还没有好的答案.

Vimeo需要更多地了解导致潜在数据泄露的巧合问题的数量, 但整个行业需要开始考虑安全问题——数字版权管理之外的安全问题.Com在过去两年的几篇文章中讨论了这个问题. 通过处理电子商务和金融机构的基本双因素认证, 我们可以让流媒体行业对普通的在线视频观众更安全.