Ochráňte svoj web pred phishingom

You may also like...

14 komentárov

  1. Sveťa M. píše:

    Logická chyba v tom nie je. Akurát, ak používatelia ignorujú výzvy, aby nikam a nikdy nezadávali napr: hodnoty svojej grid karty, tak rovnako budú ignorovať aj nutnosť mať pri formulároch zobrazený personalizovaný prvok. Taktiež je dobre možné, že pri častom zobrazovaní(napr: v IB dennodenne) ho prestanú vnímať.

  2. sloper píše:

    [1] Ako to vystihol rony – „hravejšia forma“. Personalizovany prvok moze byt i uploadnuty obrazok – povedz zenskej, ze si tam moze vrazit trebars robbie williamsa – hned ju taka ochrana zaujme…

  3. rony píše:

    [1] nesmies to davat do akehokolvek bezvyznamneho formulara – do tych naozaj podstatnych, kde ti ide o viac ako o par slov, ktore kamsi posles.
    [2] ano, kludne aj uploadnuty obrazok, samozrejme plus personalizovany text. Zaroven autor aplikacie musi jasne odlisit dolezite formulare (ako pisem v odpovedi na [1]). Dalsi problem je iba v tom, ako jednoducho zabezpecis, aby ti niekto nepodsunul rovno tvoj personalizovany formular – myslim, ze tam je jadro celeho premyslania nad touto technikou.

  4. Sveťa M. píše:

    No ja osobne by som Robieho prehliadla aj keby išiel oproti mne na ulici, nieže na monitore. Som totiž na úplne ale úplne iné typy. :))
    Celý nápad vždy bude krívať na stanu používateľa. Ten nie je schopný rozlíšiť, čo je dôležitý formulár. (Uvažujme napríklad o internetbankingu.) Keď od neho bude „technická obsluha banky“ pýtať heslá, ktoré keď nezadá, tak napríklad mu prepadnú peniaze, tak sa splaší, že si na personalizovanie či obrázky ani nespomenie. Okrem toho phishingove stranky sa vzdy netvaria ako internetbanking, ale simuluju dizajn beznych stranok banky.

  5. sloper píše:

    [3] yahoo to overi :-)
    [4] ok, tak Woody Allena, ale o tomto to nie je :-) a ak uz niekto zada hesla aj na nepersonalizovany login a vie, ze tam ma pouzity personalizovany, tomu uz nepomoze naozaj ziadna techologia :-)

  6. dusoft píše:

    Tatrabanka to riesi moznostou personalizacie po prihlaseni – t.j. zobrazi sa ti namiesto standardneho „Vitame vas v IB“ nieco ako „Nazdar, ty chren, tvoja TB“ ;-)
    Viem, ze to je riesenie ex post. Ex ante je take, ako navrhujes ty (tiez som to cital).

  7. Filip Valašek píše:

    [4] Zdielam rovnaký názor. Problém vidím takto:
    1. Použitie takéhoto prvku sa predpokladá požadovať na dôležitých stránkach,
    2. Dôležité veci obvykle nerobíme často,
    3. Zabudneme, ako sme to robili minule,
    4. Môže nás niekto oklamať.
    A zasa na druhú stranu, ak sa to používa na často používaných stránkach, platí opačný efekt, že ľudia častým používaním prestanú vnímať takéto niečo personalizované ako výnimočnú vec a stráca to účinnosť.
    Ak by však takýto personalizovaný prvok bol zároveň aktívny, určite by pôsobil účinnejšie a mohol by byť použitý aj na často používaných formulároch. Aktívny myslím v tom zmysle, že by sa pomocou neho napr. potvrdzoval formulár. Button s vlastnou fotkou :)

  8. dmiba píše:

    [6] Jo toto ex post riesenie ma raz pobavilo. Isty jeden moj znamy si ako tento text zadal: „Prave sme hackli Tatrabaku, vase peniaze su u nas v bezpeci!“. Celkom zabavne, no zabavnejsie to bolo cca o mesiac, ked sa konecne opat dostal k IB, aby uhradil odvody do poistovni. Hned mi volal, ze sa mam prihlasit, ze hackli Tatrabanku. Aj tak sa da :)

  9. rony píše:

    [7] (a dalsi), da sa to vylepsit aj dodatocnym potvrdenim svojej fyzickej pricetnosti – zobrazi sa cojaviem 5 roznych obrazkov (abstrahujeme: objektov) a z nich si musim vybrat ten svoj. Tato volba sa musi odosielat s datami a porovnavat. Server odmietne samozrejme nespravnu volbu. Tu je zasa na zamyslenie ako zabranit nakamuflovanie aj TAKEHOTO prvku „zabezpecenia“.
    [4] preboha ten prvok je tvoja osobna volba – tvoja preferencia, takze ten objekt musi byt tebe blizsi ako neosobny design stranky. Samozrejme, ked hovorime A, tak to B – aby na tieto objekty pouzivatel nemal navyk a neprestal ich registrovat ako prvok ochrany, ktoreho absencia by mala byt podozriva, tak to uz je vecou zamyslenia sa ako v nom vzbudit pozornost.

  10. 21 píše:

    utocnik sa snazi ziskat pristupove/autorizacne udaje,pricom zobrazenie personalizovaneho uz prihlasenie predpoklada.utoky sa teda odohravaju pred prihlasenim a vacsinou ako akasi _nestandardna_,ci mimoriadna,viac ci menej zdovodnena, operacia.pouzivatel personalizovane stranky vtedy ani necaka.

  11. rony píše:

    [10] ano, to je spravna poznamka. „obrazkovanie“ myslim tak, ze AK si nan navyknem a VNIMAM obrazok ako sucast formulara, tak kamuflovany formular vnimam ako nieco podozrive – pyta to udaje, ku ktorym je pevne naviazany (v mysli alebo inou dostupnou formou) prave personalizovany objekt.
    Ja vsak predpokladam aj ine problemy – ze moze dojst v podsuvaniu AJ po prihlaseni. Resp. neobvykle udaje nebudu vyzadovane v prihlaseni (aj ked to bude fake) ale az po zobrazeni stranok a dalsich ukonoch. To je ale momenalne rovine uvah, nie priama odpoved na to, ci to je ucinne hned na „zaciatku“.
    Tam by som poznamenal, ze v situacii:
    pracujem na pocitaci. vybafne na mna okno „dobry den ,ja som isto iste ten, za koho sa vydavam, vyprsalo vam toto alebo hento, zadajte XY“. Ak podlahnem aj tomuto, tak je naozaj otazka, ako budeme riesit tento stav spolocnosti. Rozmach pharmingu je sposobeny prave dosledkami internetizacie. PRedpokladajme, ze pocitacovo zdatnej populacie je konstanta – iste percento ludi, ktori sa pocitacom venuju viac ako hocikto iny svojej ceruzke. Lenze kvantitativne vyuzivanie internetovych sluzieb stupa. Je jasne, ze sa zhorsuje „gramotnost“ a zvysuje atraktivita pre podvody.
    Pred 10 rokmi boli hitom BMG Invest. Dnes nim moze byt pharming.

  12. 21 píše:

    ano, suhlas. sme len na zaciatku zlatej ery e-odrbavania.isty kvalitativny skok pri bezpecnosti asi bude biometria, ale to tiez len do casu – som skeptik, lebo „na kazdu dieru sa najde zaplata“, aj ked v tomto pripade by sa to asi malo otocit,“na kazdej zaplate sa najde diera“.
    hlavne, ze zapad sa snazi zaplavit najchudobnejsiu cast planety notebookmi do sto dolarov. sa stavim, ze ich pouzivatelia sa okrem prezrania wikipedie a navodov ako vykresat ohen budu iste zaoberat aj problemami pocitacovej bezpecnosti, akurat ze z tej druhej strany, kedze pravo je tam u nich abstraktny pojem. este bude veselo.

  13. Pavel@Cetoraz píše:

    Aha, proto mě Bank of America nutila si vytvořit jakýsi SiteKey, který se mi následně zobrazuje u přihlašovacího formuláře :-)
    Viz. http://www.bankofamerica.com/onlinebanking/index.cfm?template=site_key&state=FL#sitekey
    (omluva za velmi pozdní komentář, ale příspěvek jsem našel až nyní ;-)

  14. rony píše:

    Tymto oznamujem, ze pre pouzitie mojho napadu na Slovensku je podmienene dohodou a to vylucne a explicitne s mojou osobou.