Už nevadí iba phishingový e-mail

Dobre, tvrdil som, že phishing a pharming nás nemusí zaujímať v celej svojej šírke. Bolo to hlavne preto, že neexistuje významný podiel klientov, ktorí by používali postihnuté služby.
Ale už to radšej netvrdím a ešte pritvrdím. Mali by sme sa dôkladne zaoberať metódami odhaľovania pokusov o podvod. Nenechával by som to na tých „ostatných“. Ak je tu pokus kompromitovať web nastrčenými pascami, tak to nie je len problém majiteľa webu ale aj používateľa tohto webu.
Takže čo by ma ako paranoika malo zaujímať:
* bude niekto poctivejšie registrovať pokusy o pharming a phishing? (myslím tým medializáciu a slovensky písané informačné stránky)
* ako rýchlo sa budu fyzicky ničiť podvodné stránky a infraštruktúra s tým spojená? (ako budú spolupracovať provideri, polícia a ďalšie zložky)
* ktorý prehliadač poskytne pomôcky pre odhaľovanie podvodov? (dôraz na slovo pomôcky, označenie „blokovanie“ nie je na mieste – nebyť podvedený je starosť v prvom rade moja)
* zameria sa „spravodlivý hnev“ po úspešnom podvode na podvodníka alebo na obete?
Pred časom som tvrdil, že z phishingu je pre mňa otravný najmä e-mail, ktorým sa šíria „udičky“ na používateľov. Vykazujú totiž znaky spamu, vírusov a podobnej hávede. Teraz pribúda aj nutnosť obozretnosti.
Toto je ďalší bod k umŕtveniu dôležitosti e-mailu ako takého. Verte, že onedlho nám bude bez e-mailu naozaj lepšie. Používať ho bude len kvantum samovrahov.
Súvislosti: Ochráňte svoj web pred phishingom

Written by rony

11 komentárov

ehmo

jej, no ty si objavil ameriku. co sa tyka odstranenia, chcem to vidiet :)
zaoberam sa security uz par rockov, myslim ze som celkom dost hlboko prenikol do moznosti a sposobov a ver mi ze vynaliezavost attackerov je obrovska. pokial sa bavis len o sluzbach, ok to je v pohode, clovek pride o nejake konto na gmail, cert ho ber.
podme sa bavit o bankach (uctoch), kreditnych kartach, osobnych informaciach a inych veciach.
moznosti ako odhalovat taketo veci je mozno niekolko, ale vezmi si priklad.
Chcem ziskat udaje z ebayu. Pomocou bugu ktory som objavil par tyzdnov back viem na zaklade id vytiahnut vsetky potrebne udaje okrem hesla ktore je zahashovane a neviem ho decryptnut. Takze zalozim web http://www.ebaysecurityonline.com za 6$ a anonymne ako sa to len krasne da, k tomu mam 5mb php hosting. Umiestnim tam scamm page, robotom si vycucam vsetky udaje o tisicoch ludoch na ebay. Dalsim scriptom si vytvorim scamm letter a rozoslem ho.
Otazka: kolko ludi zareaguje na toto:
Mr. Dean Jankovic, adress, tel number
blablabla klik here and put yours info.
Kedze clovek dostal vsetky udaje dokonca na mail ktory uviedol na ebayi co myslis, kolko ludi to realne vyplni?
Odhadovany pocet rybyciek chytenych na scamm (podla vas phishing) je promile a v krajnom pripade percento. Ako sa zvysi moznost teraz? Ako moc zdatny clovek musi byt aby vedel odhalit podobnu vec?
Mozno bude niekdo namietat ze to je blbost, to sa predsa nemoze stat, taketo veci sa nedeju. Nad podobnou odpovedou sa len pousmejem.
Aby ste mali predstavu mozno o nieco lepsiu tak tu je jeden z milionov odchytenych uctov wellsfargo
http://img144.imageshack.us/img144/6746/wellsic9.png
samozrejme ze nie mojou osobou a uvadzam ho len pre predstavu co sa deje a co sa da.

rony

[1] vyborne, urobil si zo mna hlupaka, co o tom, co pises nic netusi ;-)
Len sa neviem rozhodnut, ci to, co som napisal ja je zrozumitelnejsie ako to, co si napisal ty. Niekedy je lepsie nepisat kryptovane :-) Ja tomu rozumiem. Ale co dalej? :-)

rony

[1] strasne mi je luto, ze reagujes na nieco, co v prispevku vlastne nie je ;-) ale urcite je v nom v strucnosti toto:
1. pred dlhsim casom som tvrdil, ze co sa tyka dokonania podvodu mozeme byt v klude a zatial nas iba trapi zalaha emailov s phishingovymi udickami.
2. teraz tvrdim, ze sa nas to uz tyka a kedze najslabsie miesto je pouzivatel, tak by mali iba zbystrit pozornost.
Co z tvojho komentara [1] sa tyka tychto dvoch bodov okrem sebapropagacie tvojej vysokej znalosti problematiky?

Filip Valašek

[1] Bezpečnosťou sa zaoberá viacej ľudí a niektorí o sebe nedávajú vedieť, aj keď možno vedia viac, ako ostatní.
[Všeobecne] Som skeptický voči akýmkoľvek snahám naučiť používateľov myslieť bezpečne. Niektorým ľuďom môžete aj 100-krát povedať, že PIN kód od čipovej karty NEmajú mať na monitore a že kartu NEmajú mať položenú na čítačke a im to je jedno. Kto vie koľko podvodných úkonov sa vykoná a nikto na to ani nepríde, keď nejde o peniaze.
Príklad z blízkej budúcnosti: úradníčka „podpíše“ svojou kartou napríklad zápis do obchod. registra. Nikto sa neodvolá a po čase sa zistí, že ona ho ani nikdy nepodpísala. Čo s tým? Zákony nepustia, premlčacia doba, atď…

rony

[4] u tej uradnicky to bude musiet byt tak, ze podpisat budu musiet aspon dvaja. cim nevylucujem moznost problemu, iba zmensujem riziko.

ehmo

[2] no jasne ze si to napisal zrozumitelnejsie, pretoze ked niekdo niecomu nerozumie tak skor chyti lahko vysvetlenu problematiku
[3] tu sa musim mierne ospravedlnit, necitam tento „blog“ takze som to bral ako self clanok.
co sa tyka self propagacie, no neviem a pre koho sa propagujem? alebo tu mas nebodaj ludi z vacsich korporacii ktori by boli potencionalnymi klientami? osobne si nemyslim ze by to tu niekdo taky cital, ale zdanie moze klamat.
mna zaujima konkretnejsie riesenie toho, co si tu opisal. sustredena pozornost na pouzivatela a co dalej? cize si sadnes za kazdeho usera a budes cakat co urobi? cize na jedneho usera jeden odbornik? ako som predtym povedal, tomuto sa venujem dost dlhu dobu na to aby som poznal moznosti rieseni a zameranie na usera ti prd pomoze.
[4] prosim si kontakt na dotycneho cloveka. ked sa niekdo zaobera prave tymto typom bezpecnosti, musi to niekde studovat, niekde vyuzivat a niekde sa aktivne prezentovat, v opacnom pripade nema ako zbierat skusenosti. po tych rokoch ma zaujima kde sa takyto „skryti“ ludia nachadzaju (ak to nie je tajne)
my sme sa uz pri jednom konflikte stretli, urcite si na to pamatas, urcite sa pamata aj rony kedze mal informaci „z pravej ruky“ [dotovany internet statom]. vtedy si tvrdil presny opak a cez vsetko moje usilie to vysvetlit, skusit ti to normalnym sposobom odprezentovat som pohorel s tym, ze tomu nerozumiem. nakoniec vyslo velmi pekne najavo kde bola pravda a dufam ze tvoja reakcia bude ze kazdy sa ma pravo pomylit popripade ze ti niekdo podhodil mylne info, alebo rovno spochybni vsetko co som napisal. kazdopadne pre mna to bolo znamenie tvojej „odbornosti“ a to ta myslim vsetci povazovali za daleko zbehlejsieho v tejto problematike.
[5] k tomuto ti dalsia uradnicka vobec nepomoze, pretoze z mojich skusenosti z uradov, tri zeny ktore maju robit kontrolu tych predoslich su vo vysledku vzdy len chybnym krokom, kedze oni sa spolahnu alebo oni same su nedostatocne inteligetne, skusene alebo cokolvek
problem je v systeme ktory sa da upravit do podoby, kedy bude phishing len nezaujimavy ballast. ja osobne som robil nedavno mensi audit jedneho nemenovaneho bankoveho systemu chraneneho sms a kartou s kodmy (u nas znamou ako grid) a z 5tich userov ktorych sme otestovali 3ja vydali vsetky informacie.
nateraz vsetko

rony

[6] zdanie klame :-) pozri, z ehmo ja nezistim co si kto si, ake mas skusenosti. tu mam ja velky hendikep. to len na vysvetlenie, preco na komentare reagujem ako reagujem. A preco sa inak spravam k inym komentujucim (nie konkretne v tomto prispevku).
Ak chces nejakeho odbornika, placnem do vody a vytiahnem, cojaviem vyskoc.blog.sme.sk – ten publikuje, takze si mozes pocitat.
K poslednemu odstavcu: chybou je spoliehat sa, ze nikto neda. Ale chybou je aj to, ze tomu vobec nevenujes pozornost. V mojom clanku som v tych bodoch najma ziadal, aby media venovali tomu serioznu pozornost, pretoze TOTO je nieco podobne ako napr. BMG invest. Tiez musi byt verejnosti znama aspon podstata. To ci nakoniec podlahnu alebo nie, je uz vedlajsie – tomu nezabranis a to neustale dokola opakujem. Ten problem tkvie v tom, ze aj ti, co by nemuseli podlahnut, slepo veria, ze systemy kam tukaju udaje su „nejako“ bezpecne. Ale nerozumeju, ze sucastou bezpecnosti systemu su oni sami. Ak toto pochopia, tak to bude uplne stacit.
V clanku je naspodu zalinkovany moj predosly clanok, precitaj si to. To je presne v zmysle toho, co pisem: sice nezabrani ale dovoli tym, ktori maju problem z rozlisenim detailov problem ale maju chut si vsimat nejaky osobny prvok vo formulari aby nepodlahli zbytocne. A znovu opakujem: to neaspiruje na genialnu 100% ochranu.
Kto povedal, ze DALSIA uradnicka?

ehmo

Neviem co k tomu dalej povedat, nechodim sem, necitam to tu, nestotoznujem sa s tebou, akurat minule mi znamy poslal link a musel som reagovat.
Co sa tyka bezpecnosti, system je zle navrhnuty, ked chceme robit web (internet) bezpecny, musime spravit cely system pre idiotov. ja uz som sa stetol s takou hlupostou na internete, ze som sa citil ako v skolke medzi detmi, ktorim ked poviete „vymenim tvoj papierik (100sk) za dve kovove kolieska (2x50h)“ tak to vymenia.
Ten blog si precitam, vyzera to na zaujimave citanie, uvidime.
Co sa tyka ci je phishing ako BMG invest, myslim ze BMG bola malina oproti tomuto. Poznam ludi, ktori momentalne stavaju treti ci stvrty dom, maju 24 rokov a prave sa vyhrievaju na svojej yachte v stredozemnom mori. Citibank (prevadzkovatel WU [westernunion]) vo svojej poslednej kvartalnej sprave uviedlo, ze pocet fraudov stupol o 700% co predstavuje 0.79% obratu spolocnosti za druhy kvartal. To je velka spusta penazi, ked si uvedomime, ze WU bere poplatky 10% za kazdy transfer a denne prevedie niekolko desiatok milionov $.
Suhlasim ze s tym treba nieco robit, medializacia je vsak hlupost. Treba zacat uplne inde, ale toto uz rozoberat nebudem.

Filip Valašek

[8] Dobre teda, tak zoberme ako predpoklad, že medializácia je hlúposť. Čo iné ťa napadne, ako riešenie, ak už ani vysvetlenie nepomôže?
Rony tu spomenul jednu jednoduchú myšlienku. Ľudia musia prestať rozmýšľať nad tým, či je systém bezpečný, lebo žiadny nie je. No musia sa naučiť, že ONI sú súčasťou systému. A toto sa podľa mňa nedá ináč spraviť ako medializáciou, či nejakou formou osvety. Alebo dá sa to inak?
IBA systém pre blbcov podľa mňa nepomôže, lebo blbci si navyknú na istý stereotyp a budú ešte „sprostejší“.
Najvhodnejšia je kombinácia oboch prístupov: aj medializácia, aj rozvoj systémov. To druhé je samozrejmosť, to prvé tu chýba.
Je to naozaj zvrátené, ak niekto v prípade, že príde o peniaze povie, že to sa same tak spravilo. To je ako, keď nieko nadáva na auto, že mu same havarovalo. Nevylučujem, že sa to stáva.

rony

[10] vrtame sa vo vlastnych hlavach, v ktorych sa uz cosi umiestnilo pocas zivota. Cize nepouzivame oblubene Ctrl-A, Ctrl-C, Ctrl-V

Comments are closed.