27. september 2006 11.08 WEB

Už nevadí iba phishingový e-mail

Dobre, tvrdil som, že phishing a pharming nás nemusí zaujímať v celej svojej šírke. Bolo to hlavne preto, že neexistuje významný podiel klientov, ktorí by používali postihnuté služby.

Ale už to radšej netvrdím a ešte pritvrdím. Mali by sme sa dôkladne zaoberať metódami odhaľovania pokusov o podvod. Nenechával by som to na tých "ostatných". Ak je tu pokus kompromitovať web nastrčenými pascami, tak to nie je len problém majiteľa webu ale aj používateľa tohto webu.

Takže čo by ma ako paranoika malo zaujímať:

  • bude niekto poctivejšie registrovať pokusy o pharming a phishing? (myslím tým medializáciu a slovensky písané informačné stránky)
  • ako rýchlo sa budu fyzicky ničiť podvodné stránky a infraštruktúra s tým spojená? (ako budú spolupracovať provideri, polícia a ďalšie zložky)
  • ktorý prehliadač poskytne pomôcky pre odhaľovanie podvodov? (dôraz na slovo pomôcky, označenie "blokovanie" nie je na mieste - nebyť podvedený je starosť v prvom rade moja)
  • zameria sa "spravodlivý hnev" po úspešnom podvode na podvodníka alebo na obete?

Pred časom som tvrdil, že z phishingu je pre mňa otravný najmä e-mail, ktorým sa šíria "udičky" na používateľov. Vykazujú totiž znaky spamu, vírusov a podobnej hávede. Teraz pribúda aj nutnosť obozretnosti.

Toto je ďalší bod k umŕtveniu dôležitosti e-mailu ako takého. Verte, že onedlho nám bude bez e-mailu naozaj lepšie. Používať ho bude len kvantum samovrahov.

Súvislosti: Ochráňte svoj web pred phishingom


Pokiaľ sa ti zdá, že tento článok by sa hodil do výberu zaujímavých stránok, tak ho sme.sk pošli do vybrali.sme.sk

Komentáre k obsahu príspevku:

Chcete napísať nesúhlasný komentár? Prosím, zvážte nasledovné: je šanca, aby niekto zmenil Váš názor alebo chcete iba trvať na svojom? V prvom prípade sú Vaše slová vítané.

Chcete urážať? Nepíšte sem urážky a invektívy. Každý, kto na týchto stránkach publikuje je automaticky (doplňte vhodný výraz). Takže už to všetci vopred vieme, čo si myslíte a preto sa neopakujte.

  1. [1] ehmo, 27. september 2006 15.16

    jej, no ty si objavil ameriku. co sa tyka odstranenia, chcem to vidiet :)
    zaoberam sa security uz par rockov, myslim ze som celkom dost hlboko prenikol do moznosti a sposobov a ver mi ze vynaliezavost attackerov je obrovska. pokial sa bavis len o sluzbach, ok to je v pohode, clovek pride o nejake konto na gmail, cert ho ber.
    podme sa bavit o bankach (uctoch), kreditnych kartach, osobnych informaciach a inych veciach.
    moznosti ako odhalovat taketo veci je mozno niekolko, ale vezmi si priklad.

    Chcem ziskat udaje z ebayu. Pomocou bugu ktory som objavil par tyzdnov back viem na zaklade id vytiahnut vsetky potrebne udaje okrem hesla ktore je zahashovane a neviem ho decryptnut. Takze zalozim web www.ebaysecurityonline.com za 6$ a anonymne ako sa to len krasne da, k tomu mam 5mb php hosting. Umiestnim tam scamm page, robotom si vycucam vsetky udaje o tisicoch ludoch na ebay. Dalsim scriptom si vytvorim scamm letter a rozoslem ho.
    Otazka: kolko ludi zareaguje na toto:
    Mr. Dean Jankovic, adress, tel number
    blablabla klik here and put yours info.

    Kedze clovek dostal vsetky udaje dokonca na mail ktory uviedol na ebayi co myslis, kolko ludi to realne vyplni?

    Odhadovany pocet rybyciek chytenych na scamm (podla vas phishing) je promile a v krajnom pripade percento. Ako sa zvysi moznost teraz? Ako moc zdatny clovek musi byt aby vedel odhalit podobnu vec?

    Mozno bude niekdo namietat ze to je blbost, to sa predsa nemoze stat, taketo veci sa nedeju. Nad podobnou odpovedou sa len pousmejem.

    Aby ste mali predstavu mozno o nieco lepsiu tak tu je jeden z milionov odchytenych uctov wellsfargo
    http://img144.imageshack.us/img144/6746/wellsic9.png
    samozrejme ze nie mojou osobou a uvadzam ho len pre predstavu co sa deje a co sa da.

  2. [2] rony, 27. september 2006 15.41

    [1] vyborne, urobil si zo mna hlupaka, co o tom, co pises nic netusi ;-)

    Len sa neviem rozhodnut, ci to, co som napisal ja je zrozumitelnejsie ako to, co si napisal ty. Niekedy je lepsie nepisat kryptovane :-) Ja tomu rozumiem. Ale co dalej? :-)

  3. [3] rony, 27. september 2006 15.43

    [1] strasne mi je luto, ze reagujes na nieco, co v prispevku vlastne nie je ;-) ale urcite je v nom v strucnosti toto:

    1. pred dlhsim casom som tvrdil, ze co sa tyka dokonania podvodu mozeme byt v klude a zatial nas iba trapi zalaha emailov s phishingovymi udickami.

    2. teraz tvrdim, ze sa nas to uz tyka a kedze najslabsie miesto je pouzivatel, tak by mali iba zbystrit pozornost.

    Co z tvojho komentara [1] sa tyka tychto dvoch bodov okrem sebapropagacie tvojej vysokej znalosti problematiky?

  4. [4] Filip Valašek, 27. september 2006 18.47

    [1] Bezpečnosťou sa zaoberá viacej ľudí a niektorí o sebe nedávajú vedieť, aj keď možno vedia viac, ako ostatní.
    [Všeobecne] Som skeptický voči akýmkoľvek snahám naučiť používateľov myslieť bezpečne. Niektorým ľuďom môžete aj 100-krát povedať, že PIN kód od čipovej karty NEmajú mať na monitore a že kartu NEmajú mať položenú na čítačke a im to je jedno. Kto vie koľko podvodných úkonov sa vykoná a nikto na to ani nepríde, keď nejde o peniaze.
    Príklad z blízkej budúcnosti: úradníčka "podpíše" svojou kartou napríklad zápis do obchod. registra. Nikto sa neodvolá a po čase sa zistí, že ona ho ani nikdy nepodpísala. Čo s tým? Zákony nepustia, premlčacia doba, atď...

  5. [5] rony, 28. september 2006 01.11

    [4] u tej uradnicky to bude musiet byt tak, ze podpisat budu musiet aspon dvaja. cim nevylucujem moznost problemu, iba zmensujem riziko.

  6. [6] ehmo, 28. september 2006 09.56

    [2] no jasne ze si to napisal zrozumitelnejsie, pretoze ked niekdo niecomu nerozumie tak skor chyti lahko vysvetlenu problematiku

    [3] tu sa musim mierne ospravedlnit, necitam tento "blog" takze som to bral ako self clanok.
    co sa tyka self propagacie, no neviem a pre koho sa propagujem? alebo tu mas nebodaj ludi z vacsich korporacii ktori by boli potencionalnymi klientami? osobne si nemyslim ze by to tu niekdo taky cital, ale zdanie moze klamat.
    mna zaujima konkretnejsie riesenie toho, co si tu opisal. sustredena pozornost na pouzivatela a co dalej? cize si sadnes za kazdeho usera a budes cakat co urobi? cize na jedneho usera jeden odbornik? ako som predtym povedal, tomuto sa venujem dost dlhu dobu na to aby som poznal moznosti rieseni a zameranie na usera ti prd pomoze.

    [4] prosim si kontakt na dotycneho cloveka. ked sa niekdo zaobera prave tymto typom bezpecnosti, musi to niekde studovat, niekde vyuzivat a niekde sa aktivne prezentovat, v opacnom pripade nema ako zbierat skusenosti. po tych rokoch ma zaujima kde sa takyto "skryti" ludia nachadzaju (ak to nie je tajne)
    my sme sa uz pri jednom konflikte stretli, urcite si na to pamatas, urcite sa pamata aj rony kedze mal informaci "z pravej ruky" [dotovany internet statom]. vtedy si tvrdil presny opak a cez vsetko moje usilie to vysvetlit, skusit ti to normalnym sposobom odprezentovat som pohorel s tym, ze tomu nerozumiem. nakoniec vyslo velmi pekne najavo kde bola pravda a dufam ze tvoja reakcia bude ze kazdy sa ma pravo pomylit popripade ze ti niekdo podhodil mylne info, alebo rovno spochybni vsetko co som napisal. kazdopadne pre mna to bolo znamenie tvojej "odbornosti" a to ta myslim vsetci povazovali za daleko zbehlejsieho v tejto problematike.

    [5] k tomuto ti dalsia uradnicka vobec nepomoze, pretoze z mojich skusenosti z uradov, tri zeny ktore maju robit kontrolu tych predoslich su vo vysledku vzdy len chybnym krokom, kedze oni sa spolahnu alebo oni same su nedostatocne inteligetne, skusene alebo cokolvek

    problem je v systeme ktory sa da upravit do podoby, kedy bude phishing len nezaujimavy ballast. ja osobne som robil nedavno mensi audit jedneho nemenovaneho bankoveho systemu chraneneho sms a kartou s kodmy (u nas znamou ako grid) a z 5tich userov ktorych sme otestovali 3ja vydali vsetky informacie.

    nateraz vsetko

  7. [7] rony, 28. september 2006 12.30

    [6] zdanie klame :-) pozri, z ehmo ja nezistim co si kto si, ake mas skusenosti. tu mam ja velky hendikep. to len na vysvetlenie, preco na komentare reagujem ako reagujem. A preco sa inak spravam k inym komentujucim (nie konkretne v tomto prispevku).

    Ak chces nejakeho odbornika, placnem do vody a vytiahnem, cojaviem vyskoc.blog.sme.sk - ten publikuje, takze si mozes pocitat.

    K poslednemu odstavcu: chybou je spoliehat sa, ze nikto neda. Ale chybou je aj to, ze tomu vobec nevenujes pozornost. V mojom clanku som v tych bodoch najma ziadal, aby media venovali tomu serioznu pozornost, pretoze TOTO je nieco podobne ako napr. BMG invest. Tiez musi byt verejnosti znama aspon podstata. To ci nakoniec podlahnu alebo nie, je uz vedlajsie - tomu nezabranis a to neustale dokola opakujem. Ten problem tkvie v tom, ze aj ti, co by nemuseli podlahnut, slepo veria, ze systemy kam tukaju udaje su "nejako" bezpecne. Ale nerozumeju, ze sucastou bezpecnosti systemu su oni sami. Ak toto pochopia, tak to bude uplne stacit.

    V clanku je naspodu zalinkovany moj predosly clanok, precitaj si to. To je presne v zmysle toho, co pisem: sice nezabrani ale dovoli tym, ktori maju problem z rozlisenim detailov problem ale maju chut si vsimat nejaky osobny prvok vo formulari aby nepodlahli zbytocne. A znovu opakujem: to neaspiruje na genialnu 100% ochranu.
    Kto povedal, ze DALSIA uradnicka?

  8. [8] ehmo, 30. september 2006 15.18

    Neviem co k tomu dalej povedat, nechodim sem, necitam to tu, nestotoznujem sa s tebou, akurat minule mi znamy poslal link a musel som reagovat.

    Co sa tyka bezpecnosti, system je zle navrhnuty, ked chceme robit web (internet) bezpecny, musime spravit cely system pre idiotov. ja uz som sa stetol s takou hlupostou na internete, ze som sa citil ako v skolke medzi detmi, ktorim ked poviete "vymenim tvoj papierik (100sk) za dve kovove kolieska (2×50h)" tak to vymenia.

    Ten blog si precitam, vyzera to na zaujimave citanie, uvidime.

    Co sa tyka ci je phishing ako BMG invest, myslim ze BMG bola malina oproti tomuto. Poznam ludi, ktori momentalne stavaju treti ci stvrty dom, maju 24 rokov a prave sa vyhrievaju na svojej yachte v stredozemnom mori. Citibank (prevadzkovatel WU [westernunion]) vo svojej poslednej kvartalnej sprave uviedlo, ze pocet fraudov stupol o 700% co predstavuje 0.79% obratu spolocnosti za druhy kvartal. To je velka spusta penazi, ked si uvedomime, ze WU bere poplatky 10% za kazdy transfer a denne prevedie niekolko desiatok milionov $.

    Suhlasim ze s tym treba nieco robit, medializacia je vsak hlupost. Treba zacat uplne inde, ale toto uz rozoberat nebudem.

  9. [9] Filip Valašek, 30. september 2006 18.51

    [8] Dobre teda, tak zoberme ako predpoklad, že medializácia je hlúposť. Čo iné ťa napadne, ako riešenie, ak už ani vysvetlenie nepomôže?
    Rony tu spomenul jednu jednoduchú myšlienku. Ľudia musia prestať rozmýšľať nad tým, či je systém bezpečný, lebo žiadny nie je. No musia sa naučiť, že ONI sú súčasťou systému. A toto sa podľa mňa nedá ináč spraviť ako medializáciou, či nejakou formou osvety. Alebo dá sa to inak?
    IBA systém pre blbcov podľa mňa nepomôže, lebo blbci si navyknú na istý stereotyp a budú ešte "sprostejší".
    Najvhodnejšia je kombinácia oboch prístupov: aj medializácia, aj rozvoj systémov. To druhé je samozrejmosť, to prvé tu chýba.
    Je to naozaj zvrátené, ak niekto v prípade, že príde o peniaze povie, že to sa same tak spravilo. To je ako, keď nieko nadáva na auto, že mu same havarovalo. Nevylučujem, že sa to stáva.

  10. [10] jano100, 18. október 2007 18.08

    caute moze te mi pomoct odkial mate taketo informacie?

  11. [11] rony, 18. október 2007 20.49

    [10] vrtame sa vo vlastnych hlavach, v ktorych sa uz cosi umiestnilo pocas zivota. Cize nepouzivame oblubene Ctrl-A, Ctrl-C, Ctrl-V

  12. A tvoj názor?





Podmienky pre Váš komentár: Tlačidlo na odoslanie stlačte 1x, v texte nenadávajte, nevkladajte linky za účelom SEO, nepropagujte, Váš text musí mať zmysel, neporušujete vlastnícke práva majiteľa tejto stránky, ste pravidelný čitateľ tejto stránky, komentujete príspevok (nie erupcie Slnka) a nemýlite si komentáre s kvákacími fórami a chatom. Používajte formátovanie TEXTILE najmä na odkazy! Rozumiete tomuto poučeniu? áno, nie alebo Týmto sa pošle komentár?



funkcionalita - kto by bol spokojný s obyčajnou funkciou, ked môže mať rovno funkcionalitu? Je to dlhšie, znie to odbornejšie a dajú sa za to naúčtovať väčšie peniaze, keď posielame faktúru za nové webové stránky. Malý bullshitový slovník



Čítal som

Stručne komentované stránky, ktoré ma zaujali:

môj najnovší obrázok
Tukanec pred prechodom na Stefanikovej
  • V Bombaji útočili teroristi. Rukojemníci sú v horiacom hoteli 07.59 Pri šiestich útokoch zomrelo najmenej 101 ľudí, z toho najmenej šesť cudzincov, zranených je 200-300 ľudí.
  • The Index.htm thread for Popcorn Hour 09.23 Velmi zaujimava rozsiahla tema diskusii okolo index.htm v PCH - spusta sa okamzite po nabootovani PCH ak je v roote.
  • Movable Type po rokoch | OttY@page 14.23 Z neistej príčiny som sa rozhodol, že si bližšie obzriem ako sa darí Movable Type („MT“), CMS napísanom v Perli, ktorý dnes nie je veľmi „IN“, aspoň v našich končinách (platí pre Perl aj pre Movable Type). Z dôvodu lepšieho ohmatania som si ho nainštaloval na hostingový server a trochu som sa pohral.
  • Dita Von Teese - Playboy, december 2008 12.58 Ditka v sete rozne ladenych fotografii.
  • 2.2 Firmware Now Available in iTunes 12.58 The newest version of firmware is now available in iTunes, version 2.2. We’re installing now on a test phone and will be providing screen shots and a direct link as soon as possible.
  • Kázeň musí být V. 12.58 Evžen vypadal zdrceně. Už zase v dobrém úmyslu, sám v roli poškozeného, porušil zákon. Protože věděl, že zákony se mají respektovat a navíc z toho neviděl cestu ven, zvláště poté, co se sám přiznal do protokolu, opět mužně přijal udělený trest. Je teď bez rádia, bez okénka, bez stěračů, bez poklic a bez antény, navíc ještě bez řidičáku a o pět tisíc lehčí.
  • Je čas na redefinici přístupnosti 11.15 Jestliže si nemohu jedním kliknutím přenést vlakový spoj z IDOSu do svého googlího kalendáře, není pro mne IDOS dostatečně přístupný.
  • Web - metody nahrazování standardních fontů - Chaos sanctuary 20.21 Standardní fonty se nahrazují především v hlavičkách a krátkých textech. Žádná z dále uvedených metod – sIFR, facelift (flir), typeface.js a font-face/CSS - není vhodná pro delší text. Všechny tyto metody jsou relativně nové a stále se vyvíjejí.
  • Nechte je padnout - Bloc 15.49 Ekonomická krize stejně jako každá správná choroba míří do další fáze. Zprávy z trhů už nejsou katastrofické, pouze špatné, pokles burz už není střemhlavý, ale pouze mírný a setrvalý, firmy nehlásí nečekané krachy ze dne na den (viz Lehman Brothers), pouze propouštějí po desetitisících a pouze hlásí snížení výroby či odbytu o pět, deset, dvacet procent.
  • Po ISS se prochází pavouk, dalšího zřejmě zmátl stav beztíže 14.39 Pavouka číslo dvě totiž natolik zmátl stav beztíže, že svou přepravku zaplnil sítěmi, aby přestal volně poletovat. V propletených síťových shlucích se nedá poznat, jestli je tam jeden nebo dva pavouci.
  • Got my girlfriend to model for my car (PICS) 09.39 Chlapik nafotil svoju priatelku pri svojom aute. Reakcii je tam na vyse 60 stran. Stravite na tejto stranke naozaj dlhy cas :-)
  • Tomanová má plán - eTREND 08.00 Ministerka Tomanová v relácii Slovenského rozhlasu "Sobotné dialógy" predstavila svoj plán zmien v systéme sociálneho poistenia a dôchodkového sporenia.


kde to ste?

príspevky

média

Čítaš Spravodaj? Klikni na Surf.sk!

WebHosting: WebServer.sk

Na také to domáce ukladanie veľkých súborov Kotuha.com

Dva šifrované gigabajty zadarmo pre vaše súkromné zálohy na mozy

Späť na obsah