Názory k článku Jak se bránit phishingu
-
HB (neregistrovaný)Zadáte transakci - např. platební příkaz
Odešlete na server banky
Banka Vám pošle bankovní SMS.
Obsahem SMS je: druh operace, částka, čísla účtů "z" a "na" a potvrzovacií kód.
Bankovní SMS je pochopitelně šifrovaná a čte se pomocí bankovní aplikace po zadání PIN-u na mobilu.
Kód se zadá do internetoveho bankovnictví a odešle na server banky.
Ke smůle většiny uživatelů internetového bankovnictví tohle umí pouze eBanka - banka pro majetné.
Hacnout se to dá, jenom pokud Vám ukradnou mobil i s bankovním PIN-em a parametry bankovního účtu. -
pepak (neregistrovaný)Z hlediska bezpečnosti jsou tři základní typy uživatelů: Nejvíc je těch, kdo z rozličných důvodů na bezpečnost kašlou (nemají na ni znalosti, nepřipadá jim to důležité apod.). Druzí na bezpečnostní hrozby reagují (váš příspěvek by odpovídal tomuto pojetí). Naprostou menšinou jsou ti, kdo bezpečnostním rizikům předcházejí - a právě jen oni jsou relativně v bezpečí: Pokud jen reagujete, vždy vás ohrožuje nějaká nová, dosud neodhalená bezpečnostní mezera. Pokud nebezpečí předcházíte, tak vám mohou být nějaké aktualizace celkem lhostejné, protože celý problém je řešen "na jiné úrovni". Typický příklad je práce pod omezeným uživatelem, ideálně tak, že potenciálně nebezpečné programy mají svoje vyhrazené "superomezené" uživatele - proč bych se měl zabývat tím, jestli má browser X bezpečnostní díru Y, když není schopen zapsat na disk jinam než do adresáře "stažené věci ke zkontrolování" (nebo ještě lépe, do virtuálního počítače)? Námitky, že to operační systém neumožňuje nebo že by to uživatelé nezvládli, neberu - pokud to správce dobře nastaví, tak nejen že to ve všech běžných operačních systémech jde, ale uživatele to dokonce nijak neomezuje (resp. pokud to uživatele omezuje, tak to správce nenastavil dobře).
-
Fido (neregistrovaný)Jak mam chapat tohle?: Přílišná svoboda uživatele v rámci používání jeho software (prohlížeče, poštovní klienti, operační systémy) je jedním z faktorů, které velmi aktivně napomáhají tomu, že phishing má zelenou.
Ja si naopak myslim, ze svoboda znamena ruznorodost a ruznorodost je naopak zadouci. Nejsnaze se napada unifikovane prostredi, nejhure ruznorode. -
pepak (neregistrovaný)Ještě bych dodal: Uživatelé v tom ovšem nejsou sami. Zatímco u nich dokážu pochopit, že je na ně bezpečnost příliš složité téma, než aby se mu mohli plně věnovat, dost špatně to chápu u firem, které by bezpečnost chápat měly. Kolik znáte bank, které umožňují dělat transakce pomocí jednorázových hesel (ne pomocí "kalkulačky", u které je bezpečnost daná jen tím, že zatím nikdo nerozebral vnitřek a nepublikoval, jak je to udělané, ale skutečným "one time pad")? Kolik webhostingů vám k vaší databázi nabídne víc uživatelských účtů (přinejmenším dva - administrátorský a uživatelský)? Kolik CMS systémů dokáže admina a uživatele oddělit?
-
anonymníRozhovor R.Smolíka jsem minulá táden viděl na CT24. A dlouho jsem přemýělel, jaký kecal to zase mluví o obecných bezpečnostních poučkách namísto reportérem kladených otázek o spořitelním phishingu.
On se Snad tento velký šéf ani předem nepodíval na jediný spořitelní phishing. Tři čtvrtiny toho, o čem měl naučené plácání, se totiž v oněch mailech neobjevily.
A výsledek, kolik dní (týdnů) už spořitelní phishing je, a stále na mnoha místech, kde mají anitspamový filtr, tam nikdo nepřidal ani spamové označení, je-li v dopise csas.cz nebo service24 apodobně.
A tom jsem si třeba myslel, že bude onen ředitel mluvit. A totéž v článcích D.Dočekal!
Místo toho všichni mají jen poučky, jak jsou všichni uživatelé blbí. Smolík o tom, jak si všichni mají koupit jejich ochranný program a Dočekal ani nenapíše, že onen textový klient se jmenuje třeba Lynx (místo svých keců o Notepad.exe, který se ale přitom nepoužívá.) -
Nejedná se o flame a ani za tímto příspěvkem jej prosím netvořte.
Některé prohlížeče si "bezpečnosti" všímají nedostatečně.
Konkrétně u phishingu na českou spořitelnu to mělo za důsledek, že zatímco firefox korektně stránky na které maily odkazovali označil za podvodné, a dal to uživateli hodně zřetelně najevo (stránka ztmavla a do popředí se objevilo výrazné upozornění), jiné prohlížeče neregistrovali nic špatného (testovány IE7, Opera).
Z hlediska bezpečnosti prohlížečů je tedy jistě pořád co dohánět. -
LENIN POWER! (neregistrovaný)DOSit kohokoliv je svinstvo a to i phishingovou sajtu. Vkladat ji tam oznacene udaje je velmi dobre, my sami to v podobnych pripadech delame a znackujeme si takto dokonce i vlastni data sety, abychom pak mohli zjistit kdyz se objevi nekde ve warezu od koho byli ukradene.
Jinak mne vzdycky pobavi co vsechno by mel podle internetove verejnosti ISP delat. My jsme ISP/hoster a problem je ten, ze v tomhle byznysu zakaznici opravdu nechteji platit, konkurence velka a vy tak mate minimalni zisky. Lidi kteri by delali pozadovane cinnosti se nedaji z toho zaplatit protoze je to dost odborna cinnost a navic pokud bychom ji delali, tak by se to stejne neodrazilo v zisku. Proc investovat penize nekam, kde neni navratnost?
Je mi jasne ze kdyz se situace necha tak jak je a podle zkusenosti vim ze na to vetsina isp kasle tak to bude cim dal tim horsi.
ČLÁNKY DO MAILU