Názory k článku
10 zásad ochrany před phishingem

Základní problém je v tom, že všechny vámi nabídnuté rady na ochranu proti phishingu vyvolávají na straně uživatele konkrétní náklady (musí strávit X sekund/minut prověřováním každého mailu, náklady na telefon atd.), ale nedávají mu téměř žádné (nebo vůbec žádné) přínosy - když se uživatel těmi radami řídit nebude, tak se mu v podstatě nic nestane; v zde prezentovaném případě se spamem už vůbec ne, v případě vykradení účtu v bance (kolik z nás osobně zná někoho, komu se to opravdu stalo?) taky ne, protože mu banka peníze skoro jistě vrátí. Je to smutné, ale na individuální úrovni je racionální phishing úplně ignorovat. Na celospolečenské úrovni je to samozřejmě jinak, ale to uživatele trápit nemusí - proč by ON měl nést náklady na to, z čeho budou mít prospěch OSTATNÍ?

Vycházím ze studie "So Long And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users" (http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf), podrobněji zde:
http://www.pepak.net/bezpecnost/jsou-uzivatele-hloupi-a-lini/

Nesouhlasim: Pro rozpoznani fishingu a zahozeni mejlu potrebuju maximalne jednu sekundu, coz je mnohem min, nez kolik potrebuju pro nejake prihlasovani nekam. Nemluve pak o case ztravenem minimalizaci skod. Ono totiz na rozpoznani fishing mailu staci micha a to i v polospanku. A kdyby po me banka opravdu chtela at se nekam prihlasim tak na ne proste kaslu - nemaji co otravovat.

Naprostý souhlas!

Máte-li podezření že jde o podvod, zadejte falešné údaje. Pokud vám stránka poděkuje, šlo o podvodný web.

Pokud jde o pravý web, vyzve vás k zadání správných údaju (účet/heslo neexistuje)...

Myslím, že už jen samotný vstup na stránku z podezřelého emailu může být bezpečnostní riziko a podle mne může způsobit větší "škody" jak samotné odeslání informací...

Autor podle mne dobře ví, proč v článku radí na odkaz pouze _ukázat_, nikoliv na něj klikat a zkoumat danou stránku...

„Myslím, že už jen samotný vstup na stránku z podezřelého emailu může být bezpečnostní riziko“

Proč proboha?

1. Potvrzujete, že je e-mailová adresa funkční, tj. nejen že existuje, ale je pravidelně používána. To v případě, že URL je zkonstruováno tak, že odesílatel zjistí, na který e-mail bylo reagováno. Zvýšený příděl spamu je pak téměř jistý.
2. Na problematických stránkách je pravděpodobnější výskyt škodlivého kódu. Jste si jistý, že útočník nevyužívá dosud neopravenou chybu prohlížeče nebo operačního systému ke spuštění kódu na vaší stanici?

Dovolil bych si upozornit, že nejste povinen číst e-maily ani v češtině. A že tedy můžete problém s phishingem zcela vyřešit tím, že budete bez milosti mazat úplně všechny e-maily.

+1 :-)

Politika "ignoruji vše co není česky" je krátkozraká -- spousta legitimních a důležitých chybový zpráv byla, je a bude anglicky ("over quota", "message undelivered" atd.) a budu-li na ně kašlat, škodím sám sobě...

Jistě, ale odpověď serveru "quota exceeded" po mně nebude chtít zadat přihlašovací údaje k mailu, aby se mail doručil.

Ono opravdu, pro BFU je lepší to ignorovat, event. to přeposlat někomu, kdo se orientuje.

Starý a mladý bača hlídajú ovce na kopcu a počúvajú tranzistor. Příde k nim cizinec a na cosi sa usilovně ptá. Nájprv začál po německy. Gdyž to nevyšlo, tož to zkúšal po anglicky. Pak po francúzky, po španělsky, po taliánsky, aj po rusky to zkusil. Starý seděl a ani nedutal. Mladý hrdo stál, uščúřal sa milo, kýval hlavú, mával rukama, klátil sa. Cizinec smutno pokračoval v další cestě. Starý začal domlúvať mladému: "Já už su starý, ale ty by sas konečně měl začať učiť cizí řeči. Viděls, co jich tam ten znál?" Mladý věcně: "Viděl, ale stejnak mu to bylo na hovno." (zdroj)

„Anglicky sice umím, ale NEJSEM POVINEN umět - tedy: anglicky mi nemá kdo co psát - rovněž bez milosti mažu.“

Někteří si tu posílají regulérní maily s cizinci :-).

S cizincem, který by po mě chtěl přihlašovací údaje kamkoliv, bych si emaily hodně rychle posílat přestal :-)

Reagoval jsem na komentář, který jsem pochopil jako že „všechny anglické maily rovnou mažu“.

Je to sice uz mnoho let, ale prisel mi mail z KB. Ze je nutno klinout na odkaz a nainstalovat novy certifikat pro internetove bankovnictvi.

Okamzite volam mamce i sestre, bacha phishing, rozhodne neklikejte, at vam nevykradou ucet.

Pozdeji se ukazalo ze email byl pravy a KB opravdu tak blba.

Mno snad se od te doby poucili.

Jaký certifikát? Klientský určitě ne (ten se generuje) a upozornění na to, že je třeba nainstalovat nový certifikát CA posílají i jiné banky, jejichž CA není v seznamu důvěryhodných.

Tak to maji udelat spravne: Vyzvat k normalnimu prihlaseni do bankovnictvi a k nasledovani instrukci tam. Zadna URL, zadny kraviny, prihlasis se jako vzdy, na uvodni strance (teda uz zabezpeceny) navod co mas udelat.

Pokud někdo reaguje na takový dopis, tak bych mu okamžitě zrušil přístup k bankovnímu účtu přes internet.

Ano ano ja som lumen a pobral som vsetku mudrost sveta.
Odporucam trochu pokory inak sa budes za par rokov divit aky si blby ze si naletel.

Jen ho nech, jednou určitě naletí (a tím nemyslím jen phishing) a bude se bít do hlavy :-)

Jenže do té doby mnohokrát naletí (a spláčou nad výdělkem) ti ostatní! Věrohodnost informací z džungle, kterou internet je, je limitně blízká nule a důvěřivost + Widle v počítači = brzký průšvih.

„Když někdo v Liberci odpověděl na takovýto dopis, tak to prostě ukazuje na to, že takto blbě - a často nejen v Liberci - správci sítě zasílají uživatelům důležité informace a zprávy o změnách.“

A myslíš, že to PayPal taky dělá? Já myslím, že ne. A přesto na paypalový phishing taky pokaždé někdo naletí.

„Z většiny takovýchto zpráv IŤ-áků je vidět, jak jsou hrdi na to, že z češtiny měli nejlepší známku trojku. V textu jim skoro pokaždé chybí kus odstavce nebo věty a obvykle to píše poslední stážsita z výpočteního centra (anebo ještě lépe z nestandardního účtu).“

To jsem nepochopil, třeba pan Satrapa nebo já píšeme dobře :-). Nedivil bych se, kdyby ten phishingový mail psal nějaký cizinec, případně si vypomáhal automatickým překladačem.

„A surovost systemáků k rušení uživatelských účtů jen po prvním upozornění je známá všem obyčejným uživatelům sítí.“

Jasně, jasně :-). Takoví debilní systémáci, kteří by vyžadovali heslo, a ještě k tomu měli příslušný formulář umístěný na freehostingu (resp. kdekoli mimo firemní doménu, ještě k tomu přes čisté HTTP), se snad nikde nevyskytují.

„Chacha - většina systemáků je takovvých, že tuto situaci prostě uživatelům vůbec nedají k dispozici. Software který jim poskytují, to buď vůbec neumožňuje anebo to dělá tak debilně (mají-li třeba doručené maily pod databázovým systémem), že se v obsahu hlaviček nevyznají ani studenti informatiky.“

Co jsem viděl, tak uživatelé v naprosté většině případů pracují s nějakým normálním mailovým klientem, kde zobrazení hlaviček není problém. Nicméně si myslím, že průnikem množin „dokáže (správně) rozluštit mailové hlavičky“ a „skočí na phishing“ je množina prázdná.

„Řešení je jednoduché - každý pracovník takovéto instituce si musí poštu nechat přeposílat třeba na volny.cz nebo seznam.cz, kde si lze snadno prohlédnout nezměněný zdrojový tvar dopisu.“

TUL nenabízí POP/IMAP přístup ke schránkám?

„že normální uživatelé čtou v 90% případů poštu přes Webové rozhraní“

Uživatelé čtou na firemních počítačích poštu v tom, v čem jim to admin nastaví. A to je v naprosté většině případů nějaký desktopový mailový klient. Mimochodem nevím o tom, že by nějaký používaný webmail neuměl zobrazit hlavičky.

„Já jsem hlavně chtěl napsat, že když Satrapa nenapíše, že první věc, kam je potřeba se podívat v nejasném dopisu, jsou
jeho hlavičky“

Pokud chceš hlavičky použít k obraně proti phishingu, tak znovu: uživatelů, kteří dokáží správně vyhodnotit hlavičky a zároveň skočí na phishing, je opravdu velmi málo. To už se spíš dokáží podívat, kam odkaz z mailu vede.

IMHO je nejjednodušším řešením zaručení původu mailů elektronický podpis.

No tak tomu říkám tedy názor plný zášti:-) Zdá se že jeho pisatel má osobní problém s IT - asi mu někdo poradil UTFG a nebo RTFM :-)

Díky bohu, že jsem se během své 10-ti let trvající praxe s tímto extrémem nesetkal.A to jsem prosím ten zlej "systemák" co maže účty po 6ti měsících bez varování. A taky blokuju ve všech emailových klientech zobrazení hlaviček:-D LOL! :-)

jenom by mě zajímalo - jak se vlastně blokuje např v Outlooku zobrazení hlavičky? Vyjma možnosti že neřeknu uživateli kde to hledat..:-)

AyA

Ale s tou češ-tinou měl pravd-u… I když je fakt, že jsou i hor-ší.

tebe bych bonzol na tve fakulte at ti to tam IT podpora vysvetli.

Abych se přiznal, mnohem raději bych se dočetl nějaké zajímavé podrobnosti ohledně té hry na kočku a myš, než si přečíst desatero známých poučení o phisingu..

dobry den,
bylo by mozne zverejnit z hlavicky (nevim jestli byla u vsech 600 zprav stejna) toho phishingoveho mailu return-path adresu (tzn. envelope sender adres-u) a adresu, ktera byla v obsazena ve "From" nebo "Sender" zahlavi (tzn. header sender adres-u)?
dekuji
Vojta Kopta

Received hlavičky pod nejspodnější hlavičkou, které přidává váš mailserver (pouze ty jsou důvěryhodné!), může odesílatel podvrhnout.

dobry den,

nepolemizuji o vyznamu Received v hlavicce.
slo mi o to, jak 'inteligentni' utocnik byl a jestli bylo mozne zabranit phishingovemu mailu napr. prostym rejectem nebo dropem na zaklade 'return-path' adresy. imho je docela podezrele, pokud napr.admin nebo postmaster posila mail 'zvenku' a front-server takovy mail bez varovani pusti dal

ale mozna to bylo uplne jinak a skutecne nebyla sance prijmu mailu zabranit

dekuji
Vojta Kopta

upresneni:
imho je docela podezrele, pokud napr. lokalni admin nebo postmaster (tzn.: admin@mojedomena) posila mail 'zvenku' a front-server takovy mail bez varovani pusti dal

Vojta Kopta