Názory k článku
Jak se bránit phishingu

nejlepsi ochrana proti phishingu je pouzivat alespon castecne mozek. druha vec je to, ze je toho schopno bohuzel jen cca 20% uzivatelu.

Jojo, neklikat, neklikat a neklikat, ale lidem to člověk nevysvětlí, jsou to berani :).

kdyz se utocnikum podari nasadit trojana treba na lupu, a ten pak umozni utok man-in-middle na vas bankovni ucet, tak vam "neklikat" nepomuze.

nasadit trojana - at si nasadi, ja prece nebudu tak blbej, abych ho u sebe poustel

trojan se nainstaluje sam pres neopravenou chyby OS nebo prohlizece. Neni treba klikat ani neco povolovat.

Ano takovyto utok uz je hodne nepravdepodobny, pokud dodrzujete zasadu "neklikat" a mate aktualizovano.

Z hlediska bezpečnosti jsou tři základní typy uživatelů: Nejvíc je těch, kdo z rozličných důvodů na bezpečnost kašlou (nemají na ni znalosti, nepřipadá jim to důležité apod.). Druzí na bezpečnostní hrozby reagují (váš příspěvek by odpovídal tomuto pojetí). Naprostou menšinou jsou ti, kdo bezpečnostním rizikům předcházejí - a právě jen oni jsou relativně v bezpečí: Pokud jen reagujete, vždy vás ohrožuje nějaká nová, dosud neodhalená bezpečnostní mezera. Pokud nebezpečí předcházíte, tak vám mohou být nějaké aktualizace celkem lhostejné, protože celý problém je řešen "na jiné úrovni". Typický příklad je práce pod omezeným uživatelem, ideálně tak, že potenciálně nebezpečné programy mají svoje vyhrazené "superomezené" uživatele - proč bych se měl zabývat tím, jestli má browser X bezpečnostní díru Y, když není schopen zapsat na disk jinam než do adresáře "stažené věci ke zkontrolování" (nebo ještě lépe, do virtuálního počítače)? Námitky, že to operační systém neumožňuje nebo že by to uživatelé nezvládli, neberu - pokud to správce dobře nastaví, tak nejen že to ve všech běžných operačních systémech jde, ale uživatele to dokonce nijak neomezuje (resp. pokud to uživatele omezuje, tak to správce nenastavil dobře).

Ještě bych dodal: Uživatelé v tom ovšem nejsou sami. Zatímco u nich dokážu pochopit, že je na ně bezpečnost příliš složité téma, než aby se mu mohli plně věnovat, dost špatně to chápu u firem, které by bezpečnost chápat měly. Kolik znáte bank, které umožňují dělat transakce pomocí jednorázových hesel (ne pomocí "kalkulačky", u které je bezpečnost daná jen tím, že zatím nikdo nerozebral vnitřek a nepublikoval, jak je to udělané, ale skutečným "one time pad")? Kolik webhostingů vám k vaší databázi nabídne víc uživatelských účtů (přinejmenším dva - administrátorský a uživatelský)? Kolik CMS systémů dokáže admina a uživatele oddělit?

Zadáte transakci - např. platební příkaz
Odešlete na server banky
Banka Vám pošle bankovní SMS.
Obsahem SMS je: druh operace, částka, čísla účtů "z" a "na" a potvrzovacií kód.
Bankovní SMS je pochopitelně šifrovaná a čte se pomocí bankovní aplikace po zadání PIN-u na mobilu.
Kód se zadá do internetoveho bankovnictví a odešle na server banky.
Ke smůle většiny uživatelů internetového bankovnictví tohle umí pouze eBanka - banka pro majetné.
Hacnout se to dá, jenom pokud Vám ukradnou mobil i s bankovním PIN-em a parametry bankovního účtu.

Neni pravda - umi minimalne take CSOB, a myslim ze i KB

Umí ale buď SMS není bankovní tj. šifrovaná, nebo k autorizačnímu kódu není v SMS uvedena transakce které se to týká.

http://www.phistank.com/ nefunguje. Asi chybí h.

1) antivirový program
2) firewall
3) antispyware

Ano, je to nutnost. Možná by stálo za to zmínit že pouze na Windows.

Psát FireFox je podobný nesmysl jako psát "danIEL doČEKal".

DOSit kohokoliv je svinstvo a to i phishingovou sajtu. Vkladat ji tam oznacene udaje je velmi dobre, my sami to v podobnych pripadech delame a znackujeme si takto dokonce i vlastni data sety, abychom pak mohli zjistit kdyz se objevi nekde ve warezu od koho byli ukradene.

Jinak mne vzdycky pobavi co vsechno by mel podle internetove verejnosti ISP delat. My jsme ISP/hoster a problem je ten, ze v tomhle byznysu zakaznici opravdu nechteji platit, konkurence velka a vy tak mate minimalni zisky. Lidi kteri by delali pozadovane cinnosti se nedaji z toho zaplatit protoze je to dost odborna cinnost a navic pokud bychom ji delali, tak by se to stejne neodrazilo v zisku. Proc investovat penize nekam, kde neni navratnost?

Je mi jasne ze kdyz se situace necha tak jak je a podle zkusenosti vim ze na to vetsina isp kasle tak to bude cim dal tim horsi.

Jak mam chapat tohle?: Přílišná svoboda uživatele v rámci používání jeho software (prohlížeče, poštovní klienti, operační systémy) je jedním z faktorů, které velmi aktivně napomáhají tomu, že phishing má zelenou.

Ja si naopak myslim, ze svoboda znamena ruznorodost a ruznorodost je naopak zadouci. Nejsnaze se napada unifikovane prostredi, nejhure ruznorode.

Nejedná se o flame a ani za tímto příspěvkem jej prosím netvořte.
Některé prohlížeče si "bezpečnosti" všímají nedostatečně.
Konkrétně u phishingu na českou spořitelnu to mělo za důsledek, že zatímco firefox korektně stránky na které maily odkazovali označil za podvodné, a dal to uživateli hodně zřetelně najevo (stránka ztmavla a do popředí se objevilo výrazné upozornění), jiné prohlížeče neregistrovali nic špatného (testovány IE7, Opera).
Z hlediska bezpečnosti prohlížečů je tedy jistě pořád co dohánět.