Názory k článku
Phishing - nový trend v podvodných dopisech

Teda nevim jak Vam, ale me muj mail klient zasadne neotevre nic (=obrazky ...), na co je odkaz kamsi do inetu, natoz nejake popup okno nebo javu. Nevidim zadny duvod aby jakykoli mail takove svinstvo obsahoval a pokud to jisty (vsem znamy) klient umoznuje, tak at si lidi stezuji prislusnemu "vyrobci" daneho SW.

Většina lidí ale používá něco jiného a k tomu nepoužívá mozek. Víš jakou radost měla jedna pracovnice, když dokázala dle instrukcí z e-mailu uložit zazipovanou přílohu, rozbalit ji s použitím přiloženého hesla a pak spustit, jak je šikovná. Ono to nadšení ji ale brzy opustilo. Hádej kterej to byl virus?
Ale je fakt, že různého svinstva chodí čím dál tím víc a i na nepoužívané adresy. Jen na moje konferenční mi příjde a končí v koši junk asi 200 e-mailů denně, k tomu antispam filter TB tak 10 neidentifikuje dobře a musím je uklidit ručně. A dokonce na nepoužívané (nikdy nebyly použity) už začlo chodit tak 5 denně. Dávat filtr na server se mi ale nechce, protože zejména zezačátku se stalo, že označil i dobrou. A systém filtrů na klientovi mám přece jen už vychytaný.

Jeden takovy virus (nedavno) vracel nejakou fake chybu ve stylu "soubor nejde otevrit".

I nevahala jedna "takova" a napsala mi mailik, coze jsem ji to poslal, ze to zkousela ona i jeji kolegyne, a at ji to poslu znovu.

Vymenili jsme si 3 maily, nez jsem ji presvedcil ze ji neznam, ze nemam duvod psat na slovensko anglicky a ze jsem ji nic neposilal.

No, asi tak. Mail client má zobrazovat plain text a komunikovat na portech 110 a 25. Víc od něj nevyžaduju.

A proc ne radeji 25 a 993 ?

Něco tak primitivního by přece nikdo ve Windows nepoužíval a ani neprodával!
Teď přece musí všechno vypadat super-multi-HTML-professional. Bleskově všechno naprogramováno, distribuováno a zavirováno.

a to ja jo :-).. nejlepe propojeni s IM, nejakou databazi kontaktu a podporovat bezne archivy apod apod apod...

Kolik lidi u nas ma vubec embosovou kartu? Pokud vim, banky se do nich zrovna nehrnou. A ten kdo si ji uz vyzada snad ma i kapku rozumu.

Tech lidi s embossovanou kartou budou nejmene statisice. Na druhou vetu bych ROZHODNE nespolehal.

Manželce loni (po krádeži karty Trend) ve spořce dali Mastercard zrovna embosovanou.

Když jsem se zděsil, tak se hrozně divila, že to je přece skvělý, když může zaplatit i tam, kde není elektronický terminál.

Obávám se, že o je dost obvyklá situace.

Mám embossovanou kartu už přes 5 let, byl jsem první na naší pobočce KB, musel jsem jim to tehdy komplikovaně na několika stupních vysvětlovat, co to chci. Nicméně dnes je to už úplně běžné a ty desetitisíce to i u nás v bananistánu určitě jsou.

P.S. žádný problém s bezpečností, jen ve vzdálenějších zemích před pár lety tak 50:50 nefungovala verifikace. Teď už skoro všude OK.

Kupodivu KB je docela pružná a dala se přesvědčit aby poslala SMS na každý pohyb účtu vyvolaný transakcí přes kartu. "Banánistát" (viz. níže) se zlepšuje.

Prominte, ale KB za pruznost jsou opravdu, ale opravdu antagonismy...

Com nemeni nic na faktu, ze Vam v konkretni jedne situaci vyhoveli...

Ja mam 3 takove karty, vsechny mezinarodni, ale vsechny zablokovane pro platby pres Internet. Jo a taky mam mozek, takze podobne maily (doufam:) nemaji sanci.

Samozrejmne - zablokovana proti platbe na internetu (kdybych to chtel delat, banka me nabizi PAPIROVOU :-) POUZE na platby na internetu s jinym omezenim a online zamykanim). Navic svoji ebosovanou kartu mam pojistenou proti offline transakcim pri ztrate do vyse jejiho limitu. Ale to snad povazuju za samozrejmost ze to ma kazdy a kdo ne - asi ma dost penez a pak si cte i takove emaily :-))

No, me pripada, ze v posledni dobe uz embossovanou katu cpe kazda banka skoro kazdemu. Uz jsem se setkal i s tim, ze takova karta prisla i bez vyzadani, postou s tim, ze jestli ji chce, tak staci zavolat a banka ji aktivuje. Ba co hur - kdyz jsem kartu chtel, byla banka pripravena na hanshaking co se tyce VYSSIHO limitu nez byl ten zakladni - ale muj pozadavek, ze chci limit PODSTATNE NIZSI (protoze ji hodlam pouzivat pri mezinarodnich nakupech drobnych veci) se ukazal jako neprotlacitelny (nakonec jsem u KB skoncil s "virtualni kartou", kde nizky limit nastavit sel). Takze muj dojem je, ze karty, vcetne emossovanych, jsou dneska uz spis do lidi cpany pod tlakem nez ze by se banky do nich zrovna nehrnuly. Takze na ten rozum (lepe snad "zkusenost") zadajicich bych nesazel. Navic maji tyto karty (z tohoto hlediska) neprijemne vysoke limity ...

Jedine co je duvodem k optimismu je, ze bezne vydane karty byvaji zablokovany proti CNP platbam (soucasne oznaceni pro drivejsi "MOTO") ...

Jen otazka - nerozumim tomu, proc defaultni blokace CNP plateb je duvodem k optimismu? Ja osobne ji predevsim z pohledu prodejce, ale i kupce zbozi/sluzeb po internetu povazuji za duvod k pesimismu...

Jen pro doplneni, embosovane karty mam nejakych sest, sedm let, bezne je pouzivam na internetu a za cela ta leta jsem reklamoval pouze jednou (uspesne a zdarma).

Divim se, ze zrovna vy jako prodejce ten duvod nevidite. Diskutujeme tu pod clankem, ve kterem se pravi, ze znacne spouste lidi necini velky problem nekomu zcela cizimu vyzradit vsechny udaje, ktere staci ke zneuziti karty. Uz ted udrzuji banky okolo plateb pres Internet trvalou mirnou hysterii o tom, jak strasne je to nebezpecne. Co opravdu schazi je, abyste petkrat za pul roku v Televiznich Novinach videl pripad nejakeho "uplne normalniho obcana"(tm), kteremu neznamy obchodnik, navic z cizi zeme, takze prakticky nedosazitelny, vyluxoval ucet. Takove priklady nastesti k dispozici nejsou (a ja tvrdim, ze defaultni blokace na tom ma svuj lvi podil). Kdyby se neco takoveho parkrat vecer objevilo vytvori se bez vetsich problemu panika, ktera zasahne pouzivani karet jako celek (tedy nejen jejich pouzivani na Internetu - protoze polovina lidi sluvko Internet zapomene a bude si pamatovat jen, ze "no von mel tu kartu a tak ho ti hajzlove okradli") a zasahne i nakup pres Internet jako celek (bez ohledu na zpusob platby - protoze polovina z te druhe poloviny si bude pamatovat "no von nakupoval pres toho Interneta a voni ho tam okradli"). Nemyslim si, ze by to obchodniky nejak zvlast potesilo.

Tu blokaci si muzete nechat zrusit - a troufam si vyslovit predpoklad, ze lide, kteri tento krok aktivne udelaji jsou v o neco mensim riziku nez "kazdy". Mozna se pletu, ale celkovy negativni dopad na obchodniky mi tak pripada mensi nez kdyby ty karty bylo "pro kazdeho, neblokovane".

Mimochodem, prvni "Moto" nakup jsme uz take uskutecnil pred nejakymi temi sesti lety - a od te doby nakoupil uz mnohokrat - tady i v cizine. Za ta leta se mi take jen jednou stalo, "neco spatne" - castka za cosi byla strzena dvakrat. Byly to drobne, ani jsem to nereklamoval a verim, ze to byl skutecny omyl a ne kradez. Nicmene, ja i vy (predpokladam) vime "jak to funguje", a tak si davame pozor, komu cislo karty sdelujeme - respektive - nerikame ho kazdemu, kdo projevi zajem. Jenze vy ani ja nejsme "prumernym" drzitelem platebni karty ) alespon ve vztahu vedomosti o rizicich pri jejich pouzivani na Internetu) ...

Uprimne receno ne zcela rozumim vasemu myslenkovemu pochodu. Pro me jako obchodnika je zjevne neprijemne, ze cim dal vic lidi ma defaultne od banky zablokovane CNP platby - prichazim tim o potencionalni zakazniky. Platba kartou je na internetu jednoznacne dominujicim platebnim nastrojem a tim padem narust karet s CNP blokacemi je pro me duvodem k pesimismu, ne optimismu.

Pokud jde o zneuziti karet po internetu, oba snad vime, ze to neni tak horke, jak se (hlavne ceska) media snazi vsem vtloukat do hlavy, pricemz nekdy to az hranici s sirenim poplasne zpravy. Casto to vede k falesnemu presvedceni, ze pokud nebudu pouzivat kartu na internetu (tj. pokud budu mit blokovane CNP platby), tak je muj ucet v bezpeci...

Svuj myslenkovy pochod jsem popsal, ale zkusim to jeste jednou. Delam to proto, ze jste napsal "nerozumim", coz chapu jako "nerozumim" coz neni totez jako "nesouhlasim". Zkusim to tedy vysvetlit jeste jednou, trochu jinymi slovy - treba s emi to tentokrat povede. Pro pripad, ze ono "nerozumim" preci jen melo znamenat "nesouhlasim" uvadim, ze to co jsem napsal je muj nazor, ktery vam nabizim k posouzeni aniz mam potrebu vas presvedcit o tom, ze je nejspravnejsi.

Takze jeste jednou a jinak:

Uzivatele si neuvedomuji, ze udaje z karty, kdyz je nekomu poskytnou, lze zneuzit - a tak je, pomerne ochotne, poskytuji. Existuji utoky zamerene na ziskavani prave takovych udaju. Je malo pravdepodobne, ze jinym motivem techto utoku je neco jineho nez prave pozdejsi zneuziti techto udaju. Kdyby k necemu takovemu doslo, vidim jako vysoce pravdepodobne, ze se toho chyti media i banky - ostatne, bude to hmatatelna a jasna demonstrace toho, ze nebezpeci, o kterem poplasne informovali je realne a nikoli hypoteticke. Jelikoz nic takoveho v Televiznich novinach jeste nebylo, zrejme zadny zajimavy podobny pripad neexistuje. Jediny duvod, proc muze neco takoveho dlouhodobe neexisovat je, ze se zneuzit karty ceskych obcanu nedari. Samozrejme, ze se nedari - jsou totiz prevazne blokovane.

A ted obracene - kdyby se to podarilo - objevi se daleko hysterictejsi kampan, ktera se na pouzivani karet i na nakupovani v Internetovych obchodech. Celkovy dopad by byl daleko horsi nez soucasny stav. V "defaultnim" blokovani, ktere lze na zadost odblokovat, tedy vidim pozitivum.

Je to jako v operacnich systemech - ty, co po instalaci "delaji vsechno" jsou daleko casteji (a uspesne) napadany nez ty, kde kazdou prislusnou funkci musi vice ci mene aktivne odsouhlasit a nakonfigurovat uzivatel. Je to proto, ze ten, ktery veci naprosto nerozumi nema tendenci vec vubec aktivovat, protoze netusi k cemu by mu byla - a ten, ktery ji ma tendenci aktivovat zas (snad) alespon neco malo o veci vi. S platebnimi kartami je to naprosto stejne ...

Dekuji za vysvetleni vaseho myslenkoveho pochodu, chtel jsem se ujistit, ze jej chapu skutecne tak, jak jej myslite. Ani ja vas nemam v umyslu jakkoliv presvedcovat, jen nesouhlasim s vasemi argumenty.

Vami zminovanych utoku na ceske drzitele platebnich karet za ziskavanim karetnich udaju bylo a je minimum. Dokonce si v teto chvili nevzpominam, ze bych se s takovym vubec kdy setkal. Krom toho predpokladam, ze kdyz nekomu prijde anglicky psany email o tom, ze z duvodu bezpecnosti ma aktualizovat udaje u financni spolecnosti, ktera v CR nepusobi, tak bude natolik inteligentni, ze jej bude ignorovat. Tudiz zde automaticka blokace CNP plateb neni nutna.

To, ze v Cechach dochazi k malemu poctu zneuzivani karet po internetu neni diky blokacim CNP plateb, ale predevsim proto, ze 1. v pripade ne-ceskych eshopu jsou karty vydane ceskymi bankami jsou obecne povazovany za riskantni, tudiz nejsou v rade pripadu vubec akceptovany, 2. ceske eshopy karty vetsinou vubec neberou.

Krom toho, v pripade, ze dojde ke zneuziti karty pomoci CNP transakce, ma drzitel karty mnohonasobne vetsi sanci (prakticky 100%) ziskat sve penize zpet nez v pripade, kdy je karta pritomna (kradez karty, skimming, atd.).

Pokud jde o moznou hysterii pramenici z nejakeho zajimaveho pripadu podvodu pomoci internetu, tak to je pouze vas nepodlozeny dohad, ktery podle meho nazoru neobstoji. Mimo jine proti nemu hovori i pripady s "nabouranymi" bankomaty. Tyto byly publikovany snad ve vsech moznych ceskych mediich, pricemz vliv na pouzivani bankomatu mely nulovy.

trochu nechapu tu pouzitou literaturu. co ma phishing spolecneho s visacema? <:-) mohl bych poprosit o odkazy na nektere paseze? :-)

Tak sleduj odkazy. Preklad slova Phising - "rHybolov" je vzat z T.Pratchetta, kde upiri sluha Igor mluvi s prizvukem a s oblibou vrazi hlasku "h" kamkoliv to jde (i nejde) "mhusim uzh jhit bhane" :))) S Visacema souvisi jina citace v clanku...

aha uz to vidim, blbec, nejak sem to prehledl - tak si myslim, je cas kricet, neverte nikomu, komu je pres deset!

tak tomuhle se spis rika SOCIOTECHNIKA

No asi vazne nevite. :-P

Zajimavy je, ze lidi, kteri neumi email perfektne pouzivat (tj filtrovat spamy, rozeznat scamy 419 a phishing), se vetsinou chovaji tak, ze kdyz nekomu poslou mail, tak dotycnemu pro jistotu jeste trikrat zavolaj, a zeptaj se

"Uz ti to prislo? Ne? A Ted? Jo? A uz jsi to cetl? Ne? Tak si to precti! Jo? A co na to rikas?"

Jakmile ale jde o to nekam poslat vsechny svoje osobni udaje, hesla, cisla kreditnich karet, velikost podrazky bot a podprsenky manzelky, takl to neni problem a na telefon ani nesahnou.

Na jeden popisovaný podvod jsem se nedávno díval na stránce: http://www.hoax.cz/index.php3?action=detail&id=235 .

Čeština je poměrně kvalitním filtrem závažnějších forem phishingu, ale obávám se, že jen dočasně. Cílem určité podoby phishingu jsem se totiž stal v ČR a v češtině:
Vlastním poměrně atraktivní e-mailovou adresu na jednom freemailu a jednoho dne mi přišla z e-mailu typu technicky.spravce@prislusnyfreemail.cz zprava, že mám zaslat obratem své heslo pro odstranění chyby v systému, jinak bude do dvou dnů schránka zrušena.
Tak jsem tuhle zprávu poslal na technickou podporu příslušného freemailu, kteří mne trochu zklamali svou reakcí, když jen za tři dny reagovali, že nic takového nerozesílali. Očekával bych od nich aktivnější postup :-(

Karel Pavlík

Satrapa je borec! :)))

Prave pisu jakysi pseudovedecky clanek a samozrejmosti jsou odkazy na pouzitou literaturu ... dat si tam Pracheta, ta by me nenapadlo!!! ;-)

No já, nevím, co je tak světoborného na tom, dát do soupisu použité literatury všechny tituly, které při práci použiju? Nebo snad chcete říct, že tam dáte Pracheta jen proto, že jej tam dal i Pavel Satrapa? :)

kdepak! tim jsem chtel rict, ze pouzivam pouze "seriozni" zdroje - naschval jsem dal slovo seriozni do uvozovek, protoze Prachet je taky seriozni, ale nekteri pavedci si to nemysli ... ale proc se neinspirovat Prachetem a proc si nedat nejaky ten odlehceny zdroj do seznamu? ;:)

ano, EXISTUJE!

bohužel si většina běžných uživatelů neuvědomí, že by se právě oni mohli stát obětí podvodu či podvrhu, a klidně vyplní všechny své osobní údaje na stránce, jen aby nepřišli o uživatelské konto na své oblíbené službě. příčinou je nedostatečná informovanost a uvědomněnost koncových uživatelů, kteří věří všemu, co na Internetu vidí (považují jej za médium, které je stejně důvěryhodné jako třeba televizní zprávy).

je nutné obězřetně kontrolovat webovou adresu v adresním řádku. uvedu příklad - pokud vidím http://www.ebay.com, pak si jako běžný uživatel myslím, že už mám vyhráno... neuvědomím totiž např. že
  http://www.ebay.com:confirm-registration@123.45.67.89/my_account.py
nebo
  http://www.ebay.com.confirm-registration.uplne.jina.domena.com/my_account.py
je vlasně podvrh jako prase a že data zapisuju na úplně jiný server.

snažím se všude prosazovat názor, že by tu základní ochranu měli v první fázi zajistit sami provozovatelé webových serverů komerčním SSL certifikátem od důvěryhodné certifikační autority (myslím takovou, která je standardně importována do webového prohlížeče, a při použití jejího certifikátu nevybíhá okno "certifikát vystavila společnost, které nedůvěřujete"). v druhé fázi by měla informovat své uživatele, aby kontrolovali, zda se při vyplňování důvěrných údajů zobrazuje zámek ve stavové liště (nebo https:// v adresním řádku) a zda nevybíhá zmíněné varovné okno o nedůvěryhodnosti...

No, to v poslednim odstavci popsane je opravdu jen ta zcela nejzakladnejsi ochrana, kterou neni zas az tak slozite prekonat. A opravdu nevim, proc je vyhodnejsi pouzit certifikat "predimportovane" autority. Situace, kdy slepe verim nekomu, koho vybral (navic na zaklade zcela neznamych kriterii) nekdo jiny mi pripada DALEKO horsi nez si autoritu po peclive uvaze vybrat a zaradit ji mezi duveryhodne.

Certifikaty "predimportovanych" autorit jsou lepsi - to ano. Jenze z obchodniho hlediska te autority a toho, kdo od ni prevzal penize zato, ze ji do seznamu zaradi. Z bezpecnostniho v zadnem pripade nikoliv - tam jsou v tom nejlepsim pripade stejne dobre.

Jestli mate v seznamu byt' jen jedinou autoritu, u ktere jste osobne neproveril za jakych okolnosti komu vyda certifikat, pripadne, pokud jste nezjistil, jake pozadavky musi takova CA urcite splnit, aby se v tomto seznamu objevila a neusoudil, ze tyto pozadavky zajistuji bezpecnost - pak o zadne bezpecnosti nemuze byt reci ...

Ahoj,
tak jsem taky naletel. Asi pred pul rokem na fake mail od EBAY.
Vyplnil jsem registraci a jmeno, ale design neodpovidal presne tak mi to prislo trochu divne. Trosku jsem se podival kolem a prozoumal IP daresy a prislo mi, ze to je divne.
Ihned jsem zmenil heslo a nahlasil jsem pripad na ebay.
Tam mi sdelili ze to prozkoumaji. O par hodin pozdeji prisel email, ze se jednalo skutecne o podvod, ale ze kontrolovali muj ucet vcetne vsech pristupu a ze je OK. Vzhledem k tomu, ze jsme zmenil heslo budu pry v bezpeci. No a kdyby neco, ze se mam ozvat a oni to vrati zpet.

Vcelku prijemna reakce a uklidnili me.

To je hezke, ze Vas uklidnili, ale ja Vas zase vydesim. Problem s kradezemi uctu na eBay neni v tom, ze by nekdo prihazoval a kupoval co nechcete. Problem je v tom, ze hodne lidi ma nekde v preferencich cislo karty, pripadne ma stejne heslo na paypal, kde ma cislo karty zcela jiste.

Takze co utocnik chce je jen jednou se prihlasit, stahnout si osobni udaje a cislo karty a zase zmizet. To uz tezko nekdo z eBay vrati zpet. Takze jedine spravne reseni je kartu zablokovat.

Samozrejme je mozne, ze tam cislo karty nemate. Pak mel utocnik holt smulu.

V SR je nová stránka, ktoré sa venuje problematike podvodov, a kde je aj zoznam známych slovenských podvodníkov, ktorí zneužívajú internet predovšetkým na tzv. dobierkové podvody: http://neplatici.predajpc.com/index.php?c=2