Se smutkem musím konstatovat, že už jsem hodně dlouho neviděl tak naivní a mylný článek, jako je tento. Autor vůbec netuší jak phishingové útoky fungují a nemá zjevně ani nejmenší ponětí o rozměrech sítí se kterými phishingové aktivity operují. Zjevně má pocit, že to je nějaký jednotlivec a ten se loguje na schránky v seznamu aby "odtamtud" odesílal spam a k chytání hlupáků mu slouží vlastní hostingové aktivity.
Bohužel, pokud by autor jenom trochu tušil, tak by nenavrhoval taková nesmyslná opatření. Respektive by mu došlo
a) to je odesíláné ze sítí desítek tisíc hacknutých počítačů
b) to používá tisíce hacknutých webů k hostování stránek
A v obou případech platí, že ti co tomu "pomáhají" o tom nemají nejmenší tušení.
Bohuzel navrhovana protiopatreni jsou trochu mimo.
1. opatreni, tedy zablokovani e-mailoveho uctu svedci o autorove nepochopeni protokolu SMTP. Ve skutecnosti je mozne podvrhnout adresu odesilatele tak jednoduse, ze se kvuli tomu nemusite prihlasovat na seznam. Takto jste jenom pripravil nevinnou obet o jeji ucet.
2. opatreni nefunguje, protoze utok zpravidla probehne behem nekolika hodin. Tak kratky cas obvykle nestaci k nalezeni majitele daneho serveru.
3. toto je velmi vazne naruseni sitove neutrality. Predstavte si tuto situaci: mate sve stranky na hostingu spolu s radove tisici dalsich klientu. Hostingovy server, ktery spolecne sdilite, ma jenom jednu IP adresu. Kod vasich stranek obsahuje chybu, ktera utocnikovi umozni nahrat podvodny web. Pokud byste z pozice ISP aplikoval podobne opratreni, prijdete o zakazniky nejen vy, jako ISP ("Odjinud to funguje, jenom vy to mate rozbity"), ale i provozovatel webhostingu, protoze by nefungovaly stranky nejen utocnikovy, ale zaroven i ty tisice dalsich. Zaroven tento postup vyzaduje pomerne rozsahlou koordinaci, uvedomte si, ze v CR je vice nez 800 internetovych poskytovatelu, z nichz mnozi nejsou schopni na podobny problem zareagovat behem prvnich kritickych hodin.
Resenim v tomto pripade je spise sireni osvety. I proto ocenuji popularne pojaty rozbor podvrzenych odkazu, ale presto mi to neda, patri tento clanek skutecne na Lupu? Nehodil by se spise na nejaky mene odborny web?
Trochu jste to vytrhnul z kontextu. V zasade jsou dve moznosti, jak pristup omezit - bud se zakaze pristup primo na danou IP adresu (spatne z hlediska sitove neutrality) nebo se filtruje primo dane URL. Jenze pro filtrovani URL uz je treba provest analyzu http requestu, tedy nejlepe mit po ceste proxy s nejakym pravidelne aktualizovanym blacklistem.
Jak se to dela v praxi vim celkem dobre, zadny pristup nikam se nezakazuje. Misto toho je provozovatel serveru vyzvan, aby ucinil phishingu pritrz, coz ale nevyresi problem prvnich nekolika hodin utoku.
Jestli jsem vas navrh nepochopil, zkuste ho trochu upresnit, zatim ve mne vyvolava spise ten dojem, ze s webhostingem mate spise uzivatelskou zkusenost.
naopak, ona se prece temto utokum dokaze ubranit, to ji na duveryhodnosti prida;)... nejsem paranoik, ale idea, ze to je prace cs me docela pobavila a dava to smysl:-)
Vzdyt staci cist emaily jako prosty text a hned vidim, ze je to nejaka pitomost. Pro "anti-MS-kdakaly", tuhle moznost ma Outlook Express jiz mnoho let.
Nejjednodussi a zaroven nejspolehlivejsi obranou je proste nepouzivat html zobrazreni mailu, mail ktery se neda precist jako plain text si vubec nezaslouzi aby byl cten.
Autor především píše, že "podvod se zdá proveditelný dvěma způsoby", ale že se musí podívat do zdrojového kódu.
To je právě to, co je úplná blbost, protože normálně je to vidět hned! - Ledaže si sám špatně nakonfiguroval prohlížeč.
Dále následují bláboly, jak ve webovém rozhraní pravděpodobně nenašel odkaz na zdrojový text (anebo expert používá v Zimbře AJAXovou verzi, aby byl in.)
Závěrem bych prosil, aby autor alespoň vysvětlil "podvržení DNS A-záznamu" - na kterých serverech, aby to hned všichni měli špatně, jakmile jim přijde dopis!
Tato is tvuj funkcionar oznameni dle Ceska Sporitelna aby clen urcity sluzba dat pozor pod vule byt deactivated a odstranit kdyby nedoslo k obnovit se bezprostredni.
Predesly oznameni mit been poslany az k clen urcity Zaloba Dotyk pridelil az k tato ucet.
Ackoliv clen urcity Bezprostredni Dotyk , tebe musit obnovit se clen urcity sluzba dat pozor pod ci ono vule byt deactivated a odstranit.
Obnovit se Ted tvuj SERVIS 24 Internetbanking.
SERVIZ: SERVIS 24 Internetbanking
SKONANI: Leden, 06 2008
Byt zavazan tebe do using SERVIS 24 Internetbanking. My ocenit tvuj obchod a clen urcity prilezitost az k slouzit tebe.
Opravdu by mě zajímalo, jak z prostého textu přečtete společně zazipované dva html-soubory (aniž byste riskoval, že MS-software spustí třetí schovaný soubor s virem.)
Domnívám se, že běžní uživatelé si neumějí nastavit blokování odesílajícího serveru, nebo IP, jak se píše v článku.
Chybí mi tam zmínka o té nejjednodušší a nejúčinnější obraně proti pishingu (ne proti spamu) - NEKLIKAT NA TO
Klikne na to jenom trouba, co věří tomu, že v Ceské spořitelně neumí česky a tak mu píší zkomolenou češtinou, nebo rovnou anglicky...
Mno, jiste je, ze blokovani emailove adresy je ponekud dosti naivni metoda. S tim nezbyva nez souhlasit.
Na druhou stranu podobnych clanku je treba i (nejen) zde aby se lidi naucili, ze nemaji klikat na odkaz, kdyz je Thunderbird velkou hlaskou varuje pred moznym email scamem. A ti, kteri TB neuzivaji mohou kdykoli podrzet na odkazu mys aby se jim skutecny odkaz objevil.
Asi urcite blbost, ale mozna co kdys je to vsechno uplne jinak ?
Spojeno prijemne s uzitecnym. Osveta mezi lidmi ohledne phishingu spojena s paradni a masovou reklamou zadara. Vsechny media pisi o Ceske Sporitelne :)
Takze bud Ceska Sporitelna dela solidni reklamni kampan, ktera je iniciovana phishingem, nebo samotny phisher dela v podstate jisteho uhlu pohledu dobrou sluzbu tim, ze to nuti media delat onu osvetu, ze se lidi nemaji nachytat, ale i vcetne "propagace" Ceske sporitelny :)
Kazdopadne oboji je + pro Ceskou Sporitelnu. Az na tech par lidi, kteri se nachytaji, otazka, jestli data, ktere nachytany vyplni nejdou opet do nejakeho bezpecneho cile tak, aby se sporitelna vyhnula problemum se ztratou penez na uctech nachytanych.
To je určitě nesmysl, protože ať už je spořitelna jaká chce, rozhodně ví, že spojovat svoje jméno s (zatím) jediným hromadným útokem proti inet bankovnictví v ČR ji rozhodně nepřidá na důvěryhodnosti. A důvěryhodnost je u banky na 1. místě.
Myslim, ze jejich cilem neni uzivatel, ktery si cte postu v plain textu nebo rozumi pocitacum.
Jejich cilem bude prave nekdo jako je bezna manzelka, tchyne apod. Proste v podstate naprosti pocitacovi analfabeti, kteri netusi ze existuje html, ze existuje phising, co je to DNS atd atd, proste klikaci.
A co udela takovy neznaly clovek? I kdyz to vypada jako naprosto nepochopitelne, tak si dokazu predstavit, ze takovy clovek se na email od Ceske Sporitelny podiva uz jen proto, ze je od "Ceske sporitelny". A pokud nahodou neumi anglicky, nebo blbe, ale uvidi znamy odkaz, ...
Vetsina snad na odkazy neklikne, ale bojim se ze nekteri z techto lidi klikne na pro ne znamy odkaz (ostatne, vzdyt to preci vede tam, kam chodim, tak se podivam co po me vlastne chteji)?
A co uvidi dale? Duverne zname prostredi. A treba se nekdo prihlasi... a je vymalovano.
"Takze bud Ceska Sporitelna dela solidni reklamni kampan, ktera je iniciovana phishingem, nebo samotny phisher dela v podstate jisteho uhlu pohledu dobrou sluzbu (...)"
Toto je obecnější záležitost. V dějinách se opakovaně stalo, že v zájmu zvýšení popularity někdo zfingoval útok sám proti sobě (Nero vypálil Řím, Rusové zfingovali útok Kurdů, Američané digitálně upravili fotografie Irácké pouště...). Patří do skupiny krizových scénářů pro prohrávající síly pro zvýšení popularity. Ostatně, domnívám se, že polovinu těch výhružných dopisů, SMSek, telefonů, nábojů atd., které proběhly v souvislosti s volbou prezidenta, byla poslána ČSSD a druhá byla poslána ODS...
Má to pár háčků:
1. Hrozí, že se to provalí. Hrozí, že si někdo všimne, že ti údajné kurdští teroristé mají vytetovánu psí známku z Rudé armády, nebo že na zbraních hromadného ničení údajně nalezených tam či onde je izotopová značka "Made in USA". Nebo že nějaký nespokojený zaměstnanec po čase promluví a prozradí veřejnosti, jak se falšovaly ty či ony dokumenty.
2. Hrozí, že protistrana použije stejnou taktiku. Příznivci Klause pošlou sami sobě náboje? Tak fajn, příznivci Švejnara si rozmlátí auto baseballkou a počmárají ho nápisy "Švejnar patří do plynu".
3. Přesycenost. Vzpomínáte na dobu, kdy Kalvoda odstoupil, protože se přišlo na to, že používal neoprávněně titul? Od té doby na naše politiky vyplavaly neskutečná svinstva a projevy morálního úpadku, ale nikdo neodstupuje - jak to? Odpověď je jednoduchá: Lidé už po tom tak zuřivě nevolají. A to samé hrozí u těchto "obětuj pěšáka" akcí: Desátý phishingový útok už nikoho vzrušovat nebude...
No jo, další chytrák, který musí cpát eB do článku o ČS. ČS má nejvíce klientů a vydaných karet, takže je velká pravděpodobnost že když se ty maily rozešlou do světa, tak přijdou i skutečným klientům ČS a potažno i pravděpodovnost, že na to někdo skočí.
Jak vše líčí, tak přece nemusel útočník měnit žádný záznam na DNS-serveru ani se nabourat na WWW-server spořitelny.
On jednoduše napsal do textu odkazu něco jiného než kam je skutečně uveden odkaz. Ale toho si normální člověk musí všimnout.
Navíc napsal na obrazovku https, ale odkaz je jen v http. Opět normální uživatel Firefoxu si všimne, že okénko URL nemá žluté. (Ale to chápu, že tohle autor neví, protože určitě jako IT-specialista používá jen software od MS.)
A konečně, jen začátečníci využívají takové Webové nadstavby pro mail, které neumějí zobrazit zdrojový (úplný) obsah dopisu. Jsou na daleko více místech než autor tuší. Pouze je neznalí uživatelé neumějí najít, protože netuší, co odkaz na ně znamená.
A poslední rada pro "IT-specialisty", Trochu podezřelý dopis v zásadě čteme Total Commaderem, který nám jej rozkóduje z onoho zdrojového tvaru! (Pozor, opět se nejedná o software od MS.)
Obvykle to je dostatečně bezpečné a není třeba celou Webovou nadstavbu číst Lynxem. Ten nic moc neumí (ani Refresh, javascripty, frame), a tak si vše musíte otevřít sami (jen když se Vám to nezdá podezřelé).