"Leszek" <n...@d...spamu.pl> writes:

> Przysłowiowa blondynka i nie zmienię zdania. Scenariusz popularny i
> tylko blondynki i blondyni się nabierają.

Pewnie w tym przypadku tak (5 kodow), ale w ogole to nie jest takie
proste.

> Po pierwsze użytkownik zobowiązany jest używac aktualnego
> oprogramowania, a zarówno IE jak i Firefox czy Opera są wyposażone w
> ochronę przed phishingiem, przekierowaniami, itp.

Niestety nie da sie calkiem ochronic przed takimi rzeczami na tym
poziomie.

> Kolejne - zapewne
> strona, na której podawała kody nie miała certyfikatu (nie było
> symbolu kłódki).

Tak czy owak certyfikat bardzo latwo uzyskac, jesli tylko jest sie
"wlascicielem" danej domeny (w sensie nazwy, oczywiscie zapewne innej
niz mbanku).

Ponadto uzyskanie certyfikatu dla nazwy serwera, ktorej nie jestesmy
wlascicielem, wcale nie musi byc specjalnie trudne. Wystarczy
spojrzec ile roznych firm wystawiajacych certyfikaty jest wpisanych
w dowolna przegladarke (czy gdzie to tam jest wpisane). Ktos
naprawde wierzy ze 100% z nich przestrzega wszystkich (sensownych)
procedur i jest "nie do zlamania"?
Byl znany przypadek wyludzenia certyfikatow dla "Microsoft
Corporation" od Verisign, z innymi wystawcami i innymi (mniej
znanymi) np. nazwami domen powinno byc duzo latwiej.

> Banki wiecznie ostrzegają i piszą jakie elementy muszą być widoczne,
> aby transakcja mogła być uznana za bezpieczną.

Owszem, ale to takze nie wystarczy. Tyle ze oczywiscie trudniej
poradzic sobie z wyludzeniem certyfikatu niz z wyslaniem komus
linka do "alternatywnej" strony banku.

> Koszt wypłacenia
> zapewne ocenili na niższy od szumu.

Pewnie tak, aczkolwiek przy wiekszej ilosci takich przypadkow
to moze nie byc najlepsze rozwiazanie.
--
Krzysztof Halasa

do góry

Mateusz Papiernik wrote:
> WAM napisał(a):
>> Blondynka trafila na inna strone logowania. Jak wiec mogla przeczytac
>> ostrzezenie na prawdziwej stronie banku?
>
> Uzywajac swojego banku przez X razy wczesniej powinna miec zaryte w
> mozgownicy, ze sprawdza sie certyfikat. Opera i Firefox swieca zoltym
> paskiem adresu, w IE jest klodka - to juz naprawde nie jest wina
> banku, ze klient idiota podal swoje dane (o ktorych poufnosci jest
> informowany na pismie przy ich otrzymaniu przez bank, i w kazdej
> innej sytuacji) zlodziejowi.

Dokładnie.

Kurczę, wiedziałem, że ktoś taki argument poda, jednak ale wierzyłem w
wyobraźnie i sądziłem, że każdy sam sobie dopowie, że X razy widziała
wcześniej właściwą stronę i ostrzeżenia. Rozumiem jednak, że WAM to taki
Advocato Diaboli ;)

Pan Krzysztof pisze w innym wątku, że można łatwo uzyskać certyfikat.
Uczono mnie, że wcale nie. Po pierwsze Verisign Trust Netw. czy Thawte
Consulting, to nie firmy, które sroce spod ogona wyleciały i certyfikaty
na lewo i prawo rozdają, po drugie strony oszustów są blacklistowane i
naprawdę przy używaniu aktualnego oprogramowania sprawdzającego takie
oszustwa nie miałoby miejsca podobne wyłudzenie kodów.
Z resztą poczekajmy - ja jestem pewien, że nie ma mowy o jakimkolwiek
certyfikacie. Jeżeli mamy już IE 7, a ludzie nadal używaja 6 (ba, nawet
5!), to czego się spodziewać? Można trąbić i trąbić o bezpieczeństwie, a
blondynka nawet nie pomyśli, żeby zapytać męża czy zadzwonić do banku i
zapytać o kwestie bezpieczeństwa. Te programy sa takie idiotoodporne w
instalacji, że klika się tylko dalej.
Tymczasem używa się starych programów, okna ostrzeżeń wyłącza się
(zaznaczając, żeby już się nie ukazywały), itp. Aby dać się oszukać
trzeba popełnić kilka błedów i to karnynalnych.
Podobno o bezpieczeństwo NIE DBA 80% uzytkowników - sądzę, że więcej.
Nie mają firewalla, antywirusa, programu typu AdAware (po co - przeciez
to zwalnia gierki;) W sieci jest mnóstwo darmowego oprogramowania i
część sama się aktualizuej! W wfekcie wystarczą proste robaki i nie są
potrzebne podrobione strony z certyfikatem, żeby spośród tych 80%
wyłuskać kilkadziesiąt osób. Ludzie od lat i nadal masowo, nabierają się
nawet na nigeryjski przekręt (!), więc hakerzy i phishingowcy maja
jeszcze wiele lat prosperity przed sobą ...

Leszek

do góry

"Leszek" <n...@d...spamu.pl> writes:

> Pan Krzysztof pisze w innym wątku, że można łatwo uzyskać
> certyfikat. Uczono mnie, że wcale nie. Po pierwsze Verisign Trust
> Netw. czy Thawte Consulting, to nie firmy, które sroce spod ogona
> wyleciały i certyfikaty na lewo i prawo rozdają,

Tym niemniej istnieja takze firmy, ktore mogly cos ze sroka
wspolnego miec, a lancuch jest tak slaby jak _najslabsze_ ogniwo.
Poza tym, tak jak napisalem, Verisign wydal 2 lewe certyfikaty
na "Microsoft Corporation", i nawet musial sie do tego przyznac
(a kto wie do czego nie musieli, ta i inna firmy?). To chyba tez
nie swiadczy o niemozliwosci?

W normalnym, "niekomputerowym" swiecie nikt normalny nie zaufalby
calkowicie jakiejs firmie, ktorej nigdy nie widzial na oczy.
Ludziom sie wydaje, ze Internet dziala w jakims swiecie wirtualnym,
innym niz rzeczywisty. Lepiej jednak by pieniadze w banku nie
okazaly sie takze wirtualne.

> po drugie strony
> oszustów są blacklistowane

Problem w tym ze nikt nie wie ktore to sa. Po fakcie to nie ma
znaczenia (zreszta istotniejsze od zablokowania stron jest
ew. zlapanie ich wlascicieli).

> i naprawdę przy używaniu aktualnego
> oprogramowania sprawdzającego takie oszustwa nie miałoby miejsca
> podobne wyłudzenie kodów.

Problem w tym ze nie da sie napisac takiego programu. Po prostu
w obecnym ksztalcie tego systemu nie da sie na 100% odroznic
oszustwa od nie-oszustwa i zaden program w tym nie pomoze.

> Jeżeli mamy już IE 7, a ludzie nadal używaja 6 (ba,
> nawet 5!), to czego się spodziewać? Można trąbić i trąbić o
> bezpieczeństwie, a blondynka nawet nie pomyśli, żeby zapytać męża czy
> zadzwonić do banku i zapytać o kwestie bezpieczeństwa. Te programy sa
> takie idiotoodporne w instalacji, że klika się tylko dalej.

Przyznaje ze uzywanie IE, w dowolnej chyba wersji, moze byc istotnie
zasadniczym problemem, oczywiscie innym niz zwiazane z SSL.

> Tymczasem używa się starych programów, okna ostrzeżeń wyłącza się
> (zaznaczając, żeby już się nie ukazywały),

Inna sprawa ze takie programy wyswietlaja podobne okna dla bzdur
i dla rzeczy powaznych. Ktos, kto nie wie dokladnie jak to dziala,
moze latwo popelnic blad. Ludzie przyzwyczajaja sie do ostrzezen,
jesli te sa czesto falszywe.
--
Krzysztof Halasa

do góry

Krzysztof Halasa napisał(a):
> na "Microsoft Corporation", i nawet musial sie do tego przyznac
> (a kto wie do czego nie musieli, ta i inna firmy?). To chyba tez
> nie swiadczy o niemozliwosci?

Nie ma rzeczy niemozliwych. Nie zdziwie sie nawet, jezeli AESa z
serpentynka juz gdzies potrafia rozwalic i nikt o tym nie wie ;) Ale
prawdopodobienstwo, ze phising polskiego banku posunal sie tak daleko,
zeby wyludzac certyfikat, jest jednak niewielkie.

Co innego uzyskac dowolny certyfikat, ktory IE zatwierdzi bez pytania -
albo nawet zapyta, bo 90% ludzi i tak kliknie ignoruj. Klodka jest...



--
Mateusz Papiernik, Maticomp Webdesign
m...@m...net, http://www.maticomp.net
"One man can make a difference" - Wilton Knight

do góry

Mateusz Papiernik <m...@m...net> writes:

> Nie ma rzeczy niemozliwych. Nie zdziwie sie nawet, jezeli AESa z
> serpentynka juz gdzies potrafia rozwalic i nikt o tym nie wie ;) Ale
> prawdopodobienstwo, ze phising polskiego banku posunal sie tak daleko,
> zeby wyludzac certyfikat, jest jednak niewielkie.
>
> Co innego uzyskac dowolny certyfikat, ktory IE zatwierdzi bez pytania
> -
> albo nawet zapyta, bo 90% ludzi i tak kliknie ignoruj. Klodka jest...

Owszem, ta druga sprawa powoduje, ze pierwsza staje sie nieprzydatna.
Co innego gdyby dowolny nie wystarczyl...
--
Krzysztof Halasa

do góry

"Leszek" <n...@d...spamu.pl> wrote in message
news:f05urp$11vj$1@main.viknet.pl...

> Nie mają firewalla, antywirusa, programu typu AdAware (po co - przeciez to
> zwalnia gierki;)

Korzystam z dwu bankow internetowych (z fatalnymi zabezpieczeniami), nie
uzywam zadnych antywirusow, ani firewalli. Dam Ci 500 funtow, jesli
ukradniesz mi minimum 1 funta.

Pozdrawiam,
Hants

do góry

Leszek wrote:

> Po pierwsze Verisign Trust Netw. czy Thawte
> Consulting, to nie firmy, które sroce spod ogona wyleciały i certyfikaty
> na lewo i prawo rozdają,

Jak już napisali poprzednicy - czasami jednak rozdają a ciekawe o ilu
nie wiemy.

> więc hakerzy i phishingowcy maja jeszcze wiele lat prosperity przed sobą ...

Jeżeli nie znasz prawdziwego znaczenia pewnych słów to ich po prostu nie
używaj. W jednym z poprzednich postów napisałeś:

> W tym przypadku Inteligo poszło zapewne na rękę aby nie narazić się na artukuły
dziennikarzy, którzy nie znając się (co jest coraz powszechniejsze), broniliby
analfabetów.

rozumiem, że masz tutaj na myśli także albo przede wszystkim siebie?
http://en.wikipedia.org/wiki/Hacker

Dostaje strasznie dużo spam na spamtrapy i nie tylko, i często widzę
"lewe" strony paypal i jakiś banków. Zawsze kilkam na link i w więcej
niż połowie przypadków Firefox albo Opera nie ma ich jeszcze w swoich
bazach (w Firefoxie mam podpięte bazy Google). Poza tym takie ataki jak
ten z artykułu są coraz bardziej presonalizowane. Złodzieje robią
rozpoznanie, wiedzą dokładnie jak działa bank, ofiara ma już na
komputerze pomątowane trojany lub inne pomocne programy i naprawdę
ciężko jest zwykłym ludziom, którzy niekiedy się spieszą, ogarnąć to
wszystko bo dla nich komputer to tak jak lodówka - otwierasz bierzesz co
potrzeba i zamykasz. I naprawdę musi mocno śmierdzieć, żeby zwrócili na
coś uwagę. A co najgorsze tego się nie da zmienić. Nawet najlepsze
zabezpiecznia nie pomogą jeżeli jedno z ogniw jest słabe to cały system
jest słaby i tyle.

--
Bartosz 'xbartx' Nowakowski

do góry

Bartosz 'bart' Nowakowski wrote:
> Leszek wrote:

>> więc hakerzy i phishingowcy maja jeszcze wiele lat prosperity przed
>> sobą ...
>
> Jeżeli nie znasz prawdziwego znaczenia pewnych słów to ich po prostu
> nie używaj. W jednym z poprzednich postów napisałeś:

Znam ale słowa hacker użył dziennikarz. O phisingu napisałem w
kontekscie głupoty ludzi i łatwości z jaką ich się oszukuje. Coś
niewyżyty jesteś, bo nic nie wniosłeś do rozmowy a jedynie w
kilkudziesięciu zdaniach obrażałeś mnie, mie próbując nawet zrozumieć o
czym pisałem. Zal mi takich ludzi. Własnie tacy jak ty zabijają potem
studentów.
Leszek

do góry

Leszek wrote:

> Znam ale słowa hacker użył dziennikarz.

" więc hakerzy i phishingowcy maja jeszcze wiele lat prosperity przed sobą"

Przepraszam bardzo, ale to są Twoje słowa a nie dziennikarza. A jeżeli
nie Twoje to wypadałoby je *zacytować*.

> O phisingu napisałem w kontekscie głupoty ludzi i łatwości z jaką ich się oszukuje.

Skoro tak łatwo idzie to jak myślisz, dlaczego każdego dnia kolejne
osoby się dają nabierać? Bo najprostsze rozwiązania są zawsze najlepsze.
I jak widać najlepsze zabezpieczenia nie pomogą bo najsłabszym ogniwem
jest w tym przypadku człowiek.

> ...a jedynie w kilkudziesięciu zdaniach obrażałeś mnie...

Megalomania?

> Zal mi takich ludzi. Własnie tacy jak ty zabijają potem studentów.

Pozostawie to bez komentarz bo lecisz już ostro po bandzie :/


--
Bartosz 'xbartx' Nowakowski

do góry

Osobnik posiadający mail hants@CUT_ITvp.pl napisał(a) w poprzednim odcinku co
następuje:


> Korzystam z dwu bankow internetowych (z fatalnymi zabezpieczeniami), nie
> uzywam zadnych antywirusow, ani firewalli. Dam Ci 500 funtow, jesli
> ukradniesz mi minimum 1 funta.

jak juz ci ukradnie to sam sobie wezmie te 500 funtów :)

--
Pozdrawia... Budzik ; #GG: 565516 ; www.rowery.rejtravel.pl
b_ud_zi_k_6_1 na poczta kropka onet kropka pl (adres antyspamowy, usuń także "_")
"Dyplomata to człowiek, który pamięta o urodzinach kobiety,
ale zapomina o jej wieku." Anthony Eden

do góry