13:20
20/7/2021

Trzeba to w końcu głośniej zaakcentować.

Przestań sprawdzać czy strony na które wchodzisz mają “kłódki”, a zacznij sprawdzać ich domeny (to ta podświetlana przez przeglądarkę część adresu w pasku adresowym).

Sprawdzenie domeny jest najważniejsze, to zrób najpierw, dopiero potem przejmuj się “kłódką”. Bo jak nie sprawdzisz domeny, a sprawdzisz kłódkę, to będzie jak u tego Pana:

Gdyby ktoś chciał zobaczyć opisany przez ofiarę atak krok-po-kroku, ze screenami, to poświęciliśmy mu ten bogato ilustrowany artykuł. W sprawie tego ataku codziennie pisze do nas kilkadziesiąt ofiar.

A teraz w punktach, do osób które, pewnie będą chciały powiedzieć, że:

  1. LOL, napisał “weszłem” sam sobie jest winny” — na phishing złapać może się każdy, także superwykształcone osoby, np. prawnicy. Sukcesowi ataku sprzyja nie tylko brak wiedzy, jak działają “przesyłki OLX”, ale także odpowiednia pora, poziom zmęczenia (np. opieką nad dzieckiem), a także poziom …alkoholu we krwi. Ty też możesz być ofiarą, nawet jeśli wszedłeś a nie weszłeś.
  2. Ale banki od lat uczyły, żeby patrzeć na kłódkę!!!” — niestety, tak było. Porady niektórych banków dotyczące cyberbezpieczeństwa są straszne, ale na szczęście coraz więcej banków zaczyna to robić dobrze. Ta porada banków odnośnie kłódki nigdy nie była sensowna, ale pochodziła z czasów, kiedy mało która złośliwa strona miała certyfikat SSL/TLS bo one po prostu kosztowały. Na szczęście to się zmieniło, powstało Let’s Encrypt i dziś każdy może szyfrować ruch do swojej strony internetowej za darmo, pokazując zasłużonego fucka wystawcom certyfikatów.
  3. My od lat na naszych szkoleniach z cyberbezpieczeństwa dla firm radzimy: najpierw domena, potem kłódka:

    bo …przecież kłódka oznacza tylko tyle, że ruch do strony jest szyfrowany. A ważniejsze jest to do kogo (domena) przesyłamy nasze zaszyfrowane (kłódka) dane. Możemy je przecież słać do szatana.

  4. Ale przecież są certyfikaty EV!“. Celowo nie rozwiniemy tego skrótu. Bo prawie nikt go nie zna. Tak jak i tego, czym są te certyfikaty i jak je odróżnić od pozostałych. Co kończy dowód. To jest po prostu zbyt skomplikowane dla normalnej osoby. Jeśli nie wierzysz, zapytaj o certyfikat EV swoich rodziców. Albo swoje dzieci.
  5. l tak nie zauważysz literówki w domenie, więc po co ją sprawdzać? WieIe osób myli litery “duże i” z “małym L” (na marginesie, zauważyłeś podmianę tych liter w dwóch słowach poprzedniego zdania? Nie kłam! :D)“.
     
    Tak, to prawda, niektóre ataki phishingowe bazują na łudząco podobnych domenach wykorzystując do tego homografy (tutaj przeczytasz więcej o ataku IDN homograph). Popatrz na przykład takiej trudnej do odróżnienia od prawdziwej domeny: mbanķ.pl, śmiało kliknij! :-) Sprytne prawda? Podobny trick zastosowano niedawno w ataku na użytkowników Ledgera — i choć takie ataki się zdarzają, to jednak zdecydowana większość ataków phishingowych bazuje na łatwych do zauważenia nieprawidłowościach w nazwie domeny:

    Na marginesie, przed atakiem homografowym, ciężkim do wychwycenia okiem, ochroni Cię korzystanie z managera haseł automatycznie uzupełniającego dane logowania. Manager haseł zresztą uchroni Cię też przed kilkoma innymi popularnymi problemami współczesnego bezpieczeństwa, więc zacznij z niego korzystać — tutaj nasz poradnik pokazujący krok po kroku jak rozpocząć przygodę z KeePassem.
     
    A już zupełnie na marginesie, to przed wieloma atakami chroni spokojne czytanie wszystkiego w całości, do końca. Dlatego dopiero tu dopisujemy, że tytuł tego artykułu celowo jest niepełny i powinien brzmieć “Nie sprawdzaj czy strony mają kłódki, dopóki nie sprawdzisz ich domeny”.

Podsumowując:

Przed wpisaniem hasła lub podaniem danych osobowych na jakiejś stronie, najpierw sprawdź domenę — bo to jest najważniejsze, a potem upewnij się, że przy domenie jest kłódka, która oznacza jedynie tyle, że dane są szyfrowane i powinnna ją dziś mieć każda strona internetowa.

Jak gdzieś zobaczymy, że w roku 2021 ktoś wciąż każe ludziom sprawdzać kłódki/certyfikaty nie mówiąc o weryfikacji domeny, to będziemy ciskać piorunami.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

82 komentarzy

Dodaj komentarz
  1. Tutaj widzę przewagę Chrome, który ostrzega przy próbie wejścia na mbanķ.pl .
    W Firefoksie trzeba się doklikać do szczegółów certyfikatu, żeby zobaczyć nazwę w punycode.

    • nie wiem jak Tobie, ale mi firefox wyświetla ta domenę jako https://xn--mban-j0a.pl/

    • Niestety, ale w Firefoksie zależy to od ustawienia network.IDN_show_punycode dostępnego w about:config. Domyślnie w nowych instalacjach jest ustawiony na False, więc zobaczysz domenę lokalizowaną zamiast rzeczywistej. Polecam sobie przestawić na True.

      W starszych instalacjach z tego co wiem, było to ustawiane na True, więc jeśli długo nie reinstalowałeś Firefoxa, możesz mieć już to włączone.

    • Dziękuję za poradę z punycode. Jakie to przykre że obecnie wydawane wersje sprzyjają oszustwom – tu ukrywanie prawdziwego adresu. A zależy to od jednej nastawy.

  2. O, po wejściu na http://xn--mban-j0a.pl wyświetlił mi się komunikat z pytaniem czy nie chciałem wejść na mbank.pl. Nawet nie wiedziałem że moja przeglądarka ma taką funkcję Oo

  3. W jaki sposób KeePass bez instalowania wtyczki do przeglądarki może mi automatycznie uzupełnić dane logowania? Nie chcę instalować wtyczek, bo to potencjalnie zwiększa przestrzeń ataku.

    • Uzupełniać może automatycznie po wciśnięciu skrótu klawiaturowego (zdefiniowanego w programie). Problem w tym, że nie bazuje na adresie, tzn. nie sprawdza czy adres wpisany w keepasie jest ten sam co adres w przeglądarce, a jedynie bazuje na tytule strony – czyli nie uchroni Cię przed tego typu atakiem.

    • Nie zauważyłem, żeby KeePass bazował na tytule strony. Robi autouzupełnianie na aktualnie otwartej stronie. Niczego nie sprawdzając. Tak więc ta funkcja autouzupełniania jest do bani.

    • Sprawa jest dość prosta. Instalujesz oficjalne rozszerzenie Keepassa do swojej przeglądarki i tylko na stronie z prawidłowym URLem rozszerzenie zadziała. Polecam szczególnie tym, którzy unikają Keepassa “bo trzeba dużo klikać”. Tutaj wystarczy po odpaleniu komputera odblokować bazę, włączyć w przeglądarce integrację z aplikacją i wszystko z automatu leci.

    • W KeePassie są dwa rodzaje auto-type… Na Ctrl+v faktycznie wklei wszędzie gdzie poprzednio był focus (przeskoczy do poprzedniego okna), ale na odpowiednio skonfigurowany Shift+F5/F6 (mam nadzieję że to standardowy skrót) już nie, stad dodatek do przeglądarki dodający adres strony do tytułu. W końcu tytuł, czyli de facto nazwę okna, można sobie ustawić taki sam jak oryginalna strona, z adresem jest gorzej.

    • W dobrym managerze haseł, który działa niezależnie od przeglądarki oraz wymaga potwierdzenia akcji bezpośrednio w jego GUI (poza przeglądarką) i oferuje interfejs dla takich dodatków który nie pozwala pominąć tego potwierdzenia, robi wręcz przeciwnie: zmniejsza wektor ataku, właśnie poprzez to, że może weryfikować to, na jakiej stronie chcesz uzupełnić hasło, co zdecydowanie podnosi bezpieczeństwo używania managera haseł. Nie ma się co bać takich dodatków, dobrze jednak jest sprawdzić co pod spodem się dzieje i jak to działa, jeśli chcesz podjąć decyzję jak najbardziej świadomie.

      @Grab a czy jesteś pewny, że złośliwa strona nie jest w stanie tego tytułu zmanipulować? Z mojej wiedzy wynika, że uprawnienia dodatku w tej kwestii są dokładnie takie, jak strony internetowej (no chyba, że dla dodatków jest osobny interfejs, który zawsze nadpisze to, co chce zrobić sama strona internetowa), więc uważałbym na tego typu dodatki, bo ktoś może być na to przygotowany…

  4. “w dwóch słowach poprzedniego zdania? Nie kłam! :D)”?

    W dwóch?
    Dowcipniś. :)
    Ja widzę tylko jedno.

    • @Jarek A teraz widzisz?
      L TAK NIE ZAUWAŻYSZ LITERÓWKI W DOMENIE, WIĘC PO CO JĄ SPRAWDZAĆ? WIEIE OSÓB MYLI LITERY

    • Też zauważyłem jedno, zgodnie ze specyfikacją “…poprzedniego zdania”. Słowo “WieIe” jest w >tympoprzednim< zdaniu, bo zdanie w nawiasie jest zdaniem wtrąconym – przed nawiasem nie ma kropki, a całego zdania nie bierze się w nawias.

    • W hatemelowym popaprańcu, który się wyświetla po wejściu do serwisu nie widać żadnej literówki i nikt normalny jej nie znajdzie. Hatemela trzeba wynicować, żeby wyświetlić źródło stony. Dopiero tam widać zamianę liter.
      Może to też zależeć od fontów ustawionych w przeglądarce, ale chyba niewiele osób wymusza couriera do przeglądania Internetu

    • @Dworczik

      Akurat skopiowałem cały punkt 5 do edytora i zmieniałem wielkość liter całego tekstu. :)
      Ale w ostatnim zdaniu, tak jak Kaper, dwóch takich słów nie znalazłem.

      Oczywiście bez zamiany w edytorze nie widziałem żadnej różnicy. Nie ma szans przy tej czcionce.

    • @kaper, @Jarek Macie rację. Podmiana liter została rozłożona na 2 zdania.

  5. Certyfikaty EV? Podobnie jak wytłumaczenie zielonej kłódki i szyfrowania – mało kto potrafi je wyjaśnić, ale jakaś podstawowa wiedza została zaimplementowana w społeczeństwie. Sam dokładnie wiem, ale dawniej koło adresu, w miejsce kłódki, przeglądarki pokazywały nazwę firmy, dla której certyfikat został wystawiony. Wówczas nawet jak nie zauważyliśmy literówki to drogi i czasochłonny proces tworzenia certyfikatu “chronił” przed oszustwem. Czy ktoś potrafi wytłumaczyć dlaczego przeglądarki przestały je wyświetlać?

    • Bo przed niczym tak na prawdę nie chronią co najlepiej pokazuje przykład typa który sobie wystawił EV na firmę PayPal zarejestrowaną w Delaware.

      Więcej:

      https://www.troyhunt.com/extended-validation-certificates-are-really-really-dead/

    • Rzadki przypadek. Atak musiałby być konkretnie pod kogoś żeby ktoś się tak wysilał. Po co skoro można wrzucić za cloudflare (aka crimeflare :D) i łapać masowo ludzi jak leci, większość pewnie łyknie i oszust zarobi.

    • Gość zrobił ogromnie dużo złego dla idei wiarugodnych stron internetowych. Jest jedną z głównych osób, które doprowadził do usunięcia ich wyświetlania z przeglądarek (ostało się tylko Vivaldi o ile się nie mylę).

      Zdarzenie opisane przez niego nie zajdzie w cywilizowanym kraju. Powodzenia w zarejestrowaniu spółki o takiej samej nazwie jak inna już istniejąca w PL – nie przejdzie bez powiązania kapitałowego między istniejącym i nowym podmiotem. Ponadto EV pokazują stan (USA) lub kraj (inne regiony), w którym spółka jest zarejestrowana.

      Do tego mamy przepisy zabraniające używania nazwy “Bank” i “Urząd” w nazwach przedsiębiorstw – widząc coś takiego w EV wiadomo byłoby, że podmiot jest uprawniony co najmniej do świadczenia danego typu usług.

      Troy zamiast pisać na blogasku o braku sensu EV powinien był dążyć co najwyżej do zmiany modelu ich wydawania i weryfikacji.

    • @nonqu jestes bardzo naiwny. Jesli placisz, dostaniesz ceryfikat z pocalowaniem reki i nikt cie o nic nie bedzie pytac. Certyfikaty sa fikcja, ktora istnieje tylko po to, aby sie kasa zgadzala.

    • a mnie bardzo zainteresowały przepisy zabraniające przedsiębiorstwom uzywania w nazwach słów “Urząd” i “Bank”. Gdzie można je znaleźć? Oraz katalog wszystkich zabronionych słów? Jest (był) przecież Instytut Piękna, Ambasada Urody, Ministerstwo Dźwięków… Więc tego, no…

  6. A ja powiem tak:
    A właśnie że sprawdzaj kłódki!!!
    Otwieraj certyfikat i sprawdzaj w szczegółach czy pole “organizacja” zgadza się z tym na jaką stronę chciałeś wejść.
    3-4 kliknięć więcej uchroni cię przed wejsciem na niewłaściwą stronę.
    Niestety nie dizłą ta metoda na urządzeniach z systemem iOS.

    • @phhh Ale jesli strona korzysta z Cloudflare to w certyfikacie nie bedzie nazwy tej strony, np. tak jest ze strona Niebezpiecznika.

    • @Janusz: Jak to nie? W alternatywnych nazwach DNS masz niebezpiecznik.pl i *.niebezpiecznik.pl.

    • @Kenjiro, masz rację. Ale jaki procent użytkowników sprawdza alternatywną nazwę podmiotu w certyfikacie ? A w ogóle jaki procent zagląda w szczegóły certyfikatu. Sprawdzenie podmiotu, dla którego cert jest wystawiony jest już nie lada wyczynem.

    • @Lucjan Sprawdzenie podmiotu w certyfikacie nie jest “nie lada wyczynem”. Wystarczy pokazać raz i już się umie. A korzyści z takiego sprawdzania dużo większe.

      Tu już nie do Lucjana, bo pojawił się argument że na stronie niebezpiecznik nie ma właściwego podniotu w certyfikacie.
      Wystarczy, że się będzie sprawdzało na stronach, które mają związek z pieniędzmi (płatności, banki i nne tego typu).

    • @phhh “Wystarczy pokazać raz i już się umie”. Chciałbym, żeby tak było, tylko niestety tak nie jest, uwierz mi.

    • @Lucjan Myślę, że jak poprzedzisz czymś w stylu “… dzięki temu zmiejszysz szansę na okradzenie cię z pieniędzy” spowoduje, że zapamiętają.

  7. Nigdy nie sprawdzam kłódek, bo przeglądam sieć w trybie HTTPS-only.

  8. Tylko menadżer haseł lub inne urządzenie/soft, które będą weryfikować adres z zapisanym są w stanie uchronić przed wyciekiem loginu i hasła. Sugestia kontroli przy wymienionym punkcie 5 jest bez sensu. Proponuję posadzić osobę bez wiedzy i powiedzieć, co znaczy “sprawdzić domenę”…

    Poza tym wizualne sprawdzanie domeny jest podobne do przygodówek z lat 80, gdzie trzeba było klikać na każdy piksel, aby odkryć jego znaczenie.

  9. Od razu poznałem że ten http://www.mbanķ.pl to ściema.
    Nie było zielonej kłódki.
    Szach – Mat bezpieczniki! *

    *- pl.wiktionary.org/wiki/sarkazm

  10. W życiu nie czepiłbym się “weszłem”!
    To jak z komputerem:
    jak włanczam, to działa
    jak włączam, to się #$%#$%#…

  11. Podstawowa rada powinna brzmieć: nie klikaj w linki od niezaufanych osób. Zwłaszcza, jeśli mają one związek z płatnościami. Sprawdzanie domen nic nie da (i jest upierdliwe oraz błędnogenne), jeśli będziemy klikali cokolwiek nam podeślą. Płatność powinna być inicjowana osobiście lub z zaufanych serwisów (ale nie użytkowników tych serwisów!). No i zero pośpiechu przy jakichkolwiek operacjach finansowych.

    • A jak osoba jest zaufana, bo to Twój kumpel na FB*, to już klikaj? ;p

      ___
      * któremu ktoś trzasnął konto

    • Bez przesady z tym “nie klikaj”. Parę lat temu miałem coś na sprzedaż w olx, pieniądze dostałem przelewem, potem gość wysłał mi linka do agregatora kurierów (pierwszy raz o nim słyszałem, wcześniej tylko poczta polska), gdzie miałem podać dane do odbioru ode mnie przedmiotu wysyłki. Kurier odebrał i transakcja zakończona.

      Czyżbym padł ofiarom oszustwa?;o xD

    • I jak się to ma do praktyk w Citi Banku, który dla potwierdzenia płatności w Internecie przysyła linka pod którym trzeba się zalogować swoimi danymi do systemu transakcyjnego?

  12. Ad. 1. Oj tak, każdy… w maju zgłosiłem do quad9 domenę z fałszywą stroną logowania do steam (miałem link od oszusta, który do mnie napisał) i ostatnio zauważyłem, że w spamie jest odpowiedź. Gość odpisał, że to jest legit strona logowania do steam… no ewidentnie nie była to legit strona, bo była w innej domenie i nie było certyfikatu EV dla Valve ale no cóż… różni ludzie zajmują różne stanowiska… czasami jak widać nieodpowiednie dla ich wiedzy i umiejętności.

    Ad. 4. Jedno kliknięcie w firefoxie ;) Bardzo proste do nauczenia, jak ktoś obsługuje bank, robi zakupy w necie to nie ma opcji, żeby się tego nie mógł nauczyć.
    Do obsługi myszki nie trzeba wiedzieć jak działa scroll albo sensor i tak samo nikt nie musi wiedzieć co to jest certyfikat EV itd. Jedyne co musi wiedzieć to: “Logujesz się do banku? Klikasz se kłódeczkę, sprawdzasz czy jest napisane, że certyfikat wystawiony dla [nazwa banku]. Jeśli tak to super, jeśli nie to STOP!”
    Oczywiście jeśli w danym banku (czy na innej stronie) jest certyfikat EV.

    • A to prawda, podobnie ciężko pisze się z abuse firm domenowych i hostingow. Ale też trzeba przyznać że spamerzy są sprytni i przekierowują ruch przez 2-3 a nawet więcej domen z synami kontrolnymi ważnymi określony czas. Po tym czasie widać biała stronę jak ktoś odczyta maila, a jak przejdzie pełne przekierowanie działa, ale z inną suma, czasem domeną.

  13. Kłudeczka znaczy tyle ze polaczenie jest +/- szyfrowane i to bylo oczywiste dla kazdego obeznanego cokolwiek z technika jak https jeszcze raczkowal.

    Potem rozne niekompetentne ma*, nie potrafiace pojac konceptow bardziej skomplikowane niz 1-elementowe…
    Osoby te zabraly sie za “redagowanie rzeczywistosci”, wziely koncept polaczenia https, wyrzucily to ze polaczenie nawiazane jest pomiedzy 2 stronami (czyli tez adres (ironicznie) strony www), wyrzucily to co jest podmiotem bezpiecznego polaczenia (przesylane dane, jak hasla, interakcje etc.) i samemu bedac zbyt tepym zeby ogarnac cos tak podstawowego, uznali sie za wystarczajaco kompetentnych zeby wprowadzac zmiany “upraszczac” temat dla mniej ogarnietej czesci populacji (patrzac na miejsce na skali IQ w ktorym sami sie znajdowali, trudno oprzec sie wrazeniu ze chodzilo o zwierzatka pokroju ameb ktorym ktos nadal status prawny czlowieka i obywatelstwo (pewnie zeby samemy lepiej wypasc na wykresie))

  14. uMatrix w Firefox zablokuje skrypty na niezapisanej wcześniej domenie, to dość łatwo pozwala zrozumieć, że coś jest nie tak.

  15. Dla nowych pokoleń jest jeszcze nadzieja. Zdanie zaliczenie informatyki w podstawówce nie powinno być możliwe bez zrozumienia czegoś tak prostego jak czytanie adresów URL.

    • Jakbym spytał swojego brata (który jest obecnie w ósmej klasie podstawówki), to powiedziałby, że nie wie co to jest URL. Ale za to narysował by mi jakąś kartkę świąteczną w Paincie.
      Poziom nauczania informatyki w podstawówce jest porażająco niski

    • Bez urazy Kolego. Poziom “informatyki” w szkołach jest wprost proporcjonalny do wiedzy nauczyciela! A ilu masz nauczycieli informatyki po Studiach Informatycznych?! Jedyne co w szkołach uczą, to jak ciut efektywniej używać aplikacje ze stajni Microsoft! Dla mnie, to podstawy informatyki są na lekcjach zwykłej matmy i fizyki! Są to bowiem ZADANIA z treścią! Od rozwiązywania zadań z treścią bierze się algorytmika czyli umiejętność dopasowania schematów postępowania dla określonych zadań! Dopóki uczeń nie będzie miał wyrobionej umiejętności dopasowania schematu postępowania (algorytmu) tak długo sama nauka informatyki JEST MU ZBĘDNA! A nauka klikania w aplikacji, to zajęcia na plastykę albo prac ręcznych! Takie jest moje zdanie!

  16. KeePass użytkowany z domyślnym mechanizmem wpisywania (AutoType) nie chroni przed phishingiem, ponieważ wpisy rozpoznawane są na podstawie paska tytułu przeglądarki. Potrzebna jest wtyczka do przeglądarki, która łączy się z KP i dobiera wpisy na podstawie adresu URL, a nie tytułu. Nie wiem jednak, która z aktualnych wtyczek jest na topie, coś podpowiecie?
    Podobny mechanizm (i własną wtyczkę) ma też jego fork – KeePassXC.

  17. Proszę mi wyjaśnić jedną kwestię. Kiedyś zalecano patrzenie na kłódkę, bo świadczyła, że strona posiadała certyfikat, a nie była to częsta praktyka wśród przestępców. Teraz można wygenerować taki za darmo, ok… ale co z certyfikatem rozszerzonym (SSL EV)? Kiedyś przeglądarka obok nazwy domeny wyświetlała nazwę organizacji, np. PKO Bank Polski S.A. obok ipko.pl. Dlaczego ta opcja zniknęła? Certyfikat SSL EV jest niezaufany?

  18. Sorry, ale na phishing łapią się zazwyczaj osoby które są totalnie tępe i nie wiedzą co robią. Jeżeli nie ma się pewności co robi to po co korzystać z płatności on-line ? Niewiedza nie tłumaczy głupoty.

    • Tidos, przyjdzie taki czas, że będziesz miał 1000 rzeczy na głowie i jeszcze przyjdzie Ci SMS z elektrowni (z linkiem do płatności) i groźbą, że zaraz wyłączą prąd.

      Obyś wiedział co robisz i nie trafił do tej grupy, o której piszesz ;)

  19. Wystarczy, że zrobię na stronie popup wyglądający jak nowe okno przeglądarki ze stroną logowania.

    Wtedy w tym oknie mogę mieć poprawną domenę i cokolwiek zechcę.
    Jak ktoś zechce sprawdzać, to wszystko w tym oknie będzie ok.

    • Zrób, taki widoczny w whatsapie.

    • No tak, bo phishing na kompie nie wystarczy :)

    • Ten post dotyczy ludzi, którzy łapią się na phishing w kanale WhatsApp. Ale nawet gdyby rozważyć Twoje “komputerowe” phishowanie tą metodą, to ktoś najpierw musi wejść na stronę, która mu zaserwuje okienko, więc wciąż wszystkie rady z tego posta są właściwe. Zwłaszcza ta dotycząca managera haseł, na którą ten wektor nie zadziała.

    • @kuczera – w identyczny sposób od lat phishuje się konta steam – mamut dostaje link który wygląda jak skracarka i po wejściu otwiera się fake popup z logowaniem do steama

    • No ale nie lądujesz przecież od razu na popupie.

  20. Zamiast uczyć, żeby ludzie bawili się w czytanie urli, powinno się imo uczyć o tym jak sobie mogą robić izolacje danych, jak odcinać aplikacjom dostęp do sieci i o u2f.

  21. Kto grał choć trochę w gry MMO chyba powinien być na tego typu wyłudzenia odporny. Reszta powinna bardziej uważać i zacząć doceniać wiedzę wyniesioną z gier, taką jak to, że człowiek wstanie jest zdradzić i oszukać nawet dlatego garstki judaszowych srebrników.

  22. Przedstawię Wam nasza historię:

    Wczoraj wieczorem babcia u której jesteśmy na wakacjach (osoba kompletnie nie umiejąca w internety) poprosiła mnie o wystawienie na internecie ogłoszenia że ma do sprzedaży 2 młode kózki ( żywe zwierzęta).

    Wziąłem wiec mojego laptopa, szybko założyłem konto na OLX na babcię z jej numerem komórki, parę fotek zwierzęcia itp, napisałem ogłoszenie i poszło do moderacji.

    Numer telefonu na koncie OLX i w ogłoszeniu to komórka babci ale taka zwykła – tylko do dzwonienia i w ostateczności SMS. Watzupa babcia nie ma i nawet smartfona nie ma tylko prosty aparat telefoniczny bo jak pisałem – babcia nie umie w internety.

    O godzinie 22:25 – dostałem maila że moderator klepnął ogłoszenie i zaczęło się wyświetlać.
    O godzinie 22:29 czyli 4 minuty później dzwoni babci komórka.
    Zdziwiło nas że ktoś o tej, mało przyzwoitej, porze dzwoni, ale odbieram.

    Klient bardzo, ale to bardzo zainteresowany zakupem “przedmiotu”, już od razu chce zapłacić żeby mu zarezerwować towar i prosi o podanie danych z karty żeby natychmiast przesłać pieniądze a rano po przedmiot wyśle kuriera.

    Oczywiście od razu zorientowałem się o co biega, że to oszust ale ze śmiechem zapytałem go czy on jest normalny że chce żywą kozę wysłać kurierem?

    I tu nastąpiła dość długa chwila konsternacji. Gość ewidentnie nie wiedział czego dotyczy ogłoszenie, używał słów “przedmiot” “towar” i chyba nawet nie przeczytał ogłoszenia tylko od razu dzwoni.

    To dowodziłoby ze oni to robią niejako z automatu. Być moze jakiś automat wyszukuje mu num er i od razu dzwoni albo pisze.

    • Bo jest to mu kompletnie obojętne co wystawiasz, on i tak nic nie kupi. Jedyny cel tego zawracania głowy to wyłudzenie danych karty aby sobie zasilić konto.
      Istnieje szansa, że obecnie to zjawisko ma postać organizacji – goście jak w call center siedzą przed monitorami i otrzymują od pracujących botów (łuskających takie perełki z OLX) numery telefonów i dzwonią – kto szybszy to zgarnia klienta.

  23. W brave browser po kliknięciu w link (niby mbanku) wyskoczył pop-up z pytaniem czy chodziło mi o mbank.pl? Jest też informacja, że niektóre złośliwe strony podszywają się pod inne.

  24. Moja mama nie odróżnia http://mbanķ.pl od https:// mbank.pl. Niestety nawet na wysokim dpi. Dlaczego? Bo ma swoje lata i słaby wzrok. To dotyczy sporej części userów.

    Strony nie korzystające z certyfikatów EV powinny być oznaczane dla usera jako niezaufane – bo są przecież są niezaufane. Nie potwierdzają, że łączysz się tam, gdzie chcesz się połączyć.

    Darmowe certyfikaty jakkolwiek przydatne, sporo namieszały i przez niewiedzę, roztargnienie i ograniczenia fizyczne użytkowników obniżyły poziom zaufania do certyfikatów potwierdzających tylko domenę.

    • Dlatego domeny IDN to zło. Po jakiego grzyba je ktoś wymyślił?

    • A odróżnisz wizualnie domenę lllll.pl od IIIII.pl? Masz nawet przykłady w artykule.
      IDN owszem, zaciemnia nieco temat, ale bez niego też można sobie poradzić.

    • Gdyby nie IDN to producenci przeglądarek mogliby wprowadzić taką czcionkę w adresach URL, żeby każdy znak wyraźnie się różnił. Znak, czyli jedna z 26 liter dużych i małych lub cyfra.

  25. Sposób na wykrycie homografów (oczywiście zamienić zawartość temp_name na nazwę domeny)

    $ temp_name=”l tak nie zauważysz literówki w domenie, więc po co ją sprawdzać? WieIe osób myli litery “duże i” z “małym L”
    $ echo ${temp_name^^}
    L TAK NIE ZAUWAŻYSZ LITERÓWKI W DOMENIE, WIĘC PO CO JĄ SPRAWDZAĆ? WIEIE OSÓB MYLI LITERY “DUŻE I” Z “MAŁYM L

    • Przecierz wszystko jest z malej litery – “I” z “l” nie pomylisz… co najwyzej mozna robic literowki, zamieniajac/odejmujac/dodajac literki, ale i tak w rzeczywistosci wiekszosc z tych oszustw ktore widzialem tutaj ma domeny z przyslowiowej 4 liter, bo ludzie loguja sie do bankow nawet jak stronie pokroju:
      //sdltk34jefsf.hakerzsmakers.com/seksy-zbigniew/mamykasewiemylepiej-taksiakibank-logowanie

    • Tak, ale w jakiej domenie masz duże litery?
      Wykrycie dużej litery np. I udające małe “L” automatycznie ją eliminuje.

      Możne by też tak:
      $ [[ “l tak nie zauważysz literówki w domenie, więc po co ją sprawdzać? WieIe osób myli litery “duże i” z “małym L”” =~ [A-Z] ]] && echo “Uwaga homograf”
      Uwaga homograf

      $ [[ “ibank.pl” =~ [A-Z] ]] && echo “Uwaga homograf”
      $ [[ “Ibank.pl” =~ [A-Z] ]] && echo “Uwaga homograf”
      Uwaga homograf

    • To jakis trolling?

      > Tak, ale w jakiej domenie masz duże litery?
      > Wykrycie dużej litery np. I udające małe “L” auto…

      Tak, ale w jakiej domenie masz DUŻE LITERY?
      Wykrycie DUŻEJ LITERY np. I udające małe “L” auto…

      Czy czegos nie zrozumialem czy wciaz gadasz o tej duze literze iiiiiii [b]co jej nie ma[/b]?

    • tak, czegoś nie zrozumiałeś.

    • @Czezz

      Powiem ci jak ja to widze (analogia): dumny ze swojej “kreatywnosci” i “technicznej bieglosci” zaproponowales nam rozwiazanie problemu robienia 4 szklanek herbaty w sytuacji kiedy w czajniku znajduje sie tylko wody na 3 i jest to zespawanie z soba 2 standardowych czajnikow…

      Technicznie – jest to jakies rozwiazanie…
      Praktycznie – nikt poza toba go nie zastosuje, poniewaz wiekszosc zagoduje wode 2 razy, duza czesc pozostalych kupi wiekszy czajnik, a tych paru co zostalo i by sie kwalifikowali juz dawno sobie sami zespawali.

      Rozwiazanie to cos co istnieje w kontekscie, twoje nie wpasowuje sie w zaden (prezentacja odcina poczatkujacych, sredniozaawansowani juz wiedza, zaawansowani znaja lepsze) – to znaczy jest jeden: “troche pokodzilem i szpanuje piszac kod ktory nie robi nic poza samoprezentacja, poniewaz nikt nigdy go nie wykorzysta”

    • Ja też się ciesze, że już ci lepiej :D

  26. Szereg instytucji wprowadziło w swoich sieciach deszyfrację SSL/TLS przez zapory aplikacyjne np. Palo Alto. Z zasady nie ma czegoś takiego jak zaufana trzecia strona, a zwłaszcza już, gdy wiadomo, że trudni się ona atakami typu MiM.
    Stawia to znak zapytania przy edukacji w sprawie domen i kłódeczek, bo użytkownik musiałby jeszcze sprawdzać wystawcę certyfikatu. W efekcie działania korporayjne niweczą wysiłki wszystkich podmiotów, które edukują i promują bezpieczne i prywatne korzystanie z sieci.

    • Naprawde myslisz, ze certyfikowanie (audyt, weryfikacja) etc. stron w internecie ktore chcialy by skozystac z https (czyli praktycznie WSZYSTKICH STRON W INTERNECIE na ten moment, roznych innych sieci juz nawet nie licze) po to zeby wystarczyla sama kludeczka i ludzie nie musieli by nawet weryfikowac adresu bo wszystkie strony z kludeczka (czyli praktycznie wszystkie strony w internecie) byly by bezpieczne i nawet nie probowaly oszukiwac?

      Moze jeszcze przydzielic *kazdemu produktowi w kazdym sklepie/markecie* policjanta-ochroniarza w ramach zapobiegania kradzierzom?

      piiiiiiiiiiiiiiii cie?

  27. Wydaje mi się, że jeśli się nie wprowadza na stronach żadnych danych to bez znaczenia czy maja kłódkę czy jej nie mają. A większość stron to takie gdzie tylko się je przegląda. No i po za kłódka jak się wprowadza dane gdzieś to trzeba sprawdzać adres a nie ikonkę bo strona podstawiona też może mieć certyfikat.

    • ale skąd pewność bez szyfrowania, że “tylko przeglądane dane” nie zostały w locie zmienione (atakiem Mitm)? i zostaniesz zdezinformowany.

  28. Skoro największym zagrożeniem jest nierozróżnianie znaków w linii adresowej przeglądarki, najlepiej będzie zmienić czcionkę na szeryfową: https://i.imgur.com/zkqWNMm.png

  29. W przypadku laptopa w korporacji kłódka w zasadzie nawet nie musi oznaczać szyfrowania do nadawcy bo połączenie jest rozpruwane. Kłódki nie ma co sprawdzać – widzę tam Root CA swojej firmy.

    Notabene – sprawdzenie domeny powinno być przy użyciu CTRL+C i CTRL+V (czy CMD na Macach) bo inaczej literówki się nie przepisze.

    Ostatecznie brakuje porad dla osób, które jednak coś tam klikają (bo muszą, bo taka praca, bo się nie znają) brakuje porad dla osób, które coś tam lubią klikać, są narażone. Ostatecznie brakuje porad dla profesjonalistów – każdy może dać się złapać, ale jak t zrobić, aby zmniejszyć to ryzyko (poza menadżerem haseł). Jak zmniejszyc (ograniczyć ryzyko) – a da się na wiele sposobów.

    • PS
      Sprawdzajcie też domeny jak piszecie/odpowiadacie na email – mało się o tym mówi, ale tutaj też można wtopić. Od roku dostaje maile z ustaleniami cen na rynek polski jakiejś tam zagranicznej firmy – maile trafiają do mnie bo ktoś wpisał na listę paru pracownikó pewnej polskiej firmy, której nazwa przypadkiem różni się kolejnością literek w stosunku do mojej firmy.

      Nie mniej jednak – można dostać email sugerujący pewną firmę (np przy celowanym ataku) i tak samo jak z www powinniśmy sprawdzić czy nie ma literówki, kto stoi za domeną. Temat rzeka zupełnie niewidoczny w internecie.

  30. Witajcie,

    znajoma osoba padła ofiarą typowego phishingu na OLXa i poprosiła mnie o pomoc w napisaniu odwołania od decyzji banku, który oczywiście nie widzi problemu i wysłał w odpowiedzi na reklamację kilka porad jak się zapezpieczyć na przyszłość…

    Czy ktoś z was może pomagał w przygotowaniu takiego dokumentu?

    Szukam możliwości wytknięcia bankowi (PKO) niewystarczającego dbania o bezpieczeństwo.
    Włamanie zostało wykonane na smartphone’a z Androidem. Telefon milnacz przez 3 godziny po czym przyszedł sms, że “już po robocie”, Tzn. ” Informujemy że zostało wykonanych xx transakcji kartą”. A wsześniej (podczas milczenia telefonu) została zainstalowana i aktywowana aplikacja IKO.
    To co mi przychodzi do głowy na szybko:
    – brak odpowiedniego poziomu bezpieczeństwa przy aktywacji aplikacji – SMS na to samo urządzenie w którym instalujemy aplikację to po prostu tragedia.
    – brak potwierdzenia kanałem tel. czy email o zmianie limitów wypłat.
    – brak (domyślej) blokady wykonywania wypłat gotówkowych poza EU.
    – ogólnie brak reagowania po stronie banku na szybkie automatyczne transakcje (klika transakcji było wykonywanych w ciągu jednej minuty i to zarówno z PL jak i Rosji). Zostało wykonanych ponad 40 transakcji w bardzo krótkim czasie i bank nie widzi w tym żadnego problemu.
    – po ponad godzinie oczekiwania na infolinii podczas zgłosznenia kradzieży konsultant zablokował kartę czasowu zamiast ją unieważnić (przecież można ją odblokować w każdej chwili z IKO).

    W ogóle jeżeli ktoś może to niech mi wytłumaczy – w jaki sposób poczas takiego ataku oszust ma możliwość wypłacania gotówki w Rosji, gdzie nie działają wypłaty Blikiem, a w aplikacji nie widać przecież całego numeru karty??

    Z góry dziękuję za wszelką pomoc.
    Walczmy współnie nie tylko z oszustami, ale także z ignorancją banków które pozwalają nas okradać.

  31. Co do sprawdzania domen… a czy nikt nie obawia się, że ta zostanie podmieniona w hosts.ini ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: