19:44
28/1/2019

Google wypuściło interesujący “quiz” sprawdzający, czy dałbyś się nabrać na phishing. Test składa się z 8 pytań. Przetestuj się zanim ktoś Cię przetestuje naprawdę :)

Podeślij też ten quiz znajomym i rodzinie. Ty pewnie ustukasz 8/8 punktów, ale czy i oni też będą mieli aż tak dobry wynik? Jeśli nie — koniecznie uczul ich na obecne zagrożenia. Mogą Ci w tym pomóc artykuły, jakie ostatnio stworzyliśmy dokładnie w celu edukacji bliskich:

  • O bezpieczeństwie rodziców i dziadków oraz mniej technicznych znajomych (podcast Na Podsłuchu, odcinek #10)
  • Konkretne rady, jak zabezpieczyć sprzęt rodziców i dziadków przed atakami
  • Jak ochronić się przed inwigilacją (poradnik na każdy stopień paranoi)
  • Te 4 powyższe artykuły nie wyczerpują tematu. Jeśli szukasz zjadliwej pigułki z wiedzą z zakresu “cyberbezpieczeństwo dla każdego”, to zapraszamy na nasz wykład “Jak nie dać się zhackować?“. Przystępny język (każdy kto korzysta z internetu na smartfonie lub komputerze zrozumie), zero nudy (praktyczne pokazy ataków na żywo!) ale przede wszystkim konkretne i sprawdzone w boju rady, które faktycznie podniosą bezpieczeństwo (i których stosowanie nic nie kosztuje). Ponad 3000 osób oceniło ten wykład na 9,4/10. W najbliższych miesiącach będziemy w tych miastach:

    Już można rezerwować miejsca na tej stronie lub klikając w ten wielki zielony przycisk poniżej:

    PS. Tak naprawdę “powyższych artykułów” było 5 a nie 4. Jeśli tego nie zauważyłeś, to w teście phishingowym masz 8/9 ;)

    Przeczytaj także:

    61 komentarzy

    Dodaj komentarz
    1. Miałem 8/8. Było łatwo :/

    2. Tak naprawdę to wielu znajomych nie kuma angielskiego. I w ogóle ludzie są oporni na wiedzę. Udostępnisz zdjęcie śmiesznego kota = pierdyliard lajków. Coś mondrego = ZERO BEZWZGLĘDNE. Ludzie z natury wolą być ignorantami. CUSZ.

    3. Miałem 7/8. Nie zaliczyłem 1 bo adres z którego przyszedł email był inny od tego “który wcześniej widziałem”. Nie widziałem wcześniej żadnego emaila od jakiejś angielskiej szkoły ~~

      • Miałem to samo, ciekawe skąd miałem wiedzieć że adres kiedyś był inny?
        Równie dobrze adres dropbox mógłby być lewy, bo nigdy z nimi nie korespondowałem ani konta u nich nie mam.

      • Nooo, bo było napisane w treści zadania do tego punktu, że zwykle wiadomość przychodziła z adresu “cośtamschool@jakiśdomain”?

    4. Niestety nie mogłem zacząć testu. Chcieli nick i @maila.

      • Dobrze, paranoiku. Podaj się za Jana Kowalskiego, a jako adres maila daj np. jan.kowalski(każdy wie, co tu na być}gmail.com – nie podasz swoich.

        Chyba, że rzeczywiście nazywasz się Jan Kowalski. Wtedy podaj się za Annę Nowak ;)

        Ja też nie podałem swoich danych – przedstawiłem im się jako John Smith. Użycie tych personaliów utrudni ustalenie narodowości.

      • Podasz Anna Nowak i każdy domyśli się, że to z pewnością Jan Kowalski :)
        No te Janki Kowalskie to mają pecha :)))

      • Przecież sami podpowiadają “real or fake one”.
        Ten mail to potrzebny, żeby testy mogły się do Ciebie zwracać po imieniu i mailu, czyli, żeby wyglądało bardziej realnie. Ja wpisałem tam cośtam, a test ładnie napisał mi Hi “pindolec@test.com” :)

    5. 7/8
      Ostatnie pytanko mnie zwiodło >.< Ale wg mnie to i tak nieźle

      • Przezorny zawsze ubezpieczony.

    6. A teraz przyznać się – ile osób sprawdziło przed quizem czy certyfikat strony został wystawiony na Google albo upewnił się we whois czy to nie phishing? No a potem czy do strony quizu nie wyciekają jakieś wasze ciastka, czy identyfikator przeglądarki :)

      • U mnie było trochę inaczej. Ja pomyślałe, że samo przystąpienie do quizu już jest testem podatności na phishing i w ogóle nie kliknąłem.

      • Dokładnie taka sama reakcja – nie klikamy w byle podrzucone linki, nie wkładamy… paluchów… w niepewne miejsca.

      • Ja myślałem, że samo przystąpienie do quizu jest testem, więc sprawdziłem wcześniej co i jak i otworzyłem w tybie por…. prywatnym ;)

    7. CHa. Niby wielkie Google, a strzeliło babola i można dostać wiencej pónktów niż powinno być. Wystarczy kliknąć dwa razy w linka na 4 pytaniu. Zobaczcie sami http://bit.ly/2RpqI41

      Pozdrawiam,

      • Kilkadziesiąt minut i 26 kliknięć. Według bit.lu 24 z Polski, i po jednym z USA i Holandii. Odliczając moje 2 i zapewne ze 2 od moderacji i tak nie jest ciekawie.

        Spróbujcie zamieścić coś podobnego, ale z plikiem do pobrania zamiast tylko wyświetlającym PDFa i może na nieco egzotyczniejszym serwerze. Pewnie efekt będzie podobny.

        Zaczynając pracę rozesłałem do ludzi maila z prośbą o hasła dostępowe. Chyba ze 3 osoby na 27 zapytało mnie po co to chcę, a reszta wcześniej czy później przysłała hasła. Obecnie (miesiąc temu) jedna osoba przypadkiem otworzyła lewą fakturę z rarem w środku i po wyrwaniu kabla z gniazdka przybiegła z informacją, że “głupotę strzeliłam”. Musiałem naprawić kabel, ale cóż. Jestem zadowolony z wychowania współpracowników. :D
        Taki wynik przyszedł po 7 latach pracy :)

        Komentarza proszę nie zamieszczać.
        Napisałem wyłącznie informacyjnie.

        Pozdrawiam.

      • A to dopiero :D
        Dziwny system.

        To teraz pasowałoby napisać, że ktoś mi się włamał na konto i napisał komentarz :D

      • Gdzie prowadzi ten podejrzany link?

      • Dodaj plusa na końcu linka bitly i zobaczysz statystyki.

    8. Stronę quizu pewnie, że sprawdziłam ;) ale uważam, że ostatnie pytanie jest głupie – dla mnie to phishing nawet jeśli autorzy sądzą inaczej i nie dałabym aplikacji takich uprawnień

    9. Tak naprawdę, to nie wiem ile mam na 8, bo adres skrócony mnie nie przekonuje, trzeba podać hasło do konta gmail. Pewnie -1 za to, że w ogóle otworzyłem stronę i +0.5, że zrobiłem to w “piaskownicy” :)

    10. A to nie jest test na scam I wygrałem jeśli nie wszedłem w link?

    11. Szkoda, że nie testują na obecność unicode w URL. Wtedy to by się działo ;).

      We wszystkich instalacjach FireFox’a do których mam dostęp zawsze włączam pokazywanie punycodes.

    12. a poprawili już pytanie “kliknąłeś COŚ i to wyskoczyło”?
      w takim kontekście jasne, że nie nadaję uprawnień, ale według nich wszystko było ok

    13. Ha ha ha od google. Cały ten test to jeden phishing. Ci,którzy go rozpoczęli podając e-mail i imię OBLALI

      • Haha niektórzy oblali by maturę, bo wymagana jest znajomość czytania ze zrozumieniem.

      • Ja też się bałem. Podałem się za Johna Smitha. I jakiś wymyślony adres im podałem.

    14. Tylko 6/8. Serwis wakacyjny, który chce dostępu do moich maili i ustawień maila nie jest phishingiem? No ok:-D
      nie otwierać maili, bo jest .pdf? Zamiast tego używać wyłącznie dysku Google? Moje banki to muszą być phishingowcy numer jeden na świecie!
      Tylko ja mam wątpliwości do ww.?

      • Mam tak samo.

      • Zgadzam się co do PDF, też mi tego nie zaliczyło – mało to ludzie/instytucje zmieniają domeny – pomijając zresztą “wiarygodność” pola sender? Sprawdziłem czy to faktycznie pdf a nie .exe, a oglądam i tak pierw w przeglądarce…

        Co do ostatniego: nie uważam tego za phishing, tylko za naganną praktykę, na którą nikt nie powinien się zgadzać.

      • Mam dokładnie ten sam wynik z tych samych powodów. Ostatnio przeglądając na telefonie informacje jakie google zbiera o mnie znalazłem zakładkę zakupy ze wszystkimi rzeczami z allegro, amazona, steama. Po kliknięciu na “skąd się to wzięło” – automatyczne skanowanie maili. Chyba jestem bardziej dumny z 6/8 niż z 8/8 bo to by znaczyło że za bardzo ufam googlowi. Chyba jednak wolę dostawać reklamy które nie są dopasowane do mnie :)

      • Ostatnie pytanie to niezły babol. Przysłanie maila z żądaniem otwarcia wybranego adresu w formie CANCEL / CONFIRM to proszenie się o phishing. Google samo się strollowało.

      • @kenjiro – warto przeczytać opis sytuacji przed przystąpieniem do rozwiązywania tego zadania.

      • Jaki masz Piotrze na myśli “opis sytuacji”?
        U mnie żadnego opisu nie ma, chyba że masz na myśli lakoniczne:
        “You’ve signed up for a travel planning service.
        You want them to scan your email, but take a close look.”
        Nie ma możliwości podglądu nagłówków, nie ma możliwości podglądu linka pod ALLOW ani CANCEL, po prostu podkładanie się.
        No i zasadnicza kwestia, ów test zachęca aby klikać na nieznanych adresach lub takich, które się nie wyświetlą (a to sugeruje, że to nie jest link, tylko coś podobnego do linka), co jest już zdecydowanie ANTY-bezpieczne.
        Przecież skoro przyjdzie do użytkownika identycznie wyglądający e-mail, ale z podmienionym linkiem pod ALLOW (a dalej klasycznie phishingowo, “logowanie” do Google itp.), to co zrobi użytkownik, jak sądzisz?

      • To nie jest email.

      • Jeśli nie e-mail to tylko gorzej. Jeśli na komputerze wyświetliłaby mi się taka wiadomość, to tym bardziej byłby to zły znak (bo na komputerze nikt nie instaluje takiej aplikacji), jeśli w przeglądarce – to miałbym adres w pasku adresowym oraz podgląd źródła. Wymieniony punkt quizu jest kompletnie do bani, bo promuje złą praktykę – “klikaj na linki, a może coś się stanie”…

    15. Już sama strona główna quizu nie jest w domenie Google, co zatrzymało mnie na starcie. – 1 punktów.

      • Nazwa DNS: *.appspot.com
        Nazwa DNS: *.a.run.app
        Nazwa DNS: *.thinkwithgoogle.com
        Nazwa DNS: *.withgoogle.com
        Nazwa DNS: *.withyoutube.com
        Nazwa DNS: appspot.com
        Nazwa DNS: run.app
        Nazwa DNS: thinkwithgoogle.com
        Nazwa DNS: withgoogle.com
        Nazwa DNS: withyoutube.com

      • To samo. .withgoogle ? Nie, dziękuję. Niestety zorientowałem się PO kliknięciu w quiz, mogłem sprawdzić przed.

    16. “Podeślij też ten quiz znajomym i rodzinie”. jesli tego nie zrobisz to spotka ciebie wielkie nieszczescie

      pewien kapitan podeslal, a gdy wrocil do macierzystego portu okazalo sie ze dostal duzy spadek i do konca zycia nie musi pracowac. natomiast pani Anna z Bielsko Bialej nie wyslala quizu, gdy wrocila do domu dostala wezwanie do oplacenia abonamentu RTV

      • No nie, łańcuszki szczęścia…

        PS. Pani Anna ma prawnika, który wygrał sprawę w sądzie o abonament RTV. TVP już do jej drzwi nie będzie się dobierać.

    17. Ostatnio u mnie w firmie zrobili podpuche i wyslali maila podpisanego “Zdjecia z wigilii firmowej”. Byl tam link, ktory zliczał kto dokladnie otworzyl tego maila i kliknal w ten link. Dodam ze byl wyslany z jakiegos dupnego maila i prowadzil do jakiejs dupnej strony. Laski to sie zabijaly zeby go otworzyc. Jedna kliknela 18 razy. Inna chodzila po kolezankach i prosila zeby wszystkie inne to otworzyly bo u niej sie zdjecia nie pokazuja. No masakra. Stracilem wiare w ludzi po tej akcji.

      • Mierzenie samego parametru przejść na stronę (klikanie w link) nie mówi niczego na temat tego, czy eksperyment jest udany i czy pracownicy byliby ofiarami phishingu.

    18. Jak widzę, przeczytanie pierwszego zdania po rozpoczęciu testu, ba pierwszego nagłówka, jest dla niektórych zbyt skomplikowane.
      “Make up a name and email.”
      “Create a name and email — neither need to be real — to make this quiz seem more realistic.”

      Główny problem z testem to założenie w pytaniu 8
      “You want them to scan your email” Nie, zdecydowanie nie chciałbym żeby przeszukali moje emaile. No ale skoro test twierdzi, że chcę…

    19. Nie załączyłem wyjątku w NoScripcie, mam cały czas “Loading”, nikt się na stronie nie przedstawia więc nie ma co włączać spyware.
      Poprawne zachowanie… chyba? Czy może 11/10 pkt? :)

    20. Społecznie w 100% wszystkie sytuacje byłyby dla mnie phishingiem – takie maile mi się nie zdarzają (nie licząc księżniczki z Afryki, która kiedyś chciała mi dać milion dolarów). Zauważam ukryte zastraszenie przez google rosją: “mailru382” – no tak, jak serwer ma ru w adresie, to na pewno nie jest legitny.
      Biuro podróży chce czytać moje maile i to jest ok? Przecież tam jest zawsze mnóstwo maili z hasłami do serwisów/ maili z opcją zmiany/ resetu haseł do serwisów. Jak okrada mnie z danych to phishing, jak firma to “nie polecana praktyka”?

    21. Apka do planowania podróży chce przeczytać moje mejle.

      No legitne na 100%

    22. Pytanie 7 – uwazam za legitne bo nigdy nie klikne “zmień hasło” z linku w mailu, az taki leniwy nie jestem by nie chciało mi sie wystukać adresu strony gdzie niby by hasło uciekło i tam zmienić.

    23. No kurde 2 punkty mi zabrali. 8]

      1. Za zaufanie https://google.com/amp/tinyurl.com/y7u8ewlr
      Hmm, a niby z jakiej przyczyny mam nie zaufać?
      Czy też mam znać wszelkie możliwe serwisy przekierowujące?

      Zgodnie z RFC (i zachowaniem przeglądarek) takie coś https://google.com/amp/tinyurl.com/y7u8ewlr
      jak byk kieruje do oficjalnego serwisu google.com – któremu mam rzekomo ufać. :)

      Miałem też niby zauważyć że pole From nie do końca dobre jest.
      Tylko takie DUŻĘ ALE – pole from to ciągle nagłówek poczty – można sobie dowolne zrobić. Ja nie korzystam z gmaila i nie wiem, czy on wyświetla kopertę SMTP czy z nagłówków, czy jak to robi. Nie mówiąc o tym, że teraz każda większa firma korzysta z tuzina różnych domen oraz na pęczki wykupuje nowe domeny w nowych TLD.

      Swoją drogą to nieźle namieszały teraz nowe TLD typu: .app .bank .dev .foo .new :)
      Chrome się nie da przekonfigurować do jednorazowego zaufania takiemu systemowi bez dodania certu lokalnego CA (HSTS). :(
      FF się da, innych nie miałem okazji sprawdzać.
      Niech jeszcze dodadzą dla .corp i będzie dopiero zabawnie na wyjazdach. :)

      2. Za odmowę dania jakieś aplikacji dostępu do mojej poczty.
      Po co to tej aplikacji dostęp do mojej poczty?
      Czemu ktoś założył, że: “You want them to scan your email, but take a close look.”
      Dostanę jakiś mail od nich, to przecież mogę kliknąć na fajna ofertę? Ba i tak jakoś to muszę zrobić aby zobaczyć. Mój telefon jeszcze nie ma lasera aby mi wyszeptać informacje o promocji prosto do ucha. ;]
      Po co mi do tego aplikacja?

      A jak jest aplikacja, to po co im zaglądać do moich maili? Przecież w niej powinno być wszystko – skoro to ma być aplikacja.

      Ehh, chyba nie potrafię się ochronić przed Phishingiem. ;(
      A na dodatek nie było tańczących świnek. 8]

    24. Nie chcąc powtarzać większości opinii dodam tylko, że nie taki świetny ten quiz, jak tytuł artykułu twierdzi :|

    25. Szczerze, to spodziewałem się czegoś trudniejszego. Test mi się wydawał, jakby był zaprojektowany dla mniej zaawansowanych użytkowników internetu. Tym bardziej początkowe przypadki. Tak czy siak spoko, że wyszli z taką inicjatywą. Mam nadzieję, że test dotrze do większej rzeszy – głównie do tej “mniej doświadczonej”.

      • Dobrze Ci się wydawał :-)

    26. Co to za jakiś dziwny URL withgoogle.com? Nie klikam ;>

    27. kliknęliście w link… same faile…

    28. ja miałem tylko 6/8, bo uznałem, że wszystkie proponowane mi propozycje to fejki :)
      Bo – na poziomie rzeczywistym – były. I szczerze mówiąc, choc doceniam inicjatywę googlowców, dla 99,999999%, życie jest zbyt krótkie, aby śledzić, czy adres prawdziwy różni się od tego w nagłówku o jedną, czy dwie literki, skoro takich wiadomości jest, codziennie, kilkadziesiąt w skrzynce. Jeśli e-mail dotyczy czegoś, co mi nie dzwoni (atak rakietowy Korei Połnocnej, wyczerpanie konta w dropboxie, miła włochata pani w okolicy chcąca się bliżej zapoznać, ostrzeżenie z mbanku, hehehe, szczególnie z mbanku – usuwam, ew. w ramach badań językoznawczych, treść wykorzystuję. Te, które MOGĄ dotyczyć spraw, którymi się ostatnio zajmowałem – sprawdzam i po obwąchaniu CZASEM otwieram.

    29. […] korzystać z managera haseł i skonfiguruj sobie klucz U2F gdzie się da. Zrób sobie także ten quiz phishingowy. Te trzy działania ochronią Cię przed rzeczywistymi atakami, takimi które naprawdę […]

    30. 7/8. Ale 8 pytanie jest mylące. U mnie quiz otworzył się w wersji polskiej. No i nie da się wg mnie określić, czy napis “TripIt” ma przedostatnią literkę duże I – czy też małe l. Porównajcie: TripIt vs Triplt ;) Odnośniki do warunków korzystania i polityki prywatności kierują do domeny tripit, która mogłaby być prawdziwa. Ale widząc taką nazwę zastanawiałbym się, czy przypadkiem nie chcę dać zezwolenia innej aplikacji, niż myślę. Dlatego dałem, że wyłudzenie.

      • Dokładnie tak samo zrobiłem.

    31. Test na phishing a zaczyna się od podaj adres email :)
      Z początku, myślałem, że chyba jakiś dowcip :).
      Takie pytanie, czy ktokolwiek z was wcześniej sprawdził certyfikat strony, że faktycznie jest to google? W końcu domena to “phishingquiz.withgoogle.com”, która wystarczy jak klasyczny wstęp do phishing-u.
      Ja sprawdziłem i jest to certyfikat google :)

      I tak uzyskałem tylko 7/8 (podałem fake email).

    Odpowiadasz na komentarz zagadka

    Kliknij tu, aby anulować

    Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

    RSS dla komentarzy: