9:08
8/8/2012

Kilka dni temu opisaliśmy niedociągnięcia projektu Veturilo pod kątem bezpieczeństwa. Przypomnijmy, że Veturilo to strona internetowa przez którą Warszawiacy mogą wynajmować miejskie rowery. Teraz okazuje się, że w internecie pojawiło się kilkanaście fałszywych stron Veturilo, które tylko wczoraj mogłyby wyłudzić dane co najmniej 1 485 Warszawiaków, ale na szczęście jedynie ich “pouczają”, że niezbyt dokładnie wpisali nazwę miejskiego roweru…

Veturilo, trudne słowo

W pierwszym zdaniu naszego pierwszego artykułu o Veturilo napomknęliśmy, że nazwa projektu jest trudna. Nasza uwaga chyba była prorocza — okazało się, że ktoś szybko zarejestrował kilkanaście domen o łudząco podobnej nazwie… Ich listę podał w komentarzu pod naszym artykułem jeden z czytelników, asq:

http://veturiro.waw.pl/
http://vetrilo.waw.pl/
http://vartoilo.waw.pl/
http://verutilo.waw.pl/
http://vetorilo.waw.pl/
http://vertilo.waw.pl/
http://wartilo.waw.pl/
http://wertilo.waw.pl/
http://vetuliro.waw.pl/
http://vetoliro.waw.pl/

I chyba wczoraj ktoś w końcu na powyższe domeny “przypadkiem” trafił, bo zarówno w Gazecie Wyborczej jak i TVN Warszawa pojawiły się artykuły opisujące panikę internautów, którzy nie mogli się zarejestrować w systemie Veturilo, bo po wypełnieniu formularza otrzymywali taki oto komunikat:

“BANG! Gdyby ta strona była pod kontrolą phishera, twój budżet mógłby na tym ucierpieć”

Veturilo cybersquatting

Veturilo? A jednak nie Veturilo…

Co ciekawe, każda z fałszywych domen już na “głównej” pokazuje znajomo wyglądającego diabełka… :) Nie, my z tym projektem nie mamy nic wspólnego — ktoś zapewne postanowił użyć naszego logotypu jako sygnału, że strona nie jest bezpieczna… Nie zamierzamy go za to pozwać, ale Veturilo i warszawski ZTM, jeśli wierzyć doniesieniom prasowym, rozważa podjęcie kroków prawnych wobec właściciela pseudoveturilowych domen (swoją drogą, ciekawe jaki będzie zarzut? Nibyphishing?).

Jaka jest skala tego zjawiska?

Udało nam się dotrzeć do autora powyższych stron i dowiedzieliśmy się, że nie zapłacił on ani złotówki za rejestrację fałszywych domen (skorzystał z promocji udostępnianej przez rejestratorów). Poprosiliśmy go więc o statystyki odwiedzin, żeby zobaczyć jaka jest skala zjawiska:

Veturilo - statystyki wszystkich fałszywych domen

Veturilo – statystyki wszystkich fałszywych domen

Jak widać, aż 1485 osób “z palca” wpisało wczoraj niepoprawny adres adres Veturilo. Reszta trafiła tam po linkach z komentarza pod naszym zeszłotygodniowym postem i dodatkowo kilka osób weszło z Facebooka (jeden z prawie-nabranych zapewne pochwalił się swoim znajomym).

Nauczka na przyszłość

Wybierając nazwę domeny warto rozważyć jak łatwa do wpisania i zapamiętania ona jest. Słowo Veturilo większości Polaków zapewne z niczym się nie kojarzy. Dodatkowo domena lokalna .waw.pl też nie jest najlepszą “lokalizacją” dla takiego projektu. Jasne, podkreśla charakter warszawski tego projektu, ale z drugiej strony umożliwia nabycie kilkuset fałszywek niższym kosztem… Domeny miejskie są tańsze niż subdomeny TLD.

Całe szczęście, że podróbki Veturilo nie mają charakteru phishingowego, a jedynie charakter edukacyjny. Aż strach pomyśleć, co by było, gdyby ich właściciel miał nieczyste intencje…

Nauczka na przyszłość? Osadzając swój serwis w niestandardowej domenie, wykupcie kilka popularnych literówek, takich jak np. wwwnazwadomeny.pl (brak kropki po www),

Czym jest cybersquatting?

Tego typu działania określa się mianem cybersquattingu — zjawisko polega na rejestrowaniu domen łudząco podobnych do oryginałów, np. z drobnymi literówkami (biada tym, którzy myślą, że Niebezpiecznik pisze się przez “s” a nie “z”…). W jednym z naszych archiwalnych artykułów znajdziecie przegląd najpopularniejszych polskich fałszywych domen podszywających się pod znane serwisy (np. Onet, czy Allegro)

Na polskim podwórku całkiem niedawno byliśmy także świadkiem kilku sporych afer – ostatnia autorstwa dziennikarzy Wyborczej, którzy zarejestrowali łudząco podobne do rządowych domeny i przejmowali pocztę urzędową, w tym korespondencję ABW. Z cybersquatterami przegrał także minister Zdrojewski, zwinęli mu sprzed nosa domeny obozów koncentracyjnych.

Aktualizacja 8.8.2012
Ktoś dodał ten wpis na Wykop – bardzo podoba nam się pierwszy komentarz użytkownika Wykopu: “bo rower.waw.pl było za skomplikowane..” :)

Przeczytaj także:



49 komentarzy

Dodaj komentarz
  1. rozumiem odcinanie się od pomysłu, żeby nie musieć łazić po sądach i się tłumaczyć… z drugiej strony nawet jak was pozwą to nie udowodnią, że działaliście na szkodę. jest wręcz odwrotnie, przez tą kampanię wzrosła świadomość użytkowników, powinni Wam nagrodę przyznać :-)

    • Myślę, że każdy czytający ze zrozumieniem podlinkowane z tego artykułu zasoby domyśli się, kto jest właścicielem domen, zwłaszcza, że sam właściciel się do tego niejako przyznał i ujawnił — trzeba tylko czytać linki w tekście :P.
      Stety/niestety, tym razem to nie my.
      Natomiast z rozmów z osobą, która stoi za akcją wiemy, że nie pierwszy raz ZTM chce go pozwać (wcześniej osoba ta ostrzegała o słabościach w wykorzystywanych w Warszawie biletach miesięcznych na kartach bezstykowych Mifare, i to się warszawskiemu ZTM nie spodobało). Wiemy, że *on* nas czyta, także jak będzie chciał, to zapewne jeszcze raz da o sobie znać w komentarzach ;)

    • No ok, ale działania na szkodę nie było, natomiast edukacja wymaga pewnych poświęceń i takiej linii obrony bym się trzymał będąc autorem tychże domen.

    • Z rozmów z autorem wynika, że doskonale orientuje się w prawie i potencjalnych liniach obrony, zdradził nam kilka szczegółów, ale nie będę publicznie obnażał jego strategii, jak chce, sam napisze co zamierza.

    • Na jego miejscu pozwałbym ZTM w związku z próbą zniesławienia. :>

    • Pewnie się będą sądzić o prawa autorskie do zawartych treści…

  2. “…rozważa podjęcie kroków prawnych wobec właściciela pseudoveturilowych domen (swoją drogą, ciekawe jaki będzie zarzut? Nibyphishing?)…”

    Ale wykorzystanie logotypów ZTM, Warszawskiego Roweru Publicznego i projektu strony to chyba mogą skarżyć …

  3. fajnie, śmiesznie, ale autor nibyphishingowych stron użył layoutu i innych elementów strony oryginalnej (wiem – inaczej nie miałoby to sensu), więc jeśli ktoś będzie go (ją?) chciał pozwać, to znajdzie się paragraf.

    a swoją drogą – nazwa jest tragiczna

    • Nazwa jest idealna ;p
      Żyjemy przecież w kraju, gdzie mieszkał L. Zamenhof-twórca esperanto, języka od którego pochodzi ta nazwa “Veturilo”, więc chyba powinniśmy choć trochę wiedzieć o dziele osoby pochodzenia żydowskiego, ale mieszkającego na polskich terenach w 1887 roku…

    • Ile pomyłek może zrobić osoba, której ktoś przez telefon dyktuje: “Veturilo” a ile zrobi osoba słysząca “Wiesiek”? Domeny powinny być tak wybierane, żeby dyktowanie przez telefon nie sprowadzało sie do literowania “ce jak cecylia” itp. Ostatnio konsultant na infolinii Eurolotu całą wieczność literował mi e-mail “eurolot@contactcenter.pl”, zakładając zapewne, że jak powie “jurolot et kontaktsenter”, to pewnie zapiszę to fonetycznie ;)

    • @Kamil: czyli, że wszyscy powinniśmy znać esperanto?

    • @klapklap – nie mówię, że znać, ale wiedzieć, że takie coś istnieje i było utworzone w Polsce.. bo jaki to patriota, który nie zna dzieł swojego narodu ;p

    • nazwę wybrali Internauci w sondzie internetowej, a konkretniej zarząt ZTm wybrał sześć propozycji z ponad tysiąca nadesłanych przez ludzi, potem z tych sześciu Internauci wybrali Veturilo, inne to Bajker, Rowerynka, Wabik, Wawabike i Ziuuu, nie znam reszty z tysiąca, ale Veturilo nie wydaje się być szczególnie kiepskie

    • odnośnie nazwy – nazwa sama w sobie jest ładna w sensie słowa i wymowy (jeśli ktoś się nie pomyli i nie przekręci). ale jako nazwa handlowa produktu, a tym bardziej jako element adresu jest po prostu kiepska (imho). to, że jest z esperanto i w ogóle eh-oh, supercool, itd. to jeszcze żaden argument.

    • Niech pozywa, istnieje coś takiego, jak umorzenie z powodu niskiej szkodliwości.

  4. Tak poza tematem troche…
    Wejdzie na https://www.centrum24.pl/ – kupa
    A teraz na http://www.centrum24.pl/ – szok, dziala :P Moze niezle nameiszac czlowiekowi w glowie to ze dziala niebezpieczny adres, a bezpieczny nie dziala :P

    • Idąc dalej offtopiciem ;) Od lat ciągle zastanawia mnie dlaczego mBank lansując w google adres mbank.pl nie wyrobi certyfikatu dla tej domeny tylko odsyła do domeny com.pl ;) Niby z samej plki nawet po zignorowaniu alertu zabezpieczeń nie da się zalogować nie mniej i tak zawsze mnie to drażni…

      https://www.mbank.pl/
      http://www.mbank.pl/

    • @Maciej, piwo :))

  5. Dokładnie! rower.waw.pl

    Sam miałem problemy z wpisaniem veturilo i do końca nie wiem jak poprawnie powinno być… więc wygooglowałem, ale i z tym był problem…

  6. Fajnie, ze na screenie ze statystykami widać email właściciela konta :)

  7. Veturilo Busters ;)

  8. Na zdjeciu statystyk odwiedzin falszywych domen widoczny jeset adres email.

    • i jeszcze to, że interesuję się ostatnio zigbee :)

  9. niebespiecznik – ciekawe, ale czy warto za prawie stówe rocznie?

    • warto, mamy ubaw.

    • haha Niezle

    • eee zależy gdzie masz wykupioną domenę może być połowę taniej. ;-)

    • A wwwniebezpiecznik.pl mógłby dawać redirecta na coś fajnego a tak to leży z błędem :((

  10. dzisiaj nastało jakieś szaleństwo z bezpośrednimi wejściami: http://s1.pokazywarka.pl/bigImages/1248401/4300417.jpg

    jakaś telewizja?

    • A od której godziny?

    • 11:00

    • oops, te statystyki są dzień do tyłu. czyli to są wczorajsze wejścia. możesz podmienić obrazek :)

    • Osobiście też skopiowałem link do nowej kartu nie mogąc na niego kliknąć, zakładam że nie tylko ja tak zrobiłem i już wiemy dlaczego jest tyle bezpośrednich wejść. :-)

    • wczorajsze linki byly klikalne, a z tego co rozumiem i tak dzisiejszych wejsc nie ma w statystykach.

    • Bym ocenzurował adres maila, aby nie dostawać głupich maili i bym nie chciał testować czy w sieci są boty czytające adresy z zdjęć.

  11. Z tego co widzę to rower.waw.pl jest wykupiona.

  12. “Domeny miejskie są tańsze niż domeny TLD” To prawda, ale chyba nie chodziło o TLD tylko subdomeny TLD?
    Warto być poprawnym merytorycznie szczególnie, że TLD można (było) sobie za grubą kasę zarejestrować, o czym zresztą sami pisaliście w kontekście .security . :-)
    Proponuję w wariancie minimum zmienić domeny na subdomeny w tekście ;-)

  13. Nazwa pochodzi z języka Esperanto i oznacza środek transportu http://pl.wiktionary.org/wiki/veturilo. Jednak przeciętnemu obywatelowi nic nie mówi i dlatego niezbyt ta nazwa mi się podoba. Z drugiej strony nazwę Rower Miejski być może uznano za zbyt banalną, a Warszawski Rower Miejski byłaby za długa.

    • “Warszawski Rower Użyczany Mieszkańcom” – wrum.waw.pl

  14. Dla mnie większy problem to http://citybank.pl
    Nie powiem, kilka razy się pomyliłem. Kiedyś adres http://citybank.pl odsyłał do strony pajacyka. Teraz wiedząc, że mogę się znów pomylić, wpisuję do wyszukiwarki i klikam na pierwszy link. Tak jest bezpieczniej, a że ja głupi, to co ja poradzę :p

    • Wpisz dobry adres do ulubionych i po sprawie. Oczywiście klikając w ulubionych warto zweryfikować adres na dymku pokazującym się po najechaniu na tytuł strony w ulubionych.

  15. Jaki to patriota, jeśli o niebezpieczeństwie dowiaduje się dzięki francuskiej firmie telekomunikacyjnej i amerykańskiemu oprogramowaniu CMS WordPress – powienieneś trochę więcej wiedzieć o jądrze systemu Linux :P

    • Tak całkowicie polskiemu kernelowi Linuxa ;->
      Made by Whole World.

      Jak tak to ksenofobia, a jak przychodzi co do czego to ksenolatria,
      żeby nie powiedzieć ksenofilia…

  16. A ja tak z ciekawości klikam na oryginalnej stronie na rejestracja… I?
    http://i.imgur.com/ECL8I.png

  17. dodałem małego hinta do stopki dla nextbajkowców, trzymam za nich kciuki :)

  18. Mnie bardziej niż ta akcja zastanawia cała idea Veturilo i popyt na takie coś, tzn. wierzę, że jazda po centrum miasta, gdzie co chwila dochodzi do wypadków z udziałem rowerzystów (głównie z ich winy), do tego w strasznym smogu i hałasie, jest zdrowa, miła, przyjemna i przede wszystkim bezpieczna… oj polacy, polacy opamiętajcie się :)

    • Statystyki, które ja oglądałem jakieś 2 lata temu, mówiły, że ponad 90% wypadków z udziałem rowerów i samochodów jest z winy kierowcy auta. No ale, każdy ma swoją prawdę w zależności od tego jakie klapki ma na oczach.

  19. brak nagłówka referrer nie musi oznaczać wprowadzenie adresu z palca. a opisane zjawisko to nie cybersquatting, a typosquatting

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: