Boj proti phishingovým gangům v Evropě

Jedním z těch, kteří bojují proti phishingu je překvapivě i Microsoft.>
To není překvapivé. Ani Microsoft nemůže mít zájem na podkopání důvěry v internetovou komunikaci s finančními a jinými subjekty, bylo by to proti jeho zájmům. Jedinou obranou je vzít rozum do hrsti a nikdy nezadávat citlivé údaje na ty adresy, které jsme si přímo sami nevyvolali (zabezpečené stránky).

bude tu stejně za 100 let jako dnes a dříve a vždy se za ni bude platit. Kdybych já osobně se takto nechal napálit, tak by mi bylo trapný to někde ventilovat, aby i druzí viděli, jakej jsem hlupák.

Tak dnes ráno som zas dostal jeden akože od JPMorgan Chase & Co a tá phishingová stránka je normálne na serveri jednej českej firmy, ktorá predáva elektro. Asi to tam nemajú veľmi zabezpečené, keď si k nim niekto umiestnil phishingovú stránku.

tak šup s ním na HOAX.cz

Pravdu povediac doteraz ma nenapadlo phishingové e-maily oznamovať na hoax.cz, podľa ich definície toto síce je škodlivý e-mail, ale inak nespĺňa podmienky hoaxu, viď http://www.hoax.cz/cze/index.php?action=hoax_description.
Skôr je smutné, že ten elektroobchod tú stránku (login na JPMorgan Chase & Co.) na serveri stále má, aj po 6 hodinách od oznámenia e-mailom. Zaujímavé je to, že je to už druhá stránka, ktorá má nejakú spojitosť s okresom Chrudim, predtým to bolo na serveri so stránkami o nejakom gymnáziu.

"...zfalšována může být i URL adresa v adresním řádku prohlížeče" ako?

hmm, tak som to nakoniec nasiel, je to pekne hnusny trik...
http://www.pc-help.org/obscure.htm
takze pozor na @, alebo %40 v url!

Staci si precist prislusne RFC, kde je vse zcela jasne vysvetleno. V odkazovanem clanku je jedna zasadni chyba. URL v hostname casti muze obsahovat bud domenove jmeno nebo IP adresu v teckove (prip. dvojteckove pro IPv6) notaci. Zapis jednim dlouhym cislem neni z pohledu URL pripustny. Proto jej napr. nestravi vetsina prohlizecu nebo proxy serveru. Vice se lze docist v mailing listu Squidu: http://www.squid-cache.org/mail-archive/squid-users/200112/0921.html

Nevim, jestli bylo mysleno tohle, ale podivej se na pharming. Napr. primo tady na zive:
http://www.zive.cz/h/Uzivatel/AR.asp?ARI=124858&CAI=2114

Mno pokud se ty čísla v celé Evropě a USA pohybují kolem čísla 100, tak to do toho může jít každej, protože pravděpodobnost, že ho dopadnou je asi tak 0,003% )

Jinak skvěle proti phishingu ochrání ověřovací SMS kód

".... běžný uživatel se nechal snadno zmást."
"běžný uživatel" = idiot ?
Pokud na takouvouhle blbost někdo naletí tak si to v podstatě zaslouží aneb neměl ani dost sebekritiky aby si přiznal, že je příliš blbej na používání počítačů a elektronického bankovnictví nebo platebních karet.
Tím nechci nijak hájit nelegální činnost těchto gangů ale bez "spolupráce" uživatelů by byla jejich snaha bez efektu.

mate tam chybicku..
bezny uzivatel = totalni idiot
alespon o tom se me media snazi presvedcit prakticky kazdodenne

No podle toho jak to berete. Podle ČTc: běžný uživatel = pirát a notorický stahovač.

Co treba bezny uzivatel, kteremu prijde od neznameho cloveka anglicky email a u nej zip soubor, on ho rozbali a spusti v nem nalezeny exe soubor?

Vidim kazdou chvili.

No nevim chlapi, ale ja si myslim, ze nekdo, kdo o phishingu jeste nikdy neslysel, se muze nachytat dost lehce a nemusi to byt zrovna totalni idiot. Kamos se taky nechal nachytat, ale bylo to teda pred par lety v USA, oba jsme pracoval vic nez 90 hodin tydne, tzn. ze nemel proste cas to resit. Prisel mu nejakej mail jakoby od paypalu a proste ho tak zlbnul, ze tam napsal par udaju, ktery uz predtim do paypalu zadaval. Adresa, design a vubec vsechno vypadalo duveryhodne a proste o tomhle nikdy neslysel. Nastesti jsme o tom pozdeji mluvili a ja ho upozornil, aby to zkontroloval a on si pak radsi ten paypal ucet zrusil. Kazopadne si myslim, ze ne kazdy jeste i dneska proste o phishingu vi a prave tihle lidi se mohou nejsnaz nachytat, kazdej si proste hned neuvedomi, ze by to vlastne mohl byt podvod.

No nevim. Ale podle meho je banka, u ktere lze timto zpusobem ziskat pristup, neduveryhodna a rychle bych menil ucet. Staci se podivat na zabezpeceni treba u eBanky (a predpokladam, ze i jinde to bude podobne), kdy je pristupovy kod generovan dynamicky. Neco takoveho ziskat nemohou. Nebo snad ano? Ale jsou i jine zpusoby pomoci certifikatu s digitalnimi podpisy apod.

U Ebanky to je v pořádku, u KB ale je políčko do kterého zadáš adresu k certifikátu umístěného na svém disku. Pokud je mi známo, tak potom nebrání nic tomu aby se ten centrifikát celý poslal až na server rybáře. Ten si pak pohodlně centrifugát použije u sebe.

Vzdyt rikam, ze to je problem predevsim banky!!! A take by mela nest dusledky

Vypadá to, že eBanka je v tomhle směru u nás unikát. Zatím co jsem mluvil s lidmi, co mají účet jinde, tak nic takového nemají. TAk nevím.

Poštovní spořitelna to má taky, vždycky přijde SMS potvrzující kód.

GE MoneyBank to má taky (po zadání hesla je ještě nutné zadat přístupový kód, který přijde pomocí SMS).

Vím že je to OT, ale také vám trvá poslední dobou u eBanky dlouho než dorazí přístupový kód?

...ak má človek konto na eBay alebo PayPal. Samozrejme som to kedysi hneď zahadzoval do koša, teraz sa skôr bavím na tom, ako odosielam správu tímu autorov rozšírenia do Firefoxu Google Safe Browsing a či takú stránku vôbec rozpozná. Mal som tú česť navštíviť zopár takých stránok aj na slovenských a českých serveroch (najjednoduchší spôsob je pozerať na adresu stránky v paneli s adresou) a tie som tiež samozrejme s radosťou natrel poskytovateľovi hostingu - nasledovalo rýchle vymazanie stránky zo servera. Kto sa ale nechce takto baviť, rovno taký e-mail vymazať - žiadna inštitúcia nebude nič také žiadať e-mailom. A ak áno, nechcem s ňou mať nič spoločné.