Phishing: když si hacker podá ruku se zločincem

Tak tohle je velmi zajímavý článek upozorńující na reálné nebezpečí. Bohužel, řada bankovních domů a jiných
organizací si z toho moc neberou poučení. Hodně pomůže (pro první fázi získávání dat) používat operační systém, který
je imunnější na různé trojské koně, apod. Ale to by člověk hrách na stěnu házel ..

Ja bych jen rek ze zcela zavadejici je myslenka ze hacker se zmeni tim ze bude pracovat. Je to spusob zivota ktery spousta lidi nechape a zadna prace to nezmeni a nezmeni to ani roky.

dejte si neco vyhledat CESKY v googlu... 

Dejte si vyhledat i na google.com

jj tlacitko "Hledat Vyhonene curaky" nekdo si solidne pohral ^^

pockaj, naslo to databazu obyvatelov CR? :))

to je teda sila takovejch vy... cur... jsem jeste nevidel

IHMO souhlas. Podle me by se IMHO mel jit lecit.

J. Valek

.... a navíc si plete pojmy s dojmy. HACKER JE SLOVO, KTERÉ VYSTIHUJE ÚPLNĚ JINÉ LIDI, NEŽ O KTERÝCH JE TENTO ČLÁNEK.

Hacker v žádném případě neoznačuje nějakého výtržníka na internetu. Množina hackerů a množina výtržníků sice můžou mít (a jistě mají) průnik, ovšem nemůžeme v žádném případě tvrdit, že množina hackerů je podmožinou výtržníků.

Právě díky takovým k......m, jako je pan Havlenka má v dnešní době společnost poněkud pokroucenou představu o slovu HACKER.

Pane Havlenka (i jiní novináři), vy určitě vidíte do "branže", jinak byste nemohl psát na tento web. Zmyslete se trošku nad sebou. Vy byste měl být ten, kdo podává nepřekroucené INFORMACE. NEMLŽTE A NEPODÁVEJTE DEZINFORMACE!!!!

Hacker je prostě člověk, který rozumí dané problematice natolik do hloubky, že je schopen cíleně používat dané lidské výtvory jinak, než původně zamýšlel autor výtvoru a na tom není nic špatného. Ve své podstatě se jedná o lidi velice nápadité a inovativní.

Hacky se nemusí vyskytovat jen v oblasti IT. Absurdně: Za hack se dá např. považovat primitivní komunikační zařízení vyrobené ze dvou plechovek a kousku špagátku. (původní záměr vynálezce plechovky určitě nebyl tento)

PANE HAVLENKA! Pokud máte v sobě trochu novinářské cti, měl byste se veřejně omluvit v samostatném článku všem hackerům a uvést věci na správnou míru.

Autor se jmenuje Hlavenka a myslím, že my všichni chápeme, co napsal. Pokud vy ne, co se dá dělat.

V clanku je napisane "Hacker je expert na softwarové a komunikační systémy ..." - ako to odporuje tomu co si napisal ty? Nechapem preco potom kricis. Ide naozaj o to, ze sa spojili ludia, ktori nieco vedia v oblasti IT - su zrucni a vedia najst a vyuzivat slabiny (hackers) s ludmi, ktori vedia ako sa peru spinave peniaze. A aby sa to teda neplietlo, dostalo to novy nazov phishing.

Vobec nechapem tieto vykriky ludi, ktori tvrdia, ze pouzivanie slova 'auto' je nespravne, lebo pred 30 rokmi to bol 'automobil' a je to teda nespravne a su to "DEZINFORMACIE" a novinar to predsa nemoze pouzivat.

Ludia uz sa spametajte, slovo hacker ( v oblasti IT a internetu) ma presne taky vyznam, co si pod nim predstavi 90% ludi a nie to, co to znamenalo pred 30 rokmi.

Ono je to trochu složitější. Prapůvodní význam slova hacker má skutečně celkem neutrální zabarvení a lidé, kteří se považují za hackery, na něm stále trvají (tj. "hacker není negativní označení"). Jenomže v poslední době velmi značně převládá negativní (pejorativní) význam tohoto slova, a stává se už prakticky obecně uznávaným, vnímaným výkladem tohoto pojmu. Chápu samozřejmě, že ortodoxní hackeři, pyšní na svou "profesi", se tomu brání, ale bohužel oni obecné povědomí nevytvářejí, ani jím nejsou.

Velmi zajímavá diskuse (poučná zejména v tom, že se nikdo nesnaží nikoho urážet, kárat a komolit jeho jméno) je k tomuto tématu na wikipedii: http://en.wikipedia.org/wiki/Talk:Hacker

Presne tak, dnes uz se vzil jiny vyznam a ze kdysi v zacatcich byl vyznam jiny, to uz je prd platny...

Nevite nekdo v jake databazi hledaji vsechny ty ip adresy?

Ehhh.. afaik (napr. viz zde: http://www.lupa.cz/clanek.php3?show=3385) oznaceni phising vzniklo podle Pratchettovy Zemeplochy, s phreakingem to nema nic spolecneho.

Jinak, to ze si panove z Zive pletou leccos, od hackeru a crackeru po open source a free software, je znama vec. :o(

Beru, ze novinar nemuze rozumet vsemu dopodrobna, ale tohle jsou hodne zakladni terminy

Hacker, cracker.... jen je řežte, však oni už budou vědět za co!  

Ach jo, zas jeden nejchytřejší. Původ slova phishing je opravdu z phreaking, viz autorita nejvyšší (http://www.antiphishing.org/word_phish.htm). Pouze se jej Satrapa pokusil trochu nejapně přeložit jako "rhybhaření", protože má rád Pratchetta a myslí si, že všichni ostatní taky.

Takže jak to je s tou znalostí základních termínů, padre? Co tak se omluvit?

u nas je relativne bezpecna snad jedine e-banka. pomoci toho klice ktery ten kod generuje casove zavislou + do toho montuje parametry te transakce a navic ten kod ma platnost jen patnact minut. v nejlepsim pripade by dotycny zjistil akurat aktualni zustatek nic jinyho mu neprojde.

celkem se divim ze to uz nejaky sikula nezneuzil u nas v cesku :) anebo to banky tutlaj

Chce to holt dostat elektronický podpis mezi lidi. Máme tu sice už dlouho zákon o el. podpisu, ale to je asi tak všechno. Já osobně ho také nepoužívám.

Ahojte, clanok ma ako napisal "petr_p" zasadnu chybu a tou je, ze zavadza ludi vo vysvetleni terminu hacker a cracker. Autor si pravdepodobne tieto terminy pletie, co nie je nijaka vzacnost, robi to vacsina novinarov.

Pre doplnenie:
Hacker:
-pochaza z rannych dob pocitacove historie ked bol Hacker skor uznavany pre svoju filozofiu a v lemi talentovany clovek.
-znamena "stural", niekto kto vedel vyriesit to na co iny nemali, ale vzdy po svojom
-za svoju pracu nepozadoval odmenu
-su tri druhy hackerov: biely klobuk(White Hat), sedy klobuk(gray hat) a cierny klobuk(black hat)
=biely klobuk - vyhlada bezpecnostny problem a zanacha adminovi spravu o tomto probleme
=sedy klobuk - vyhlada bezpecnostny problem ale nic nezanacha adminovi
=cierny klobuk - tento jediny aj poskodi system a napacha tak skodu, neda spravu adminovi
Ani jeden HAcker vsak neberie peniaze a ani nevydiera (to uz je potom cracker)


Cracker:
-je clovek, ktory vyuziva svoje vedomosti na (aj nezakonne) obohacovanie.


Dufam ze stacilo pan autor an vysvetlenie. Inak dobry clanok az na tuto zasadnu chybu.

Dnes už je to stejně jedno. Většina lidí vidí pod pojmem "hacker" obyčejně jákéhokoli počítačového piráta. A nějaké pokrývky hlavy už je vůbec nezajímají.

Ok. Zda sa, ze vojna za pouzivanie "hacker" miesto "cracker" je prehrana. A preto ZIADAM, aby sme mali iny pojem pre ludi, ktory sa radi vrtaju v systemoch a pritom nemaju zle umysly! ;-D

Clanek je napsany dobre, je ctivy, ma logickou stavbu. Za to bych autora pochvalil. Jenom bych mu vytknul terminologickou chybku: hacker vs. cracker. Hacker je ten, kdo "tomu" rozumi a vyuziva pro bohulibe ucely, cracker tomu take rozumi, ale sve znalosti vyuziva k prolamovani ochran a obecne k jinym neslusnym/trestnym ucelum.

A ochrana pred phishingem? Jak uz rikam tradicne, je treba odstranit pricinu a v pripade luxovani financnich uctu pomoci cisla karty je nutne zabezpecit placeni kartou. Metoda, ktera se dnes pouziva, je od zakladu spatna. Platite formou inkasa (tzn. obchodnik rekne bance, strhni z uctu, kt. patri karta X Y korun a posli mi je na ucet). V tomto pripade nakupujici nema faktickou kontrolu nad svym uctem. Platit je nutne formou prikazu k uhrade. Tzn. platbu iniciuje nakupujici. Rekne bance: Preved Y korun na ucet prodavajiciho. Samozrejme, ze se pri tomto prikazu radne autentizuje. Neni na tom nic sloziteho, takovy homebanking/ineternetbanking provozuje kdejaky penezni ustav. Jiste ze to neni tak pohodlne jako platba inkasem, ale je to bezpecne.

Jenže to by pak banky nemohly inkasovat tučné provize za transakce od obchodníků.
Až se platby kartami rozšíří, banky shrábnou 1-2% ze všeho, co si vyděláte.
O tom se taky dost mlčí.

Ještě doplním, banky si berou za inkasní platby kartami přes Internet 4-5%. To co popisuješ funguje u e-Banky za 1%.

jen bych doplnil, ze podobne rip-offs robia len vychodoeuropske banky, ziadna normalna banka nerobi rozdiel medzi online a merchant transakciou, vyber z bankomatu je o inom(ca 5%).

Celkem slusny clanek, bohuzel, do nekterych mist na Slovensko zatim nejen ze nedorazila EU ( uredni jazyky ), ale ani trocha slusnosti .... 5 % uspesnost - ze by jsem se zacal zivit necim jinym ??? Trosicku mne prekvapuje, ze po 11. zari, kdy se americane snazi kontrolovat co jde ( a to i na INETU ), maji tyto pomerne dobre organizovane skupiny tak vysoky stupen utajeni. Nas se to dotkne v okamziku zavedeni eura, jakpak se asi nachystaji kolegove analytici v bankach?  

aha, lebo cechy su tvrdy zapad :)), okrem toho odkial si zistil ze som na slovensku? :) hold, cesi nevedia zniest kritiku, clanok je o h..nem, za tym si stojim, vsetko sa da pochvalit, ale netreba chvalit brak.

Nedávno jsem se díval tady:
http://www.hoax.cz/ruzne/fraudcitibank/
na jeden podvod s popisem. Taky mi něco podobnýho už došlo.

Jinak díky za článek, protože laikům je nutný neustále připomínat, aby si dávali pozor.

Clanku tohoto typu neni nikdy dost. Jenom nechapu, na co ceka moje banka. Az par lidem odejdou z uctu penize? Myslim, ze ty prachy co jim na poplatcich platim, by me meli poslat aspon par radek.

Takový program už přece dávno existuje, jmenuje se PGP (resp. GPG) ale problém je dokopat lidi k tomu aby takové věci používali.

Presne...
A tak se radeji budou vymyslet nejake nesmysly - jen aby za ne blbci platili...a meli pocit ochrany (prave tyto zbytecne veci vymysleji Hlavenkove, jejichz zivotnim poslanim je kontrolovat faktury :) a "generovat" penize).
PGP/GPG (elektronicky podpis) je jiz lety overena metoda a neni rozumny duvod, proc do posty vnaset nejaky chaos. A jak donutit uzivatele ? To je problem - snad jen tak, ze se jim sdeli, ze moznost maji a je je jen na nich, aby el. podpis pouzivali a vyzadovali pouzivat...

Problem je v tom, ze pouzivanie PGP v takej forme, ako sa pouziva dnes, by pre podvodnikov znamenalo asi tak 5 minutove zdrzanie. Alebo si myslis, ze je problem vyrobit si kluc s podpisom pre tvoj email (napr.: kokos@kokos.com) zaslat ho na nejaky server s PGP klucmi a odoslat podpisany email akoby z tvojej adresy? Problem je prave v tom, ze hocikto moze hociaky kluc vyrobit a nikto neoveruje, ci dany kluc skutocne patri danej osobe, emailu, ci banke. Malo by to funguvat tak, ako napr. pri SSL certifikatoch pre https servre, kedy za doveryhodne su povazovane tie, ktore su podpisane-overene nejakou skutocnou autoritou, ktora zabezpeci aj preverenie osoby, emailu, ci banky (co uz samozrejme nemoze byt zadarmo). Tak si prestante pliest dojmy s pojmamy. Skutocny funkcny elektronicky podpis budete mat zadarmo iba ak vam ho niekto zaplati (mamicka, otecko alebo stat).

Hm. Thawte ponuka certifikaty pre mailovu komunikaciu zdarma.

Ale ak do ruky dostanes moj certifikat podpisany od Verisign, budes verit tomu, ze je moj? Na to aby si tomu mohol verit, musis vediet moje skutocne meno a dalsie udaje, ktore certifikat v sebe udava (oragnisation unit a podobne) ak ich mas spolahlivo vediet, musis sa so mnou spojit a overit si ich. Ked to uz robis mozes si rovno overit moj GPG fingerprint. GPG ako system by fungovalo, keby sa ludia snazili ho pouzivat. Mozu si vymienat a podpisovat kluce na roznych LAN-party, zrazoch, konferenciach a podobne. Problem je v tom, ze najrozsirenejsi mail klient ho nepodporuje (opravte ma ak sa mylim). Mozilla ma enigmime/enigmail pluginy.

Ak sa staras o to aby si sifroval svoju komunikaciu s osobou XY, tak by ti to malo stat za to overit si, ze dany kluc skutocne patri osobe XY.

Druhy problem je ten, ze ked sa napriklad cez SSL pripajas k svojej banke, tak tvoj browser neoveruje ci certifikat, ktorym sa predstavi banka nebol odvolany (CRL). Inymi slovami, ked mas certifikat inej strany, zvycajne tvoja aplikacia overi, ze bol niekedy vydany a ze jeho platnost neuplynula, ale neoveruje, ci nebol revokovany.

Ano Thawte ich ponuka zdarma, ale je to stale o tom istom. Hocikedy si tam mozem vytvorit certifikat na hociake meno - nikto neoveruje moje meno - overuje sa elektronicky iba email (cez kontrolne emaily). To vsak nic neznamena, staci aby si sedel v sk-nic na hlavnom DNS domeny .sk a mozes si urobit certifikaty pre rozne slovenske servre a ich emailove schranky (nikto si nevsimne, ak mu vypadne server o druhej v noci na pol hodinu). Alebo pripadne nejaky DNS hacknes.

Treba tiez rozlisovat medzi sifrovanim sukromnej posty - na to skutocne staci PGP/GPG, ked si mozem kluce vymenit pri priamom fyzickom kontakte - a medzi komunikaciou s niekym, kto odomna pozaduje moje peniaze alebo sukromne informacie.

A ak naozaj budes mat plny certifikat od Verisign o tom, ze si Janko Mrkvicka z Hornej Dolnej narodeny 1960 v Bratislave, tak tomu budem verit, ale neznamena to, ze ti dam cislo svojej kreditky. A nepochybujem o tom, ze Verisign ti nikdy neda certifikat na to, ze prevadzkujes stranku www.eliot.sk.

Ano overovanie zrusenia certifikatu sa dnes nedeje vzdy automaticky. Preto nevravim, ze dnes vydavane certifikaty pre SSL je tou jedinou spravnou cestou, ale je to rozhodne o nieco lepsie ako system PGP/GPG, kde neexistuje ziadna autorita pre overovanie identity. Z oboch treba nieco vybrat a vytvorit konecne nieco co bude fungovat a bude zapracovane o nieco hlbsie v systeme elektronickej posty, ako len nejake pluginy do email klientov.

Zhodou okolnosti som si to na Thawte nedavno skusal. Thawte eviduje 'svojich notarov'. Kazdy notar po overeni tvojej totoznosti ti moze dat body. Po ziskani 50 bodov moze certifikat niest tvoje meno - dovtedy nesie certifikat anonymne meno a tvoje meno je zaznacene niekde vnutri jeho dat. Na 50 bodov potrebujes overenie u viacerych notarov. To znamena, ze iste overovanie totoznosti existuje a z certifikatu je na prvy pohlad jasne,
ci jeho pravost bola overovana alebo nie. Na druhej strane notari nemusia byt za tuto cinnost plateni a ich zodpovednost moze byt predmetom diskusie.

Rozdiel je aj v tom, ci chces komunikovat so svojimi partnermi a znamymi, alebo so statnymi organmi.

Osobne by sa mi celkom pozdavala cesta, kde by stat bol ochotny podpisat moj GPG kluc a tym zarucit pre inych, ze ten kluc je pravy. Jednoduche efektivne. Ked mam teraz ist do Dubnice hladat nejaku CA a zaplatit cez 2 tisicky + este nejaky rocny poplatok ... to mi nestoji za to. Mozno keby som bol notar alebo spedicna firma snad. Pre normalneho cloveka to nema vyznam.

no ja s Verisign nemam skusenosti, ale zazil som objednavanie www wide SSL certifikatu od Thawte, bol som az prekvapeny ako to prebiehalo, faxli sa len nejake sprostosti typu vypis z Firmenbuch, hlavickovy papier,(vsetko v nemcine) a za par hodin tu uz bol zasifrovany certifikat. Ako nechapal som , ale vtedy mi to urcite bezpecnostou nezavanalo. (Mozno to bol len dojem)

konkretne mi cca pred 14ti dny prislo tohle http://www.antiphishing.org/phishing_archive/06-23-04_Citibank_(accounts@citibank.com).html

samozrejme se mi to nezdalo (vzhledem k tomu ze u nich nemam ucet nebylo az tak tezky pojmout podezreni :) mail jsem smazal (a ihned na nej zapomnel)  - ale ted  diky tomuhle clanku vim co to znamenalo.

Nerad sem sprostej, ale skoro bych rek aby I2 sel do prdele. () Vazne zajimavej clanek a dokonce i uzitecnej, protoze neni daleko doba kdy to nekdo zkusi i v Cechach. Doporucuju aspon se podivat na odkaz s priklady tehlech podvodu, ja si precet hned ten prvni:

http://www.antiphishing.org/phishing_archive/07-05-04_Citibank_(Citisafe_by_Citibank).html

a musim rict ze to maj fakt vychytany. A jenom tehnicka poznamka: Mam radsi clanek o ho..e nebo off-topic nez zadnej clanek. Koneckoncu nikdo nerek ze to clovek musi cist vsechno. Pokud sedi titulek na obsah tak mi to prijde celkem fuk...

co sme sa dozvedeli z tohto clanku? mozno tak ho..o, a to by som este fandil. Bolo o to hackeroch, url spoofingu, kradnuti kariet alebo o com?  Ziadna nova suvisla informacia nie je uvedena, obycajny balast na vyplnenie casu a priestoru na webe. 0 / 10

pozri chlapec.. mozno o tom vies viac, ako autor, ale tento clanok nebol urceny pre teba, to za prve... a za druhe, nikto ti nebrani napisat vlastny clanok, ktoremu sice 99% ludi rozumiet nebude, ale hlavne ze ty si potesis svoje ego...

co sme sa dozvedeli z tohto prispevku? mozno tak ho..o, a to by som este fandil. Bolo o to egu, machrovanie, nedostatku inteligencie alebo o com?  Ziadna nova suvisla informacia nie je uvedena, obycajny balast na vyplnenie casu a priestoru na webe. 0 / 10

(nejsem Slovák, tak prosím omluvte chyby...  )

bez vaznej chyby, a hlavne dobre si to nandal debilkovi

Chlape, daj sa vysetrit, ze "dobre jsi mu to nandal" :)))))))) kde sme v nejakom westerne, zase raz za cas typicky chuj, co travi polku zivota na forach. Clanok bol podla mna o h..vne, ako som uz spominal, netreba to brat v zlom, ale vazne tam nebola ziadna informacia, co by vacsina ludi uz nevedela, skor taka summary, ale dost sucha :) tak mi tu nenanndavajte, ale napiste daco poriadne :) (ale kvalita zive.sk/cz je jasna)

ty trotle o hovně je 99% článků na internetu, když si takový přečte, tak to většina lidí přejde s tím, že se nedozvěděla nic nového, ale jiní se z toho dozvědí co předtím netušili, naštěstí takových ubohých kritiků jako je l2 je pomálu.

Pokud jsi l2 takový boreček jako ze sebe děláš, tak proč nepřispěješ něčím objevným a novým, věřím, že řada serverů (včetně živě) bude velmi vděčná za naslovovzatého odborníka tvého formátu

Dalsi "forum warrior"? :))))

ty borec, co nevie na seba ani udat mail, hod mail poslem ti nejaky veci, nemam zaujem to za kazdu cenu online publikovat. ale spravne bojujte tu dalej

o co ti ide, pubertak, machrovat ze nieco malo vies? a ten freemail si strc do prde.le, mam ti vytvorit sto podobnych alebo o co ti ide? neotravuj

vy ste snad neni normalni? clovek vyjadri nazor a idete sa vsetko posrat, neviem o akom free maile hovoris, ale ak si ty lamer myslis ze si sem dam nejaku corporate adresu, aby lameri, spameri a pod. vypisovali maili, tak sa mylis. A hlavne sa spametaj! (a ano, celkom by som si prial by pubertak :)

To je neskutečný. Proč tady otravuješ?

člověče prober se, vypni bednu a jdi se projít po ulicích. Pozoruj a poslouchej své sousedy, rychle změníš názor, že byly v článku věci, které všichni znají. Když před několika léty jeden kolega na setkání bezpečáků hovořil o námětu z "Policejní akademie 6" jako o realném riziku, tak se mu digitálci jako Ty vysmáli a dnes je to zde, píšou se o tom články a digitálci křičí, že je to naprosto jasná věc.

----
Ten kdo neviděl. P.A.6 je bláznivá komedie, ve které ale mafián vydírá tvůrce počítačové hry a přinutí ho, aby dal do své hry Trojského koně.

Bez do prdele, kretene! Clanek je nahodou zajimavej, moc se o tom nikde nepise, takze diky za nej!!

co cesi nevedia zniest kritiku? smutne

Kritiku ano, Plky zauhrovaného zakomplexovaného individua už jen někteří... Omluv se a zemři.

co cesi nevedia zniest kritiku? smutne

nn, cesi jdou na pivo,