28 replies to this topic

[brokk]

co sądzicie na temat phishingu? czy jest to waszym zdaniem wciąż realne zagrożenie? czy i jak można sobie z tym najlepiej radzić?



Phishing (spoofing) – w branży komputerowej, wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.

Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla "zweryfikowania konta" lub "potwierdzenia informacji w rachunku". Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.

Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje - adres do niej był podawany jako klikalny odsyłacz w poczcie phishera - jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób - na przykład www.paypai.com zamiast www.paypal.com.

[Dawkopolo]

Ja myślę że zagrożeniem to jest ale pojedynczych szrych userów nie zdayjących sobie sprawy z tego co ich otacza ,jednakże takich osób ze pewnością jest mało ,bo często na TV( np. TVN24) mówią o tym .

[Fenris]

Moim zdaniem mało nie jest, zdaje nam się tak, bo zazwyczaj obracamy się w środowisku, które radzi sobie z komputerami. Ale są osoby starsze, osoby, dla których komputer to gg i winamp. Duży procent społeczeństwa nawet nie wie, że coś takiego istnieje

[brokk]

no niestety osob nieuświadomionych istnieje bardzo wiele. wystarczy popatrzeć jak w banku przebiega rejestracja nowego uzytkownika bankowości elektronicznej (tak to sie chyba fahowo nazywa)podaje sie wszystkie loginy i hasla. sam widzialem
i jak pomysle ze moi rodzice z tego korzystają i maja wszystko pospisywane na karteczkach...i czesto im sie cos innego wpisze niz to co chcieli. to nieszczęście ze tk powiem gotowe. przekierowanie na inna stronę dla nich jest praktycznie niezauwazalne...

[Fenris]

Jak bank jest dobrze zabezpieczony, to i hasło z loginem nic nie dadzą przestępcy . A co do świadomości o zagrożeniach, to nie jest dobrze i nic nie zapowiada poprawy. Internet jest dziś tak powszechny i ogólnodostępny, że zawsze znajdzie się spoty odsetek ludzi, których to nie będzie po prostu interesowało

[brokk]

no niestety przykra prawda. a da sie jakoś tych opornych na wiedzę zabezpieczyć? czy to co proponują producenci av w zakresie ochrony przed phishingiem i robactwem jest wystarczające?

[Evon]

Phishing jest niebezpieczy dla osob Starszych +50 Korzystających z komputera.. Oraz dla dzieci -10 Lat.. No chyba że mamy do czynienia z Idiotą.. To moje zdanie

Poprawione. Tak na przyszłość, to nie piszemy "kompóter", tylko komputer. - M

[barteq]

Na phishing łapią się raczej bardzo mało świadomi użytkownicy... na każdej stronie z logowaniem jest info aby nie podawać nikomu informacji o loginie i haśle...

[Fenris]

Phishing nie działa wyłącznie mało doświadczonych użytkowników. Jakby nie patrzeć stronki są zazwyczaj identyczne. Oczywiście doświadczony ma dużo mniejsze szanse złapać się na phishing...no ale jednak ma

[brokk]

każedmu może się zdarzyc taka wpadka, nie ma co się oszukiwac że jak my o tym wiem to nam nic nie grozi.jest gdzies moze jakistest ktory av pod tym względem jest najskuteczniejszy?
ja wiem, tylko tyle że pod zwgledem neizablokowanych wirusów najmniejszy wynik uzyskala panda 2010

[barteq]

wg nowego rankingu Panda wyprzedziła konkurencję i to całkiem sporo:)

[brokk]

czy mówisz o rankingu z KŚ? bo ja niedawno kupiłem nowy numer i chyba w 43 albo 44 tygodniu tego długoterminowego testu Panda jest na pierwszym miejscu, myslę że to spore zaskoczenie zwłaszcza dla tych co Pandę już dawno skreslili. co myślisz?

[Evon]

Coś z innego tematu, wiecie, najgorzej mają osoby gdzie używają wszędzie tego samego hasła. jak tak to muszą uważac gdzie się rejestrują, ponieważ Hasła są kodowane w MD5 (najcześciej) a to łatwo złamac w niektórych przypadkach i możesz stracić wszystko..

[Fenris]

Tak jak ostatnio było, że na jakimś serwisie pojawiły się loginy i hasła do allegro i innych serwisów. A to już jest bardzo nieprzyjemne w skutkach.

[Evon]

ludzie robią phishing masowy a później udostępniają Konta za Pieniądze (na przykładzie kont premium rapidshare.com)

[Fenris]

Ludzie wymyślają całą masę sposobów na oszukanie innych użytkowników. Zastanawiam się, czy phishing będzie w stanie przegonić trojany w "popularności stosowania"

[brokk]

jak dla mnie to to się w pewien sposob nawet łączy, trojany bankowe i phishing (loginy i hasła do kont bankowych).

wydaje mi sie ze niebezpieczna jest tez opcja "zaloguj automatycznie przy nastepnej wizycie" czy cos w tym stylu

[Fenris]

Logowanie automatyczne może nie jest najrozsądniejsze, ale przydatne Chociaż z drugiej strony na stronach z uwierzytelnianiem nie ma opcji zapamiętania hasła. Więc może to nas ochronić

[barteq]

takich stron jest jeszcze stosunkowo mało, do tego dochodzi fakt, że ludzie używają takich samych loginów i haseł to różnych serwisów i to jest mega ułatwieniem dla "złodzieji"

[brokk]

no więc właśnie, ja się kiedyś na tym złapałem że jednak mam kilka miejsc gdzie z lenistwa wybrałem ten sam login i hasło i kliknąłem zapamiętaj, ale chyba na szczęscie jakby ktoś złamał te loginy to i tak nic ważnego nie stracę.

szkoda że av nie otzrega przed wyborem logowania z automatu