[ IcyImpact @ 05.04.2006. 20:07 ] @
Korisnici weba umnogome ignoriraju upozorenja svojih web preglednika koji ih nastoje usmjeriti da provjere autentičnost i vjerodostojnost web siteova koje posjećuju. U zajedničkom istraživanju Sveučilišta u Harvardu i Berkeleyu, testirana grupa korisnika nije uspjela identificirati 40% nelegitimnih web siteova. U jednom je slučaju, 91% testiranih korisnika krivo identificiralo web site banke kao legitiman - iako je bila riječ o phishing siteu. Ispitanicima se prikazalo 20 web siteova nakon čega su oni dali svoje mišljenje o tome koje su od tih stranica lažirane. Istraživanje je obuhvatilo 20 korisnika pred kojima se našlo 22 sitea za koje su morali odrediti jesu li legitimne ili nisu. Rezultati ovog istraživanja ilustriraju da standardni sigurnosni indikatori nisu u praksi efektivne za korisnike i da su potrebne alternativne metode pristupa problemu kako bi se on rješio. Pokazano je i da većina korisnika ne obraća pažnju na certifikate već većinom gledaju sadržaj same stranice što prevarantima olakšava posao. Najavljuje se da će nove verzije web preglednika Firefoxa i Explorera uvesti funkcije za zaštitu od phishing prijevara koje će jasno korisnike upozoriti u slučaju posjećivanja sumnjivih web stranica.

http://www.cert.hr/novosti.php?lang=hr
Original: http://www.newsfactor.com/story.xhtml?story_id=0100000C5SFU
[ crews_adder @ 06.04.2006. 09:51 ] @
Citat:
IcyImpact: Najavljuje se da će nove verzije web preglednika Firefoxa i Explorera uvesti funkcije za zaštitu od phishing prijevara koje će jasno korisnike upozoriti u slučaju posjećivanja sumnjivih web stranica.


Netcraft-ov Anti-Phishing Toolbar vec neko vreme omogucava ovo, kako za IE, tako i za FF.
[ IcyImpact @ 06.04.2006. 13:13 ] @
Aha, dobar je toolbar ali integracija sličnog rješenja u najpopularnije web preglednika će globalno donijeti puno više u pogledu zaštite korisnika. Malobrojni koriste Netcraft-ov Anti-Phishing Toolbar.
[ crews_adder @ 09.04.2006. 01:30 ] @
U prilog prethodno recenom, a dok se ne pojavi "fabricka" anti-phishing zastita u pretrazivacima, Comodo VerificationEngine predstavlja jos jedno moguce resenje (za Win2000 i WinXP). Podrzani su svi vazniji browser-i, s tim sto bi neki trebalo da se re-instaliraju ako su bili instalirani pre instalacije VEngine (o tome vise ovde.

[ [email protected] @ 09.04.2006. 01:37 ] @
Ne zaboravite na faktor ljudske gluposti...

Ako netko "popusi" (oprostite na izrazu), da ce dobit 10,000 dolara ako klikne negdje i ubaci kreditnu karticu, nece ga sprijecit nikakvi anti-phishing programi.

Koliko ja znam (a ne znam mnogo o tim programima), oni se valjda ravnaju po nekim listama, tj. "shitlistama" siteova koji varaju posjetioce. Po tome, jedan site moze pokrast n ljudi prije nego sta ga shitlistiraju. Jel tako?
[ buljko @ 09.04.2006. 02:49 ] @
Citat:
[email protected]: Ne zaboravite na faktor ljudske gluposti...
Ako netko "popusi" (oprostite na izrazu), da ce dobit 10,000 dolara ako klikne negdje i ubaci kreditnu karticu, nece ga sprijecit nikakvi anti-phishing programi.

Society engineering!. Na tome se zasniva 95% Internet prevara! Niko Vas od toga ne moze spasiti sem Vas samih!
[ IcyImpact @ 09.04.2006. 10:10 ] @
Citat:
[email protected]: Ne zaboravite na faktor ljudske gluposti...

Ako netko "popusi" (oprostite na izrazu), da ce dobit 10,000 dolara ako klikne negdje i ubaci kreditnu karticu, nece ga sprijecit nikakvi anti-phishing programi.


Zato tu treba uskočiti browser (integrirani ili third-party toolbar) koji će prepoznati potencijalnu phishing stranicu i upozoriti korisnika na to - tada će on, ako je već "popušio" socijalni inžinjering, trebao odustati od bilo kakve daljnje "suradnje" sa tom stranicom.

Citat:
[email protected]: Koliko ja znam (a ne znam mnogo o tim programima), oni se valjda ravnaju po nekim listama, tj. "shitlistama" siteova koji varaju posjetioce. Po tome, jedan site moze pokrast n ljudi prije nego sta ga shitlistiraju. Jel tako?


Evo recimo Netcraft-ov toolbar koristi bazu znanih phishing url-ova, a dodatni sloj zaštite je Risk Rating koji izračunava (ne)pouzdanost neke stranice na temelju nekoliko parametara (je li riječ o novo registriranoj domeni, da li server na kojem je hostana znan po prijašnim hostanjima phishing siteova itd.) koji su karakteristični za phishing siteove. Posao radi vrlo dobro, detaljnije o načinu rada na: http://toolbar.netcraft.com/help/faq/index.html

Da, jedan phishing site je obično u funkciji par dana. Pokrene se site (recimo banka xyz), phishing mail se pošalje na milijune e-mail adresa, od toga je njih par tisuća korisnika banke xyz (najčešće se koriste one poznate banke, trgovine, servisi - popularne za što veću količina potencijalnih žrtava) i od toga njih recimo desetak "popuši" socijalni inžinjering u phishing mailu (koji je sve sofisticiraniji) ode na lažnu stranicu banke xyz, upiše i pošalje podatke...uskoro se sazna za taj lažni phishing site i on se zatvara. Proces je završio; lopina u rukama ima pare, korisnici su opljačkani.

@Zeleni Obad - Ima spasa, samo se valjda malo potruditi za to.
[ [email protected] @ 13.04.2006. 12:17 ] @
Icy, sta mislis kakvim bi se dodatnim metodama zastite moglo to sve skupa rjesit? Po meni, bolji pristup bi bio, ne trazenje shitlistiranih sajtova, vec trazenje legalnih sajtova. Znaci, taj toolbar ili plugin, ili programce, da nalog korisnika, ili automatski (provjerom kljucnih rijeci na stranici, tipa "credit card", "expiration date", i slicno), provjeri na centralnom serveru da li taj sajt ima valjane specifikacije za online transactions ili slicno.

Ja fino napravim svoj online shop, posaljem link agenciji za pracenje, oni provjere moj sajt, background i sve skupa, i stave to na listu. Kad netko dodje na moj shop, klikne validate botun u anti-phising toolbaru, i izadje mu fino sve, da je moj sajt u redu, tko je vlasnik, kad se registrirao, itd.

Naravno, ta agencija(e), prate sve promjene na domenama, tako da se ne moze desit da ja prodam domenu nekome, a taj netko postavi phising site.
[ aleksandaraleksandar @ 13.04.2006. 18:03 ] @
i ako ti ne prijavis svoj sajt agenciji, a bavis se prevarama tvoj sajt ostaje cist. i na jedan i na drugi nacin. nema potvrde da je sajt ok, ali nema potvrde ni da je sajt prevara.
ovo sto si napisao je ok, ali vazi samo u slucajevima kada SVI korisnici znaju i ocekuju da postoji neki signal koji govori o validnosti sajta. a ljudi jos ni za prevare nisu culi, a kamoli da mora da se pojavi neka zelena ikonica na nekom toolbar-u koja ce da potvrdi ispravnost sajta.

kao kada centralna banka, bilo koje zemlje, kaze "nova novcanica od 100 <apoena> ce OD SADA (pa nadalje) imati jednu osobenost; takvu i takvu". i onda ljudi znaju da moraju da potraze tu osobenost. nista meni ne znaci da drzava uvede savrsen sistem za ispis serijskih brojeva na novcanici kada nemam ni algoritam ni procesorsko vreme da proverim tu ispravnost, ni mogucnost da prekontrolisem sav novac u drzavi da vidim da nema jos jednog duplog broja.

to o cemu si pisao je razlika izmedju pozitivne i negativne diskriminacije.

inace primetio sam da Opera redovno kontrolise razne sertifikate koje pronadje na sajtu. i obavestava ne samo o tome da je sertifikat istekao, vec i da je onaj ko je izdao sertifikat problematican. mislim da mora da se radi u oba pravca. da se jasno ukazuje na lazne sajtove, kao i da se sirokom kampanjom ukazuje kako na lak nacin proveriti ispravnost sajtova.
[ mulaz @ 13.04.2006. 19:08 ] @
Citat:
Zato tu treba uskočiti browser (integrirani ili third-party toolbar) koji će prepoznati potencijalnu phishing stranicu i upozoriti korisnika na to - tada će on, ako je već "popušio" socijalni inžinjering, trebao odustati od bilo kakve daljnje "suradnje" sa tom stranicom.


"Click yes in the next windows to get 10.000$"

isti alter window se kaze i za instaliranje svih zivih "xxx toolbara" itd.. i koliko sam ja video, kad sam cistio to sa tudjih kompova.. socialni engeneering je za sad jos uvek najbolja vrsta 'hakovanja'
[ pctel @ 17.04.2006. 23:46 ] @
Zanima me u kojoj meri su dozvoljene nelegalne aktivnosti na Internetu, odnosno, da preformulisem pitanje, ako neko napravi sajt zabranjene sadrzine kakva je mogucnost da mu neko iskljuci sajt? Kakva je procedura oko toga? Da li je potrebna sudska presuda da je nesto nelegalno ili ako se iz aviona vidi da je nesto nelegalno sajt moze biti iskljucen i bez sudskog naloga? Koliko vremena prodje od kad neko otvori sajt totalno nelegalne sadrzine do trenutka kad se onemoguci pristup tim sadrzajima?
[ IcyImpact @ 18.04.2006. 07:59 ] @
Ako napraviš site koji recimo radi identičnu stvar kao svaki prosječni phishing site i ne reklamiraš ga - vrlo je mala mogućnost da se taj site zatvori. Ako ga počneš masovnije reklamirati kao recimo phisheri koji vrše velike promotivne akcije (pošalju mail na par milijuna adresa koji "usmjeruje" na phishing site) onda vjerojatnost da će tvoj prevarantski site biti otkriven drastično raste. Firme koje prate ogroman dio e-mail komunikacije uočavaju novi phishing site preko spama koji isti promovira. Prosječno se phishing site, od trenutka otkrića, zatvara nakon par dana (najčešće 2-3) ali nažalost i ta 2-3 dana su dosta da se opljačka mnogo naivnih korisnika. Mislim da se ne čeka sudska presuda na zatvaranje, nego se nelegalni site zatvara odmah nakon što vlasniku servera (gdje je site hostan) nadležne službe priopće vijest o postojanju istog. Po ovome, možda i čudno kako se site zatvara tek nakon 2-3 dana ali mislim da je to posljedica spore međunarodne suradnje tj. spore suradnje službi koje nisu iz istih zemalja, a zadužene su za to područje kriminala. Phisheri znaju kako je jadna zakonska regulativa u nerazvijenim zemljama po pitanju phishinga te kolika se mala pažnja posvjećuje borbi protiv istog pa vole hostati svoj site na nekom serveru u takvoj zemlji. Ajde ti onda, kad otkriješ takav nelegalni site, znaj koga ćeš u toj zemlji kontaktirati u vezi toga. Detaljnije o tome ne znam.

[Ovu poruku je menjao IcyImpact dana 18.04.2006. u 09:05 GMT+1]
[ Danilo Cvjeticanin @ 18.04.2006. 10:48 ] @
Pa to i jeste svrha phishing sajtova.. Posalju 10.000.000 mejlova i dosta je da 10 korisnika interneta padne na foru i spamer je svoj posao obavio.

Ne mogu da skontam da ljudi ne mogu da prepoznaju phishing sajt, dosta je samo da procitaju source i skontace da to nije original sajt i videce sumnjive adrese.

100 ljudi 100 cudi :)
[ djricky @ 18.04.2006. 10:55 ] @
sta je to source?
[ Danilo Cvjeticanin @ 18.04.2006. 11:00 ] @
Svaki browser ima opciju da se vidi "Page source" i tu mozes da vidis kako je pisana odredjena stranica.. html, php.....

Firefox > Ctrl + U i videces Page source

Internet Explorer > View > Source
[ IcyImpact @ 18.04.2006. 11:40 ] @
Citat:
Danilo Cvjeticanin: Ne mogu da skontam da ljudi ne mogu da prepoznaju phishing sajt, dosta je samo da procitaju source i skontace da to nije original sajt i videce sumnjive adrese.


Kako to misliš prema sourceu stranice odrediti da li je ona legitimna ili ne?
[ bojan_bozovic @ 18.04.2006. 12:39 ] @
@cvjeticanin

narocito ako koristim js da ubacujem html u dokument (npr. url-ove). Ili ih dinamicki menjam pri onload.

@aleksandaraleksandar

To ne radi samo opera vec, koliko ja znam, svaki bogovetni browser: evo da vidis konqueror 3.5 na netbsd



jer je www.google.com a ne google.com.

a i stari dobri lynx te isto upozori

[Ovu poruku je menjao bojan_bozovic dana 18.04.2006. u 13:48 GMT+1]

Citat:

Rezultati ovog istraživanja ilustriraju da standardni sigurnosni indikatori nisu u praksi efektivne za korisnike i da su potrebne alternativne metode pristupa problemu kako bi se on rješio. Pokazano je i da većina korisnika ne obraća pažnju na certifikate već većinom gledaju sadržaj same stranice što prevarantima olakšava posao.


Da se ugradjuje bomba u komp koja bi se okidala pri post zahtevu web site-u koji nema validan certifikat
Ta ista vecina i ne treba uopste da koristi komp za e-banking Mogu da gledaju filmove i pustaju mp3

[Ovu poruku je menjao bojan_bozovic dana 18.04.2006. u 13:59 GMT+1]
[ Danilo Cvjeticanin @ 18.04.2006. 15:45 ] @
Citat:
IcyImpact: Kako to misliš prema sourceu stranice odrediti da li je ona legitimna ili ne?


Nisam davno vremena naleteo na neki scam page pa ne mogu da ti dam neki source. Ako mi neko posalje scam page Wells Fargo banke koja ima svoj sertifikat i svoju internet prezentaciju koja glasi https://www.wellsfargo.com/ i na na email dobijem identicno isti sajt ali sa npr adresom www.weels-fargo.com ili nesto tome slicnom normalno da cu da primetim da to nije oficijalni sajt banke koju koristim. Zato sam i naveo primer source-a jer iz njega je najlakse utvrditi dali je scam u pitanju ili nesto drugo.
[ IcyImpact @ 18.04.2006. 16:36 ] @
Ako je riječ o prosječnoj phishing stranici i bez kakvog antiphishing toolbara se (relativno) lako može vidjeti da li je to npr. stranica banke za koju se izdaje ili ne. Ako je riječ o sofisticiranoj phishing stranici, bez antiphishing toolbara je na prvi (čak i malo dublji) pogled teško odrediti (ne)legitimnost te stranice. Hm, pregledavanja sourcea, nisam baš siguran da je to najlakši način određivanja (ne)legitimnosti stranice. Ajmo reć da pregledavamo sofisticiran phishing site koji ima odlično kopiran originalni dizajn, koristi SSL, koristi odličan socijalni inžinjering, koristi jedan od propusta u IE-u koji omogućava spoofanje adrese u address i status baru itd. nismo sigurni vjerovati siteu ili ne. Bi li radije posao određivanja (ne)legitimnosti prepustio nekom antiphishing toolbaru, ili ćeš kopati po source u nadi da ćeš naići na neki trag koji bi upućivao na to da je stranica nelegalna?
[ bojan_bozovic @ 18.04.2006. 17:09 ] @
@icyimpact

Pogleda se kome je izdat sertifikat.
[ IcyImpact @ 18.04.2006. 17:29 ] @
Što ne mora nužno značiti da je i vjerodostojan, opet tu uskače funkcija koja upozorava na to.
[ Danilo Cvjeticanin @ 18.04.2006. 17:38 ] @
Mozda je anti phishing toolbar najbolje resenje ali jesi li svestan koliko ljudi na ovom svetu ni ne zna sta je toolbar? Koliko njih ne zna sta je sertifikat i cemu sluzi na takvim sajtovima.. I tome slicno.. Naravno uvek ce biti dobro informisanih i pametnih ljudi koji ce za svoje dobro da nauce nesto o ovome o cemu mi pricamo dok mnogo vise njih nece znati....
[ bojan_bozovic @ 18.04.2006. 17:44 ] @
@icyimpact

ako ssl sertifikat nije ok cak i u ie uz onaj addressbar bug imas lepo da vidis url ssl site-a - a taj nece biti www.citibank.com ili ce i ie da izbaci golemo upozorenje da se url ne poklapa sa onom u sertifikatu. ie jos ne podrzava utf8 fqdn i zbog toga u ie ne moze da se lazira - a svaki ili skoro svaki browser moze da se podesi da utf8 fqdn ne koristi uopste.
[ IcyImpact @ 18.04.2006. 17:47 ] @
@Danilo

Dakako da sam svjestan, zato su tu antiphishing toolbari koji su daleko najlakši način određivanja (ne)legitimnosti siteova, usporedba toga sa kopanjem po kodu je za prosječnog korisnika je smiješna.

[Ovu poruku je menjao IcyImpact dana 18.04.2006. u 18:48 GMT+1]
[ Shadowed @ 18.04.2006. 17:50 ] @
Sve je to lepo i krasno ali problem je jednostavan - ljudi ne znaju za te neke lazne sajtove. Nemaju oni pojma ni za phishing ni za slicne stvari.
Prisustvno naivnosti i odsustvo inteligencije kod prosecnog coveka (pa samim tim i korisnika racunara) da i ne pominjem...
[ IcyImpact @ 18.04.2006. 18:05 ] @
@bojan_bozovic

Ok.

@Shadowed

Totalna nezainteresiranost i neinformiranost kod ogromnog broja korisnika +

Citat:
Prisustvno naivnosti i odsustvo inteligencije kod prosecnog coveka (pa samim tim i korisnika racunara) da i ne pominjem...


= http://people.deas.harvard.edu.../papers/why_phishing_works.pdf ;-)
[ pctel @ 18.04.2006. 21:03 ] @
Citat:
Totalna nezainteresiranost i neinformiranost kod ogromnog broja korisnika +...

isto to kod kompanija!

Evo, sinoc sam napisao e-mail Microsoft-u i pitao zasto ne daju neko saopstenje u vezi sajtova koji prodaju "original and fully functional software" i naveo im primer jednog sajta i malocas kad sam proverio vidim da je sajt obrisan. Nasuprot tome, stotine sajtova koje su poslale SPAM poruku pre vise nedelja su jos uvek tu. Kako je moguce da u tolikoj kompaniji kao sto je Microsoft ne postoji neko ko bi pronalazio takve sajtove, vec cekaju da im ja javim?!
[ mulaz @ 18.04.2006. 23:33 ] @
ja verujem da bi vise od 50% ljudi na internetu, kad bi kliknulo na sledcu adresu, mislilo da je to paypal:

[url]www.paypal.com\[email protected][/url]
e sad.. ako se browser ne javlja.. ako je sajt bar slican paypalu.. i ako pise nesto tipa "enter your password to renew your account" .. nekome so to vec isplati.. a neko naje*e :)

[Ovu poruku je menjao mulaz dana 19.04.2006. u 00:34 GMT+1]
[ crews_adder @ 18.04.2006. 23:41 ] @
Citat:
Danilo Cvjeticanin: Mozda je anti phishing toolbar najbolje resenje ali jesi li svestan koliko ljudi na ovom svetu ni ne zna sta je toolbar? Koliko njih ne zna sta je sertifikat i cemu sluzi na takvim sajtovima...

Koliko njih ne zna ni sta je Internet? A nece ni znati sve dok imaju strah i od "kompijutera" i od "kompujtera". Zato ce jos teze uspeti da provale sta je e-banking (PayPal, ebay i tome slicno i da ne pominjem), pa ce "pecarossi" ovde uglavnom ostajati bez ulova, makar za jos neko vreme.
[ djricky @ 19.04.2006. 23:52 ] @
khm... kao sto sam rekao: "Sta je to source?"

hint: pogledati u moj profil i videti cime se bavim, trebalo bi da znam sta je source
pitanje je bilo aluzija na ogromnu vecinu korisnika interneta...
[ crews_adder @ 26.05.2006. 00:13 ] @
Citat:
Why Phishers Don't Fear SSL Toolbars

Posted on 05/09/2006 @ 15:27:26 in Phishing.

Do anti-phishing toolbars in web browsers stop phishing attacks? No. Can they reduce them, even for savvy users? Yes. Are they all equally effective? No.

MIT researchers found that users are highly likely to ignore anti-phishing toolbars... especially those designed to verify SSL certificates.

Min Wu, Robert Miller and Simson Garfinkel tested three types of toolbars:

1. Neutral info: Lists website domain name, hostname, host country, etc.
2. SSL-verifying: Displays SSL certificate logos, warning for non-SSL sites.
3. System decision: Shows a stoplight, red = bad, yellow = ?, green = good.

The researchers installed browser toolbars without training the subjects in their proper use. Then subjects were asked to do various tasks requiring a username and password, like adding to a Wish List. The subjects incorrectly divulged usernames and passwords to the phishing sites 52% of the time.

After users were dragged through a tutorial, successful Neutral Info toolbar spoofs dropped to 28% while spoofs of those using System Decision toolbars plummeted to 15%. SSL-verification users were fooled 35% of the time.




Ceo clanak
[ crews_adder @ 24.06.2006. 01:40 ] @
Jos jedan interesantan slucaj kradje identiteta (PayPal scam je u pitanju):

http://news.netcraft.com/archi...law_allows_identity_theft.html