Sześć lat więzienia za phishing. Plaga narasta

[Gość: robson]

Amerykanie są naiwni. Ja dostałem już kilka maili o podanie danych i
zalogowanie się ale nie jestem głupi. Mój bank nie wysyła maila i rzaden
inny... POzdro

Polacy nie są naiwni. Bo nie mają komputerów

[Gość: LMB]

> Amerykanie są naiwni.

Polacy nie są.
Dziesięć lat temu wróciłem do Polski. Nigdy nie zastanawiałem się nad
pozytecznością takich wynalazków jak karty płatnicze czy konta internetowe. A w
Polsce spotykam osoby nie tylko nie mające kont w internetowych bankach, ale nie
mających kont w banku W OGÓLE. Nadal są babcie, które czekają w kolejkach do
banku zamiast pójść do kafejki i zapłacić wszystkie przelewy za 1/3 ceny.

A JAKIE JEST TO TEMPO DWUCYFROWE ???

[Gość: piternet]

"O tym, że zagrożenie phishingiem rzeczywiście narasta, a użytkownicy bankowych
kont internetowych powinni mieć się na baczności, świadczą dobitnie najnowsze
badania amerykańskiej fimy badawczo-doradczej Gartner. Z jej sondaży wynika, że
liczba ataków phishingowych rośnie w USA w tempie dwucyfrowym."

Czy to dwucyfrowe tempo to np. 13. Tzn. liczba atakow rosnie np. w tempie 13???
I co to mialoby znaczyc???

Żaden pisze się przez ż

[Gość: laura2006]

Rozsądek.

[znawca_tematu]

Tylko rozsądek może nas uratować, a rozwiązania takie jak phishing bazują na niewiedzy i beztrosce internautów. Banki internetowe nie są i nigdy nie bedą w stanie zapewnić 100% bezpieczeństwa, ponieważ zawsze występuje czynnik naiwności użytkownika :-). Co z tego, że bank ma najnowszy certyfikat bezpieczeństwa sygnowany przez np. VerSign (który kosztuje naprawdę wiele), skoro większość użytkowników podczas logowania, nie sprawdza go (dla niewiedzących - chodzi o tą zółtą kłódkę, pojawiającą się przy szyfrowanym połączeniu, w IE aby go wyświetlic, należy wywołac go klinieciem, a w np. Operze, wczytuje się w pasku adresu. Są w nim informacje o metodzie szyfrowania, wystawcy i takie tam rózne ważne informacje :-)). Może trudno w to uwierzyć, ale sporo ludzi nie wie o jego istnieniu ;-). Wymieniona przezemnie już Opera ma szereg innych zabezpieczen np. informowanie o przekierowaniu na inny serwer. Chodzi o linki w widocznej postaci www.domena.com, a który w rzeczywistości ma postac www.domena.com@IPserwera na który jesteśmy przekierowywani. W Operze pojawi się stosowny komunikat (z możliwością anulowania przeniesienia oczywiście), a IE grzecznie nas przenosi. Mógłbym wymieniać długo, ale ogólny sens już przekazałem. Jak się zabezpieczyć? Myślec, myśleć, myśleć :-). Nie wklepywać naszych danych na lewo i prawo. To po pierwsze. Stosować dobry (aktualny) program antywirusowy, dobry firewall, skanery spyware, no i jakąś alternatywną przeglądarkę (Opera, Firefox, Mozilla, cokolwiek, tylko nie Internet Explorer). Dlaczego nie IE? Istenieja całe strony poświęcone temu zagadnieniu, ja napisze tylko o aspekcie bezpieczeństwa. Wersja 6.0 nie jest aktualizowana od ponad 2 lat (co stanowi prawdziwą epokę), oraz posiad ponad 20 luk bezpieczeństwa, w tym wiele krytycznych (źródło www.secunia.com ). Jedyną na dzien dzisiejszy przeglądarką bez (wykrytych - żaden program nie jest doskonały i prędzej, czy później się znajdą, tyle, ze na pewno zostaną naprawione szybką aktualizacją) jest Opera. Nie wiem, jak wy, ale ja dbam o swoje pieniądze, dlatego staram sie być optymalnie zabezpieczony. Czy stosowanie się do rad powyżej gwarantuje bezpieczeństwo? NIE, ale zmniejsza w znacznym stopniu ryzyko. Szyfr 128 bitowy można złamac (kwestia nakładów), keylogger odczyta to co aktualnie piszemy na klawiaturze, a w pokoju za scianą można odczytac obraz naszego monitora, przez generowane przez niego pole... Może to trochę paranoiczne (choć technicznie jak najbardziej możliwe), ale jak już pisałem - mi zależy na moich pieniądzach, nie wiem jak wam :-). Podstawową bramą do korzystania z internetu jest przeglądarka, zadbajmy, aby ta brama nie była dziurawa :-).

Przykład.

[znawca_tematu]

Nie mam czasu wymyslic własnego (nie będę was przecież przekierowywał na mój serwer :-)), więc posłuże się przykładem ze strony tntluoma.com/opera/lover/7/.

<a href="www.microsoft.com@69.0.231.197" title="www.microsoft.com" onmouseover="(window.status='www.microsoft.com'); return true">www.microsoft.com</a>

Czy to link do strony Microsoftu? Jeśli jesteś użytkownikiem IE, to po nacisnieciu na link przeniesiesz się Na serwer o IP 69.0.231.197. W Operze dostaniesz stosowne ostrzeżenie. Gdyby to był przypadek phishingu, wystarczyło by zrobic stronę podobną do strony twojego banku, a phisher odczytałby dane które wpisujesz logując sie. Oczywiście jest to przykład najprostrzy i najbardzie bezczelny - można to zrobic "bardziej elegancko". Czy użytkownik IE może się przed tym obronic? Jasne, można podejrzeć kod, sprawdzić certyfikat, czyprzytrzymać kursor na linku, aby odczytac adres pod który nas przenosi. Zapewniam was jednak, że bardzo niewielu ludzi tak robi :-).// log out

[znawca_tematu]

zapomniałem o specyfice forum, ech tu jest ten przykład

tntluoma.com/opera/lover/7/16/
wklejenie linku z powyższego postu w kodzie zwykłej strony html, powoduje opisany efekt. W forum są wyłaczone niektóre niezbedne funkcje.

[maruda.r]

znawca_tematu napisał:

Stosować dobry (aktualny) program antywirusowy, dobry firewall,
skanery spyware, no i jakąś alternatywną przeglądarkę (Opera, Firefox, Mozilla,
cokolwiek, tylko nie Internet Explorer).

************************************

Dlaczego nie IE, skoro przy podanym przez Ciebie linku właśnie IE podaje
komunikat: "Błąd nieprawidłowej składni" i wyświetla link w czystej postaci bez
przekierowania (przykład z MS), natomiast Firefox wyświetla info o
przekierowaniu, które przeciętny użytkownik zaakceptuje?
Zapamiętujący niektóre działania Firefox zapyta tylko raz o przekierowanie,
nastepne otwarcia trefnego linku nie będą wymagały potwierdzeń. Opera zachowuje
się równie głupio. Skąd przeciętny użytkownik internetu ma wiedzieć, że
69.0.231.197 to nie jest adres Microsoftu? Dla niego to taka sama enigma, jak
adres verisign i informacja: "Podpisano przez xxx@xxx.com przy użyciu RSA/SHA1 o
01:28:24 2005-02-02".

W tej chwili to właśnie IE zachowuje się prawidłowo nie otwierając w ogóle
trefnej strony.

Czemu zapobiegać ma firewall, skoro porty dla przeglądarki internetowej już
zostały zatwierdzone i z punktu widzenia firewalla i antywirusa operacje
przekierowania są legalne?

[Gość: mmx]

Cos nie bardzo ci sie ten przyklad udal. Moj Maxthon (obojetnie czy ustawie
engine IE czy Gecko) nigdzie nie przekierowuje.

[Gość: Przemo]

"Znawco", nie pi..... bez sensu.

Certyfikat na rok kosztuje 200 USD ( cena z Thawte, zawierajaca "samo geste", w
przeciwienstwie do ofert Verisign'a ).

"Klodka" tez Ci nie zawsze pomoze. Ataki phisherow odbywaja sie falami, czesto
zaraz po tym jak wykryta zostaje dziura w najczesciej uzywanej przegladarce
swiata ( Internet Explorer ), ktora umozliwia oglupienie przegladarki - pokazuje
poprawny,znany Ci adres Twojego banku, widzisz swoja klodeczke zapieta, a
rozmawiasz z kim innym ( zmimikrowanym sajtem banku, nalezacym do phisherow ),
kto wlasnie w tej chwili zapamietale zbiera wklepywane loginy i hasla, dane kart
kredytowych, id i piny.

PHISHING? ZNACZY SIE PODPIER..LILI KASE Z BANKOMAT

[vitmik]

PHISHING? CO ZA BZDURNE OKRESLENIA

dobry zarobek

[Gość: SZymon]

ukradł 6 mln funtów i dostał 6 lat, czyli 1 mln/rok. niektórzy to zarabiają!!!

dobry zarobek

[Gość: SZymon]

ukradł 6 mln funtów i dostał 6 lat, czyli 1 mln/rok. niektórzy to zarabiają!!!

dobry zarobek

[Gość: SZymon]

ukradł 6 mln funtów i dostał 6 lat, czyli 1 mln/rok. niektórzy to zarabiają!!!

blokada kont

[Gość: Szymon]

Jesli z czyjegos kompa wychodzą takie maile, to jego IP powinno byc blokowane i
powinien płacić za jego odblokowanie. Ludzie nauczyliby się chronić swoje
komputery przed hakerami, by nie być fabryką spamu.

Na głupotę nie ma rady, a internet nie straszny

[Gość: darek_w1]

1. Człowiek głupi może mieć pretensje tylko do siebie. Taki da się nabrać nie
tylko w internecie ale i w życiu, przyjmując nieudolnie sfałszowane banknoty,
kupując po okazyjnym kursie korony islandzkie zamiast szwedzkich (autentyk)
albo jak babcia z podkarpackiej wsi wymieniając z okazji wejścia do UE całe
swoje oszczędności na euro [wchodzimy do Unii i złotówki tracą ważność ;-)] u
przejezdnych gości - zamiast euro dostała korony słowackie.
Żaden bank nigdy nie żąda przesyłania PINów i temu podobnych poufnych danych
mailem. NIGDY! KAŻDY taki mail to próba oszustwa! I nawet elektorat Leppera
taką prostą regułę jest chyba w stanie pojąć. A w razie wątpliwości zawsze
można zadzwonić do banku i spytać się o co chodzi.

2. Bezpieczeństwo operacji bankowych w praktycznie niezawodny sposób zapewniają
kody jednorazowe transakcji jakie są generowane przez token, dostarczane na
kartach - zdrapkach albo przysyłane z banku SMS-em. Większość banków to
stosuje. Nawet jeśli haker pozna mój NIK i PIN logowania na stronę banku (np
key loggerem), to jedyne co będzie mógł zrobić to popatrzeć sobie na stan konta
i historię operacji. Żadnej operacji nie dokona bez jednorazowego kodu, a
złamanie algorytmu jego generacji (w moim przypadku 8-cyfrowego) albo próba
zgadnięcia jest niemożliwa bo po trzeciej błędnej próbie dostęp zostanie
zablokowany.

3. Jednej rzeczy natomiast zupełnie nie mogę zrozumieć. Mianowicie stosowania
kart kredytowych w transakcjach internetowych. Dlaczego nie stosuje się do
płacenia za zakupy internetowe przelewów elektronicznych tylko sprzedawca sam
sobie ściąga z konta ile uważa za stosowne po podaniu mu numeru karty? Można to
porównać z podawaniem portfela kasjerce w supermarkecie z prośbą, żeby sobie
sama odliczyła należność bo mnie się nie chce liczyć. Bezpieczne zakupy w
sklepie internetowym wyobrażam sobie w ten sposób, że po wypełnieniu formularza
zamówienia otrzymują mailem ze sklepu potwierdzenie zamówienia z jego numerem,
kwotą do zapłaty i numerem konta. Robię przelew elektroniczny na podany numer
konta, a sklep po otrzymaniu zapłaty wysyła towar. Numer karty nie plącze się
po sieci, nie siedzi na serwerze sklepowym, które często są źle zabezpieczone
albo wcale i hakerzy mogą się tam włamać i zdobyć numer karty, połączenie z
bankiem i operacje są dobrze zabezpieczone (w każdym razie o niebo lepiej niż
przy łączeniu się z jakimś sklepem internetowym) i nie grozi przechwycenie
poufnych danych. Może ktoś z lepiej zorientowanych w tym temacie jest w stanie
wyjaśnić mi dlaczego tak się nie robi, bo dla mnie jest to kompletnie
niezrozumiałe.

[Gość: Gościu]

darek_w1 myli się w punkcie 3. Płacąc kartą płatniczą w interenecie za
transakcję nie podaję numeru karty dla sklepu internetowego/sprzedawcy. Ze
sklepu internetowego jest przekierowanie na stronę Polcardu czy innego centrum
autoryzacji kart płatniczych. Dopiero tam podaje się numer karty płatniczej,
natomiast w drodze zwrotnej sklep internetowy dostaje tylko potwierdzenie, że
transakcja jest autoryzowana i można wysłać towar klientowi (bez otrzymywania
informacji o numerze karty płatniczej!).

[Gość: darek_w1]

> darek_w1 myli się w punkcie 3. Płacąc kartą płatniczą w interenecie za
> transakcję nie podaję numeru karty dla sklepu internetowego/sprzedawcy.

Przyznaję bez bicia, że karty nie mam (nie jest mi potrzebna, mam przychody
głównie w gotówce) i nie wiem zbyt dokładnie jak się takie operacje odbywają.
Ale pamiętam, że jakiś czas temu (rok, może trochę więcej) był przypadek
kradzieży dużej ilości numerów kart z jakiejś dużej firmy wysyłkowej (Amazon?).
Hakerzy włamali się na serwer i wyciągnęli je stamtąd. Poniewczasie okazało
się, że serwer jest kiepsko zabezpieczony, bo takie firmy nie zatrudniają
administratorów z górnej półki, bo są za drodzy dla nich. I nie tylko oni, ale
niemal wszystkie firmy internetowe jak wykazał audyt. No to skądś się te numery
na tym serwerze musiały wziąć.

[bpredki]

Ad 3. Spróbuj zrobić przelew do Stanów, czy nawet w ramach Unii. Trochę czasu to potrwa, a jak
zobaczysz prowizję bankową, to się zdziwisz.
W Stanach i w Anglii karta płatnicza jest podstawowym środkiem płatniczym i jak sklep nie będzie
honorował kart to interesu nie zrobi. Do tego transakcje kartowe są często ubezpieczone i znacząco
uwiarygadniają klienta.
Bliżej nas jest inaczej. Podobno podstawowym warunkiem wejścia Amazonu do Niemiec było
wprowadzenie sprzedaży "za pobraniem", co bardzo zszokowało szefostwo. W rzeczywistości w
typowych sklepach w Niemczech czy Austrii bardzo trudno jest zapłacić zagraniczną kartą. Honorują
tylko ich własne, które są raczej formą elektronicznej portmonetki.

[Gość: d]

[Gość: darek_w1]

> Ad 3. Spróbuj zrobić przelew do Stanów, czy nawet w ramach Unii. Trochę czasu
> to potrwa, a jak zobaczysz prowizję bankową, to się zdziwisz.

No ja akurat się nie zdziwię, bo robię taki przelewy. Przy kwotach jakie
wchodzą w grę przy zakupach internetowych prowizja za przelew SWIFT w moim
banku jest stała i wynosi 35 PLN. Ile to idzie nie sprawdzałem, ale z tego co
się orientuję nie powinno iść dłużej jak 2-3 dni, o ile klient ma konto w
jakimś powszechnie znanym banku, a nie w jakimś lokalnym banku w Pernambuko.
Nie jest to ósmy cud świata w porównaniu z operacjami kartą, ale to kwestia
tego, że są to operacje wykonywane dla podmiotów gospodarczych, a te banki łoją
ile wlezie. Porównaj ceny takich samych usług np. przelewów elektronicznych dla
osób fizycznych i dla firm, różnice są kilkukrotne. Swoją drogą ciekawe kiedy
się takimi praktykami zainteresuje UOKiK. Poza tym jest to kwestia skali. Gdyby
ilość takich przelewów wzrosła kilkadziesiąt razy (a tak by było przy płaceniu
za zakupy internetowe przelewami) to nie widzę powodu, żeby operacje takie były
znacząco droższe od operacji kartą. W końcu to tylko transmisja danych.

Ludzie zacznijcie pracować na Mandrakelinux!

[Gość: Tomek]

Witam,
Dlaczeo autorzy tych wszystkich newsów nie piszą że podmiana strony w banku dotyczy tylko użytkowników systmu Windows!!!

Użytkownicy takiego systemu jak Linux np. Mandrake, Suse, Aurox nie muszą się obawiać że łącząc się z bankiem jakiś trojan/wirus przekieruje ich na fałszywą stronę!!!.

A praca pod Linuksem w trybie graficznym jest taka sama jak pod Windowsem czy nawet lepsza i nie trzeba wydawać dziwnych poleceń z klawiatury!!!

Sami zobaczcie jak wygląda Linux:
www.linuxdlafirm.pl/linux/index.php?option=com_zoom&Itemid=228

[Gość: doxx]

W USA za przestepstwa w bialych rekawiczkach czesto idzie sie siedziec dluzej
jak za zabojstwa. Czeste sa wyroki rzedu 150 lat i to z blahych powodow za ktore
u nas i w Europie mozna dostac gora 2 lata i to czesto w zawieszeniu.
Szczegolnie ostro Amerykanie karaja wszelkie przestepstwa zwiazane z gielda itp.

Jaki kraj takie metody ....

[Gość: PS]

W Polsce nie trzeba się tak wysilać żeby zdobyć numery kart kredytowych.
Najlepszy przykład: Albert, Galeria Mokotów w Warszawie. Podchodzę do kasy a
tam co? Tuż obok mnie duży porozrzucany stosik wydruków z terminala od kart
kredytowych. A na nich numery kart, daty ważności, baaaardzo wyraźne podpisy.
Zakupów miałem dużo więc miałem też dużo czasu na oglądanie. Zastanawiałem się
czy nie wyciągnąć telefonu i nie porobić zdjęć. Gdybym chciał mogłem to
wszystko jednym ruchem sciągnąć do kieszeni. Byłoby na wakacje. Potwierdzenie z
mojej kary trafiło oczywiście na sam szczyt. Na moje sugestie, żeby to jednak
schować pani kasjerka powiedziała, że nie ma zamiaru bo zawsze tak kładzie i
nie widzi problemu. Dopiero kierowniczka ją utemperowała. Więcej w tym sklepie
kupowac nie będe i innym nie radzę.

Juz narasta nieufnosc do e-poczty

[vinogradoff]

Przy okazji Amerykanie zaakcentowali najistotniejszy problem...zagrozenie
rozwoju sklepow internetowych i bankowosci internetowej. Osobiscie spotykam sie
z zagrozeniem wszelkich kontaktow e-poczta. Bardzo wiele firm w ogole nie
odpowiada na zapytania wyslane e-poczta, stad koniecznosc powrotu do poczty
tradycyjnej i listow papierowych ze znaczkiem pocztowym.

[bpredki]

Mylisz się. Firmy często nie odpowiadają na maile, bo ich nikt nie czyta. Firma wykosztowuje się na stronę
i hosting, a potem zapomina o tym. Niech sobie strona będzie, mail też jakiś jest, a przecież nikt nie
zatrudni pracownika do odpowiadania na maile. Najwyżej ktoś dostaje niechcianą dodatkową robotę, do
której się nie przykłada. Są oczywiście wyjątki.

Sześć lat za phishing. A gdzie zwrot skradzionych

[Gość: Jerzy]

Jak można być tak głupim aby podawać nawet swojemu bankowi PIN i inne dane.
Swoją drogą złodzieje nie powonni być skazywani na więzienie. Przede wszystkim
powinni być zmuszani do zwrotu wszystkim poszkodowanym to co skradli. Siedzieć
powinni tak długo aż odpracują wszystko wraz z karnymi odsetkami.
A teraz to co się zdarzyło naprawdę:
Dzwoni telefon - Czy pan taki a taki ? -
- Tak -
- Czy to pan zastrzegł swoją zaginioną kartę ? -
- Tak, bo ktoś i ją ukradł -
- Tu biuro zstrzeżeń kart i transakcji bankomatowych. Właśnie przy pomocy tej
karty ktoś chce pobrać maksymalną kwotę. czy to ktoś od pana ? -
- Ależ skąd. Ja kartę zastrzegłem i jej nie mam bo ktoś ja ukradł. -
- Tak zgadza się. Widzę że jest zastrzeżona. Jednak system nie może zblokowac
tej trasnsakcji jeśli jej sam pan nie zastrzeże. Takie są przepisy -
- Jak mogę ją zastrzec? -
- czy to chodzi o kartę numer xxxxxxx xxxxx xxxxx xxxx ? -
- Tak to moja karta. Co ja mogę jeszcze zrobić? Nie chce aby ktoś mi ukradł
pieniądze -
- Po to jest nasze biuro. Prosze podac pin zebyśmy mogli kartę nieodwołalnie
zablokowć -
- XXXX -
_ Dziękuję, to wszystko co mógł pan zrobić. Do widzenia -