Perspective // Phishing va mai fi ... atat timp cat utilizatorul de internet nu va invata sa isi protejeze datele, e la fel cu povestea portofelului lasat la vedere in masina...

Este in mare parte responsabilitatea bancilor. // Este inadmisibil ca la anumite banci autentificarea se face chiar mai simplu decat in contul de Yahoo. Macar la Yahoo exista posibilitatea de sign in seal.

eroare // Esti intr-o grava eroare. ce treaba are banca cu atacul de tip phishing? E ca si cum ai zice ca vina americanilor cand eu ti-am vandut niste dolari albastri in loc de verzi, iar tu ai pus botul si i-ai cumparat.

nu stiu cine e in eroare aici // Se pare ca n-ai citit ce am scris eu acolo. Tehnologia sign in seal folosita de yahoo este tocmai impotriva atacurilor de tip phising folosite impotriva lor. Deci ei s-au gandit ca are treaba si cu ei. Token-ul este o alta metoda pe care o banca o poate folosi. Iar daca este folosita cum trebuie atat la autentificare cat si la transferul banilor atunci e imbatabila. Sunt multe metode pe care o banca le poate folosi dar multe din ele dau vina pe utilizatori si se spala pe maini. Daca tu te crezi mare specialist care nu poate fi pacalit cu keyloggere, redirecturi de la ISP simple mail-uri si virusi atunci poti dormi linistit.

sigur // Cred ca datorita tehnologiei 'sign in seal' primesc de vreo luna de la tot felul de omuleti reclame la produse de slabit (as seen on cnn) Cine e suficient de dobitoc incat sa isi bage numele si parola in urma unui email care il redirecteaza catre o adresa ce nu are nicio legatura cu siteul bancii, n-are decat sa plateasca.

da, yahoo e de vina // Sa inteleg ca tu ai impresia ca 'sign in seal' e de vina ca tu primesti spamuri. Iar bancile sunt nevinovate pentru phishing cu toate ca au un sistem simplu de autentificare. Am inteles. Nu stii ce e ala token, keylogger, banuiesc ca nici nu folosesti internet banking dar toti ceilalti sunt prosti ca isi doresc mai multa securitate.

Portofelul la vedere // Utilizatorul de internet e de vina pentru ca e inocent sau phisherul care in fapt este un hot (echivalentul online al hotului de buzunare din autobuz) si excroc. Culmea ca nici unu nici altul ci ceva in noi ce ne facem sa ne dorim mai mult decat oricand avem, ce ne opreste sa ne bucuram cand lucruri bune se intampla celor apropiati si ne face sa savuram necazurile altora. De fapt sunt oameni disperati caci isi risca libertatea pentru niste hartii care dau iluzia de putere.

Phishingul este relativ usor de combatut // Prin 3 metode: 1 - global, deja aplicata: crearea unei baze de date cu adresele IP si/sau URI-urilor care gazduiesc paginile "rele" 2 - prin educatie, deja un pic aplicata: invatandu-i pe SFU sa nu isi dea PIN-urile si alte date de identificare aiurea, fara sa verifice autenticitatea paginilor web si criptarea conexiunii 3 - local, neaplicata: printr-un plugin de browser, cand un utilizator intra pe situl real al bancii sale (deci va face asta pt orice pagina criptata), plugin-ul salveaza o urma a paginii pe disc. Cand de pe acelasi comp utilizatorul acceseaza o pagina postata cine stie unde (deci cu un URL diferit), pluginul ii calculeaza din nou urma iar daca datele de identificare se potrivesc intr-o anumita masura cu urma salvata anterior, inseamna ca este o pagina facuta special sa semene cu cea autentica, deci phishing. Algoritmi grafici care sa stabileasca gradul de asemanare intre doua imagini exista, trebuie doar pusi in librarii si utilizati. Mie imi e insa inutila o astfel de aplicatie, intrucat pluginul sunt eu ;) Concluzia: tehnica avem, vointa de aplicare nu.

net - real // Nu tehnica este problema ci victimele sunt problema . Ca in viata reala si pe net sunt victime care nu cunosc niste reguli de bun simt si asa cum unii umbla cu banii ca si cand ar umbla cu o marfa necautata asa si pe net daca ar sti ca se joaca cu banii lor cand dau date aiurea nu ar mai face-o . Dar , intotdeauna au fost calai si victime pe acest pamant , au fost excroci si fraieri , pacalitori si pacaliti si roata se intoarce de fiecare data si fiecare nas isi are nasul ....

Eu le-am dat ce au cerut // Am accesat pagina cu pricina unde mi-am introdus datele cerute. Bineinteles ca nu aveam cont la banca respectiva. Daca toata lumea ar introduce niste date aiurea le-ar fi mai greu?

Mai mult pragmatism si mai putina 'tehnica' // Aparent este foarte usor de indicat motivul pentru care astfel de atacuri sunt posibile (in fapt se invinovateste victima!) insa folosind un rationament eronat (si de cele mai multe ori gandind astfel se trunchiaza realitatea <sindromul tehnicianului> si se inlatura o rezolutie adecvata) in schimbul unui rationament, daca nu sanatos, macar corect. Mai multe aici: http://www.guardian.co.uk/technology/2009/mar/12/read-me-first sau aici: http://www.schneier.com/blog/archives/2009/03/

gramatica // domnu'/doamna dty, atentie la gramatica, pls. nu stiu ce e asa gresit in a spune ca cel putin uneori si clientii bancii sunt de vina? imho, pentru a scapa de phishing, cel mai simplu ar fi ca intre banci si clienti sa nu mai exista contact via email. in fond, banca trimite clientilor pe mail doar SPAM, niciodata chestii (notificari) importante.

probabil e putin.. // de vreme ce principala banca vizata de atacurile phishing din ro - Raiffeisen - nu se sinchiseste sa introduca autentificare cu token-uri, adica in plus fata de ce se poate fura prin mijloace electronice (phishing, keyloggere, virusi) de la posesorul real - parola, user, numar card, cod verificare - sa existe ceva fizic ce nu se poate fura decat prin mijloace fizice. deci in plus fata de ceva ce stii (useri, parole, chiar numarul de card), ar trebui sa fie necesar si ceva ce ai (token)