Příspěvky

1501

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 21:04:27 »

Znovu se ptám, kde stačí u obchodníka zadat jenom číslo karty pro provedení platby bez dalších údajů, jak tady píšeš. A neodváděj pozornost někam jinam, nemáš šanci. Seš obyčejný trol a Tlučhuba, co tady jenom honí posty bezduchým plácáním o lejně

Neumíte číst? Už jsem vám to napsal, dnes v 15:17:33. Aha, ony v tom komentáři byly otázky na vás, které vy nechcete vidět. Tak to pak chápu, že nevidíte ani odkaz na toho obchodníka.

1502

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 17:11:31 »

Nejseš náhodou na hlavu? On tady po mně někdo chtěl číslo platební karty? Nebo mám mít šestý smysl a vědět, že si to zrovna jakýsi trol Jirsák přeje? Lepší bude, když se půjdeš zviditelňovat jinam a ne honit posty tady, protože co příspěvek, to perla, jako bys zrovna utekl z Bohnic

Jasně, trolení, to vám jde. Ale když máte dokázat, že svá slova myslíte vážně, najednou nic nechápete.

1503

Studium a uplatnění / Re:Rekvalifikace horníka pro IT, do čeho jít?

« kdy: 31. 01. 2021, 16:59:35 »

třeba Průša pořád někoho shání

To bude asi jiný Průša, že? https://www.youtube.com/watch?v=CDtseF2CP7Q

Prusa Research

1504

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 15:17:33 »

Ty už ve svém trolingu ani nevíš, co píšeš A jestli máš potíže s pamětí, tak zkus něco v lékárně, třeba to pomůže

OK, nepřesně o obchodníkovi jsem psal už já. Nicméně že půjde o internetový obchod, na který jde dát odkaz, jste z toho udělal až vy. Nebo jste odkazem myslel i „benzínová pumpa na Highway 183, 3,5 km za Milllerem, Nebraska, USA“?

Pak mám pro vás ještě hádanku. Tvrdil jste, že pro platbu u obchodníka je nutná zadat vždy číslo karty, měsíc expirace a CRC. Předpokládám tedy, že jste myslel CVV/CVC… Teď k té hádance. Amazon.com znáte? Je to docela velký obchodník, mohl byste ho znát. Když se tam (u přihlášeného uživatele) zadávají údaje o platební kartě – kam přesně tam to CVV/CVC mám napsat?

A ještě jedna hádanka. Pokud je podle vás naprosto bezpečné komukoli sdělovat číslo karty, proč už jste sem dávno číslo své karty nenapsal? Čeho se bojíte?

1505

Studium a uplatnění / Re:Rekvalifikace horníka pro IT, do čeho jít?

« kdy: 31. 01. 2021, 13:55:33 »

Co zkusit něco blíž k analýze nebo něco s daty? Tam bývá potřeba mít širší rozhled, takže tam konkurence dvacetiletých nebude tak velká. A nebo něco k té elektronice – třeba Průša pořád někoho shání.

1506

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 13:29:44 »

Zkus to sám, místní trole. A už konečně sem dej odkaz na obchodníka, kterému stačí k platbě jenom číslo karty bez dalších údajů. Než ten odkaz zde bude, tak seš pouhý Tlučhuba

Já jsem někde psal, že pouhé číslo karty stačí k platbě u obchodníka? Nepsal. Takže kdo je tu tlučhuba už víme…

1507

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 13:04:44 »

Ale nezobecňujte to. Klikat na odkazy v emailu můžete, pokud poté nezadáváte přihlašovací údaje (hlavně tam kde jsou peníze) nebo číslo karty.

Prosím vás, hlavně tyhle nesmysly nikomu neraďte.

Ne, opravdu nikdy nezadávejte přihlašovací údaje nebo číslo karty do stránky, u které jste si neověřil, že je to ta správná stránka. Bez ohledu na to, jak jste se na tu stránku dostal.

Ověření toho, že je to ta správná stránka (ideálně z HTTPS certifikátu), úplně stačí. Je tedy úplně jedno, jak jste se na tu stránku dostal, zda odkazem z webu, e-mailu, z vyhledávače nebo jakkoli jinak. Důležitá je ta kontrola, na ničem jiném ohledně adresy nezáleží.

1508

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 13:01:21 »

Bylo by dobré se naučit číst a ne hned zbrkle reagovat

Fajn, tak to zkuste. Zjistíte, že se tu bavíme o možném zneužití platební karty. Kartu nemusíte zneužít jenom u obchodníka, můžete ji zneužít v hotelu, v půjčovně aut, na benzinové pumpě… Takže vaše otázka na obchodníka je bezpředmětná, že?

Jinak to, že číslo karty je tajný údaj, můžete odvodit i z toho, že se nikde nezobrazuje celé – pokud není účelem použít to číslo k placení. Když máte přehled uložených karet (ve správci hesel, na Google Pay, u obchodníka), vždy se zobrazují jen poslední čtyři číslice. Když vám přijde e-mail s výpisem, jsou tam jen poslední čtyři číslice – abyste se dostal k úplným údajům, musíte se nějak dál prokázat. Když přijde PIN poštou, jsou tam jen poslední čtyři číslice čísla karty. Když potvrzujete platbu přes 3D secure, zase jsou tam jen ty čtyři číslice.

1509

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 12:08:23 »

Ne, NESTAČÍ, protože platba se bez dalších údajů, tj. platnost a CRC, neověří. A je irelevantní tady vypisovat co je jinde na světě, protože se bavíme o platbách kartami vydanými v ČR a zde už v nejbližší době bude nutné i 3D Secure, tj. soustavně omílaný argument o tom, jak se kdesi na Ali dá platit jenom údaji z karty samotné, padne. Natož tvrzení, že stačí jenom číslo karty - skutečně bych rád viděl obchod, kde lze takto zaplatit

Vaše představa, že kartami vydanými v ČR lze platit pouze v ČR v internetových obchodech, je pozoruhodná, nicméně neodpovídá realitě. Kartami lze platit i mimo internet a dokonce i mimo ČR.

1510

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 11:34:04 »

Opakuji, že kliknout na něco co přijde v emailu je mnohem více rizikové než spléci adresu tak, abych se dostal na stránky podvodníka. Tento druh podvodu se prostě moc nedělá.

Ano, víme, že jste někde něco takového zaslechl – ale nevíte, proč by něco takového mělo být rizikové. Nemusíte to opakovat. Spíš byste měl věnovat pozornost tomu, když někdo používá argumenty.

Klikat na adresu v e-mailu není o nic rizikovější, než klikat na adresu na webové stránce nebo v PDF, načíst ji přes QR kód nebo ji napsat ručně. Ve všech případech totiž stejně nakonec musíte ověřit, že jste na té stránce, na které chcete být.

Vaše představa, že zadání adresy uživatelem je bezpečné, vychází z mylné představy, že uživatel napíše adresu bezchybně a hlavně že adresu píše do vstupního políčka, které nemá žádné jiné funkce a jenom akceptuje adresu zcela zadanou uživatelem. Jenže tohle dávno není pravda. Adresní řádek je dost složitá komponenta, našeptávají se tam adresy, přičemž se různě míchají adresy z oblíbených a dříve navštívené adresy. Může se do toho zapojit i vyhledávač. A adresy v adresním řádku se také doplňují. Takže to, že má uživatel v úmyslu zadat do adresního řádku rb.cz vůbec neznamená, že to tam také na konci bude. A to má ještě Raiffeisenbank krásnou jednoduchou krátkou doménu.

Takže tvrdit uživateli, že když zadává adresu ručně, nemusí nic kontrolovat, je cesta do pekel. Navíc to povede k tomu, že nebude kontrolovat ani tu adresu z e-mailu – „vždyť jsem na tu adresu přece sám klikl, takže jsem jí vlastně zadal ručně“. Ne, jediný způsob, jak zaručit to, že uživatel je na stránce, na které chce být, je kontrolovat to až po té, co se na tu cílovou stránku dostanu.

Mimochodem, z toho důvodu by se také banky měly snažit, aby jejich web perfektně spolupracoval se správcem hesel (zatím je častý opačný případ, že se to banky snaží blokovat). Protože správce hesel nepřehlédne překlep v doméně nebo to, že je doména nějaká divná a jiná, než minule.

1511

Odkladiště / Re:Jedná se o phishing?

« kdy: 31. 01. 2021, 11:20:36 »

Samotné číslo karty rozhodně NESTAČÍ k tomu, aby si obchodník něco strhl. K tomu je potřeba ještě znát platnost karty a CRC, a to při distanční platbě kdekoliv s kartami MC a Visa, jenž jsou vydané v ČR. A v nejbližší době stejně přejdou banky k tomu, že u obchodníků bez podpory 3D Secure nepůjde kartou platit vůbec.

Víte, jak vznikly platební karty? Bylo to založené na důvěře mezi bankou, klientem a obchodníkem. Klient řekl obchodníkovi „strhněte si peníze z mého účtu“, obchodník věřil bance, že mu ty peníze dá, věřila obchodníkovi, že si částku strhává oprávněně a také klientovi, že částku splatí. Na začátku se to řešilo tak, že měl klient plastovou kartičku, kde bylo číslo uvedené pomocí vystouplých číslic. Aby to obchodník nemusel opisovat – přejel kartu takovou „žehličkou“ a tím se mu číslice obtiskly na papír (jako přes kopírák). Dopsal k tomu částku a na konci týdne ty údaje předal bance. Proto se také rozlišovali různé stříbrné, zlaté a platinové kreditní karty, protože ty říkaly, jak moc vám banka věří – což byla zase informace pro obchodníka, jestli mu tu banka proplatí.

A tenhle princip, že ke stržení peněz stačí znát číslo karty, platí dodnes. Všechno ostatní nad tím jsou jen dobrovolné pojistky, které banka může ale nemusí vyžadovat. V rámci EU do toho vstupují další pravidla platná v EU, ale platební karty se používají celosvětově.

1512

Odkladiště / Re:Jedná se o phishing?

« kdy: 30. 01. 2021, 20:28:14 »

Takže teď budeme uživatele instruovat "klikejte na odkazy z mailu, pak se to nějak vyšeří a určitě si toho všimnete"? No neívm, proč se to až do teď důzarně nedoporučovalo, že by proto že obsač si toho člověk prostě nevšimne i v hodně viditelných případech?...

(s tím bookmarkem ofc souhlas)

Neklikat na odkazy v e-mailu se nedoporučuje ne kvůli bezpečnosti, ale kvůli tomu, že pokud je to spam, může být odkaz unikátní a potvrdí to, že e-mailová adresa je živá. Naopak nikdo příčetný nedoporučuje spoléhat na to, že si něčeho všimnete – právě naopak, důrazné doporučení (skoro bych napsal povinnost) je zkontrolovat adresu v okamžiku, kdy na ten web vlezete. Právě proto bych nedoporučoval adresu banky psát, protože když někdo adresu napíše, nebude ji kontrolovat – vždyť ji přece napsal správně. Jenže ta adresa může být špatně.

Klikat na odkazy v mailu můžete, ale není vůbec rozumné jako další krok zadávat číslo vaší karty nebo přihlašovací údaje.

Jako druhý krok vždy musí být ověření toho webu. Bez ohledu na to, jak jste se na něj dostal. Důvěřovat můžete jedině tomu, když jste se tam dostal přes záložky a máte v nich aktuální adresu (čímž si také bude málokdo jistý). Většina uživatelů holt musí adresu pečlivě přečíst. Já používám Vivaldi, které zobrazuje název z EV certifikátu přímo v adresním řádku, takže raději kontroluju ten.

Naproti tomu, když napíšete adresu ručně, těžko uděláte takovou chybu aby jste byli na stránkách podvodníka.

Naopak, ke všem zajímavým adresám jsou zaregistrované i překlepové domény případně další alternativy – a zdaleka ne všechny vlastní ten, kdo vlastní i tu správnou doménu.

A samotné zadání čísla kreditní karty a její platnosti ze strany zákazníka RB je případným útočníkům na nějaké podvržené stránce houby platné, protože se jim takto nepodaří získat ani haléř.

Pro stržení peněz z karty stačí znát její číslo. Všechno ostatní jsou jen doplňkové údaje. Záleží na dohodě obchodníka s bankou. Tady v ČR nedovolí banka jen na základě čísla karty strhávat peníze kde komu, ale pokud nechcete bance dokazovat, že jste si fakt nezaplatil ubytování v nějakém hotelu v USA, považujte číslo platební karty za tajný údaj.

1513

Odkladiště / Re:Jedná se o phishing?

« kdy: 30. 01. 2021, 14:47:36 »

A užovkám se explicitně vysvětluje, aby za žádnou cenu neklikali na odkazy v mailu, ale na tu webovou stránku vždy chodili "ručně".

Což je pěkný nesmysl. Buď má uživatel odkaz v oblíbených, pak je nejlepší použít ten. Nebo klidně může použít odkaz z e-mailu – protože až bude na stránce (i kdyby ji zadával ručně), musí si zkontrolovat, že adresa je správná. Ruční zadávání adresy vede akorát k nebezpečným překlepům.

1514

Odkladiště / Re:jedna se o phishing?

« kdy: 29. 01. 2021, 14:22:01 »

jedná se o oficiální stránku. Poznám to tak, že mi oznámení o výpisu z kreditní karty chodí každý měsíc a každý měsíc je tam tahle adresa :-)

I bez toho to jde poznat na základě toho, že se jedná o subdoménu pod doménou rb.cz, kterou vlastní a standardně používá Raiffeisenbank. Sám uvádíte jejich oficiální webovou prezentaci. Takže kdyby to byl podvod, musela by se na něm RB podílet.

Další způsob ověření je ten, že si v prohlížeči rozkliknete HTTPS certifikát té stránky https://registrace.rb.cz/ a uvidíte, že je to certifikát vydaný pro Raiffeisenbank a. s. A je vydaný důvěryhodnou certifikační autoritou (jinak by vás prohlížeč varoval už před vstupem na tu stránku).

Já používám prohlížeč Vivaldi, takže to jméno z certifikátu vidím přímo v adresním řádku, protože mají EV certifikát.

1515

Sítě / Re:Dvourádiový Wi-Fi router (extender)

« kdy: 28. 01. 2021, 14:34:05 »

Přesně tak, tohle je snad ta nejjednodušší varianta zabezpečení a od toho routeru to nevyžaduje vůbec nic (kromě NATu). Prostě první, kdo se připojí, vyplní v prohlížeči captive portál, a tím to odemkne všem, kteří jsou přes ten router připojení. Ze strany klienta hotelu/obchodu není potřeba žádná spolupráce – celé si to řeší ten captive portál a to jen na základě toho, od které přidělené IP adresy dostal přes HTTP potvrzení se jménem a heslem. Té IP adrese pak povolí přístup. Že je za tou IP adresou NAT a další zařízení, to nijak nezjišťuje. Byla by to zbytečná komplikace, musel by se monitorovat provoz a vyhodnocovat, zda to neodpovídá více zařízením. A tomu hotelu je to úplně jedno – tomu stačí, když má potvrzené, že za provoz na této IP adrese odpovídá tento hotelový host.