Jedná se o phishing?

[xsouku04]

Kdo nedoporučuje klikat na odkazy v emailu? Asi nějaký jouda, co je zmagořený "radami" někde na Novinkách, ne? Je to stejné jako klikat na odkazy na webu nebo třeba v pdf dokumentech. Nebo když emailem dorazí vyúčtování od mobilního operátora a přímo v tom emailu je odkaz na webovou stránku, kde lze to vyúčtování zobrazit. Naprosto běžná věc. Pokud by tomu tak nebylo, pak emailová komunikace ztratí z velké části smysl a může sloužit akorát k zasílání nic neříkajících sdělení

Klikat na odkazy v mailu můžete, ale není vůbec rozumné jako další krok zadávat číslo vaší karty nebo přihlašovací údaje.  Pokud je to např. jen odkaz kde si stáhnete daňový doklad, nebo potvrdíte regisraci, problém v tom není.  Jde o to, že velká část lidí se nevšimne toho, že ona adresa se nepatrně liší od té oficiální.
Naproti tomu, když napíšete adresu ručně, těžko uděláte takovou chybu aby jste byli na stránkách podvodníka. Není to moc pravděpodobné. Ale když podvodník rozešle  statisíce phising mailů, během jednoho odpoledne má tisíce možná desetisíce čísel kreditních karet nebo přihlašovacích údajů. A že mu za týden tu doménu seberou a vyřadí jeho virtuál z provozu mu je už jedno.

[Reklama]

[.]

Je logické, že RB dává do emailu přímo odkaz na danou stránku kreditní karty - registrace, protože pokud by tam byl jenom odkaz na její hlavní web, tak bude spousta lidí nadávat, že musí cosi hledat a k něčemu se proklikat (i když by to bylo třeba podle event. dodaného návodu).
A samotné zadání čísla kreditní karty a její platnosti ze strany zákazníka RB je případným útočníkům na nějaké podvržené stránce houby platné, protože se jim takto nepodaří získat ani haléř. To už je snadnější mít falešný eshop a získávat čísla karet, platnost a CRC pomocí něho...

[Filip Jirsák]

Takže teď budeme uživatele instruovat "klikejte na odkazy z mailu, pak se to nějak vyšeří a určitě si toho všimnete"? No neívm, proč se to až do teď důzarně nedoporučovalo, že by proto že obsač si toho člověk prostě nevšimne i v hodně viditelných případech?...

(s tím bookmarkem ofc souhlas)

Neklikat na odkazy v e-mailu se nedoporučuje ne kvůli bezpečnosti, ale kvůli tomu, že pokud je to spam, může být odkaz unikátní a potvrdí to, že e-mailová adresa je živá. Naopak nikdo příčetný nedoporučuje spoléhat na to, že si něčeho všimnete – právě naopak, důrazné doporučení (skoro bych napsal povinnost) je zkontrolovat adresu v okamžiku, kdy na ten web vlezete. Právě proto bych nedoporučoval adresu banky psát, protože když někdo adresu napíše, nebude ji kontrolovat – vždyť ji přece napsal správně. Jenže ta adresa může být špatně.

Klikat na odkazy v mailu můžete, ale není vůbec rozumné jako další krok zadávat číslo vaší karty nebo přihlašovací údaje.

Jako druhý krok vždy musí být ověření toho webu. Bez ohledu na to, jak jste se na něj dostal. Důvěřovat můžete jedině tomu, když jste se tam dostal přes záložky a máte v nich aktuální adresu (čímž si také bude málokdo jistý). Většina uživatelů holt musí adresu pečlivě přečíst. Já používám Vivaldi, které zobrazuje název z EV certifikátu přímo v adresním řádku, takže raději kontroluju ten.

Naproti tomu, když napíšete adresu ručně, těžko uděláte takovou chybu aby jste byli na stránkách podvodníka.

Naopak, ke všem zajímavým adresám jsou zaregistrované i překlepové domény případně další alternativy – a zdaleka ne všechny vlastní ten, kdo vlastní i tu správnou doménu.

A samotné zadání čísla kreditní karty a její platnosti ze strany zákazníka RB je případným útočníkům na nějaké podvržené stránce houby platné, protože se jim takto nepodaří získat ani haléř.

Pro stržení peněz z karty stačí znát její číslo. Všechno ostatní jsou jen doplňkové údaje. Záleží na dohodě obchodníka s bankou. Tady v ČR nedovolí banka jen na základě čísla karty strhávat peníze kde komu, ale pokud nechcete bance dokazovat, že jste si fakt nezaplatil ubytování v nějakém hotelu v USA, považujte číslo platební karty za tajný údaj.

[.]

Samotné číslo karty rozhodně NESTAČÍ k tomu, aby si obchodník něco strhl. K tomu je potřeba ještě znát platnost karty a CRC, a to při distanční platbě kdekoliv s kartami MC a Visa, jenž jsou vydané v ČR. A v nejbližší době stejně přejdou banky k tomu, že u obchodníků bez podpory 3D Secure nepůjde kartou platit vůbec.

[xsouku04]

Samotné číslo karty rozhodně NESTAČÍ k tomu, aby si obchodník něco strhl. K tomu je potřeba ještě znát platnost karty a CRC, a to při distanční platbě kdekoliv s kartami MC a Visa, jenž jsou vydané v ČR. A v nejbližší době stejně přejdou banky k tomu, že u obchodníků bez podpory 3D Secure nepůjde kartou platit vůbec.

3D secure je nesmysl, protože nejde vynutit ani ze strany majetele karty a bohužel v naprosté většině případů ani ze strany majitele eshopu. Jinými slovy, stačí si na vaši kartu koupit něco mimo EU a 3D secure je k ničemu. Tedy někdo si na váš účet objecná něco z Aliexpresu a máte prostě smůlu.
Z toho plyne že bankovní asociace i banky jsou neskuteční hlupí, naprosto jim schází logické myšlení.
Raději budou lustrovat obchodníky než aby vymysleli neprůstřelné technické řešení. Opakuji, že kliknout na něco co přijde v emailu je mnohem více rizikové než spléci adresu tak, abych se dostal na stránky podvodníka. Tento druh podvodu se prostě moc nedělá.

[Reklama]

[xsouku04]

To je mýtus. Všechny registry zakazují míchání různých abeced, takže není možné jeden latinkový znak zaměnit třeba za znak z azbuky. Tohle neprojde registrací.

No úplně dořešené to není. Viz. např. falešná doména apple.com na kterou je odkaz např. odsud.: https://www.xudongz.com/blog/2017/idn-phishing/   Stačí kliknout na první odkaz proof of koncept a použít firefox nebo starší chrome. vidíte apple.com, ale jste jinde.
Prostě na odkazy v emailu klikat a pak zadávat přihlašovací údaje nebo číslo karty není dobrý nápad. Ono stačí, když je hodně  podobné a polovina lidí o přehlédne, což útočníkovi úplně stačí. A někdy to může být tak dobré, že to ani poznat nejde.

[Petr Krčmář]

To je pravda, před čtyřmi lety jsem o tom psal článek. Jenže to je považováno za jednoznačnou chybu a taky to bylo v Chrome velmi rychle opraveno. Koukám, že ve Firefoxu to opravené není a ta doména psaná celá cyrilicí funguje dál. Podle mého názoru je to chyba a Mozilla to měla taky opravit.

[.]

Samotné číslo karty rozhodně NESTAČÍ k tomu, aby si obchodník něco strhl. K tomu je potřeba ještě znát platnost karty a CRC, a to při distanční platbě kdekoliv s kartami MC a Visa, jenž jsou vydané v ČR. A v nejbližší době stejně přejdou banky k tomu, že u obchodníků bez podpory 3D Secure nepůjde kartou platit vůbec.

3D secure je nesmysl, protože nejde vynutit ani ze strany majetele karty a bohužel v naprosté většině případů ani ze strany majitele eshopu. Jinými slovy, stačí si na vaši kartu koupit něco mimo EU a 3D secure je k ničemu. Tedy někdo si na váš účet objecná něco z Aliexpresu a máte prostě smůlu.
Z toho plyne že bankovní asociace i banky jsou neskuteční hlupí, naprosto jim schází logické myšlení.
Raději budou lustrovat obchodníky než aby vymysleli neprůstřelné technické řešení. Opakuji, že kliknout na něco co přijde v emailu je mnohem více rizikové než spléci adresu tak, abych se dostal na stránky podvodníka. Tento druh podvodu se prostě moc nedělá.

Vynutit 3D Secure je zcela triviální, protože prostě obchodník bez této ochrany si u vydavatele karty ani neškrtne. A jelikož jsou vydavatelé v našich končinách v podstatě jenom 2, MC a Visa, tak to nebude žádný velký problém. Ali se tomu rychle přizpůsobí, stejně jako se tomu přizpůsobil PayPal, eBay, Amazon a další. A netřeba vymýšlet nějaká další a další řešení, když 3D Secure splňuje zabezpečení jak má a úplně stačí, aby to každý obchodník používal.
Kliknout na něco v emailu neznamená, že tím přijdu o peníze. Tato pitomost se sice traduje, že ano, ale ve skutečnosti se samotným kliknutím nestane vůbec nic.

[xsouku04]

Samotné číslo karty rozhodně NESTAČÍ k tomu, aby si obchodník něco strhl. K tomu je potřeba ještě znát platnost karty a CRC, a to při distanční platbě kdekoliv s kartami MC a Visa, jenž jsou vydané v ČR. A v nejbližší době stejně přejdou banky k tomu, že u obchodníků bez podpory 3D Secure nepůjde kartou platit vůbec.

3D secure je nesmysl, protože nejde vynutit ani ze strany majetele karty a bohužel v naprosté většině případů ani ze strany majitele eshopu. Jinými slovy, stačí si na vaši kartu koupit něco mimo EU a 3D secure je k ničemu. Tedy někdo si na váš účet objecná něco z Aliexpresu a máte prostě smůlu.
Z toho plyne že bankovní asociace i banky jsou neskuteční hlupí, naprosto jim schází logické myšlení.
Raději budou lustrovat obchodníky než aby vymysleli neprůstřelné technické řešení. Opakuji, že kliknout na něco co přijde v emailu je mnohem více rizikové než spléci adresu tak, abych se dostal na stránky podvodníka. Tento druh podvodu se prostě moc nedělá.

Vynutit 3D Secure je zcela triviální, protože prostě obchodník bez této ochrany si u vydavatele karty ani neškrtne. A jelikož jsou vydavatelé v našich končinách v podstatě jenom 2, MC a Visa, tak to nebude žádný velký problém. Ali se tomu rychle přizpůsobí, stejně jako se tomu přizpůsobil PayPal, eBay, Amazon a další. A netřeba vymýšlet nějaká další a další řešení, když 3D Secure splňuje zabezpečení jak má a úplně stačí, aby to každý obchodník používal.
Kliknout na něco v emailu neznamená, že tím přijdu o peníze. Tato pitomost se sice traduje, že ano, ale ve skutečnosti se samotným kliknutím nestane vůbec nic.

To je zajímavý kolik se najde vždy hlasitých chytrolínů co vědí všechno. Provozuji VoIP operátora Odorik.cz a tak vím, že získat banku, nebo jinou platební bránu, která dovede zablokovat platby které nedovede ověřit přes 3D secure je hrozný problém. Karty vydavatele karet, kteří nejsou z EU nemají zabezpečení 3D secure povinné. A existuje stále obrovské množství karet jejichž banka 3D secure neumí. A pro obchodníky je to docela problém, když někdo zaplatí takovou cizí kartou. V očích bank a karetní asociace za to totiž může ten obchodník a ne jejich vlastní hloupost, že to nechtějí na žádost obchodníka zablokovat.

A obráceně. Pokud máte platební kartu vydanou v EU, umí sice 3D secure, ale většina obchodníků co nejsou v EU ověřování přes 3D secure nepodporuje. Tedy pokud si někdo opíše číslo vaší karty a kód z druhé strany, může stále platit ve většině eshopů světa. A vy takové internetové platby bez 3D secure nemáte možnost zablokovat, protože banky jsou neskutečně hloupé a arogantní. Mám ověřeno, že technicky to možné je.

A evropská unie místo aby se zaměřila na poslední slabinu - donutila banky možnost vynutit 3D secure, tak vymýšlí způsob jak zkomplikovat 3D secure ještě dalším způsobem -  přidáním zbytečného epinu a podobně.

Na černém trhu není problém koupit čísla cizích platebních karet s nefunkčním 3D secure, ale problém pro podvodníky je jak tyto čísla karet převést ve velkém na hotovost. A to je ten důvod proč se mohou karetní asociace chovat tak nezodpovědně a přitom se tvářit že je vše v pořádku.
Jeden ze způsobů jak převést kradená čísla karet na hotovost je si koupit kredit a pak je provolat na drahé čísla, kde z příchozích hovorů dostanou provizi. Proto musí být telekomunikační operátoři ve střehu a jediné dokonalé řešení je vynutit 3D secure u všech plateb, což je ale u hloupých bank problém.

[Filip Jirsák]

Samotné číslo karty rozhodně NESTAČÍ k tomu, aby si obchodník něco strhl. K tomu je potřeba ještě znát platnost karty a CRC, a to při distanční platbě kdekoliv s kartami MC a Visa, jenž jsou vydané v ČR. A v nejbližší době stejně přejdou banky k tomu, že u obchodníků bez podpory 3D Secure nepůjde kartou platit vůbec.

Víte, jak vznikly platební karty? Bylo to založené na důvěře mezi bankou, klientem a obchodníkem. Klient řekl obchodníkovi „strhněte si peníze z mého účtu“, obchodník věřil bance, že mu ty peníze dá, věřila obchodníkovi, že si částku strhává oprávněně a také klientovi, že částku splatí. Na začátku se to řešilo tak, že měl klient plastovou kartičku, kde bylo číslo uvedené pomocí vystouplých číslic. Aby to obchodník nemusel opisovat – přejel kartu takovou „žehličkou“ a tím se mu číslice obtiskly na papír (jako přes kopírák). Dopsal k tomu částku a na konci týdne ty údaje předal bance. Proto se také rozlišovali různé stříbrné, zlaté a platinové kreditní karty, protože ty říkaly, jak moc vám banka věří – což byla zase informace pro obchodníka, jestli mu tu banka proplatí.

A tenhle princip, že ke stržení peněz stačí znát číslo karty, platí dodnes. Všechno ostatní nad tím jsou jen dobrovolné pojistky, které banka může ale nemusí vyžadovat. V rámci EU do toho vstupují další pravidla platná v EU, ale platební karty se používají celosvětově.

[Filip Jirsák]

Opakuji, že kliknout na něco co přijde v emailu je mnohem více rizikové než spléci adresu tak, abych se dostal na stránky podvodníka. Tento druh podvodu se prostě moc nedělá.

Ano, víme, že jste někde něco takového zaslechl – ale nevíte, proč by něco takového mělo být rizikové. Nemusíte to opakovat. Spíš byste měl věnovat pozornost tomu, když někdo používá argumenty.

Klikat na adresu v e-mailu není o nic rizikovější, než klikat na adresu na webové stránce nebo v PDF, načíst ji přes QR kód nebo ji napsat ručně. Ve všech případech totiž stejně nakonec musíte ověřit, že jste na té stránce, na které chcete být.

Vaše představa, že zadání adresy uživatelem je bezpečné, vychází z mylné představy, že uživatel napíše adresu bezchybně a hlavně že adresu píše do vstupního políčka, které nemá žádné jiné funkce a jenom akceptuje adresu zcela zadanou uživatelem. Jenže tohle dávno není pravda. Adresní řádek je dost složitá komponenta, našeptávají se tam adresy, přičemž se různě míchají adresy z oblíbených a dříve navštívené adresy. Může se do toho zapojit i vyhledávač. A adresy v adresním řádku se také doplňují. Takže to, že má uživatel v úmyslu zadat do adresního řádku rb.cz vůbec neznamená, že to tam také na konci bude. A to má ještě Raiffeisenbank krásnou jednoduchou krátkou doménu.

Takže tvrdit uživateli, že když zadává adresu ručně, nemusí nic kontrolovat, je cesta do pekel. Navíc to povede k tomu, že nebude kontrolovat ani tu adresu z e-mailu – „vždyť jsem na tu adresu přece sám klikl, takže jsem jí vlastně zadal ručně“. Ne, jediný způsob, jak zaručit to, že uživatel je na stránce, na které chce být, je kontrolovat to až po té, co se na tu cílovou stránku dostanu.

Mimochodem, z toho důvodu by se také banky měly snažit, aby jejich web perfektně spolupracoval se správcem hesel (zatím je častý opačný případ, že se to banky snaží blokovat). Protože správce hesel nepřehlédne překlep v doméně nebo to, že je doména nějaká divná a jiná, než minule.

[.]

A tenhle princip, že ke stržení peněz stačí znát číslo karty, platí dodnes. Všechno ostatní nad tím jsou jen dobrovolné pojistky, které banka může ale nemusí vyžadovat. V rámci EU do toho vstupují další pravidla platná v EU, ale platební karty se používají celosvětově.

Ne, NESTAČÍ, protože platba se bez dalších údajů, tj. platnost a CRC, neověří. A je irelevantní tady vypisovat co je jinde na světě, protože se bavíme o platbách kartami vydanými v ČR a zde už v nejbližší době bude nutné i 3D Secure, tj. soustavně omílaný argument o tom, jak se kdesi na Ali dá platit jenom údaji z karty samotné, padne. Natož tvrzení, že stačí jenom číslo karty - skutečně bych rád viděl obchod, kde lze takto zaplatit

[xsouku04]

Opakuji, že kliknout na něco co přijde v emailu je mnohem více rizikové než spléci adresu tak, abych se dostal na stránky podvodníka. Tento druh podvodu se prostě moc nedělá.

Ano, víme, že jste někde něco takového zaslechl – ale nevíte, proč by něco takového mělo být rizikové. Nemusíte to opakovat. Spíš byste měl věnovat pozornost tomu, když někdo používá argumenty.

Klikat na adresu v e-mailu není o nic rizikovější, než klikat na adresu na webové stránce nebo v PDF, načíst ji přes QR kód nebo ji napsat ručně. Ve všech případech totiž stejně nakonec musíte ověřit, že jste na té stránce, na které chcete být.

Vaše představa, že zadání adresy uživatelem je bezpečné, vychází z mylné představy, že uživatel napíše adresu bezchybně a hlavně že adresu píše do vstupního políčka, které nemá žádné jiné funkce a jenom akceptuje adresu zcela zadanou uživatelem. Jenže tohle dávno není pravda. Adresní řádek je dost složitá komponenta, našeptávají se tam adresy, přičemž se různě míchají adresy z oblíbených a dříve navštívené adresy. Může se do toho zapojit i vyhledávač. A adresy v adresním řádku se také doplňují. Takže to, že má uživatel v úmyslu zadat do adresního řádku rb.cz vůbec neznamená, že to tam také na konci bude. A to má ještě Raiffeisenbank krásnou jednoduchou krátkou doménu.

Takže tvrdit uživateli, že když zadává adresu ručně, nemusí nic kontrolovat, je cesta do pekel. Navíc to povede k tomu, že nebude kontrolovat ani tu adresu z e-mailu – „vždyť jsem na tu adresu přece sám klikl, takže jsem jí vlastně zadal ručně“. Ne, jediný způsob, jak zaručit to, že uživatel je na stránce, na které chce být, je kontrolovat to až po té, co se na tu cílovou stránku dostanu.

Mimochodem, z toho důvodu by se také banky měly snažit, aby jejich web perfektně spolupracoval se správcem hesel (zatím je častý opačný případ, že se to banky snaží blokovat). Protože správce hesel nepřehlédne překlep v doméně nebo to, že je doména nějaká divná a jiná, než minule.

Já netvrdím, že nemáte kontrolovat, jestli jste správně napsali adresu. Já jen tvrdím, že mnohem větší pozor je třeba si dávat na odkazy v pochybných emailech, které je bohužel někdy schopna psát sama banka. V případě, že vás žádá k přihlášení se nebo zadání platební karty, je jistější odkaz nepoužít.  Že si nevšimnete drobného rozdílu na stránce otevřené z odkazu je totiž mnohem pravděpodobnější než, že tu chybu sami uděláte, zrovna se trefíte do varianty, kterou skoupil podvodník a ještě si ji nevšimnete. Pravděpodobně také nebudete psát celou doménu, ale jen začátek a poté si vyberete z nabízených možností - v tomto případě zanesení nové chyby je nulová. Pokud totiž uděláte překlep, prohlížeč přestane nabízet varianty již navštívených stránek a vy to poznáte a opravíte se.

Defaultní správce hesel v Google chrome se chová nebezpečně. Protože veškerá uložená hesla ukáže každému, kdo si na chvilku sedne k vašemu počítači. Pokud se do vašeho počítače dostane trojský kůň nebo vir, okamžitě může poslat všechny uložená hesla bez toho, aby čekal až je zadáte. Proto ukládání hesel nemají banky rády. Výhoda, že na podvodné stránce budete muset heslo zadat znovu a ručně je nic moc.

[Filip Jirsák]

Ne, NESTAČÍ, protože platba se bez dalších údajů, tj. platnost a CRC, neověří. A je irelevantní tady vypisovat co je jinde na světě, protože se bavíme o platbách kartami vydanými v ČR a zde už v nejbližší době bude nutné i 3D Secure, tj. soustavně omílaný argument o tom, jak se kdesi na Ali dá platit jenom údaji z karty samotné, padne. Natož tvrzení, že stačí jenom číslo karty - skutečně bych rád viděl obchod, kde lze takto zaplatit

Vaše představa, že kartami vydanými v ČR lze platit pouze v ČR v internetových obchodech, je pozoruhodná, nicméně neodpovídá realitě. Kartami lze platit i mimo internet a dokonce i mimo ČR.

[xsouku04]

A tenhle princip, že ke stržení peněz stačí znát číslo karty, platí dodnes. Všechno ostatní nad tím jsou jen dobrovolné pojistky, které banka může ale nemusí vyžadovat. V rámci EU do toho vstupují další pravidla platná v EU, ale platební karty se používají celosvětově.

Ne, NESTAČÍ, protože platba se bez dalších údajů, tj. platnost a CRC, neověří. A je irelevantní tady vypisovat co je jinde na světě, protože se bavíme o platbách kartami vydanými v ČR a zde už v nejbližší době bude nutné i 3D Secure, tj. soustavně omílaný argument o tom, jak se kdesi na Ali dá platit jenom údaji z karty samotné, padne. Natož tvrzení, že stačí jenom číslo karty - skutečně bych rád viděl obchod, kde lze takto zaplatit

Ale všechny ty kódy se na podvodných stránkách zadávají také . Takže to není důležité. 3D secure vás neochrání, protože až vám někdo ukradne číslo vaší karty, datum expirace a ten kód na druhé straně, nebude platit v EU  ale jinde na světě, kde 3D eshopy a jiné internetové služby 3D secure nepoužívají. Tedy 3D secure je ve skutečnosti škodlivá technologie, protože dává pocit bezpečí, ale chrání jen okrajově.

A z druhé strany, pokud  jsem obchodník, tak pokud neomezím země z které může karta pocházet, nebo nemám volbu vynucení 3D secure (což nebývá jednoduché, protože banky jsou neskutečně hloupé) u některých plateb se 3D secure nepoužije a právě ty budou ty podvodné. Že je 99% plateb 3D secure použito mne nezachrání.