Sæl öll sömul.
Langt síðan ég hef startað þræði hérna þótt ég hafi meira eða minna lurkað hérna í gegnum árinn (áratuginn!).
Tilefnið: fólk, með vafasaman tilgang, er að notfæra sér tölvur/hugbúnað/miðla til að svindla á öðru, saklausu, fólki og valda því fjárhagslegu tjóni með því að villa á sér heimildir (phising).
Nú erum við saman safn af svona tiltölulega tölvulæsum einstaklingum (ie. nörd) og ég geri eiginlega ráð fyrir að amk. svona flest okkar séu nokkuð fær í að spotta scam og phising. En hvað getum við gert / erum við að gera til að miðla þekkingu/reynslu okkar og hjálpa öðrum við að falla ekki fyrir svona svindli? Höfum við ekki samfélagslega skyldu eða jafnvel ábyrgð til þess að koma í veg fyrir að afar og ömmur, foreldrar, börn, frændar og frænkur, eða bara ókunnugt fólk úti í bæ verði fórnarlömb svindlara? Þótt það væri ekki nema að gera svikahröppunum aðeins erfiðara fyrir með því að vekja athygli á svikunum.
Það er talsvert fjallað um þetta í fjölmiðlum síðustu misserin, bæði lögreglan og Syndis hafa verið að benda á svona mál sem poppa reglulega upp, en það er yfirleitt eftir á. Skaðinn er skeður. Fólk er búið að smella á linkinn, búið að gefa upp korta upplýsingarnar sýnar eða gefa tækifæri á að opna leið fram hjá rafrænu skilríkjunum. Það er búið að tæma heimabankabaukinn. Og fréttaflutninginum fylgir sjaldan eða aldrei nánari útskýring á hvernig fólk var haft af fífli og hvernig það geti passað sig í framtíðinni. Forvarnirnar eru nánast engar.
Svo ég var að spekúlera, gætum við sem hópur tekið okkur til og amk. reynt að vekja athygli á þessu, snemma?
Ég var td. að fá fimmta póstinn (síðan á fimmtudag í síðustu viku) með island.is phisinginu sem er búið að vera að ganga síðustu vikuna og fór að hugsa, akkuru reyndi ég ekki að vekja athygli á þessu strax þegar ég fékk þennan póst? Það er of seint núna, nema til að hjálpa fólki að læra og passa sig betur næst. Svo ég nýtti gífurlegu hæfileika mína í M$ Paint til að setja saman þessa glæsilegu mynd með texta (vona að hún komi innline):
Hugmyndin, mín amk., er að reyna að fyrirbyggja og fræða. Og þá helst á uppbyggilegan hátt en ekki 'haha, hvaða bjáni myndi falla fyrir þessari vitleysu!'. Setja upp svona greiningu á póstum, sms, etc. og benda á hvað það er sem stingur í stúf og gefur til kynna að skilaboðin séu kannski ekki frá þeim sem sagt er að þau séu frá og að tilgangur þeirra sé eitthvað vafasamur. Eitthvað sem fólk gæti hjálpað fólki til að líta næsta phising póst gagnrýnum augum. Og að ef nógu margir (td. allir ~80 FB vinir mínir) sæju þetta strax a fyrsta degi phising-herferðarinnar þá væri hugsanlega hægt að koma í veg fyrir að einhverjir glæpamenn út í heimi hagnist á slæmri tölvulæsi annarra.
Væri hægt, um leið og einhver tekur eftir nýrri svona herferð; að taka screenshot, merkja við það sem bendir til þess að hér sé um phising að ræða, koma því í dreifingu til sem flestra? Myndi einhver nenna að taka þátt í því?
Svo, er þetta bara garg út í tómið, dauðadæmt og tilgangslaust? Eða (svona til að vera ekki bara neikvæður) eitthvað sem gæti náð dreifingu og frætt fólk um hvernig eigi að spotta phising / scam? Eða kannski rangur vettvangur?
Endilega ræðið.
Samfélagsverkefni gegn phising
-
Höfundur - Of mikill frítími
- Póstar: 1702
- Skráði sig: Þri 27. Apr 2004 14:03
- Reputation: 38
- Staða: Tengdur
-
Höfundur - Of mikill frítími
- Póstar: 1702
- Skráði sig: Þri 27. Apr 2004 14:03
- Reputation: 38
- Staða: Tengdur
-
- </Snillingur>
- Póstar: 1034
- Skráði sig: Fim 24. Jún 2004 12:36
- Reputation: 132
- Staða: Ótengdur
Re: Samfélagsverkefni gegn phising
Þú getur alltaf tilkynnt vefveiðar til CERT-IS en þeir hafa tengiliði og úrræði til að taka niður svikasíður.
Það er líka gott að benda fólki á "Report spam" takkann t.d. í Gmail ef þetta sleppur í gegnum síuna hjá þeim þannig að vélmennin fatti að um sé að ræða spam/svikapóst.
Það er líka gott að benda fólki á "Report spam" takkann t.d. í Gmail ef þetta sleppur í gegnum síuna hjá þeim þannig að vélmennin fatti að um sé að ræða spam/svikapóst.
-
Höfundur - Of mikill frítími
- Póstar: 1702
- Skráði sig: Þri 27. Apr 2004 14:03
- Reputation: 38
- Staða: Tengdur
Re: Samfélagsverkefni gegn phising
Jamm, og hvorugt hefur raunveruleg áhrif ef þú spáir í það.
- Það er hægt að blocka svikasíður en hrapparnir setja bara upp / hijacka nýtt lén. Truflar þá ekki neitt, lágmarks kostnaður og effort. Lénin eru hvort eð er einnota.
- Það er hægt að reporta spam en það skiptir littlu málí: spammið er samt deliverað og ótrúlega margir opna það og smella á linkina samt sem áður. Þessir fimm póstar sem ég er búinn að fá bara út úr þessari einu herferð koma td. úr fimm mismunandi netföngum. Truflar scammeranna lítið sem ekkert þar sem það er, aftur, lágmarks kostnaður og effort að nálgast enn eitt netfangið, þau eru hvort eð sem er einnota.
Þessi óværa er eins og áhrifavaldar, eina leiðin til að láta hana hverfa er ef allir hætta að smella á fokkings linkana. Kostar scammera ekkert að senda út 100.000 eða 100.000.000 pósta / sms, þarf ekki nema örfá að falla fyrir þessu hverju sinni til að þeir fari ekki að hugsa upp einhverjar nýjar leiðir til að stela af fólki.
- Það er hægt að blocka svikasíður en hrapparnir setja bara upp / hijacka nýtt lén. Truflar þá ekki neitt, lágmarks kostnaður og effort. Lénin eru hvort eð er einnota.
- Það er hægt að reporta spam en það skiptir littlu málí: spammið er samt deliverað og ótrúlega margir opna það og smella á linkina samt sem áður. Þessir fimm póstar sem ég er búinn að fá bara út úr þessari einu herferð koma td. úr fimm mismunandi netföngum. Truflar scammeranna lítið sem ekkert þar sem það er, aftur, lágmarks kostnaður og effort að nálgast enn eitt netfangið, þau eru hvort eð sem er einnota.
Þessi óværa er eins og áhrifavaldar, eina leiðin til að láta hana hverfa er ef allir hætta að smella á fokkings linkana. Kostar scammera ekkert að senda út 100.000 eða 100.000.000 pósta / sms, þarf ekki nema örfá að falla fyrir þessu hverju sinni til að þeir fari ekki að hugsa upp einhverjar nýjar leiðir til að stela af fólki.
-
- Nýliði
- Póstar: 8
- Skráði sig: Mið 13. Sep 2023 07:38
- Reputation: 2
- Staða: Ótengdur
Re: Samfélagsverkefni gegn phising
Taka tölvupóstinn af gömlu fólki bara.
Útrýmir örugglega 95% af vandanum.
Útrýmir örugglega 95% af vandanum.
-
- Tölvutryllir
- Póstar: 663
- Skráði sig: Fös 10. Jan 2003 09:59
- Reputation: 61
- Staðsetning: 107
- Hafðu samband:
- Staða: Ótengdur
Re: Samfélagsverkefni gegn phising
"Awareness training" er fínt í sjálfu sér. Og hjálpar klárlega til.
En svo gleymist það bara. Þar til næsta awareness training er.
Verra er, það missir of marks þegar fólk fer í alvörunni að spá í þessu og sér að það er oft á tíðum mikið misræmi í þessu í "alvöru" tölvupóstum.
Pósturinn sendir út gjafaleik með "Smelltu hér til að vinna" takka, og notar nokkur mismunandi lén, með og án greinis, í sama tölvupóstinum.
Íslandsbanki sendir út póst þar sem að seinna "s"-ið vantar.
UPS og hin flutningafyrirtækin velja, og skipta um, þjónustuaðila til að sjá um greiðslu og/eða afhendingarmáta án þess að veita neinar upplýsingar um það á síðunni sinni eða yfir höfuð kynna það fyrir fólki.
Sumar innlendar verslanir senda tölvupóst sem er JPG mynd eingöngu, með engum texta í póstinum.
Töluvert margir nota svo 3rd party aðila til að magnsenda tölvupóst og/eða til að senda sjálfvirkt svar úr ýmsum kerfum, þannig að það er oft normið að sjá eitthvaðbullemail via einhverþjónustaseméghefaldrei séð.
Um leið og þú byrjar að kenna fólki að spotta "rauðu flöggin", þá byrjaru að fá spurningar sem byrja á: "en hvað með ..." og þá áttaru þig loksins á því hversu fkd up þetta allt saman er.
Phishing póstar sem líta betur út og eru betur skrifaður en "alvöru" legitimate póstarnir.
Það er svo fullt annað í öllu þessu sem hægt er að vekja athygli á, hvenær fólk ætti að vera búið að spotta "nei hey, þetta er e-ð skrítið".
En málið er, það er heill hellingur sem fjármálastofnanirnar gætu gert meira, og gætu gert betur, og gætu spottað fullt.
En... þær bera takmarkaða ábyrgð, og þar af leiðandi ekkert stress hjá þeim meðan enginn annar "gerir betur".
Ekki bara að það eru fullt af varnöglum sem hægt er að bæta við, þá hefur viðskiptavinurinn ekkert um þetta að segja.
Þú getur ekki sagt "ég vil meira öryggi á mínum reikningum"
Ef að bankastofnanirnar væru gerðar samábyrgar að einhverju leiti, og sé þjófnaðurinn tilkynntur innan X tíma, þá myndum við byrja að sjá allsskonar úrlausnir og möguleika.
Langflestir eru t.a.m. bara með einn síma, og þar af leiðandi APP bara í einu snjalltæki.
Það væri sjálfsagt að default virkni sé þannig að það hringi bjöllum ef app úr öðru síma er bætt við, og að ég fái tilkynningu um það, og geti séð "device" yfirlit í heimabankanum.
Það er fullt af fólki sem á slatta af $$ inn á reikningum, en ferðast nánast aldrei.
Afhverju getur það ekki valið "leyfa bara rafrænar auðkenningar frá innlendum tækjum"
(Já ég veit að það er vel hægt að nýta allsskonar þjónustur til að komast í kringum svona hluti, en það er ekki alltaf verið að gera slíkt, því það er meira "effort".)
Pointið mitt er að awareness training er frábært, og það klárlega hjálpar til, en við verðum að komast á þann stað að þetta sé gripið og stöðvað allsstaðar í keðjunni.
En svo gleymist það bara. Þar til næsta awareness training er.
Verra er, það missir of marks þegar fólk fer í alvörunni að spá í þessu og sér að það er oft á tíðum mikið misræmi í þessu í "alvöru" tölvupóstum.
Pósturinn sendir út gjafaleik með "Smelltu hér til að vinna" takka, og notar nokkur mismunandi lén, með og án greinis, í sama tölvupóstinum.
Íslandsbanki sendir út póst þar sem að seinna "s"-ið vantar.
UPS og hin flutningafyrirtækin velja, og skipta um, þjónustuaðila til að sjá um greiðslu og/eða afhendingarmáta án þess að veita neinar upplýsingar um það á síðunni sinni eða yfir höfuð kynna það fyrir fólki.
Sumar innlendar verslanir senda tölvupóst sem er JPG mynd eingöngu, með engum texta í póstinum.
Töluvert margir nota svo 3rd party aðila til að magnsenda tölvupóst og/eða til að senda sjálfvirkt svar úr ýmsum kerfum, þannig að það er oft normið að sjá eitthvaðbullemail via einhverþjónustaseméghefaldrei séð.
Um leið og þú byrjar að kenna fólki að spotta "rauðu flöggin", þá byrjaru að fá spurningar sem byrja á: "en hvað með ..." og þá áttaru þig loksins á því hversu fkd up þetta allt saman er.
Phishing póstar sem líta betur út og eru betur skrifaður en "alvöru" legitimate póstarnir.
Það er svo fullt annað í öllu þessu sem hægt er að vekja athygli á, hvenær fólk ætti að vera búið að spotta "nei hey, þetta er e-ð skrítið".
En málið er, það er heill hellingur sem fjármálastofnanirnar gætu gert meira, og gætu gert betur, og gætu spottað fullt.
En... þær bera takmarkaða ábyrgð, og þar af leiðandi ekkert stress hjá þeim meðan enginn annar "gerir betur".
Ekki bara að það eru fullt af varnöglum sem hægt er að bæta við, þá hefur viðskiptavinurinn ekkert um þetta að segja.
Þú getur ekki sagt "ég vil meira öryggi á mínum reikningum"
Ef að bankastofnanirnar væru gerðar samábyrgar að einhverju leiti, og sé þjófnaðurinn tilkynntur innan X tíma, þá myndum við byrja að sjá allsskonar úrlausnir og möguleika.
Langflestir eru t.a.m. bara með einn síma, og þar af leiðandi APP bara í einu snjalltæki.
Það væri sjálfsagt að default virkni sé þannig að það hringi bjöllum ef app úr öðru síma er bætt við, og að ég fái tilkynningu um það, og geti séð "device" yfirlit í heimabankanum.
Það er fullt af fólki sem á slatta af $$ inn á reikningum, en ferðast nánast aldrei.
Afhverju getur það ekki valið "leyfa bara rafrænar auðkenningar frá innlendum tækjum"
(Já ég veit að það er vel hægt að nýta allsskonar þjónustur til að komast í kringum svona hluti, en það er ekki alltaf verið að gera slíkt, því það er meira "effort".)
Pointið mitt er að awareness training er frábært, og það klárlega hjálpar til, en við verðum að komast á þann stað að þetta sé gripið og stöðvað allsstaðar í keðjunni.
Mkay.
-
- Tölvutryllir
- Póstar: 663
- Skráði sig: Fös 10. Jan 2003 09:59
- Reputation: 61
- Staðsetning: 107
- Hafðu samband:
- Staða: Ótengdur
Re: Samfélagsverkefni gegn phising
Þetta var t.d. að koma frá CERT-IS.
Enn eitt dæmið um hluti sem maður þarf að huga að...
Enn eitt dæmið um hluti sem maður þarf að huga að...
Mkay.
-
Höfundur - Of mikill frítími
- Póstar: 1702
- Skráði sig: Þri 27. Apr 2004 14:03
- Reputation: 38
- Staða: Tengdur
Re: Samfélagsverkefni gegn phising
Ah, ef svindlarar notuðu alltaf @evil.com emailið sitt
Flott uppsetning hjá þeim arnnars. Vonandi ber þetta fyrir augu sem flestra.
En já þetta er kannski vonlaust verkefni. Var td. núna í vikunni að skrá mig fyrir þjónustu og fékk hefðbundna 'hey við sendum þér póst til staðfestingar en hann endar oft í spam folderinum'. Það er búið að normalizera það svo mikið að póstur í spam foldernum sé ekki spam.
Vá hvað það hefði leyst mörg vandamál í dag ef pgp (eða eitthvað sambærilegt) hefði náð meiri útbreiðslu á sínum tíma.
Og auðvitað liggur hluti vandamálsins hjá td. bönkunum en þeir geta í raun lítið gert í því að 2fa hefur ekki reynst jafn traust og lagt var með í upphafi. Mættu samt vera öflugri í að finna nýrri og betri leiðir.
Flott uppsetning hjá þeim arnnars. Vonandi ber þetta fyrir augu sem flestra.
En já þetta er kannski vonlaust verkefni. Var td. núna í vikunni að skrá mig fyrir þjónustu og fékk hefðbundna 'hey við sendum þér póst til staðfestingar en hann endar oft í spam folderinum'. Það er búið að normalizera það svo mikið að póstur í spam foldernum sé ekki spam.
Vá hvað það hefði leyst mörg vandamál í dag ef pgp (eða eitthvað sambærilegt) hefði náð meiri útbreiðslu á sínum tíma.
Og auðvitað liggur hluti vandamálsins hjá td. bönkunum en þeir geta í raun lítið gert í því að 2fa hefur ekki reynst jafn traust og lagt var með í upphafi. Mættu samt vera öflugri í að finna nýrri og betri leiðir.