Paweł Goleń, blog - Formularz komentarzy "Skuteczny antyphishing - tylko edukacja"

andrzejjajko: Skuteczny antyphishing - tylko edukacja

nospam@example.com (andrzejjajko) — Thu, 09 Sep 2010 15:41:36 +0200

Ja tu widze ale jesli chcemy takich sytuacji uniknac zalecam używać dodatku: WOT jesli mamy przegladarki: Firefox, Google Chrome czy firefox a nawet safari i jesli stronka bedzie juz miała zła opinie to odrazu dodatek ja nam zablokuje albo postawi pytajnik to bedzie znaczylo ze strona jest nieznana a wiadomo kazdy bank ma oznaczona strone na zielono w dodatku: WOT

wampir: Skuteczny antyphishing - tylko edukacja

nospam@example.com (wampir) — Fri, 28 Mar 2008 15:23:21 +0100

Ja się odniosę do fragmentu "Przy ich rozpatrywaniu bank weźmie pod uwagę szczególne okoliczności, w jakich doszło do przekazania danych". Tymi szczególnymi okolicznościami jest głupota pokrzywdzonych i nie należy im się, moim zdaniem, żadne specjalne traktowanie. Jest wina (głupota), jest kara (straty, koszty). Ja wiem, że dla banku to jest kwestia wizerunku, ale trzeba jasno powiedzieć, że atak był skierowany nie na bank, tylko na jego klientów. Nie można mówić, że bank poniósł porażkę, jego zabezpieczenia nie zostały złamane, a za inteligencję swoich klientów bank nie odpowiada. Bank tutaj dochował staranności, więc nie rozumiem, dlaczego klienci mają być traktowani inaczej, niż ci, którzy udostępniają swój kod PIN z kartą bankową/kredytową, bądź tracą kluczyki i dowód rejestracyjny samochodu (i samochód wraz z nimi). Co do wyliczeń ROI to zwróć uwagę, że wysyłali maile na ślepo, dostała ich spora grupa ludzi, ale tylko podzbiór tych ludzi był klientem BZ WBK. Tutaj przypomina mi się kwestia phishingu na PKO BP, gdzie prawdopodobnie atak był lepiej przygotowany (targetowany). Mail dostali na przykład moi rodzice (klienci banku), którzy swojego adresu nie udostępniają nigdzie, a nie dostałem ja, choć mój adres jest powszechnie znany i inne phishingi i spamy otrzymuję. Podobnież jakiś czas wcześniej był już atak na BZ WBK, przy czym język maila był podobny do cytowanego już przeze mnie potworka z tłumacza automatycznego, co też mogło podnieść poziom czujności i zmniejszyć skuteczność ataku. Poza tym sama treść maila była mało przekonująca, nie było "kija i marchewki", nie było żadnego "zachęcacza" do aktywowania tego konta...

dzerik: Skuteczny antyphishing - tylko edukacja

nospam@example.com (dzerik) — Fri, 28 Mar 2008 11:14:35 +0100

Z jednej ze stron: Pomimo wysłania przez oszustów kilkudziesięciu tysięcy maili, dotychczas zaledwie 58 osób wpisało na fałszywych stronach dane swoich kart. W przypadku zaledwie 21 z nich oszustom udało się uzyskać dostęp do środków. Łączne straty nie przekraczają jednak 12 tysięcy złotych. W pozostały przypadkach karty zablokowano jeszcze przed próbą kradzieży. Wszyscy pokrzywdzeni mogą złożyć w tej sprawie reklamacje w BZWBK. Przy ich rozpatrywaniu bank weźmie pod uwagę szczególne okoliczności, w jakich doszło do przekazania danych. Właściciele zablokowanych kart otrzymają bezpłatnie nowe karty. A teraz ja: Z tego co wiem to nie przyznają się do większej porażki :) Poza tym ilość maili nie była zbyt wielka i nie objęła dużej ilości adresów e-mail - pewnie nie przeliczyli sobie ROI. Piszą że maili było naście tysięcy - ciekawe skąd to wiedzą. No ale przyjmując ich fakt za pewnik podzieliłem 58 wpadek na 19000 (naście) - co dało mi 2 promile !!! dużo mniej niż 1% Średnio przyjmując - z 1 wysłanego maila (nawet chybinego) "phishingowego" uzyskali 68 groszy. Więc idę dalej z dedukcją - ile kosztuje nas przygotowanie strony (nic bo robimy ją sami) i wykupienie np. 100 tys. maili (50$) - ile uzyskamy z tego - ok. 60 tys. PLN (przy 2 prom. skuteczności) !!!! Od nas zależy tylko jak policzymy ROI i ile maili wykupimy - potem kasa robi się sama. I to się nazywa wyedukowanie polskich internautów :)

wampir: Skuteczny antyphishing - tylko edukacja

nospam@example.com (wampir) — Fri, 28 Mar 2008 07:25:44 +0100

I jeszcze jedno - wcale nie jestem przekonany, że allego ma bardziej wyedukowanych użytkowników. A mogą być jeszcze bardziej beztroscy, bo atakach na klientów banku się mówi i z każdego, nawet najgłupszego, robi sensację, a w przypadku serwisów akcyjnych sensację robi się raczej z naciągaczy.

wampir: Skuteczny antyphishing - tylko edukacja

nospam@example.com (wampir) — Fri, 28 Mar 2008 07:24:08 +0100

Jest drobna różnica między osobami dającymi się nabrać na phishing, które są same sobie winne, a tymi, które przestrzegają "zasad higieny", ale są okradane w wyniku błędów w systemach. Że o problemach dla banku związanych z niezachowaniem należytej staranności w ochronie klientów.

dzerik: Skuteczny antyphishing - tylko edukacja

nospam@example.com (dzerik) — Thu, 27 Mar 2008 09:10:17 +0100

No widzisz sam, że nawet dość dobra edukacja prowadzona przez banki nie daje żadnego rezultatu. Więc po co te wymyślne zabezpieczenia ? I tak to nic nie da. Ciekawe jak wyglądałoby to tworząc takiego maila phishingowego dla np. użytkowników Allegro - których mam nieco bardzie za wyedukowanych. Ile osób się na to złapie ?