Koniec większości oszustw „na Dotpaya”? Złodzieje igrali i się doigrali
Trzeba było aż epidemii koronawirusa, by władze oraz niektórzy operatorzy telekomunikacyjni dojrzeli w końcu do blokowania domen prowadzących do stron phishingowych i ułatwiających kradzieże pieniędzy użytkowników.
Po wielu dniach intensywnych prac opublikowano dzisiaj „POROZUMIENIE o współpracy w zakresie ochrony użytkowników internetu przed stronami wyłudzającymi dane, w tym dane osobowe oraz doprowadzających użytkowników internetu do niekorzystnego rozporządzenia ich środkami finansowymi w okresie stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej”. Ten przydługi tytuł oznacza w praktyce duże problemy dla złodziei opisywanych często na łamach naszego serwisu.
O co chodzi
Na stronie UKE przed chwilą pojawił się komunikat mówiący o przystąpieniu Urzędu do ww. porozumienia, co jest de facto oficjalnym ogłoszeniem istnienia tej szczytnej inicjatywy. Samą treść porozumienia znajdziecie pod tym linkiem, a poniżej spróbujemy omówić jego najważniejsze punkty praktyczne oraz znaczenie dla bezpieczeństwa polskich internautów.
Jak według tekstu porozumienia będzie wyglądał proces blokowania stron złodziei i ratowania ich potencjalnych ofiar?
- Złodziej rejestruje nową domenę udającą stronę Dotpaya, PayU lub inną, służącą kradzieży czy phishingowi (samych domen paneli płatności powstaje ponad 100 miesięcznie, a czasem i 15 dziennie).
- Domena jest identyfikowana przez operatorów lub NASK.
- Domena jest weryfikowana przez NASK i po potwierdzeniu, że czyni zło, trafia na publicznie dostępną listę złych domen.
- Operatorzy dodają domenę do tego samego mechanizmu, który dzisiaj służy blokowaniu stron hazardowych.
- Klient, który kliknie w linka, trafia na stronę informującą go o próbie oszustwa.
- Świat jest piękniejszy.
Trochę pytań i odpowiedzi
Q: Którzy operatorzy dołączyli?
A: Porozumienie na razie podpisały Orange, T-Mobile, Polkomtel i P4, ale można mieć nadzieję, że inni operatorzy też dołączą do tej dobrej praktyki, z korzyścią dla całego rynku.
Q: Czy ktoś to próbował robić wcześniej?
A: Orange, jako jedyny operator przed tym porozumieniem, blokował złośliwe domeny w analogiczny sposób (usługa Cybertarcza). Inni operatorzy, zapytani kiedyś przez nas, czemu też tego nie robią, odpisywali „nie da się” lub „prawo nie pozwala”. Najwyraźniej jednak da się i prawo pozwala. Temat zasługuje na osobny artykuł, który kiedyś pewnie też się pojawi.
Q: Czy to już na stałe?
A: Na razie na okres epidemii, stanu nadzwyczajnego i zagrożenia epidemią. Mamy nadzieję, że potem także na stałe.
Q: Cenzura! Faszyści! Ja nie chcę!
A: Strony zgłoszone do rejestru będzie weryfikował zespół ekspertów, do którego mamy pełne zaufanie. Rejestr będzie publicznie dostępny. Każdy będzie mógł sprawdzić, jaka strona jest blokowana. A jak ktoś chce oglądać strony złodziei, to wystarczy zmienić serwer DNS na zagraniczny.
Q: A jak złodzieje przejdą na strony stawiane bez domeny, na IP?
A: Nie przejdą, już to robią. Łatwiej będzie jednak klientowi zorientować się, że coś w pasku adresu się nie zgadza. Jest to więc duża przeszkoda dla złodziei.
Q: A jeśli będą zmieniać domeny co godzinę?
A: Tu już wszystko w rękach operatorów i tego, jak szybko będą blokować zgłoszone witryny. My obiecujemy, że będziemy sprawdzać, który operator blokuje najwolniej i pisać listy pochwalne tym, którzy robią to szybko. I polecać ich klientom.
Odpowiedzi na wszystkie inne pytania znajdziecie też na stronie zespołu CERT Polska – polecamy wizytę i lekturę.
Podsumowanie
Od trzech lat czekaliśmy na rozwiązanie, które naprawdę utrudni pracę złodziejom atakującym Polaków. Niestety władze nie uznawały tego problemu za istotny. Chcieliśmy więc serdecznie podziękować osobom, które stały za licznymi ostatnimi atakami „na koronawirusa”, bo to dopiero ten poziom bezczelności w końcu sprawił, że ktoś się problemem zaczął zajmować na odpowiednim poziomie. Dzięki!
Podobne wpisy
- Przejmowanie telefonów kodem QR i rozbierane zdjęcia w zaszyfrowanym archiwum
- Uwaga na fałszywe bramki BLIK używane przez polskich złodziei
- Podstawy Bezpieczeństwa: Bezpieczne zakupy online – jak rozpoznać fałszywą bramkę płatności
- Chiński przekręt, czyli czy rozmawiałem z chińską AI?
- Podstawy Bezpieczeństwa: Jak fake newsy z Ukrainy służą przestępcom
Czemu uważasz, ze to koniec? Po prostu będą skuteczniej ściągane.
Staną się nieopłacalne.
Może to troche kontrowersyjne, ale oby nie… Wtedy może się zacząć ransom
nieopłacalne? jak ukradnie się 300 złotych dziennie to już jest opłacalne
Opłacalność jest subiektywna i zależy od alternatywnych źródeł zarobku. Bohaterowie naszych historii ani po 300 ani po 3000 się nie pochylają.
@Adam,
Jakiś czas temu trochę pisałeś o tych złych. Opisz więcej. Za mało pojawia się ostatnio u Ciebie lekkich nie technicznych tematów…
„Strony zgłoszone do rejestru będzie weryfikował zespół ekspertów” Obstawiam, ze eksperci beda mieli czas reakcji na poziomie kilku dni, wiec sredni czas kampanii bedzie trwa wlasnie tyle. Po kilku dniach od zgloszenia ekspert stwierdzi, ze na stronie nic nie ma wiec sie nie kwalifikuje.
To źle obstawiasz. Pracują na żywo, czas weryfikacji od zgłoszenia / zidentyfikowania do potwierdzenia poniżej 5 minut.
To się im zrobi coś a’la DDOS i zaleje zgłoszeniami, i co wtedy? :)
I wtedy dostaniesz bana a oni będą pracować dalej.
Niebylbymtakimoptymista. Ale doceniam pomysl.
Adamie, te osoby to na serio są złodzieje?
Nie, to pewnie po prostu zagubieni w swojej etyce naukowcy prowadzący szeroko zakrojone badania nad percepcją linków phishingowych…
pytanie, czy to nie jest przypadkiem tak, jak w każdej firmie sprzedawany jest 1st line SOC jako „eksperci”
ale bądźmy optymistami :D
Cel słuszny, ale niestety… potwierdzają się obawy zgłaszane wtedy, kiedy wprowadzano „cenzurę hazardową”, że mechanizm ten będzie stopniowo rozszerzany i używany do innych celów… To jest pierwszy krok w tę stronę – należy się obawiać, jakie będą dalsze???
Straszne rzeczy, złodziei będą blokować. Obawy się potwierdziły!!!111
Szybko zapominasz takie numery, jak poblokowanie stron wielu narzędzi open source przez ówczesną TP w imię walki z przestępcami. I nie, to nie była pomyłka — trochę zajęło przekonanie ich, żeby jednak odpuścili i że IRC nie powstał jako soft do C&C. O wielokrotnym blokowaniu serwerów przez różne pakiety anywirusowe czy organizacyjne DNS/friewalle nie wspomnę. Ja sam musiałem podpisywać na uczelni dodatkowe papiery, żeby móc niektóre artykuły na Wikipedii widzieć…
Wątpię, by to zostało wykorzystane w sposób szkodliwy, ale ignorowanie problemu też nie jest dobre. Intencje mogą ci się podobać, ale oprócz rozumowania w jedną stronę, jak usunąć skutek → rozwiązanie, przejdź także w drugą: rozwiązanie → potencjalne skutki. Zbyt łatwo to pominąć.
Dokładnie tak jest pod płaszczykiem bezpieczeństwa wprowadza się CENZURĘ ! Ktoś ma inne poglądy i już ich nie będzie publicznie w sieci mógł publikować ! Tak jest ! Eliminacja gotówki ! Dokładnie to samo. Cela, bez krat !
Nigdzie nie pisałem o cenzurze i nie odnosiłem się do działań państwa — Adam zresztą też. Zatem żadnych „dokładnie tak” promujących teorie spiskowe pod moją wypowiedzią.
Oczywiscie, ze sie potwierdzily. Kazda cenzura dziala „w obronie” obywateli. Kto zaplaci za bledy ekspertow?
Niech autorzy blokowanych stron zgłoszą się osobiście pod odszkodowanie.
Powinni wspierać się wszelkimi dostępnymi threat-feed’ami jak np. https://www.misp.software/feeds/
Wspierają się od dawna, sporo z nich zasilają. Biorąc pod uwagę lokalny charakter i czas reakcji najważniejsze jednak są zgłoszenia użytkowników.
Jezeli cala cenzura bedzie polegala na tej samej metodzie co blokowanie domen hazardowych to nie bedzie to w 100% skuteczne. Jezeli ofiara bedzie korzystala z DNS operatora, wszystko bedzie przebiegalo bez problemu. Problem pojawia sie, gdy ofiara korzysta z chociazby Google rlub Cloudflare, wtedy cenzura nie zadziala. Plus tego jest taki, ze z pewnoscia zadziala to na starsze osoby, ktore nie dlubia w ustawieniach polaczenia. Z tego co wiem to wlasnie na tego typu strony w wiekszosci przypadkow nabieraja sie osoby starsze, po 40 nie znajace technologii. Mimo wszystko uwazam, ze dobre posuniecie, lecz nie tak skuteczne, aby to sie zakonczylo. Wystarczy spojrzec na domene chociazby unibet-xx.com, gdzie po trafieniu na liste(obserwuje unibeta od dawna, rekord to 23 dni bez cenzury) wystarczy zmienic ostatnia cyfre o jedna wieksza. Biorac pod uwage czas, ktory zajmuje urzednikom na dodanie nowych domen hazardowych do listy, to uwazam, ze to moze zadzialac tylko na poczatku. Pozniej bedzie sytuacja jak z unibetem, ale moge sie mylic. Zobaczymy.
Główny problem tych oszustw to komórki, a tam kto zmienia DNSa? Na pewno nie ofiary oszustów. Plus pamietajmy że w przeciwieństwie do hazardu tu użytkownik nie ma interesu w ominięciu tego mechanizmu.
Właśnie, jeśli wiesz jak zmienić DNSa, to potrafisz wykryć próbę wyłudzenia danych.
Pierwsze co robie to zmieniam DNS na Cloudflare (Android >9) kazdemu kto mnie prosi o pomoc w konfiguracji telefonu. To samo w routerach. Jak to ma byc blokowanie po DNS to szoda, ze sobie zmarnowali czas na te spotkania robocze. Dlaczego nie DNS+black holing?
I później okradasz swoich znajomych?
To sie teraz kazda kampania bedzie zaczynala od zmiany DNS… a to juz bylo.
Ale że jak niby? Dostajesz SMSa, jak ma ci zmienić DNS?
a dns over https? już niedługo będzie wszędzie, wliczając OS-y, częściowo już jest w przeglądarkach
do tego oszustwo niby „na komórki”, ale teraz to się ciągle #siedziwdomu, gdzie jest wifi, w pracy wifi, w autobusie nie ma wifi, ale autobusów się teraz unika. trzeba naprawdę się „wstrzelić” aktualnie w dobry czas, żeby ktoś łączył się przez sieć komórkową
no ale dobra, warto mimo wszystko zawalczyć o te powiedzmy 5-15% użytkowników w idealnych warunkach, gdzie to ma sens zadziałać :)
Skończ 40 lat dziecko i sam sobie nie ogarniaj, dobre sobie.
„Osoby starsze, po 40” ???
Jestem osobą „starszą po 40” – pracuję w szeroko rozumianym IT od ponad 20 lat i wcale nie uważam że młodsi są mądrzejsi… Przyzwyczajeni do tego, że wszytko jest szybko i prosto klikają gdzie popadnie, nie czytają komunikatów i potem jest klops. Pozdrawiam.
No toś z tymi starszymi po 40 pojechał…
Kolejny klocek w układance, już teraz NASK blokuje domeny w ciągu 1 dnia. Bedzie jeszcze szybciej, zaraz po pojawieniu się domeny w DNS.
Tak, cenzura, bo władzy bardzo nie na rękę jest wolność dostępu do informacji jaką daje Internet. Społeczeństwo otwarte na wiedzę, dobrze poinformowane szybciej przeciwstawi się władzy, dlatego podąża ona w kierunku modelu chińskiego.
Właśnie. Uważam, że władza może tylko ostrzegać i edukować.
Jak się kilkanaście tysięcy ludzi natnie i ich okradną na duże sumy, to może do niektórych dotrze że Internet to nie zabawka do klikania. A i banki może zrozumieją, że nie daje się małpie (nieznającemu Internetu klientowi) brzytwy (bankowości internetowej) do ręki.
Zarówno w wypadku stron hazardowych jak i w wypadku stron wyłudzających dane do płatności, interwencja państwa polegająca na cenzurze połączeń jest błędna i krótkowzroczna.
Jeżeli ktoś nie umie sprawdzić, czy jest na właściwej stronie, to znaczy że dla dobra własnego i innych nie powinien korzystać z internetowej bankowości, i bank przy zakładaniu konta powinien mu to uświadomić, a nie dla własnej wygody i cięcia kosztów usilnie nakłaniać do obsługi rachunku przez Internet. Albo zaproponować (nawet płatny) porządny kurs bezpiecznego korzystania z Internetu, przygotowany przez bankowych specjalistów.
A państwo zamiast zwiększać cenzurę, powinno dawać drakońskie kary za szastanie naszymi danymi osobowymi przez banki, za zmuszanie do (także behawioralnej) biometrii, za nieprzyjmowanie gotówki przez sklepy itd.
Nie promujmy wygody kosztem wolności!
Cenzura bez wyroku sadu to zly pomysl. To godzi w zasade neutralnosci sieci.
Najlepszym rozwiazaniem byloby to co robi wyszukiwarka Google po klikenieciu na podejrzany link. Przekierowuje na strone z ostrzezeniem ze strona moze byc potencjalnie niebezpieczna. Uzytkownik decydyje czy chce zaryzywkowac czy nie.
Zreszta przestepcom wystarcza 2 godziny aby naciagnac ofiare. To im tylko utrudni zycie, ale nie zniecheci.
Dobrym rozwiazaniem aby uniknac kradziezy wszystkich pieniedzy z konta
jest posiadanie 2 kont bankowych (najlepiej w roznych bankach). Pierwsze bedzie zabezpieczone haslami papierowymi/plastikowymi a nie smsami, i na nim trzymamy wyplate. Drugie konto bedzie sluzylo do bardziej ryzykownych zakupowo w sieci.
Czyli na pierwsze konto wchodzimy zadko a haslajednorazowe trzymamy w zamrazarce, a na drugie czesto i doladowujemy sobie drugie konto co miesiac na drobne wydatki (hasla sa smsowe). Na pierwszym koncie mamy karte tylko do uzywania bankomatu, a na drugim karte tylko do platnosci w wirtualu.
W przyszlosci, w erze ipv6, prawdoopodobnie DNSy nie beda juz tak wazne, a ich role przejma wyszukiwarki internetowe. Dlatego wyszukiwarka staje sie tak wazna brama do internetu.
Sieć przestała być neutralna, kiedy operator X zaczął dawać nielimitowany internet na usługę Y.
Po czym ta sama władza każe Ci używać kart płatniczych, bo bezpieczniej. Od gotówki dostaniesz wirusa. I nagle się okazuje że musisz mieć konto w banku.
Czy ten rejestr będzie publicznie dostępny w razie, gdybym chciał go regularnie pobierać i używać do filtrowania lokalnie?
http://hole.cert.pl/
No a co z samymi złodziejami? Dlaczego nic z nimi nie zrobią? Da się anonimowo zarejestrować fake-domenę PL?
Można też zarejestrować anonimowo adres mailowy! I nic z tym nie zrobią?!!!
Adresy mailowe, adresy xmpp – tylko na dowód, potwierdzane przez panią na poczcie!
Kiedyś wszedłem w korespondencję ze złodziejem, który nie przewidział, że znajdę jego maila. Proponował mi kasę za współpracę – myślał, że jestem właścicielem bramki SMS i blokuje jego wysyłki.
Poszedłem z tym na policję – olali mnie. Powiedzieli, że przecież nic mi JESZCZE nie ukradli.
To co zrobili było niewłaściwe.
Ale tak działa ta firma, w oparciu o ustawy, rozporządzenia, zarządzenia KGP, itp. Nie mogą zrobić nic ponad to co pisze w przepisach.
Dlatego jest jak jest.
Jest źle, bo prawo jest złe.
Przede wszystkim dlatego jest źle.
Boleję nad tym, bo sam się zderzyłem milion razy z głupotą w tej firmie.
W innych służbach, np. w woju głupoty jest jeszcze więcej.
pewnie potem się śmiali co za typ przyszedł
Blokowanie stron bez ustawy lub wyroku sądu jest nielegalne ale czego nie czyni wola polityczna… No i nikt się nie będzie skarżył. Byle się takie metody nie rozpleniły bo właśnie uczyniono precedens.
Podaj przepis który zabrania prywatnym operatorom blokowania stron
Tyle że przeglądarki teraz korzystają już domyślnie z DNS over HTTP i omijają lokalne dns-y.
W USA Firefox tak robi, w UE Firefox tak nie robi.
Jeszcze, a zaraz bedzie to zapewne robilo Chrome, Chromium, Edgium, Operium.
Widze 2 możliwe obejścia – po pierwsze zlodzieje nie beda od razu wykorzystywac wykupionych domen, tylko stawiac na nich jakies niewinne stronki. Te przejda weryfikacje i dopiero potem zostana wykorzystane niespodziewanie.
Po drugie beda wykorzystywac poddomeny. I tu ciekawe czy NASK zablokuje cala domene, czy sama poddomene. A moze beda swiete krowy ktorym bedzie sie blokowalo tylko poddomeny (np. *.home.pl) i zwykli smiertelnicy, ktorym zablokuja cala domene. Wspolczuje malym firmom hostingowym.
Czy nie lepiej 2 serwery DNS – domyślnie bezpieczny albo opt-out przez infolinię na nieblokowany
No i niby wszystko w imię szczytnych celów, a jednak mam wrażenie, że to kolejne obchodzenie problemu nie tam, gdzie trzeba. I przy okazji stwarzanie niebezpiecznych precedensów.
Bzdura, takie ingerowanie powinno być wyłącznie opt-in. Jeśli sobie ktoś chce mieć ograniczany internet to niech to wporst powie, a nie że domyślnie wszystkim.
Co za bzdura kiedy przestaniecie promować to unikalne wskali świata rozwiązanie pod tytułem cyber tarcza. Zapewne jako wybitnej klasy eksperci wiecie że to blackholing zwykły. Jedyne co w nim unikatowe to zapewne koszty jakie w niego włożono. Co za patologia, towarzystwo adoracji wzajemnej
Co za debilny komentarz, naprawdę wyróżnia się w tłumie. Podaj geniuszu skuteczniejsze rozwiązanie problemu, które można dzisiaj wdrożyć skutecznie.
Darwinizm.
A jak to się ma do filtrowania domen od Google? Mało kto wyłącza w przeglądarce tą funkcję – czy nie jest to wystarczające?
Nie działa wystarczająco szybko na nowe adresy
Dla potomności
https://www.certyficate.it/blokowanie-domen-z-listy-holecert-na-mikrotik/
Dodaje i dodawać będę, że takie filtry istnieją już od dawna i są tworzone przez Polaków i polską społeczność. To są filtry KAD do uBlocka, AdGuarda itd. Obecnie nawet na GitHubie jest pomysł, by zaimplementować te listę z CERT. Niestety, Niebezpiecznik i wiele portali nie dopuszcza takich komentarzy… dlaczego? To idealne zastosowanie do ustawienia dla osób mało rozgarniętych, nieobeznanych z technologia i socjotechniką. Możecie o tym wspomnieć. ;-)
Wycinają moje lajtowe banery z sidebara z precyzją lasera i zaangażowaniem neofity więc uczucia mam chłodne ;)
I rozwiązanie przez blokowanie lokalne jest słuszne. Chcę blokować – instaluję sobie rozszerzenie blokujące. Nie chcę – to muszę uważać. Nie uważam – to sam jestem sobie winien.
Cenzura łącza internetowego to zło.
dla mnie, to wyścig kopania najgłębszego dołka
ze się dopiero ogarnęli i zaczynali brać na poważnie to co było problemem przyczyniło się ze jest teraz fala takich oszustw a pracownia ma pełne ręce roboty, osuszci nie zaprzestaną na tym i będą ciągle to bardziej zakrojone pomysły aż w końcu trza będzie zabrać się za ustawianie prawa, zwiększenia kar i finansowania, ale po to to dopiero za jakieś 20 lat, gdy wielu już będzie profesjonalniej okradać ludzi
Adamie, bo Ci żyłka pęknie przy pisaniu komentarzy.
Ja mam kilka pytań:
1. Kto decyduje, jakie strony są phishingowe (personalnie)
2. Kto ponosi odpowiedzialność za błędy decyzyjne tych osób? Czy CERT ponosi odpowiedzialnośc, czy każdy z operatorów osobno? A może wszyscy razem?
3. Jakie są obiektywne kryteria uznania, że strona internetowa jest phishingowa? Czy formularz kontaktowy może być uznany za próbę wyłudzanie danych użytkownika? Jeżeli twierdzisz, że nie to chciałbym poznać na jakiej podstawie.
hole.cert.pl – pusta strona, bez certyfikatu, z tytułem „Uwaga! Zagrożenie!”
Stawiam dolary przeciw orzechom, że za góra 2 tygodnie to porozumienie będzie g.wno warte.
Gdzie można te dolary odebrać? Mam orzechy. Dużo.
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Witam witam i o zdrowie pytam :)
—–BEGIN PGP SIGNATURE—–
iLMEAQEKAB0WIQR2R4+v5Pw6dgzdTIAJVMjC0woIlgUCXnyn8gAKCRAJVMjC0woI
ln6KA/0fF6BgJCHP2MqD4Rs5BZO9RfNuBqPJ2jm124VbVVWcuSx9Wbk5FT5EvDPy
1m4P6fjHgIcMlnGqslt1NcZzHZkBJfXV3ueMK+fp4Tigxsfb0WDp/1tmT8++cdAI
Yl538qIWQ1XdnLCbeSqomxDYgFC2cYS9Q2I6XfwGF2QWdwFwAQ==
=oHNi
—–END PGP SIGNATURE—–
Szanuje Pana Panie Adamie za wiedzę, bystrość umysły, przenikliwość oraz zdolności oratorskie, ale z uwagi na Pana zażyłości z Panem Aleksem z Cert Polska wpis traktuje jak kiełbase marketingową na rzecz ww. instytucji. Naturalnie pomysł jest bardzo dobry. Życie złodziejom (xD xD xD) trzeba utrudniać jak się da. Każda inicjatywa jest dobra, bo nawet jeżeli tarcza uchroni jednego żuczka który nie odda pieniążków to gra jest warta świeczki. Rozumiem, że wpis kieruje Pan do mniej technicznych osobników jednak twierdzenie, że nowa cyber tarcza jest powodem końca oszustw typu DotPay to gruba przesada. Sam tytuł wpisu cechuje jarmarczny przekąs który według mojej oceny nie ma wiele wspólnego z rzeczywistością. Uważam, że udział tego przedsięwzięcia w ograniczeniu procederu będzie marginalny. Trudności w prowadzeniu skutecznej kampani na bramce są teraz zupełnie inne. Blokowanie po DNS’ach domen nie jest największą z nich. Na zwycięstwo złoży się ogół działań. Artykuł sugeruje trochę co innego i napisany jest w kontekście:
„Cert Polska ruszyła na odsiecz, siedzą ludzie i blokują domeny, od teraz koniec z bramką”. Nie czepiam się inicjatywy, bo działać trzeba na wielu płaszczyznach. Nie podoba mi się jedynie kontekst tego wpisu.
Bardzo interesuje mnie jak wygląda skala oszustw „na bramkę” w liczbach. Pan pracuje w branży „cyber security” i ma zupełnie inny przegląd sytuacji niż ja natomiast ja osobiście nie znam absolutnie nikogo kto by utracił w ten sposób pieniądze. Czasem w telewizji powiedzą, że ktoś utracił dużą kwotę, ale to jak uda się złoczyńce zatrzymać i odtrąbić sukces chłopców z cyber. Nie mogę oprzeć się wrażeniu, że z waszej strony (bezpieczników) jest to sianie paranoi w celu poprawy koniunkutury i poczytności Waszych portali za sprawą chwytliwych nagłówków a ze strony instytucji stwarzanie pozorów walki gdyż banki wywierają duży pressing, bo na oszustwie cierpią wizerunkowo. Często nadużywa Pan słowa haker w kontekście zwykłych oszustów lub phisherów co również wpływa bardzo negatywnie na odbiór prawdziwych hackerów (nie mówię o sobie, ja dopiero będę hakerem ale może pozytywnie wpływać na różne aspekty związane z wyświetleniami Pana bloga.
Jak bardzo się myle? Ilu ludzie dziennie traci w ten sposób pieniądze? Jest jakaś statystyka?
„Trudności w prowadzeniu skutecznej kampani na bramce są teraz zupełnie inne.”
jakie?
> ze strony instytucji stwarzanie pozorów walki gdyż banki wywierają duży pressing, bo na oszustwie cierpią wizerunkowo
O, to, to!
Ja pierdziu… „starsze po 40”, czyli akurat ci, którzy stawiali w PL pierwsze strony WWW. ROTFL.
Kiedys uzytkownicy modemow, sieci LAN i SDI, edukowali sie jak dziala siec i jak zoptymalizowac transfer. Takich internautow bylo wtedy bardzo malo.
Pozniej przyszla era Dzieci Neostrady i juz nikt nie potrzebowal sie doksztalcac. Teraz seniorzy i Dzieci Neostrady sa potencjalnymi ofiarami we mgle, ktorym dano do rak smartfony, przymus posiadania konta internetowego w banku, karty platniczej i stabloidyzowane media promujace religie pod nazwa cyfryzacja, ktore ich nie edukuja, tylko indoktrynuja.
Nic dodać, nic ująć.
SDI które dawało stałe IP…
To były fajne czasy! Cholera, ale ten czas zapierdziela!
Pamiętam tamten polski Internet. Lubiłem czytać „Webhosting” (ktoś go pamięta?), nawet „Wykop” nie był wtedy tak głupio-chamiaty jakim jest dziś. Czasy Auroxa, PLD i Slackware’a którym katował mnie na podyplomówce z sieci mój wykładowca z Linuxa, którego do dziś miło wspominam. Robię się sentymentalny, nie wiem czy to dobrze, czy źle :)
Zarówno PLD jak i Slackware istnieją i mają się bardzo dobrze ;-)
Przyjdzie domyślny DNS-over-HTTPS i banda imbecyli w rządzie podrzędnego kraju nie będzie już dyktowała które strony mają się ładować, a które nie.
Proponuję zobaczyć, jak wyglądają domeny w rejestrze hazardowym, a konkretnie to, że niektórzy dostawcy potrafią zarejestrować kilka tysięcy z nich, różniących się tylko numerem na końcu, tylko po to, aby to ominąć. Czy dla „przedsiębiorstw internetowych” dysponujących nierzadko podobnym kapitałem algorytmiczne wygenerowanie i zarejestrowanie kilkuset nazw będzie barierą nie do przeskoczenia? Nie wydaje mi się.
Może w tych czasach do złodziei wróci to, co robią innym
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
To znowu ja ;)
—–BEGIN PGP SIGNATURE—–
iLMEAQEKAB0WIQR2R4+v5Pw6dgzdTIAJVMjC0woIlgUCXn3/8gAKCRAJVMjC0woI
lkraA/48GLoDGBK0OF/+GKwP/M6QJvXcPyZG4puiKFrarZbWkjzW3uhUCzGrMRal
lPTBClkUq/DzKiEDNFzEPb6J4VyY280yAIbCf5EeIxLuYsbVbBZoe6mJO6IHjEYV
uvfejPyW04IN8LSDD5XpbB3OYRCVIYhQtKuIgSXQPmohN8kkbg==
=JrKC
—–END PGP SIGNATURE—–
”
„Trudności w prowadzeniu skutecznej kampani na bramce są teraz zupełnie inne.”
jakie?
”
Olx się wziął za robotę. Chłopcy z cyber równiez nie próżnują o czym w gazetach nie piszą. Do tego kampanie edukacyjne i robota portali typu ZS3. Cert Polska pewnie też cegiełko dołożyło, ale o działaniach tej instytucji wiem najmniej oraz nie rozmawiałem nigdy z nikim z Cert Polska więc ciężko mi powiedzieć coś więcej na temat ich ruchów czy efektywności. Ludzie po prostu kumają już ten numer. Gdzie nie zajrzysz- czy na stronę banku czy inpostu wszędzie na czerwono ostrzeżenia przed atakami. Ludzie podatni zawsze będą, ale jest ich coraz mniej. Nie uratujecie wszystkich. Jesteśmy społeczeństwem informacyjnym 21 wieku więc za ignorancje się płaci. Nie można winić ludzi, że dali się oszukać, bo winny jest zawsze złodziej, ale jest taki przedmiot w szkole „informatyka” która powinna być traktowana w naszych czasach na równi z matematyką, ojczystym językim czy angielskim. Znajomość podstawowych (zaznaczam- PODSTAWOWYCH) zagadnień związanych z siecią i tym co się w niej dzieje powinno być obowiązkiem kulturalnego człowieka. Jak masz samochód to nie musisz być Kubicą ani mechanikiem geniuszem, ale wypada wiedzieć, że olej trzeba zmienić. To samo się tyczy komputerów w czasach kiedy każdy nosi komputer w kieszeni. Jeżeli ktoś wsiadwszy do auta nie dowiedział się, że trzeba raz na rok pojechać do mechanika zrobić serwis i silnik mu się zatarł to jest mi go jakby trochę mniej szkoda. Sam niedawno skończyłem szkołe i pamiętam co mówił pan z policji który przyszedł opowiadać młodzieży o zagrożeniach w sieci oraz jak się przed nimi bronić- cyrk xD xD xD Wstyd i beret. Winny jest system edukacji a teraz na siłę ludzi próbuje się uratować przed nimi samymi. Fajne, chwytliwe, ale chyba nie tędy droga. Moim zdaniem nauczanie informatyki jest tutaj kluczowe i od tego należałoby zacząć rewolucje w tej materii, bo dzisiaj informatyka to taki przedmiot na doklejkę gdzie sobie można z kolegami pograć na lanie, przepisać coś w wordzie i zrobić jakiś projekt w scratchu. Nie wiem jaka jest średnia wieku czytelników ZS3 ale przypomnijcie sobie co wy robiliście na informatyce, co wam przekazał nauczyciel oraz czego wymagał. Miał ktoś u was w klasie pałe z informatyki? Zapewne nie… a ilu nie potrafiło zrobić podstawowego arkusza w Excelu? Pewnie 3/4 a jest to wymagane podstawą nauczania.
„Olx się wziął za robotę.”
co może zrobić olx jeśli przestępca nie wysyła domeny w wiadomości olx tylko smsem na numer kupującego?
Tak, tak, podpisujcie wiadomości PGP i dostarczajcie służbom jeszcze większych dowodów na siebie.
Czy naprawdę carding stał się na tyle nieopłacalny, że zamiast kupić kilka kart, ogolić anonimowe banki w USA, które i tak prawie natychmiastowo po wykryciu fraudu dadzą chargeback właścicielowi karty, a następnie wyprać kasę wymieniając bitcoiny za kupione karty podarunkowe opłaca się bardziej użerać się z polskimi bramkami SMS, wszechobecną aktywacją przez SMS, wpłatami które zostawiają ślady, rejestracją kart SIM, śledzeniem IMEI, a przede wszystkim popełnianiem przestępstw w państwie w którym się mieszka?
No ale ktoś musi zasilać nagłówki gazet przy każdym kolejnym „spektakularnym” zatrzymaniu kogoś kto nie przestrzegał podstawowych zasad BHP przy tego typu operacjach.
Pomijam nawet konieczność narażenia się w real life dla zbudowania struktury która miałaby siedzieć, logować się na konta, robić przelewy i mielić tą całą kasę. Tych ludzi trzeba pozyskać, zapłacić im, ci ludzie mogą cię wsypać. Czy to naprawdę jest na tyle opłacalne?
> kupić kilka kart, ogolić anonimowe
> banki w USA, które i tak prawie
> natychmiastowo po wykryciu fraudu dadzą
> chargeback właścicielowi karty
Z pozoru to kuszące. Ale służby USA ścigają carderów okradających ich obywateli po całym świecie z wielką determinacją, i wielu – również rosyjskich czy innych poradzieckich – przestępców, mimo wieloletniego doświadczenia, wpadło.
Pamiętaj, że niewiele jest krajów które odmówią wydania podejrzanego władzom USA. A w razie nieistnienia umowy o ekstradycji, to służby USA potrafią porywać człowieka, tak jak ostatniego jednego Rosjanina porwały z Malediwów, zresztą bez sprzeciwu ze strony malediwskich władz.
To mi przypomina jak kiedyś wymieniałem gotówkę na paysafecarda, paysafecarda do Skrilla i stamtąd płaciłem za pomocą karty internetowej z UK, żeby nikt mnie nie okradł i/lub nie namierzył. Nieopłacalne. Ciekawe czy już mnie obserwują ;) Fakt faktem nikt nie włamał mi się na konto.
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Fajnie pogadac na poziomie :)
—–BEGIN PGP SIGNATURE—–
iLMEAQEKAB0WIQR2R4+v5Pw6dgzdTIAJVMjC0woIlgUCXn8dngAKCRAJVMjC0woI
lvg9BACLDMkzw/sL/Gva+Q/cp1ujqoTAQ73dgRQvWdHyvvrVytrG6O3SCFEc/+JX
wigVwwi4Ftkjqm63AB6DeC7Nh8jhQYA6vggWsU9GDqzkH0VwWts3R74S1DysVLZm
GFVN4d6hTFY7dNz15K21aDQjpHmAl5DcQlS9PfdSN4Y8duU+mg==
=7R59
—–END PGP SIGNATURE—–
>co może zrobić olx jeśli przestępca nie wysyła domeny w wiadomości olx tylko smsem na numer kupującego?
Blokowac konta i oferty które wydają się podejrzane. OLX działa. Wy też powininniście podejrzane oferty zgłaszać formularzem. Jeżeli logujesz się na swoje konto z telefonu od 3 lat to jeżeli wpadnie ono w moje ręce i zaloguje z radzieckiego IP i Linuxowym user-agentem i wystawię iPhona X za 1.200 zł to można z dużym prawdopodobieństwem stwierdzić, że to nie ty tylko ja ;) OLX to wie i cyberki też to wiedzą. Im lepiej przyzwyczaisz strony z których korzystasz do swoich nawyków tym łatwiej wykryć anomalie. Gmail działa w tym temacie bardzo fajnie, bo cebulkowi profilerzy mając passy do gmaili nie są w stanie nic zrobić i w tym kierunku bym szedł. Nie ma też przeszkody, żeby gmailowi nieco ukrócić zapędy oraz wytresować go do logowania z egzotycznych adresów czy z Tora. Gmail jest spoko.
>Tak, tak, podpisujcie wiadomości PGP i dostarczajcie służbom jeszcze większych dowodów na siebie.
Koledze gorzej? Na co dowodów? Jak mają mnie zatrzymać to i tak to zrobią. Podpisanie wiadomości w dyskusji nic nie zmieni.
>przede wszystkim popełnianiem przestępstw w państwie w którym się mieszka?
Też jestem zdania, że cywilów się nie powinno nękać. Rosja ma zdecydowanie ciekawszy model biznesowy.
>Tych ludzi trzeba pozyskać, zapłacić im, ci ludzie mogą cię wsypać. Czy to naprawdę jest na tyle opłacalne?
Tak- jest opłacalne, ale moim zdaniem nie tak powszechne jak sugerują bezpiecznicy. To nie jest tak jak na Cebulce, że są oferty, bramki, rejestrujesz się i możesz podnająć bramkę za % i od jutra zacząć okradać ludzi. Ci którzy nie wpadają nie opuszczają warstwy IP a tam poruszają się za zachowaniem wszystkich zasad higieny. Słupy, odbieraki czy bankierzy to mięso armatnie które prędzej czy później zawsze wpada a po wpadce należy je wymienić na nowe. Bezlitosna branża, ale i przestępcy są baranami, bo jeżeli werbujesz słupa za 300,500 czy nawet 1500 zł a na jego rachunek wpłyną ciężkie tysiące to naiwnym jest sądzić, że nie udzieli policji wyczerpujących informacji. Udzieli, bo został wykorzystany za co będzie musiał ponieść odpowiedzialność karną.
Chodzi mi po prostu o to, że chwalenie się takimi akcjami publicznie ze szczegółami które mogą być znane tylko komuś, kto się tym zajmuje, nie jest zbyt mądre.
Oczywiście, jeżeli ktoś nie opuszcza netu w swoich zabawach, to jest bardzo trudno wpaść, ale nie da się na dużą skalę samemu poprowadzić akcji bez wychodzenia poza Tora (choćby głupie wyciągnięcie gotówki z bankomatu BTC może utworzyć ślad do ciebie, jeżeli nie zachowasz ostrożności).
Z własnego doświadczenia, prowadząc jednocześnie kilka legalnych wysokomarżowych biznesów, rentowność takiej akcji jest wręcz dobijająco słaba w porównaniu z czymś co można osiągnąć legalnie. Dla kogoś, kto utrzymuje się z zasiłku dla bezrobotnych albo mieszka z matką i nie ma nic innego do roboty, to może być fajna sprawa (oczywiście do momentu wpadki), ale dla mnie cokolwiek nielegalnego z rentownością mniejszą niż 100% (zero kosztów) odpada.
Firefox, domyślnie ma ustawione, DNS over HTTPS , więc lokalni dostawcy mogą sobie blokować.
Nie rób dezinformacji. Nie ma domyślnego DoH nigdzie poza USA.
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Hmmm… dziwne rzeczy Pan mowi.
—–BEGIN PGP SIGNATURE—–
iLMEAQEKAB0WIQR2R4+v5Pw6dgzdTIAJVMjC0woIlgUCXn+W+wAKCRAJVMjC0woI
lvecA/9pt8nHOF9js9OGtweZyBzHgEBfzzUFGs8DXAyMf51oCHCrWpvGZFnTVAmn
Ng42Dbhwg5698ID1pn4gymzyXmtxQAcT2S0XWwQiByLqZoVFAlpze2Z1+8EESqw1
YUlzar89JbFh8FHd6gIPlLBy6fWLRZBoL1PxkAzY1irOTZ18xg==
=C8Rj
—–END PGP SIGNATURE—–
„Chodzi mi po prostu o to, że chwalenie się takimi akcjami publicznie ze szczegółami które mogą być znane tylko komuś, kto się tym zajmuje, nie jest zbyt mądre.”
Bez przesady. Niczym się nie chwale. Po prostu chciałem się wypowiedzieć z prespektywy osoby która poznała środowisko.
To jak by daje mi przewage w dyskusji z dykskutantami typu:
„Ja mam kilka pytań:
1. Kto decyduje, jakie strony są phishingowe (personalnie)
2. Kto ponosi odpowiedzialność za błędy decyzyjne tych osób? Czy CERT ponosi odpowiedzialnośc, czy każdy z operatorów osobno? A może wszyscy razem?
3. Jakie są obiektywne kryteria uznania, że strona internetowa jest phishingowa? Czy formularz kontaktowy może być uznany za próbę wyłudzanie danych użytkownika? Jeżeli twierdzisz, że nie to chciałbym poznać na jakiej podstawie.”
AD. do pytania numer 3.
Jak dostaniesz sms’a prośbą dopłaty złotówki a potem zostaniesz przekierowany na in-post.live/platnosci, podpisane dwa dni temu darmowym certyfikatem wystawionym na Johnnego Rambo to myślę, że wszystkie „obiektywne” przesłanki zostaną spełnione xD Zgodzisz się ze mną? Nie róbcie z zablokowania kilku domen zabójstwa Kennediego xD
Niestety zgadzam się z mpan i oceną Twoj nick.
Niech będzie tymczasowo na czas epidemii. Niech ta epidemia szybko się skończy bo pod jej osłoną zacznie się wysyp podobnych pomysłów.
Nie wiem jak można w ten sposób stracić kasę. Obawiam się kradzieży przy obsłudze konta z komputera, albo luzackiego podejścia do duplikatów kart SIM i weryfikacji SMS przesyłają jawnie kwotę a tylko fragmencik numeru (w kwocie można przesunąć przecinek…).
W firmie blokowali strony potrzebne w pracy. W końcu IT wydusił, że jakąś listę zassali i przede wszystkim wg niej. Mogę zgłosić to odblokują. Nie odblokowali żadnej bo „się nie da”. Przy okazji wyszło, że blokowali np. LOTTO, przyczyna: „gambling”…
A swoją drogą Dotpay rąbnął mi kiedyś kilkanaście PLN (20-prowizja za przyjęcie) przy okazji ich przerejestrowania się. Twierdzili, że wysłali maile (nie dostałem). Gdy zabrakło argumentów to „przedawniło się” co było nieprawdą bo nie był to układ firma-firma. W końcu odesłali do firmy z siedzibą w UK bym się boksował.
I cenzura się rozkręca…