Phishingové útoky na identitu občana (diskuse)

To je žůžo.

Teď se dá už i na odpadním mediálním serveru diskutovat po přihlášení bankovní identitou. Kdo za chvíli rozezná, jestli je to přihlášení legitimní? Ke stáru blbne úplně každý, takže se máme na co těšit.

2.9.2024 22:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Phishingové útoky na identitu občana

Já bych tohle taky potřeboval vysvětlit.

Kdysi se říkalo, že přihlašovat se máš jen po ručním zadání URL / vybrání z bookmarku přímo na stránce instituce. Rozhodně ne po kliknutí na odkaz v mailu nebo někde na webu.

Dneska to vypadá tak, že náhodný web mě přesměruje na "providera SSO" (ať už je to Google u soukromých věcí nebo Datové schránky u státních; bankovní identitu nepoužívám, ale jak zmiňuješ, bude to stejný případ) a tam to po mně chce přihlášení. Navíc v URL bývají různé klikyháky. I já mám občas problém poznat jestli to je fakt OK (největší borci tu stránku s přihlášením dají do iframu/popupu), jak tohle proboha může vyhodnotit ne-expert?

3.9.2024 07:07 hmmmw | skóre: 3 | blog: hmmmw
Rozbalit Rozbalit vše Re: Phishingové útoky na identitu občana

K tomu je třeba ještě doplnit argumenty pro používání bankovní identity. Kdy zněly věty, jako že je to bezpečné, protože banka předá jen ty informace, co cílový subjekt potřebuje, a tak se nemusíme bát to přihlašování používat. Tak se lidi naučili, že své údaje k bankovní identitě nadatlí do libovolného pop-upu.

3.9.2024 07:53 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Phishingové útoky na identitu občana

Vsechny tyhle SSO a delegovani loginu nekam k n-te strane jsou hlavne "pohodlne". Pohodlne pro koncoveho provozovatele (jen iframe), pohodlne pro uzivatele (jeden login vladne vsem), pohodlne pro SSO poskytovatele (sber marketingove analytiky odevsad), pohodlne pro OCTR (jeden dopis provozovateli SSO), pohodlne pro phishery (jedna fake login page pro obecne pouziti)...

A pohodlnost proste u vetsinove populace vyhraje nad vsim ostatnim, bezpecnost jde stranou jako prvni.

3.9.2024 07:59 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Phishingové útoky na identitu občana

Situaci vubec nepomaha ze mala zarizeni URL nezobrazuji projistotu vubec. A pritom vyrazne zobrazit domenu kde je (a kam se posila, pokud se lisi) prvek s type=password by melo byt trivialni.

3.9.2024 09:11 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Phishingové útoky na identitu občana

Niektoré veľké zariadenia tiež nezobrazujú celú URL, a zobrazujú len názov servera. To môže byť ďalší problém pri rhybačkových doménach ktoré nepoužívajú ASCII, ale kľudne tam hodia podobné písmenko z inej znakovej sady (a majú HTTPS od nejakej "certifikačnej autority" ktorá to posvätí.

Ale IFRAME a XSS by som zrušil aj s URL v ktorej sa posiela premenná s heslom (namiesto odoslania cez POST). Takto sprasené weby sú pohodlné akurát pre kóderov UX Frontend ktorí ani nevideli dizajn vlastnej stránky na displeji notebooku (resp, nevedeli by vlastnú stránku na NB prečítať bez lupy, a prepli by si to na vyklieštený dizajn pre mobily ktorý je optimalizovaný na výšku a nie na šírku).

3.9.2024 13:10 X
Rozbalit Rozbalit vše Re: Phishingové útoky na identitu občana

Myslis treba https://portal.stavebnisprava.gov.cz/ ? Kde jsem presmerovan na stranku mimo gov.cz domenu, kde jsem v pripade "International ID Gateway" presmerovan na stranku ktera neodpovida ani nazvem, kde jsem presmerovan, ale dostavam 500..

3.9.2024 13:23 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Phishingové útoky na identitu občana

Takovych absurdit je tam vicero, ale co by jsi za tech par miliard chtel…