@gmail-ed van? Vigyazz ra! ...

Spam, Adathalászat

... mert a spammerek a botnetek felol egyre inkabb a feltort free mail acc-ok fele mozdulnak el. Nehany komment a Commtouch 2011 Q2 riportjahoz.

  • 6720 megtekintés

( gelei v | 2011. 07. 19., k – 13:00 )

A gmailesek ingyen használhatnak egyszer használatos jelszavakat is. (Magyarországon is.)

Letöltöd, leforgatod, telepíted az authenticator-t a saját gépen.
auth required pam_google_authenticator.so
^^^ Ez megy a védendő PAM alapú szolgáltatás elejébe (/etc/pam.d/...).
A felhasználó nevében kell futtatni az authenticator-t. Pár kérdést feltesz és generál egy linket. Ezt böngészőben futtatva kapsz egy Google által visszaadott QR kódot, amit a telefonoddal beolvastatsz és annyi.
(Rég csináltam, de erre emlékszem most fejből.)

( Zaneck | 2011. 07. 19., k – 15:13 )

Nagyon sok ismerősömnek (és rokonomnak) bevallottan 123qwe és ehhez hasonló jelszava van. Egy részük kikapcsolt tűzfallal és UAC-al, továbbá vírusírtó nélkül használják a Windows 7-et, mert zavarják őket a felbukkanó ablakok és értesítések.

Mind úgy vannak vele, hogy senki sem akarná feltörni az email fiókjukat vagy Facebook accountjukat (olyan egyébként is csak a filmekben van), elvégre kinek az érdeklődésére tartana számot a levelezésük.

És a nagy többség ilyen.

A botok, automatikus támadások létében nem hisznek, legutóbb húgom barátja jelentette ki, hogy ő még nem tapasztalt olyat, hogy hátránya származna a fentiekből.

Ja. És általában úgy vannak vele hogy ingyen van, minek kéne valakinek, ha meg igen, regisztrál másikat...
De...
Elkezdi használni. Ráregeli az androidos telefonját, oda jön a jelszómódosító levél a szolgáltatóktól, netbanktól, stb, azaz feltörve a fiókját elég rendesen alá lehet tenni, mégsem veszik komolyan. Magyar oktatóvideók is vannak a youtube-on, de valahogy tévében sosem láttam nyomát sem hasonlónak kivéve ál-szakműsorban, magyarul a tényleges célcsoporthoz sosem jut el.

„-én aztán nem használok vírusirtót/tűzfalat/egyéb védelmet (kívánt aláhúzandó), a windowsom is warez, mégse volt még soha gondom vírussal”
„-nekem ne lassítsa a gépemet mindenféle vírusirtó -különbenis a legtöbb vírust az antivírus cégek írják- ha véletlenül bevirusosodik a gépem, tíz perc alatt újrahúzom, aszt' kész”

...feladat: bármely tetszőleges fórumon vesd fel az internetbiztonság témáját, aztán számolj. Az első tíz hozzászólás között ott lesz a fenti érvelések közül legalább az egyik.
Kérdés, hogy aki ilyesmit leír, az tényleg komolyan gondolja, vagy érdeke fűződik hozzá?

Amikor látsz egy olyan esetet hogy ismerős, kolléga, barát komolyan károsodott anyagilag/erkölcsileg, mert nem figyelt eléggé az IT-biztonságára, akkor ez elég intő jel kell legyen a későbbiekre...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

a kettő között nem látom az összefüggést (se a kaján mosolyt), és csodálkozom is kissé a gyenge példán való görcsös rugódzásodon, mert az openssl-elkúrás és a "nem használok vírusírtót/tűzfalat, még egyszer sem kellett"- népszerű hozzáállás között a globális IT-biztonságra gyakorolt hatásában kb. akkora a távolság mint Makó és Jeruzsálem között..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( joco01 v | 2011. 07. 19., k – 15:44 )

És a millió feltört accról hogy küldenek levelet? Nyilván botnettel, nem? Nem inkább az van, hogy botnet még mindig megy, csak most már nem direktben küldik, hanem feltört accról?

--
joco voltam szevasz

( kleinie | 2011. 07. 19., k – 22:46 )

Törjék fel! Aki ilyen helyen tárol személyes/"intim" információt, az megérdemli, hogy ellopják.
Ahogy a reklámban van: ha a gépedre bejut, a szobádba is bejuthat... :D
LoL

Elvben igazad van. Gyakorlatban ez az emberek nagy része esetében megoldhatatlan.
Nem azért mert nem akarják, hogy biztonságban legyenek az adataik, hanem egyszerűen nem tudják ezt megoldani, nincs lehetőségük rá, nincs meg a szaktudásuk hozzá.
És ez abszolút meg is érthető, hiszem a mai világban a kommunikáció elég nagy részét teszi ki az elektronikus levelezés.
Természetesen a rendes jelszó, esetleg a 2-step verification az átlagember számára is megoldható biztonság.
De nem tud mindenki saját szervert fenntartani magának titkosított vinyóval, SSL eléréssel, összes security patch mindig feltéve, stb.

Persze, de ha az átlag user képes volna megjegyezni és használni 2-3 normális jelszót és nem ilyen "kiskutya" meg "macika" szintű jelszavakat használnának (van, aki netbankhoz is képes ilyet használni), már egy fokkal nagyobb biztonságban lennének, ingyenes levelezőkön is.

Szabadúszóknak egy kis pénz: Freelancer.com!

> ha az átlag user képes volna megjegyezni és használni 2-3 normális jelszót

Ne kend a felhasználókra. Ha az átlag web oldal képes volna 2-3 normális azonosítást/bejelentkezést nyújtani ...

Nekem pld van "szabványos" TOTP token-em, X.509 certificate-em. Hány átlag web oldal támogatja az ezekkel történő azonosítást?

Az erős azonosításnak már elterjedt szolgáltatásnak kéne lennie, ha nem [hmmm, hogy is mondjam hogy ne legyen belőle sértődés] ellenérdekeltek [merugye plusz munka, ami nem kívánatos] raknák össze az oldalakat.