Pull to refresh

Comments 33

А почему бы всем браузерам не делать проверку, что если текст между тегами ссылки похож на URL, то проверить, совпадает ли текст с реальной ссылкой, если нет, то не пускать.
Отличная идея для плагина. При наведении на такую ссылку показывать предупреждение.
Много кто проксирует все ссылки через себя. Например vk.com/away.php?to=…
Так пусть проксируют.

Просто, если показываешь в анкоре ссылки один URL (подчеркиваю — в анкоре URL, а не произвольный текст), а ссылаешься на другой, то это часто плохое поведение, которое должно настораживать пользователя.
И плагин, который бы показывал красный хинт с реальной ссылкой при наведени, был бы довольно полезен для борьбы с фишингом.
Проблема ложных срабатываний решается белым списком для Яндекса с Гуглом, для Вконтакта, популярных веб-морд сервисов электропочты и т.д.
Для плагина идея не очень — тот кто его себе поставит и так не попадётся. А вот тот кто попадется может и про плагины не знать. Так что — только в коде самого браузера или движка.
Нужно в стандартную сборку такой плагин включать. Не знаю, как с гуглом, но хотя бы до Яндекса с таким предложением, думаю, можно достучаться
Для браузеров это слишком радикальное изменение в интерфейсе. А плагин хотя бы позволит знающим людям ставить его в браузерах незнающих.
Мне лично хватает фичи с подсветкой адреса ссылки в левом нижнем углу хрома. Какой бы не была ссылка, с анкором или без, взгляд машинально смотрит в угол. Так что, думаю, не всё так плохо со стандартным интерфейсом
Несколько лет назад, у браузеров была статусная строка, в которой замечательно отображалась настоящая цель ссылки. Да, этот текст можно было подменить, но только джаваскриптом, который, как правило, в почте был отключен.
Так она и сейчас никуда не пропала вроде О_о
Все потому что у nic.ru не установлены политики DMARC отвергающие не подписанные DKIM-ом письма. Так что нечего гугл винить.

dig txt _dmarc.nic.ru


Надеюсь теперь они решат эту проблему, потому как утечка учетных данных при таком фишинге — это равная ответственность невнимательного пользователя и технически-безалаберного поставщика услуг.
Я в своё время хотел запретить приём писем, если проверка spf выдавала softfail. Правда, так и не решился, да и руки никак не доходили
Да даже -all в SPF решил бы проблему. Почту правильно настраивают единицы.
Редко кто ставит -all, даже y paypal.com стоит ~all, хотя в dmarc значение p=reject. Видимо проблем с spf при пересылках больше чем с dkim. Кстати dkim побъется при пересылке как spf или возможно переслать письмо сохранив валидность подписи?
Да, spf не работает при пересылках всяких, но и с DMARC есть проблемы. А DKIM, думаю, можно настроить так, чтобы не бился.
Кстати рекомендую всем сервис dmarcian.com по сбору статистики срабатываний dmarc. Удобно графиками показывает проблемы при рассылках, или попытки кого-то отправлять письма от вашего имени. Разумеется, работает только при корректных настройках dmarc.
А в чём именно причина обхода проверок gmail? Что неправильно в приведённых заголовках, и как должно быть?
Абсолютно не в курсе, что и как проверяет gmail ( ну не занимался почтой), но перед тем, как нажать на ссылку я всегда смотрю куда она ведет.
Храните триады URL:login:password в бумажном блокнотике или в таких программах, как KeePassX, и авторизуйтесь _только_ по этим данным, вводя URL вручную или через ПО. Проблема фишинга отпадёт сама собой.
После нормальной, человеческой авторизации из блокнотика или ПО — ничего страшного, можно открыть фишинговую страничку в отдельной вкладке: если это не фишинг, сессия подхватится, если фишинг — будет видно сразу. IMHO. Главное изначально авторизоваться грамотно.
А еще, буквально перед выходными, был выставлен на продажу эксплоит для обхода проверки gmail.
Вчера пришло такое же письмо от якобы Ru-Center, что мой домен *.com передается такому-то 60009/NIC-D просит перейти по ссылке, по которой находится клон nic.ru и подтвердить данное действие. Кто-то сбрутил все комовские домены, так как whois у многих открыт, и тем у кого RuCenter разослали письма. Отписался в РуЦентр.
РуЦентр и пароли открытым текстом хранит. Я чуть со стула не упал, когда напоминалку попросил, а он на почту текущий пароль прислал.
Это Вы еще хостингом не пользовались. Там все пароли в т.ч. SSH и к БД всегда дублируются на email в открытом виде. Хотелось бы выслушать мнение представителей РуЦентра по данной публикации, если таковые тут присутствуют.
тем временем minregion.ru тупо забыли оплатить домен
недавно от якобы таймвеба аналогичное пришло
техподдержка таймвеба прислала кучу емэйлов о создании тикетов по этому вопросу от нескольких манагеров, но ответа по теме мне так и не прислали
Спасибо большое за сигнал, со своей стороны подтверждаем, что фишинговая атака действительно была. С момента получения первых сигналов об инциденте мы ввели дополнительные этапы контроля при операциях с услугами наших клиентов.
Приятно видеть ответственных за свое дело людей, которые реагируют на вызовы и решают проблемы вместо их игнорирования!
Вы бы написали всем, что это фишинг, а то ведь пока на хабре не написали, так никто и не почесался.
Вот только прислали 5 минут назад.

Письмо
Добрый день!

Некоторые наши клиенты столкнулись с фишинговой атакой с использованием писем, замаскированных под служебные уведомления RU-CENTER.

По форме и содержанию такие сообщения схожи с нашими реальными уведомлениями (тема и структура письма, отправитель, оформление, текст и т.п.), но ссылки в них ведут на сайты мошенников, копирующих страницу авторизации RU-CENTER. Таким образом злоумышленники собирают логины и пароли, чтобы получить доступ к управлению вашими услугами.

Электронные адреса для подобных рассылок, как правило, собираются из общедоступной базы данных Whois, поэтому мы рекомендуем в первую очередь защитить ваши данные.

Чтобы не стать жертвой мошенников, вам необходимо:

• после перехода по ссылке из письма проверить адресную строку (там должен быть адрес nic.ru);

• убедиться, что адресная строка «зеленая» (сертификат JSC «RU-CENTER»).

Если у вас есть подозрения в отношении письма — перешлите его по адресу support@nic.ru, это поможет в поиске злоумышленников.

Если вы считаете, что могли стать жертвой атаки, незамедлительно поменяйте пароль. При возникновении сложностей свяжитесь со службой поддержки любым удобным способом.

Будьте бдительны!
Подтверждаю — тоже только что пришло письмо от RuCenter. И суток не прошло…
Only those users with full accounts are able to leave comments. Log in, please.