Пожалуйста, каждый имеет право на собственную точку зрения! Я, кстати, и не навязываю свою и не называю другие точки зрения «чушью и бредом»:) Соглашусь с Вами только в одном — это действительно «мера лишней безопасности» :)
>> А если фишеры подделали банкинг-систему, которая тоже хостится в США?
Так я ведь даже курсивом выделил, что в этом случае способ не подходит. Да и вообще, это всего лишь дополнительные признаки, на которые реально стоит обращать внимание.
>>Неискушенный пользователь не будет обращать внимание
А что плохого, если начнет обращать внимание? В 2000-х, когда свирепствовали эпидемии LoveLetter и иже с ними, неискушенные пользователи смело открывали вложения писем «I love you». Сейчас открывают меньше, потому что знают о таких ситуациях. Не все проблемы можно решить техническим путем, обучение тоже штука неплохая
Спасибо за WOT (я с ним знаком) и фишинговые базы. Но все это базы. В этом существенная разница. Например, на момент снятия скриншотов WOT их не детектил, т.к. сайты новые. А определение, что сайт подозрительный по флагу (ShowIP), несмотря на примитивность, позволяет грубо говоря эвристически определить фишинговый сайт. Тезисы — фишинговые базы никто не отменял никто и не оспаривает.
Да, но не факт, что они их уже поменяли:) Им это и не нужно, например, для случая социальной сети. Нужно, чтобы пользователь заходил на сайт, пользовался его сервисами, а злоумышленники могли время от времени слать с его аккаунта спам.
Верно, но запоминать IP-шники никто и не предлагает. Идея в другом. если есть подозрения — запустить в разных вкладках vkontakte.ru, odnoklassniki.ru, mail.ru etc и посмотреть а не одинаковые ли у них IP-шники. Я посмотрел немало зловредов из разряда меняющих файл HOSTS — очень часто для разных служб перенаправляют на один и тот же IP.
Не панацея — это точно! Совсем нет. Но как средство проверки бдительности, имхо сойдет :) А способ сторонней проверки уже описан в плагине SCM к Firefox. Но способ плохой, т.к. создаст дополнительную нагрузку на DNS-сервера. Это сам разработчик плагина отметил.
Самое прикольное, что в нашей полной статье есть головоломка, которая очень близко связана с вашим скриншотом, он мог бы быть отправной точкой для решения :)
Ха-ха-ха. Соглашусь на 100%. Меня буквально на днях спрашивали, неужели есть такие пользователи. Не просто есть, а много :) Впрочем, фарминг — атака скрытная, а поддельные странички настолько точно имитируют настоящие, что без спецсредств увидеть подмену имхо и не получится…
Можно и так. Но выгоднее продавать услугу перенаправления пользователей такого своеобразного «ботнета» на заданные фишинговые сервера. Сегодня оплатили одни — перенаправление на одних, завтра другие — значит на них будет осуществлять перенаправление. Бизнес, так сказать.
Если в сети есть ложный DHCP-сервер, то не имеет никакого значения под какой учетной записью работать. В общем-то, не требуется даже наличие вредоносной программы на этом компьютере. Действующий в сети DNSChanger может подбросить ложные данные о DNS-серверах и все:) Подробнее про это описано в разделе «Регистрация ложного DHCP-сервера» полной версии статьи: av-school.ru/article/a-107.html
Парни, я тоже пока не разбирался, как он работает, но полагаю, что очень просто
Отправлять каждый файл на проверку в облака смысла действительно нет
Можно отправить только его хэш — md5, sha1… Если файл есть в коллекции чистых файлов — все ок, если в коллекции вирусов — значит вирус. Как быть с инфекторами? Можно, например, так: антивирус может определять что некий файл очень похож на зараженный и в этом случае отправлять весь файл на проверку (При установке АВ стоит по умолчанию отправлять подозрительные файлы в облако).
А еще здесь немного материала: www.usatoday.com/tech/news/computersecurity/2009-04-29-panda-security-cloud-antivirus_N.htm
По ссылке _http://www.telexexchange.net/psy/load.php_ (из Оперы) подсовывается зловред, детектируемый Антивирусом Касперского как Backdoor.Win32.Agent.wci. Зловред крадет данные платежных и банковских систем
Мини-описание на сайте AV-School: av-school.ru/desc/a-27.html
Так я ведь даже курсивом выделил, что в этом случае способ не подходит. Да и вообще, это всего лишь дополнительные признаки, на которые реально стоит обращать внимание.
>>Неискушенный пользователь не будет обращать внимание
А что плохого, если начнет обращать внимание? В 2000-х, когда свирепствовали эпидемии LoveLetter и иже с ними, неискушенные пользователи смело открывали вложения писем «I love you». Сейчас открывают меньше, потому что знают о таких ситуациях. Не все проблемы можно решить техническим путем, обучение тоже штука неплохая
av-school.ru/up/article/img/avssb/5m/9.jpg
av-school.ru/article/a-94.html
Отправлять каждый файл на проверку в облака смысла действительно нет
Можно отправить только его хэш — md5, sha1… Если файл есть в коллекции чистых файлов — все ок, если в коллекции вирусов — значит вирус. Как быть с инфекторами? Можно, например, так: антивирус может определять что некий файл очень похож на зараженный и в этом случае отправлять весь файл на проверку (При установке АВ стоит по умолчанию отправлять подозрительные файлы в облако).
А еще здесь немного материала:
www.usatoday.com/tech/news/computersecurity/2009-04-29-panda-security-cloud-antivirus_N.htm
Мини-описание на сайте AV-School:
av-school.ru/desc/a-27.html