Z serwisem wszystko w normie, ale proszę uważac na próby przejęcia konta.
Dziś otrzymałem e-mail o następującej treści:

"Allegro: Konto Zawieszone
Szanowny kliencie podany adres e-mail właściciela konta ,

Twój Allegro Konto zostało tymczasowo zablokowane!


Możemy wykryć nieautoryzowane próby logowania do Apple ID z innych adresów IP. Prosimy o ponownym potwierdzeniu dzisiaj tożsamość lub Twoje konto zostanie zablokowane ze względu na obawy mamy za bezpieczeństwo i integralność terytorium Wspólnoty Allegro.


Aby ponownie potwierdzić Allegro Konto zalecamy, aby udać się do:
Potwierdzić swoją tożsamość




Copyright © 2012 Allegro
All rights reserved / Keep Informed / Privacy Policy / My Allegro Konto"

E-mail z adresu
Allegro <[email protected]>

Wiec tym razem słabo się przygotowali, ale jeśli ktoś nie trzyma ciśnienia i kliknie w baner "Potwierdzić swoją tożsamość" - wiadomo..

no jestem ostrożny i raczej bym nie kliknął, ale jako że informatyk ze mnie kiepski, to z czystej ciekawości dopytam co można sobie nabroić samym kliknięciem w baner??

Samym klikaniem pewenie nic ;) Prawdopodobnie otworzy się jakaś lipna stronka z prośbą o zalogowanie i potwierdzenie hasła :)
Też nie jestem informatykiem, ale pewnie pod Windowsem można w ten sposób złapać jakiegoś robaka, czy inne świństwo.

dzięki

Samym klikaniem pewenie nic ;) Prawdopodobnie otworzy się jakaś lipna stronka z prośbą o zalogowanie i potwierdzenie hasła :)
Też nie jestem informatykiem, ale pewnie pod Windowsem można w ten sposób złapać jakiegoś robaka, czy inne świństwo.

To pierwsze, czasy tego drugiego (samoczynnie instalujących się niespodzianek) dawno już minęły, nawet IE ma odpowiednie zabezpieczenia.

To pierwsze, czasy tego drugiego (samoczynnie instalujących się niespodzianek) dawno już minęły, nawet IE ma odpowiednie zabezpieczenia.
I Ty wierzysz, że te zabezpieczenia są skuteczne?

Nie wiem co się dzieje pod Windowsem, bo siedzę od dawna na Linux'sie i z wirami mam spokój.
Obecna próba wyłudzenia loginu i hasła jest zrobiona bardzo amatorsko, ale wiadomo - najsłabszym ogniwem jest człowiek, więc informuję o kolejnej próbie przejęcia kont.

Nie wiem co się dzieje pod Windowsem, bo siedzę od dawna na Linux'sie i z wirami mam spokój.
Obecna próba wyłudzenia loginu i hasła jest zrobiona bardzo amatorsko, ale wiadomo - najsłabszym ogniwem jest człowiek, więc informuję o kolejnej próbie przejęcia kont.
Linux przed wirusem może zabezpiecza ale przed zaloginowaniem na fałszywej stronie i podaniu swoich danych nie zabezpieczy :mrgreen:

Nie wiem co się dzieje pod Windowsem, bo siedzę od dawna na Linux'sie i z wirami mam spokój.
Co nie znaczy ze mozesz byc tego spokoju 100% pewien ;)

ux przed wirusem może zabezpiecza ale przed zaloginowaniem na fałszywej stronie i podaniu swoich danych nie zabezpieczy
Sam Linux, przed niczym nie zabezpiecza, po prostu prawdopodbienstwo jest znacznie mniejsze ;)
Ale, na nieaktualizowany system na Linuxie, bez najnowszego kernela, ze zla konfiguracja, oraz bledami w ustawieniach praw do plikow, jest calkiem sporo sposobow ;)


To pierwsze, czasy tego drugiego (samoczynnie instalujących się niespodzianek) dawno już minęły, nawet IE ma odpowiednie zabezpieczenia.

To nie jest takie proste. IE ma tez bledy ktore pozwalaja na remote code execution i co pewien czas takie bledy wychodza do publicznej wiadomosci i sa fixowane. Dla tego warto miec dobry system zabezpieczajacy, gdyz jest on w stanie wylapac, np shell code zaszyty w odpowiediz HTTP i zablokowac potencalny atak.
Co to znaczy IE ma odpowiednie zabezpieczenia? Fakt baaardzo duzo zmienilo sie w ActiveX i modelu zabezpieczen wlasnie ActiveX, ale wiekszosc atakow nastepuje przez blad w oprogramowaniu a nie brak jakis "zabezpieczen"

Biorac pod uwage, ze wiele osob ma pirackiego Windowsa bez aktualizacji, badz po prostu wylaczone aktualizacje systemu i jego elementow, to szczegolnie te osoby powinny obawiac sie otwarcia spreparowanej strony. Polecam poczytac metsploit framework i ilosc exploitow na IE. Nie raz spotkalem komputery ktore mozna bylo zaatakowac uzywajac metasploit i wykonac shellcode na prawach aktualnego uzytkownika. Biorac pod uwage glupote uzytkownikow, nie sprawdzanie md5 plikow, oraz latwe update hijacking, latwo jest eskalowac uprawnienia do wykonania kodu z uprawnieniami Administratora systemu.

Biorac pod uwage, ze wiele osob ma pirackiego Windowsa bez aktualizacji, badz po prostu wylaczone aktualizacje systemu i jego elementow, to szczegolnie te osoby powinny obawiac sie otwarcia spreparowanej strony. Polecam poczytac metsploit framework i ilosc exploitow na IE. Nie raz spotkalem komputery ktore mozna bylo zaatakowac uzywajac metasploit i wykonac shellcode na prawach aktualnego uzytkownika. Biorac pod uwage glupote uzytkownikow, nie sprawdzanie md5 plikow, oraz latwe update hijacking, latwo jest eskalowac uprawnienia do wykonania kodu z uprawnieniami Administratora systemu.
Kurde, nie obrażasz nas? Chyba strzelę focha, tak na wszelki wypadek... ;-)

Linux przed wirusem może zabezpiecza ale przed zaloginowaniem na fałszywej stronie i podaniu swoich danych nie zabezpieczy :mrgreen:

Najtrudniej zabezpieczyć system przed jego operatorem :)


Co nie znaczy ze mozesz byc tego spokoju 100% pewien ;)

Sam Linux, przed niczym nie zabezpiecza, po prostu prawdopodbienstwo jest znacznie mniejsze ;)
Ale, na nieaktualizowany system na Linuxie, bez najnowszego kernela, ze zla konfiguracja, oraz bledami w ustawieniach praw do plikow, jest calkiem sporo sposobow ;)[...]

Jasne, nie ma takiego komputera i nie ma takiego systemu, do którego nie można się włamać ale miałem na myśli codzienne korzystanie z sieci w cywilny i rozsądny sposób.
Moich zdjęć nikt nie chce ukraść nawet z sieci, a co dopiero z mojego komputera :mrgreen:

Moich zdjęć nikt nie chce ukraść nawet z sieci, a co dopiero z mojego komputera :mrgreen:

I tu Cię popieram, mam to samo.

No w sensie, ze... Nie mozna sie czuc za bezpiecznie, trzeba aktualizowac system i miec dobre oprogramowanie zabepzieczajace.
No i to nie prawda, ze w dzisiejszych czasach juz nic sie nie stanie przez otwarcie jakiejs strony ;) Po prostu dzisiaj jest ciezej.


Moich zdjęć nikt nie chce ukraść nawet z sieci, a co dopiero z mojego komputera
Takie podejscie nie jest do konca sluszne i moim zdaniem trzeba o tym jasno mowic.
Po pierwsze, co mozna ukrasc badz zrobic?
Wykrasc dane konta bankowego, badz wykonac transakcje za nas ( ile osob sprawdza dokladnie numery ktore dostaje SMSem? )
Uzyc dostepu do naszego konta email do rozsylania SPAMu.
wykrozystac nasz komputer jako czesc botnetu - wykorzystac nas do ataku na rozne uslugi. Najmniejsze zagrozenie kiedy jest to DDoS. Najgorszej, jezeli nasz komputer jest czescia botnetu i jest uzywany do lamania skomplikowanych kluczy zabezpieczen, badz przeprowadzania bardziej skomplikowanych atakow.

Pamietajmy, Nasz komputer bedac podlaczony do internetu, moze byc wykorzystany do zaatakowania innych. Lekcewazenie sobie bezpieczenstwa systemu, ze wzgledu na niskie zagrozenie personalne, powoduje to ze globalnie, bezpieczenstwo w internecie jest coraz mniejsze. botnety sa w tej chwili jednymi z najwiekszych zagrozen i przyczyn tego ze rozni zli ludzie, lamiacy prawo sa bezkarni, bo wysledzenie ich w internecie jest praktycznie niemozliwe.

Czasy wirusow pisanych zeby udowodnic ze sie potrafi, czy pokazac swiatu ze mozna, czy po prostu ze zwyklej zlosliwosci ( vide wirusy palace komputery, przetaktowywujace processory, etc ) juz minely. W tej chwili malware to jest ogromny biznes, koncentrujacy sie wokol botnetow. Najgorszy syf, jest tworzony prze znajlepiej oplacanych specjalistow i jest zazwyczaj praktycznie dzielem sztuki. Nie mozna tego zagrozenia lekcewazyc, nawet korzystajac z internetu "cywilnie". Dla ludzi ktoryz sa prawdziwym zagrozeniem, zarazanie coraz wiekszej ilosci komputerow to po prostu kasa ito nie mala, dla tego nie trzeba ogladac stron pornograficznych, sciagac cracki i nieznane exeki. Czasem starczy jeden niepozorny link podpiety pod banerek.

No w sensie, ze... Nie mozna sie czuc za bezpiecznie, trzeba aktualizowac system i miec dobre oprogramowanie zabepzieczajace.
No i to nie prawda, ze w dzisiejszych czasach juz nic sie nie stanie przez otwarcie jakiejs strony ;) Po prostu dzisiaj jest ciezej.


Takie podejscie nie jest do konca sluszne i moim zdaniem trzeba o tym jasno mowic.
Po pierwsze, co mozna ukrasc badz zrobic?
Wykrasc dane konta bankowego, badz wykonac transakcje za nas ( ile osob sprawdza dokladnie numery ktore dostaje SMSem? )
Uzyc dostepu do naszego konta email do rozsylania SPAMu.
wykrozystac nasz komputer jako czesc botnetu - wykorzystac nas do ataku na rozne uslugi. Najmniejsze zagrozenie kiedy jest to DDoS. Najgorszej, jezeli nasz komputer jest czescia botnetu i jest uzywany do lamania skomplikowanych kluczy zabezpieczen, badz przeprowadzania bardziej skomplikowanych atakow.

Pamietajmy, Nasz komputer bedac podlaczony do internetu, moze byc wykorzystany do zaatakowania innych. Lekcewazenie sobie bezpieczenstwa systemu, ze wzgledu na niskie zagrozenie personalne, powoduje to ze globalnie, bezpieczenstwo w internecie jest coraz mniejsze. botnety sa w tej chwili jednymi z najwiekszych zagrozen i przyczyn tego ze rozni zli ludzie, lamiacy prawo sa bezkarni, bo wysledzenie ich w internecie jest praktycznie niemozliwe.

Czasy wirusow pisanych zeby udowodnic ze sie potrafi, czy pokazac swiatu ze mozna, czy po prostu ze zwyklej zlosliwosci ( vide wirusy palace komputery, przetaktowywujace processory, etc ) juz minely. W tej chwili malware to jest ogromny biznes, koncentrujacy sie wokol botnetow. Najgorszy syf, jest tworzony prze znajlepiej oplacanych specjalistow i jest zazwyczaj praktycznie dzielem sztuki. Nie mozna tego zagrozenia lekcewazyc, nawet korzystajac z internetu "cywilnie". Dla ludzi ktoryz sa prawdziwym zagrozeniem, zarazanie coraz wiekszej ilosci komputerow to po prostu kasa ito nie mala, dla tego nie trzeba ogladac stron pornograficznych, sciagac cracki i nieznane exeki. Czasem starczy jeden niepozorny link podpiety pod banerek.

Zacytowałem Twoją wypowiedź, bo porusza aktualne i prawdziwe kwestie. Niemniej pamiętaj, że tu na Forum też nie jest stado baranów - niektórzy na starość zaczęli realizować swoje hobby: fotografię.

Pzdr.

Zacytowałem Twoją wypowiedź, bo porusza aktualne i prawdziwe kwestie. Niemniej pamiętaj, że tu na Forum też nie jest stado baranów - niektórzy na starość zaczęli realizować swoje hobby: fotografię.

Pzdr.
Oczywiscie, nigdy o tym nie zapominam i staram sie nigdy nie traktowac kogos z gory. Wiem jednak, ze bardzo wiele osob nie ma pojecia o rzeczach ktorych przynajmniej powinno miec swiadomosc, dlatego trzeba je poruszac przy kazdej mozliwej okazji - moze bedzie to mialo jakis dobry efekt

No w sensie, ze... Nie mozna sie czuc za bezpiecznie, trzeba aktualizowac system i miec dobre oprogramowanie zabepzieczajace.
No i to nie prawda, ze w dzisiejszych czasach juz nic sie nie stanie przez otwarcie jakiejs strony ;) Po prostu dzisiaj jest ciezej.[...]

Chyba nikt nie wkłada portfela do tylnej kieszeni spodni ;) Jasne, że trzeba się w taki czy inny sposób zabezpieczyć. Jednak na poziomie domowego kompa nie spodziewabym się dedykowanego ataku ( prócz wspomnianego przez Ciebie przerobienia naszego kompa na "zombie").
Jeśli ktoś traci hasla do banku, Fejsa, czy Allegro itp. to zazwyczaj sam je udostępnia odpowiadając na podobne e-maile jak ten z pierwszego postu.
Jak już napisałem wcześniej nie jestem informatykiem i średnio mnie to kręci, ale mam ten komfort że mój kolega jest dobry w te klocki i to on odwala za mnie instalki ;)
I jeszcze a'propos najsłabszego ogniwa w systemie zabezpieczeń jakim jest człowiek; pewien wirus ( nie pamiętam nazwy ) rozwalił irańskie wirówki do wzbogacania uranu, pytanie w jaki sposób się tam dostał, skoro sieć nie była podłączona do internetu?
-ktoś to przytargał na pendrivie z domu?
:)

pewien wirus ( nie pamiętam nazwy ) ac/dc ;-)


-ktoś to przytargał na pendrivie z domu?
:)Bardzo prawdopodobne. Pan Mitnick miałby coś na ten temat do poweidzenia zapewne. ;-)

ac/dc ;-)

Bardzo prawdopodobne. Pan Mitnick miałby coś na ten temat do poweidzenia zapewne. ;-)

Albo Pan Bush... ;)


Jednak na poziomie domowego kompa nie spodziewabym się dedykowanego ataku
Prawdopodobienstwo jest praktycznie nieistniejace. Chyba ze ma pan wirowke do wzbogacania uranu ;)

Trzeba pamietac, ze wszelkie luki oprogramowania predzej czy pozniej wychodza i zostaja zaadaptowane do narzedzi ktore maja automatycznie atakowac komputery. Dlatego aktualizacje oporogramowania, a przede wszystkim systemu operacyjnego, przegladarki, systemu zabezpieczen i innych programow laczacych sie z zewnetrznymi serverami, sa praktycznie kluczowe dla bezpieczenstwa. System ktory bedzie uzywany, a niezaktualizowany, predzej czy pozniej stanie sie czescia botnetu. Mozna sie pobawic, stawiajac komputer siostry jako honeypota i obserwowac ruch sieciowy na IPS - ciekawe, ale strasznie duzo czasu i wiedzy trzeba ;)


Jeśli ktoś traci hasla do banku, Fejsa, czy Allegro itp. to zazwyczaj sam je udostępnia odpowiadając na podobne e-maile jak ten z pierwszego postu.
I tak i nie. W praktyce, komputer jest wiecej wart jako zombie w botnecie, niz dane dostepowe do kont bankowych, etc, klienta. Po prostu, z okradaniem kont, fikcyjna sprzedaza etc trzeba sie bawic, latwiej zostawic slady. Dlatego prawda jest, ze glownie przez ludzka glupote ludzie sami sie narazaja.
Po prostu jest to stosunkowo proste do zrealizowania. Kiedys w sieci szkolnej przeprowadzilismy udany atak na komputer testowy z ktorego bylo wykonywane logowanie do mbanku. Bo kto sprawdza szczegoly certyfikatow, kto czysci cache dns... ;) W tej chwili jest to trudniejsze oczywiscie, ale wykonalne, szczegolnie jezeli administrator sieci popelni jakis maly blad ustawiajac np VLANy.

W dobie telefonow z Androidem, nawet zabezpieczenie pod tytulem kod weryfikacyjny przez SMS nie jest super skuteczne. W koncu Androida podlaczamy do komputera, czasem wgrywamy rozne dziwne aplikacje... ;) rootujemy urzadzenie...

Ale chyba najwazniejsze jest... Nikt, nigdy, nie bedzie Cie prosil o podanie hasla, czy wysylal linka poza serwisem i jego domena, gdzie bedziesz musial to haslo wpisac. Zawsze trzeba sprawdzac prawdziwa domene maili, patrzec na adres i na certyfikat SSL. Podstawowa zasada - W zadnej korespondencji prywatnej nie podajemy nikomu hasel, etc. Jedyne miejsca gdzie wpisujemy swoje hasla i dane to specjalnie przygotowane strony, ktore jestesmy pewni ze sa czescia systemu.
Zawsze. Jezeli ktos trzyma nasze haslo w postaci otwartej, czy chce je w taki sposob otrzymac, albo nie zna sie na rzeczy i nie powinnismy ufac temu serwisowi, albo chce wyludzic haslo i dane.
Jeszcze raz, NIGDY nie podawac mailowo i poza domena danego serwisu swoich danych. nikomu.

ac/dc ;-)

Bardzo prawdopodobne. Pan Mitnick miałby coś na ten temat do poweidzenia zapewne. ;-)

mialby i to sporo ;)
bylem kiedys na spotkaniu z nim, a przy okazji dostalem ksiazke-biografie
najwiecej historii wlaman do porzadnych sieci to wlasnie o czlowieku- najslabszym ogniwie roznych systemow zabezpieczen ;)

Wracając do tematu - dziś otrzymałem dokładnie takiego maila. Kliknąłem w link bo na początku nie wiedziałem o co chodzi, ale firefox wysłał ostrzeżenie, że to moze być próba oszustwa. Później przekierowało mnie na stronę do logowania w allegro. Skojarzyłem z tym wątkiem i oczywiście nadawca wiadomości to jakiś dziwny adres, na pewno nie od allegro..

Z tej samej beczki:

http://forum.nikoniarze.pl/showthread.php?t=212442