Bohužel ano, většina uživatelů tyhle věci nechápe. Někde se zadává číslo karty, někde ne, někde po mě chtějí pořád nějaká hesla, jinde ne, pořád chodí nějaké „opiš SMS“. Uživatelé nechápou tu podstatu za tím, takže se pak nechají celkem snadno napálit.
Zrovna ten případ s Bazošem se před týdnem stal švagrovi. Naštěstí to je mladý a celkem poučený uživatel, přišlo mu to divné a zavolal mi. Ale úplně rozumím tomu, že nějaká teta v letech se po telefonátu od policie vyleká a udělá všechno, co po ní ten člověk na telefonu chce.
Ano, je to velmi potřeba - protože lidé od fochu, kteří tento web čtou, velmi často zapomínají, že drtivá většina uživatelů Internetu nemá taková znalosti a zkušenosti jako oni. Tedy tyhle případy se dějí dnes a denně.
V diskuzi se tu můžeme divit "jak na to může někdo skočit", plácat se po ramenou, jak chytří jsme, že nám se to stát nemůže, ale je důležité připomínat, že podvodníkům se to stále vyplácí, protože lidí, kteří na podobný podvod naletí je hodně. Bohužel.
Ja doufam ze doby kdy lide od fachu zvedali oboci s vetou "jak na to mohl skocit" jsou pryc. Zvlast kdyz mame podvody kdy vam fakt nepomuze ani vase vzdelani.
Take jsem mel skusenost ale face-to-face. Prijela dvojice slecna se hezky predstavila, ukazali prukazky a vysvetlovali ze je nekde problem a ze budou vypinat elektrinu. Pak kecali a kecali a ja se bavil s nima a vubec jsem nechapal jak jsem jim naletel. Az kdyz se chteli podivat na FA mi to doslo. Pak jsem volal starostce at rychle rozesle pres obecni "SMS vyvesku" ze tady mame neco takove. Po pul hodine mi volala ze nemuze protoze je to obvinovani bez dukazu a ze by ji zalovali.
A co z toho (opět) plyne? Že výpočetní technika nepatří lidu do rukou. (Pozor! Školeným ano, to ale není případ většiny.) Z toho pak dále logicky, že občan by neměl být nucen do elektronické agendy (to prezentuje dostupnost a platbu připojení, nákup, vlastnictví a správu počítače, znalosti jeho užívání a znalosti samotných el. agend - to není málo!), ale měla by mu zůstat možnost vyřizovat záležitosti poštou či osobně. Toť můj názor.
Mnohí ani tú televíziu poriadne nezvládajú. Už dvakrát som bol nastavovať telku u matkinej sesternice, kde bolo treba na settopboxe znovu spustiť (automatické) nastavenie Skylinku, lebo nejako prehadzovali kanály alebo čo. Ale ona (pravda, má po 60-ke, ale to dnes nič nie je) tam zvláda len prepínať kanály a meniť hlasitosť...
S tímhle se zdráhám souhlasit.
Dokud měli k internetu (a obecně IT) přístup jen znalejší lidi, vědci, studenti, tak to bylo IMHO mnohem lepší místo, než když má dneska k IT a internetu přístup každý BFU.
To kvůli BFU se musí ladit UX. To kvůli BFU se musí řešit všemožná bezpečnost, protože BFU se o sebe neumí postarat. To kvůli jednoduchým BFU se všechno zjednodušuje, což vede k dalšímu zjednodušování mozků BFU.
(Ale takhle podobně je to i s tou televizí, telefonem, autem - jak už praví dokola omletá hláška - dříve v manuálu k autu byl návod jak seřídit ventilové vůle a jak si ošetřit prahy, dneska je tam varování abyste nevypili obsah autobaterie)
Akurát ten rozvoj ide niekedy takým smerom, že len tá nemysliaca masa je s ním spokojná.
Už roky na trhu nevidím (nový) mobil, ktorý by mi vyhovoval. A aktuálny firemný EliteBook je síce tenší a ľahší (a asi o trochu výkonnejší) ako ten predošlý, ale okrem výkonu sú to vlastnosti, ktoré sú mi na prd (ak sa presúvam, tak autom, a s notebookom na kolenách niekde v lietadle nepracujem). Ale má len dva USB-A porty (bez dokiny ma to štve) a nemá ani čítačku SD kariet. A na vybratie baterky treba odšróbovať celý spodný kryt (naštastie na rozdiel od najlacnejších domácich NTB aspoň nie sú šróbiky pod gumenými nožičkami).
Gregor Fefor: Porovnejte to ale také s výkonem, výdrží a cenou. Vyjmenováváte totiž jen věci, o které jste přišel, ale ignorujete ty, které jste získal.
Mimochodem, psát o „nemyslící mase“ nebo „BFU“ myslím vypovídá něco především o tom, kdo tyhle fráze používá. Pokud by o mně třeba lékař říkal, že patřím do nemyslící masy nebo jsem „BFP“, byl by to pro mne signál, že mne nedokáže léčit tak nejlépe, jak je to možné – protože k tomu potřebuje moji součinnost, a tu nemůže mít, když nechápe, že kdybych roky studoval medicínu, jako on, věděl bych to, co on, ale pak bych ho nepotřeboval. A že jeho úlohou je především přetavit poznání současné medicíny tak, abych z toho měl užitek i já, medicíny neznalý. Mojí úlohou je naopak ten obrovský pokrok ve světě jedniček a nul zpracovat tak, aby z toho měl profit i ten lékař, který se věnoval studiu medicíny a ne IT.
Pokud by o mně třeba lékař říkal, že patřím do nemyslící masy nebo jsem „BFP“, byl by to pro mne signál, že mne nedokáže léčit tak nejlépe, jak je to možné – protože k tomu potřebuje moji součinnost
Ono to asi záleží na rozsahu té součinnosti. Nějaká součinnost být musí.
Jeden extrém: "Tady máte šití a zašijte si to břicho sám."
Druhý extrém: "Bral jste ty léky, které jsem Vám předepsal?", "Měl jste tu nohu šetřit a ne běžet maraton.", "Těžko Vám mohu léčit CHOPN když kouříte jak fabrika.". Podobné je to i s těmi uživateli.
Zřejmě se nechápeme. Já nechci žádným způsobem ponižovat BFU, myslel jsem to jen jako terminus technicus.
Pointa ale byla jiná, a tu jste zřejmě nepochopil - totiž že jelikož BFU dneska má přístup k takovým prostředkům ke kterým bylo potřeba kdysi alespoň základní vzdělání a nebýt idiot, kvůli tomu se ty prostředky vzdalují nám, lidem co nemají v hlavě nasráno.
Zkusím Vám to přirovnat na jiném hypotetickém příkladu - představte si, že někdo přijde se speciálním skalpelem, kterým si budou moci nelékařští lemplové jako já vyoperovat apendix, nebo někdo přijde se speciálním přístrojem na monitoring životních funkcí, který nabídne mase.
Masa to přijme, začne to používat, a výrobci začnou tyhle věci přizpůsobovat běžným lidem. Po pár letech se stane, že onen skvělý skalpel je skvěle využitelný pro lempla, ale expert s ním má problém něco udělat. Ale na samooperaci apendixu je to fajn, nemusíte na nic myslet, on ten skalpel udělá přesně to co chcete, i když nevíte jak. K tomu budete mít přístroj na monitoring životních funkcí, který bude umět přesně to co vy z 99 procent potřebujete, ale expertovi jeho funkce nebudou stačit, protože je přístroj značně zjednodušen pro používání nelékařem.
A to je přesně to co se dnes děje se smartphony, laptopy a obecně IT i SW - a to co mám od začátku na mysli (a spousta lidí tady taky). Nějakou dobu byla v IT možnost si vybírat - jste expert, kupte si profi laptop s profi možnostmi. Používejte expertní SW, instalujte si vlastní aplikace vlastní cestou, spravujte si své zařízení podle potřeba. Jste lempl - kupte si Apple a nechte se hýčkat, my vám řekneme co je pro vás dobré a co špatné, my řekneme co s tím zařízením smíte dělat a co ne. Jenže s postupujícím času se ty rozdíly smazávají a čím dál více se to přizpůsobuje tomu běžnému uživateli, a logicky firmy nebudou dělat něco jen pro nás, pro experty. Kdyby celý trh byl plný expertů tak samozřejmě ano - ale tak to není, do IT vstoupila právě ta masa, které se teď výrobci a celý marketing přizpůsobuje na úkor nás.
Sorry, ale mě tohle už dlouhou dobu neskutečně vadí a jsem z toho hluboce rozesmut.
Podívejte, pokud po těch expertních nástrojích je poptávka, tak je někdo udělá. To je zákon trhu. Pokud se vyplatilo ten expertní nástroj dělat jen pro odborníky před příchodem mas, vyplatí se dělat jen pro odborníky i po příchodu mas. A skutečně tam, kde ty profi nástroje potřeba jsou a je tudíž poptávka, se dál dělají.
V oblastech jako notebooky nebo smartphony "profi" řešení mizí, protože i většina těch expertů se chce nechat hýčkat a používat zařízení pro masy. V Red Hatu máme vzorek tisíců IT expertů a hádejte, po jakém notebooku na práci je tady největší poptávka. Po modelech typu Macbook nebo X1 Carbon, ne po nějaké workstation laptop krabici, která má všechny porty, na které si pomyslíte. A není to tak, že bychom neměli na výběr. Ty "profi" řešení pořád v nabídce máme, ale i v takto technologicky zaměřené firmě je po nich poptávka malá. Ano, před takovými 20 lety měli v takové firmy všichni ty "profi" řešení, ale především kvůli tomu, že nebyla alternativa. Nyní je a i velká část expertů volí nohama.
„Podívejte, pokud po těch expertních nástrojích je poptávka, tak je někdo udělá. To je zákon trhu.“
Ano, všemocnost trhu tu jistého času zaváděl jako náboženství jeden pán. Já si myslím, že jsme měli 30 let na to z takovýchto naivních představ vyrůst. Vy zmiňujete zákon trhu, ale ideálního, který ovšem... neexistuje. Jen jedním z příkladů je dnešní nedostatek čipů, další by se jistě našly.
Jen jedním z příkladů je dnešní nedostatek čipů, další by se jistě našly.
Vždyť trh ten nedostatek čipů řeší. Nikdo soudný přece netvrdí, že trh vše vyřeší hned. Některé věci je prostě mnohem rychlejší vyřešit netržním zásahem – což dělá třeba EU, z čehož se pak mnozí mohou pominout a argumentují úplně stejně, jako ten pán, co tu zaváděl vámi zmiňované náboženství.
Nedostatek čipů není moc dobrý příklad. To je zrovna komodita, kde trvá roky, než rozjedete novou výrobu. Chtít po trhu, aby na nedostatek zareagoval v řádu měsíců, je něco, co prostě nemůže splnit. A v dlouhodobém horizontu? Měli jsme tady za posledních 20 let trvalý nedostatek čipů? Nemám ten pocit.
Lidi chtěli čipy s nejlepším poměrem cena/výkon, čehož dosáhnete koncentrovanou výrobou u těch nejlepších. Nikdo nebyl ochotný si příplácet za diverzifikovanou výrobu odolnější vůči dodavatelským výpadkům. Trh dodával, po čem byla poptávka. Po zkušenosti s covidem už očividně zákazníci jsou ochotní si připlatit za nižší riziko. Jen výroba čipů není pečení rohlíků a přizpůsobení se změnám v preferencích zákazníků trvá déle.
výrobou u těch nejlepších
Měl jste na mysli spíš u těch nejlevnějších, než nejlepších, ne?
Těžko srovnávat nabídku podle kvality na světovém trhu, když v jedné zemi se platí minimální mzda a v druhé pracují političtí vězni, v jedné se platí emisní povolenky a v druhé se nosí roušky, aby se lidi neudusili všudypřítomným popílkem, přes který není vidět na krok, natož až k úplně kalné řece plné chemického svinstva... A pak tu máme dotovaný export a obcházení poštovních úmluv fiktivním odesíláním balíčků z rozvojových zemí.
Já nechci žádným způsobem ponižovat BFU, myslel jsem to jen jako terminus technicus.
Jenže on ten terminus technicus to ponižování má už v sobě označené. Je mi jasné, že vy to nepoužíváte se záměrem někoho ponížit, ale už samotné používání toho termínu svědčí o vašem pohledu na uživatele. Já třeba pojem „BFU“ nikdy nepoužiju v diskusi jako první a i když reaguju na nějaký komentář s „BFU“, snažím se to nepoužívat. Použiji to jedině v případě, když by použití jiného termínu bylo matoucí, protože by nebylo jasné, že tím myslím stejné osoby, které protistrana označuje jako „BFU“ – a v tu chvíli se diskutuje úplně o něčem jiném a diskusi by narušilo, kdybych do toho začal tahat to, že BFU nejsou žádní BFU.
Pointa ale byla jiná, a tu jste zřejmě nepochopil - totiž že jelikož BFU dneska má přístup k takovým prostředkům ke kterým bylo potřeba kdysi alespoň základní vzdělání a nebýt idiot, kvůli tomu se ty prostředky vzdalují nám, lidem co nemají v hlavě nasráno.
Já tu pointu chápu a silně s ní nesouhlasím.
Po pár letech se stane, že onen skvělý skalpel je skvěle využitelný pro lempla, ale expert s ním má problém něco udělat.
To je ale dost nepravděpodobné. Pokud je expert lepší než lempl, měl by přece zvládnout i to, co zvládne lempl.
K tomu budete mít přístroj na monitoring životních funkcí, který bude umět přesně to co vy z 99 procent potřebujete, ale expertovi jeho funkce nebudou stačit, protože je přístroj značně zjednodušen pro používání nelékařem.
To je ale něco jiného. Expert potřebuje nějaké funkce navíc – pak ale bude potřebovat speciální zařízení. Které asi bude podstatně složitější (expert má větší nároky), prodá se ho daleko méně kusů – takže bude také podstatně (často řádově) dražší, než to řešení pro laiky.
Což je zrovna v té medicíně častý případ. Nějaké profi zařízení dělá skoro to samé, jako zařízení pro laiky. Jenom má spoustu razítek o tom, že výrobce ručí za to, že to dělá za všech okolností a dá se na něj spolehnout. A to zařízení pak stojí tisíckrát víc, než to pro laiky.
V medicíně často lékař nebo nemocnice nemá jinou možnost, než takové zařízení koupit. V IT expert řekne „přece za to nebudu vyhazovat peníze, když to dělá skoro to samé, jako to zařízení pro laiky, ale je to desetkrát dražší“ – a pak si stěžuje, že mu to zařízení pro laiky nevyhovuje.
To ale není žádné spiknutí výrobců, není to ani žádné spiknutí hlupáků. Problém je jenom v tom, že expert nechce zaplatit odpovídající cenu za nástroj, který bude přesně odpovídat jeho požadavkům – místo toho si pořídí levnou náhražku a pak se rozčiluje, že je to levná náhražka.
Nějakou dobu byla v IT možnost si vybírat - jste expert, kupte si profi laptop s profi možnostmi. […] Jenže s postupujícím času se ty rozdíly smazávají a čím dál více se to přizpůsobuje tomu běžnému uživateli, a logicky firmy nebudou dělat něco jen pro nás, pro experty.
Ty firmy by to logicky dělaly, a některé to dělají – tam, kde je poptávka. Ale logicky ty firmy nedělají něco, co experti nechtějí zaplatit.
do IT vstoupila právě ta masa, které se teď výrobci a celý marketing přizpůsobuje na úkor nás
Ne, to není „na úkor nás“. My si za to můžeme sami, protože nevygenerujeme poptávku. Firmy logicky vyrábějí to, co dokážou prodat. Když je o něco zájem u expertů, firmy to obvykle nabídnou. Podívejte se třeba na Turris Omnia. Experti chtěli pořádný nabušený router a byli ochotní za něj dát 10× víc, než co stojí běžný router. Poptávka byla vyslyšena, i když ne běžnou firmou. Na druhou stranu nemyslím si, že by Turris Omnia bylo něco světově úplně unikátního – ostatně některé Ubiquity a Microtiky míří stejným směrem, a to je vlastně masová produkce. A stejně jako o Omnii asi neví nic v Jižní Americe, my nejspíš zase nevíme o tom, že v Jižní Americe nebo v Austrálii je někdo místní, kdo tuhle tržní niku obsadil.
No a pak jsou samozřejmě také experti, kteří si stěžují, že běžné routery neumožňují to, co by si představovali. Ale když jim někdo řekne o Omnii, opáčí, že se asi zbláznil, že nebudou dávat za router deset tisíc, když se dá koupit router za padesát korun.
Sorry, ale mě tohle už dlouhou dobu neskutečně vadí a jsem z toho hluboce rozesmut.
Chápu, že vám to vadí. Ale jak jsem psal, za to nemohou ani vaši „BFU“, ani výrobci. Můžete za to vy, že nechcete výrobci zaplatit tolik, aby se mu vyplatilo pro vás tu věc vyrobit. Protože cenu porovnáváte s cenou těch „šmejdů pro BFU“.
Dokud měli k internetu (a obecně IT) přístup jen znalejší lidi, vědci, studenti, tak to bylo IMHO mnohem lepší místo, než když má dneska k IT a internetu přístup každý BFU.
Tak je to ale se vším. A stejně, jako vy byste omezil přístup méně znalých k IT, ti lidé se zase vyznají v něčem jiném a omezili by přístup vám k jiným věcem, protože je využíváte nedokonale.
To kvůli BFU se musí ladit UX. To kvůli BFU se musí řešit všemožná bezpečnost, protože BFU se o sebe neumí postarat. To kvůli jednoduchým BFU se všechno zjednodušuje, což vede k dalšímu zjednodušování mozků BFU.
Ve skutečnosti z toho ale těží i ti zkušení uživatelé. Některé věci prostě mohou dělat jednodušeji, takže s tím stráví méně času. Některé věci ve skutečnosti dělal špatně i ten zkušený uživatel, protože to prostě bylo buď špatně navržené, nebo v dané věci zrovna nebyl expert. A hlavně spoustu věcí dnes zvládnou lidé s menšími znalostmi, a experti se mohou věnovat věcem, na které jsou skutečně potřeba experti.
Zkrátka díky tomu, že věci, které mohl dříve dělat jen expert, dnes může dělat kde kdo, se lidstvo posouvá dopředu.
> A stejně, jako vy byste omezil přístup méně znalých k IT, ti lidé se zase vyznají v něčem jiném a omezili by přístup vám k jiným věcem, protože je využíváte nedokonale.
Myslíte jako že by třeba auto už nemohl řídit kdokoli, ale člověk by musel předtím složit nějakou zkoušku z řidičských schopností a znalosti předpisů?
Myslíte jako že by třeba auto už nemohl řídit kdokoli, ale člověk by musel předtím složit nějakou zkoušku z řidičských schopností a znalosti předpisů?
Ve skutečnosti dnes řidičák dostane prakticky každý, kdo chce. Laťka toho, co je potřeba reálně splnit, aby člověk mohl řídit auto, se neustále snižuje. Dnes už je řízení auta málem považováno za základní lidské právo.
To s tím řidičákem je taky ale podobný případ. To je právě ono - dneska dostane řidičák - povolení kdekdo. S automatem umí řídit auto kdejaká slečna nebo třeba i důchodce, které je naprosto jedno jakou teplotu má olej nebo voda v motoru. Jo, je to fajn, že můžou.
Ale stalo se to, že postupně výrobci přestávali dávat do aut teploměry oleje, pak teploměry vody. Ale to je jen vrchol. Kamarádovo BMW už nemá v autě ani nouzový zvedák, žádné základní nářadí - nic. Nejede to? Rozsvítí se kontrolka a do servisu. A je jedno, že to auto řídí znalý servisák, dokázal by si to zdiagnostikovat pomocí analýzy budíků a kontrolek a opravit pomocí základního nářadí. prostě do servisu se vším, hotovo.
A tak mám dneska moderní sportovní kupé, u kterého nevím, kdy na to můžu šlápnout, protože prostě nemá ukazatel teploty vody. A firemní služebáky neumí zapnout dálkové světla, pouze přepnout na "automatické dálkové", které prostě ve městě dálkově nesvítí, protože senzor se rozhodl, že je venku světla dost. A tak bychl mohl ještě dlooouho pokračovat. A nejen v oblasti aut, ale i v té oblasti IT.
Nejede to? Rozsvítí se kontrolka a do servisu. A je jedno, že to auto řídí znalý servisák, dokázal by si to zdiagnostikovat pomocí analýzy budíků a kontrolek a opravit pomocí základního nářadí.
No jo, ale má si 999 lidí kupovat a vozit s sebou neustále v autě nářadí, které nikdy nepoužijí, jenom proto, že tisící by ho někdy použil? Není lepší, když si znalý servisák to nářadí koupí zvlášť a vozí si ho jen on?
Ale hlavně jste myslím minul jednu podstatnou věc. Jak často bylo něco potřeba opravovat v době, kdy tam ty teploměry oleje a vody byly, a jak často je potřeba něco opravovat nyní. (A také jak bezpečné bylo dříve odstavit auto na krajnici a běhat kolem něj a něco spravovat – a jestli byste si na to troufl dnes.)
Ona ta auta jsou dnes mnohem komplikovanější – ale díky tomu jsou také mnohem bezpečnější, spolehlivější a efektivnější. Na což se rádo zapomíná. (Na zlepšení si snadno zvykneme a připadá nám samozřejmé, zhoršení si ale pamatujeme dlouho.)
které prostě ve městě dálkově nesvítí, protože senzor se rozhodl, že je venku světla dost
Myslím, že to nebude pro to, že je venku světla dost, ale proto, že správně vyhodnocuje, že by mohl někoho oslnit. Takže to, že auto nedovolí ta dálková světla rozsvítit, je evidentně správně, když nějakého řidiče napadne rozsvítit dálková světla i tam, kde by mohl oslňovat.
A nejen v oblasti aut, ale i v té oblasti IT.
Ono to ale v tom IT je stejné, jako s těmi auty – abychom se mohli posunout o sto kroků vpřed, bylo potřeba udělat v něčem jiném jeden krok vzad. Něco omezit, aby se bylo možné celkově posunout hodně dopředu.
To je hodně zkratkovité vnímání reality...
V "dobách odborníků" byl internet v plenkách a jestli byl "lepší" se dá těžko zhodnotit. Je to jako ptát se, jestli je lepší být malé dítě, teenager nebo dospělý - všechno má své pro i proti... Prakticky nic na něm nebylo, to co bylo, nebylo nijak zabezpečené. Jen díky "BFU" se podařilo rozvinout věci jako je nakupování přes e-shop, e-banking apod. Jen díky BFU se snížily výrobní náklady na síťový HW.
Nemluvě o tom, že těžko lze za BFU někoho označit jen proto, že neumí HTML a nemá vůbec grafický vkus. Dělba práce je tu s námi už od dob opičích prapředků, kteří si v tlupě rozdělili úlohy, kdo bude kojit a kdo lovit. Proto je normální, že komplexní internet vyžaduje hromadu odborníků od hardware až po design a sociální marketing. Opravdový problém je spíš neochota odborníků tlačit potřebu vzdělávání na úkor svých ekonomických výhod z toho, že neodborníka oblbují líbivými marketingovými sliby, aby si vydělali.
Reálný problém není samotný BFU, ale společenský úzus vzniklý z reklam Microsoftu a podobných firem v 90. letech, že počítač je pro každého a není potřeba se nic učit. Do té doby byl ke každému osmibitu návod a člověk se musel naučit aspoň Basic. Tím získal aspoň trochu nějakou motivaci se vzdělávat a místo hledání vlastních cest ve stylu zatloukání hřebíku rohlíkem si raději přečíst, jak uchopit kladivo nebo objednat služby řemeslníka.
Pak si kde kdo ukradne na internetu cracknutý Word nebo ještě hůř používá free verzi Office365, kde ten jejich Word je horší než poznámkový blok, a bez elementární znalosti typografie prasí i blbý dopis. Za to ale může reálně marketing, který ho přesvědčil, že to zvládne bez učení, společnost v čele s "odborníky", kteří vydávají software ovladatelný bez potřeby vzdělání se a bez korekce chyb uživatele a celý systém vzdělávání, který stále nepovažuje v roce 2022 psaní na počítači za základní gramotnost a nechá učit pedagogy, kteří nevědí, co učí. I u nás na kvalitním gymplu máme kolegy češtináře, kteří učí studenty, že každý odstavec textu začínáme třemi údery do mezerníku pro odsazení textu a novou stránku nebo obtékání obrázku řešíme opakovaným stiskem enteru...
V tom případě nebylo potřeba popsat dvě strany a dávat k tomu příklady, stačilo by napsat "pozor, lidé nepřemýšlí, dělejte osvětu".
A ne, nedá se souhlasit s tím, že tohle poznají lidé z IT a nepoučení lidé nemají šanci, to je holý nesmysl, stačí nebýt úplný idiot.
Nikdo mě to neučil, ale už na základní škole, když mi napsala nějaká holka v pc učebně, kde jsem byl na Xchatu mě první napadlo, že je to spolužák, to je prakticky to samé, jako co se vysvětluje v článku a někdo je schopen z toho vážně dělat vědu.
Gratuluji k dokonalosti :-). To je první krok k tomu, abyste na něco naletěl. Přesvědčení, že "mě se to netýká, já umím přemýšlet", já přece splňuji "stačí nebýt úplný id*ot" je první krok k chybě.
Pro ilustraci: Jen za poslední rok se mi povedlo hned dvakrát sám sebe hloupě nachytat během online výuky. Stačí prostě být pod tlakem, dělat běžné věci automaticky a přemýšlet nad něčím jiným.
První situace: online výuka, 30 studentů na meetu, zoufalá snaha naučit je přes meet rýsovat v Geogebře. Po 20 minutách vysvětlování toho, proč je nutné dodržet postupy a vztahy mezi objekty, mě napadlo, že mám na online účtu nachystaný rys, který by mohl pěkně demonstrovat, jak funguje rys s dobře a špatně udělaným postupem. Tak jsem se prostě přihlásil... Až dodatečně mě pobavení studenti upozornili, že ještě než jsem spustil záznam přenosu (aby si to pak mohli v klidu zkusit znovu), jsem jim také chtěl pomoci tím, že jsem spustil program, který vypisuje stisknuté klávesové zkratky a akce myší. Ten samozřejmě opakoval i stisknutá písmena během zadávání hesla...
Druhá situace: V maturitním semináři z informatiky jsem ukazoval, jak funguje SMTP protokol, předváděl jsem to na telnetovém spojení. Spěchal jsem, už jsem měl končit. Tak jsem se přihlásil na svůj soukromý mail. Heslo koneckonců přece zadávám zašifrované, že... Nojo, jenže base64 je reverzibilní, což člověku hned nedojde, když je zvyklý všude ukládat ireverzibilní hashe...
Já rozumím tomu, že spousta lidí by se takto nechala oklamat, což ale nesouvisí úplně s internetem, ale spíš obecně s bezpečnostní kulturou.
Nedávno jsem to vysvětloval svojí matce stylem nastaveného zrcadla:
- Tobě někdo odepsal na inzerát, že od tebe XXX koupí, ale musíš mu nejdříve poslat číslo karty aby mohl objednat kurýra? Tobě se to nezdá divné?
- Já ale nevím jak ty prodeje přes internet fungují, tak jsem na to klikla.
- Kdyby ti na bleším trhu naprosto cizí zákazník řekl, ať ty jemu pípneš kartou, že ti pak peníze pošle převodem, a že jestli chceš vědět víc informací tak s ním máš jít na naprosto neznámou adresu, kde ti všechno vysvětlí - ty bys ho poslechla?
- ....
No obecne plati neotvirejte podomovym prodejcum a uz vubec ne kdyz vam chteji neco prodat. A pak tu mame problem s DPI kde:
„Snažíme se zákazníky kontaktovat. Posíláme SMS, píšeme e-maily, voláme. V posledních dnech jsme také angažovali řadu externistů, kteří budou jednotlivé adresy obcházet a zvonit, aby konkrétní odběratele kontaktovali.
Pro začátek byla naprosto nezvládnutá komunikace. Například já jsem ještě v říjnu vůbec nevěděl, jak trh s energiemi funguje, kromě mlhavého tušení že jsem četl o nějakých podvodech a že mi jednou volala koktající scammerka. A nebylo úplně jednoduché to zjistit. Ten problém se týkal milionu lidí, čekal bych několik dní po sobě hlavní článek na titulce všech zpravodajských serverů.
(mě se to netýkalo, zdědil jsem PRE od předchozího nájemce a neřešil jsem to)
To nemusel být přestup, stejně jako já jsem při uzavírání nájemní smlouvy tak nějak defaultně vyfasoval PRE, tak jsem mohl dostat nějakého Frantu odvedle (to fakt existuje).
Já jsem četl články typu „XYZ krachlo“, ale žádný článek s vysvětlením jak to sakra funguje. Ty pak byly - a to spíš takové náznaky - asi po měsíci na Měšci.
Jistě, já jsem si to vyzkoumal, ale tohle optimalizuješ na milion lidí, jistě BFU.
Udelas samoodecet. Uz to nastesti vsichni maji. Nekde musis dat i foto. A kdyz to nema ten dodavatel pak u distributora:
https://www.mobilnisamoodecty.cz/dom/webmodom/account/login.rails
https://dip.cezdistribuce.cz/irj/portal/anonymous/samoodecet/autorizace
Ten Bazoš se stal před týdnem manželce, prodávala kočár. Tak mi píše zda je to legitimní. Když to ukončila se slovy, můj manžel je bezpečnostní expert a doporučuje mi nepokračovat, zmizla od telefonního kontaktu fotografie.
Problém vidím v naší legislativě, chtěl jsem to nahlásit, ale není komu, aniž bych podával trestní oznámení. Tak na to jako nemám úplně chuť a čas.
TO je možné podat i přes datovku a nemá žádné složité náležitosti, stačí jim to oznámit. Bohužel pak začíná to správné peklo, buď měsíce se nic neděje nebo si tě pozvou na vyjasnění, samozřejmě osobně občas i docela daleko.
Zatím se bohužel u policie nesetkávám s tím, že by se snažili stejné případy sjednocovat, nemají centrální evidenci a řada podvodů je sama o sobě malých, ale je jich spousta. Spojení více případů je složité a znamená to dost běhání.
Chápu tvůj postoj, kdyby bylo snadné takovéhle chování nahlásit, měla by policie více informací a mohla by proti vyloženým podvodníkům rychleji zaskočit. Snadné podání ale může znamenat i prostor pro zneužití.
Tak zneužít se dá každý nástroj, to mi nepřijde jako vhodná argumentace.
Podání přes datovku je fajn, ale pokud ji nemám, nejsem schopný to podat ani přes portál ovčana kam se člověk přihlásí třeba přes nic. Na ovčanovy je to stejně vtipné, věci které bych mohl rovnou podat, a nemusel mít datovku, tak tam stjně nejsou, neb stát nás chce do datovek nahnat. Ale to už odbočuji od tématu.
Nemyslím si že bych v dnešní době musel jít podávat vysvětlení a jiné opičárny, na PČR. Při hlášení takovéto kriminality, chápu že 3K je pod rozlišovací schopnost PČR ale na tohle ty lidi zpoléhají.
nekdy to prijde tak pekne napsane ze i clovek, co se v tom pohybuje denne musi zkoumat v hlavickach mailu co to vubec je. Pryc jsou ty doby kdy to zacinalo "drahy pritel, ...". Dost casto si neco objednam ze zahranici a kdyz mi prisel mail z posty, ze mam neco clit a neco zaplatit tak az z hlavicek jsem poznal ze to je podvrh. Kdyz to prijde nekomu, kdo to nikdy nevidel a je to hotove.
A diktovat nekomu do telefonu cislo karty je bohuzel taky jeste bezne. Potreboval jsem zmenit jmeno na letence pro manzelku. Pri koupi letenek ne-manzelku :) chteli 30E a jedinej zpusob jak to zaplatit tak nadiktovat cisla z karty vcetne sec kodu. Kdyz jsem se ohradil, ze to neni moc bezpecne tak pry jina moznost neni. Tak kde to jsme.
Emaily jsou "pohledy" a to je potreba od kolebky vtloukat lidem do hlavy. Kdyby vam prisel pohled "poslete mi pristup k vasemu uctu", udelali by ste to? A co kdyby se nekdo podepsal "Bill Gates" nebo vam rekl, ze jinak stratite vsechny penize v bance?
Overovani je vzdy stejne - i kdyz vam dojde dopis, ze banka neco chce a je to duveryhodne, tak stale jdete za bankou a ta vam mozna rekne, ze slo o podvod - nebo ne. Nikdy neodesilate odpoved nekam do P.O.BOXu.
Stejne kdyz vam nekdo vola a predstavi se, ze je Elon Musk a rozhodl se rozdavat sve jmeni, tak mu asi hned neposlete penize.
Kdyz vam nekdo neco da sam od sebe, je to vzdy treba nezavisle overit. Kolega zazil scam, kde se scammer naboural do emailu sales a ve vhodnem momentu poslal sve cislo uctu a snazil se uspisit prevod penez. Kolega nechtel posilat tisice USD jen tak, tak si to overoval telefonicky a zjistil, ze cislo uctu nesedi.
Nereste hlavicky a technicke detaily, budte bezni paranoidni uzivatele. Ucte tomu i sve blizke, muze se to hodit.
Hm, ale víš, že i s bankou můžeš komunikovat přes P.O.BOX?
Komerční banka a její oficiální adresa kam posílat doporučené dopisy:
Na Příkopě 33, 114 07 Praha 1, P.O. BOX 839, Česká republika
Teď mi řekni, jak tohle máš teda ověřit?
S nezaručeným emailem souhlasím, ale bohužel on se používá k docela dost důležitým věcem, mezi lidmi a i interně ve firmách. Drtivá většina přihlášení/resetu hesel spoléhá na emaily a není z toho uniku.
Ten P.O.BOX je na smlouve, cimz nabyva jine dulezitosti.
Stejne jako "never nikomu" plati, ale kdyz do prohlizece napisu "kb.cz" a dostanu https zabezpecenou stranku, tak se muzu domnivat, ze jde o Komercku. Kdyz mi nekdo posle, ze mam neco delat na komercka.cz nebo neco co neznam, tak budu na pozoru.
a pak ti příjde email z webu kb-servis.cz nebo odkaz vede na mojebanka.cz. Naštěstí zrovna KB na tohle poslední roky pracuje a sjednocuje, jen dobře.
Zmiňoval jsi P.O.BOX a ne to, že máš každou adresu ověřovat podle nezávislých zdrojů (ideálně smlouva, ověřený kontakt, doména). To je pak správný postup.
Na to clo jsem na moment skončil i já. Chodí mi ze zahraničí každou chvíli něco (Ali, eBay...), takže když mi došel email od pošty, že mám zaplatit pár korun na celní řízení, varovná kontrolka nesepnula hned. Když jsem viděl adresu stránky, na kterou mě to přesměrovalo, došlo mi, že tady něco smrdí, a zastyděl jsem, že jsem na to jako počítačově znalý člověk nepřišel hned. Nicméně si dokážu živě představit, že běžný uživatel tím procesem projde, aniž by pojal jakékoliv podezření. Jako moje sestra, která mi včera volala, že se jí začaly strhávat z účtu částky za platby kartou u nějakého španělského eshopu. Netuší, jak se mohli k údajům její karty dostat, ale klidně to mohlo být něco takového.
@Jiří Eischmann
U rodiného příslušníka jsem řešil něco podobného. Prostě si zaplatil jednorázovou službu, to mu automaticky zřídilo účet na jiné a tam po půl roce "zdrama" začali strhávat nenápadně penízky.
Long story short, služba "ochotně" po určitém "přemlouvání" vrátila větší část peněz (proces ještě běží), protože nechtějí být vyřezeni z bankovního systému.
Podle mě je zde problém vůbec ten, že banky něco takového umožňují - aby se někdo vůbec něco strhával bez explicitního souhlasu. Chápu, že je to pro ně dalších pár grošů, pro mě jako uživatele je to pras...čuňárna.
Pokud neznáte, doporučuji k pobavení a možné osvětě
https://www.youtube.com/c/JimBrowning/videos
8. 2. 2022, 10:33 editováno autorem komentáře
Ten systém platebních karet prostě preferuje zpětnou kompatibilitu před bezpečnostní. Placení online s 3D secure většině těchto podvodů předejde, ale žijeme ve světě, kde v USA pořád používají offline "žehličky", řada online obchodů 3D secure vůbec neumí... A s tím vším musí být ty platební karty kompatibilní, aby člověk zaplatil.
Jinak u sestry to opravdu byl tento podvod. Napsal jsem jí, jestli jí třeba nedošel mail s žádostí o zaplacení cla. A taky že ano. Na začátku ledna jí došlo, že má zaplatit dvě eura, aby jí proclili balíček, zrovna měla něco objednané z AliExpressu a četla, že se teď bude muset platit clo na všechny objednávky. Tak to v dobré víře zaplatila. Udělali s tím 3 platby u španělského eshopu s parférmy po 1000 Kč, všimla si až té třetí platby. Karta zablokovaná, reklamace běží, tak jsem zvědavý, jestli ten systém má nějaké páky, jak dostat aspoň část těch peněz zpět.
S tím clem se mi něco takového taky stalo:
Čekal jsem balíček z Šyny (drobnost testující nové clení), balíček šel dlouho (přes 2 měsíce), tak jsem si říkal, že to už asi nejde posílat. Pak jsem našel v poště e-mail požadující platbu za clení. Odesílatel byl z Ruska! V minulosti mi už některé balíčky přišly třeba přeposláním z Tbilisi, ale nebylo mi jasné, proč by mělo Rusko řešit clení. Smrdělo to natolik, že už jsem to dál nezkoumal, nechal to smrdět a testovací balíček oželel. Ten pak přišel dobrovolně za 14 dnů nato. Doteď nevím, co se stalo.
Vždyť ten explicitní souhlas přece dal rodinný příslušník, když si zřizoval ten účet.
Asi ne, když byl "associated" účet zřízen na úplně jiné službě ;-) a a nemusel nic poslat ani schválit, protože platbou na tom prvním aktivoval k placení po uplynutí lhůty i ten druhý. Co jsem vyčetl, toto je "standardní" praxe u nekalých podnikavců na hranici zákona - něco podobného jako když souhlasíte už tím, že po zvednutí telefonu někoho zrovna nepošlete do ...
Ano, můžete to tady na mě hrát tak, že jako v těch pravidlech to někde nakonec, tzv. "malým pod čarou" na 155. straně najdete, za mě je to pěkná pras...kulišárna a s jakýmkoliv kalým podnikáním nemajíce společného ani za mák. Co víc k tomu napsat ...
Automaticke obnovovani je v businessu bezne i kdyz to neni pro zakaznika vzdy ferove. Treba idnes.cz neponouka moznost predplaceni premium bez obnovovani.
Jeste horsi to bylo u nekterych US novin, kde kdyz mate predplaceny treba 1 rok jako 9 mesicu + 3 zdarma. Po uplynuti 9 mesicu se vam ozvou, ze se vam obnovi predplatne na dalsi rok. Tak automaticke obnoveni zrusite a oni vam spolu s tim zrusi i cele predplatne. A je to "ferove", ty 3 mesice totiz byli zdarma.
Já budu konkrétnější - podobná záležitost se mi stala u Nitroflare (stahovací služba). Když tam vyplníte údaje karty přímo (volba Credit Card, třeba EUR nebo USD), platba bez problému proběhne, ale máte téměř jistotu, že jste údaje o kartě předali třetí straně. Vše "3D-Secure", ale v reálu to neověříte. Naštěstí byly později pro banku platby v Rusku podezřelé a zablokovala je. Vyřešilo se to novou kartou. Všude, kde to jde už používám platbu kreditkou přes PayPal nebo platím telefonem.
Tak k tomu přidejme fakt že přihlašování je skoro všude, telefonní číslo chce kde kdo, včetně služeb kde telefonovat nechcete, nepotřebujete ani nebudete, přesměrování pladeb na 'kdoví jaké' cizí domény provádí i zavedené obchody a ještě k tomu přidávají spoustu potvrzování a kódů, zatím co platba někde u rákosníků probíhá bez toho no a na závěr to dorazí hromada nástrojů které potřebují neustále něco, povolovat, potvrzovat, stahovat, spouštět, aktualizovat a pořád dokola. Na závěr to dorazí pravidelná dávka souhlasů, na jejichž prostudování by padlo tak 25 hodin denně. No a máme tu ideální podmínky pro nekalé aktivity, protože ty legitimní jsou často mnohem podezřelejší. Podvodníci byly jsou a budou, ale ty životní podmínky by se jim nemuseli neustále vylepšovat.
Indicki scammeri mi volali cca pred pol rokom. Zo slovenskeho cisla s tuhym indickym prizvukom a hlukom v pozadi. V tom case som nevlastnil ziaden stroj s Windowsom + som videl kitbogove videa, tak mi bolo jasne o co ide. Ale bol som zvedavy kam az zajdu.
Klasicky sa snazili nainstalovat najprv teamviewer, potom nieco ine podobneho zamerania. To slo na Linuxovy ARMovy stroj blbo. Komicke boli momenty, ked mi aj Firefox aj Plasma pri pokuse o otvorenie execka vyhadzovali dialog "Open with..." a ind nevedel, co s tym. Ze nech to v niecom skusim otvorit. Well, FreeCAD execka neotvara :)
Ked nesiel teamviewer, tak ma nechali pisat nejake prikazy do konzoly, zrejme preto aby ma presvedcili, ze som vyhaxorovany. A ked ani widlacke prikazy nepadali v shelli na urodnu podu, tak proste chceli na drzovku prihlasovacie udaje do internet bankingu.
Za cely ten cas sa pri telefone vystriedali tak traja alebo styria indovia, zrejme podla levelu seniority v odrbavani. Ten posledny to ale vzdal rychlo ako bezndejny pripad. Suma sumarum som ich pripravil o hodinu casu, kedy mohli o peniaze odrbat niekoho ineho.
Dělá přímo pro Microsoft, můj počítač prý zjevně ovládají hackeři
Nemůžu si pomoci, ale už tohle měl být ten okamžik, kdy zavěsíte. Ne až někdy mnohem později, když vám nechtějí poslat nějaké doplňující údaje. Microsoft vám opravdu nikdy nebude volat kvůli nějakému viru – vždyť Windows používají asi miliardy uživatelů, neplatíte za ně skoro nic. To by se Gatesova nadace musela hodně plácnout přes kapsu, aby bylo něco takového možné financovat. No a pak nechat někoho úplně cizího ovládat svůj počítač přes TeamViewer a AnyDesk, to už je daleko za hranou čehokoli rozumného.
Díky za sdílení zkušeností, ale rada v tomhle případě musí být: Jakmile vám volá někdo z Microsoftu, Googlu, Apple apod. kvůli vašemu počítači, e-mailu, bankovnictví apod., je nejlepší hned zavěsit, protože je to falešné volání. Maximálně můžete říct, že se s někým poradíte a ať vám zavolají později, kdy už budete mít svého „přítele na telefonu“. Ale to dává smysl třeba u banky, kde vám opravdu volat můžou (ale ne kvůli virům, třeba kvůli podezřelé transakci kartou) – ale z Microsoftu vám kvůli viru fakt nikdo volat nebude. A ani v té bance by samozřejmě nic neřešili přes TeamViewer nebo AnyDesk.
Je zajímavé, že na různé příběhy reagují různí lidé 'to je přece jasné na to by nikdo přece nemohl skočit', ale každý na jiný z těch příběhu. Ve skutečnosti jde o to, že se útočník snaží získat si důvěru oběti. Ve chvíli kdy se mu to podaří, tak je hotovo. Proto je tak důležité ukázat jejich konkrétní postupy, nejspíš i poukázat právě na ty momenty, kdy člověk má přijít na to, že je to podvod.
Já jsem rád za popis různých postupů i za to, že jdou některé velmi daleko. Jenom jsem chtěl upozornit na to, že ten moment, kdy by měl uživatel velmi zbystřit, je v tomhle případě hned na začátku – protože opravdu nikdy nikomu nevolá nikdo z reálného Microsoftu, Googlu nebo Applu kvůli tomu, že má napadený počítač (například i proto, že nemají jak zjistit vaše telefonní číslo). Třeba s tou bankou je to složitější, z banky vám opravdu volat můžou, takže tam je složitější to rozpoznat.
Předpokládám, že ten článek má sloužit jako návod, co mám říct méně znalým příbuzným nebo známým, když se mne budou na takovéhle věci ptát. A ta rada určitě nebude „zjisti si víc informací o tom, kdo ti volá“, ale „určitě ti nebude volat nikdo z nadnárodních korporací kvůli zavirovanému počítači – pokud se za ně někdo vydává, je to podvod“. A druhá rada bude „nikdy nedělej na počítači nic podle pokynů někoho, kdo ti sám od sebe zavolal“.
Nějak mi to připomnělo Psirény:
KOCOUR: Slyšeli jste? Chtějí rozsévače semene. Já si podám žádost. Vy to vyřiďte s psirénami, já zařídím tamto.
RIMMER: No, jestli jsou tohle jejich nejrafinovanější svody, tak si myslím, že nám žádné očarování nehrozí.
KRYTON: Psirény použily svůj důmysl jen v míře potřebné pro přivábení Kocoura a zabralo to. Kdybychom ho nezadrželi, plazil by se teď bez mozku na jednom z těch asteroidů a snažil se napsat: „Bože, jsem to ale osel!“ obsahem vlastních střev.
Čili: podvodníci použili svůj důmysl jen v míře potřebné pro přivábení běžného uživatele. To neznamená, že příště nemohou použít pokročilejší trik.
Vynechal jste část, která ukazuje, že podvod může být pro uživatele tak lákavý, že potlačuje varovné příznaky:
KOCOUR: Éé, třeba jsem strašpytel, ale nemyslíte si, že to byly psirény?
LISTER, KRYTON a RIMMER souhlasně kývají hlavou.
KOCOUR: I ta bruneta?
LISTER, KRYTON a RIMMER opět souhlasně kývají hlavou.
To tak úplně není pravda. Před lety mi volalo neznámé pražské číslo a ozvala se dáma, že je ze "zvláštního oddělení" mé banky a že se by mnou potřebovala krátce mluvit. Byť obvykle v takové situaci okamžitě zavěsím, vyslechl jsem - jestli prý nejsem momentálně v Americe nebo jestli jsem se odtud právě nevrátil (ne). Že si to myslela; jejich kontrolní systém zachytil podezřelé transakce s mou kartou, ať se kouknu na můj účet u nich, a že za chvíli zavolá (do účtů že nevidí).
Bylo to tam, ve čtyřech výběrech chybělo pomalu 50 000 Kč, výběr hotovosti v nějakém nákupním středisku v Texasu. Když se ozvala, řekla mi, ať si nechám zablokovat kartu a skočím do pobočky podat reklamaci Poprosil jsem ji, jesli by nevěděla nějaké detaily, o co šlo. Slíbila, že to zkusí a opravdu zjistila. Asi půl roku předtím jsem si ve vyspělé severské zemi rezervoval hotel, což bez karty nešlo; no a hotelový systém pak někdo naboural a získal čísla karet.
Ještě happy end - třetí den jsem peníze zpět.
8. 2. 2022, 13:25 editováno autorem komentáře
Jenže oni nevolají aby pomohli vám, ale aby pomohli sobě, protože "Váš počítač útočí na náš server!!".
Možná jste se nesetkal se žádným zkušeným "šmejdem". Ti lidé v tom umí chodit, kdy zatlačit, kdy ustoupit, jak nahodit vějičku.
Navíc je jiná situace, když se o tom mluví/píše na fóru pro ITíky nebo v rámci firemního školení.
A hodně jiná, když náhodnému BFU někdo volá v době kdy to nečeká, nejlépe když se soustředí na něco urgentního do práce.
Navíc spousta BFU nečeká že to může být telefonát v češtině, když teprve nedávno začali chodit spamy jakž takž česky. A navíc vytrvalost taky přidává na důvěře (klidně volají 5x s odstupem i několika dní).
U příběhu s telefonním podvodem a podporou do Microsoftu je skoro doslovná citace (anonymizovaná a v některých částech přeformulovaná ze stylistických důvodů). Asi by to mělo být ještě jinak formátované, aby to bylo zřejmé.
Všechny ty příběhy se stali někomu koho znám osobně. Jenom v jednom případě (pokud vím) došlo i k finanční škodě.
To s tim bazosem se mi stalo taky. Tenhle typ "utoku" jsem neznal, takze jsem tomu fakt asi 5 minut veril. Kupujici me odkazal na stranky s adresou https://secur-deal.site/dpd/cz/info (jiz nefunkcni, nahlasil jsem), vydavajici se za stranku patrici pod DPD. Ta stranka vypadala celkem presvedcive, odkazovala na oficialni stranky DPD, ale obracene z DPD se na tuto sluzbu dostat neslo, takze uz mi zacinalo byt jasne, o co jde. Po procteni (falesnych) podminek transakce, kde jedna z polozek je zadani udaju platebni karty to uz bylo na tuty.
Celkove tedy princip tohoto podvodu chapu tak, ze se vam nekdo snazi vsugerovat myslenku, ze potrebuje vase platebni udaje z karty, aby vam mohl zaplatit. Ve skutecnosti k tomu ale samozrejme potrebuje jen cislo uctu. Mimochodem, kdyz jsem dal manzelce precist celou komunikaci a zeptal se, jak verohodne se ji to cele zda, tak pry ze na tom nevidi nic divneho.
Takze - davejte si bacha, nejenom na sebe, ale i na to, co delaji vasi pocitacove nezkuseni blizci - uz jsem takhle jednou zarazil tchyni od vyplneni jeji karty neznamo kam, zatimco ji v tom tchan podporoval.
„Celkove tedy princip tohoto podvodu chapu tak, ze se vam nekdo snazi vsugerovat myslenku, ze potrebuje vase platebni udaje z karty, aby vam mohl zaplatit.“
Proto mi pořád nedocházelo, v čem jako spočívá ten podvod, protože to nedávalo ani smysl...! Tak jestli na takovouhle hovadinu někdo skočí, tak by asi neměl vlastnit platební kartu, ne?
Ano, tenhle postup „zaplatím vám, ale abych vám mohl zaplatit, potřebuji nejdřív, abyste vy zaplatil mně“ je docela častý (u podvodníků). Nepoužívá se to jen s platebními kartami, ale i s bankovními účty, převody kryptoměn apod. U těch platebních karet je to ale obzvlášť pikantní, protože tam jde ve skutečnosti peníze posílat jenom jedním směrem (v opačném směru můžete jenom vrátit dříve stržené peníze).
U těch platebních karet je to ale obzvlášť pikantní, protože tam jde ve skutečnosti peníze posílat jenom jedním směrem (v opačném směru můžete jenom vrátit dříve stržené peníze).
Zrovna tohle, kupodivu, tak úplně neplatí. Kdysi jsem pro kamaráda zařizoval objednávku z jednoho ruského e-shopu. Jejich možnosti zaslání platby byly nekompatibilní se vším, co jsem kdy předtím viděl, ale mj. tam měli snad u několika bank něco jako "platba NA kartu". Po delší výměně mailů se zástupcem e-shopu, jak vlastně za zboží zaplatit (do zahraničí normálně neposílali), jsem nakonec opravdu skončil u platby NA jeho kartu. Už ani nevím jak, ale zjistil jsem, že se to dá realizovat přes TransferWise (dnes už se to asi jmenuje jinak). Takže i k mému údivu ty platby můžou za nějakých okolností fungovat i v protisměru.
Otázku rizik ponechávám stranou, kamaráda jsem dopředu upozornil. Naštěstí to nakonec klaplo k plné spokojenosti.
Tyhle podvody jsou ale dostatečné pro to, aby mohli být úspěšné u řady lidí.
U jednoho klienta (velká banka) se dělala před pár měsíci pokusná scam kampaň. Výsledky jsou tragické, zachycená hesla 2FA tokeny i od administrátorů, bezpečnostních expertů. Mohli jsme použít pouze veřejné informace, registrovali jsme doménu s překlepem na jméno dané banky, okopírovali přihlašovací stránky, vymysleli příběh a komunikovali přes telefon/sms/email. Příprava trvala měsíc. Uměle jsme vytvořili tlak zvolením správné doby, kdy vyžadovat spoluaktivitu. Přes linkedin jsme zjistili vztahy a kontakty (emaily šlo odvodit podle jména), "zranitelnost" v internetovém bankingu nám zase prozradila telefonní čísla zaměstnanců.
Podobný "úspěch" prezentovalo nedávno i cz.nic.
Pokud se podvodná kampaň nachystá s lepší pečlivostí, chytíme se do toho jak nic i my z IT, kteří se tady kasáme, jak na podobné triky může skočit jen tupec.
Kdysi (hodně) dávno) jsem řešil v práci jakousi phishingovou kampaň s podvrženými odkazy. Kromě jiného došlo i na informační e-mail zaměstnancům, aby na nic bezhlavě neklikali a ověřili si, zda odkazy vedou
pouze po firemní doméně - poslední dvě slova byla odkazem na externí "extra podezřelou" doménu, kde byla jen jednoduchá stránka s upozorněním, že to četli nepozorně, plus počítadlo.
Počet zaměstnanců to překročilo do půl hodiny po odeslání mailu.
to ano, ale ne všechny interní systémy používají SSO. Pořád uvnitř našich společností sedí různé přihlašovací obrazovky, různé systémy a protokoly, ssh, jdbc a jiné connection stringy. Přihlašování na systémy, které primárně webové, dostat věci jako yubikey bývá těžké, občas není ani snadné získat vůbec možnost zobrazit uživateli pole pro zadání výzvy, ale lepší se to.
Já doufám, že bankovní transakce neověřujete pomocí SMS a pokud ano, tak bych se zamyslel nad změnou banky, protože už rok se to nesmí.
Já ano, naposledy minulý týden a nevím, že se to nesmí :-)
Edit: aha, asi jsem přehlédl, že je řeč o přihlašování k bance z mobilu...
8. 2. 2022, 15:20 editováno autorem komentáře
Že to nevíte, že se to nesmí, je OK, že to neví banka, u které to ověřujete, už je celkem na pováženou.
Ale není to tak jednoduché. SMS se pořád za určitých okolností může používat. Pro autorizaci přihlášení/platby/převodu se musí použít dva ze tří faktorů: 1. něco, co vlastním, 2. něco, co znám, 3. něco, co jsem. SMS se pořád může používat pro faktor č. 1. Pořád to ale musí banka doplnit o další faktor, tedy třeba o PIN, který znáte jen vy, nebo o váš ověřený biometrický údaj.
Každopádně SMS je snad nejslabší z prostředků pro ověření faktoru č. 1, takže pokud ho některá instituce pořád používá bez alternativy, raději bych se od ní držel dál.
Já bych rád alternativu - ideálně asi HW token - ale celkem nikdo nic nenabízí (a nejlíp ani ne tak k účtu, ale k brokerovi (používám Fio a Degiro)). (nemám smartphone, a vzhledem k bezpečnostní historii ekosystému Androidu si myslím že i kdybych si ho kvůli tomu koupil, tak to nebude lepší - leda si koupit kvůli bance iphone, nebo nějaký hodně highendový Android přímo od Googlu(?), ale zas tak bohatý se necítím :)
řádka jich byla :). Bohužel člověk nemá čistý Android, nadstavby od výrobců jsou na tom hůře, stejně tak jejich HW, najít bezpečný Android není snadné. Apple to má zajímavější, má jen několik řadu výrobků a všechny splňují poměrně vysoké standardy (v rámci oboru).
Teď třeba ve vzduchu běhá CVE-2021-0968 a kolik myslíš, že Android telefonů už aktualizací má a kolik myslíš, že jí nikdy neuvidí? Bezpečnostní skeny u app storů zatím ne dostatečně fungují a prochází aplikace, které má pod kontrolou útočník.
Teď třeba ve vzduchu běhá CVE-2021-0968 a kolik myslíš, že Android telefonů už aktualizací má a kolik myslíš, že jí nikdy neuvidí?
CVE-2021-0968 umožňuje útočníkovi přepsat obsah obrazovky, když potřebuje? Nevylučuju to, ale z popisu podle mne nic takového patrné není.
Bezpečnostní skeny u app storů zatím ne dostatečně fungují a prochází aplikace, které má pod kontrolou útočník.
Ano, ale to ještě neznamená, že je možné takové aplikace použít pro únos potvrzovacích údajů.
Mne by právě zajímala nějaká chyba v minulosti (nebo aktuální), která by umožňovala zneužít ty autorizační aplikace. Protože to, že je v Androidu dost bezpečnostních chyb, to všichni víme. Ale pro zneužití autorizační aplikace je možné zneužít jen některé chyby.
No právě CVE-2021-0968 (nebo třeba CVE-2021-0918 či ještě CVE-2021-0930) ti poskytno dveře k využití třeba třeba CVE-2021-1048, získat vyšší práva a poté manipulovat s aplikací, která řeší bezpečnotní tokeny. Stejně tak CVE-2021-1048 můžeš získat s instalovanou aplikací, je app storu jich je ještě řada neopravených (a reportovaných do Googlu). To se bavíme o zranitelnostech z posledních měsíců a obě dvě jsou aktivně zneužívány a živé.
..., 11:56: Pořád v tom výčtu nevidím evidentní cestu, jak ty chyby zneužít k autorizaci falešné transakce. Netvrdím, že to nejde – a vím, že v bezpečnosti platí, že to, že já neznám konkrétní způsob, jak něco napadnout, neznamená, že neexistuje. Nicméně tady se bavíme o tom, co je reálně zneužitelné. Původní vyjádření jsem chápal tak, že existují známé způsoby, jak potvrzovací aplikace napadnout. Z uvedených příkladů mám ale dojem, že je to jen „nelze vyloučit, že kombinací různých chyb by se dalo docílit podepsání falešné transakce“. On je totiž výrazný rozdíl, jestli řešíme to, že útočník může nějak (jakkoli) v mobilu škodit – a když pak řešíme, jestli dokáže unést konkrétní potvrzení transakce, tj. jednu specifickou akci prováděnou v několika konkrétních aplikacích.
Reálná bezpečnost nezáleží jen na technické bezpečnosti, ale také na použitelnosti. Nepotvrzování transakcí zadaných na PC nebo jejich potvrzování pomocí SMS vůbec nebudu brát v úvahu, to je méně bezpečné, než chytrý mobil. Pak připadají v úvahu ještě šifrované SMS a aplikace v SIM toolkit – ale podpora SIM toolkit v tlačítkových telefonech nebyla úplně ideální, v chytrých mobilech ještě klesla k hranici nepoužitelnosti, takže dnes už to ani operátoři nepodporují. HW tokeny jaké se používaly před dvaceti lety (opíšu číslo účtu a částku do tokenu, opíšu kód z tokenu do PC) jsou pro běžné uživatele nepoužitelné a byly by dražší, než mobil. Kdyby měly být přívětivější, mít v sobě čtečku QR kódů a ovládat se dotykovým displejem, vyjde nejlevněji upravit nějaký existující mobilní telefon s Androidem. Lidé by pak ale oprávněně namítali, proč u sebe mají kvůli bance nosit druhý mobil, který jim k ničemu jinému není. A kdybyste lidem takhle internetové placení zkomplikoval, budou ho používat méně – což by se samozřejmě bankám nelíbilo. Případně budou víc používat věci jako PayPal a podobné, které mají horší zabezpečení, než internetové bankovnictví, takže tím si s bezpečností také nepomůžete.
Takže mi z toho vychází, že zabezpečení pomocí potvrzování v mobilu je nakonec docela vhodné řešení. Pro uživatele to není moc otravné, takže to používají (je to akorát tak na hraně „chce to po mně něco na víc, takže je to určitě bezpečné“) a neodchází k jiným ještě méně bezpečným systémům. Nenapadá mne, jak to prakticky udělat lépe.
v tomhle jsem také spíše uživatel, ale zrovna CVE-2021-1048 způsobil pěkný poprask, i decentní zpráva v Android Security Bulletin:
There are indications that CVE-2021-1048 and CVE-2021-0920 may be under limited, targeted exploitation.
Ukazuje, že reálně se používá. Umožní aplikaci získat systémová oprávnění a pak samozřejmě je možné komunikovat s jinými aplikacemi. Má dost vysoké score a tlak na její opravu byl značný.
„Komunikovat s jinými aplikacemi“ mi nepřipadá jako tak vážné riziko, zejména když potvrzovací aplikace nejspíš nebudou mít vystaveno moc komunikačních bodů, přes které by s nimi bylo možné komunikovat. Nejsem si jist, zda CVE-2021-1048 znamená, že je možné spustit libovolný kód s právy roota – tam by pak hrozilo, že to třeba přepíše data zobrazovaná aplikací. Nezpochybňuju závažnost CVE-2021-1048, nicméně ty potvrzovací aplikace dělají pár jednoduchých věcí, takže vektorů pro útok není mnoho.
HW token má složitou použitelnost s mobilními telefony (přibývá lidí, kteří nemají počítač), stejně tak je složitá použitelnost na cizích počítačích jako např. v práci (nemá se, ale lidé se přihlašují k bankovnictví všude možně).
Další úskalí je cena, HW tokeny stojí pořád několik stovek a je otázka, kdo to bude hradit.
S bezpečnostní to nemusí být také nijak veselé, při ukradení/ztrátě peněženky zpravidla příjdu i o HW token, poté se dostat na účet může být pro útočníka snadné. HW token s pinem je další komplikace (buď pin zadávám na straně počítače, je to tedy zranitelné na MitM útoky a zároveň potřebuji SW na straně počítače nebo HW token má display a klávesnici, poté řeším cenu, přístupnost - pro lidi s horším zrakem, menší citlivostí prstů atd. a hlavně také řeším vymačkání kláves, protože pin je pořád stejný).
Není to jednoznačné, současná volba aplikací není špatná, škoda, že se zatím neprosadily moc univerzální aplikace, na trhu ani ten výběr není velký.
HW token je s bezpecnosti jinde; ne vzdy lepe.
U potvrzeni platby prez mobil vidim cas, castku, cilovy ucet. Mozna mi nekdo hackne mobil, ale hacknout up to date PC a mobil a sparovat je z pohledu utocnika, to neni jen tak. Nevim o malwaru, co by to nekdy delal.
HW token nikdo nehackne, ale kdyz ziska pristup k PC, tak vam prakticky libovolne zablokuje vasi dalsi transakci nebo ji presmeruje jinam. Mozna i s jinou castkou. Zobrazeni jineho uctu a castky malware dela bezne.
Slovenská Tatra Banka mala kedysi dávno "kalkulačku", kam človek vložil platobnú kartu, zadal tuším číslo účtu (alebo nejakú jeho časť) a sumu (a PIN), a to mu vygenerovalo kód pre tú konkrétnu platbu. Bolo to prakticky nepriestrelné, ale užívateľsky otravné ako yperit.
Ďalší vývoj som nesledoval, lebo hneď po "zmene poplatkovej politiky" pred asi 10-timi rokmi som od nich ušiel.
HW token nikdo nehackne, ale kdyz ziska pristup k PC, tak vam prakticky libovolne zablokuje vasi dalsi transakci nebo ji presmeruje jinam.
Nepřesměruje. Když se bavíme o HW tokenu, bavíme se doufám o něčem takovém, s čím začínala Expandia Banka (později eBanka, pak ji koupila Raiffeisenbank). Vypadalo to jako kalkulačka – číselná klávesnice s displejem. Tam jste zadal číslo účtu, částku a konstantní symbol, na základě toho „kalkulačka“ vygenerovala jednorázový kód, který se opsal do bankovnictví.
Autorizace transakce, u které nepotvrzujete alespoň tyhle tři údaje, by byla k ničemu.
Výrobní náklady HW tokenu budou vyšší, než výrobní náklady na mobilní telefon. Navíc bude mít HW token nejspíš podstatně horší UX a tím i bezpečnostní funkci – asi nebudete mít na tom HW tokenu 5" barevný displej, na kterém se pohodlně zobrazí údaje o transakci.
Takže nedává smysl takové HW tokeny řešit. Pokud nemáte chytrý mobilní telefon, nebo ho nechcete používat pro potvrzování transakcí, pořiďte si levný chytrý mobilní telefon, nepřipojujte ho do telefonní sítě ani k WiFi (mimo úvodní instalace) a používejte ho jako ten HW token. Pořád to bude levnější a funkčně to bude to samé.
> nepřipojujte ho do telefonní sítě ani k WiFi (mimo úvodní instalace) a používejte ho jako ten HW token
To funguje offline?
> Výrobní náklady HW tokenu budou vyšší, než výrobní náklady na mobilní telefon.
Tak třeba Bitcoinové tokeny (Trezor, Ledger) jsou minimálně nastejno a to je v tom hromada vývoje v prostředí mnohem nepřátelštějším než banky; samotný HW (mikrokontrolér + displej) stojí úplný pakatel.
(ale jo, asi tuhle cestu zvážím)
To funguje offline?
Ty rozumné fungují i offline. Standardně fungují online (je to pohodlnější, uživatel nemusí nic přepisovat), ale dají se přepnout i do offline módu.
Tak třeba Bitcoinové tokeny (Trezor, Ledger) jsou minimálně nastejno a to je v tom hromada vývoje v prostředí mnohem nepřátelštějším než banky; samotný HW (mikrokontrolér + displej) stojí úplný pakatel.
Nejlevnější Terzor, který jsem našel, je Model One za 1750 Kč, a to nemá klávesnici. Nejlevnější nové mobily s Androidem má CZC za 1590 Kč, Alza má jeden kus za 1390 Kč. Právě proto, že levný mobil s Androidem stojí ještě o pár pětek míň, než úplný pakatel, nestojí za to vymýšlet nějaké jiné řešení.
Ze zásady se do bankovnictví nepřihlašuji z mobilu a nemám nainstalovanou aplikaci své banky. Proč by mě nemohli ověřovat přes SMS?
Mobil je jiný další prostředek, který mám (splňuje pravidlo 1) a je to nejspíš jediný prostředek z toho "co mám", co může banka použít... Jasně, že by bylo lepší použít kvalifikovaný osobní certifikát, ale tam je riziko velmi snadného kopírování, což u sim není tak žhavé (jo, jde to, ale neumí to každý). No a HW token jsem si chtěl pořídit už před delší dobou, ale dost mě odrazují ceny a nulový výběr.
Naposledy jsem o HW tokenu uvažoval v souvislosti se zabezpečením KeePassu, ale pak jsem dospěl k závěru, že mít jako povinný zabezpečovací prvek kus HW, který se snadno poškodí nebo ztratí a neexistuje způsob, jak ho "zachránit" nebo duplikovat při poškození/ztrátě, není dobrý nápad.
Mobil je jiný další prostředek, který mám (splňuje pravidlo 1)
Jenže SMS neověřuje, zda máte mobil, ale zda jste schopen přečíst SMS zaslanou na dané číslo. A to bohužel kromě vás zvládne i spousta dalších lidí.
Jasně, že by bylo lepší použít kvalifikovaný osobní certifikát, ale tam je riziko velmi snadného kopírování
Ne, pokud je privátní klíč uložen na tokenu nebo čipové kartě, je prakticky nemožné zkopírovat ho.
což u sim není tak žhavé
Jenže pro přečtení SMS není potřeba kopírovat SIM. Za prvé mají k SMS přístup zaměstnanci operátora, za druhé není tak těžké přesměrovat SMS na jiné zařízení.
No a HW token jsem si chtěl pořídit už před delší dobou, ale dost mě odrazují ceny a nulový výběr.
Když se bavíme o potvrzování bankovních transakcí a HW tokenu, je to jiný token, než token pro „pouhé“ uložení privátního klíče.
Jenže pro přečtení SMS není potřeba kopírovat SIM. Za prvé mají k SMS přístup zaměstnanci operátora, za druhé není tak těžké přesměrovat SMS na jiné zařízení.
Víte o nějakém případu, kdy by zaměstnanci operátora zneužili ověřovací SMS? Jak se provádí to přesměrování SMS na jiné zařízení? Jde to udělat jen přes operátora nebo je nutné něco nainstalovat na mobil? Kdyby telefon nebyl připojen k internetu, tak by SMS byla přeposlána na nějaké anonymní číslo, jehož majitele nelze identifikovat?
k přesměrování sms, tady je popsaná jedna z technik https://attack.mitre.org/techniques/T1449/, probíhá to na úrovni samotného SS7 protokolu a v tomhle případě je nutné být na stejné buňce.
Naši operátoři mají dobře technicky vyřešený přístup k samotným sms, takže minimum lidí se tam dostane. Zprávy ze světa, ale tenhle typ útoků zmiňují často. Ale i u nás je poměrně častý útok "sim swap", kdy útočník donutí operátora vydat novou sms jemu do ruky.
Víte o nějakém případu, kdy by zaměstnanci operátora zneužili ověřovací SMS?"
Zneužití ve vlastním zájmu se asi tak často neděje, ale celkem běžné je to v součinnosti s policií, což v zemích, kde policie nejde jen po opravdových zločincích, není úplně příjemné. Např. Telegram varoval lidi žijící v takových zemích, aby si nastavili heslo jako další faktor, protože pozorují nabourávání do účtů skrze odchycené sms ve velkém rozsahu.
Jak se provádí to přesměrování SMS na jiné zařízení?
Těch způsobů je celkem dost. Operátoři to mají nejsnadnější, protože sms putuje přes jejich servery a sítě nezašifrovaná. Pak v některých zemích existují firmy, které nabízejí služby kolem sms a zajistí vám přesměrování po celkem směšné autorizaci z cizího čísla. Stojí to pár dolarů. Pak existují útoky, které dokáží zachytávat sms ve stylu MITM útoků (fake BTS apod), tam je ale omezení, že musí být v dosahu cílového telefonu. A pak jsou tu útoky přímo na zařízení. Když máte kontrolu nad telefonem, je přeposílání sms to nejmenší, rozhodně to je jednodušší než manipulovat s těmi mobilními klíči. Ty mají typicky zabudované mechanismy, jak různé napadení zařízení detekovat.
GSM je plný starých a děravých protokolů, které hackerům nabízejí velké pole pro kreativitu.
Taky nevím o tom, že by se to SMS nesmělo potvrzovat.
Mám účet u dvou bank - u jedné musím přepisovat SMS při potvrzování plateb, u druhé banky (KB) musím přepisovat SMS už jen při přihlašování do bankovnictví.
Já osobně to vyloženě nesnáším, musím hledat mobil pokaždé, když se chci podívat na zůstatek. Někdy když ho někde zapomenu nebo vytratím, tak se do banky nedostanu třeba několik dní.
Jo a několikrát už mi bankovnictví zablokovali, protože mi potvrzovací SMS chodily pozdě, a já přepisoval staré kódy.
(sranda je, že např. KB mojeplatba se dá tím SMS kódem shodit, mají nedokonale ošetřené vstupy)
No jo, ale jak mi to pomůže od toho, že musím mít zároveň u sebe PC i mobil? (navíc nemám smartphone). Do Android Emulátoru se mi KB klíč nepodařilo nahrát, stejně tak např. ani Revolut, kde mám peníze ke kterým se nemůžu už delší dobu dostat.
Nerozumím tomu. Do banky se se samotným telefonem zřejmě dá dostat, PC k tomu nepotřebuju. Naopak když se chci do bankovnictví dostat přes domácí PC, tak musím hledat ještě mobil.
nepleteš si to? Spousta poučítačů má TPM a dnes to je již poměrně běžné, naopak neznám ani jeden telefon, který by měl TPM.
V rámci adroid světa google poskytuje SafetyNet API, které podporuje řadu HW uložišť bezpečnostních údajů, používá to třeba i Google Pay. Aplikace pak má k dispozici třeba i SafetyNet Attestation pro zjištění aktuální úrovně bezpečnosti a může si nějakou úroveň podmiňovat.
Nevím, jestli se tomu říká i u mobilů TPM, IMO ano. Prostě HW kryptografický modul. Má ho snad každý Android s čtečkou otisků prstů a iPhone s FaceID.
Je fakt, že PC má podobný čip, ale tam chybí to napojení na otisk prstu / face recognition, plus tam není zdaleka takové oddělení aplikací, takže tam se dostatečně bezpečný scénář bez dalšího HW udělat nedá.
chápu, jestli to myslíš takhle, tak ano, mobilní telefony mají často daleko lépe vyřešenou end to end bezpečnost pro bezpečné potvrzování čehokoliv než samotné PC.
Já se zarazil na tom termínu TPM, protože to je protokol, který je primárně pro PC a není vhodný pro multi aplikační použití v mobilech.
Je to paradoxní, ale dříve to bývalo přesně naopak, ale mobilní telefony prostě vyrostli a dneska z nich začínají být bezpečné pevnosti, což jsem rád.
Nerozumím tomu. Do banky se se samotným telefonem zřejmě dá dostat, PC k tomu nepotřebuju. Naopak když se chci do bankovnictví dostat přes domácí PC, tak musím hledat ještě mobil.
Protože hardware + OS mobilních telefonů umožňují to zabezpečit na dostatečné úrovni – mobil má bezpečný čip TPM, OS k němu nepustí každou aplikaci a aplikace si nemohou jen tak kreslit po obrazovce, jak chtějí.
Hardware PC + OS takové zabezpečení neumožňuje – není možné na PC udělat takovou aplikaci, která bude mít data uložená bezpečně tak, že se k nim žádná jiná aplikace nedostane, a navíc ještě zaručit, že žádná jiná aplikace nebude kreslit na obrazovku a vydávat se za tu bezpečnou aplikaci.
Ceho se bojite vic? Napadeni signalizace gsm/3g/SS7 nebo toho ze vam zakerna appka vyzere sms? To riziko napadeni ss7 je fakt uvnitr CR dost male.
U toho prvniho je na miste obavat se pouze mimo CR. Apriori neverim i sluzbam ktere maji zahranicni sms cisla.
U toho druheho se da branit druhym mobilem. Idealne jedouci VoLTE - smsky na ims uz by mohli mit vsichni opove odladeny.
9. 2. 2022, 13:00 editováno autorem komentáře
Lidi uveri, a tomu se neda divit, protoze takove chovani podporuje treba i nas stat.
BYl jsem na PCR testu, pozitivni, a prisla mi trasovaci smska. Z neznameho cisla, odkazuji na nejaky web covidlab.cz. A tam chteji zadavat hromadu osobnich udaju, adres, vcetne hmotnosti, vysky. Jak ja vim ze ta smska je opravdu od statu, a covidlab.cz je opravdu spravna stranka pro sebereportovani? Proc to neni na gov.cz? Jedine co jsem nasel je jedna jedina zminka na covid.gov.cz, kde je napsane ze lidi se maji sebereportovat na covidlab.cz. Nic vic nikde nic.
Takze stat nas uspesne uci na nejake nezname stranky strkat vsechny mozne osobni udaje. Pak se nelze divit ze spousta lidi uveri dumyslnym podvodum.
Mne by sa hodila osveta, čo vlastne robiť, ak na podobný pokus o podvod natrafím.
Má vôbec zmysel nahlásiť to na políciu, kým reálne nedôjde ku žiadnej škode? Prípadne, nie je nejaká ľahšia cesta, ako reportovať podobné pokusy o podvod autoritám, ktoré by s tým mohli spraviť niečo skôr, než sa títo podvodníci nabalia?
Někdy si i oficiální instituce počíná jako phisher. Jak to pak má BFU rozlišit?
- Přišla SMS ze soukromě (736352430) vypadajícího čísla s odkazem na https://www.covidlab.cz/. Registrátor domény je FORPSI-CFS-S535722 a nějaká soukromá osoba. Vypadá to jako naprosto phishingová stránka a chtějí po mě vyplnit různé osobní údaje. (nevyplnil jsem, lidem, se kterými jsem se tehdy setkal, jsem o případné nákaze dal vědět sám) Proč proboha nemůžou být alespoň všechny tyhle věci jako xxx.gov.cz?
- Rozhodl jsem se, že si všechno, co podepisuju, budu fotit. Narazil jsem hned při první příležitosti, vyfotil jsem si žádost o vydání řidičáku (ten předchozí po 10 letech expiroval). „Vy si to fotíte?! To nemůžete! To je úřední dokument!“
Jo a teď dle pandemického zákona mě prý může taková noname SMS poslat do karantény.
A teď kocourkov. Jak mám vědět, že je to platná SMS od státní autority. Jak mám vědět, že je to fakt pro mě (chodí mi SMS i pro 18+ dceru), jak nemám být jednou nohou v kriminále (fakt nemám drobných 600kKč).
Je to k pláči. A tady se "odborníci" diví, jak jim na to můžeme skočit...
Skoro uplne zbytecne. Hlavne musi trasovaci smska vest na stranku mzcr, mzcr musi jasne ukazovat kde je trasovani, a nejlepe kdyby cele trasovani bylo pod soucasti mzcr. Po dvou letech pandemie je to porad blbe.
A dale proc doprkynka nejsou vsechny(!) statni weby na .gov.cz nebo jinak dane domeny? Mame tu pres 20 let internet, a presto nevim jak poznat ktere weby jsou statni a ktere ne.
A jsme u jádra pudla. Místo aby vláda konečně používala oficiální kanál komunikace (tedy DS, který je mi zřízen státní autoritou), tak nás nutí (pod pokutou) komunikovat na námi dobrovolně volené platformě (tedy bez záruky autorizace prostistrany). Pak to vypadá něco jako takto: https://www.lupa.cz/aktuality/celni-sprava-cr-upozornuje-na-podvodne-e-maily-a-zpravy-zasilane-jejim-jmenem/
A třešničkou na dortě je fakt, že povinnost mít GSM kontakt není, tak prosč se na tohle zaměřili je mi záhadou.
Já osobně, když chci něco zařídit na úřadě, tak taky nejdu do hospody za starostou, ale pěkně k přepážce oficiální budovy, nebo pošlu zprávu přes DS. A zpětný tok očekávám stejný.
DS jde číst z mobilu, oznámení o příchozí zprávě chodí na mail. Člověku to tak může trvat maximálně o pár minut déle než u SMS. Kámen úrazu bude spíš v tom, že DS má u nás jen 300 tisíc fyzických osob, to není ani 5 % dospělé populace. Dokud to nebude mít skoro každý, nedá se to na tento typ komunikace použít. A když to chce stát DS zavést každému, tak se zase zvedne vlna odporu, protože a protože... Tenhle boj nejde vyhrát. :-)
To chápu, já spíš poukazuji na to (pokud ten zákon chápu správně), že mohu být pokutován za to, za co nejsem vlastně právně postižitelný. U DS mohu, protože když mi nařídí ji vybírat, tak nemohu nic jiného (zřizovatel je stát), stejně jako další identifikace a vosery (tečka apod). Ale mít povinnej GSM a být povinen jej neustále vybírat a zodpovídat za funkci a přitom si jej platít z vlastní kapsy, to je neuvěřitelný. To je jako bych musel na vlastní náklady udržovat cestu, aby ke mě mohla poštovní doručovatelka s modrým pruhem...
Ale třeba ten zákon čtu špatně.
Antivirove programy "resi" problem toho, ze uzivatel nevi co dela v userspacu tim, ze se snazi vsechno prejit s pravami na urovni kernelu. Kdyz promineme, ze i Hello World jde napsat na 1000 ruznych zpusobu a tvurci antiviru nevedi rici, co to vlastne je malware, tak antivirus stale zvetsuje plochu pro utok.
antiviry jsou ale dnes chytřejší (nemyslím ty, kteří si sami těží kryptoměny), umí detekovat i nevhodné chování aplikací, např. zabránit šifrovacím malwarům nebo třeba zablokovat přístup na špatné (a aktivně zneužívané) weby.
Čím je uživatel pokročilejší, tím musí růst jeho potřeba mít systém pod naprostou kontrolou a pod naprostou kontrolou mohu mít pouze systém, kterému rozumím a který detailně monitoruji. Tohle zjištění ale provází období, kdy si myslím, že jsem pokročilý a tak nepotřebuji přece žádný monitoring (=antivir, aplikační FW, seccomp atd.).
Nejzoufalejší na tom je to, že přes miliardy investované do informační bezpečnosti (banky, firmy, stát) je užívatel naprosto nejslabším místem celého systému. Sám a ochotně poskytne přihlašovací údaje, číslo karty, odešle placenou SMSku. Kdyby jen zlomek investované částky šel do vzdělávání (nejen) BFU. Než člověk dostane řidičák, musí absolvovat autoškolu, než získá zbrojní průkaz, musí udělat zkoušku. Připojit se k internetu a dát všanc své peníze může ale úplně každý bez jakékoli překážky... Ale chápu, máme svobodu, jsou to jeho peníze, má právo se nechat okrást.
Kdyby jen zlomek investované částky šel do vzdělávání (nejen) BFU.
To se snadno řekne. Jenže pak to dopadne jako ta výchovná videa na ČT, jak se chovat na internetu. Lidé, kteří by je měli sledovat je vůbec nevnímali, protože jim nerozuměli. Když už si videa všimli, tak jim utkvělo akorát že tam byl ten sympatický herec. Ale částka do vzdělávání byla investována, takže OK. Větší službu v tomto asi udělá bulvár, který to celé pojme jako senzaci, aféru a show.
Než člověk dostane řidičák, musí absolvovat autoškolu
...a stejně pak jezdí jako čuně.
U řidičáků a zbrojních průkazů nejde ani tak o ochranu držitelů jako o ochranu těch ostatních.
Nejde primárně o to, komu to slouží, ale o tom, že k některým činnostem je třeba výuka a složení zkoušky, tedy získání a prokázání základní kvalifikace. Když se někdo nechá okrást, dost pravděpodobně to pocítí třeba jeho rodina, takže i tady jde o ty okolo.
To, že někdo získá přístup k internetovému bankovnictví a platební kartě by taky mělo/mohlo být podmíněno základními znalostmi. Jinak zbytečně vyhazujeme miliardy za informační bezpečnost na úrovni bank, firem a organizací, když lidi necháme nahé a zcela bezbranné.
Ale to vzdělání nemá jít formou dobrovolného sledování osvěty v bedně, ale povinného vzdělávání např. ve škole (to už v nějaké formě je) či jinde, případně i s oprávněním (třeba pro ten inet).
U řidičáků existuje jakási „společenská poptávka“, která tlačí na jejich vydávání i osobám, které by jej mít neměly. Vím o evropské zemi, kde jsou podmínky pro získání výrazně náročnější, dražší a to samé i u následných přezkoušení. Takže zrovna v tomto ČR žádným etalonem není.
Je taky potřeba si uvědomit, že zkoušky na auto i zbraně slouží především tomu, aby vyfiltrovaly ten největší ksindl, ale pro nakládání s osobními údaji na inetu nic takového není, přičemž i tam(!) jde o ty druhé.
povinného vzdělávání např. ve škole (to už v nějaké formě je) či jinde, případně i s oprávněním (třeba pro ten inet).
Takže bez toho oprávnění by nesměli sedat k počítači/mobilu, který je připojen k internetu? Kdo by to hlídal?
Ve školách se výpočetní technika učí, ale k čemu to je, když za pár let po opuštění školy už je téměř všechno jinak.
Tak by se 10 mil. občanů každých 5 let přezkušovalo na znalosti IT? Kdo by to platil a kde by se našlo dost specialistů?
Nějak si to neumím představit.
Nikdo by to nehlídal, uživatelé by podle dosaženého vzdělání dostali přístupy k různým službám vyžadujícím danou úroveň.
Některé věci se nemění, některé ano stejně jako v zákonu o provozu na poz. komunikacích a zákonu o zbraních. Je to to samé.
Opět: Stejný přístup jako u řidičáků a zbrojních průkazů. Odpovědnost jednotlivce platí.
Chápu, že pro některé se jedná o revoluční změnu (ve skutečnosti evoluční, ale ta je pouze logickým důsledkem přesunu masy na inet se vším všudy ze skutečného světa, proto je teď na inetu takový bordel). Ono k tomu stejně jednou dojde. Svobodný inet je možno mít pro omezené, disciplinované skupiny, ne pro všechen lid.
„Takže třeba pro přístup k řízení automobilů by uživatelé museli skládat nějakou zkoušku? To by se asi automobilkám nelíbilo...“
Já bych to přecejen oddělil. Banka to elektronické bankovnictví může udělat tak, aby nešikovný uživatel poškodil jen sám sebe. U auta však nešikovný řidič může poškodit spousty dalších řidičů i neřidičů a není tak jednoduché mu v tom zabránit.
„Já bych to přecejen oddělil. Banka to elektronické bankovnictví může udělat tak, aby nešikovný uživatel poškodil jen sám sebe. U auta však nešikovný řidič může poškodit spousty dalších řidičů i neřidičů a není tak jednoduché mu v tom zabránit.“
Jo, ale to tady řešit nechci, to mají řešit ty úrovně přístupu. A pozor, nepodceňoval bych lid, důkazem je tolik probírané vymýšlení ochran blbců.
Určitě, stejně jako např. se zbraněmi. Ale to už je mimo zákon a postižitelné.
Každá činnost má nějakou složitost, tudíž vyžaduje nějaké znalosti, jinak hrozí škoda. Až to bude tak jednoduché, aby lid nemohl nic zku*vit, pak to třeba půjde i bez vzdělání, zatím tomu tak zjevně není.
Co je „email hlavičkám“, netuším.
Add absurdum, něco podobného jsem tu psal přes 5-8 lety. A to že internet je příliš sofistikovaná technologie a že přístup k ním by měl být umožněn jenom lidem s Mesna IQ, s těmi zase tak často totiž nikdo nevyjebe.
Nicméně tyto sračky(myšleno tyto technologické a sociálně-inženýrské útoky) se staly masovou záležitostí právě proto že se sít stala masovou záležitostí. Faktem je osvěta či sebevzdělávání v bezpečnosti byl/je/bude vždy krok správným směrem ale úplně všichni na to kašlou. Např. kolik bank má návody(tutoriály) příp. doporučení na své internetové bankovnictví? Kolik bank má bezpečnostní dokumenty s postupy pro své uživatele? Ani naše různé státní úřady/bezpečnostní služby nezveřejnují doporučené bezpečnostní postupy protože je důležité systém dojit a pokud možno nic nedělat.
Suma sumárum, s lidmi a hlavně staršími co 89tém třepali klíčky a volily OF co chtěli s té socialistické zlaté klece k sousedovi jehož trávník je zelenější a s kterými vyjebou nemám slitování. Chtěli svobodu, tržní prostředí, cestovat a starat se sami o sebe, tak se hold musí starat. Nikdo to za ně neudělá. Nikdo jim nebrání aby si někoho na to objednali a zaplatily mu za to. Pokud na to nemají, jejich problém měli si to v 89tém uvědomit.
Pokud na to nemají, jejich problém měli si to v 89tém uvědomit.
Podvody tu byly dávno před rokem 1989, ale jednak se o nich tolik nepsalo (pokud neměly posloužit k diskreditaci oponentů) a jednak tu nebyl internet.
chtěli s té socialistické zlaté klece
možná to bylo proto, že ta klec nebyla zlatá :-)
Po přečtení, názorů se s podivem pozastavuji, že většina si je tak jistá že "JIM SE TO NESTANE" ...
Opak bývá pravdou a jen pak už nezbývá odvaha si to přiznat - myslím že dříve či později každý na jakýkoliv podvod jednou skočí - a to zdaleka nemusí být jen podvodný eshop .... a pokud ne teď tak později ...
Mě zas někdo kontaktoval přes sociální síť, kde jsem vyfocený ještě s telefonem pevné linky u babičky, abych vyvolával jisté telefonní číslo určitě s předvolbou 9, že vyhraji notebook nebo co, když tam zavolám desetkrát, či kolikrát. Podobné, jako když voláte do televizní soutěže. Dovoláte se tam až po soutěži a strhne to kredit za pár sekund hovoru s automatem třeba 90 Kč.
Ještě bych dodal jednu drobnost: jednoduché vodítko že jde nejspíš o podfuk je už to, že e-mail odesilatele nebo link na nějakou webovou "službu" obsahuje cizí doménu (.com atd.). Protože proč by mi česká banka posílala odkaz na web.COM nebo mi z takové domény posílal někdo mejl, když všechny české banky mají doménu .CZ?