Vlákno názorů k článku
Phishing cílící na české uživatele se přesunul na zahraniční domény od Danny - To se dalo cekat, ze utecou jinam. A...

To se dalo cekat, ze utecou jinam. A metoda je to zjevne funkcni a jen prokazuje, ze hromada lidi na nejake URL v adresnim radku pres veskere snahy "neco zvyraznit" proste nekouka.

Samozrejme tim nerikam, ze by se podobne veci .cz nemeli vyrazovat - ale system s obzvlaste s novymi GTLD s "promo cenami" na prvni rok za par susni tady proste otevrel novy vektor utoku (renew tady nikoho netrapi, s jepicim zivotem domeny se primo pocita... zrovna dneska v SMS phising na postaky z .top... kde je "promo" registrace za necele 3 dolary ). A kdyz se k tomu pripocte takovy free tier na Cloudflare a potazmo moznost si pres API "vytocit" VPS behem par sekund... tak se z dobreho sluhy dosti rychle stava zly pan.

Jojo, Věra Pohlová měla pravdu!

když on nám ten adresní řádek tak trochu mizí pod rukama, dnes ho na mobilu už musím extra vyvolat, různé web view ho skrývají úplně. Stačí se podívat jak se dnes běžně platí třeba přes payu v eshopech, modal okna s iframe na payu, musím použít developer tools, abych vůbec tu doménu ověřil a zjistil, že kartu orpavdu zadávám do payu.

Mimochodem i v ČR už přístupy přes mobily překonaly ty přes desktop počítače u řady webů.

oauth2 v Thunderbirdu je v tomto dobrý bizár - vyskočí okno s webovou stránkou, bez adresního řádku, ani přes pravý klik nelze zjistit co to je sakra za stránku, a požaduje heslo k vašemu google účtu.

Otázka je, jestli to opravdu vadí:

1. Aplikaci Thunderbird důvěřujete tak jako tak. To by se musela stránka otevřít v prohlížeči a Thunderbird by musel být dostatečně sandboxovaný.
2. Dostat tam jinou stránku asi nebude úplně snadné.

Neznám z hlavy všechny scénáře, kdy se to okno může objevit. Pokud to může server vyžádat kdykoliv, může to být problém u uživatele s více účty – jeden server by tak mohl phishovat jiný.

A chápu, že to není ideální mj. proto, že to koliduje s dobrými návyky (zkontrolovat tu adresu), ačkoliv by možná nebyly že specifických důvodů nutné.

To neni o (ne)duvere v samotnou aplikaci, ale o tom, ze zautocit muze neco po ceste. A cim vic se toho bude v ramci vsudepritomnych snah o snizovani kognitivni zateze pred uzivatelem skryvat, tim vetsi problem to casem bude. To, ze na to beztak spousta lidi kasle a nekouka na to je jiny problem, rozhodne tim nejde ospravedlnit skryvani prvku.

Já jsem si, když to na mě z ničeho nic vyskočilo (pak jsem si našel, že to bylo v době, kdy Google začal vynucovat oauth pro firemní gsuite -- do té doby jsem tam měl normálně heslo), vzpomněl na útok na Electrum, kdy server mohl poslat chybovou hlášku, která se zobrazila semi-věrohodně a takhle phishoval uživatele. Co já vím jestli v dnešní době HTML a snad i javascriptových emailů nemůže server nebo email způsobit otevření nového okna s formulářem.

Navíc kdyby to nezobrazoval jako vloženou stránku, ale otevřel URL pomocí systémového prohlížeče, tak bych tam už byl přihlášený, šel by použít password manager a tak.

9. 11. 2023, 01:43 editováno autorem komentáře

Jak to zjišťujete? Zejména jestli iframe není třeba něčím překryt apod.