Názory k článku
Podvodníci odesílají zprávy na WhatsApp bez vědomí vlastníka čísla
-
To neni pravda, je to zavdejici zprava, podvodnici vas nejdrive dostanou na stranku, tam si vyzadaji vas telefon na whatsap a tam si vygeneruji session, kterou muiste potvrdit ve sve aplikaci ..., az pak teprve poslou zpravu a hned ji smazou, ale jen u vas, ne u obeti ... a tem je dokaz na stranku, nebo ony penize ... tedy uzivatele si zato muzou sami ;-)
-
Josef MarianekBronzový podporovatel
Jo, asi to tak je. Jenze vemte si bezneho uzivatele (ne IT pracovnika) - jeho cilem nebylo svuj ucet WA nekomu dat, aby z nej pak posilal zadosti o pujcku. Je to blbost tech uzivatelu, na druhou stranu ti lidi (bohuzel) nepremysli nad tim, ze je mozne jejich identitu takto snadno ziskat.
-
Podle citaci v jiných médiích se ale nejednalo o zero day, nebo zero click zranitelnost. Ale o klasický phising kdy "oběti" vyplnil přihlašovací informace k profilu na socialnich sítích, do formuláře fiktivní soutěže.
Útočník pak jednoduše rozesílá na seznam kontaktů žádostí o finance, stejně jak třeba před xx lety díky veřejným seznamu kontaktní FB.
-
Jan HrachStříbrný podporovatelJe to čím dál tím složitější, protože "přihlásit se kdo ví kde" začal být běžný a legitimní způsob používání internetu. Příklady:
- Single sign on / přihlášení přes datovou schránku/Google účet/... - nedůvěryhodná stránka vás přesměruje na web "poskytovatele přihlášení" (www.mojedatovaschranka.cz, accounts.google.com, mojeid…), kde si doufejme zkontrolujete doménu, ve zbytku URL jsou pak nicneříkající klikyháky, a tam se máte přihlásit.
- OAuth2 autentizace v aplikacích: například v Thunderbirdu na vás v podstatě v libovolný okamžik (když účet přemigroval na oauth, když vypršela platnost tokenu) vyskočí okno, ve kterém je embednutý prohlížeč s načtenou stránkou, která po vás vyžaduje zadání hesla k Google účtu. Okno nemá žádný URL řádek a v right-click menu není možnost zjistit URL.
- Platba pomocí "platební brány s tlačítkem", která vás přesměruje na web poskytovatele platby a pak do banky, kde se máte přihlásit. Nebo u největších expertů 3D Secure, které je ale v iframe, takže ta nedůvěryhodná stránka s ním může nejspíš dělat skopičiny javascriptem.
-
Vzhledem k poctu obyvatelu CR mi 5mega datovek neprijde zrovna malo ;-)
https://www.dia.gov.cz/cs/aktuality/1-7-2024-datove-schranky-slavi-15-let-pouziva-je-temer-5-milionu-uzivatelu -
DannyStříbrný podporovatelZ toho skoro 2,9 mega jsou schranky ekonomickych subjektu. Schranek skutecne "na obyvatele" (tedy skutecne na FO, nikoliv PFO) je pod milion. V tech peti mega jsou mj. zahrnuty i neaktivni DS, tech skutecne aktivnich jsou necele ctyri mega... a fakt nedava smysl tohle cislo davat do pomeru s poctem obyvatel.
-
Pravda. Ale zase u OSVČ povinné a těžko chtít po pekařce nebo instalatérovi, aby byli experti na IT jakožto "ekonomický subjekt. Ani malé firmy o jednotkách až desítkách lidí na to nebudou mít expertní oddělení a prostě to řeší někdo v rámci ostatních řidicích činností. Zase tak malý okruh "běžných" uživatelů to není.
-
5 milionů lidí pro soukromé účely datovou opravdu nemá. Pro soukromé účely jich je tak 1mil lidí a z toho jí cca 50% až cca 75% lidí nepoužívá.
Tedy zase jedno téma jak přitáhnou pozornost ke své ukřivděné skupině , která je přeci středobodem světa..... ...konfirmační zkreslení jak prase. Případně jen klasická politika vyjednávání vytvořit dojem, že ten hlas prezentuje velkou skupinu lidí a tedy mělo by to být řešeno.
12. 5. 2025, 16:39 editováno autorem komentáře
-
Jan HrachStříbrný podporovatel
Nepřitahuje náhodou pozornost ke svému středobodu ten, kdo si z mnoha jmenovaných příkladů vybere jeden, a na tom se pak točí?
Mimochodem datovou schránku mají povinně všichni OSVČ (1.1 milionu) a povinně ji používají (mj. musí elektronicky podávat daňové přiznání a myslím že i přehledy na ČSSZ). Tam jsou dvě možnosti přihlášení - Identita občana a Datová schránka; a zrovna ta druhá jmenovaná funguje přesně tak, jak jsem popsal.
-
Přesně tak, taky si všímám stále častějších legitimních věcí, které jsou tak blbě uživateli představené, že vypadají jako 100 % phishing. Vzpomínám si na jednu firmu, kde se používal SharePoint a když šla nějaká novinka emailem uživatelům, tak ty odkazy na SharePoint vypadaly úplně jako phishingové, nějaká podivná subdoména/doména, hromadu náhodných znaků v querystringu atd. Nevím, jestli už to od té doby vylepšili, je to pár let. Jak to pak má BFU poznat co je co.
-
Obzvlast ve tretim bode - pred cca rokem jedna platebni brana chtela namisto zadani platby bankou - si nechat schvalit pristup k uctu (jak nam EU nadiktovala ze se musi sprava bankovniho uctu umoznit i tretim stranam).
Zde jsem si podivnosti vsiml, ze nejde o jednu platbu (za prodlouzeni domeny) ale o plny pristup - vcetne historie plateb. Tvl.. tak jsem to rovnou hlasil bance ze co je to za scam. A i dealeru domen, ze tenhle partner si dovoluje nejak moc..
Ted nedavno snad stejna brana uz zadavala platbu jen tak jako pred timto incidentem. Ale neskutecne me to vytocilo.
A ted si predstavte ze to resi nejaky duchodce..
(a priznam se, ze nakoupit dalnicni znamk pres mobil.. to me kvuli uplacene reklame podvodnich stranek jednou uz taky voje**li - ta prirazka/jejich vydelek, byla "chytre" schovana jako DPH... ale dalnicni znamky jsou jako jedna z mala veci na ktere DPH neni)
-
Josef MarianekBronzový podporovatel
Je to pravda, napsal jsem to z duvodu, ze mne prisla na WA jedna falesna zprava od znameho s zadosti o pujcku (plus nasledna zprava od nej ze to nepsal on) a dalsi zprava od lidi ze zamestnani, ze jejich WA ucet byl zneuzit. Nezjistoval jsem, jak to presne funguje, jen jsem chtel ochranit dalsi lidi.
