Ja też, widzę nie jestem jedyny. Do póki ludzie będą kurczowo się lękać "odcięcia od świata" lub śmierci, tak długo będą skazani na łaski gigantów IT, medycznych i innych technologii.
O kluczach mówiłem w kilku innych filmach ;) ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-uku-G_COA7U.html ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE--FpZWimI5_c.html
dobrze ze teraz wszystko uczą w szkole i już wiem ze z Janka Muzykanta lektury łatwo to ograne, ale jakby ktoś chciał się więcej dowiedzieć to w podstawówce od 4 klasy dowie się jak to zrobić na podstawie "holocaustu" wpojonego od urodzenia na sile w pamięć.
Bardzo dobry film, sporo ciekawych informacji - dzięki! Zastanawiam się jak Twoim zdaniem należałoby podejść do budowania świadomości pracowników? Przy okazji symulacj wspomniałeś, że może to być wątpliwe etycznie, ale czy takie praktyczne podejście nie jest najskuteczniejszym sposobem? Przestępcy nie przebierają w środkach... Oczywiście nie chodzi mi o same testy pozostawiające pracowników bez odpowiedniej edukacji, ale o praktyczny trening wykorzystujący symulacje phishingowe jako motywator do chęci podnoszenia kompetencji. W przypadku wpadki pracownik dostaje odpowiednią porcję wiedzy na temat tego na co miał zwrócić uwage żeby nie dać się złapać. Klasyczne szkolenia i elearningi wydają się być mało skuteczne (nudna teoria bez odpowiedniego, praktycznego kontekstu a jak przychodzi co do czego to wiemy jak to się kończy). Jestem ciekawa Twojego zdania.
Moja odpowiedź będzie nietypowa. Zamiast próbować uczyć pracowników jak rozpoznawać zagrożenia - może warto zacząć stosować U2F i klucze w stylu YubiKey? Wtedy większość phishingów przestaje być problemem - nawet jeśli użytkownik się na nie złapie ;)
@@KacperSzurek Pełna zgoda, ale... nie jestem bardzo techniczna, ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Tutaj bardziej się sprawdzi wykorzystanie odpowiedniego managera haseł, który (nie) autouzupełni hasła na podstawionej stronie. Ale to co dla mnie kluczowe - phishing/socjotechnika wycelowana w pracownika to nie tylko fałszywa strona logowania: załączniki/pliki, wyłudzanie danych przez odpowiedzi czy po prostu zwykłe kliknięcie w zainfekowaną stronę (wiem, że prawdopodobieństwo infekcji z wykorzystaniem podatności w przeglądarce w czasach wyłączonej javy i flasha jest małe, ale jest). Także wracam do pierwotnego pytania - jeśli nie symulacje i praktyka, to co? :)
@@paulllaaa1234 > ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Zależy jakie MFA. Jeśli polega ono na przepisaniu kodu (TOTP czyli jednorazowe kody w aplikacji, kody SMSem), to wtedy jest ono podatne na phishing. FIDO2 jest odporne na phishing, ponieważ też wiąże jakby poświadczenia z daną stroną.
Bardzo dobry filmik. Przypomniało mi się kilka ataków, o których dawno zapomniałem. Jest on chyba jednak bardziej skierowany do osób technicznych niż przeciętnego użytkownika. Mam kilka drobnych uwag: - ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-jhCDMlatyUg.html wiele źródeł mówiących o phishingu wskazuje w pierwszej kolejności na różnice w wyglądzie fałszywych paneli logowanie lub błędy językowe. Strony phishingowe mogą jednak wyglądać zupełnie tak samo jak oficjalne strony i często tak wyglądają. Jeśli użytkownicy zaczną się przyglądać stronom, to oszuści będą po prostu częściej aktualizowali swoje kity phishingowe i zwracali większą uwagę na to co piszą. Wiele się więc nie zmieni. Dodatkowo prawdziwe strony od czasu do czasu też zmieniają wygląd lub zawierają drobne literówki (chociaż oczywiście nie w takiej ilości jak zdarza się na fałszywych stronach). Uważam więc, że w ogóle nie należy pokazywać zwykłym użytkownikom różnic w wyglądzie stron. - ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-jhCDMlatyUg.html link może prowadzić przez wiele przekierowań do finalnej strony. Niestety, firmy często korzystają ze skracaczy linków w wiadomościach, które wysyłają. Dodatkowo trudno jest znaleźć domenę w tym podglądzie URL. Przeglądarki nam w tym pomagają oznaczając domenę nieco innym kolorem. Poza tym, jest bardzo wiele miejsc z których można trafić na stronę phishingową (linki w e-mail, linki w SMS, kody QR, posty w mediach społecznościowych. reklamy, etc.). Często w źródłach mówiących o phishingu pojawia się rekomendacja aby "uważać w co się klika" albo "nie klikać w podejrzane linki". Uważam, że jest ona bardzo zła. Linki są po to aby w nie klikać. Użytkownik nie wie co jest podejrzane (i ja w sumie też czasami bym nie wiedział). Znacznie lepiej jest rekomendować aby "gdy zobaczysz jakiś formularz, który prosi Cię o dane, w w szczególności dane logowania, wtedy zanim zaczniesz wpisywać, spojrzyj nieco wyżej na pasek adresu (zdjęcie paska adresu), a konkretniej na domenę, która jest oznaczona nieco innym kolorem" - ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-jhCDMlatyUg.html jest to spory problem. Kiedyś zaproponowałem, aby robić right align do końca domeny w pasku URL. Wtedy pokazywałby się koniec domeny (jeśli cała domena się nie zmieści), który jest znacznie ważniejszy od początku. Niestety, issue spotkało się z zerowym zainteresowaniem. - ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-jhCDMlatyUg.html chyba popularna jest teraz nazwa "browser in the browser" - ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-jhCDMlatyUg.html jest to problemem tylko jeśli sprawdzamy domenę w linku przed kliknięciem. Przeglądarki zawsze pokazują domeny w lowercase.
kiedyś ktos mi się włamał od teraz mam wszedzie werfikacje 2 etapową i w razie czego wszytki mozliwe sposoby odzyskania konta (jakie są dostepne na stronie) -e mail, telefon, klucze zapasowe, werfikacja aplikacja, itd
16:17 kody QR są dobre, tylko wsparcie dla kodów jest słabe, wiele telefonów ma gdzieś poukrywane czytniki, a ludzie nawet o tym nie wiedzą, później instalują jakieś fejkowe czytniki, które mają wirusy itp. Ja sam używam w domu kodu QR do wifi - i tu kolejny problem, bo nie każdy telefon do końca działa, o dziwo rozpoznaje, że jest to kod QR do WiFi otwiera aplikacje WiFi i nagle... nic się nie dzieje. Najlepsze wsparcie zauważyłem, że mają iPhony.
Używajcie kluczy U2F NFC bo wtedy macie 100 % pewności, że żaden pakistański haker w sandałach nie przejmie waszego konta na Facebooku, Google, Gmailu itd. Ja używam i śpię spokojnie a w planach mam zakup kolejnych dwóch kluczy U2F NFC , czarne USB A. Bo wiecie... Licho nie śpi 👀
Witaj Kacper, słyszałem może o instalacji aplikacji obserwującej Observant balls którą ktoś instaluje na FB. Mnie coś takiego spotkało. Była uruchomiona w ikonce Powiadomienia. Po kliknięciu zniknęły wszystkie grupy zapisane posty... Czy kogoś spotkało coś podobnego?
jako student informatyki jestem uodporniony na takie ataki, bo sam wiem jak to działa... i śmieje się czasami jak mi na messengera przychodzą wiadomości że moje nagie foty są w necie i żebym kliknął w link i sprawdził 🤣🤣🤣
Wrwszcie jakiś film który wyjaśnia wiele spraw, jak już dawno powinny być wyjaśnione. Stawiając właścicieli kont na pierwszym miejscu, w kolejce odpowiedzialności. A nie "Wirus (hahaha), na FB" Pozdro!!
