sfaturi pentru cititori

Sâmbătă, 14 Ianuarie 2012 | 0 Comentarii

Un baiat care a produs un site (folosind platforma WordPress), s-a apucat sa copie o gramada de lucruri de pe Internet, aparute cu foarte mult timp in urma si ni le prezinta ca fiind actuale. Nu insistam pe subiect, singura chestiune care cred ca merita comentata este legata de atacurile de tip “phishing“.

trusted bank

Autorul site-ului are un articol legat de subiect (nu dam link, il gasiti daca sapati in Google) si ne da niste sfaturi gratis despre cum sa facem si ce sa nu facem cand primim un asemenea mesaj.

sfaturi proaste

Sfaturile simple ale “specialistului” – dupa cum singur declara inca de la inceput, nu stiu daca sunt personal ale lui (bazate pe experienta personala), sunt copiate de pe alte site-uri, sunt materiale scrise sau electronice primite de clientii bancilor (Banca Transilvania, ING Bank) – sau sunt o combinatie din astea, dar mi se par interesant de analizat. Sa le luam pe rand, in ordine, dar fara legatura cu numerotarea din articol:

A. Deci suntem sfatuiti sa fim suspiciosi cu oamenii si cu telefoanele. Asta tradusa un pic ar insemna asa: daca primesti un telefon de la cineva necunoscut – care se recomanda a fi “Alina” de la firma Orage (asa cum am primit eu, de exemplu) si ea face un studiu despre utilizarea produselor de igiena in companie, devii brusc suspicios. Nu cred ca vi se intampla des sa fiti sunati de diversi pentru a va cere diverse. Telefoanele astea sunt date de regula de puscariasi care va anunta ca ati castigat la concursuri neorganizate de nimeni. Fie ca esti suspicios fie ca nu, cum “verifici” cine este la celalalt capat al firului ? Nu ai cum, asa incat sfatul corect ar fi fost, dupa cum te-au invatat parintii cand erai mic: “Nu sta de vorba cu persoane necunoscute”.

B. De unde stii ce ii este permis celeilalte persoane sa cunoasca ? Informatii mai mult sau mai putin personale (atat despre tine ca persoana fizica cat si juridice, despre firma la care lucrezi) se gasesc din abundenta pe Internet. Totul este sa stii cum sa cauti. Daca vrei sa vezi cum arata cineva, il gasesti pe net, primul loc de cautare fiind Facebook. Daca a fost implicat in procese civile sau penale, il gasesti pe net pe portal.just.ro, cu acuzatia care i s-a adus, pedeapsa, numele parintilor, adresa de acasa, tot.

C. Informatiile financiare nu se transmit nimanui din exteriorul firmei. Asta te invata intr-o firma in momentul angajarii si nu are nici o legatura cu mesajele phishing.

D. Verificarea securitatii site-ului nu o poti face de acasa. Pentru asta s-au inventat organisme care certifica periodic securitatea site-urilor care lucreaza cu date sensibile, precum datele de pe cartile de credit ale clientilor: Trustthecheck, Verisign Seal sau altele.

E. S-a gandit cel care ne sfatuieste ca, in general, mesajele de tip phishing sunt trimise la sute de mii de adrese ? Ce s-ar intampla daca TOTI cei care au primit mesajul si sunt clienti ai bancii respective (eu am primit un mesaj care chipurile ar fi fost de la ING, dar nu sunt client ING) ar pune mana pe telefon si ar intreba “Ati trimis dumneavoastra mesajul in care ne solicitati … ?”. Este realist un astfel de scenariu ?

F. Aplicatiile antivirus si firewall nu te apara de mesaje phishing. In firewall regulile de filtrare – chiar daca sunt actualizate de pe un server al producatorului, sunt tot timpul in urma. Prostul cu clona lucreaza rapid, un site clonat nu traieste mai mult de cateva ore, timp insuficient pentru ca firewall-ul sa-si faca update. Programele antispam au si ele limitele lor, multe mesaje de acest tip scapa de filtre si ajung la “clienti”, din aceleasi motive de update.

G. “Facilitatile” antiphising nu sunt implementate direct in browser. Ele sunt un serviciu oferit de companii (printre care si Google prin browser-ul Chrome). Si in Opera sau Firefox se pot activa asemenea mecanisme (repet, informatiile sunt preluate de pe Internet din niste baze de date ale producatorilor). Adresa introdusa in linia de adresa in Chrome spre exemplu, este trimisa catre un server de la Google, care are o lista de site-uri phishing (generata prin feekback de la clienti sau raportate de companiile victima). Daca site-ul are o problema, vi se intoarce un mesaj in care sunteti informat ca site-ul respectiv are o problema si sunteti sfatuit sa nu il vizitati.

exemplu site phishing

Desigur, puteti alege sa ignorati mesajul. La acest punct s-a dus intimitatea. Toate adresele pe care le vizitati sunt transmise automat catre Google, ei afland in acest fel ce site-uri vizitati, cand, cat de des, in ce ordine, etc. Trebuie gandit ca, daca pentru calculatorul de acasa nu e nici o problema, pentru calculatorul de firma ar putea fi o problema acest aspect (sunt trimise pentru “verificare” inclusiv adresele web care nu reprezinta site-uri accesibile publicului, aflate in Intranet-ul companiei, sau in VPN !). Discutia despre acest aspect este mult mai ampla si nu am sa dezvolt aici.

Concluzia acestei analize este una simpla: nu tot ce scrie pe net este valabil sau util, cu atat mai putin corect. Oricine are dreptul sa se exprime liber, ideea este ca selectia informatiei trebuie facuta de cel care citeste. De multe ori aceasta selectie necesita cunostinte ample despre subiect.

Nu stati de vorba cu necunoscuti !

Ai o altă opinie? O poți scrie aici!

This site uses Akismet to reduce spam. Learn how your comment data is processed.