Piotr Konieczny

konsultant ds. bezpieczeństwa, podróżnik,
hobbystycznie fuksiarz i gadżeciarz
szkot, prawie spadochroniarz...
nienawidzi zielonego.

« wszystkie wpisy |

Poniedziałek, 07 stycznia 2008 :: 10:37:10
bugs, funny, IT, porady, przekręty, security, Techblog

[Zakały informatyki #2] Allegro i phishing

Kontynuując mój cykl aburdów informatycznych, chciałbym poruszyć sprawę dzisiejszego mailingu Allegro. Czytamy w nim:

...hasło jest kluczem do Twojego konta. Tak jak klucze do mieszkania nie może dostać się w niepowołane ręce, dlatego:
• nie zapisuj swojego hasła - zapamiętaj je;
• zawsze wyloguj się po zakończeniu przeglądania stron Allegro (...)
pod żadnym pozorem nie podawaj swojego hasła, nawet osobom, które podają się za pracowników Allegro. Jeżeli otrzymasz taką prośbę, nie odpowiadaj na nią, ale skontaktuj się z nami.

...a parę linii niżej, ja wół, większymi literami:

Jeżeli korzystasz już z hasła, które łatwo odgadnąć - zmień je na stronie Moje Allegro > Ustawienia > Moje Dane.

Tak więc Allegro pisze mejla, w którym ostrzega przed osobami, które piszą mejla jako Allegro, a następnie zabrania podawania swojego hasła "pod żadnym pozorem" i ...dodaje link do zmiany hasła. Niezła hipokryzja, nie?

Ja rozumiem, że czasem bezpieczeństwo jest jak paragraf 22. M.in. dlatego jego obsługę powierza się osobom związanym z bezpieczeństwem, a nie działom marketingu... A teraz prośba dla kilku regularnych czytelników mojego bloga z domeny *.allegro.pl (pozdrawiam!). Przekażcie swoim managerom, że jestem gotów, ku chwale lepszego internetu, doradzić im przy następnym mailingu z bezpieczeństwa. I to za darmo. Poważnie.

A e-maila już zgłosiłem, przez sugerowany (w nim samym) link, jako podejrzenie próby wyciągnięcia mojego hasła przez osobę podszywającą się przez Allegro. Wy też możecie :-)

I żeby mi żaden łobuz w komentarzach nie napisał, że Konieczny buc, bo zakałą Allegro nazwał, a rad żadnych nie udzielił:

Porównania haseł do kluczy są nieefektywne i pani Hani z kadr w pamięć na długo nie zapadną. Wie o tym każdy, kto miał do czynienia z tzw. Security Awarness. Lepiej jest użyć np. takiego porównania:

Hasłą są jak majtki. Nie zostawiaj ich w miejscu, w którym inni mogą je zobaczyć, zmieniaj je regularnie ...i lepiej nikomu nie pożyczaj.

Zapada w pamięć, nie? ;-)

Kudos dla Azraela

• Następny post: Polscy blogerzy "ssą paukę"
• Poprzedni post: Nasza Klasa - Jak chronić swoje dane osobowe?

 

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

 

Tagi:

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. Greyer Poniedziałek, 07 stycznia 2008, 11:04:54
 

No właśnie odczytuję swoją pocztę i widzę tego samego maila ... Chyba jednak czas zgłosić Allegro próbę wyłudzenia mojego hasła, bo skąd mam wiedzieć czy https://ssl.allegro.pl to ich domena czy nie :p

 
2. talen Poniedziałek, 07 stycznia 2008, 11:25:06
 

Przy tej ilości serwisów, wymagających logowania, porównanie z majtkami nie sprawdza się, chyba, że ktoś chodzi w 30 parach na raz :-)

 
3. deschek Poniedziałek, 07 stycznia 2008, 11:52:42
 

Zgadzam się, ten mail od allegro jest co najmniej dziwny. Może badają ilu użytkowników kliknie w ten odnośnik pomimo tego, że w tym samym mailu to odradzają.

 
4. Łukasz Derkacz Poniedziałek, 07 stycznia 2008, 11:55:10
 

Coś to coś pod "Kudoa dla Azraela" nie wygląda dobrze w Operze Beta z grudnia ;)

A maila od Allegro nawet nie czytałem

 
5. Piotr Konieczny Poniedziałek, 07 stycznia 2008, 12:02:54
 

Łukasz: W mojej 9624 też nie wygląda dobrze. Nie wiem od czego to zależy. Statycznie zakodowane w szablonie, a raz wygląda a raz nie. Opera 9.50 jeszcze mocno ssie :-)

 
6. D4rky Poniedziałek, 07 stycznia 2008, 13:13:10
 

jesli chodzi o ten wykop-guzik to pod moim Firefoksem tez nie dziala

 
7. Piotr Konieczny Poniedziałek, 07 stycznia 2008, 13:15:36
 

Od Allegro (tym razem w plaintekscie):

#v+
Dziękuję za kontakt z nami.

Chciałbym Pana zapewnić, że otrzymany przez Pana e-mail pochodzi od serwisu Allegro. Link, który Pan cytuje, skierowany jest jedynie do Użytkowników, którzy mają wątpliwości co do mocy swojego hasła. Oczywiście, jego modyfikacji można również nie klikając bezpośrednio w ten odnośnik, a poprzez zakładkę: Moje Allegro Ustawienia Moje dane.
#v-

 
8. silent Poniedziałek, 07 stycznia 2008, 13:26:14
 

No jeśli Pan(i) zapewnia to pewno tak jest. Nie ma się czego obawiać przecież, zaufanie to podstawa;) uff, aż mi się ciepło zrobiło.

 
9. Albi Poniedziałek, 07 stycznia 2008, 13:57:31
 

Może masz wełniane majtki?

 
10. kosa Poniedziałek, 07 stycznia 2008, 14:52:16
 

Też to dzisiaj dostałem, widać jakaś większa akcja a propos bezpieczeństwa... Piko, po twoim drugim mailu już jesteś przekonany, że to żaden phishing?;)

 
11. Piotr Konieczny Poniedziałek, 07 stycznia 2008, 14:54:12
 

Nie jestem. Korespondencja nie zostala podpisana elektronicznie, a "raport" zglosilem przez link z e-maila...

 
12. kosa Poniedziałek, 07 stycznia 2008, 14:56:44
 

Ale przecież w mailu tak przekonywająco zapewniają... Nie wystarczy ci to za dowód? Przecież jeśli nie masz wątpliwości co do twojego hasła, to mail wcale nie był do ciebie.
Taka allegrowa logika

 
13. Hoss Poniedziałek, 07 stycznia 2008, 15:00:49
 

Ale Gmail jest genialny :D
Od razu wrzucił to do spamu jako phishing. Inteligentna bestia :D

 
14. szuvar Poniedziałek, 07 stycznia 2008, 15:05:14
 

Uśmiałem się po przeczytaniu tegoż e-maila i aż z ciekawości kliknąłem w link zmiany hasła czy to na pewno allego. Ku mojemu ogromnemu rozczarowaniu, tak.
To tak jakbym teraz napisał to co aż się chce powiedzieć, czyli "Bez komentarza". Głupota czy pomyłka?

 
15. Grzegorz | grzglo.jogger.pl Poniedziałek, 07 stycznia 2008, 15:29:39
 

Przednie porównanie majtek i haseł!

 
16. D4rky Poniedziałek, 07 stycznia 2008, 15:34:05
 

Grzegorzu, tutaj sie zgodze, juz widze tych hackerow zbierajacych hasla zaliczonych... kont :P

 
17. Leafnode Poniedziałek, 07 stycznia 2008, 16:37:41
 

Porównanie to ja tylko widziałem do szczoteczki do zębów - zmieniaj co 3 miesiące i nie pożyczaj nikomu ;)

 
18. PawelS Poniedziałek, 07 stycznia 2008, 17:31:54
 

Jeżeli G mówi, że to phishing, to trzeba to tym bardziej zgłosić, bo podobno G się nie myli ;D

 
19. grzesiek Poniedziałek, 07 stycznia 2008, 18:03:12
 

Ja takich maili nie używam. Jak chce cos zmienić to zmieniam sam a nie w linki klikam. Swoją drogą też prawda, powinni napisać tylko ścieżkę gdzie zmienić najwyżej.

 
20. Cynthia Poniedziałek, 07 stycznia 2008, 18:14:20
 

Jeszcze nie dostałam tego maila. Ale całkiem niedawno przyszło coś z banku niby, oczywiście oszustwo było za bardzo widoczne, żebym się nabrała, tam też trzeba było kliknąć w link i podać hasło. Wysłałam do banku, powiedzieli że to nie oni (pewnie że nie, bo na inny adres wysłane i z innej domeny). Albo się Allegro wygłupia, albo to nie oni. Tak duża firma, posiadająca ważne dane robi tego rodzaju błąd?

 
21. Corvax Poniedziałek, 07 stycznia 2008, 19:48:20
 

Pozwalam sobie przekleic moja korespondencje z szanownymi specami od bezpieczenstwa z allegro.

Takze wiesz piko, czy osoba dziekujaca ci za twoja czujnosc to aby nie byl automat, albo osoba stosujaca w praktyce prawo CopyPejsta? Strasznie dziwnie podobne te odpowiedzi, moja i twoja:D


Witam.

W dniu 2008-01-07 19:39:01 otrzymaliśmy e-mail o treści:

> Otrzymalem od waszego serwisu bezsensowny mail w ktorym w jednym akapicie ostrzega
> sie mnie przed najpopularniejszym sposobem phishingowego wyciagniecia hasla od
> uzytkownika a w kolejnym tą metodę się stosuje! Hipokryzja, czy bezmyślność?
>
>
>
>
> Prosze nie robic tego w przyszlosci, prosze rowniez o odpowiedzenie na moje pytanie:
> hipokryzja, czy bezmyslnosc?

Dziękuję za kontakt z nami.

Chciałbym zapewnić, że otrzymana przez Pana wiadomość pochodzi od serwisu Allegro. Link, o którym Pan wspomina skierowany jest jedynie do Użytkowników, którzy mają wątpliwości, co do mocy swojego hasła. Oczywiście, zmiany hasła można dokonać również nie korzystając z tego odnośnika, a poprzez zakładkę: Moje Allegro Ustawienia Moje dane.

Pozdrawiam,

--
Wojciech Dudek
Zespół Allegro
http://www.allegro.pl

QXL Poland sp. z o.o. z siedzibą w Poznaniu, przy ul. Marcelińskiej 90; zarejestrowany przez Sąd Rejonowy w Poznaniu, XXI Wydział Gospodarczy KRS pod nr 0000104322, posiadający NIP nr 779-21-25-257 i kapitał zakładowy w wysokości 1.046.000 zł.

W dodatku Pan Wojciech nie odpowiedzial mi na moje pytanie:]

 
22. Piotr Konieczny Poniedziałek, 07 stycznia 2008, 21:59:58
 

Corvax: W Twojej odpowiedzi dopisali już brakujące "dokonac"...

Cynthia: moze trzeba, jak ktos sugerowal, sprawdzic w spamie :-) A tak naprawde, to pewnie tego e-maila przeslali tylko do uzytkownikow ze slabymi haslami :-P Chyba czas zmienic moje "dupa.8"

 
23. Azrael Nightwalker Wtorek, 08 stycznia 2008, 00:31:35
 

Fwd-kudos do nieznanego slashdotowca :)

 
24. Kikuchi Wtorek, 08 stycznia 2008, 00:58:33
 

Moim zdaniem, to się czepiasz.
Pokazali przecież, że jak jest kłódka i certyfikat to ok. :-P

 
25. Yano Środa, 09 stycznia 2008, 01:01:59
 

@Piotr: Nie wydaje mi się. Ostatnio zmieniałem hasło na takie z generatora (apg pod linuksem) a też dostałem tego maila. Chyba że czepiają się kartki z hasłem na moim monitorze. ;)

 
26. wuzetes... Środa, 09 stycznia 2008, 17:16:47
 

Bezpieczne hasło

Dziś dostałem ciekawego maila* dotyczącego zmiany hasła w pewnym serwisie. Spokojnie,to nie kolejna historia o absurdalnym Allegro.. Na temat bezpieczeństwa haseł powiedziano już wiele. I tak znane są

hasło musi być dostatecznie długie, [...]

 
27. wuzetes... Środa, 09 stycznia 2008, 17:17:21
 

Bezpieczne hasło

Dziś dostałem ciekawego maila* dotyczącego zmiany hasła w pewnym serwisie. Spokojnie,to nie kolejna historia o absurdalnym Allegro..

 
28. Fluxid Środa, 09 stycznia 2008, 19:08:49
 

Jak dostałem to dwa dni temu, pomyślałem o tym samym - phishing :D
W sumie myślałem że skasowano moje konto ze względu na ponadroczne nielogowanie.

 
29. Cynthia Środa, 09 stycznia 2008, 22:05:22
 

A jednak przyszedł ten mail... Jakoś się nie cieszę z tego powodu.

 
30. siefca Piątek, 11 stycznia 2008, 09:07:56
 

hm, analogia z majtkami jest ok dla sędziwego administratora, lecz przeciętny użytkownik może odebrać to jako uciążliwość, bo przecież zmienia majtki codziennie, a nie raz na miesiąc.

z kolei fani maków mogą w ogóle nie używać haseł, bo wielu z nich lubi czuć aluminiowe sprzączki spodni na pośladkach, a chodzenie bez majtek jest wyrazem ich twórczego podejścia do wykonywanej pracy. :-)

 
31. Alvarus Środa, 16 stycznia 2008, 09:46:49
 

Przecież to wszystko dla naszego dobra :)

 
32. sucza Niedziela, 20 stycznia 2008, 22:41:16
 

jak sie czyta i patrzy w co klika to nie ma obawy

 
33. bezpieczne hasło Wtorek, 16 grudnia 2008, 13:59:05
 

Jest cała lista zasad jakie należy przestrzegać... albo będzie bolało.

 

Dodaj komentarz:

Wyślij pustą wiadomość, aby śledzić komentarze przez bota.
Komentarze są własnością osób komentujących.
Właściciel bloga nie ponosi za nie odpowiedzialności.
Komentarze nie na temat będą usuwane.

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy