Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Czy widzisz coś podejrzanego w tym adresie?
❌ Niepoprawna domena?
❌ Literówka?
❌ Dziwna litera z innego alfabetu?
❌ Brak „kłódki” ?
Nic z tych rzeczy ;-) Przy czym cała ta zawartość została wygenerowana statycznie (jako grafika), przez przestępców, próbujących nas zmylić. Dodatkowo, takiej „pięknej, złotej” kłodki nie przedstawia obecnie żadna przeglądarka.
W skrócie, o akcji ostrzega właśnie CERT Orange. Ofiary najpierw widzą fałszywą reklamę na FB (co ciekawe w adresie strony, która widnieje na reklamie widać prawidłową stronę – adres – banku Pekao SA):
Po kliknięciu w reklamę, ofiara przekierowywana jest jednak do fałszywego serwisu (hxxps://pekao24-pl-bankowosc-online-officcial-prize-deposite-i-other.chgames[.]work/), który wyświetla okienko jak na załączonej grafice.
Kilka rad na koniec:
✅ Posiadaj bloker reklam w przeglądarce (np. dodatek uBlock origin)
✅ Nie wchodź z reklam na strony wymagające logowania / podania swoich danych finansowych / osobowych
✅ Jeśli strona wyświetla dodatkowy „popup” / okienko (np. z wymaganiem logowania się) – spróbuj przeciągnąć to okienko poza główne okno przeglądarki. Jeśli to nie jest możliwe (popup „chowa się”) – mamy do czynienia ze scamem.
~ms
Ja bym do rad dopisał jeszcze – posiadaj menedżer haseł który w tej sytuacji po prostu nie podpowie hasła.
Wystarczy nauczyć mniej techniczną osobę, żeby nigdy nie kopiowała loginu i hasła tylko używała autouzupełniania z menedżera haseł i będzie bezpieczniejsza.
W przypadku banku Pekao nie działa autouzupełnianie, a w przeglądarce desktopowej można ustawić logowanie dwuskładnikowe, czyli z potwierdzeniem w aplikacji na smartfonie.
Pytanie czy technicznie możliwe jest ustawienie menedżera haseł do systemu, gdzie trzeba za każdym razem podać kilka wybranych znaków z hasła np. 1, 4 i 8 znak?
Tak, w keepass masz {PICKCHARS}
Z tego co pamiętam to KeePass miał taką funkcję lub był to plugin
Jest to możliwe, bo sam używam menedżera haseł. W ING działa to po odpowiedniej konfiguracji.
W PEKAO można uzupełnić tylko login, hasło trzeba niestety przepisywać ręcznie :(
No i PEKAO robi sobie jaja z tego, że weryfikacja dwuetapowa jest OPCJONALNA. Czyli tak na prawdę ci co jej potrzebują nigdy jej nie włączą. Aktywują ją tylko bardziej świadome / bardziej techniczne osoby które i bez tego były bezpieczne bo już wcześniej miały unikalne, bezpieczne hasło.
Więc jak już wprowadzili 2FA to niech zrobią je obowiązkowe dla każdego, tylko wtedy ma to jakiś sens. Większość banków nie pozwala w żaden sposób wyłączyć 2FA, a w PEKAO i PKO BP i chyba jeszcze BNP trzeba samemu aktywować 2FA….
Mamy 2024 i ktoś się jeszcze nadal na takie coś nabiera?
To nic. Są też tacy co uważają ze Ziemia jest płaska 😂
Za takie reklamy fb powinien być traktowany jako wspolwinny.