---

Hi

Nyeste måde at aflokke folk deres password oplevede jeg her idag, hvor
der var en mail fra Ebay hvor et angiveligt andet Ebay medlem havde
sendt en mail hvor han brokkede sig over , at nu var det to måneder
siden han havde sendt penge for en bærbar , og han var meget vred over
ikke at have modtaget den bærbare.

Mailen ligner jo til forveksling en af de interne mails man kan sende
til dem man har handlet med via. Ebay og nederst på siden er der den
sædvanlige "view Item" link , men når man følger den kommer man
naturligvis ligesom på Ebay til en side hvor man naturligvis skal
angive sit brugernavn og password --- denne side ligner også til
forveksling den ægte Ebay log-in side.
--------- Man skal faktisk efterhånden kigge på selve link addressen
for at opdage at der åbentbart er en "stavefejl" blot et enkelt
bogstav eller pumtum til forskel fra den ægte.

Jeg ville bare lige fortælle det fordi det er den mest "avancerede"
fup mail af den slags jeg har modtaget længe.

P.C.
http://home20.inet.tele.dk/h-3d/kineserier-2.jpg

---

<per.corell@privat.dk> skrev i en meddelelse


> Nyeste måde at aflokke folk deres password oplevede jeg her idag, hvor
> der var en mail fra Ebay --------- Man skal faktisk efterhånden kigge på
> selve link addressen

Prøv om denne hjælper kan afsløre fup-nummeret:
http://www.snapfiles.com/reviews/CallingID_Toolbar/callingid.html

Mvh John

---

John wrote:
> Prøv om denne hjælper kan afsløre fup-nummeret:
> http://www.snapfiles.com/reviews/CallingID_Toolbar/callingid.html

Er det noget som du kender til? Har det "et godt ry"? Checkede deres
hjemmeside, og jeg kunne ikke rigtig finde nogen "forretning" andet end
et gratis program. Og så begynder man jo at tænke på hvordan de så
tjener deres penge... :)

Et alternativ kunne f.eks. være http://toolbar.netcraft.com/ (jeg har
dog ikke selv prøvet det).


Anon

---

"Anon" skrev i en meddelelse

> Er det noget som du kender til?

Nej. Vi 'prøvekører' pt CallingID samt PhishGuard.

> Har det "et godt ry"?

Har læst omtale på forskellige download sider, og de ser ganske pæne ud.

> Checkede deres
> hjemmeside, og jeg kunne ikke rigtig finde nogen "forretning" andet end
> et gratis program.

Det er måske også kun en overgang:

"CallingID
Price: $39.95 per year, currently offering 1 year free
Available: Now "
Link: http://www.pcmag.com/article2/0,1895,1841778,00.asp

> Og så begynder man jo at tænke på hvordan de så
> tjener deres penge... :)

Ja, vi bør være skeptiske, men er der ugler i mosen, vil det rygtes med
lynets hast. Vi glæder os til, at sikkerheds-eksperter laver en test af de
forskellige anti-phishing værktøjer, men det sker nok ikke i overskuelig
fremtid. Phishing-truslen er endnu ikke udtalt nok, og det bliver den
sikkert først, når nogle får lænset deres bank-konti.

> Et alternativ kunne f.eks. være http://toolbar.netcraft.com/ (jeg har
> dog ikke selv prøvet det).

Jamen der findes flere alternativer. Blandt de antiphishing værktøjer vi har
prøvet, synes CallingID dog at have langt de bedste options, sløver
computeren mindst om noget overhovedet, og optager samtidig mindst plads på
skærmen.

" Executes 52 verification tests on each page you visit and provides you
with simple easy, to understand risk assessments"
Link: http://callingid.com/Solutions.aspx

Alternativerne fylder mere på skærmen, blandt andet med søge-felt og pop-up
blocker (som vi ingen brug har for, da vi er yderst tilfredse med Google
Toolbar). Samtidig synes de at sløve computeren, eller anvender kun en
blacklist, der jo skal opdateres hyppigt for at være effektiv. Fælles for
dem alle er et yderst beskedent antal downloads.

Nogle få alternativer (der findes flere):
http://www.snapfiles.com/downloadfind.php?st=phishing&search=Search&lc=1&action=s

Anti-phishing er indbygget i IE-overbygningen Deepnet Explorer browser, samt
den kommende Internet Explorer 7.

Mvh John

---

John wrote:
> "Anon" skrev i en meddelelse
>
>> Er det noget som du kender til?
>
> Nej. Vi 'prøvekører' pt CallingID samt PhishGuard.

Har I overvejet at undervise jeres brugere i stedet for at kaste mere
teknologi efter problemet?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

>
> Har I overvejet at undervise jeres brugere i stedet for at kaste mere
> teknologi efter problemet?
>
Jeg ved ikke hvad dit levebrød er Alex, men man skal ikke sidde i en
It-afdeling ret længe før man må erkende at i rigtigt mange
organisationer ser brugerne IT som et onde de helst er foruden. Af samme
årsag er interessen for hvad man kan/ikke kan, må/ikke må, bør/ikke bør
i det store hele ikke-eksisterende, og interessen for teknik ligger
endnu lavere.
Derfor kan man ikke undervise sig ud af problemet.

Mvh
Søren

---

Soren Pedersen wrote:
>> Har I overvejet at undervise jeres brugere i stedet for at kaste mere
>> teknologi efter problemet?
>>
> Jeg ved ikke hvad dit levebrød er Alex, men man skal ikke sidde i en
> It-afdeling ret længe før man må erkende at i rigtigt mange
> organisationer ser brugerne IT som et onde de helst er foruden.

Det er rigtigt, og man bør sandsynligvis tilgå opgaven ved at betragte
dem som medarbejdere der har et ansvar overfor en arbejdsgiver, fremfor
som brugere der helst ville være foruden IT.

> Af samme
> årsag er interessen for hvad man kan/ikke kan, må/ikke må, bør/ikke bør
> i det store hele ikke-eksisterende, og interessen for teknik ligger
> endnu lavere.
> Derfor kan man ikke undervise sig ud af problemet.

Så har vi et alvorligt problem, for reaktivt teknologi kan i hvert fald
heller ikke bringe os ud af situationen.

Jeg antager vi er enige om, at man (i teorien) bør kunne overbevise
ledelsen om, at det giver økonomisk sans at beskytte virksomhedens
resourcer og data.

Hvis man ikke kan det, kan man nok heller ikke lokke dem til at bruge
penge på diverse fjollede sikkerhedsprodukter. Personligt er det altid
ledelsen, eller mangel på samme, der giver hovedpiner; jeg tillader mig
nemlig at være ligeglad med hvilken holding de ansatte har til emnet.

Hvis ledelsen er enige i, at sikkerhed vil være en god investering,
skulle man kunne bygge en forretningssag på bl.a. undervisning og
designmæssige ændringer af netværk og systemer.

Hvis det basale problem i undervisning, er en motivationsfaktor hos
brugerne, må det være op til ledelsen at sørge for den rette motivation
hos deres ansatte.

Som jeg ser et af problemerne, er det at ledelsen er ligeglade eller
ikke forstår omfanget af sikkerhedsproblemerne i deres organisation.
Mange steder kan eller vil ikke indsamle den slags økonomiske nøgletal
man kunne bruge til at føre en sag for en investering i sikkerhed. De
aner simpelthen ikke hvad det koster dem i tabt arbejdstid og oprydning
efter malware.

Et andet problem er, at en leder der ikke forstår sig på emnet, desværre
har adgang til f.eks. Computerworld og lign. hvor de har fin lejlighed
til at danne sig meninger om diverse magiske løsninger baseret på denne
uges varme kartoffel.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Den Thu, 19 Jan 2006 11:24:42 +0100 skrev Soren Pedersen:
>
>>
>> Har I overvejet at undervise jeres brugere i stedet for at kaste mere
>> teknologi efter problemet?
>>
> Jeg ved ikke hvad dit levebrød er Alex, men man skal ikke sidde i en
> It-afdeling ret længe før man må erkende at i rigtigt mange
> organisationer ser brugerne IT som et onde de helst er foruden.

Det vil jeg se før de tror det. Hvis nogen sagde sådan til mig, skulle
jeg hurtigt låse deres PC, og udstyre dem med papir+blyant - så kan vi
jo se hvor længe de har den mening.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote in news:43cfbde3$0$15794$14726298
@news.sunsite.dk:

> Det vil jeg se før de tror det. Hvis nogen sagde sådan til mig, skulle
> jeg hurtigt låse deres PC, og udstyre dem med papir+blyant - så kan vi
> jo se hvor længe de har den mening.

heh - ja det er da vist kun i en virksomhed med 0 ansøgere til
stillingerne at den holdning kan tillades. Selv i det offentlige
hvor jeg færdes har folk da efterhånden fanget at de er nødt til
at lære at bruge maskinerne i stedet for at prøve at undgå dem.

/hilsner
--
| lars.g.j | e-mail: remove dots | www.lgj.dk | oz2lgj |
"Do you know what the chain of command is here?
It's the chain I go get and beat you with
to show you who's in command."

---

Den 19 Jan 2006 18:33:45 GMT skrev Lars Gjerløw Jørgensen:
> Kent Friis <nospam@nospam.invalid> wrote in news:43cfbde3$0$15794$14726298
> @news.sunsite.dk:
>
>> Det vil jeg se før de tror det. Hvis nogen sagde sådan til mig, skulle
>> jeg hurtigt låse deres PC, og udstyre dem med papir+blyant - så kan vi
>> jo se hvor længe de har den mening.
>
> heh - ja det er da vist kun i en virksomhed med 0 ansøgere til
> stillingerne at den holdning kan tillades. Selv i det offentlige
> hvor jeg færdes har folk da efterhånden fanget at de er nødt til
> at lære at bruge maskinerne i stedet for at prøve at undgå dem.

Ellers kan de bare stille sig ned i en større butik en dag strømmen
ryger - selvom der er 12-15 kasser igang, bliver køerne hurtigt lange,
når en indkøbsvogn fyld med varer skal noteres med papir og blyant.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Hi
Jeg videresendte naturligvis mailen til Ebay's fraud afdeling ;
spoof@ebay.com
og fik et pænt svar med mere oplysning om at sikre sin konto på Ebay
og Paypal.
Jeg har fået masser af "Paypal mails af samme skuffe men --- den
dummeste jeg med jævne mellemrum modtager, er "Administratoren" af
"Privat.dk" ,der med jævne mellemrum lukker min konto, suspenderer
den, tager den ned for vedligeholdelse osv. osv. ; det minder faktisk
om nogle af de andre fup mails ; egentlig ville det være sjovt at
vide, hvordan et program eller en person sender til alle med
bogstaverne "privat.dk" ,men det sjoveste ville nok være at vide hvem
der har skrevet det der står i selve mailen, alstå "Deres konto ved
Privat.dk er omgående suspenderet" .
En eller anden knold må da have skrevet det, og har været så led at
starte det.
P.C.

---

<per.corell@privat.dk> skrev i en meddelelse

Jeg har fået masser af "Paypal mails af samme skuffe

Jaja, og det bliver endnu værre, frygter eksperterne:

"... I 2005 steg antallet af unikke phishing forsøg med op mod 34%
sammenlignet med 2004. Det fremgår af tal fra Antiphishing Working Group. Vi
frygter at denne udvikling vil fortsætte i 2006 og tilmed udvikle sig til at
blive langt mere sofistikeret end det vi ser i dag..."
Link: http://csis.dk/Default.asp?page=article.asp&tekstID=437

Netop derfor kunne det jo være ganske interessant at vide, om de
anti-phishing værktøjer, der allerede findes, fx CallingID, er effektive.

Mvh John