Link alla notizia: http://www.hwupgrade.it/news/sicurezza/21087.html

Un'interessante proposta lanciata da Mikko Hypponen, CRO per F-Secure Corp, secondo la quale un nuovo dominio dedicato alle banche potrebbe arginare il problema del phishing.

Click sul link per visualizzare la notizia.

... il cui costo dovrebbe essere proibitivo per la maggior parte delle persone ma non per un ente quale una banca.


Sono dei geni, vendere una cosa a caro prezzo, solo per il nome :asd:

A me sembra un'ottima idea: solo non capisco perché tali domini debbano essere fatti pagare ORO: un po' di più magari si visto che bisogna verificare che il richiedente sia una banca, ma oro no di certo (anche perché alla fine le banche si rifanno su di noi...)!!!

io la trovo buona come idea!!!

Scusatemi, ma a me arrivano mail che riportano come mittente, ad esempio, poste.it. Poi clicchi e finisci su un server estero con cui ti fregano i dati.
A che serve avere un dominio del genere? Non è che poi riceviamo mail dello stesso tipo?

... ma oro no di certo (anche perché alla fine le banche si rifanno su di noi...)!!!


Infatti :O

Io sapevo che il phishing è portare qualcuno (generalmente tramite E.mail) su un dominio farlocco, che riproduce la grafica di quello vero, e convincermi in qualche modo ad inserire dati sensibili....
Ora, se sono così tarlucco da mettere dei dati su un sito senza verificare l'uri adesso, non vedo cosa cavolo cambi con un dominio .bank, pagato a peso d'oro e i cui costi verranno girati agli utenti...
O non ho capito la news.. o il Sig. Mikko è andato giu pesante di birra...

Con un dominio .bank sei sicuro che se accedi ad un sito che finisce per .bank è un sito sicuro. Questo è facile da recepire dall'utonto di internet, quindi l'utenza è sensibilizzata più facilmente.
Inoltre puoi unire il .bank al filtraggio del testo della mail, come lo effettua thunderbird per esempio. In questo modo se la mail ha dei link attivi verso siti non .bank è sicuramente phishing.

Scusatemi, ma a me arrivano mail che riportano come mittente, ad esempio, poste.it. Poi clicchi e finisci su un server estero con cui ti fregano i dati.
A che serve avere un dominio del genere? Non è che poi riceviamo mail dello stesso tipo?

Esattamente. Il problema del phishing non è il dominio o quant'altro, è l'utente.
poste.it è pure fatto troppo bene, ma a certi utenti se gli mandi un'email proveniente da poste.dk non fa alcuna differenza.

>>su un sito senza verificare l'uri adesso, non vedo cosa cavolo cambi con un dominio .bank

completamente d'accordo. Inoltre, basta avere l'accortezza di NON cliccare i link contenuti nelle e-mail sospette, ma di digitare l'indirizzo nel browser.
Gli utonti non vanno solo protetti dalla loro niubbaggine, vanno soprattutto informati sulla questione perchè, si sà, gli scammer trovano sempre nuovi modi per aggirare le "protezioni".

Con un dominio .bank sei sicuro che se accedi ad un sito che finisce per .bank è un sito sicuro. Questo è facile da recepire dall'utonto di internet, quindi l'utenza è sensibilizzata più facilmente.
Inoltre puoi unire il .bank al filtraggio del testo della mail, come lo effettua thunderbird per esempio. In questo modo se la mail ha dei link attivi verso siti non .bank è sicuramente phishing.

Thunderbird riconosce già quasi perfettamente i tentativi di frode, senza andare a scomodare i *.bank.
L'utente che cade in queste cose non sta a guardare dove puntano i link, non coglie la differenza fra un .it, .dk o .bank

L'idea è una gran cagata, oltre al fatto che non risolve niente, che si basa su un principio idiota come quello del costo, non tiene conto nemmeno del fatto dei costi che richiede l'adeguamento di tutte le infrastrutture già presenti. E, tra le altre cose, usare un particolare dominio non è nemmeno obbligatorio, quindi non vige nemmeno la regola del "dentro tutti", quindi molti istituti di credito rimarranno cosi come stanno.

Facilita l'utonto ma non risolve il problema..poi il discorso del costo ..lasciamo perdere.

Non serve assolutamente a nulla e non facilita nemmeno l' utonto. Basta del sano url cloaking, magari aiutato anche da qualche bella vulnerabilita' di IE, FF ed Opera ( come successo in passato ) che maschera completamente l' indirizzo originario.

E la frittata e' fatta. Oppure un dominio .bank.tistofregandoidati.com

Parafraso: "Una soluzione a prova di utonto non tiene conto dell' ingenuita' degli utonti".

Non vedo molto l'utilità di questa soluzione, come dice qualcuno che straquoto i problemi non sono i domini...ma gli utonti idioti che cliccheranno su qualsiasi finestra gli si pari davanti, che sia .it o .bank o .phishing.....se ci cascano nella vecchia maniera nulla mi dice che siano abbastanza intelligenti da avere l'accortezza di controllare il suffisso del dominio (giusto il tempo di spiegargli cosa sia), sono le stesse persone che lanciano incuriositi gli exe degli allegati delle loro mail o che scrivono il numero della carta di credito nella finestra lampeggiante di un casino online fiduciosi di aver vinto un premio...........non mi stupirei se noi italiani fossimo tra i primi posti come vittime del phishing! :)

Basterebbe anche che ogni qual volta uno stipula un qualcosa online venisse a caratteri cubitali:
NON TI CHIEDEREMO MAI DI REIMMETTERE I TUOI CODICI DI SICUREZZA QUINDI SE QUALCUNO TE LI CHIEDE NON SIAMO NOI MA TRUFFATORI!

Invece ogni qual volta ho fatto postepay e il conto online nessuno mi ha mai avvertito della cosa, io non sono utonto, ma molti altri si'!

sicuramente 2 passi avanti vanno fatti...
-il primo realizzando domini dedicati appunto...:)
-il secondo sta all'utente che decide di utilizzare il web come suo tramite con la propria banca, poste ecc... ha svegliarsi un po!!!;)

OTTIMA IDEA!

Pensare che registrando un dominio uno lascia i dati (che devono essere adeguatamente verificati) e se qualche truffa viene da quel dominio il proprietario passa l'inferno no vero????
Che ci siano utenti e utonti è anche giusto ma che la legge sia fatta per i furbi no eh!!!!

...il problema resterà comunque legato all'utente...un utente in grado di riconoscere correttamente il dominio dalla barra degli indirizzi non ha necessità di questo fantomatico dominio bank...senza contare poi che si possono sempre aggiungere argomenti nel link per renderlo completo di questo .bank agli occhi di un utente poco esperto...

http://www.google.it/search?num=20&hl=it&safe=off&q=.bank&btnG=Cerca&meta=

...ciao...

Sono dei geni, vendere una cosa a caro prezzo, solo per il nome :asd:

invece di certificare ogni ente o banca di prestigio, io aumentarei le pene per i truffatori e potenzierei gli strumenti a favore degli inquirenti e delle forze dell'ordine.

Scusatemi, ma a me arrivano mail che riportano come mittente, ad esempio, poste.it. Poi clicchi e finisci su un server estero con cui ti fregano i dati.
A che serve avere un dominio del genere? Non è che poi riceviamo mail dello stesso tipo?

me ne arrivano un giorno si e uno no di finte "poste.it", ma i vari provider non dovrebbero bloccarle già dalla fonte??:mad:
certo che se uno è appena un po' distratto la fregatura se la prende di sicuro:(

Scusate ... e fermare questa gente!?!? ... anche a me arrivano tutti i giorni le e-mail farlocche di bancoposta! ... però più che eliminarle non so che fare ... non c"è una autorità che becca sti cogli@ni e li fa smettere!??! ... a me sembra di impazzire ... invece di risolvere i problemi ci giriamo intorno ... tanto prima o poi se vogliono ti fregano anche conil dominio .bank!!!

Ma solo io la penso così???

Io spero vivamente che bancAPosta./Posta/Poste/ P O S E T E .it etc...
faccia una brutta fine.

Scusate lo sfogo, ma è diventata una cosa assurda.

Scusate ... e fermare questa gente!?!? ... anche a me arrivano tutti i giorni le e-mail farlocche di bancoposta! ... però più che eliminarle non so che fare ... non c"è una autorità che becca sti cogli@ni e li fa smettere!??! ... a me sembra di impazzire ... invece di risolvere i problemi ci giriamo intorno ... tanto prima o poi se vogliono ti fregano anche conil dominio .bank!!!

Ma solo io la penso così???

La pensano cosi' tutti quelli che non hanno idea di cosa ci sia dietro allo spam e al phishing.

Cioe': nessuno. Solo delle enormi botnet fatte di pc infetti che sparano migliaia di email. Fine.

Ovviamente c' e' chi e' a capo di queste "infezioni": ragazzetti quasi sempre dell' est europeo consci del fatto che

1) non ci sono autorita' competenti
2) non ci sono i mezzi per beccarli
3) non c' e' una normativa in merito

Prendila dal lato positivo: con poche decine di euro ti vendono un pacchetto sito+botnet+template email per tirar su anche tu un bel giro di spam e phishing... :asd:

Quanto siete criticoni... a me sembra già un passo avanti, anzi, ci avevo già pensato io anni fa, avrei dovuto brevettarlo :muro:

Non vedo perchè vendere un nome riservato a caro prezzo, basterebbe soltanto le spese legali per la certificazione che chi registra sia effettivamente una banca. Il costo artificialmente troppo alto si riperquoterebbe sugli utenti inevitabilmente.
Mi sembra insensato come le email a pagamento.

Beh non è malvagia come idea. Magari nell'ottica di creare un domani filtri avanzati.

Cmq anche io ultimamente sto ricevendo un numero esagerato di email "pescatrici", in particolare circa poste.it

Tra l'altro appena ho provveduto a segnalarle, tramite l'indirizzo dedicato su poste.it, loro mi hanno risposto con una email che aveva in allegato un file .doc ( :mad: ) dove mi spiegavano qualche norma di sicurezza e dicevano : "Il fenomeno che ci segnala è già sotto controllo da parte di Poste Italiane"

sarà.....

Certo è che il fenomeno ha proporzioni enormi!

Il tizzio di poste ultimamente ci sta dando sotto pesante, anche se oggi non è arrivato nulla, forse dopo tutte le bestemmie che gli ho detto gli sarà venuto un colpo.

Cmq creare filtri avanzati secondo me è buona cosa.

La pensano cosi' tutti quelli che non hanno idea di cosa ci sia dietro allo spam e al phishing.

Cioe': nessuno. Solo delle enormi botnet fatte di pc infetti che sparano migliaia di email. Fine.

Ovviamente c' e' chi e' a capo di queste "infezioni": ragazzetti quasi sempre dell' est europeo consci del fatto che

1) non ci sono autorita' competenti
2) non ci sono i mezzi per beccarli
3) non c' e' una normativa in merito

Prendila dal lato positivo: con poche decine di euro ti vendono un pacchetto sito+botnet+template email per tirar su anche tu un bel giro di spam e phishing... :asd:
Lo sanno, lo sanno ... dall' IP risali ad un luogo ... e a quel punto gli spegi i server!!

invece di certificare ogni ente o banca di prestigio, io aumentarei le pene per i truffatori e potenzierei gli strumenti a favore degli inquirenti e delle forze dell'ordine.


Quello che proponi combatte il problema, ma non crea business ;)

Io penso che l'idea di diversificare i domini o comunque la rete web con diversi suffissi atti ad individuare (e certificare) determinate categorie di siti si il modo ideale per tenere sotto controllo la rete e ostacolare i malintenzionati..

Basterebbe un minimo di organizzazione per individuare in modo univoco un po' di categorie..
.BANK per i siti finanziari e simili
.XXX per i siti per adulti
e così via..

Anche i programmi che aiutano l'utente ad evitare determinate zone della rete sarebbero molto più efficaci..

Lo sanno, lo sanno ... dall' IP risali ad un luogo ... e a quel punto gli spegi i server!!

Vedo che non ti e' chiaro il concetto di botnet (http://www.pcalsicuro.com/main/2007/01/il-grave-problema-delle-botnet/).

Vedo che non ti e' chiaro il concetto di botnet (http://www.pcalsicuro.com/main/2007/01/il-grave-problema-delle-botnet/).

Ho capito ... mi sono letto l'articolo. Grazie per il link.
Ma resto della mia idea... va cambiata la testa della gente!
Non li puoi beccare tutti, ma se non fermi nessuno aspettando (o sperando) di arrivare alla fonte principale, hai ragione...
... cominciamo dai più piccoli ... si tratta solo di volerlo fare ...

E poi vorresti dire che non riescono a sapere chi commissiona gli attacchi?!
ah,già ... la privacy ... la legge fatta per proteggere i delinquenti ...

Ho capito ... mi sono letto l'articolo. Grazie per il link.
Ma resto della mia idea... va cambiata la testa della gente!
Non li puoi beccare tutti, ma se non fermi nessuno aspettando (o sperando) di arrivare alla fonte principale, hai ragione...
... cominciamo dai più piccoli ... si tratta solo di volerlo fare ...

E poi vorresti dire che non riescono a sapere chi commissiona gli attacchi?!
ah,già ... la privacy ... la legge fatta per proteggere i delinquenti ...

Si sa bene o male chi li commissiona, ma nella quasi totalita' dei casi si trovano in paesi nei quali non esiste normativa in merito ai crimini informatici.

Tornando al discorso botnet, si era anche paventata l' idea, tempo addietro, di "costringere" i provider a togliere connettivita' ai clienti ( e di conseguenza ai loro pc ) che risultassero essere infetti e sfruttati in modo attivo come pc zombie.

Inutile dire il vespaio di polemiche... Ma io sarei stato d' accordo... :Perfido:

Si sa bene o male chi li commissiona, ma nella quasi totalita' dei casi si trovano in paesi nei quali non esiste normativa in merito ai crimini informatici.

Tornando al discorso botnet, si era anche paventata l' idea, tempo addietro, di "costringere" i provider a togliere connettivita' ai clienti ( e di conseguenza ai loro pc ) che risultassero essere infetti e sfruttati in modo attivo come pc zombie.

Inutile dire il vespaio di polemiche... Ma io sarei stato d' accordo... :Perfido:

ah, se per questo io a certa gente il computer non glie lo farei neanche usare solo guardandoli in faccia ... :)

ah, se per questo io a certa gente il computer non glie lo farei neanche usare solo guardandoli in faccia ... :)

Come non quotare.. In un altro thread ho scritto una filippica tanta contro la diffusione dei pc e di internet anche agli "scarsamente informatizzati" ( per non dire maledetti naab )... :doh:

Come non quotare.. In un altro thread ho scritto una filippica tanta contro la diffusione dei pc e di internet anche agli "scarsamente informatizzati" ( per non dire maledetti naab )... :doh:

Stiamo andando un po' OFFTOPIC ma devo dirlo ... Lavorando da un rivenditore (quindi tutti i giorni assemblo PC) mi sento ancora dire: "Il floppo lo formatto", "Hardiski" (plurale di Hard Disk), "ho windows97" ecc...
:muro:

Stiamo andando un po' OFFTOPIC ma devo dirlo ... Lavorando da un rivenditore (quindi tutti i giorni assemblo PC) mi sento ancora dire: "Il floppo lo formatto", "Hardiski" (plurale di Hard Disk), "ho windows97" ecc...
:muro:

OT mica tanto... Chi pensi che sia a cadere come polli nelle trappole del phishing?

E non capita certo solo qua, anzi, in europa probabilmente il fenomeno e' minore rispetto agli USA ( ma li le banche hanno problemi anche a non farsi fregare i database dei correntisti... ).

OT mica tanto... Chi pensi che sia a cadere come polli nelle trappole del phishing?

E non capita certo solo qua, anzi, in europa probabilmente il fenomeno e' minore rispetto agli USA ( ma li le banche hanno problemi anche a non farsi fregare i database dei correntisti... ).

eh bè! :D

Quello che proponi combatte il problema, ma non crea business ;)

ma se riesci a eliminare i truffatori allora tutti i business su internet ne gioveranno sicuramente!

ma siete sicuri che non si possa rubare anche un dominio?

Il tizzio di poste ultimamente ci sta dando sotto pesante, anche se oggi non è arrivato nulla, forse dopo tutte le bestemmie che gli ho detto gli sarà venuto un colpo.

Cmq creare filtri avanzati secondo me è buona cosa.

Gli hai risposto insultandolo?

ma siete sicuri che non si possa rubare anche un dominio?

Solo se nn paghi le bollette con il tuo registrar... :asd: :asd:

Thunderbird riconosce già quasi perfettamente i tentativi di frode, senza andare a scomodare i *.bank.

E nel frattempo migliaia di utenti vengono ancora frodati.


L'utente che cade in queste cose non sta a guardare dove puntano i link, non coglie la differenza fra un .it, .dk o .bank

Appunto. E' per questo che avrebbe senso mettere un dominio .bank nel momento in cui ho dei filtri automatizzati nei server di posta che non permettono la ricezione di email che:

1) contengono un testo chiaramente di tipo economico/finanziario (e questo lo si determina più o meno facilmente con gli attuali filtri bayesiani) e/o parole chiave come utente, password, username, conto corrente, etc... come si fa attualmente con lo spam
2) hanno dei link attivi o non attivi verso domini diversi da .bank

Se la condizione 1 del filtro ha successo, allora si passa a verificare la 2.
Se non ci sono link, la mail è abbastanza innocua e si può farla passare. Se ci sono dei link però questi devono avere TUTTI come dominio .bank, altrimenti la mail è cestinata automaticamente.

E' ovvio che non si può fare affidamento sulle conoscenze dell'utente/utonto, per cui IMHO un modo efficace di sfruttare la proposta fatta sarebbe questo.


L'idea è una gran cagata, oltre al fatto che non risolve niente, che si basa su un principio idiota come quello del costo, non tiene conto nemmeno del fatto dei costi che richiede l'adeguamento di tutte le infrastrutture già presenti. E, tra le altre cose, usare un particolare dominio non è nemmeno obbligatorio, quindi non vige nemmeno la regola del "dentro tutti", quindi molti istituti di credito rimarranno cosi come stanno.

Il fatto del costo è una mera stupidaggine. Se il dominio .bank è per le banche, allora ci deve essere un organo internazionale preposto alla verifica delle referenze, così come oggi in Italia c'è il NIC che non ti permette di registrare domini come ww*.ca**oi*c**o.it
Questo è il minimo.
Gli istituti di credito possono essere incentivati a passare al dominio .bank (e di certo l'alto costo del dominio non incentiva per niente) fornendo loro un valido piano di lotta al phishing, che comprende i filtri succitati.

Il domino .bank in se è ovvio che non serve proprio ad una ceppa.