Forum Övrigt Nyhetskommentarer Tråd Inlägg

Have I Been Pwned-skapare föll för phishing

1
Skriv svar
Permalänk
Melding Plague

Have I Been Pwned-skapare föll för phishing

Troy Hunt gjorde sig till ett levande bevis för nyttan med nycklar.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Redigera
Citera flera Citera
Permalänk
Medlem

aj, att vara nyvaken är inte alltid lätt. =O

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Netware01:

aj, att vara nyvaken är inte alltid lätt. =O

Gå till inlägget

Nej det är fan ett gissel att vara nyvaken för man tänker oftast inte särskilt bra ^_^

Citat:

Han klickade på länken, fyllde i namn och lösenord manuellt när lösenordshanteraren inte kändes vid sajten och kopierade sedan och klistrade in TOTP-koden för att logga in.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av tonii:

Nej det är fan ett gissel att vara nyvaken för man tänker oftast inte särskilt bra ^_^

Gå till inlägget

Står i artikeln att MailChimp inte har nyckelhantering. Jag tror åtminstone att det var det som syftades på med tanke på resten av texten. Inte en keepass med master lösenord. Kan ha fel.

Visa signatur

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av talonmas:

Står i artikeln att MailChimp inte har nyckelhantering. Jag tror åtminstone att det var det som syftades på med tanke på resten av texten. Inte en keepass med master lösenord. Kan ha fel.

Gå till inlägget

Det kanske stämmer men det var inte riktigt det jag syftade på i min post. Se det fetmarkerade i quoten

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av tonii:

Nej det är fan ett gissel att vara nyvaken för man tänker oftast inte särskilt bra ^_^

Gå till inlägget

Det här med att lösenordhanteraren inte känner igen sajten råkar man ju ut för ibland även på legitima sajter. T.ex. att URL där man reggar konto ligger på någon form av virtuell underdomän och det är det som sparas i lösenordshanteraren, för att sen inte matcha vid inloggning. Tycker det ganska ofta krävs lite massage av just URL-delen för att den ska matcha vid både registrering och inloggning.

Redigera
Citera flera Citera
Permalänk
Medlem

Passkeys är toppen när det funkar. Men det är inte tillräckligt användarvänligt, som även Sweclockers skrev om. Får hoppas det blir stora förbättringar på den fronten framöver.

Men detta visar att vara medveten om farorna och ha kunskap är inte tillräckligt, även en expert kan ha sina dåliga dagar. Därför behövs ett bättre system som gör det lättare för folk att inte falla offer för hackare. I detta fallet är passkeys ett bra alternativ till lösenord, då vi har vissa problem som skulle kunna förhindras.

  • Passkeys ger bra skydd mot nätfiske, då passkeys bara fungerar med hemsidan den registrerades på.

  • Det finns inga lösenord att hacka på den registrerade hemsidan, då det bara finns en offentlig nyckel på tjänsteleverantörens server som inte kan användas för att komma åt ditt konto.

Senast redigerat Förtydligande om passkeys
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av koSmiQ:

Det här med att lösenordhanteraren inte känner igen sajten råkar man ju ut för ibland även på legitima sajter. T.ex. att URL där man reggar konto ligger på någon form av virtuell underdomän och det är det som sparas i lösenordshanteraren, för att sen inte matcha vid inloggning. Tycker det ganska ofta krävs lite massage av just URL-delen för att den ska matcha vid både registrering och inloggning.

Gå till inlägget

Jo så är det tyvärr. Det medför ju att sådana här misstag lättare sker framförallt när man är nyvaken eller av andra orsaker disträ.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Troy Hunt skriver att han var trött av jetlag efter att ha flugit till London från Australien och att mejlet var ovanligt välgjort – bedragarna använde rätt design, och texten var precis lagom alarmerande för att han skulle vilja åtgärda det påstådda problemet men inte så alarmerande att han blev misstänksam. Han hade dessutom inte kunnat följa sitt eget råd, då Mailchimp inte erbjuder inloggning med nyckel.

Men stod avsändarmailen som (typ) "admin@mailchimp.com" eller liknande? Eller är det som i min erfarenhet _samtliga_ sådana mail att de står som "admin@mailchimp.com" men den faktiska avsändaradressen (_ALLTID VARJE GÅNG_) är typ "notphising_russianbrides@wehaxx.ru"? Något Troy Hunt om han nu är mer än en scriptkiddie så klart extremt enkelt hade kunnat kolla och bör kolla vid varje suspekt mail.
Förstår inte varför mailklienter inte som standard skriver ut den faktiska avsändaradressen utan låter avsändaren själva ställa in så att vad som syns som avsändaradress, vilket i min värld ju är idiotiskt idag.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av JBerger:

Men stod avsändarmailen som (typ) "admin@mailchimp.com" eller liknande? Eller är det som i min erfarenhet _samtliga_ sådana mail att de står som "admin@mailchimp.com" men den faktiska avsändaradressen (_ALLTID VARJE GÅNG_) är typ "notphising_russianbrides@wehaxx.ru"? Något Troy Hunt om han nu är mer än en scriptkiddie så klart extremt enkelt hade kunnat kolla och bör kolla vid varje suspekt mail.
Förstår inte varför mailklienter inte som standard skriver ut den faktiska avsändaradressen utan låter avsändaren själva ställa in så att vad som syns som avsändaradress, vilket i min värld ju är idiotiskt idag.

Gå till inlägget
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av JasBC:

<Uppladdad bildlänk>

Gå till inlägget

iOS är ett skämt när det kommer till sånt här... De försöker få det så rent som möjligt och då får man ibland inga felmeddelanden när någonting är fel/annorlunda.

Redigera
Citera flera Citera
Permalänk
Medlem

"Han klickade på länken"

Fatalt misstag, att öppna webbläsaren och skriv in adressen själv löser 99% av alla phishing-problem.

Redigera
Citera flera Citera
Permalänk
Medlem

Att klicka på en länk är en sak, men detta med att manuellt hämta ut inloggningsinformationen från sin lösenordshanterare när lösenordshanteraren inte känner igen domänen eftersom domänen är fel - det var väldigt dumt. Det är ju en av "säkerhetsfunktionerna" en modern lösenordshanterare har; att lösenordshanteraren vägrar fylla inloggningsinformationen för banken.com på alla domäner som inte är banken.com, samt att lösenordshanteraren säger till om det är något fuffens och inloggningen tycks vara skild domän, etc.

Visa signatur

Citera för svar :)

Redigera
Citera flera Citera
Permalänk
Medlem

Jahaja ... så någon i Thunderbirdteamet råkade alltså troligen ut för samma sak då, eftersom det gick ut mail igår om att adresslistan som de har hos Mailchimp har "stulits".

Visa signatur

9950X3D | 5080

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av dlq84:

"Han klickade på länken"

Fatalt misstag, att öppna webbläsaren och skriv in adressen själv löser 99% av alla phishing-problem.

Gå till inlägget

Man tycker ju att någon som är i branchen för datasäkerhet skulle vara mer än väl medveten om detta.

Jag har haft detta som vana i decennier de få gånger ett email fått mig att vilja logga in.

Visa signatur

| Corsair Crystal 460X | Z390-F | 9700K | ROG Ryujn 360mm | RTX 3080Ti | ROG Thor 850W | Vengeance Pro 3200mhz 16cl 16GB (2x8) | 970 Pro 2TB + 2xWD Black 4TB | ROG SWIFT PG279Q | Arctis 7 Pro Wireless | ROG Scope Deluxe red silent | ROG Chakram |

Redigera
Citera flera Citera
1
Skriv svar