Szerzenia wiedzy na temat (nie)bezpieczeństwa w internecie nigdy za dużo, zwłaszcza że obecnie internet przekrada się – w takiej czy innej formie – właściwie do każdego aspektu naszego życia. Warto tym bardziej, jeśli jest to podane w ciekawej, interaktywnej formie. Nawet jeśli jest (na razie?) tylko po angielsku.
Phishing Quiz with Google
Na stronie Phishing Quiz with Google (w ramach projektu Jigsaw) możemy bezpiecznie postawić się w miejscu osoby, którą ktoś próbuje (czasem) oszukać, podsyłając (czasem) spreparowaną wiadomość. Naszym celem jest – po analizie – odpowiedzieć na pytanie, czy w danym przypadku mamy do czynienia z próbą oszustwa (phishing), czy jednak nie i wiadomość jest prawdziwa.
Quiz składa się łącznie z 8 pytań, niestety z braku czasu nie testowałem, czy i jak często pytania się zmieniają. Ważne, że każde pytanie jest dość dobrze przygotowane (również) od strony technicznej, dzięki czemu mamy pewnego rodzaju namiastkę prawdziwej analizy wiadomości.
Zazwyczaj jest to albo „literówka” w adresie domeny, załącznik, którego się nie spodziewamy, czy też próba zamaskowania prawdziwego adresu domeny poprzez liczne subdomeny.
W swojej ósemce trafiłem nawet na pytanie, które sprawiło, że się zawahałem z udzieleniem odpowiedzi:
Wiadomość z wyglądu wydaje się poprawna, do tego link docelowy faktycznie korzysta z prawdziwej domeny Google:
https://google.com/amp/webinsider.pl/Cała sztuczka w tym przypadku polega na tym, że „sprytny oszust” wykorzystał mechanizm, który w pewnych sytuacjach przekierowuje z prawdziwej domeny Google na adres zewnętrzny, podany jako dalszy fragment adresu URL. Zmieniany w dalszym kroku na parametr:
https://www.google.com/url?q=https://webinsider.pl/Na moje szczęście znałem tę „sztuczkę”, i tym samym udało mi się odpowiedzieć prawidłowo również i na to pytanie:
I choć quiz jest przygotowany dość dobrze, to jednak jest to tylko zabawa. Zabawa, która może czegoś nauczyć, ale trzeba pamiętać, że nie jest to środowisko naturalne, a więc nawet jeśli ktoś odpowie prawidłowo na wszystkie pytania, i tak powinien „w prawdziwym internecie” zachować ostrożność. Zwłaszcza że licho nie śpi. Licho czyha na nasze dane i pieniądze.
| Lub postaw nam kawę :-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami - 1970-01-01
- WordPress 6.5 i „Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki - 1970-01-01
- Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330) - 1970-01-01
