Allegro i phishing część 2

15.07.2008
Allegro i phishing część 2

1 lipca napisałem post o możliwości przeprowadzenia ataku phishingowego na klientów Allegro. Ku mojemu zadowoleniu dostrzegły go inne media tj. Aukcje.org i Dziennik Internautów, którego redaktor Marcin Maj po trzech dniach przeprowadził bardziej dokładną analizę informacji na temat zabezpieczeń Allegro. Udało mu się uzyskać wypowiedź Patryka Tryzubiaka rzecznika Allegro:

Chcemy zwiększyć pewność adresatów, że list pochodzi od nas, dzięki wprowadzeniu dodatkowych, personalizowanych informacji w treść emaila. Pracujemy właśnie nad wprowadzeniem tej funkcjonalności. Co do linku do logowania, zdecydowaliśmy się na taką możliwość ponieważ zwiększa wygodę adresata. Uruchomienie w/w opcji powinno zwiększyć odporność całej komunikacji mailowej Allegro – Użytkownik na atak fishingowy ? mówi Tryzubiak.

Podobny sposób wykorzystuje już światowy gigant eBay, który do niektórych z e-maili jakie wysyła do swoich użytkowników dołącza imię, nazwisko i login z serwisu aukcyjnego. Jednak Jakub Dębski z firmy ESET uważa to za chybiony pomysł. W dzisiejszych czasach kiedy dane z serwisów takich jak nasza-klasa, goldenline, czy grono są powszechnie dostępne, nie jest trudnym powiązanie tych danych z Allegro.
Według mnie taki pomysł jest lepszy niż stan obecny. Może warto byłoby dodatkowo podpisywać e-maile certyfikatem, czy kluczem, dzięki temu internauci mieliby pewność od kogo pochodzi dany list. Allegro jest już na tyle rozwiniętą marką, że mogłoby także co jakiś czas sponsorować akcję informującą swoich użytkowników o potrzebnie sprawdzania certyfikatu na stronie przed zalogowaniem. Mogliby także opowiedzieć się za przeglądarką, którą uważają za najbezpieczniejszą do korzystania z ich serwisu.

Dołącz do dyskusji

Advertisement