Paypal wil browsers zonder phishing-filter weren
Paypal is van plan om transacties die gedaan worden via browsers die geen anti-phishing-beveiliging hebben te blokkeren. Mogelijk kunnen gebruikers van Apple's Safari daardoor geen gebruik meer maken van de betaaldienst.
Volgens het hoofd van de afdeling Informatiebeveiliging bij Paypal, Michael Barrett, staat het toelaten van financiele transacties via onveilige browsers gelijk aan 'het toestaan van autofabrikanten dat klanten voertuigen kopen zonder veiligheidsriemen'.
Paypal is een van de diensten die een belangrijk doelwit vormen voor phishers en het bedrijf heeft een rapport opgesteld met maatregelen die genomen worden om de dreiging tegen te gaan. Volgens Barret maakt een aanzienlijk deel van de Paypal-klanten gebruik van erg oude en kwetsbare browsers. Het zou dan met name gaan om applicaties die niet in staat zijn phishing-websites te detecteren en te blokkeren en die geen ondersteuning voor evssl-certificaten hebben. In eerste instantie zal de betaaldienst de betreffende internetters erop wijzen dat hun browser als onveilig wordt beschouwd, maar in een later stadium zal Paypal ertoe overgaan de toegang tot de site te blokkeren.
Barret noemde oude versies van Internet Explorer als voorbeeld van onveilige browsers, maar de waarschuwing gaat onmiskenbaar ook uit naar Apple's Safari, die geen anti-phishing-filter heeft en ook evssl-certificaten niet ondersteunt. Sites die de mogelijkheid aanbieden om online te betalen en die als veilig zijn aangemerkt kunnen een evssl-certificaat krijgen waarna IE7 in de url-balk aangeeft dat de pagina betrouwbaar is. Ook de komende versies van Firefox en Opera bieden deze ondersteuning.
Reacties (60)
er komt een anti-phishing filter voor Safari in de toekomst.
http://www.appleinsider.c...p_in_safari_3_builds.html
http://www.appleinsider.c...p_in_safari_3_builds.html
[Reactie gewijzigd door stewie op 18 april 2008 13:40]
Niets tegen Apple ofzo maar ik vindt het wel gigantisch laat. Het bedrijf loopt te pronken dat ze super veilig zijn maar dit hebben ze nog steeds niet voor mekaar.
Nou ja, 't heeft ook niks met de veiligheid van Safari te maken. Het is meer het de gebruiker behoeden voor z'n eigen domheid. Als je gewoon oplet en 't wél raar vindt dat je zomaar gevraagd wordt om allerlei gegevens in te voeren zonder aanleiding heb je al geen probleem meer.
Dat evssl gebeuren is ook onzin trouwens. Een groene balk, wauw.
Dat evssl gebeuren is ook onzin trouwens. Een groene balk, wauw.
[Reactie gewijzigd door CyBeR op 18 april 2008 14:00]
Daarnaast heb ik gewoon een hekel aan die filters. Als je in IE7 dat filter aanzet, wordt voor elke website die je bezoekt contact opgenomen met Microsoft om te controleren of de site die je bezoekt een phishing site is. Dit houdt dus in dat ten eerste het surfen op internet trager wordt, en ten tweede dat Microsoft precies kan bijhouden welke websites je bezoekt als ze dat zouden willen.
Ik moet zeggen dat ik het hier helemaal mee eens ben. Voor mij heeft zo'n filter meer negatieve dan positieve gevolgen. Bovendien, kwam het niet voor dat MS ook niet phishing sites ging filteren (i.e. concurenten eruit filteren)?
Bij ons op school moeten we telkens om het filter heen klikken om ook maar te kunnen printen. (via Maggy)
Bij ons op school moeten we telkens om het filter heen klikken om ook maar te kunnen printen. (via Maggy)
dat lijkt me eerders iets voor de systeembeheerder... als hij klachten krijgt met het maggy systeem, moet hij simpelweg phising uitzetten.. Wij op school hebben daar geen last van, omdat ze hier nog steeds IE6 gebruiken 
(nja ik niet, Firefox Portable)
(nja ik niet, Firefox Portable)
Hoe interpreteer je veiligheid van een browser dan?
Het is toch grotendeels de gebruiker beschermen tegen eigen stupiditeiten?
Het is toch grotendeels de gebruiker beschermen tegen eigen stupiditeiten?
D'r is een verschil tussen een prima normale HTML site met een form die je probeert te verleiden allerlei gegevens in te voeren (prima, moet je als gebruiker voor opletten imo) en een site die allerlei bugs in je browser misbruikt en daarmee allerlei code op je systeem laat draaien (niet goed).
Nou wow, een phishing filter die in geen enkele browser werkt of uitermate slecht werkt... iets dat niet werkt is pure schijn veiligheid en daardoor nog vele malen gevaarlijker dan wanneer je het er niet in zou stoppen. Als je namelijk iets hebt waarvan je denkt dat het veilig is wordt je op dat gebied argelozer want het filter vangt het wel op (wat het dus 99% van de keren niet doet).
Ze zullen bergen moeten verzetten willen ze een fatsoenlijk werkend filter hebben.
Er zijn ook nog amper websites die zo'n evssl certificaat hebben. De voorloper hiervan had ook al zo weinig aan populariteit. Gezien hoe het nu gaat zal dat evssl ook niet bepaald populair gaan worden. Ik vind het gewoon een ontzettend loos plan van Paypal.
Ze zullen bergen moeten verzetten willen ze een fatsoenlijk werkend filter hebben.
Er zijn ook nog amper websites die zo'n evssl certificaat hebben. De voorloper hiervan had ook al zo weinig aan populariteit. Gezien hoe het nu gaat zal dat evssl ook niet bepaald populair gaan worden. Ik vind het gewoon een ontzettend loos plan van Paypal.
er werkt bij Apple met top 2 mensen aan safari, er zijn ook nog wat open-source ontwikkelaars.
maar er zijn zeer weinig ontwikkelaars.
maar er zijn zeer weinig ontwikkelaars.
Dat ze hun agen-string aanpassen in "Mozilla" 
en opeens zijn alle safari browsers voor paypal onzichtbaar...
en opeens zijn alle safari browsers voor paypal onzichtbaar...
Zo is hun marktaandeel en dat was de grootste beslissing voor Opera om hun agent-string standaard op Opera te zetten.
Daarnaast is dit een domme keus, de redern achter paypal is veiligheid, als men die oplossing kiest zou dit zeer slechte reclame zijn voor Apple :-)
Daarnaast is dit een domme keus, de redern achter paypal is veiligheid, als men die oplossing kiest zou dit zeer slechte reclame zijn voor Apple :-)
Inderdaad. Ik kreeg pas al drie keer een phising mail van die idioten die je geld af illen trogelen. Meteen maar even doorgestuurd naar mailto:spoof@paypal.com.
Maar er zijn dus genoeg mensen die op van die fake sites hun gegevens in voeren. Ik had het zelf ook bijna gedaan toen ik het eerste mailtje kreeg. De afzender was van het domein paypaI.com (dus met een hoofdletter i i.p.v. een l). Het viel mij eigenlijk alleen op dat ik het maltje kreeg op het adres dat niet bij Paypal belkend was.
Het filter van IE7 mogen ze trouwens ook wel verbeteren want die liet de sites gewoon door zonder waarschuwing.
Maar er zijn dus genoeg mensen die op van die fake sites hun gegevens in voeren. Ik had het zelf ook bijna gedaan toen ik het eerste mailtje kreeg. De afzender was van het domein paypaI.com (dus met een hoofdletter i i.p.v. een l). Het viel mij eigenlijk alleen op dat ik het maltje kreeg op het adres dat niet bij Paypal belkend was.
Het filter van IE7 mogen ze trouwens ook wel verbeteren want die liet de sites gewoon door zonder waarschuwing.
[Reactie gewijzigd door Swelson op 18 april 2008 13:47]
Jij mag je email filter wel eens aanpassen.
*ALLE* PayPal emails hebben ".paypal.com (" in de e-mail header staan, en geen één phishing email van de 4000+ per dag die op onze servers gefiltert worden bezit die eigenschap.
Dus als "From:" van PayPal is *en* de header bevat geen ".paypal.com (", dan is het 100% spam.
Wij doen dat op server niveau voor ons (en alle klanten), maar jij kan dat gemakkelijk zelf in elke moderne e-mail client toevoegen als filter.
@jeroenr, ik zeg helemaal niets over het feit dat een header niet aan te passen is, echter wij filteren ongeveer 1,5 miljoen e-mailtjes weg per jaar via bovenstaand filter, dus de spammers zijn gelukkig niet zo slim als jouw. Het is namelijk ontzettend effectief, op ons eigen openbaar PayPal email adres komen namelijk de meeste spams binnen, gemiddeld zo'n 800 per dag en die worden dus allemaal keurig weggefiltert. De ongeveer 30 legetieme emails die we per dag van PayPal ontvangen komen wel keurig aan (nooit een false-positive). Draai dat filter al meer dan 5 jaar en nooit problemen.
En mochten de spammers wel slimmer worden, dan is het erg simpel om de filters uit te breiden. Tenzij de spammers de mail servers van PayPal hacken, zal het altijd mogelijk zijn om hun emails te weren.
@Klaus_1250, DKIM-Signatures en DomainKey-Signature en andere methodes gebruiken wij natuurlijk ook, alleen zijn die wat lastiger voor een normale gebruiker in een client zoals Outlook Express toe te passen. Mijn uitleg was meer toegepast op het feit dat je geen mail-server toegang hoeft te hebben (of wat meer geadvanceerde methodes) om toch doeltreffend alle PayPal spam te filteren. Ben helaas een hoop tijd kwijt elke dag om technische details te vertalen naar een "dumbed-down" versie voor de CEO, CFO en klanten. Zal ook niet lang duren voordat ik alle haren op mijn hoofd kwijt ben
Wat laatste relay betreft, houd ook rekening met *.den.paypal.com voor de IPN (en vele non-US gebruikers), vandaar ".paypal.com ("
*ALLE* PayPal emails hebben ".paypal.com (" in de e-mail header staan, en geen één phishing email van de 4000+ per dag die op onze servers gefiltert worden bezit die eigenschap.
Dus als "From:" van PayPal is *en* de header bevat geen ".paypal.com (", dan is het 100% spam.
Wij doen dat op server niveau voor ons (en alle klanten), maar jij kan dat gemakkelijk zelf in elke moderne e-mail client toevoegen als filter.
@jeroenr, ik zeg helemaal niets over het feit dat een header niet aan te passen is, echter wij filteren ongeveer 1,5 miljoen e-mailtjes weg per jaar via bovenstaand filter, dus de spammers zijn gelukkig niet zo slim als jouw. Het is namelijk ontzettend effectief, op ons eigen openbaar PayPal email adres komen namelijk de meeste spams binnen, gemiddeld zo'n 800 per dag en die worden dus allemaal keurig weggefiltert. De ongeveer 30 legetieme emails die we per dag van PayPal ontvangen komen wel keurig aan (nooit een false-positive). Draai dat filter al meer dan 5 jaar en nooit problemen.
En mochten de spammers wel slimmer worden, dan is het erg simpel om de filters uit te breiden. Tenzij de spammers de mail servers van PayPal hacken, zal het altijd mogelijk zijn om hun emails te weren.
@Klaus_1250, DKIM-Signatures en DomainKey-Signature en andere methodes gebruiken wij natuurlijk ook, alleen zijn die wat lastiger voor een normale gebruiker in een client zoals Outlook Express toe te passen. Mijn uitleg was meer toegepast op het feit dat je geen mail-server toegang hoeft te hebben (of wat meer geadvanceerde methodes) om toch doeltreffend alle PayPal spam te filteren. Ben helaas een hoop tijd kwijt elke dag om technische details te vertalen naar een "dumbed-down" versie voor de CEO, CFO en klanten. Zal ook niet lang duren voordat ik alle haren op mijn hoofd kwijt ben
Wat laatste relay betreft, houd ook rekening met *.den.paypal.com voor de IPN (en vele non-US gebruikers), vandaar ".paypal.com ("
[Reactie gewijzigd door Ron.IT op 18 april 2008 16:06]
Als er iets is dat makkelijk te vervalsen is, dan is het wel e-mail headers. Als jij me je mailadres geeft, heb je over een kwartier een mail met ".paypal.com (" in je mail liggen...
Je bedoelt te zeggen dat alle Paypal emails als laatste relay *.phx.paypal.com hebben. Als je ze ontvangt, krijg je ze dus altijd van een machine waarvan het ip-adres daar naar resolved. Klein verschil met "email-headers" (als CTO zou je toch beter moeten weten ;-) ), die zijn namelijk makkelijk te vervalsen.
Maar Paypal gebruikt zowel DKIM als SPF/SPF2, dus het is vrij makkelijk om legitieme Paypal mails te herkennen.
Maar Paypal gebruikt zowel DKIM als SPF/SPF2, dus het is vrij makkelijk om legitieme Paypal mails te herkennen.
en hoe gaat het filter op de Paypal site voorkomen dat jij je gegevens op een fake site gaat invoeren?
Ebay (PayPal) probeert op deze manier juist druk bij de browser fabrikanten te leggen zodat ze allemaal een phissing filter hebben. En omdat een fake site geen evssl certificaat heeft geeft je browser dan een waarschuwing. Phissing sites met alleen een 'normaal' SSL certificaat geven dan ook een melding dat de website mogelijk onjuist is.
De APWG (Anti Phissing Work Group) houd namelijk de lijst van sites bij welke vaak slachtoffer zijn van phissing. De lijst zelf is alleen inzichtelijk voor leden van de lijst.
Maar persoonlijk denk ik dat het aantal slachtoffers van OSX redelijk meevalt. Over het algemeen zijn het vooral mensen welke weinig met computers of internet doen en die werken meestal met Windows.
Maar niet te min moet ook in Safari natuurlijk een phissing filter komen, want de iMac vind ook steeds vaker de weg naar de huiskamer.
De APWG (Anti Phissing Work Group) houd namelijk de lijst van sites bij welke vaak slachtoffer zijn van phissing. De lijst zelf is alleen inzichtelijk voor leden van de lijst.
Maar persoonlijk denk ik dat het aantal slachtoffers van OSX redelijk meevalt. Over het algemeen zijn het vooral mensen welke weinig met computers of internet doen en die werken meestal met Windows.
Maar niet te min moet ook in Safari natuurlijk een phissing filter komen, want de iMac vind ook steeds vaker de weg naar de huiskamer.
De meeste mensen die ik ken die een mac gekocht hebben, hebben dat gedaan 'omdat ze die computer met dat appeltje zo mooi vonden'Maar persoonlijk denk ik dat het aantal slachtoffers van OSX redelijk meevalt. Over het algemeen zijn het vooral mensen welke weinig met computers of internet doen en die werken meestal met Windows.
Ik vind dus wel dat Safari achter loopt hiermee
Als je weet dat PayPal niet behoort te functioneren met jouw browser, dan werkt dat hetzelfde als een rode adresbalk in Internet Explorer. Die waarschuwing in IE kun je namelijk ook gewoon negeren, als je wil (of niet beter weet).
Niet, maar op het moment dat Paypal alleen maar browsers met anti-phishing features toelaat dan ga jij met je Paypal vanzelf zo'n browser gebruiken (ofwel gaan de browsermakers dat inbouwen als hun browser dat nog niet ondersteunt). Je hebt immers een Paypal account dus daar wil je dingen mee doen. En op het moment dat jij zo'n browser gebruikt kun je dus niet meer gespoofed worden.
@Niemand_Anders: het is phishing (jeweetwel, van fishing), niet phissing
@Niemand_Anders: het is phishing (jeweetwel, van fishing), niet phissing
Goede actie, het is altijd "waarom updaten? Het werkt toch..." Nu werkt het dus niet meer en moeten ze wel.
Hoop dat meer sites hun voorbeeld volgen (Rabobank, ING enz)
Hoop dat meer sites hun voorbeeld volgen (Rabobank, ING enz)
Wat is dit voor onzin, ik ben als klant toch verantwoordelijk en wil zelf kunnen kiezen of ik me hiertegen beveilig of niet. Dat zij dit op gaan leggen is belachelijk en zal in veel gevallen erg nadelig voor klanten uitvallen. Als jij op het werk of school zit met een oude browser die je niet kunt vervangen val je helemaal buiten de boot. Zelfde geld als je even tijdelijk vanaf iemand anders z'n computer iets wil overmaken (je eigen pc is kapot, niet bereikbaar, noem maar op).
Ik ben het er wel mee eens dat het voor onervaren gebruikers goed is om dit te stimuleren. Maar ik wil niet ingeperkt worden omdat er mensen zijn die zomaar op elke link klikken.
@Hieronder: Ik kies ervoor om geld bij hun onder te brengen, als daar dingen mee misgaan door mijn eigen schuld, dan is dat maar zo. Daarbij geldt het niet alleen voor paypal maar ook voor alle andere betalingsdiensten, als ik geld over wil maken dan wil ik dat gewoon kunnen, vanaf mijn werk, vanaf mijn school en ook vanaf mijn mobiel met internet. Als mijn vriendin belt dat ze niet genoeg geld op dr rekening heeft staan wil ik dat binnen 5 minuten kunnen regelen. En dat kan nu wel, en als dat dan dicht wordt gegooit ben ik daar zeer boos over.
Ik ben het er wel mee eens dat het voor onervaren gebruikers goed is om dit te stimuleren. Maar ik wil niet ingeperkt worden omdat er mensen zijn die zomaar op elke link klikken.
@Hieronder: Ik kies ervoor om geld bij hun onder te brengen, als daar dingen mee misgaan door mijn eigen schuld, dan is dat maar zo. Daarbij geldt het niet alleen voor paypal maar ook voor alle andere betalingsdiensten, als ik geld over wil maken dan wil ik dat gewoon kunnen, vanaf mijn werk, vanaf mijn school en ook vanaf mijn mobiel met internet. Als mijn vriendin belt dat ze niet genoeg geld op dr rekening heeft staan wil ik dat binnen 5 minuten kunnen regelen. En dat kan nu wel, en als dat dan dicht wordt gegooit ben ik daar zeer boos over.
[Reactie gewijzigd door merlijn85 op 18 april 2008 14:00]
Vliegtuigen kunnen ze ook wel alle veiligheidssystemen uit halen, dan is het de passagiers schuld dat ze vlogen. De meeste paypal gebruikers hebben geen idee van de gevaren en klikken op iedere link in ieder mailtje, vullen overal hun gegevens in etc.
Toch vind ik de beslissing van PayPal overkill, ze kunnen beter gewoon een enorme waarschuwing doen die pas na 10/20 seconden weggeklikt kan worden.
Toch vind ik de beslissing van PayPal overkill, ze kunnen beter gewoon een enorme waarschuwing doen die pas na 10/20 seconden weggeklikt kan worden.
je kan het andersom ook bekijken zei voelen zich verantwoordelijk voor de klanten die hun product gebruiken, dus gaan ze maatregelen nemen tegen browsers die zei onveilig vinden.
zei voelen zich niet verantwoordelijk, zij worden verantwoordelijk gehouden als het een keer fout gaat..... (en aansprakelijk gestelt in bepaalde landen)
Ja, doe maar gerust op, wees maar verantwoordelijk voor jezelf.
Een gedupeerde klant zal drie keer zo veel slechte reclame maken als ie gephisht is, want hij weet bij god niet dat het een crimineel was...
PayPal probeert dit te verhinderen, ze zijn bezorgd om hun klanten en hun reputatie, wat ieder bedrijf is/zou moeten zijn.
Om dan verder te gaan: op school moet je toch niet daarmee bezig zijn, dan moet je toch met de les bezig zijn? (en het is danook nog een publiek netwerk...)
Op werk moet je werken, en niet betalingen zitten uitvoeren, ook al niet omdat het bij beide gevallen over "publieke plaatsen"/"publieke netwerken" gaat...
En je gaat betalingen niet doen op een andere PC "zo maar even", gebruikers zijn, en dat weten de meeste tweakers en veel zullen het met me eens zijn, niet altijd even slim (en dat is nog licht uitgedrukt) wat betreft veiligheid op het internet...
Daarom dat PayPal hen en ons beschermd...
Met Visa kan je binnenkort toch ook niet meer betalen zonder PIN code? Ga je daarover klagen omdat ze het je opleggen ?
Een gedupeerde klant zal drie keer zo veel slechte reclame maken als ie gephisht is, want hij weet bij god niet dat het een crimineel was...
PayPal probeert dit te verhinderen, ze zijn bezorgd om hun klanten en hun reputatie, wat ieder bedrijf is/zou moeten zijn.
Om dan verder te gaan: op school moet je toch niet daarmee bezig zijn, dan moet je toch met de les bezig zijn? (en het is danook nog een publiek netwerk...)
Op werk moet je werken, en niet betalingen zitten uitvoeren, ook al niet omdat het bij beide gevallen over "publieke plaatsen"/"publieke netwerken" gaat...
En je gaat betalingen niet doen op een andere PC "zo maar even", gebruikers zijn, en dat weten de meeste tweakers en veel zullen het met me eens zijn, niet altijd even slim (en dat is nog licht uitgedrukt) wat betreft veiligheid op het internet...
Daarom dat PayPal hen en ons beschermd...
Met Visa kan je binnenkort toch ook niet meer betalen zonder PIN code? Ga je daarover klagen omdat ze het je opleggen ?
[Reactie gewijzigd door HyperBart op 18 april 2008 13:51]
Als Visa mij verplicht PIN codes te gebruiken waar ik ook betaal met mijn credit card dan is dat prima, zolang ik maar niet word beperkt in mijn doen en laten met de kaart. Als ik ineens maar op de helft van de plekken kan betalen als voorheen zal ik zeker gaan klagen.
En wat nou als ze een extra beveiliging inbouwen in de nieuwe generatie credit card en ze verplichten je om die nieuwe te gebruiken, ga je dan ook klagen dat je oude, onveilige credit card onbruikbaar is geworden? Dat is denk ik de vergelijking die je het beste kan maken.
Aan de ene kant snap ik dat PayPal zijn naam hoog wil houden en dat het misbruikt wordt door dit soort dingen doet dat niet heel veel goed.
Aan de andere kant zet ik dat soort onzinfilters altijd uit, tot nader onderzoek vind ik mezelf prima geschikt om een scam van een echt mailtje/site te onderscheiden.
Ook heb ik helemaal geen vertrouwen in dit soort opt-in systemen voor veiligheid, helemaal niet als ik geen controle heb over wat er wel en niet als betrouwbaar anngemerkt is.
Aan de andere kant zet ik dat soort onzinfilters altijd uit, tot nader onderzoek vind ik mezelf prima geschikt om een scam van een echt mailtje/site te onderscheiden.
Ook heb ik helemaal geen vertrouwen in dit soort opt-in systemen voor veiligheid, helemaal niet als ik geen controle heb over wat er wel en niet als betrouwbaar anngemerkt is.
Idd, ze kunnen beter een duidelijke waarschuwing tonen dat je browser niet veilig is en of je zeker weet dat je door wilt gaan. Of nog een stapje verder, in je paypal-prefs opgeven of onveilige browsers geweerd moeten worden. Moet je dan wel eenmalig (vanaf een veilige browser ) instellen. Meeste 'n00bs' zullen dat toch default aan laten staan.
) instellen. Meeste 'n00bs' zullen dat toch default aan laten staan.
[Reactie gewijzigd door Palomar op 18 april 2008 13:53]
jij gebruikt hun dienst, logisch dat zij daar voorwaarden aan mogen stellen. Net zoals dat een brandverzekering eist dat jij wel voorzichtig bent met je gas/vuur.
Denk dat de gemiddelde tweaker ook helemaal geen probleem heeft om een PayPal spoof site van verre al te herkennen, zeker door EVSSL is het wel erg gemakkelijk. Stuur bijna elke week een e-mail naar mijn bank toe om hun op EVSSL certificaties te wijzen voor het on-line banking (al hebben ze wel eindelijk image-challenge toegevoegt), omdat ik niet wil betalen voor de stommiteit van andere gebruikers.
Doordat ik zo'n hekel heb aan extra "phone home" verkeer, staat al dat anti-phishing spul bij mij volledig uit op alle systemen. Hopelijk controleert PayPal alleen of je browser geschikt is, en niet of het daadwerkelijk aanstaat.
Doordat ik zo'n hekel heb aan extra "phone home" verkeer, staat al dat anti-phishing spul bij mij volledig uit op alle systemen. Hopelijk controleert PayPal alleen of je browser geschikt is, en niet of het daadwerkelijk aanstaat.
Dat zou prima zijn wanneer de schade alleen voor JOUW rekening zou zijn. Helaas is dat niet het geval, want PayPal leidt imagoschade als de dienst als onveilig wordt gezien (terecht of onterecht). Bovendien kost het de bank/credit card maatschappij/verzekering ook nog eens een aardige smak geld als jij je geld terug wil.Wat is dit voor onzin, ik ben als klant toch verantwoordelijk en wil zelf kunnen kiezen of ik me hiertegen beveilig of niet. Dat zij dit op gaan leggen is belachelijk en zal in veel gevallen erg nadelig voor klanten uitvallen. Als jij op het werk of school zit met een oude browser die je niet kunt vervangen val je helemaal buiten de boot. Zelfde geld als je even tijdelijk vanaf iemand anders z'n computer iets wil overmaken (je eigen pc is kapot, niet bereikbaar, noem maar op).
Ik ben het er wel mee eens dat het voor onervaren gebruikers goed is om dit te stimuleren. Maar ik wil niet ingeperkt worden omdat er mensen zijn die zomaar op elke link klikken.
@Hieronder: Ik kies ervoor om geld bij hun onder te brengen, als daar dingen mee misgaan door mijn eigen schuld, dan is dat maar zo. Daarbij geldt het niet alleen voor paypal maar ook voor alle andere betalingsdiensten, als ik geld over wil maken dan wil ik dat gewoon kunnen, vanaf mijn werk, vanaf mijn school en ook vanaf mijn mobiel met internet. Als mijn vriendin belt dat ze niet genoeg geld op dr rekening heeft staan wil ik dat binnen 5 minuten kunnen regelen. En dat kan nu wel, en als dat dan dicht wordt gegooit ben ik daar zeer boos over.
Kortom, we worden straks verplicht door PayPal om een filter te hebben... maar mogen het vervolgens nog wel uitzetten?PayPal says allowing customers to make financial transactions on unsafe browsers "is equal to a car manufacturer allowing drivers to buy one of their vehicles without seat belts."
das nog maar de vraag, - natuurlijk,
toch denk ik dat de mensen die hierover ..... niet snappen hoe het in de ECHTE wereld werkt, das namelijk net zoiets als zeggen dat het onzin is omdat 1 of elke duizend klanten mogelijk wel instaat is z'n transacties in de gaten te houden....
dat er 999 mensen de dupe moeten zijn van zijn egocentrisme - ACH who cares....
toch denk ik dat de mensen die hierover ..... niet snappen hoe het in de ECHTE wereld werkt, das namelijk net zoiets als zeggen dat het onzin is omdat 1 of elke duizend klanten mogelijk wel instaat is z'n transacties in de gaten te houden....
dat er 999 mensen de dupe moeten zijn van zijn egocentrisme - ACH who cares....
Het is op zich een prima actie, echter gaan ze net even iets tever. Mensen die op phising-requests reageren zullen ook vrij gemakkelijk over te halen zijn om via andere wegen opgelicht te worden, dus echt oplossen doe je dit (algemene) Internet-probleem niet. Waarschuwen is denk ik de beste optie, of een betere manier van veilig inloggen, want nu wordt ik dus geweerd op osx als ik het goed begrijp (behalve dan als ik een andere browser installeer of Windows even emuleer). Ik zie bij zoiets gevoeligs als Paypal, wat ik nog steeds gebruik, liever dat ik een pincode-paslezer oplossing moet aanschaffen net als bij m'n bank.
Neemt niet weg dat ik het prima vindt om te zien dat safari op deze manier wellicht sneller overgaat op betere beveiliging.
Neemt niet weg dat ik het prima vindt om te zien dat safari op deze manier wellicht sneller overgaat op betere beveiliging.
[Reactie gewijzigd door vgroenewold op 18 april 2008 14:00]
Ik snap dat PP aan klanten educatie doet, en dit geval is dat alleen maar toe te juichen. Echter het verplichten tot vind ik te ver gaan. Niet zozeer het dwingen om over te stappen en/of te updaten, maar het creeën van de schijnveiligheid door te zeggen als je IE7 gebruik ben je wel veilig. Ik heb nog nooit een phising filter goed zien werken en denk dat ze ook nooit goed zullen werken. Zelfs het ondersteunen van SSL certificaten is leuk maar zeg niks over de veiligeid.
Voorbeeld. Ik rip de generated htmls van amazon of BOL en plaats deze op mijn eigen server met certificaat. Ik stuur enkele duizende mails uit met een l*l verhaal dat mensen zich moeten inloggen of een extratje te bestellen. De filters pakken me hoogstwaarschijnlijk niet en ik heb de certificaten dus ook daar geen probleem.
Dus of ik nou met safari of IE7/FF of whatever surft, het maakt in de meeste gevallen niets uit.
Voorbeeld. Ik rip de generated htmls van amazon of BOL en plaats deze op mijn eigen server met certificaat. Ik stuur enkele duizende mails uit met een l*l verhaal dat mensen zich moeten inloggen of een extratje te bestellen. De filters pakken me hoogstwaarschijnlijk niet en ik heb de certificaten dus ook daar geen probleem.
Dus of ik nou met safari of IE7/FF of whatever surft, het maakt in de meeste gevallen niets uit.
Met gewone certificaten wordt er niet gevalideerd wie de eigenaar is. Met EV-certificaten wel.
Jij kan nooit een certificaat krijgen voor Paypal.com en op jouw gespoofde site staat dus heel duidelijk de naam van jouw bedrijf in beeld op de plaats waar anders altijd PayPal staat.
Jij kan nooit een certificaat krijgen voor Paypal.com en op jouw gespoofde site staat dus heel duidelijk de naam van jouw bedrijf in beeld op de plaats waar anders altijd PayPal staat.
[Reactie gewijzigd door Maurits van Baerle op 18 april 2008 14:23]
Maar zolang het overgrote deel van de gebruikers niet snapt dat http://www.paypal.hacker.com niet van Paypal is, gaat dat dus niks oplossen, want de eigenaar van hacker.com kan wel een certificaat voor hacker.com krijgen.
ik hoeft toch ook geen certificaat te hebben voor paypal.com. Het enige wat ik dient te hebben is een site die lijkt op een bekende shop en daar A. gegevens verzamelen of B. transacties laten doen naar mijn rekening.
dit kan ik beide bereiken zonder een phising alert te veroorzaken of een certificaat melding te krijgen. Dat bij het overmaken van geld (ben geen paypal gebruiker maar ga er vanuit dat ik zie naar wie ik het overmaakt) kan ik dan wel zien dat ik niet amazon ben, maar tja op de 100 potentiele slachtoffers zal een x-percentage dat niet zien.
Het mooie van spam en phising is dat er altijd wel mensen intrappen. It's a numbers game.
dit kan ik beide bereiken zonder een phising alert te veroorzaken of een certificaat melding te krijgen. Dat bij het overmaken van geld (ben geen paypal gebruiker maar ga er vanuit dat ik zie naar wie ik het overmaakt) kan ik dan wel zien dat ik niet amazon ben, maar tja op de 100 potentiele slachtoffers zal een x-percentage dat niet zien.
Het mooie van spam en phising is dat er altijd wel mensen intrappen. It's a numbers game.
[Reactie gewijzigd door darkraven1979 op 18 april 2008 14:35]
Een site hebben die lijkt op PayPal werkt dus nauwelijks meer dankzij phishing filters. Iedereen die naar jouw site gaat krijgt een grote melding dat het een bekende phishing site is. Phishing sites werken dus alleen totdat ze ontdekt worden en dat gaat tegenwoordig gigantisch snel.
Dit is hetzelfde als een autobedrijf zegt, we laten alleen mensen toe die kunnen zien wanneer autobedrijven nep zijn of niet.
Leuk bedacht van Paypal, maar de meeste Phishingtrucs werken juist door de gebruiker naar een *andere* site dan de Paypal site te lokken...
Ik heb al een leuke nieuwe Phishingtruc bedacht:
From: mailto:support@paypal.com
To: mailto:ignorant@user.com
Subject: You can now use Paypal again!
Dear customer,
You recently visited Paypal.com but got the following error:
"Incompatible browser, browser with phishingfilter needed"
We are very sorry for this problem, but we are happy to tell you we have fixed this problem. You can now use http://paypal.hacker.com/. Bookmark this site for future use!
Paypal.com customer support
Joe Hacker.
Ik heb al een leuke nieuwe Phishingtruc bedacht:
From: mailto:support@paypal.com
To: mailto:ignorant@user.com
Subject: You can now use Paypal again!
Dear customer,
You recently visited Paypal.com but got the following error:
"Incompatible browser, browser with phishingfilter needed"
We are very sorry for this problem, but we are happy to tell you we have fixed this problem. You can now use http://paypal.hacker.com/. Bookmark this site for future use!
Paypal.com customer support
Joe Hacker.
En dat is dus precies wat phising filters voorkomen. Zorgen dat *andere* sites die beweren Paypal te zijn maar het eigenlijk niet zijn direct opvallen door een waarschuwing in de browser. Zodra iemand op paypal.hacker.com komt geven browsers met Phishing Protection een melding.
EV-certs zijn een mooie aanvulling en geven aan wie de werkelijke eigenaar van het certificaat is.
EV-certs zijn een mooie aanvulling en geven aan wie de werkelijke eigenaar van het certificaat is.
[Reactie gewijzigd door Maurits van Baerle op 18 april 2008 14:14]
Het ging hier juist om mensen die een browser zonder phishingfilter hebben. Daarom: leuk bedacht, maar het gaat het probleem niet oplossen.Zodra iemand op paypal.hacker.com komt geven browsers met Phishing Protection een melding.
Precies, en de actie van PayPal is er daarom dus op gericht om mensen die een browser hebben zonder Phishing filter en EV-cert ondersteuning geen toegang meer te verlenen.
Als jij dus een regelmatig gebruiker bent van PayPal heb je dus automatisch een browser met die extra beveiliging, anders ben je geen gebruiker van PayPal, heel simpel.
Als jij dus een regelmatig gebruiker bent van PayPal heb je dus automatisch een browser met die extra beveiliging, anders ben je geen gebruiker van PayPal, heel simpel.
De phising-filter controleert dan ook of de site op een lijst met phising-sites staat.
Nadat de eerste oplettende gebruiker paypal.hacker.com heeft gemeld zal deze dus als onveilig herkend worden.
Inderdaad, mensen die na de waarschuwing geen actie ondernomen hebben en dan zo'n mailtje krijgen zouden er misschien wel kunnen in trappen.
Nadat de eerste oplettende gebruiker paypal.hacker.com heeft gemeld zal deze dus als onveilig herkend worden.
Inderdaad, mensen die na de waarschuwing geen actie ondernomen hebben en dan zo'n mailtje krijgen zouden er misschien wel kunnen in trappen.
beetje domme aktie eigenlijk want de 'phishing' site doet de checking niet en de gegevens worden alsnog opgevraagd en misbruikt....
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Xbox E3 2013 Mobiele telefoons Google Sony Microsoft Apple Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
