איך לעודד פישינג בשירות שלכם
17.05.2005- ראו עדכון בסוף הפוסט
לאחרונה נענע שידרגו את שירות הדואר שלהם. הם הגדילו את נפח התיבה, שינו
את הממשק (ובכך הפכו את השירות מ"עובד בקושי עם פיירפוקס" ל"חוסם את
פיירפוקס"), והוסיפו גישה
דרך POP3. באותה הזדמנות הם גם
העלימו את הדואר
הישן שהיה בתיבה, ונתנו קישור שיש ללחוץ עליו (עם אקספלורר בלבד) בשביל
להעביר את הדואר לתיבה החדשה. לא שיש לי שם הרבה דברים (הרוב זה דואר זבל)
אבל נשארו לי בנענע כמה מכתבים מהפעם הקודמת שהייתה גישת POP, ורציתי
להעביר אותם לתיבה החדשה כדי שאוכל למשוך אותם אלי עם תוכנת הדואר (ובכך
למנוע את חסימת הגישה שלי אליהם).
מעשה שטן, הקישור הביא לי הודעת שגיאה כללית לחלוטין ("ההעברה נכשלה". מה
אתה אומר!). פעם שנייה, פעם שלישית- הגיע הזמן לפנות לתמיכה.
שלחתי להם מייל עם פרטי הבעייה שלי, פרטי המערכת שלי (הרי הם לא קוראי
מחשבות), ומעט הפרטים שהודעת השגיאה נתנה.
תשובתם התקבלה מהר למדי (ההדגשות שלי):
שלום רב,
בתשובה למכתבך,
על מנת שנוכל לעזור לך בפתרון הבעיה אנו זקוקים למידע נוסף אודותיה כגון :
תיאור מדויק של הבעיה ( הודעות שגיאה אם מתקבלות ), מתי הבעיה מתעוררת ? האם הבעיה עקבית או שרק לעיתים ?
מהי מערכת ההפעלה בה הנך משתמש/ת? מה הוא הדפדפן? איזו גרסא הדפדפן?
כמו כן אנו זקוקים לשם המשתמש והסיסמא של מועדון נענע על מנת שנוכל לבדוק זאת אצלנו ולהבין את שורש הבעיה.
באם הבעיה עדין קיימת אנא חזור/י אלינו עם כל הפרטים הנחוצים ואנו ננסה לסייע בידך בפתרון הבעיה .
בברכה,
בוריס שקלר
תמיכת נענע
נ ט ו ו י ז' ן
קודם כל, מסתבר שלא רק מחשבות הם לא קוראים- גם את הפרטים ששלחתי להם בפנייה המקורית הם לא קראו, כי המידע שהם רוצים כבר היה שם (בכלל, זו נראית כתגובה מודבקת- כתבתי להם בתור "שושנה פורבס", שזו בבירור אשה, אבל הם פונים אלי עם "חזור/י"). אבל מה שהרבה הרבה יותר חשוב- למה לעזאזל הם מבקשים שאשלח להם במייל את שם המשתמש והסיסמא שלי? כן, מדובר סה"כ בדואר רשת ולא בחשבון בנק, אבל עדיין זה רע מאוד מהרבה בחינות.
- זה פוגע ביצירת הרגלי אנטי-פישינג טובים. קשה לומר למשתמשים "אל תשלחו את שם המשתמש והסיסמא שלכם לעולם בדואר אלקטרוני. אם יש לכם חשבון באתר מסויים, לאתר יש גישה לבסיס הנתונים עם המידע שלכם, ואין לו צורך לבקש את המידע ממכם" כששירותים כמו נענע מבקשים שהמשתמשים ישלחו להם סיסמאות כעניין שבשגרה.
- יש לא מעט אנשים שמשתמשים בסיסמא אחת למספר שירותים שונים. נכון, זה לא הרגל מאובטח. אבל למה להקל על מי שרוצה לנצל הרגלי משתמשים כאלו לרעה?
- הסיסמא של מועדון נענע משמשת לא רק לדואר האלקטרוני, אלא גם לזיהוי בפורומים. מי שקבוע בפורום כלשהו, מודע בהחלט כמה נזק התחזות יכולה לגרום. וכאן מדובר בפתח להתחזות מלאה (כולל השתלטות על החשבון) , כולל הכינוי השמור, לא רק ביצירת שם משתמש דומה.
באמת נענע. מכם ציפיתי ליותר.
הערה:
אתמול בבוקר יצרתי קשר עם
דוברת נטויז'ן לקבלת תגובה על העניין. התגובה טרם התקבלה עד שעה זו. אם
וכאשר תתקבל תגובה מאוחר יותר, אוסיף אותה לפוסט.
17 במאי, 2005- עדכון: קיבלתי הערב טלפון ממנהלת התמיכה של נטויז'ן, שבישרה לי שבעקבות תלונתי, המדיניות שונתה, ונטויז'ן/נענע לא יבקשו יותר סיסמאות בדואר האלקטרוני ממשתמשים. מצויין!
0 הפניות
Listed below are links to blogs that reference this entry: איך לעודד פישינג בשירות שלכם.
TrackBack URL for this entry: http://www.xslf.com/mt/xslf-tb.cgi/164
מדהים ומזוויע.
גם אני כתבתי להם על הבאגים.
החלטתי לעזוב אותם סופית, כשקיבלתי תשובות בסגנון שאת קיבלת.
נראה לי שהכותרת המתאימה לפוסט הזה צריכה להיות "למה לעזעזל הם (נענע) צריכים את הסיסמא שלי ?" (טוב נו יותר מידי ארוך אבל העיקר הכוונה) .
ברצינות , מעולם לא שמעתי על אתר שדורש את סיסמאת הכניסה שלך על מנת לפתור בעיה . נענע צריכים לבדוק את המערכת שלהם בעצמם ללא צורך קבלת סיסמאות ממשתמשים . מה יהיה בעתיד ? "תביא לנו את המחשב שלך ... " ?
לטעמי הפוסט הזה מחטיא את הבעיה האמתית וזה שבכלל צריך לספק סיסמא בשביל לקבל שירות .
בברכה
רתם
רתם, הבעיה הגדולה יותר היא האפשרות לפישינג - לכך שאני אבוא ואכתוב לך "שלום, אנחנו נענע, אנחנו צריכים את שם המשתמש והסיסמה שלך" (אפילו מהכתובת שלהם - הרי קל לזייף כתובות מייל) ואתה, שכבר קיבלת פעם מייל כזה מנענע, תדע שכך נענע עובדים ותשלח לי.
אני משערת שביקשו את זה בגלל שרצו לזהות שקסלף@קסלף.קום היא באמת בעלת התיבה ולא מתחזה, אבל יש דרכים אחרות לעשות את זה..
קחו למשל את החברה שמארחת אתר שאני מעדכנת. כדי לזהות אותי הייתי צריכה להכניס סיסמה *באתר* שלהם ואז הם ידעו שבאמת אני כותבת האתר שלנו. אפילו בתגובה שלהם אליי הם טרחו להוסיף כל שדה שמילאתי באתר, כולל שדה הסיסמה.. טוב שלא פירוורדתי בלי לקרוא קודם.
לא ממורמרת. לא ממורמרת גם על שאחרי כמה פריצות קראקרים שאלתי והם אמרו "אה, זה בגלל שאתם על השרת הלא-מאובטח. רוצים לעבור?". לא ממורמרת בכלל.
(אבל זו העייפות שגורמת לאופטופיק)
>אני משערת שביקשו את זה בגלל שרצו לזהות שקסלף@קסלף.קום היא באמת בעלת התיבה ולא מתחזה, אבל יש דרכים אחרות לעשות את זה..
המכתב לתמיכה נשלח מ- xslf@nana.co.il, ובדיקת הכותרים הייתה מראה שהיא אכן נשלחה ממשק הווב שלהם, מהשרת שלהם, ע"י משתמש רשום. כך שהם לא היו צריכים את זה בשביל לוודא זהות (חוץ מזה, שבבקשה להעביר את הדואר הישן של קולמייל לאותו חשבון בנענע מייל, מתחזה לא היה מרוויח כלום- בכל מקרה הדואר לא היה מועבר אליו ישירות).
> שינו את הממשק (ובכך הפכו את השירות מ"עובד בקושי עם פיירפוקס" ל"חוסם את פיירפוקס").
נהפוכו, דווקא הופתעתי לטובה מן הענין.
הממשק עצמו הוא מבית מיקרוסופט, זהו הפתרון של החברה לאימייל מבוסס web לסביבה אירגונית (ביחד עם exchange).
ההפתעה (הגדולה) היא שכל פונקציה שניסיתי עבדה ללא דופי עם פיירפוקס (הכל מלבד החיפוש שלא קיים (: ).
האם תוכלי להצביע על פונקציה שעובדת רק באקספלורר ?
והתרשמתי לטובה גם מהעובדה ש- nana מציעים מלבד pop3 שהפך להיות מקובל (yahoo, gmail) גם אופצית smtp.
זה כשלעצמו פלוס גדול לטובתם.
כמו כן, בעת השליחה דרך שרת ה smtp שלהם נוספת תווית טקסט קטנה ובלתי חודרנית (בשונה מוואלה או yahoo) שתוכנה הוא :
"נשלח ע"י דואר נענע
http://mail.nana.co.il"
* נקודה למחשבה לשאר החברות המתחרות, שודאגות להפציץ כל מייל שנשלח דרכן בקיטורות של פרסומות (טקסט ותמונה).
עם כל שאר הטענות אין ויכוח.
תודה שהפנת את תשומת ליבי לדואר nana שלא יחסתי לו חשיבות עד היום.
>האם תוכלי להצביע על פונקציה שעובדת רק באקספלורר ?
כשניסיתי להכנס לפני כמה ימים עם השואש קיבלתי הודעה על כך שהדפדפן שלי לא נתמך, ונא להשתמש באקספלורר. יכול להיות שהם שינו את זה מאז.
גם אני קיבלתי בזמנו הודעה על חסימה. נראה שהם תיקנו את הבעיה.
אני לא מבין משהו אחר - השרת עצמו תומך ב־HTTPS, וטכנית ניתן לקרוא את הדואר דרך כתובת על HTTPS, אבל מה, בשביל להזדהות מול השרת חייבים לעבור את ההזדהות על HTTP...
אותו הדבר לגבי POP3, שהם פשוט לא חשבו שרצוי להפעיל את אפשרויות האבטחה/הצפנה שלו.
כבר שנים שאני לא משתמש בנענע. אתר שאינו נתמך בדפדפנים תקניים, מייל טפשי, ופורומים מלאים בילדים חמומי מוח, ומעטי השכלה.
צריכים בשביל לגשת לדואר הישן להיכנס ל:
http://coolmail.nana.co.il
שמתם לב ??? נענע נותן שלושה GB !!!
>צריכים בשביל לגשת לדואר הישן להיכנס ל: http://coolmail.nana.co.il
כיום, כן. הבעייה היא שלפי האתר הגישה הזו תיפסק בקרוב. לכן רציתי להעביר את הדואר למקום שישרוד קצת יותר זמן :-)
> שמתם לב ??? נענע נותן שלושה GB !!!
אחל'ה מצידם. אם כי מצידי, דואר רשת או POP גדולי-נפח לא מאוד מענינים. אילו הייתה גישת IMAP, אז כבר הייתה סיבה להתחיל להתלהב :-)