Emathion  📯
Spot the Difference?
Jun 2 at 10:21amWeb
Show threadDerTeckelAnSichJun 2
@Emathion
Ich bin wirklich wahnsinnig vorsichtig, aber DAS würde mir auch nicht auffallen.😱
Deshalb habe ich mir angewöhnt, Links ausschliesslich nur aus meinem Passwort-Manager heraus zu öffnen.
Show threadsonja dolinsekJun 2
@derteckelansich @Emathion Many sollte bei links auch einfach immer vorher sie URL anschauen.
Show threadKommentatorJun 2
@sonjdol @derteckelansich @Emathion
Nein, man sollte nie aus Bequemlichkeit auf einen Link bei einem kritischen Portal klicken.
Wenn es wichtig ist kommt man immer über die (gespeicherte) Homepage und login Kundenkonto auch dorthin.
Keine Bank wird etwas wichtiges so verstecken, dass es nicht auf der Homepage oder spätestens im Postfach zu finden ist.
Es ist schon falsch zu glauben, dass man alle "Schreibfehler" in einem Link erkennen könnte.
1/2
Show threadKommentatorJun 2
@sonjdol @derteckelansich @Emathion
Natürlich kann man den Link in Word kopieren, alles auf die gleiche Sprache formatieren aber in der Zeit hat "Kreissparkasse-Oberdingsbumshausen-am-Wald.de" auch so eingetippt.
2/2
Show threadkralcttam ☕️Jun 2
@Emathion Seems like the takeaway is don’t click links in email. Delete the email and go to your app or type the URL yourself.
Show threadAljoscha Rittner (beandev)Jun 2
@Emathion
Ok, with maybank it's obvious (two different glyph). But with citybank it's hard to differentiate.
Show threadhetougJun 2
@beandev @Emathion I see two different glyphs in both urls. But I couldn't say which is correct with just a quick look. I think (!) that it is the lower one.
Show threadAljoscha Rittner (beandev)Jun 2
@hetoug
Yes, but in maybank you have both together in a single name and this is a good hint.
@Emathion
Show threadhetougJun 2
@beandev @Emathion d'oh hadn't even spotted that. And I pretend to be a computer nerd. Will return my membership card and leave.
Show threadAljoscha Rittner (beandev)Jun 2
@hetoug
😂. It's ok. I love font design, so it was obvious for me (only, maybe)
@Emathion
Show thread💚Jun 2
@Emathion wow.. der ist gut. Aber ich öffne niemals einen link zu meiner Bank.
Show threadwhy-not @HeikeJun 2
@Emathion
😱
Show threadLisPiJun 2
@Emathion Generally, I'd recommend re-typing the url manually, at least for the domain part.
Show threadnoaJun 2
@Emathion Auch interessant: Die meisten Registries haben daher zusätzliche Sicherheitsvorkehrungen, siehe z. B. https://www.verisign.com/en_US/channel-resources/domain-registry-products/idn/idn-policy/registration-rules/index.xhtml Dieser Buchstabe (vermutlich nicht kyrillisch, sondern ein U+0251 ɑ) würde also gar nicht in .com-Registrierungen erlaubt werden, und generell dürften Skripte (z. B. lateinische und kyrillische Schrift) auch nicht gemixt werden. Generell sollte man sich aber natürlich aus vielen Gründen nicht darauf verlassen, Domains händisch zweifelsfrei erkennen zu können.
Read Verisign's Policy For IDN Registrations - Verisign

Verisign has developed a policy for IDN registrations specifying permissible and prohibited code points. Read Verisign's policy for IDN registrations.

Show threadLocalJun 2
@Emathion uhhh, that's not easy to spot.
Show threadMagnus AhltorpJun 2

@Emathion 1. This is because of laissez-faire practices of the .com domain

2. Don’t click links based on what the link text says

3. Don’t teach people to click on links based on that the link text says

Show threadJess👾Jun 2
@Emathion We have failed our users.
Show threadPseudo NymJun 2

@JessTheUnstill @Emathion

Very much this.

Calling @shortridge

https://hachyderm.io/@shortridge/111785270795814084

Do not click links on the Link Clicking machine, indeed.

Kelly Shortridge (@shortridge@hachyderm.io)

Attached: 1 image @rmi@cloudisland.nz I created this meme forever ago to describe the devolution of information security, feel free to frame it 1970s & 1980s: Our mission is to achieve deterministic security and deductive, proof-based certainty of that security in our systems. 2010s & 2020s: Our hope rests in stopping laypeople from clicking on things on the thing-clicking machine.

Hachyderm.io
Show threadMystery Babylon Jun 2
@pseudonym @JessTheUnstill @Emathion That "infosec horsey" illustration is the best thing I have seen in a minute. 
Show threadShadSterlingJun 2

@Emathion I still want a browser that always shows both the “pretty” domain name and the IDNA encoded domain name, so that kind of meddling is always obvious.

In practice, I only get suspicious when a link comes from something unexpected or the browser autofill of passwords doesn’t happen

Show threadZeStig     Jun 2
@Emathion @zenbrowser + Punycode 💪🏻
Show threadPierreJun 2
@Emathion asking a pro, @gruber, is the following legit? 😇
Show threadJasper 🍉Jun 2
@Emathion this was spotted early on as a likely outcome.
Show threadGJ Groothedde 🇪🇺Jun 2
@Emathion Yep. It's not cyrillic though. This is an a. This is a cyrillic а.
Show threadZen Zero ☯️ ◯Jun 3
@Emathion Nope
Show threadMaartje 🍉Jun 3
@Emathion
Wauw, daar moest ik even naar turen
Show threadOliviaJun 5
@Emathion
I have not seen any difference!