Ta strona używa plików cookie w celach statystycznych oraz opcjonalnie do wyświetlania spersonalizowanych reklam. Kliknij zielony przycisk aby zamknąć ten komunikat:

Oszuści w Internecie, cz. 2

Oszuści w Internecie

część II

 

Za kratamiHurra! Nareszcie długo oczekiwana oferta pracy dla mnie! W końcu mam to, o czym marzę - możliwość pracy w domu, przy komputerze, w takich godzinach, jakie mi odpowiadają, bez szczególnej presji czasu, bez szefa za plecami, bez stresu. Przerwy na papierosa będę robił kiedy tylko zechcę, nikt mnie z tego nie będzie rozliczał ze stoperem w ręku, mogę wziąć kilka dni wolnego w każdej chwili... Idealna praca czeka - wystarczy tylko mieć konto na Allegro.

Niestety, ideały nie istnieją. Nie ma idealnych ludzi, idealnych przedmiotów, idealnej pracy. To, co wygląda na spełnienie twoich marzeń, jest spełnieniem marzeń... oszusta. Uważaj - i nie daj się nabrać. Chcesz znaleźć się w pierdlu? Proszę bardzo - skorzystaj z oferty. I miej nadzieję, że któregoś dnia zostaniesz oczyszczony z podejrzeń i zarzutów.

 

 

 


 

 

Przypadek 2: Arti Komputerowiec i praca w charakterze sprzedawcy na Allegro

 

Kilka lat temu zarejestrowałem się w serwisie www.InfoPraca.pl, który zajmuje się publikowaniem ofert pracy. Korzystam z jego usług, bowiem odpowiada mi bardzo jego funkcjonalność: automatyczne wyszukiwanie ofert według moich kryteriów i wysyłanie ich na maila z określoną częstotliwością, możliwość zapisania własnego CV na podstawie bardzo rozbudowanych predefiniowanych kryteriów, duża baza ogłoszeń, prosty i skromny interfejs www, informacja o stanie aplikacji (czy została przeczytana, przyjęta czy odrzucona).

Generalnie serwisu nie będę się czepiał - powiem tylko, że kontakt z obsługą jest beznadziejny, przez to grasują tam naciągacze, oszuści i żartownisie. Co do samej funkcjonalności - wyrazy uznania. Warto byłoby trochę ten serwis wypromować, o ile podniesie się jakość obsługi klienta i weryfikacji ogłoszeń, którą obecnie oceniam na 0 pkt na 10 możliwych.

6 lutego 2010 dostałem powiadomienie o treści:

Oto Twoje powiadomienie z dnia 06-02-2010.

Znaleźliśmy 1 ofert pracy.

Najnowsze 20 ofert zawartych jest w tym powiadomieniu. Jeśli jesteś zainteresowany jedną z ofert pracy kliknij na link oferty w celu zapoznania się z jej szczegółami.

Najnowsze oferty pracy dla "Domyślne"

OFERTA PRACY

MIEJSCOWOŚĆ

Poszukujemy sprzedawcy Allegro - Praca w Domu

PIAST

Cała Polska

Więcej »

- Oho - myślę sobie - coś dla mnie. Praca w domu, w handlu, przy komputerze, być może od czasu do czasu wycieczka na pocztę...

Z zainteresowaniem klikam w Więcej >> i czytam coś mniej więcej o treści:

"W związku z dynamicznym rozwojem [bla-bla-bla], wymagany dostęp do Internetu, żadne kwalifikacje nie potrzebne [bla-bla-bla]"
Od razu uprzedzam wszystkich ciekawych oryginału ogłoszenia, że zestarzało się ono na tyle, że zostało już usunięte z bazy ogłoszeń InfoPracy.pl, zaś ja nie zachowałem sobie kopii strony z jednego powodu - w owym czasie nie miałem w planach pisania artykułu na ten temat.

Zastanowiło mnie, że w ogłoszeniu nie było ani jednego słowa na temat asortymentu, który miałbym rozprowadzać ani jakiejkolwiek informacji precyzującej na czym ta praca miałaby polegać. Nie wiadomo czy miałbym sprzedawać jakąś drobnicę (np. ołówki, długopisy - dlatego firma poszukuje pomocników) czy coś większego (np. skarpety, biustonosze, telewizory - tylko skąd miałbym je brać, czyżby firma chciała sobie magazyn w moim garażu urządzić?), czy może jakieś bity i bajty (np. doładowania, programy, licencje - ale tu też musiałbym mieć kontakt bezpośredni z firmą i jakieś sprzęty w domu)...

Zanim wysłałem aplikację byłem niemal pewien, że to jakiś przekręt. Stwierdziłem jednak, że wykorzystam te 5% szans na to, że firma może sprzedawać drobnicę w dużych ilościach (w sensie: ma dużo zamówień, których nie jest w stanie obsłużyć indywidualnie i potrzebuje kilku pracowników do sporządzania zestawień zamówień, które będą trafiać wprost do magazynu).

Zgłosiłem się.

Czekałem ledwie 3 dni na odpowiedź. Brzmiała ona tak:

W odpowiedzi na wyrażone zainteresowanie naszą ofertą współpracy proszę o podanie nazwy użytkownika (Allegro). Proszę również zmienić hasło dostępu do konta w taki sposób, by nasz
informatyk mógł dokonać weryfikacji polegającej na sprawdzeniu zgodności podanych danych. Po stwierdzeniu, że jest Pan właścicielem tego konta przekażę szczegółowe informacje odnośnie współpracy oraz poproszę o zmianę hasła z tymczasowego na stałe.

Z poważaniem,
Daniel Sterkowiak

Dział Kadr
Piast

Po przeczytaniu już wiedziałem o co chodzi. Zwłaszcza że jako nadawca figurował "piastrekrutacja" - a żadna szanująca się firma nie pozwoli sobie na taką pisownię, zaś ukryty pod nim adres e-mail założony był na ogólnodostępnym, darmowym serwerze pocztowym, czego też nie robi żadna szanująca się firma. Szanująca się, czyli poważna.

Czytałem kiedyś wspomnienia Mitnicka - tego słynnego hakera. Okazuje się, że on najczęściej nie korzystał z żadnych wyrafinowanych programów i urządzeń do łamania haseł. On po prostu dzwonił do firm, na których serwery chciał się włamać, i pytał pracowników jakie mają hasła. Tak po prostu - podawał się za serwisantów, kolegów z pracy, szefów, pracowników banków, policji, itd. - tutaj właśnie prawdziwe cuda wyczyniał. Manipulował rozmówcami tak, że ci najczęściej w końcu ulegali i podawali dane do swoich kont będąc świecie przekonanymi o słuszności i bezpieczeństwie. To się nazywa socjotechnika lub inżynieria społeczna, jak kto woli.

Stosowanie socjotechniki do wyłudzania danych niejawnych - a takimi danymi jest login i hasło m.in. do konta na Allegro - jest w Polsce karalne, o czym mało kto wie.
Tutaj nie miałem wątpliwości, że to drobne na pozór przestępstwo polegające na kradzieży konta Allegro, doprowadzi w efekcie do poważnego przestępstwa polegającego na wyłudzeniu znacznych kwot od innych allegrowiczów i skierowanie podejrzeń w pierwszej kolejności na osoby zupełnie bogu ducha winne. Czy może bardziej: naiwne.

Nie miałem cienia wątpliwości, że co najmniej kilka osób spośród 50-kilkorga figurujących na liście odbiorców e-maila połknie przynętę. Ale co mogłem zrobić? Jedyna możliwość to wysłać ostrzeżenie do wszystkich odbiorców, aby w żadnym wypadku nie zastosowali się do instrukcji podanej przez rzekomą firmę Piast. Ale tutaj akurat nie musiałem nic robić - inni świadomi zagrożenia odbiorcy w kilka minut po odebraniu wiadomości zaczęli masowo wysyłać ostrzeżenia.
Napisałem ostrzeżenie do serwisu InfoPraca.pl i poprosiłem o zabezpieczenie danych firmy - nadawcy ogłoszenia na poczet nieodległego dochodzenia policyjnego, oraz o usunięcie samego ogłoszenia z bazy.
Odpowiedzi nie dostałem, a ogłoszenie widoczne było jeszcze przez kilka tygodni, aż zostało automatycznie usunięte z powodu przedawnienia.
Z tego powodu straciłem szacunek i zaufanie do właścicieli serwisu InfoPraca.pl - ktoś popełnia na ich stronie przestępstwo, a oni w ogóle nie reagują...

Ale wróćmy do tematu. Podejrzewam, że rzekoma firma Piast nie zdobyła żadnych danych lub dane do znikomej ilości kont, przez co oszust/oszuści nie mogli popełnić planowanego, poważniejszego przestępstwa. Stąd pewnego pięknego dnia, a dokładniej 24 marca 2010, z InfoPraca.pl przyszedł e-mail o takiej oto treści:

Oto Twoje powiadomienie z dnia 24-03-2010.

Znaleźliśmy 1 ofert pracy.

Najnowsze 20 ofert zawartych jest w tym powiadomieniu. Jeśli jesteś zainteresowany jedną z ofert pracy kliknij na link oferty w celu zapoznania się z jej szczegółami.

Najnowsze oferty pracy dla "Lekka"

OFERTA PRACY

MIEJSCOWOŚĆ

Sprzedawca na Allegro

Przedsiębiorstwo Handlowo Usługowe MWM IMPORT-EXPORT

Cała Polska

Więcej »

Tutaj podobnie, jak wyżej, linki już prowadzą donikąd.

Zwróćmy uwagę jakie oszuści wprowadzili zmiany: Przedsiębiorstwo (o!) Handlowo Usługowe (no, no, ale dalej pisownia błędna, brakuje myślnika) MWM (o rany, ale super nazwa!) IMPORT-EXPORT (nie no, nie pogadasz, pełna powaga). Po co? Po to, aby człowiek reagujący spontanicznie i trochę naiwny od razu nabrał przekonania, że ma do czynienia z poważną firmą dającą poważne ogłoszenie.

To nie jedyna nauka, jaką "firma" wyciągnęła z poprzedniej próby wyłudzenia danych do kont Allegro. Przyjrzyjmy się odpowiedzi na moje zgłoszenie - tym razem wysłane jako czysta prowokacja - otrzymanej 30 marca 2010:

W odpowiedzi na wyrażone zainteresowanie naszą ofertą współpracy proszę o podanie nazwy użytkownika (Allegro). Proszę również zmienić hasło dostępu do konta w taki sposób, by nasz
informatyk mógł dokonać weryfikacji polegającej na sprawdzeniu zgodności podanych danych w serwisie InfoPraca. Po stwierdzeniu, że jest Pan właścicielem tego konta oraz jego wiarygodności przekażemy szczegółowe informacje odnośnie współpracy oraz poproszę o zmianę hasła z tymczasowego na stałe.


Z poważaniem,
Wiesław Masłowski

Dział Kadr
Import-Export P.H.U.

Tym razem napisał do aplikantów pan Wiesio. Zapomniał jednak podać z jakiej firmy wysłał e-mail - zapewne zamieścił ogłoszenia w różnych serwisach pod różnymi nazwami firm, ale nie chciało mu się odpisywać dla każdego ogłoszenia z osobna, więc stworzył sobie taki uniwersalny szablonik oparty ściśle na pierwszej wiadomości z lutego. Leniwy trochę - nawet nie uzupełnił brakujących znaków interpunkcyjnych ani podziału wierszy nie zmienił, by nieco mniej przypominało to to poprzednią, spaloną wiadomość.
No i mota się troszeczkę pan Wiesio, bo raz mówi o sobie "my", by zaraz potem mówić "ja".

Najważniejsza nauka, jaką Wiesio wyciągnął z poprzedniej akcji było ukrycie adresów odbiorców - a zatem masowa korespondencja z ostrzeżeniami o oszuście tym razem nie wchodziła w rachubę.

Popełnił jednak jeden błąd - skorzystał z konta GMail i powiązanego z nim aliasu na WP.pl. Co prawda jako nadawca e-mail figuruje Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript., jednak nie udało mu się ukryć, że w rzeczywistości wiadomość wyszła z konta Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.. Z Internetem łączył się za pośrednictwem sieci Play, ale nie dziwię mu się - tanio i pozornie bezpiecznie. Tak prawdę mówiąc trochę się pan Wiesio aka R. Dobro przeliczył z poczuciem anonimowości i nieuchwytności. O ile przedtem coś wykombinował i jego IP wskazywało Wielką Brytanię, o tyle teraz postawił wszystko na mobilny Internet i karty pre-paid...

Ech, gdyby on wiedział jak można wykorzystać logi BTS-ów (przekaźników) telefonii komórkowej, nie zaryzykowałby takiego dostępu. Nie ma pan Wiesio pojęcia, że jego SIM śledzony jest przez przeciętnie 3 BTS-y umożliwiając zlokalizowanie go z dokładnością do kilkunastu metrów. Myśli sobie on, że połączony jest tylko z jednym, który daje mu anonimowość w promieniu kilku - kilkunastu kilometrów, tymczasem w rzeczywistości połączony jest nawet z 5 i więcej BTS-ami. Transmisja odbywa się pomiędzy nim a BTS-em operatora sieci, do której przyłączony jest numer, o najsilniejszym sygnale lub tym, który ma wolny kanał jeżeli ten najsilniejszy jest obciążony w 100%.
System komputerowy każdego przekaźnika bez względu na operatora może zapisywać sobie w logu, że taki to a taki numer został złapany w zasięgu, poziom sygnału taki a taki, został przez niego przejęty albo nie. Od czasu do czasu przekaźnik sprawdza czy SIM jest nadal w zasięgu, bo może trzeba go przejąc jeżeli się zbliża i należy do sieci lub przestać śledzić jeżeli nie odpowiada (jest poza zasięgiem).
Dzięki tym zapisom wiadomo jaka jest siła sygnału aparatu z daną kartą SIM w danym miejscu w danym czasie, a zestawiając informacje już tylko z 3 przekaźników możemy bezbłędnie wskazać budynek, z którego się łączono. Zestawiając dane z większej ilości przekaźników otrzymujemy bardziej precyzyjną lokalizację. Nawet do kilku metrów... Pamiętajmy, że zazwyczaj SIM śledzony jest przez 3 - 4 przekaźniki, a często i więcej, zwłaszcza w miastach. Nie - nie chodzi tu tylko o przekaźniki jednego operatora, ale wszystkich występujących na danym obszarze. Wszyscy śledzą wszystkich. Połączyć się można z każdym - tak właśnie działa numer alarmowy, a przekaźnik na podstawie danych z karty SIM może zaakceptować lub odrzucić połączenie. Tak czy siak w logu systemu pozostanie o tym informacja.

Efektem końcowym analizy logów przekaźników rozmieszczonych w pobliżu źródła sygnału jest określenie jego położenia niemalże tak dokładnie, jak z wykorzystaniem GPS. Jeżeli przypadkiem w danym miejscu stoi dom jednorodzinny, to prokurator będzie wiedział gdzie wysłać patrol z nakazem aresztowania...
Wróćmy do pana Wiesia.

Przeanalizowałem nagłówek e-mail i uznałem, że śladów jest wystarczająco dużo, aby Wiesia zapuszkować. Skontaktowałem się zatem w dniu 19 kwietnia 2010 z działem bezpieczeństwa użytkowników serwisu Allegro. Czemu po blisko miesiącu dopiero? No bo wtedy natchnęło mnie do robienia zadymy w tej sprawie - przedtem... jakoś mi się nie chciało...

Allegro też się nie chciało, jednak po 9 dniach czekania na odpowiedź - kiedy już uznałem, że Allegro olało mnie - przyszła prośba o dokładne opisanie sytuacji i przesłanie oryginalnych e-maili z zachowanymi nagłówkami. Wiedziałem już, że sprawą zajmie się wymiar sprawiedliwości, więc wysłałem odpowiedź zawierającą wszystkie listy, moje podejrzenia i opis sytuacji. Nie dołączyłem tylko kopii swoich wiadomości wysłanych do oszusta/oszustów, bowiem były lekko obraźliwe w tonie...

Przy okazji wyszło na jaw, że dla pracowników działu bezpieczeństwa Allegro jestem debilem, a co najmniej głupkiem, choć nie wyrazili tego wprost... Zacytowali mi ich regulamin w kontekście udostępniania danych logowania osobom postronnym, napisali co mi grozi jeżeli podałem komuś te dane i że to ja jestem sam sobie tego winien - mimo że wcześniej zaznaczyłem wyraźnie, że jestem zaszczepiony przeciwko tego rodzaju oszustwom i zgłoszenie wysyłam w trosce o osoby podatne na taką manipulację.
Ponadto napisali mi dokładnie jak zapisać e-mail w formacie *.eml, jak skopiować zawartość nagłówka, a nawet jak zrobić zrzut ekranowy, choć z wiadomości wysłanej przeze mnie wcześniej można było wysnuć wniosek, że komputer mam nie od dziś i trochę jestem z nim obstukany...
Ale nie będę się ich o to czepiał - może mają takie standardy odpowiadania i nie mogą podchodzić indywidualnie do każdego przypadku, bo szef się wścieka na samowolkę swoich poddanych...

Na koniec dostałem taką oto wiadomość:

Dziękuję za wiadomość i przepraszam za długi czas oczekiwania na odpowiedź.

Uprzejmie informuję, że podjęliśmy stosowne działania w tej sprawie.

Cieszymy się, że dzięki zgłoszeniom naszych Użytkowników możemy stale podnosić bezpieczeństwo transakcji zawieranych na Allegro.

Pozdrawiam,

--
Marcin Wantuch
Zespół Allegro
http://www.allegro.pl

 

Zgłoszenie zostało przyjęte, a sprawą zajęli się odpowiedni specjaliści i zapewne organy ścigania, które od dawna ślicznie współpracują z Allegro. A mnie pozostaje tylko cieszyć się na myśl, że może jednego złego człowieka w końcu dosięgnie kara, a kilku dobrych uniknie zła z jego ręki.

Chociaż - mówiąc szczerze - mogliby postawić piwko.

A może ty masz ochotę postawić mi piwko, bo w tym artykule nauczyłeś się czegoś pożytecznego? Może dzięki mnie udało Ci się uniknąć kłopotów?

Bo teraz już wiesz, że:

 


 

 

1. NIGDY NIKOMU NIE WOLNO PODAWAĆ ŻADNYCH DANYCH LOGOWANIA DO ŻADNYCH SYSTEMÓW I SERWISÓW.

Czy to będzie gra on-line, czy konto bankowe, czy konto u bukmachera, czy konto na Allegro, czy konto pocztowe czy nawet terminal w pracy - nigdy nie wolno ujawniać danych logowania. Także jeżeli prosi o nie osoba podająca się za administratora sieci, przedstawiciela firmy, banku, a także każda inna osoba nieznana lub słabo znana. Jeżeli masz problem z zalogowaniem się - to ty podejmujesz działania, a nie ktoś nieznany. Zwłaszcza jeżeli nie masz żadnych problemów z kontem - pomyśl... skąd nagle informacja, że masz problem?

Często zdarza się, że hakerzy, spamerzy lub pospolici złodzieje wysyłają wiadomości graficznie podobne do wiadomości wysyłanych przez banki, serwisy pocztowe, administratorów gier on-line, itp., prosząc w nich o podanie twoich danych z jakiegoś mniej czy bardziej wiarygodnego powodu lub z linkiem, który należy kliknąć w celu wejścia na rzekomą stronę np. banku, gry, serwisu społecznościowego. Na takiej stronie zawsze będzie wymagane podanie danych logowania. Tylko że te dane wówczas ujawnisz i stracisz konto...

 

 


 

 

2. BANKI I INNE INSTYTUCJE FINANSOWE NIGDY NIE WYSYŁAJĄ PRÓŚB O ZALOGOWANIE SIĘ W SYSTEMIE.

To zasada, która obowiązuje na całym świecie. Nigdy, ale to na prawdę nigdy nie wysyłają żadnych próśb o weryfikację danych czy kontrolne wejście na swoje konto; otrzymując taką wiadomość możesz śmiało iść z nią na Policję, bo to próba kradzieży danych logowania. Weryfikacja danych logowania i danych osobowych zawsze odbywa się wyłącznie w siedzibie banku czy instytucji, ewentualnie listem poleconym. Nigdy poprzez e-mail. To sobie zapamiętaj. Telefonicznie - tak, ale wyłącznie dane osobowe i tylko kiedy ubiegasz się o kredyt lub go nie spłacasz w terminie. Nikt nigdy nie zapyta ciebie o login i hasło do systemu.

 

 


 

 

3. ADMINISTRATORZY SYSTEMÓW I SERWISÓW SĄ BOGAMI W SIECI - MAJĄ DOSTĘP DO WSZYSTKICH TWOICH DANYCH I MOGĄ Z NIM ZROBIĆ WSZYSTKO.

Skoro tak, to po co proszą o dane logowania? Bo nie są administratorami...
Administratorzy twoich serwisów i gier nie potrzebują twoich danych, bowiem posiadają oni zawsze uprawnienia do ich oglądania i zmieniania w dowolnej chwili i w dowolny sposób; pomyśl o tym jak o koncie na jakimś forum - sam możesz sobie zmienić nick i hasło, więc tym bardziej administrator, który może wszystko. Może nawet wejść na twoje konto, usunąć je, samodzielnie zmienić hasło, login... Nie muszą prosić, bo to bez sensu...

Gdybyś miał wątpliwości co do bezpieczeństwa swoich danych, to nie martw się. Administratorzy dużych i poważnych serwisów to są ludzie wysoko wykwalifikowani, wiarygodni i posiadający państwowe certyfikaty bezpieczeństwa. Taki człowiek nie zaryzykuje ujawnienia komukolwiek twoich danych, bowiem jeżeli sprawa się rypnie - straci certyfikat, robotę i stanie przed sądem. To się nie opłaca, bo później nie znajdzie już innej pracy, jak tylko przy pisaniu gier lub serwisowaniu sieci szkolnych na 1/16 etatu.

 

 


 

 

4. ZAWSZE POMYŚL ZANIM COŚ ZROBISZ, KIERUJ SIĘ ZDROWYM ROZSĄDKIEM, OBSERWUJ I PAMIĘTAJ - NIE MA NIC ZA DARMO.

Pomyśl: po co komuś twoje dane do konta Allegro, jeżeli to ty masz na nim sprzedawać? Tym bardziej, że Allegro okazjonalnie ostrzega, aby pod żadnym pozorem nie ujawniać tych danych, jest nawet specjalny punkt regulaminu mówiący o tym.
Skoro konto masz, możesz podać nazwę profilu i to wszystko, niech sobie firma zobaczy ile masz udanych transakcji. A jeżeli poddają w wątpliwość to, że konto należy do ciebie? Że muszą na nie wejść "w celu weryfikacji"? No to masz dowód na to, że po prostu chcą ci je ukraść. Możesz napisać wiadomość do firmy korzystając z konta Allegro, lub firma może napisać do ciebie wiadomość wysyłając ją do użytkownika o wskazanej przez ciebie nazwie. To wystarczy do weryfikacji istnienia i posiadania przez ciebie aktywnego konta.

Pomyśl: dlaczego bank prosi o logowanie mówiąc, że był z tym problem, skoro problemu nie było? Wmawiają ci, że coś się działo i pewnie tego nie zauważyłeś, ale stracisz konto i pieniądze jeżeli się nie zalogujesz w ciągu 24 godzin. Ej, poważnie? W dzisiejszych czasach ktoś daje się na to nabrać? Niestety... Na szczęście kradzież danych logowania do konta bankowego nie jest straszna, najczęściej do zrobienia przelewu (czyli okradzenia ciebie) złodziej będzie potrzebował twojej unikalnej i niepowtarzalnej karty z kodami jednorazowym. Albo będzie potrzebował twojej telefonicznej karty SIM, aby odebrać SMS z takim kodem. Ale "najczęściej" nie znaczy "zawsze". Niektóre banki, np. ING Bank Śląski S.A., kody jednorazowe wysyłają wyrywkowo. Czasem trzeba potwierdzać nim przelew w wysokości 2 zł, a czasem bez potwierdzenia wysyła się kilkaset zł.

Gdyby udało ci się przypadkiem kliknąć na link w wiadomości od złodzieja i wejść na stronę podobną do strony twojego banku, zwróć uwagę na:

  • adres strony, na której jesteś; on jest PODOBNY do adresu banku, ale nie identyczny; pobaw się w detektywa i poszukaj różnic;

przykład 1:

adres prawidłowy: https://ssl.bsk.com.pl

adres sfałszowany: http://ssi.bsk.com.pl, http://ssl.bsk.con.pl, https://ssl.dsk.com.pl

przykład 2:

adres prawidłowy: https://mail.google.com

adres sfałszowany: http://mail.gugle.com, http://mail.googie.com, http://mail.google.com.ru

Co prawda istnieje możliwość maskowania rzeczywistego adresu, tzn. co innego widać w pasku adresu, a gdzie indziej jesteś, ale zawsze możesz najechać kursorem na jakiś element graficzny czy link do innej podstrony w danym serwisie i zobaczyć skąd/dokąd prowadzi. Jak? Możesz kliknąć prawym przyciskiem myszy i znaleźć pożądaną informację we Właściwościach, tudzież przyjrzeć się paskowi stanu - po najechaniu na link powinien pokazać się adres, do którego prowadzi;

  • zwróć uwagę na obecność ikony kłódki Kłódka na pasku stanuna pasku stanu przeglądarki (lub tam, gdzie powinna być widoczna), zawsze gdy logujesz się do banku, na Allegro i do każdego innego serwisu obsługującego z zasady bezpieczne, szyfrowane połączenia musi być ona widoczna i zamknięta. Stosowanie takich połączeń wymaga posiadania specjalnych certyfikatów, które uwierzytelniają połączenia.
    Aby uzyskać taki certyfikat, właściciel serwera (serwisu) musi osobiście pofatygować się do instytucji wydającej je (lub spotkać z agentem), potwierdzić swoją tożsamość i dane osobowe, zapłacić i czekać na wydanie certyfikatu po dodatkowej weryfikacji przeprowadzanej we własnym zakresie przez firmę certyfikacyjną. Posiadanie certyfikatu gwarantuje, że jest to miejsce zaufane i wiadomo kto jest po drugiej stronie ekranu. Podczas połączenia sprawdza i weryfikuje jego autentyczność i ważność sama przeglądarka. Certyfikaty wydawane są na pewien okres czasu, jeżeli ważność wygaśnie i certyfikat nie zostanie odnowiony, przeglądarka co prawda dalej będzie mogła się łączyć z serwisem, ale przedtem uprzedzi o niebezpieczeństwie przechwycenia danych i pozwoli ci zdecydować co dalej.
    Kombinacja: poprawny adres + kłódka + https:// gwarantuje, że jesteś tam, gdzie myślisz. Owszem, znane są wyjątki, ale bardzo nieliczne i zawsze odnotowane po kliknięciu na link podany w e-mail z prośbą o wejście i zweryfikowanie swoich danych...

Na koniec informacja: wszystkie te machloje z adresem i prośbami o zalogowanie się noszą nazwę phishing. Na pewno spotkałeś się z tą nazwą, czasem słychać ją nawet w TV. Generalnie phishing polega na podszywaniu się pod jakąś instytucję (najczęściej bank lub serwis aukcyjny) poprzez zarejestrowanie domeny o łudząco podobnej nazwie, zbudowanie podobnej witryny (często jej nieistotne dla złodzieja elementy prowadzą do prawdziwej witryny) i rozsyłanie e-maili wyglądających na korespondencję z owej instytucji z różnymi prośbami i groźbami zmierzającymi do zmuszenia użytkownika do kliknięcia w podany link i podania danych logowania na stronie, która wówczas się otworzy.

W omawianym tutaj przypadku złodziej poszedł na łatwiznę, ale jakże skuteczną ze względu na zastosowanie inżynierii socjalnej. Poprosił o dane logowania - i założę się, że w kilku przypadkach je uzyskał. Założę się nawet o piwo, że Allegro tylko dlatego zainteresowało się moim zgłoszeniem, bo znienacka kilka kont jednocześnie zaczęło dostawać negatywy w dużych ilościach w tym samym czasie...

Allegro tylko ładnie mi podziękowało, a ty co masz zamiar dla mnie zrobić? Na pewno dowiedziałeś się paru ciekawych rzeczy, na pewno wielu przydatnych, na pewno nie dasz się już nabrać na sztuczki opisane w części I i II niniejszego artykułu - zaoszczędziłeś dzięki mnie bardzo dużo piwa...

 


© www.mielecin.pl, 2010-2011

 

 

W odpowiedzi na wyrażone zainteresowanie naszą ofertą współpracy proszę o podanie nazwy użytkownika (Allegro). Proszę również zmienić hasło dostępu do konta w taki sposób, by nasz
informatyk mógł dokonać weryfikacji polegającej na sprawdzeniu zgodności podanych danych w serwisie InfoPraca. Po stwierdzeniu, że jest Pan właścicielem tego konta oraz jego wiarygodności przekażemy szczegółowe informacje odnośnie współpracy oraz poproszę o zmianę hasła z tymczasowego na stałe.


Z poważaniem,
Wiesław Masłowski

Dział Kadr
Import-Export P.H.U.