Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Płać kartą! - dodam Cię do "znajomych", nie znasz mnie? Ja już Ciebie tak

Ostatnio zaobserwowałem bardzo prostą, możliwą do wykonania przez ekspedientkę czy kogoś z kolejki sklepowej "sztuczkę"... Napiszę o tym dlatego, ponieważ być może po przeczytaniu tego wpisu część z czytających zacznie przywiązywać uwagę do tego w jaki sposób dokonuje płatności. I absolutnie nie mam namyśli dyskretne wpisywanego PINu, czy umiejętnego korzystania z funkcji zbliżeniowej...

socjal-pułapka

Nie od dziś wiadomo, że jeśli coś do sieci się dostanie to raczej ciężko to coś wyłowić. Mimo mnogości różnych torii oraz podejść do bycia zapomnianym i istnienia takiej "prawie możliwości" - ciągle niewiele użytkowników (podkreślam użytkowników - takich zwykłych) ma jakiekolwiek pojęcie o istnieniu takiego zagadnienia. Szeroko pojęte portale społecznościowe różnej maści oraz duże, często zagregowanie dane wyszukiwarek dostarczają masy informacji często mniej lub bardziej trafionych i/lub użytecznych. Wystarczy jednak poświęcić trochę czasu oraz wykazać minimum determinacji, aby prędzej czy później dotrzeć do sedna. Ale co jeśli sednem jest tożsamość i, życie prywatne czy ... człowiek?

bankowość "socjotechniczna"?

Może nie do końca trafione określenie bo bardziej odzwierciedla ewentualne następstwa zaistnienia opisanego scenariusza, ale zaraz postaram się za pomocą przykładu zilustrować dość nietypowe zagrożenie, z którym się spotkałem. Zagrożenie, na które póki co nie pomoże ani najnowszy antywirus ani Anti-malware czy firewall...
To nasz własna tożsamość. Zagrożenie samo w sobie. Plus... skłonność do ułatwiania sobie życia i wygody.

"cybernowelka", dramat, a może już... stalking?

Załóżmy, że jestem Panią sklepową. Pracuję w spożywczaku "na rogu", codziennie przychodzi do mnie Pan po mniej więcej te same rzeczy. Jakiś chlebek, coś do chlebka, przysłowiowe piwko itp. Pan jest miły, elegancki, wygląda na dobrze sytuowanego. Na Palcu obrączek - brak. Hmmm.... Ogólnie - atrakcyjny dla młodej Pani potencjalny nabytek. Jak tu by się dowiedzieć coś na temat tego Pana? Złóżmy, że Pani "sklepowa" jest osobą inteligentną na tyle, że sposób znalazła... Wie, że figurant mieszka w mieście, w którym stoi właśnie nasz wirtualny sklep z miłą sklepową... (to bardzo ważne - sporo ułatwia) Facet pojawia się regularnie, przeważnie po 15:00 - znaczy, że pracuje pewnie od 7:00 czyli wykonuje pracę biurową - pewnie na kierowniczym stanowisku... hmmm... intrygujące.... "pewnie nie byle kto"...

Naszej wirtualnej Pani gość wpada w oko i niepokoi ją fakt, że Pan może być żonaty... Jak to sprawdzić? - Myśli sobie. Gościu uczulony na złoto? Może nie lubi? A może wolny? :-)

Nasza wymyślona Pani sklepowa jest "cwana" i zauważa, że Pan płaci zawsze kartą. Co robi? "Obcina" imię i nazwisko widniejące na karcie. W pewnym sensie przecież go zna i jest pewna, że karta jest jego. Dyskretny rzut oka na terminal. Uruchomienia pamięci długotrwałej w mózgu i... pół sukcesu jest. Jest już z górki. No prawie.

Pan dostaje upragnione zakupy. Zapłacił. Miłe spojrzenia i do widzenia. Po powrocie do domu Pani sklepowa cały czas na myśli ma dżentelmena i nie daje jej to spokoju. Odpala wyszukiwarkę. Wklepuje zapamiętane imię i nazwisko... enter... ... i rozczarowanie - w Google nic jednoznacznego. Kilka konkretnych linków do socjali, ale żaden nie pasuje zdjęciem do pożądanego przez Panią Pana. Przebiegła sklepowa przy wieczornej herbatce idzie krok po kroku do celu. Kolejna wyszukiwarka - pudło. W końcu wpada na pomysł. "Przecież jeśli gość jest z mojego miasta - to musi być skorelowany w sieci znajomości na moim obszarze terytorialnym. To miasto ma przecież tylko 300 tys - sugestie pojawiają się w oparciu o relacje" - mniej więcej w sposób mniej lub bardziej dosłowny zaczyna kojarzyć fakty nasza Pani ze sklepu... aż w końcu loguje się na swoje oficjalne konto i w polu wyszukiwania wpisuje Imię i nazwisko Pana z oglądniętej karty...

Trafia! i to bez specjalnego wysiłku...
W pasku URL daje się zauważyć login do FB - jeszcze tylko chwila i oprócz prywatnych zdjęć na których widnieje prywatny samochód, zdjęcia z konferencji służbowych, domu, partnerki i dzieci z pieskiem rasy "jakiejś tam" znajduje się tabliczka z adresem (tak tak - tabliczka z nazwą ulicy i numerem na elewacji)... Gdzieś zaplątała się nawet "sweet-fotka" z wizytówką w roli mistrza drugiego planu z numerem telefonu - tym razem w roli głównej. Randka gotowa.... zdawać by się mogło ;-)

Nazajutrz. Po godzinie 15:00 tradycyjnie Pan przychodzi po zakupy. Dzień dobry, dzień dobry... aż tu Pani sklepowa przy pożegnaniu mówi "do jutra Panie Adamie... to już trzeci raz w tym tygodniu... uparł się Pan na moją zmianę i teraz stawia Pan kawę". Pół biedy jeśli faktycznie wszystko się uda, ale gorzej jeśli nasza wirtualna Pani poczuje się odtrącona, urażona, znieważona. Wyobraźmy sobie sytuację, w której Pan odpowiada "Bardzo chętnie, ale nie mogę".

Kon-sensus jest taki, że w tym momencie Pani kasjerka subtelnie może wykorzystać zdobyte dane oraz idącą a nimi wiedzę na temat osoby - to jest swojego klienta, jego zwyczaje, preferencje, gusta itp. np. po to, żeby zrujnować mu małżeństwo. Wpadana pomysł fikcyjnego konta, wysyła sztuczne zaproszenie, synchronizuje z książką (i tu przypomnienie art. mniej więcej pt. Nie podałeś Facebook'owi numeru? - Nie przejmuj się - oni i tak już go mają" ... (jeśli pokaleczyłem tytuł to przepraszam - piszę z pamięci) po to, aby odegrać się za urażoną dumę. Nie to żebym czepiał się płci pięknej czy też męskiej ale jest to ewidentny przykład na to jak można wykorzystać oczywiste, łatwe do przyswojenia informacje w różnym celu, czasem popadającym ze skrajności w skrajność...

Nie zamierzam szczegółowo opisywać dalszego rozwoju wymyślonej tu sytuacji ale chcę pokazać, że takie rzeczy się dzieją i osobiście spotkałem się z tym, że osoba której kompletnie nie znam przywitała się ze mną po imieniu. Na szczęście osoba na poziomie i kulturalna. Zdałem sobie sprawę, że mimo wyższego niż przeciętny poziomu samo-świadomości i świadomości samozachowawczej w sieci (o tym kiedy indziej), zachowaniu środków ostrożności w postaci tożsamości prawdziwej do rzeczy ważnych a mniej prawdziwej dla ważnych mniej - i tak jestem zagrożony płacąc chociażby za chipsy w "sieciówce".

wnioski...

Nie chcę ani nikogo przestraszyć, nabijać się z hipotetycznego wyżej opisanego rozwoju zdarzeń, gdyż historia zna przypadki, że w taki sposób wychodziły i fajne rzeczy.
Zdaję sobie sprawę, że być może przeczyta to sporo osób bez konkretnie ukierunkowanej wiedzy na płaszczyźnie problematyki zagrożeń w branży IT i słowa jak "socjotechnika", czy "phishing" są dla nich obce oraz dostaną One jakiś przekaz na temat zachowania czujności i posiadania na pamięci ochrony tożsamości, wrażliwych danych nawet w trakcie tak prostych czynności jak ... zakupy.
W wyżej opisany sposób udało mi się poznać "zaocznie" (od tak dla sportu):
  • Panią kelnerkę (służbowa imienna karta serwisowa użyta przy moim stoliku)
  • Odnalezienie właściciela portfela, którego zawartość stanowiła tylko i wyłącznie karta płatnicza i jakieś głupoty.
  • Pana motorniczego, który ma hobby wędkarstwo oraz jeździ Oplem koloru bordowego 2006r, a co dalej za tym idzie posiada jakiś tam nr rejestracyjny, po którym to można uzyskać numer polisy oraz sprawdzić aktualny stan ubezpieczenia. ... do tego VIN i cała historia auta... ;-) ...od niewinne zdjęcie na FB z imprezy przy łowieniu rybek.

Podane wyżej przykłady uzmysławiają, że tak samo jak całość może prowadzić do zabawnych sytuacji i ogólnie niegroźnych, tak brakuje kilka milimetrów na niewidzialnej granicy etyki ogólne rozumianego dobra współżycia społecznego do black-hat'ingu czy chociażby niesmacznego "hejtu"

Płaćcie rozważnie. Chrońcie swoją tożsamość nie tylko pakietami "Anty", najnowszymi update'ami ale przede wszystkim zdrowym rozsądkiem. Całość będą stanowić bardzo ciekawe czasy, których większość z czytelników na pewno będzie miała przyjemność doświadczyć. Mi uzmysłowiło to konieczność wyrobienia sobie nowych nawyków i zdrowego podejścia, albowiem nie sztuką jest popadać w paranoje. ... w każdym razie częściej płacę gotówka, a portfela już nie otwieram zbyt szeroko w "ogoniastej" kolejce.

Strach przecież pomyśleć, co by było gdyby np. Pani z sieciówki typu "Ropuchy" zapamiętała imię, nazwisko numer kart i "sprawdzając podpis" kod CVV/CID. Jaką mamy gwarancję, że Pani/Pan nas obsługujących nie ma iście co najmniej dobrze rozwiniętej pamięci i wykorzysta zebrane dane tuż przed upływem ważności karty.

Sprawa o tyle ciekawa, że w przypadku stałych klientów (takich jak opisanych na powyższym przykładzie) nie trzeba mieć pamięci fotograficznej aby skompletować potrzebne dane. Ktoś kiedyś na łamach portalu napisał mądrą rzecz:
najsłabszym ogniwem w zabezpieczeniach jest "to", co znajduje się między klawiaturą komputera a krzesłem.

Pozdrawiam gorąco :-)

mimo adekwatnej do lata temperatury,

-Andrzej 

bezpieczeństwo porady inne

Komentarze

0 nowych
Frankfurterium   10 #1 20.07.2014 21:46

Za moich czasów nie trzeba było podglądać karty - do poznania personaliów wystarczał dobry bajer. A z nimi i bez facebooka można było człowiekowi robić koło kupra - pomówienie to "sztuczka" stara jak sam świat.

gowain   19 #2 20.07.2014 21:56

Wystarczy nie podawać swojego nazwiska na portalach typu FB czy G+ i już utrudniamy znacząco dotarcie do siebie. Po drugie, ja widzę po znajomych, że 90% ma ukryte profile dla "obcych" na FB.

Over   9 #3 20.07.2014 22:20

@gowain: Odkryłeś Amerykę naprawdę, bo kto by wpadł na pomysł aby fałszować sobie dane w necie??

gowain   19 #4 20.07.2014 23:58

@Over: no ty pewnie nie...

pejot   3 #5 21.07.2014 07:49

@gowain: mistrz ciętej riposty ;)

mordzio   14 #6 21.07.2014 08:55

@gowain: Zło w czystej postaci ;p

gowain   19 #7 21.07.2014 09:29

@underface, @pejot, @mordzio, @McDracullo Oh, czuję się taki zawstydzony, gdyby nie futro, to awatar by mi się zaczerwienił na policzkach :P

januszek   19 #8 21.07.2014 09:51

@vera109: Moim zdaniem przekombinowałeś ;) Mogę podać, od ręki kilka prostych sposobów na zdobycie danych, zaczynając od: "Dzień dobry, mam na imię Zosia, a pan?" a kończąc na "pomyłkowym" wbiciu w terminal kwoty o dwa zera większe i podsunięcie panu, kiedy przyjdzie z awanturą - formularza druku reklamacji, w którym trzeba wypełnić pola: "imię, nazwisko, adres, numer telefonu" etc ;)

SebaZ   16 #9 21.07.2014 10:15

@januszek: Wiedza praktyczna? :>

Vidivarius   14 #11 21.07.2014 11:39

Art ciekawy, ale widać z niego, a przynajmniej mam takie wrażenie, że informatycy odkrywają koło na nowo. Techniki pozyskiwania informacji i inwigilacji są stosowane od wieków, a nabrały szczególnego znaczenia i rozmachu podczas zimnej wojny. Różnica polega tylko na tym, że dziś ten proces można nieco skrócić. Obiekt "ataku" czy to dawniej czy dziś i tak ma małe szanse uniknąć rozpracowania - kwestia rozgarnięcia i determinacji rozpracowującego.

ariiell   12 #12 21.07.2014 11:54

Dzisiaj bardzo łatwo zdobyć dane, niestety.

@vera109 ciekawa sytuacja ;) ciekawe w ilu procentach prawdziwa :P

Ave5   8 #13 21.07.2014 12:53

Jeśli chodzi o darmowe randki w których to strona żeńska sama się pcha do spotkania, to nie widzę nic złego :P

strzałeczka   5 #14 21.07.2014 13:03

Przesada, za chwilę zaczniemy bać się podawać swoje dane w banku, bo może tam wpadniemy też Pani/Panu w oko, a co tam że ochrona danych, nikt przecież tym się nie przejmie. A druga sprawa jakby Pani X chciała się umówić z Panem Y to łatwiej jej będzie napisać swój numer telefonu na paragonie, czy normalnie zagadać niż tak kombinować

cabis   11 #15 21.07.2014 14:24

Problem zaczyna się gdy sporo naszych danych trafiło do internetu zanim zostaliśmy świadomymi zagrożeń użytkownikami ;) Jak wiadomo łatwo coś wrzucić do internetu a usunąć to już nie taka prosta sprawa a czasem nawet niemożliwa.
Co do opisanej sytuacji to częściowo rozwiązaniem jest płacenie gotówką (;D) albo zbliżeniowo i odpowiednie trzymanie karty (aby zakryć nasze dane) czy też karta breloczek (mBank miał kiedyś taką) na której nie ma naszych danych. Taka karta to oczywiście też nowe zagrożenia ale odpowiedni portfel lub etui na kartę może je zminimalizować (pisząc odpowiedni mam na myśli taki z klatką faradaya). Albo po prostu owiń portfel/kartę folią alu ;P
BTW @vera109 powinieneś więcej pisać na takie tematy bo wpis ciekawy i dobrze się go czytało. Choć zdaję sobie sprawę że to też pewna odpowiedzialność i bardziej by to pasowało na niebezpiecznik niż dobreprogramy ale w sumie... ;)

Autor edytował komentarz.
vera109   8 #16 21.07.2014 19:31

@ariiell: Wolę nie wiedzieć - bardziej martwi mnie od radkowianina kolekcjonowanie danych kart. W poniedziałek pierwszy człon numeru karty, wtorek drugi, środa.... czwartek CVV, a na dobry początek następnego ... data ważności. ;) ... a zakupy na święta :)

Autor edytował komentarz.
vera109   8 #17 21.07.2014 19:38

@januszek: uważam, że taką metodą zwracasz na siebie uwagę. robiąc to delikatnie pozostajesz niezauważony - do tego dorzuć jakieś konto na słupa albo paypal na wyzerowany pesel i sukces murowany - zwłaszcza po czasie, po którym nie będziesz pamiętał, że w sklepie byłeś.

Druk reklamacji - takie coś się zapamiętuje - w razie wtopy pierwsze co, zastanawiać się będziesz, gdzie podałeś dane.

Na druki reklamacji wątpię, że podaje się CVV i datę ważności. ;-)

Na tym przecz polega - przekombinować. I tak tak żeby grało a cicho było.
Przypomniało mi się hasło z backtrack'a
"im ciszej jesteś, tym więcej jesteś w stanie usłyszeć".
Przy reklamacjach niestety ale robi się głośno i gorąco - towarzyszą temu emocje, które się za-pa-mię-tu-je.

:P nie chodzi o tę konkretną sytuację - ale o zasadę jak łatwo dotrzeć do wrażliwych danych. I to ... bez złożonych exploit'ów. ;-)

vera109   8 #18 21.07.2014 19:40

@SebaZ: Tak, odbita o 180` żeby nie naprowadzać na metodę a wskazać drogę :P
wiele rzeczy robimy na zasadzie "Ciekawe czy się da"
Ciekawość to na pewno nie pierwszy stopień do piekła tylko do wiedzy ;-)
pozdróweczka :)

vera109   8 #19 21.07.2014 19:45

@strzałeczka: pewnie tak, ale kiedy ktoś zechce zrobić zakupy za Ciebie dla siebie to już raczej exp. date, card holder name czy valid thru na paragonie nie napiszesz... a numer komórki raczej bezużyteczny w sytuacji kiedy chciałbym za ukradzione środki zabrać "kochną żonę" na super wycieczkę :P
Po prostu rodzi się nowy - jakiś tam problem o istnieniu którego należy pamiętać, ale nie bronić się przed nim, zanim zaistnieje. Tu nie chodzi o to żeby się bać - tylko żeby zwrócić uwagę - zwłaszcza ludziom dla których umiejętność pobrania pieniędzy czy płatność kartą z racji np. wieku jest nie lada wyczynem, a ludziom, którzy często są naszymi bliskimi. Dziadek babcia mama tata itp.

pozdrawiam :-]

vera109   8 #20 21.07.2014 19:56

@cabis: myślę, że internetujący, albo socjalizujący się seniorzy z kartami VISA nie wiedzą co to niebezpiecznik, ale podzielam Twoją opinię - to jest niebezpiecznikowy wpis. ;-)
myślę, że nawet w poszukiwaniu dobregoprogramu trafi na ten wpis ktoś kto przez przypadek go przeczyta i zwróci na problem swoją uwagę - jeśli to będzie 1/100 seniorów czy nie-zaawansowanych zwykłych user'ów to wpis spełnił swoją rolę.

swoją drogą przypomniało mi się teraz zdanie z książeczki:

Kevin'a Mitnick'a - "The Art of Deception" ,
która traktuje o socjotechnice, chociaż zdecydowana większość pewnie ją zna.
Owe zapadające w pamięć zdanie to:
"Łamałem ludzi, nie hasła" ;-) Piękne słowa. Zrobiły na mnie wrażenie.
Robią do dziś.

SebaZ   16 #21 21.07.2014 22:49

@cabis: niebezpiecznikowy, ale tam co najwyżej byłoby, że nasz czytelnik poinformował nas :P A tu @vera109 jest autorem :)

Autor edytował komentarz.
  #22 21.07.2014 22:55

Jestem kasjerską. Mnie spotkał odwrotny przypadek. Przybył sobie klient którego pierwszy raz na oczy widziałam. Kupił co chciał i poszedł ładnie się uśmiechając. Mam identyfikator na koszulce więc imię łatwo zgadnąć :) Wchodzę w domu na fb a tam od niego zaproszenie...

vera109   8 #23 22.07.2014 02:54

@malvishia (niezalogowany): sam tak zrobiłem kiedyś żeby zobaczyc jak zareaguje. Dopasowal imię do buzi ze zdjęcia :) zajęło mi około 10 minut. Słuszne spostrzeżenie. Ale skoro ktoś zadał sobie tyle trudu to musiałaś się mocno spodobać :P

  #24 22.07.2014 11:53

Świetny artykuł.

Obecnie "Pani sklepowa" ma bardzo często conajmniej tytuł jakiegos tam magistra.

Jak mawiał przed 40 laty mój śp. dziadek:
"Niedługo będą inżynierami płoty grodzić"
A propos: Wczoraj widziałem kilku młodych (znanych mi) inzynierów, pracujacych w firmie budowlanej, podczas remontu dachu.
Proroctwo mojego dziadka sie spełniło.

A propos artykułu: Moje dane osobiste (podobnie jak i wielu z was) można znaleźć w sieci podane oficjalnie, do publicznej wiadomości, mimo rzekomej "ochrony danych osobowych".
Również używanie tego samego nicku na różnych forach, pozwala nas bezbłędnie zlokalizować i nie tylko.

Dlatego podpiszę się:
Anonim ;P

command-dos   18 #25 23.07.2014 06:46

@malvishia (niezalogowany): ładna musisz być i miła ;)
@vera109: w końcu coś ciekawego na blogu, dzięki za lekturkę

IMHO, bardziej zamieszać można, kiedy facet z karty nie ma profilu na fb i innych społecznościówkach z imienia i nazwiska. Pani sklepowa go zakłada i... mogą się podziać różne dziwne rzeczy, np. przejmowanie rozmów od znajomych faceta, którzy go wyszukają - sporo można się o takim w ten sposób dowiedzieć ;)

vera109   8 #26 23.07.2014 09:56

@command-dos: ... ;-) ale o tym wpisu nie będzie :P :)

marrrysin   6 #27 27.07.2014 23:55

Co ci daje numer polisy i jak bez danych z dowodu uzyskałeś historię auta?

vera109   8 #28 28.07.2014 18:37

@marrrysin: daje dużo a na pytanie nie odpowiem bo nie-tylko zrzeszeni to czytają i potem zadają właśnie takie problemowe pytania. ;-)

... sorry - taki mamy klimat.

ufg+cepik2.0+pesel = cuda i tyle w temacie. Pozdrawiam.

PS. Nie jesteśmy tak anonimowi jak nam sie wydaje. oj nie.

Autor edytował komentarz.