Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Płać kartą! - dodam Cię do "znajomych", nie znasz mnie? Ja już Ciebie tak

Ostatnio zaobserwowałem bardzo prostą, możliwą do wykonania przez ekspedientkę czy kogoś z kolejki sklepowej "sztuczkę"... Napiszę o tym dlatego, ponieważ być może po przeczytaniu tego wpisu część z czytających zacznie przywiązywać uwagę do tego w jaki sposób dokonuje płatności. I absolutnie nie mam namyśli dyskretne wpisywanego PINu, czy umiejętnego korzystania z funkcji zbliżeniowej...

socjal-pułapka

Nie od dziś wiadomo, że jeśli coś do sieci się dostanie to raczej ciężko to coś wyłowić. Mimo mnogości różnych torii oraz podejść do bycia zapomnianym i istnienia takiej "prawie możliwości" - ciągle niewiele użytkowników (podkreślam użytkowników - takich zwykłych) ma jakiekolwiek pojęcie o istnieniu takiego zagadnienia. Szeroko pojęte portale społecznościowe różnej maści oraz duże, często zagregowanie dane wyszukiwarek dostarczają masy informacji często mniej lub bardziej trafionych i/lub użytecznych. Wystarczy jednak poświęcić trochę czasu oraz wykazać minimum determinacji, aby prędzej czy później dotrzeć do sedna. Ale co jeśli sednem jest tożsamość i, życie prywatne czy ... człowiek?

bankowość "socjotechniczna"?

Może nie do końca trafione określenie bo bardziej odzwierciedla ewentualne następstwa zaistnienia opisanego scenariusza, ale zaraz postaram się za pomocą przykładu zilustrować dość nietypowe zagrożenie, z którym się spotkałem. Zagrożenie, na które póki co nie pomoże ani najnowszy antywirus ani Anti-malware czy firewall...
To nasz własna tożsamość. Zagrożenie samo w sobie. Plus... skłonność do ułatwiania sobie życia i wygody.

r   e   k   l   a   m   a

"cybernowelka", dramat, a może już... stalking?

Załóżmy, że jestem Panią sklepową. Pracuję w spożywczaku "na rogu", codziennie przychodzi do mnie Pan po mniej więcej te same rzeczy. Jakiś chlebek, coś do chlebka, przysłowiowe piwko itp. Pan jest miły, elegancki, wygląda na dobrze sytuowanego. Na Palcu obrączek - brak. Hmmm.... Ogólnie - atrakcyjny dla młodej Pani potencjalny nabytek. Jak tu by się dowiedzieć coś na temat tego Pana? Złóżmy, że Pani "sklepowa" jest osobą inteligentną na tyle, że sposób znalazła... Wie, że figurant mieszka w mieście, w którym stoi właśnie nasz wirtualny sklep z miłą sklepową... (to bardzo ważne - sporo ułatwia) Facet pojawia się regularnie, przeważnie po 15:00 - znaczy, że pracuje pewnie od 7:00 czyli wykonuje pracę biurową - pewnie na kierowniczym stanowisku... hmmm... intrygujące.... "pewnie nie byle kto"...

Naszej wirtualnej Pani gość wpada w oko i niepokoi ją fakt, że Pan może być żonaty... Jak to sprawdzić? - Myśli sobie. Gościu uczulony na złoto? Może nie lubi? A może wolny? :-)

Nasza wymyślona Pani sklepowa jest "cwana" i zauważa, że Pan płaci zawsze kartą. Co robi? "Obcina" imię i nazwisko widniejące na karcie. W pewnym sensie przecież go zna i jest pewna, że karta jest jego. Dyskretny rzut oka na terminal. Uruchomienia pamięci długotrwałej w mózgu i... pół sukcesu jest. Jest już z górki. No prawie.

Pan dostaje upragnione zakupy. Zapłacił. Miłe spojrzenia i do widzenia. Po powrocie do domu Pani sklepowa cały czas na myśli ma dżentelmena i nie daje jej to spokoju. Odpala wyszukiwarkę. Wklepuje zapamiętane imię i nazwisko... enter... ... i rozczarowanie - w Google nic jednoznacznego. Kilka konkretnych linków do socjali, ale żaden nie pasuje zdjęciem do pożądanego przez Panią Pana. Przebiegła sklepowa przy wieczornej herbatce idzie krok po kroku do celu. Kolejna wyszukiwarka - pudło. W końcu wpada na pomysł. "Przecież jeśli gość jest z mojego miasta - to musi być skorelowany w sieci znajomości na moim obszarze terytorialnym. To miasto ma przecież tylko 300 tys - sugestie pojawiają się w oparciu o relacje" - mniej więcej w sposób mniej lub bardziej dosłowny zaczyna kojarzyć fakty nasza Pani ze sklepu... aż w końcu loguje się na swoje oficjalne konto i w polu wyszukiwania wpisuje Imię i nazwisko Pana z oglądniętej karty...

Trafia! i to bez specjalnego wysiłku...
W pasku URL daje się zauważyć login do FB - jeszcze tylko chwila i oprócz prywatnych zdjęć na których widnieje prywatny samochód, zdjęcia z konferencji służbowych, domu, partnerki i dzieci z pieskiem rasy "jakiejś tam" znajduje się tabliczka z adresem (tak tak - tabliczka z nazwą ulicy i numerem na elewacji)... Gdzieś zaplątała się nawet "sweet-fotka" z wizytówką w roli mistrza drugiego planu z numerem telefonu - tym razem w roli głównej. Randka gotowa.... zdawać by się mogło ;-)

Nazajutrz. Po godzinie 15:00 tradycyjnie Pan przychodzi po zakupy. Dzień dobry, dzień dobry... aż tu Pani sklepowa przy pożegnaniu mówi "do jutra Panie Adamie... to już trzeci raz w tym tygodniu... uparł się Pan na moją zmianę i teraz stawia Pan kawę". Pół biedy jeśli faktycznie wszystko się uda, ale gorzej jeśli nasza wirtualna Pani poczuje się odtrącona, urażona, znieważona. Wyobraźmy sobie sytuację, w której Pan odpowiada "Bardzo chętnie, ale nie mogę".

Kon-sensus jest taki, że w tym momencie Pani kasjerka subtelnie może wykorzystać zdobyte dane oraz idącą a nimi wiedzę na temat osoby - to jest swojego klienta, jego zwyczaje, preferencje, gusta itp. np. po to, żeby zrujnować mu małżeństwo. Wpadana pomysł fikcyjnego konta, wysyła sztuczne zaproszenie, synchronizuje z książką (i tu przypomnienie art. mniej więcej pt. Nie podałeś Facebook'owi numeru? - Nie przejmuj się - oni i tak już go mają" ... (jeśli pokaleczyłem tytuł to przepraszam - piszę z pamięci) po to, aby odegrać się za urażoną dumę. Nie to żebym czepiał się płci pięknej czy też męskiej ale jest to ewidentny przykład na to jak można wykorzystać oczywiste, łatwe do przyswojenia informacje w różnym celu, czasem popadającym ze skrajności w skrajność...

Nie zamierzam szczegółowo opisywać dalszego rozwoju wymyślonej tu sytuacji ale chcę pokazać, że takie rzeczy się dzieją i osobiście spotkałem się z tym, że osoba której kompletnie nie znam przywitała się ze mną po imieniu. Na szczęście osoba na poziomie i kulturalna. Zdałem sobie sprawę, że mimo wyższego niż przeciętny poziomu samo-świadomości i świadomości samozachowawczej w sieci (o tym kiedy indziej), zachowaniu środków ostrożności w postaci tożsamości prawdziwej do rzeczy ważnych a mniej prawdziwej dla ważnych mniej - i tak jestem zagrożony płacąc chociażby za chipsy w "sieciówce".

wnioski...

Nie chcę ani nikogo przestraszyć, nabijać się z hipotetycznego wyżej opisanego rozwoju zdarzeń, gdyż historia zna przypadki, że w taki sposób wychodziły i fajne rzeczy.
Zdaję sobie sprawę, że być może przeczyta to sporo osób bez konkretnie ukierunkowanej wiedzy na płaszczyźnie problematyki zagrożeń w branży IT i słowa jak "socjotechnika", czy "phishing" są dla nich obce oraz dostaną One jakiś przekaz na temat zachowania czujności i posiadania na pamięci ochrony tożsamości, wrażliwych danych nawet w trakcie tak prostych czynności jak ... zakupy.
W wyżej opisany sposób udało mi się poznać "zaocznie" (od tak dla sportu):


  • Panią kelnerkę (służbowa imienna karta serwisowa użyta przy moim stoliku)
  • Odnalezienie właściciela portfela, którego zawartość stanowiła tylko i wyłącznie karta płatnicza i jakieś głupoty.
  • Pana motorniczego, który ma hobby wędkarstwo oraz jeździ Oplem koloru bordowego 2006r, a co dalej za tym idzie posiada jakiś tam nr rejestracyjny, po którym to można uzyskać numer polisy oraz sprawdzić aktualny stan ubezpieczenia. ... do tego VIN i cała historia auta... ;-) ...od niewinne zdjęcie na FB z imprezy przy łowieniu rybek.

Podane wyżej przykłady uzmysławiają, że tak samo jak całość może prowadzić do zabawnych sytuacji i ogólnie niegroźnych, tak brakuje kilka milimetrów na niewidzialnej granicy etyki ogólne rozumianego dobra współżycia społecznego do black-hat'ingu czy chociażby niesmacznego "hejtu"

Płaćcie rozważnie. Chrońcie swoją tożsamość nie tylko pakietami "Anty", najnowszymi update'ami ale przede wszystkim zdrowym rozsądkiem. Całość będą stanowić bardzo ciekawe czasy, których większość z czytelników na pewno będzie miała przyjemność doświadczyć. Mi uzmysłowiło to konieczność wyrobienia sobie nowych nawyków i zdrowego podejścia, albowiem nie sztuką jest popadać w paranoje. ... w każdym razie częściej płacę gotówka, a portfela już nie otwieram zbyt szeroko w "ogoniastej" kolejce.

Strach przecież pomyśleć, co by było gdyby np. Pani z sieciówki typu "Ropuchy" zapamiętała imię, nazwisko numer kart i "sprawdzając podpis" kod CVV/CID. Jaką mamy gwarancję, że Pani/Pan nas obsługujących nie ma iście co najmniej dobrze rozwiniętej pamięci i wykorzysta zebrane dane tuż przed upływem ważności karty.

Sprawa o tyle ciekawa, że w przypadku stałych klientów (takich jak opisanych na powyższym przykładzie) nie trzeba mieć pamięci fotograficznej aby skompletować potrzebne dane. Ktoś kiedyś na łamach portalu napisał mądrą rzecz:
najsłabszym ogniwem w zabezpieczeniach jest "to", co znajduje się między klawiaturą komputera a krzesłem.

Pozdrawiam gorąco :-)

mimo adekwatnej do lata temperatury,

-Andrzej 

bezpieczeństwo porady inne

Komentarze