Jak ukraść samochód przez Internet.

Pisać nie lubię, jak nie mam o czym. Owszem, mógłbym na siłę coś stukać (byle by tylko publikować jak najwięcej i zarabiać), ale to trochę się mija z celem. Znalazłem jednak mój post ze starego bloga, więc postanowiłem go opublikować rónież tutaj. Szczególnie że jest dalej aktualny i będzie aktualny jeszcze długo. Zapraszam do lektury:

Jak ukraść samochód przez Internet. Historia nieprawdziwa.

"W świetle ostatnich wydarzeń związanych z portalem nasza-klasa.pl (czyli możliwość podmiany adresu, tak aby wejście na stronę w domenie NK kierowało na nasz serwer) zacząłem się zastanawiać nad sensem tego typu serwisów, sensem umieszczania w nich swoich danych oraz świadomością nieświadomych Internautów. Zastanawiałem się również jak napisać to co chcę powiedzieć w sposób zrozumiały i przystępny. Wymyśliłem że zrobię to w formie krótkiej historyjki.
Więc do dzieła!


OSOBY DRAMATU:
Katarzyna - trzydziesto-paro letnia matka gimnazjalisty, samotnie wychowuje syna;
Pani Zofia - matka Katarzyny, żona Pana Teofila;
Zły Człowiek - bardzo zły człowiek.

Miejsce akcji: Internet.

Katarzyna jest w trakcie budowy domu. Właściwie to już prawie kończy, okazało się jednak że przez kryzys ceny materiałów budowlanych skoczyły mocno w górę. Kasia jest w kropce. Kryzys zmusił ją do sprzedaży samochodu, musi przecież ukończyć budowę. Wycenia swojego kilkuletniego mercedesa na 50000 zł i prosi syna o pomoc przy wystawieniu aukcji na Allegro.
Zły Człowiek zna Katarzynę od dawna i wie o jej kłopotach. Wie również, że niedługo jej konto zasili okrągła suma pieniędzy. Uznaje, że jemu te pieniądze są bardziej potrzebne. Przygotowuje specjalną stronę internetową, bardzo przypominającą stronę Naszej Klasy. Od oryginału różnią ją tylko dwa małe szczegóły - adres, który można odczytać na pasku w górnej części przeglądarki, oraz to że dane wpisane w polu do zalogowania trafiają wprost na skrzynkę mailową Złego Człowieka. Wysyła do Katarzyny tajemniczą wiadomość z linkiem prowadzącym do NK, z tym wyjątkiem że serwer portalu po chwili przekierowuje Kasię na specjalną stronę Złego Człowieka. W ten sposób wchodzi on w posiadanie danych umożliwiających zalogowanie na jej profilu Naszej Klasy, na jej skrzynce pocztowej (Katarzyna do logowania na NK używa adresu e-mail, wszędzie ma takie samo hasło) oraz na koncie Allegro. W ten sposób Zły Człowiek posiada jej nazwisko, nazwisko po matce, numery telefonów, dokładny adres i kilka mniej istotnych dla sprawy szczegółów. Jeszcze jedna wiadomość wysłana z jej konta i do kompletu mamy nazwisko panieńskie jej matki, pomocne przy autoryzacji w banku.
Teraz Zły Człowiek wykonauje dwa telefony. Pierwszy do Katarzyny, kiedy ta będzie w pracy (zmęczona, zestresowana, zapracowana). Podając się za pracownika banku, ubezpieczalni, księdza, albo kogokolwiek innego łatwo uzyska jej PESEL. Teraz jeden telefon do banku, pomyślna autoryzacja i (pomijając wszystkie procedury z bankiem związane) pieniądze za samochód znajdują się na koncie Złego Człowieka.
Z punktu widzenia Kasi właśnie skradziono jej samochód. Przez Internet.

Historyjka ta, mimo że może troszkę "naciągana" (choć wydaje mi się że taka akcja mogłaby mieć szanse powodzenia), to chyba trafnie ukazuje zagrożenia związane ze zbyt modnym ostatnio dzieleniem się szczegółowymi informacjami o sobie. Nie mam nic przeciw portalom społecznościowym, sam mam na NK konto, ale uważam że należy znać umiar w pisaniu o sobie. Uważam też, że takie portale powinny bardziej dbać o bezpieczeństwo użytkowników. Nie mówię tu o wymyślnych zabezpieczeniach, kodach i szyfrowaniu, ale o uświadamianiu społeczeństwa o zagrożeniach płynących z nierozważnego używania Internetu.
Można mieć również zastrzeżenia co do informacji przechowywanych na serwerach portali aukcyjnych, jednak w wypadku takich serwisów podanie swoich danych jest konieczne. Nie należy jednak zapominać, że uzyskanie dostępu do konta Allegro jest banalnie proste, dla osoby znającej adres e-mail, nazwisko panieńskie matki oraz kod pocztowy osoby atakowanej.
Uważam że w celu zabezpieczenia się przed tego typu atakami należy zwrócić uwagę na trzy aspekty:
- sprawdzanie adresu strony na której chcemy się zalogować,
- używanie za każdym razem innych haseł;
- przemyślenie, czy ryzyko związane z podawaniem danych o sobie jest warte odnajdowania starych znajomości.

Tak w ogóle Zły Człowiek to kobieta. To ważne, mężczyzna nie mógłby autoryzować się w banku ;-)

PS. Na koniec jeszcze jedno. Taką akcję jak w historyjce mógłby przygotować już gimnazjalista znający podstawy programowania, wiedzący jak skutecznie przygotować socjotechniczną mistyfikację i posiadający konto chociażby na PayPal'u. Chociaż w sumie to ostatnie nie koniecznie, pieniądze może przecież wydać bezpośrednio z konta Kasi. To mnie naprawdę przeraża i coraz bardziej utwierdza w przekonaniu że potrzebna jest akcja, która uświadomi nieświadomych."

Ostatnio jednak sporo się zmieniło. Administratorzy NK faktycznie próbują zwiększyć bezpieczeństwo swoich użytkowników, szczególnie tych najmłodszych promując zakładkę "Bezpieczeństwo" na swoich stronach. Uważam jednak że to ciągle za mało...