[ Pobierz całość w formacie PDF ]
.Kliknął więc podane łącze, wprowadził potrzebne informacje  na-zwisko, adres, numer telefonu, informacje o karcie kredytowej  i czekał, ażna następnym wydruku stanu karty kredytowej pojawi się rzeczone 5 dola-rów.Zamiast tego otrzymał listę obciążeń za rzeczy, których nigdy nie ku-pił.Uwaga na temat sklepów internetowychSą ludzie, którzy mają opory przed kupowaniem za pośrednictwem In-ternetu nawet od firm z górnej półki, takich jak Amazon, eBay lub stroninternetowych firm Old Navy, Target lub Nike.W pewnym sensie ichpodejrzliwość jest uzasadniona.Jeżeli nasza przeglądarka używa standardowego dziś szyfrowania128bitowego, informacja, którą przesyłamy do którejś z wiodącychbezpiecznych witryn sklepowych, wychodzi od nas w postaci zakodo-wanej i prawdopodobnie nie da się jej odczytać w krótkim czasie, chy-ba że wezmie się za to Narodowa Agencja Bezpieczeństwa  NSA (z na-szych informacji wynika, że NSA na dzień dzisiejszy nie jest zaintereso-wana kradzieżą numerów kart kredytowych lub dowiadywaniem się,kto zamawia filmy pornograficzne i seksowną bieliznę).Jednak podczas kiedy sklepy internetowe dokładają wielkich starań,aby chronić dane podczas transmisji, wiele z nich popełnia błąd, prze-chowując informacje dotyczące klientów w postaci niezaszyfrowanejw bazach danych.Co gorsza, wiele sklepów internetowych, które uży-wają oprogramowania SQL Microsoftu, znacznie powiększa ten pro-blem: nie zmieniając domyślnego hasła dla administratora systemu.Po zainstalowaniu programu hasło brzmi  null.Okazuje się, że w ichprzypadku hasło to działa do dzisiaj.W ten sposób zawartość bazy sta-je się dostępna dla każdego użytkownika Internetu, który jest tego fak-tu świadomy i spróbuje połączyć się z bazą.Ze stron tych stale kradzio-ne są informacje.Z drugiej strony ci sami ludzie, którzy obawiają się zakupów przez In-ternet, bojąc się o dane swojej karty kredytowej, nie widzą problemupodczas płacenia kartą w pobliskim sklepie z materiałami budowlanymilub za obiad albo za drinki w podejrzanym barze, do którego na pew-no nie zaprosiliby swojej matki.Z miejsc takich notorycznie kradzio-ne bywają potwierdzenia transakcji lub ktoś wyjmuje je z kontenera naśmieci stojącego za lokalem.Pozbawiony skrupułów urzędnik lub kel-ner może zanotować nasze nazwisko i informacje o karcie, ewentualnieużyć gadżetu dostępnego za pośrednictwem Internetu, który przecho-wuje dane każdej karty kredytowej zeskanowanej przez niego.112 Każdy pilot wie, że najniebezpieczniejsza część lotu to dojazd na lotni-sko i powrót z niego.Sam lot nie jest pozbawiony ryzyka, ale statysty-ki notują niezmiennie, że latanie jest bezpieczniejsze niż jeżdżenie samo-chodem.Podobnie jest z zakupami internetowymi: istnieje jakieś ryzykow zakupach robionych poprzez Internet, ale nie jest ono wcale większeod ryzyka podczas kupowania w zwykłym sklepie.Banki oferują pe-wien dodatkowy rodzaj ochrony, jeżeli używamy kart w sieci  np.je-żeli miały miejsce jakieś nieautoryzowane zakupy, odpowiadamy jedy-nie za pierwsze 50$.Dlatego też moim zdaniem obawy związane z zakupami przez Internetnie są uzasadnione.Analiza oszustwaEdgar padł ofiarą typowego internatowego oszustwa.Przybiera ono różneformy.Jedna z nich (opisana w rozdziale 9.) wykorzystuję fałszywą stronęuwierzytelniającą stworzoną przez socjotechnika, która udaje stronę jakiejświtryny.Różnica polega na tym, że fałszywa strona nie daje dostępu do wi-tryny, na którą użytkownik próbuje wejść, a zamiast tego haker odbiera lo-gin i hasło użytkownika.Podstęp w przypadku Edgara polegał na tym, że oszuści zarejestrowalidomenę  paypal-secure.com  która wydaje się bezpieczną stroną oficjal-nej witryny PayPal, jednak nią nie jest.Z chwilą kiedy Edgar wprowadził nastronie informacje o sobie, zostały one przejęte przez napastników.Uwaga MitnickaZa każdym razem, gdy odwiedzamy stronę, która wymaga od nas po-dania prywatnych informacji, należy upewnić się, czy połączenie jestuwierzytelnione, a dane szyfrowane.Ważniejsze jednak jest to, by nieklikać automatycznie przycisku  Tak w pojawiających się oknach dia-logowych, które mogą ostrzegać nas o nieprawidłowym, przedawnio-nym lub uchylonym certyfikacie bezpieczeństwa.Wariacje na temat wariacjiIle jest innych sposobów wabienia użytkowników komputerów na fałszy-we strony internetowe, gdzie zostawiają oni swe poufne informacje osobiste?113 Nie przypuszczam, by ktoś mógł udzielić dokładnej odpowiedzi na to pyta-nie, ale słowo  mnóstwo powinno załatwić sprawę.Fałszywe łączaBardzo popularnym trikiem jest wysyłanie e-maili oferujących jakiś ku-szący powód, dla którego warto odwiedzić daną stronę, i zawierających bez-pośrednie łącze do niej.Niestety, łącze zwykle nie prowadzi na stronę, którejsię spodziewamy, ponieważ tylko  udaje łącze do tej strony.Oto przykładfałszywego łącza, którego użycie w rzeczywistości miało miejsce.Aącze mia-ło z pozoru wskazywać stronę firmy PayPal:www.PayPai.comNa pierwszy rzut oka napis wygląda na  PayPal.Nawet, jeżeli użytkow-nik zauważy błąd, może pomyśleć, że to jakaś niedoskonałość w sposobiewyświetlania tekstu, która sprawia, że  l wygląda jak  i.Kto jednak zdo-łałby odgadnąć, że w adresie:www.PayPa1.comużyto cyfry  1 zamiast małej litery  l ? Jest tylu ludzi, którzy nie po-trafią dostrzec błędów w pisowni i podobnych błędnych przekierowań, żesztuczka ta nie przestaje być popularna wśród internetowych złodziei kartkredytowych.Fałszywa strona zwykle wygląda jak strona, na którą spodzie-wali się wejść, dlatego zostawiają tam beztrosko swój numer karty kredyto-wej.Aby zastawić tego typu pułapkę, napastnik musi jedynie zarejestrowaćfałszywą domenę, rozesłać e-maile i czekać na naiwnych, którzy konieczniechcą być oszukani.W połowie 2002 roku otrzymałem e-mail, który wyglądał na wiadomośćz eBay.Nadawca był oznaczony jako Ebay@ebay.com.Poniżej przedstawionotreść wiadomości.Temat: Szanowny użytkowniku eBayZauważyliśmy, że niepowołana osoba korzysta z Pańskie-go konta eBay i narusza jeden z punktów naszej umowy, któ-ry przytaczamy:4 [ Pobierz całość w formacie PDF ]
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • centka.pev.pl
    •