Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, k...
Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem.
Zawiązał na pudełku ostatnią kokardkę, a na doczepionej karteczce dopisał "Dla ukochanej żony, Bożenki". Był z siebie dumny. Po raz pierwszy udało mu się kupić wszystkie świąteczne prezenty na czas. Tym razem zero chodzenia po sklepach -- tylko sklepy internetowe. Wygodnie. I dużo, dużo taniej. W chińskich sklepach internetowych zwłaszcza elektronika miała o wiele niższe ceny, a tą Henryk zainteresowany był najbardziej. "W pociechy trzeba inwestować! A na tym laptopie Miniecraft będzie im śmigał jeszcze szybciej" pomyślał. Co prawda lekkim minusem był czas oczekiwania na przesyłki z Chin -- towary dopływały statkiem do Europy nawet i 2 tygodnie, a celnicy z Zabrza skrzętnie obkładali opłatą każdą z zamówionych rzeczy.
Ogólnie jednak Henryk był bardzo zadowolony. Na internetowych zakupach zaoszczędził kilka tysięcy złotych i kilkanaście godzin spędzonych w korkach na dojazdach do galerii handlowych i bezmyślnym przeciskaniu się pomiędzy innymi ludźmi, którzy jak kołki tkwią nieruchomo na sklepowych ruchomych schodach. Nienawidził ich. Za każdym razem bardziej. Czasem ze złości blokował schody przyciskiem alarmowym. Niedziałające schody, paradoksalnie, zawsze upłynniały ruch. "Niech się tusza porusza!" szeptał wtedy pod nosem i zastanawiał się jak można stać na całej szerokości schodów? I to tych jadących w dół? "Czy to aż tak duży wysiłek, żeby po nich zejść? Albo chociaż stanąć po prawej stronie?"
Postanowił, że zaoszczędzone na internetowych zakupach godziny spędzi pomagając ludzkości ...i jak to miał w zwyczaju, zaczął pisać list do dyrekcji jego osiedlowej galerii handlowej, apelując o edukację klientów korzystających z ruchomych schodów. Był pewien, że nie tylko on ma takie odczucia. Muszą być przecież inne osoby, które dostrzegają kuriozalność tej sytuacji...
"Numa numa je numa numa numa je"
Od pisania oderwał go dźwięk telefonu. Na wyświetlaczu pojawił się numer jego banku. Choć telefony bankowych marketerów zawsze go irytowały, tym razem postanowił odebrać. W święta trzeba być miłym dla bliźnich, tłumaczyli mu rodzice. A poza tym telefon z banku to świetna okazja, aby zasięgnąć opinii innego człowieka na temat braku umiejętności społeczeństwa co do korzystania z ruchomych schodów.
-- "Dzień dobry, dzwonię ze SterBank, moją tożsamość może Pan..." -- zaczęła rozmowę pracownica banku
-- "Czy Panią też drażni, że ludzie stoją na ruchomych schodach?" -- Henryk nie dał kobiecie dojść do słowa -- "No bo to przecież bez sensu. Tyle czasu się traci. Rozumiem, starsi, dzieci. No ale oni mogą przecież stać tylko z jednej strony, chyba, prawda?"
-- "Yyy..." -- pracownica banku wydawała się być zaskoczona słowotokiem po drugiej stronie słuchawki.
-- "Wtedy normalni ludzie mieliby miejsce, żeby przejść swobodnie. Każdy byłby zadowolony. W naszym kraju jednak zawsze wszystko robi się na opak."
-- "Przepraszam Pan bardzo, ale dzwonię z bardzo pilną sprawą. Nasze systemy bezpieczeństwa wykryły dziwne transakcje na Pana karcie płatniczej. Podejrzewamy, że ktoś może się nią nielegalnie posługiwać. Czy kupował Pan może coś ostatnio przez internet?"
-- "Tak..., skąd Pani wie?" -- lekko zaskoczony, odparł Henryk, starając sobie przypomnieć, w których z chińskich sklepów płacił kartą, ze względu na to, że Chińczycy nie obsługują pośredników w płatnościach z których zazwyczaj korzystał w Polsce, czyli Przelewy24 lub PayU.
-- "Niestety w święta sporo osób robi zakupy płacąc kartą przez internet" -- odparła pracownica banku -- "I niestety, nie zawsze kończy się to tak dobrze jak w Pana przypadku. Nasze systemy wykryły próbę nieautoryzowanej transakcji i ją zablokowały. Nie stracił Pan środków. Musi Pan jednak natychmiast zablokować swoją kartę płatniczą. SterBank oczywiście, za darmo, dośle Panu duplikat. Powinien go Pan otrzymać jeszcze przed nowym rokiem."
Henryk odetchnął z ulgą. Przed zakupem laptopa dla syna, zwiększył na karcie dzienny limit dla transakcji internetowych do 10 000 PLN netto. Inaczej nie byłby w stanie kupić Alienware M17x Nebula Red -- modelu, z którego w serialu The Big Bang Theory korzysta idol syna, Sheldon Cooper. Aż przysiadł na myśl o tym, że ktoś mógłby mu wyssać z karty taką gotówkę.
-- "Ponieważ ja dzwonię z sekcji Intendentury Monitoringu naszego banku, ze względów bezpieczeństwa nie mam wglądu w Pańskie dane i nie mogę Panu automatycznie zablokować tej karty. Moim zadaniem było jedynie poinformować Pana o wykrytych nieprawidłowościach. Kartę zablokować musi Pan samodzielnie. Czy przełączyć Pana do serwisu automatycznego, w którym, po uwierzytelnieniu, będzie Pan mógł samodzielnie zablokować kartę?"
-- "Oczywiście!" -- powiedział Henryk, wiedząc, że trzeba działać szybko. Zaraz jego karta wyląduje na <a href="http://cardingmafia.ws/">frauderskim forum</a>, a tam cwaniaczki potrafią zrobić transakcję, której systemy antyfraudowe banku nie będą w stanie wyłapać.
*KLIK*
WITAMY W AUTOMATYCZNYM SERWISIE TWOJEGO BANKU. ABY ZABLOKOWAĆ SWOJĄ KARTĘ MUSISZ NAJPIERW PODAĆ SWOJE IMIĘ I NAZWISKO I NACISNĄĆ KRZYŻYK
-- Henryk Dzięcioł
DZIĘKUJEMY. ABY ROZPOCZĄĆ PROCEDURĘ BLOKADY KARTY MUSISZ POTWIERDZIĆ ŻE ZNASZ JEJ DANE. WPISZ JEJ NUMER I NACIŚNIJ KRZYŻYK. UWAGA! DLA BEZPIECZEŃSTWA NIE WPISUJ OSTATNIEJ CYFRY NUMERU KARTY
DZIĘKUJEMY. WPISZ DATĘ WAŻNOŚCI KARTY, POMIJAJĄC ZNAK UKOŚNIKA I NACIŚNIJ KRZYŻYK
- []
DZIĘKUJEMY. ABY ZAKOŃCZYĆ PROCEDURĘ BLOKOWANIA KARTY, ODWRÓĆ JĄ NA DRUGĄ STRONĘ I WPISZ 3 CYFRY ZNAJDUJĄCE SIĘ OBOK MIEJSCA PRZEWIDZIANEGO NA PODPIS I NACIŚNIJ KRZYŻYK
- []
TWOJA KARTA ZOSTAŁA ZABLOKOWANA. ABY ZA DARMO OTRZYMAĆ NOWĄ KARTĘ, NACIŚNIJ 1
- 1
TWOJA NOWA KARTA ZOSTANIE PRZESŁANA NA ADRES ZAMIESZKANIA. DZIĘKUJEMY.
*KLIK*
Telefon zamilkł. Henryk odetchnął z ulgą. W tym samym czasie, gdzieś pod Warszawą, mężczyzna ubrany na czarno skończył odczytywać zapis tonowy z nagrania rozmowy. Zapisał numer karty Henryka na tablicy, a ostatnią cyfrę wyliczył samodzielnie na podstawie <a href="https://en.wikipedia.org/wiki/Luhn_algorithm">algorytmu Luhna</a>. Następnie odwrócił się za siebie i krzyknął "Szefie, mamy następnego jelenia z Mastercardem. Mam już dość robienia tego numeru z motywem "na zakupy przez internet". Jak tylko skończy się ten szał zakupów przez internet wracam do mojego standardowego "czy korzystał Pan ostatnio z bankomatu?".
"OK" -- Janusz zdawkowo odpowiedział swojemu nowemu praktykantowi. Nie miał czasu na dyskusje. Był zajęty nowym pomysłem. Ostatnio zauważył, że jedną z niewielu rzeczy, które w polskim internecie kupuje się płacąc prawie tylko i wyłącznie kartą płatniczą były bilety lotnicze. Scrapował więc checkingy z obszaru lotnisk na Facebooku i przeszukiwał Instagram pod kątem ludzi, którzy wrzucali zdjęcia biletów lotniczych. Jednocześnie, w tle działał bot, który po API Twittera wyciągał posty zawierające skróty nazw poszczególnych lotnisk.
"Cholera, trzeba będzie uprościć pozyskiwanie numerów telefonów internautów z Instagrama i Twittera. Na Facebooku idzie o wiele łatwiej" -- pomyślał Janusz i odczytał z Facebooka numer telefonu niejakiej Heleny, która właśnie zacheckingowała się na lotnisku w Balicach. Złapał za telefon i jako CallerID ustawił numer z którego korzystali konsultanci Yllis Banku. Skąd o tym wiedział? Na liście polubionych stron, Helena Ziemniak miała właśnie ten bank.
"Dzień dobry Pani Heleno. Dzwonię z sekcji Intendentury Monitoringu Yllis Banku, moją tożsamość może Pani potwierdzić na Y-linii. Mam dla Pani przykrą wiadomość. Nasze systemy bezpieczeństwa wykryły próbę nieautoryzowanego obciążenia Pani karty płatniczej. Czy kupowała Pani może ostatnio bilety lotnicze? Tak myślałem... Mamy ostatnio wiele zgłoszeń od osób kupujących bilety lotnicze. Ponieważ moją rolą było tylko Panią ostrzec, a ze względów bezpieczeństwa nie mam dostępu do Pani danych, kartę musi Pani zablokować samodzielnie. Przełączę teraz Panią do systemu automatycznego, gdzie będzie Pani mogła to zrobić natychmiast. Dziękuję za rozmowę"
Komentarz ekspercki
Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.
Wbrew powszechnemu przekonaniu, przestępca internetowy wcale nie potrzebuje skomplikowanych skryptów czy programów do przeprowadzenia skutecznego ataku na nasze wrażliwe dane. Wystarczy, że wykorzysta podstawowe błędy popełniane przez użytkowników, wynikające najczęściej z pośpiechu i braku zachowania należytej uwagi.
Jednym z przykładów może być nieodpowiedzialne podawanie swoich danych osobistych – loginów, haseł, czy też szczegółów dotyczących kart płatniczych i kredytowych. Takie działanie może nieść ze sobą bardzo poważne konsekwencje, w tym utratę wszystkich zgromadzonych na koncie środków.
Stosując kilka bardzo prostych zasad bezpieczeństwa jesteśmy w stanie znacząco obniżyć ryzyko zostania ofiarą takiego wyłudzenia. Przede wszystkim należy kierować się zdrowym rozsądkiem
i opanować emocje, ponieważ właśnie gra na emocjach jest podstawową umiejętnością socjotechnika. Zachowajmy także ograniczone zaufanie do nieznajomego rozmówcy - każdy z nas powinien bezwzględnie dwa razy zastanowić się zanim przekaże – drogą mailową czy też telefonicznie – swoje wrażliwe dane. Nasze podejrzenia powinny wzbudzić zwłaszcza próby pozyskania informacji zbyt szczegółowych. Niewykluczone bowiem, że kontaktująca się z nami osoba wcale nie jest przedstawicielem firmy czy banku, a jedynie próbującym wykorzystać okazję cyberprzestępcą. Zachowanie należytej ostrożności pozwoli nam nie tylko zaoszczędzić pieniądze, ale przede wszystkim czas i nerwy. Pamiętajmy, że nigdy nie będziemy bezpieczni, jeśli sami odpowiednio o to nie zadbamy.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu