Bezpieczeństwo

I will make you hurt

PM
Patronat Medialny
7

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. Otworzył skrzynkę na listy. Pomiędzy ulotkami kandydatów na posłów i lokalnych pizzerii odszukał list, na który czeka...

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem.

Otworzył skrzynkę na listy. Pomiędzy ulotkami kandydatów na posłów i lokalnych pizzerii odszukał list, na który czekał od ustawowych 14 dni. Giełdex w końcu rozpatrzył jego zgłoszenie reklamacyjne! Drżącymi rękami otworzył kopertę:

Szanowny Panie!

Informujemy iż z należytą uwagą przeanalizowaliśmy Pańskie zgłoszenie reklamacyjne. Jest nam bardzo przykro, że przy pomocy naszej platformy aukcyjnej stał się Pan posiadaczem samochodu, który nie spełnia Pana oczekiwań. Pragniemy jednak podkreślić, że jako serwis internetowy Giełdex.pl nie odpowiadamy za jakość produktów sprzedawanych przez naszych partnerów.

Mimo to, nasi specjaliści wnikliwie przeanalizowali treść ogłoszenia sprzedaży pod kątem przesłanej przez Pana listy niezgodności i nie znaleźli podstaw do ukarania użytkownika "UczciwyKomisTrustMe" za oszustwo.

Prosimy zwrócić uwagę na to, iż przywołany w aukcji zwrot "samochód posiada klimatyzator" nie implikuje jego poprawnego działania. Tym samym argument "klima nie działa a w środku śmierdzi jakby ktoś poćwiartował trupa" uznajemy za bezpodstawny.

W naszej opinii także "brak pani Dżesiki w stroju kąpielowym, widocznej na siedzeniu pasażera" nie jest podstawą do złożenia reklamacji. Sprzedawca zaznaczył, że zdjęciailustrujące przedmiot aukcji mają charakter informacyjny i mogą odbiegać od stanu faktycznego. Pani Dżesika nie znalazła się także na szczegółowej liście wyposażenia samochodu podlinkowanej na stronie aukcji. Zupełnie na marginesie chcieliśmy także przypomnieć, że polskie prawo zabrania handlu ludźmi. Jesteśmy pewni, że żadna inna platforma giełdowa nie sprzedaje przedmiotów z dołączonymi doń osobami, wbrew Pana stwierdzeniu, że "u konkurencji nigdy nie było problemów".

Tym samym, nie możemy uznać Pańskiej prośby o zwrot wpłaconych na nasze konto środków, nawet pomimo zacytowanego w Pana reklamacji stanowiska Pańskiego szwagra ("jeśli ci nie zwrócą kasy to pogadamy inaczej, bo daleko do nich nie mamy").

Jednocześnie informujemy, że Pańskiemu zgłoszeniu przypisaliśmy w naszym systemie numer 1DZ/P4N/5T4D. W przypadku dalszej korespondencji, prośmy aby się Pan na niego powoływał, choć wydaje nam się, że wszystko już wyjaśniliśmy i jasno daliśmy Panu do zrozumienia, że nie ma sensu znowu do nas pisać.

Z pozdrowieniami,

Halina Ciniepomagalska-Nigdy

Zespół obsługi klienta

"Giełdex.pl - Handluj z tym!"

P.S. Aby odrobinę poprawić Panu humor i uprzyjemnić dalsze użytkowanie samochodu, do wiadomości załączamy zapachową choinkę.

Choć choinka zapachniała morską bryzą, Janusz nie poczuł wakacyjnego nastroju. Po wejściu do swojego mieszkania odpalił komputer. Zamierzał napisać kolejne pismo, dołączając do niego tym razem UOKiK, UKE, UOP i prezydenta. Kiedy jednak otworzył skrzynkę, zauważył, że Giełdex odpowiedź na reklamację przesłał także w wersji elektronicznej. Do wiadomości z ich systemu ticketowego dołączony był załącznik. Plik .doc. To skłoniło Janusza do rozważenia innej drogi odzyskania swoich pieniędzy...

Uruchomił exiftools na załączniku i aby sprawdzić z jakiej wersji pakietu Office korzysta Giełdex. Ostatnia linijka wskazywała, że plik został stworzony przy pomocy programu Office 2010. "Nie jest to najnowsza wersja" -- pomyślał Janusz, próbując sobie przypomnieć ile dziur odnaleziono w tej wersji pakietu. Nie był w stanie. Postanowił upewnić się, że nie tylko pani Halina korzysta z nienajświeższej wersji pakietu Office. Janusz wpisał do Google "site:gieldex.pl filetype:doc", a następnie powtórzył zapytanie dla innych formatów pakietu Office. Łącznie odnalazł kilkaset dokumentów.

"Za dużo, żeby to pobierać ręcznie", pomyślał uruchamiając narzędzie Foca2. Wystarczyło wpisać nazwę domeny, a program robił swoje -- pobierał pliki skojarzone z daną firmą z internetu, analizował je pod kątem metadanych i pokazywał listy nazwisk, katalogów na dysku, adresów e-mail i wersji. Bingo. Większość pracowników działa na starszym Office. Atak powinien się udać.

Wygenerował złośliwy plik .rtf, przeklejając do niego treść piosenki Johhnego Casha "Hurt". I tak nie miało znaczenia, co będzie w środku, a ten kawałek jakoś tak pasował do sytuacji, idealnie oddając rozczarowanie wynikające z nierozpatrzonej reklamacji. Janusz nie byłby jednak sobą, gdyby nie wyraził swojej złości obrazkiem. Wybrał popularny ostatnio mem i wkleił za pierwszą zwrotką. Następnie załączył plik do maila i odesłał do Giełdexu, nucąc pod nosem jeden z wersów "I will make you hurt".

* * *

-- "Halina! Ten twój gościu od trupa ci odpisał" -- krzyknął Filip, któremu system przyporządkował odpowiedź Janusza.

-- "Dawaj go na projektor" -- odkrzyknęła Halina wychylając się ze swojego cubicala.

Filip otworzył plik i ku uciesze całego zespołu obsługi klienta, na ekranie pojawił się tekst piosenki oraz załączony przez Janusza mem:

Po chwili już całe biuro nuciło piosenkę Johnnego Casha.

To, czego ubawieni złością klienta pracownicy działu obsługi Giełdeksu nie zauważyli, to drobna zmiana w systemie reklamacyjnym. Kiedy Filip otworzył plik, na jego komputerze uruchomił się koń trojański, który nawiązał połączenie z komputerem Janusza. Ten bardzo szybko podpiął do niego tzw. "moduły postexploitacyjne", których celem było błyskawiczne przeszukanie komputera Filipa pod kątem interesujących danych. Wśród nich znalazły się hasła do zapamiętanych w Total Commanderze FTP-ów, ciasteczka przeglądarek i historia oglądanych stron. Zwłaszcza jeden z adresów wydał się Januszowi godna uwagi. "Bingo!" wyszeptał, zestawiając routing swojego systemu przez komputer Filipa. W pasku adresu przeglądarki wprowadził:

https://crm.gieldex-intranet:8807/reklamacje/zwroty/

Janusz docenił prostotę i użyteczność interfejsu Giełdeksowego CRM-a. Zmiana "rozpatrzone negatywnie" na "rozpatrzone pozytywnie" zajęła mu mniej niż 10 sekund. Potwierdził rozpoczęcie procedury zwrotu środków i przed wylogowaniem się z modułu zwrotów, skasował jeszcze ze swojego profilu tagi "awanturnik" i "olewać" a do konta przypisał sobie kupon rabatowy na 100 PLN. Janusz nigdy nie należał do zachłannych...

"Giełdex załatwiony" -- pomyślał -- "Teraz pora na ciebie, użytkowniku UczciwyKomisTrustMe". Janusz wyszukał w Giełdeksowym CRM-ie profil komisu, który go oszukał i skopiował jego hasło dostępowe do schowka -- brzmiało ono: "NiemiecPłakałJakSprzedawałKOLEJORZ!!!"

Skopiowanie hasła było możliwe, ponieważ Giełdex borykał się z tzw. multikontami i jego projektanci z tego powodu postanowili nie hashować haseł użytkowników. Analiza multikont ujawniła bowiem, że większość z nich ma te same hasła. Scamerzy używali różnych loginów i tymczasowych e-maili, ale z jakiegoś powodu część z nich wszystkim swoim lewym kontom nadawała to samo hasło, albo hasło bardzo podobne, np. wasatyziomek1, wasatyziomek2, itp.</div>

Janusz postanowił sprawdzić, czy hasło komisu będzie pasować do skrzynki pocztowej, którą firma utrzymywała na jednym z popularnych portali. Oczywiście pasowało. Przeglądając pocztę, Janusz zadawał sobie to samo pytanie co zawsze, kiedy jechał za TIR-em z nadrukowanym kontaktowym adresem e-mail. "Nie mogę pojąć, dlaczego niektóre polskie firmy wciąż mają kontaktową skrzynkę w aliasach polskich portali, przecież własna domena to dziś grosze... Jak to w ogóle wygląda uczciwykomistrustme2@go2.pl?"

W poczcie komisu nie znalazł jednak żadnych kompromitujących materiałów, które dałoby się podesłać prasie albo sprzedać na forum w sieci Tor. "Będę musiał zadowolić się podmienioną stroną" pomyślał i wszedł na stronę hostingu, z którego korzystał komis. Niestety, tu hasło "NiemiecPłakałJakSprzedawałKOLEJORZ!!!" nie pasowało -- zobaczył komunikat

"Wprowadziłeś za długie hasło".

"Świry" pomyślał i rozpoczął procedurę odzyskiwania hasła do konta komisu. Tu miał więcej szczęścia. Komis zarejestrował konto na adres e-mail, który był już pod jego kontrolą. Po kilkunastu sekundach kliknął w linka z wiadomości od hostingu i zresetował hasło.

Pięć minut później, komis "UczciwyKomisTrustMe" zanotował rekord sprzedażowy. Wszystkie z 70 wystawionych samochodów zostały sprzedane. Nie dziwne. Ktoś pozmieniał ich ceny, obniżając je o 80%… i rozesłał newsletter do wszystkich klientów z informacją o promocji...

Z głośników Johhny wyharczał "I will make you hurt" a ipod rozpoczął odtwarzanie kolejnego kawałka Johhnego. Janusz uśmiechnął się pod nosem i zanucił:

And it burns, burns, burns,

The ring of fire, the ring of fire.

Komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Sam fakt posiadania na komputerze „antywirusa” nie zabezpieczy nas przed wszystkimi typami zagrożeń internetowych. Każdego dnia w sieci pojawiają się bowiem nowe złośliwe aplikacje. Dlatego należy na bieżąco instalować aktualizacje katalogów zagrożeń, opracowywane przez producentów oprogramowania antywirusowego.

Równie ważne jest pobieranie najnowszych patchy i update’ów dla wszystkich typów programów, które znajdują się na naszym sprzęcie. Pozwalają one naprawić błędy w strukturze bezpieczeństwa produktów, które wykryto dopiero po wypuszczeniu ich na rynek. Takie „dziury” systemowe są bowiem bardzo często wykorzystywane przez hakerów do przeprowadzania ataków. Przy pobieraniu wszelkich aktualizacji trzeba jednak zachować szczególną ostrożność. Należy pobierać je wyłącznie z oficjalnych źródeł wskazanych przez producentów. W przeciwnym wypadku może się bowiem okazać, że pod „łatką” kryje się malware, który umożliwi nieautoryzowany dostęp z zewnątrz do naszego komputera.

Warto także pamiętać, iż w miarę wprowadzania na rynek nowych wersji produktów, cześć firmy stopniowo wstrzymują wsparcie dla ich poprzednich wersji. Efektem tego jest brak aktualizacji, co znacząco zwiększa ryzyko przeprowadzenia udanego ataku na nasz system. Warto zatem na bieżąco śledzić sytuację i w razie potrzeby dokonać zakupu nowego oprogramowania lub szukać substytutu aplikacji, dla której wsparcie może wkrótce wygasnąć.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

csi