Możliwości ataków cyberprzestępców kończą się tam, gdzie kończy się ich kreatywność. A jako że ich komptencje pod względem wymyślania nowych metod są naprawdę ogromne - cały czas słyszymy o kolejnych, bardzo pomysłowych wyczynach. Wykorzystanie Google Maps oraz informacji tam zawartych do niezwykle wyrafinowanych ataków to jeden z najnowszych, bardzo ciekawych pomysłów.
Google Maps, operując na kontekście wytwarzanym "społecznościowo" to jedna z ciekawszych usług tego typu. Gigant może pochwalić się ogromną bazą informacji nie tylko o tym, co znajduje się w internecie, ale również o rzeczach / miejscach / produktach, które obecną są głównie poza światem wirtualnym. Mowa tutaj o placówkach firm, banków, punktach gastronomicznych itd.: sprawdzając konkretną "miejscówkę" w mapach Google możemy znaleźć także dane kontaktowe do niej: tak, aby na przykład zadzwonić i złożyć zamówienie lub połączyć się m. in. z infolinią instytucji finansowej.
Problemem jest jednak to, że te informacje można... edytować. Oczywiście, istnieją pewne ograniczenia i w Mapach Google priorytet mają głównie te sugestie, które są przesyłane np. od lokalnych przewodników lub użytkowników z wysokim "levelem" odnośnie współtworzenia map. Ten mechanizm w prosty sposób można obejść: dotychczas podając sprawdzone informacje oraz pilnie uczestnicząc w procesie ulepszania zawartych tam informacji. Następnie, można dzięki temu uprawiać mniej przyjazne dla potencjalnych ofiar praktyki pozwalające w konsekwencji na dobranie się do ich pieniędzy.
Indyjscy policjanci ostrzegają o kampaniach scammerskich tuż po tym, jak w ostatnim miesiącu zanotowano kilka przypadków złośliwych edycji w Mapach Google. Te zaś polegały na tym, że zmieniano informacje kontaktowe o placówkach finansowych w taki sposób, aby wyciągnąć od użytkowników newralgiczne informacje. Zmieniano numery telefonów oraz informacje o adresach witryn w taki sposób, aby przekonać potencjalne ofiary do tego, że mają do czynienia z prawdziwymi danymi dotyczącymi banków. Następnie, bazując na takich praktykach oczekiwano na reakcję użytkowników, którzy ochoczo podawali istotne informacje o kontach.
Kiedy cyberprzestępcy uzyskali już potrzebne informacje - czyścili konta ofiar. Jak widać - nie trzeba było wcale infekować komputerów, wystarczyło zaatakowanie google'owskiej infrastruktury bazując na dostępnych mechanizmach.
Za każdym razem, gdy logujecie się do bankowości internetowej, sprawdzajcie czy połączenie jest realizowane z wykorzystaniem szyfrowania oraz czy witryna rzeczywiście wygląda na tą, którą chcieliśmy odwiedzić. Ponadto, dzwoniąc do banku lub odbierając rozmowę od podmiotu, który się za niego podaje: nigdy nie podawajcie danych, które mogą posłużyć do przeprowadzenia jakiejkolwiek operacji mającej potencjał do tego, by narazić Was na straty. Bank nigdy nie zapyta Was o kody jednorazowe, nie poprosi Was przez telefon (ani nawet przez maila) o podanie ciągu przesłanego SMS-em w ramach dwuskładnikowego uwierzytelniania. Każdy podejrzany przypadek zgłaszajcie - warto uważać.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
