Naiwność ludzka nie zna granic
Phishing czyli łowienie. Łowienie naiwniaków na spreparowane strony banków czy instytucji.
O phishingu zrobiło się głośno jakiś czas temu, gdy tak namiętnie wysyłano listy pocztą elektroniczną do klientów Citibanku. Oni podawali swoje numery kart kredytowych na stronie wyglądającej jak oryginalna, a oszuści mieli niezły dochód. I do mnie list “z Citibanku” przyszedł. Tyle, że ja tam nie mam konta ;-)
Od tamtego czasu wszyscy byliśmy uodparniani. Wiemy, że trzeba sprawdzać certyfikaty, czy jest szyfrowane połączenie, czy domena jest prawdłowa i tak dalej. Internet Explorer 7 beta 2 posiada nawet specjalny analizator, który sprawdza czy dana strona nie jest podejrzana o phishing. Jednak czy to wszystko wystarcza by chronić dane użytkowników - a raczej ich pieniądze? Od zawsze wiadomo, ze najsłabszym ogniwem w łańcuchu zabezpieczeń jest czynnik ludzki. A różne socjotechniki pomagają złodziejom w ich działaniach.
Dziś, za Joggiem wizard3k trafiłem na spreprarowaną stronę, podszywającą się za stronę techniczną polskiego komunikatora Gadu-Gadu. Adres jawnie wskazuje na to, że nie jest to strona rzeczywista, ale przecież tego “blo” można nie zauważyć. A jak wiadomo, nie wszyscy użytkownicy Gadu-Gadu są rozgarnięci (zresztą powiem inaczej - nie wszyscy użytkownicy komputerów są wystarczająco rozgarnięci) - zapewne naiwnych znajdzie się trochę, którzy tam mogą swoje dane podać. Nie wolno tego robić!. Tak samo też Gadu-Gadu nie wysyła e-maili w których proszą o podanie swojego hasla. Jakiś czas temu był też ktoś, kto podawał się za administratora tegoż komunikatora i wyłudzał hasła…
Strona ta, to ramka prowadząca do strony umieszczonej na darmowym serwerze Lycos, z dodanym skryptem usuwającym reklamy tego serwera. A pod samym adresem katalogu, w którym jest spreparowana strona widzimy też plik tekstowy z instrukcją “hakowania”, więc można by się spodziewać, iż jest to jakiś gotowiec.
SKrypt PHP nie sprawdza oczywiście poprawności danych, więc zapewne można by zalać skrzynkę e-mailową tego, kto go tutaj na swoim Lycosie zainstalował, fałszywymi zgłoszeniami.
Zastanawia mnie jednak czy są osoby, które nabrały się na ten podstęp. A raczej - ile ich jest. Naiwność ludzka nie zna granic, nie każdy zauważa drobne dziwne rzeczy jak flashowe reklamy, których na stronie prawdziwej GG nie ma. Czy ten dodatkowy kawałek w adresie.
Ludzie, nie dajcie się naciągaczom! Niestety, przy obsłudze komputera trzeba myśleć. Gdyby nie naiwność ludzka, to wirusów, spamu i naciągaczy by zapewne było znacznie mniej.
Liczba komentarzy: 7
»Wątek RSS dla komentarzy tego wpisu · Adres trackback
luty 21, 2006 godzina 18:39
Jak tylko wszedłem na tą stronę z blogu wizard3k to wpdłem na ten sam pomysł. ;)
Co więcej skorzystałem z socjotechniki i podałem niski numerek 4-cyfrowy żeby się gościu napalił że zdobył elitarny numerek. ;)
luty 21, 2006 godzina 19:12
Wystarczyłby teraz jakiś łańcuszek i już dziesiątki, jak nie setki albo nawet tysiące osób podałoby swoje numery i hasła.
luty 21, 2006 godzina 19:45
Zapewne. Ale Ty już nie podsuwaj pomysłów. ;))
luty 21, 2006 godzina 20:19
To co? Kto napisze jakiś automacik? ;)
luty 21, 2006 godzina 20:45
Ja biorę zakres numerów od 10,000 od 50,000. :) Nie martwcie się, pula numerów jest duza, dla każdego starczy.
luty 21, 2006 godzina 22:12
Ja wczoraj pisałem dla tej strony User JS losujący numer i hasło oraz submitujący form (po każdym submicie wraca na stronę więc byłaby to nieskończona pętla), ale pomyślałem, że lepiej go gdzieś zgłosić.
luty 23, 2006 godzina 17:36
Ech, muszę sobie jakiś czytnik RSS postawić, bo się dowiaduję o “Notatkach na piasku” nowych z opóźnieniem i przez przypadek.
Ja tam bym się na to nie nabrał, ale niestety - bardzo wiele osób (może przesadzam, ale odnoszę wrażenie, że wśród rodzimych użytkowników GG wyjątkowo dużo) cholernie naiwnych :(