Facet w przeglądarce

Opublikowano: 26 listopada 2007. Kategoria: Bez kategorii. Tagi:

Gdy facet w przeglądarce zaczyna łowić ryby na własnej farmie, internauci powinni zacząć się bać. Przynajmniej ci mniej obeznani z własnymi kompami. Jak pewność co do własnego sprzętu pozwala uniknąć poważnych kłopotów?
Dostałem email od znajomego. Serwis fotka.pl. Ok, zobaczmy o co chodzi. Profil "znajomego" jakiś dziwny – żadnego zdjęcia, wiek i opis nie pasują do nikogo kogo znam. Czeka na mnie jakaś wiadomość. Cóż, zdarza się. Wyskakuje komunikat, że do obejrzenia wiadomości potrzebny mi jest jakiś nowy kodek.

Stop!

Na żadnej stronie internetowej nie mam problemów z oglądaniem grafiki, wideo czy słuchaniem dźwięków. Niby dlaczego na jakiejś dużej stronie (nazwa fotka.pl obiła mi się parę razy o uszy) mają być tak dziwaczne i nigdzie indziej niewykorzystywane kodeki? Nie załapałem, że to atak hakerski. Po prostu uznałem za niemożliwe, żebym nie miał jakiegoś kodeka. A skoro oni mają jakieś cudaczne kodeki, to ja nie mam ochoty instalować sobie czegoś nowego tylko dlatego, żeby obejrzeć wiadomość od dziwnego "znajomego".

Jeśli jednak nie znasz własnego komputera i nie masz do niego zaufania, to łatwo się nabrać. wiele osób nie ma takiej pewności co do swojego  komputera. Dlatego atak phishingowy na fotka.pl powiódł się na tyle, że fotka.pl wraz z Kasperskym szybciutko przygotowali i rozesłali stosowną informację.

Wnioski na przyszłość? Jeśli jakaś strona każe sobie instalować oddzielne oprogramowanie tylko po to, żeby można było z niej skorzystać, to coś jest nie halo. Albo to hakerzy, albo programistom nie chciało się dopieścić kodu na tyle, żeby hulał na standardowych kodekach. Czy tak czy siak, już mnie nie ma na takiej stronie. Klikam i znikam.

Nieco inna historia, niezwiązana z hakerami, ale podejmująca temat nie do końca przemyślanego działania.

Baner reklamowy firmy związanej z oprogramowaniem dla biznesu nie był porywający. Ale zaproszenie do ściągnięcia pliku, jak najbardziej. W pliku miał znaleźć się raport-przewodnik po osobistych historiach 20 małych i średnich przedsiębiorstw, które wdrożyły rzeczone oprogramowanie. W domyśle – i odniosły sukces. Głównie dzięki obniżce kosztów, co tak naprawdę nie jest żadnym sukcesem, ale jak nie można zrobić co się lubi (wzrost liczby klientów lub wzrost cen akceptowany przez klientów), to się robi co się da.

Kliknąłem więc na baner i przeszedłem na stronę firmy. Jakiś kwestionariusz i napis "Uprzejmie prosimy o poświęcenie kilku minut na wypełnienie powyższego formularza". Minut? WTF?! Ja chcę pobrać plik, a nie podawać swoje dane. Chcę się przekonać jak zyskały inne firmy na oprogramowaniu, a nie chcę dawać firmie pretekst do spamowania mnie ofertami i budowania firmie za free bazy potencjalnych klientów. Jeśli zdecyduję się na kontakt sprzedażowy, to będzie to moja decyzja, a nie reakcja na mail lub telefon sprzedawców.

Jako dziennikarz mógłbym dostać ten raport bez całej otoczki (choć 100% pewności nie mam, PR-owcy dużych firm żyją w paranoicznym świecie), ale nie o to chodzi. Chodzi o wykorzystanie zaufania. O złożenie obietnicy bez pokrycia. W gruncie rzeczy tego typu działania to zwykły phishing, tyle że przeprowadzony bez naruszenia prawa. A co z obowiązującymi zwyczajami? Z troską o klienta?

Ostatnie wydarzenia pokazują, że zwyczaje to podła sprawa, którą mało kto autentycznie się przejmuje (sposób wymiany ekipy rządzącej w Polsce, kradzieże wpisów z blogów, tryb przyznawania EXPO). Ale od dużych firm, które lansują się społeczną odpowiedzialnością (nawet jeśli nie mają oficjalnej plakietki), oczekuję wyższych standardów niż od amatorów, partaczy i dyplomatołków.

Raportu oczywiście nie ściągnąłem, nawet nie chce mi się wykorzystywać do tego kontaktów dziennikarskich. Jest przecież mnóstwo innych ciekawych informacji, które można wykorzystać i zgodnie z prawem, i zgodnie z kulturalnymi obyczajami.

Bo demokracja oznacza równanie w górę pod względem wartości, obyczajów i kultury. Tak było w starożytnej Grecji (zgodnie z książką PWN, "Zrozumieć demokrację i obywatelskość"). Tak też powinno być w XXI-wiecznej Polsce.

Na zakończenie małe wyjaśnienie a propos wstępu do felietonu. Facet w przeglądarce, łowienie ryb i własna farma to terminy związane z rodzajami ataków hakerskich na komputery. Facet w przeglądarce to "man in the browser", technika która polega na tym, że cyberprzestępca wykorzystuje imitacje witryny bankowej (finansowej) w celu pozyskania loginu i hasła, a następnie wykorzystuje je do buszowania na prawdziwym koncie swojej ofiary. Łowienie ryb to "phishing" (od "fishing"), fałszywe maile wyglądające jak korespondencja z banku, w których "bank" prosi o przesłanie hasła, bo np. nastąpiła jakaś awaria serwera. I w końcu "pharming" (od "farming") to technika, która polega na przejęciu internauty i przekierowaniu go z prawdziwej strony na stronę fałszywą, na której może oczywiście podać swoje dane, wykorzystane później w celu narobienia szkód lub sprzedaży nieuczciwym kontrahentom spamującym. Za opisy technik podziękowania dla F-Secure.

Tak więc atak na fotka.pl był połączeniem phishingu (fałszywe maile) i pharmingu (spreparowana strona www).

e-biznes.pl, 2007

Mariusz LudwińskiFacet w przeglądarce

Podziel się!

O autorze

mariusz