Dziś jest poniedziałek, 13 października 2008 roku (z kalendarza...)

Naiwność nie popłaca

Icon

17.12.2007, 23:42

Galeria głupców

Komentarze (5)

Powrót

Media zaczęły szeroko rozpisywać się o "spektakularnym oszustwie", które miało miejsce w weekend w serwisie aukcyjnym Allegro, którego głównym trzonem była naiwność użytkowników. Dla niezorientowanych przypomnę - oszust (oszuści?) podszył się pod jednego z operatorów komórkowych, zamieszczając ogłoszenie o pracy i informując, że oferta przeznaczona jest dla doświadczonych użytkowników Allegro. Tych, którzy przysłali aplikację, proszono o podanie loginu i hasła do konta, które wykorzystano do wystawienia aukcji nieistniejących telewizorów LCD za kilkaset złotych, wcześniej zmieniając numery kont bankowych.

Jak się okazuje, stare i ograne do bólu metody wciąż są najskuteczniejsze. Nieważne, ile się mówi wokół o ochronie swoich danych. Z relacji poszkodowanych wynika, że czynnikiem decydującym było tu obdarzenie oszusta bądź też samego Allegro nieuzasadnionym zaufaniem (taki potężny serwis na pewno nie zezwoliłby na takie ogłoszenie, gdyby miał co do niego jakieś obawy). Osoby zajmujące się tworzeniem oprogramowania dla serwisów internetowych mogą śmiać się z tego typu naiwności - w końcu administratorom hasła użytkowników są potrzebne, jak piernik wiatrakowi. Po pierwsze, gdyby im się z jakiegoś powodu chciało uzyskać dostęp, wystarczy, że sobie zapamiętają gdzieś hash z bazy danych, zmienią hasło i po skończonej robocie przywrócą stary hash. Po drugie, po to są panele administracyjne, by można było uzyskać wszystkie potrzebne dane użytkownika bez konieczności podawania jego hasła. Banki internetowe na każdym kroku podkreślają, że ich pracownicy nigdy nie będą pytali o poufne dane właśnie z tego powodu - po diabła im one. Może dobrym pomysłem byłoby wykonanie i rozpowszechnienie w sieci filmu pokazującego, ile narzędzi ma administrator do sprawdzenia danych użytkownika, aby ludzie zrozumieli, że prośby "pracowników" o podanie danych dostępu są bezpodstawne?

Jednak myślę, że problem do końca nie leży w samym niezrozumieniu istoty działania mechanizmów zabezpieczeń. Osobną sprawą jest ludzka psychika. Pod wpływem jakichś bodźców człowiek przestaje myśleć racjonalnie i zaczyna chwytać okazję. Nawet jeżeli pozornie zweryfikuje sytuację, jest tak podekscytowany, że zapomina o paru ważnych szczegółach. Stan ten nie jest obcy wielu ludziom, tyle że w większości przypadków dotyczy rzeczy na tyle błahych, że szybko przechodzimy nad tym do porządku dziennego. Podam tu przykład rozmowy, której byłem świadkiem kilkanaście miesięcy temu na obozie naukowym. Rzecz działa się w czasie wolnym, w sali było kilka grupek, które zajmowały się swoimi sprawami. Nagle odzywa się komórka - jednej z dziewczyn przyszedł SMS.

- Słuchajcie, tutaj piszą, że jakieś dziecko potrzebuje pomocy w sfinansowaniu operacji, za każdą rozesłaną wiadomość jest dodatkowy grosz.
- Ojej, to czekaj, pokaż... komu by to wysłać, kto na pewno roześle...
Kurde, znowu ten debilny łańcuszek leci, pomyślałem. Posłuchałem jeszcze chwilkę tych humanitarnych wynurzeń i w końcu zapytałem:
- Ej, a w jaki sposób oni zweryfikują, kto tę wiadomość wysłał? Przecież zmienicie sobie parę znaków, na przykład wywalicie kropki i przecinki lub zastąpicie jedno słowo synonimem i już się komputer wywali, a człowiekowi raczej by się tylu SMS-ów nie chciało sprawdzać.
- Ty, no faktycznie! Skąd oni mają wiedzieć, czy ja to wysłałam?

Debilny łańcuszek, a mechanizm działania dokładnie taki sam. Przypomnę, że to byli uczestnicy obozu naukowego, w dodatku matematycznego. Od nich z założenia wymaga się umiejętności logicznego rozumowania. Zamiast podanego, mogłem rzucić jeszcze pięć innych powodów, które dobitnie pokazywały, że ten łańcuszek do mistyfikacja i w dodatku w ogóle nie wymagały nawet odwoływania się do sfer informatyki. Mogłem powiedzieć, skąd ten jeden grosik pochodzi, skoro w SMS-ie nie ma nic o żadnym reklamodawcy? Te osoby miały wszystko, by dojść do identycznych wniosków samodzielnie, jednak nie zrobiły tego, kierując się emocjami i współczuciem.

Wnioski do podsumowania są lekko przerażające. Z praktycznego punktu widzenia, najlepiej byłoby, gdybyśmy zapomnieli o emocjach i podejmowali każdą decyzję niejako z perspektywy trzeciej osoby. Jednocześnie w ten sam sposób wyrobilibyśmy sobie opinię nieczułych drani. Nie wszystkie wybory są takie proste, by każdy mógł sobie do nich podejść od tak, analitycznie, bez żadnych konsekwencji. To tłumienie prawdopodobnie ustrzegłoby nas przed wieloma oszustami na niejednej aukcji, ale w końcu wybuchłoby dość mocno. Lepiej więc chyba poszukać złotego środka i po prostu pilnować się, nie tylko od strony naszych wiadomości, ale także stanu ducha.

Powrót

Przypisy:

Komentarze

Napisał Komentator newsa w wtorek, 18 grudnia 2007 o 00:33

Przydałby się filmik na ten temat, ale w TV, choć szans na jego pojawienie się tam pewnie nie będzie wielkich (redaktorzy wolą zajmować się innymi sprawami). W YouTube i w innych serwisach również należałoby go rozpowszechnić. :) Mógłbym pomóc w stworzeniu tej prezentacji na przykładach, ale najwcześniej dopiero w przerwie świątecznej.

Czy ktoś jeszcze jest chętny?

Napisał Unit03 w wtorek, 18 grudnia 2007 o 00:45

1.Filmik musiałby być po pierwsze sugestywny (krąży taki dot. szukajek na forach ;) ), a po drugie zrozumiały dla przeciętnego ZU... I musiałby mieć solidne "podstawy" jeżeli chodzi o jego promowanie. O socjotechnice można na pewno napisać książki, ale dopóki się komuś łopatologicznie nie wytłumaczy... a i to czasem nie wystarcza. Widać tu jednak pole dla jakiejś większej akcji... (stronka treściwa, a nie rozwlekła, z reklamą w popularnych serwisach) może warto?

2.Imho analitycznie myślenie nie wyklucza udziału emocji... może można nawet zakwalifikować jako "emocję" dążenie do zachowania własnego bezpieczeństwa, jakim raczej bezspornie jest nie-rozdawanie kluczy do mieszkania... ehm, haseł obcym osobom.

Napisał Nowaker w wtorek, 18 grudnia 2007 o 00:51

Odnośnie łańcuszków. Czasami "dobra woli" ludzi przewyższa zdrowy rozsądek... Chociaż z drugiej strony, skąd prości ludzie mają wiedzieć, w jaki sposób działa sieć GSM? To, że my się znamy na technologiach i wiemy, że identyfikacja takiego SMS-a możliwa nie jest, nie oznacza, że inni to wiedzą i rozumieją.

Tak samo z e-mailami przesyłanymi dalej - my wiemy, że mail z domeny zyxist.com do nowaker.net nie ma szansy przejść przez serwer organizacji X, która będzie zliczać te maile. Zwykli użytkownicy Internetu nie wiedzą co to serwer, itd.

Zamiast nabijać się i denerwować z powodu głupich łańcuszków, trzeba by ludzi edukować...

Napisał Komentator newsa w wtorek, 18 grudnia 2007 o 16:33

Akcja na temat wyłudzeń danych osobowych i łańcuszków (a najlepiej zagrożeń bezpieczeństwa w sieci Internet). Czy brak wiedzy jest jedynym powodem krążenia "charytatywnych" łańcuszków na masową skalę?

"Jeśli nie prześlesz tej wiadomości (...)"
Łagodne zakończenia straszą zawodem miłosnym. Inne , wmawiające użytkownikowi bezduszność - j.w. Najbardziej drastyczne mówią o nieszczęściach. Niestety, polskie społeczeństwo wierzy we wróżby i przesądy.

"Roześlij wiadomość do X osób (...)"
Znów wróżby i ciekawość... Rozsyłanie łańcuszków może być też formą zabawy - tę kwestię pomińmy.

Rozsyłanie łańcuszków w celach charytatywnych przy pomocy poczty e-mail lub komunikatora nie ma nawet podstaw. To trzeba ludziom uświadomić. Co innego, gdyby jeszcze były podane informacje o tym, jak pomóc potrzebującemu. Do tego też może dojść, ale z linkiem prowadzącym do strony z trojanami lub kontem oszusta.

Napisał eXtreme w wtorek, 18 grudnia 2007 o 18:14

Hmm oj widać, że opierałeś się tu na ogólnikowych informacjach z tvn24 (i mediów). Ja sam rano w niedzielę widziałem kilka aukcji nim jeszcze zablokowano konta - cóż.. oczywiście przy zdrowych zmysłach kupić bym nie kupił, ale okres przedświąteczny, ludzie łapią się każdej okazji.. Poza tym widziałem kilka aukcji i wszystkie miały ten sam styl (a sprzedawano nie tylko lcdeki ale np. notebooki i telefony) więc łatwo było wywnioskować, że to przekręt.

A dalej: oszuści podszywali się pod Orange, a konkretniej wykorzystali to, że posiadając numer w orange można sobie założyć dowolną skrzynkę w domenie @orange.pl - oni zrobili sobie buiro.handlowe@orange.pl - i wygląda to ładnie i składnie, jeśli ktoś nie wie o tej rejestracji. I nie chodzi tu, że serwis z ogłoszeniami nie dopilnował.. kto to ma niby kontrolować setki, tysiące ogłoszeń? Równie dobrze faktycznie mogłoby być to prawdziwe Orange, choć też to mało prawdopodobne. Ludzie ci dostawali odpowiedź, ładnie upozorowaną na Orange, z kontaktem z biuro.handlowe@orange.pl, że ich sprawa została pozytywnie rozpatrzona i mają podać swój login na allegro. Dodatkowo niezwłocznie mają podać doń hasło by "informatyk Orange" mógł zweryfikować konto.. no cóż.. tu już fakt faktem - głupota, żeby podawać. Poczytaj sobie to:
http://www.aukcje.org/archives/2007/12/17/niedzielny-przekret-na-allegro.htm

Strona 1 z 1 :: 1

Skomentuj

NickInformacja
E-mailTylko do użytku wewnętrznego.
WWWNie zapomnij o http://
LayoutNapisz tu, czy widzisz dzienny czy nocny layout.
WpisFormatowanie wiki
Internauto, pamiętaj! Wolność to nie samowola - dbaj o kulturę wypowiedzi oraz dyskusji w sieci.

Na Zyxist.com panuje swoboda wyrażania opinii oraz krytyki pod dowolnym adresem. Jedyny warunek: musi być ona kulturalna i rzeczowa. Na chamstwo, prostactwo lub jawne obrażanie kogokolwiek nie ma tu miejsca i takie komentarze są bardzo szybko usuwane. Jeśli zamierzasz polemizować z treścią wpisu, wpierw uważnie ją przeczytaj.

© Tomasz "Zyx" Jędrzejewski 2005 - 2008 | Wykonanych zapytań: 2 | Serwer wirtualny zapewnia