Nie, nie jest to pomyłka, Amazon w odpowiedzi na pytanie o bezpieczeństwo takich transakcji odpowiada z rozbrajającą szczerością:

Our ordering system is not set up to accept the credit card validation (CVV2) security code associated with credit cards. I hope this will not prevent you from completing your order on Amazon.co.uk. If your bank requires that the CVV2 code be submitted for online purchases, you will need to use a different credit card or payment method.

Czyli w bardzo swobodnym tłumaczeniu: to nie nasz problem synku, to twoja wina, że chcesz być bardziej zabezpieczony przed kradzieżą własnych pieniędzy lub nieautoryzowanym użyciem twojej karty. Jeśli twój bank wymaga podawania kodu CVV2 przy zakupach on-line, to… musisz zmienić bank (lub przynajmniej użyć innej karty)!

Biorąc pod uwagę rozmiar Amazon.com i ilość transkcji dokonywanych każdego dnia, można się aż za głowę chwycić, skąd taka piramidalna ignorancja. Dla średniej klasy socjotechnika zdobycie numeru karty, nazwiska jej właściciela i terminu ważności np. przez telefon to dziecinna igraszka! Nie musi nawet oglądać owej karty na oczy. O ile zdecydowana większość użytkowników poczuje przynajmniej wątpliwości, jeśli ktoś poprosi ich o podanie kodu CVV2, o tyle zdobycie tych informacji, które są wymagane w Amazon.com do autoryzacji transakcji płatniczej to socjotechniczne przedszkole!

Podejście Amazon.com w tej materii po prostu przeraża i brakuje słów, by je skomentować!

Wydawać by się mogło do tej pory, że tak żenująca forma reklamowania się jest domeną stron internetowych o niskiej jakości i wątpliwej pozycji w sieci. Dostępna tylko w mało znanych, niepewnych systemach reklamowych. Okazuje się jednak, że taką formę reklamy dopuszczają na swoje strony nawet firmy takiego formatu jako Orange.

Na stronie bramki SMS dało się zauważyć dziś taką właśnie reklamę:

Orange wspiera spammerów!

Ponieważ — jak zostało powiedziane — tego rodzaju reklamy są oszustwem i służą jedynie gromadzeniu adresów e-mail, na które następnie w ilościach hurtowych są rozsyłane reklamy, można śmiało stwierdzić, że portal Orange wspiera spammerów i oszustów. Piękny element budowania marki!

Prezentowana reklama prowadzi do strony w domenie najszybszy-wygrywa.pl, znanej z tego rodzaju praktyk. Co ciekawe, przechodząc na stronę główną tego serwisu i klikając kilka razy Odśwież w przeglądarce, można zobaczyć w sumie kilkanaście komunikatów o unikalnej szansie wygrania nagrody (albo bezpowrotnym utraceniu takiej szansy, przy zamykaniu okna lub przechodzeniu na inną stronę).

Za każdym razem komunikat jest ten sam. Znowu jesteś ten  jeden, jedyny. Znowu masz hiper-szczęście.

Znowu otrzymałeś niepowtarzalną okazję sprzedania swojego spokoju i adresu e-mail być może do tej pory wolnego od reklam w zamian za nieistniejącą nagrodę. Zmieniają się tylko cyferki, czyli godzina o której użytkownik stronę odwiedził (tudzież odświeżył). Ta super szczęśliwa godzina…

P.S.: Wpis znalazł się również w kategorii Kradzież tożsamości, bo w niej będą umieszczane artykuły na temat SPAMu, który według wielu jest formą kradzieży tożsamości.

Orange: Ostrzeżenie o próbie wyłudzenia informacji

Technika phising, którą stosują autorzy ataku socjoinformatycznego przed którym Orange ostrzega, ma już wiele lat historii i wydawać by się mogło, że nie ma już dość naiwnych, którzy nabiorą się na tak proste oszustwo. Powtarzające się jednak ciągle tego rodzaju ataki oraz próby ostrzegania przed nimi świadczą jednak o tym, że jest inaczej.

Uwaga! Ten profil jest MARTWY! Trzymam go jedynie, żeby nikt się pode mnie nie podszył. Nie korzystam z NK, nie sprawdzam poczty. Moi prawdziwi znajomi znają mój e-mail lub telefon i kontaktują się ze mną w ten sposób!

Dość interesujące podejście do tematu socjoinformatyki, kradzieży tożsamości i ochrony własnej prywatności. Co o tym sądzicie?

Poczta Polska promuje kradzież tożsamości! :)

Na plakacie ładna blondynka, a w ręku trzyma dowód osobisty mężczyzny! Co prawda, jakość fotografii jest słaba, ale kto był niedawno w jakiejkolwiek placówce Poczty Polskiej i widział reklamę Kredytu Raz Dwa, ten wie, o co chodzi! :)

Okazało się, że w nowym programie dostępu do konta broni nie sprawdzone od lat hasło, ale… data urodzenia i kod pocztowy! Matko Boska, co za debil wpadł na tak kretyński pomysł?

Pragniemy przypomnieć, że:

1. Z punktu widzenia socjotechniki i socjoinformatyki, zdobycie takich danych, jak data urodzenia lub kod pocztowy ofiary nie przedstawia dla atakującego socjotechnika żadnych problemów! Przecież to jedne z najbardziej podstawowych danych. Zdobycie numeru karty Payback również nie przedstawia większego problemu dla doświadczonego cyberprzestępcy. Tym samym nawet dla średnio wprawionego w kradzieży tożsamości konto w nowym programie Payback jego potencjalnej ofiary stoi otworem!
2. Dane takie, jak kod pocztowy i data urodzenia raczej nie ulegają zmianie (pierwszy rzadko, drugi – nigdy!). Z tego wniosek, że klient nowego programu Payback nie tylko chroni swoje konto łatwymi do zdobycia danymi, ale praktycznie nie ma możliwości ich zmiany (jak w przypadku hasła, które można zmieniać dowolnie) – bo jedyną opcją pozostaje mu podanie fałszywych danych. Co jest – oczywiście! – niezgodne z regulaminem i obowiązującym w Polsce prawem!

Tak piramidalnej, z punktu widzenia bezpieczeństwa komputerowego, głupoty nie da się nawet logicznie skomentować. Brawa dla nowego właściciela programu Payback, za to, że (zapewne za ciężkie pieniądze) zatrudnia specjalistów od bezpieczeństwa, takich, jak z koziej dupy trąba!

Jeśli chodzi ogólnie o kwestię bezpieczeństwa, to wystarczy zadzwonić na infolinię Payback. Po podaniu numeru karty w programie, konsultantka sama podaje dzwoniącemu kod pocztowy i datę urodzenia! Udowodnione na przeprowadzonym eksperymencie! Pani po drugiej stronie kabla telefonicznego nie poprosiła o podanie tych danych przez dzwoniącego  (jak robią praktycznie wszystkie biura obsługi klienta), tylko sama je przedyktowała. Wystarczyło jedynie dwukrotnie potwierdzić je przez lakoniczne „mhm, tak”! Dokładnie tak samo mógłby zrobić ktoś podszywający się pode mnie! Wygląda więc na to, że aby dostać się do konta Payback wystarczy znać tylko numer karty i nic więcej! Resztę danych niezbędnych do zalogowania się podadzą usłużne panie w BOK! Ratunku!

Trochę za dużo tych błędów, jak na z hukiem ogłaszany nowy program lojalnościowy i trochę zbyt ciężkiego kalibru one są. Chcieliśmy poprosić nowego właściciela programu Payback o komentarz do powyższego wpisu. Niestety, próba wysłania e-maila przez formularz kontaktowy zakończyła się błędem. List wrócił jako niedostarczony. Bez komentarza…

Aktualizacja z 27 października 2009 r.

Po czterdziestu dniach od wysłania e-maila, o którym mowa w poprzednim akapicie, okazało się, że mimo, iż serwer pocztowy wygenerował błąd – wiadomość do Payback jednak została dostarczona. Otrzymaliśmy odpowiedź / komentarz do powyższego wpisu:

Dziękujemy za cenne uwagi dotyczące ochrony danych osobowych. Jesteśmy przekonani, iż zaproponowany przez nas model zabezpieczeń jest optymalny ponieważ sprawdził się również w innych krajach. W przypadku wykrycia jakichkolwiek nadużyć rozważymy nowy model zabezpieczeń.

Cóż… tym razem wszelkie ewentualne komentarze pozostawiamy czytającym!