 |
|
Заметка о коммерческих веб-сайтах
Возможно, вы знаете людей, вынужденных покупать товары он-лайн, даже у таких брендовых компаний, как Amazon и eBay или веб-сайтах Old Navy, Target или Nike. По сути дела, они имеют право быть подозрительными. Если ваш браузер использует сегодняшний стандарт 128 битного шифрования, то информация, которую вы посылаете какому-нибудь защищенному сайту, выходит из вашего компьютера зашифрованной. Эта информация может быть расшифрована с большим трудом, но, в принципе ее невозможно взломать в разумные сроки, кроме, разве что привлечения Национального Агентства Безопасности (и оно, насколько нам известно, в 98 году, совсем не показало своей заинтересованности в краже номеров кредиток американцев или попытке выяснить, кто заказывает порно-фильмы или странное нижнее белье).
Эти зашифрованные файлы могут быть вскрыты кем-то лишь при достаточном наличии времени и ресурсов. Но реально, какой дурак пойдет на все это, чтобы украсть один номер кредитки, когда множество онлайн компаний совершают ошибку, храня всю финансовую информацию их клиентов незашифрованной в базах данных? Хуже всего то, что достаточное количество таких компаний, которые используют обычную базу данных SQL, плохо разбираются в проблеме. Они никогда не меняют стоящий по умолчанию пароль системного администратора в программе. Когда они доставали программное обеспечение из коробки, пароль был «null», и он по-прежнему «null» сегодня. Так что содержимое базы данных доступно любому в Интернете, кто решит попробовать подсоединиться к серверу базы данных. Эти сайты все время атакуются, и информация воруется, так как нет никого более опытного.
С другой стороны, те же самые люди, которые не делают покупки через Интернет, потому что боятся кражи информации о своей кредитке, не имеют проблем при использовании той же кредитки в обыкновенном магазине, уплате за ланч, ужин или выпивку. Чеки о снятии денег с кредитки крадутся из этих мест постоянно или вылавливаются из мусорных корзин на задней аллее. И любой недобросовестный клерк или официант может записать ваше имя и информацию о карте или использовать приспособление, легко доступное в Интернете, или устройство, которое считывает информацию с любой кредитки, как только ей проведут через него, для дальнейшего восстановления.
Существуют несколько опасностей в совершении покупок он-лайн, но, возможно, это так же безопасно, как и в обычных магазинах. И компании, обслуживающие кредитки, предоставляют вам ту же защиту, когда вы пользуетесь своей картой он-лайн, если было совершено незаконное снятие денег с вашего счета, вы несете ответственность только за первые 50$.Так что, по-моему, страх покупок в Интернете – это еще одно необоснованное беспокойство.
Эдгар не заметил некоторых особенных знаков, которые были неправильны в этом письме (например, точка с запятой после поздравительной строки и опечатку «дорогим клиентам сервис отличный сервис»). Он щелкнул по ссылке, заполнил информационный запрос – имя, адрес, номер телефона, информацию о кредитке – и сел ждать, когда же 5$ поступят на его счет. Но вместо того, начал появляться список расходов на товары, которые он никогда не заказывал.
Анализ обмана
Эдгар попался на довольно банальный в Интернете трюк. Это трюк, который можно использовать довольно разнообразно. Один из видов (описан в Главе 9) включает в себя макет формы авторизации, созданный взломщиком, и идентичный настоящему. Разница заключается в том, что фальшивая форма не дает доступа к системе, до которой пользователь пытается добраться, а кроме этого, отправляет его логин и пароль хакеру.
Эдгар попался на трюк, в котором обманщики зарегистрировали веб-сайт с именем «paypal-secure.com» – который звучит так, будто бы это защищенная страница законного PayPal сайта, но это не так. Когда он ввел информацию на том сайте, взломщики получили то, что хотели.