About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (18),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),OSINT (7),Google (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),FUD (2),neuropszichológia (2),csalás (2),kulturális evolúció (2),TOR (2),Whatsapp (2),deep web (2),nyílt forrású információszerzés (2),tweak (2),titkosítás (2),Pécs (2),facebook (2),DKIM (2),hitelesítés (2),SPF (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),bűnügy (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),génterápia (2),bulvár (2),beszélgetés rögzítése (2),pszeudo-poszt (2),gépház (2),jövő (2),nyelvtudomány (2),tartalomszolgáltatás (2),molekuláris genetika (2),bolyai-díj 2015 (2),HR (2),Tinder (2),öröklődő betegség (2),sudo (2),bug (2),könyv (2),Yandex (2),meetup (2),iOS (2),netkultúra (2),Twitter (2),tanulás (2),malware (2),social engineering (2),IDC (2),cas9 (2),biológia (2),szociálpszichológia (2),vírus (2),hírszerzés (2),farmakológia (2),epic fail (2),kutatás (2),pedofília (2),fiziológia (2)

Csalókergetőként átvertek a neten


Pontosabban csak majdnem. Ma végigfutottam a feedem, megnéztem a szaklapok és a pszeudo-szaklapok címoldalát, az egyiknél pedig megtorpantam egy kicsit. Szakasztott amerikai stílusban úgy reklámoztak csomagajánlatban egy IT-s oktatóanyagot, hogy belegondolva tényleg a tökéletes mosóporreklám korunkbeli analógjának is nevezhetném.

A lényeg: IT-területen különböző szépnevű szervezetek által kiadott, ágazatspecifikus certiket lehet szerezni sikeres vizsga letétele után, ami kábé lehetetlen, ha a vizsgához szükséges ebookokat vagy videós anyagot nem közvetlenül a vizsgáztató szervezettől veszed, ami eleve kerül valamennyibe. Minden szinten így van, függetlenül, attól, hogy "Senior Notepad Expert" vagy éppen "Certified Kódernincsdzsa Professinal" szeretne lenni. Amiről írok, csomagajánlatban volt, kicsit utánanéztem és eléggé gyorsan világossá vált, hogy miért annyira olcsó a csomagajánlat. Lényeg, hogy miután indítanak egy kurzust, utána van egy kifutási ideje, ameddig vizsgát lehet tenni belőle, ezek pedig azért eléggé közeli időpontok több kurzus esetén is ebben az esetben. Mindegy, gondoltam, ha másra nem, akkor LinkedIN-oldal cicomázásra majd jó lesz, aztán kattintottam a vásárlásra. Azért írom, hogy nagyon amerikai az egész, mert a tananyagokon kívül magáért a vizsgáért szintén vizsgadíjat kell fizetni, ami olyan 8-10-szerese a tananyag árának, de ha eléggé tempósan tanul valaki, akkor nem fut ki az időből, még akkor sem, ha több vizsgát tenne. /*az mindegy, hogy lifetime ajánlanak egy tananyagot, azaz akár egy könyv, megmarad, ha vizsgázni már nem lehet belőle sokáig, akkor gyorsnak kell lenni*/ Trükkösen ki van ez találva, nem?

Az adott lap átirányított a stackcommerce.com fizetésszolgáltatóhoz. Nos, normális ember hasonló esetben összeveti, hogy milyen nívójú lapról kattintott át, meg mondjuk több technikai tényezőt a fizetéskiszolgálóval kapcsolatban, már ha nem valamilyen nagyon ismertről, azaz például Paypal-ről van szó van szó. Ha ez megvolt, akkor meg lehet adni a bankkártyaadatokat a fizetéshez. A fizetés után pedig emailen érkezik az a link, amivel hozzáférhetünk ahhoz, amit rendeltünk.

Jelen esetben viszont egy büdös szóval nem írták előtte, hogy a tananyagok nem a patinás tanusítványkibocsátó szervezet oldalán vannak, hanem egy roppant kedves, Dél-amerikai ország domainjével végződő szájton. Belépés után olyan lassú volt az egész, mint egy reumás csiga, de legalább tényleg működik. Akkor minden klappol is, ugye? Hát annyira nem.

A lassúság mellett pokolian gyanus, ha éppen egy ilyen oldal egészen elképesztően rosszul teljesít például a Google vagy a Pingdom sebességtesztjén, ami minőségteszt is egyben.

Ha egy webhely pokolian lassú, de mondjuk nincs éppen DDoS-támadás alatt, akkor annak az okai két csoportba sorolhatóak: vagy maga a webhely lett arcpirító bénasággal összegányolva vagy az alatta lévő infrastruktúra, azaz hoszting szolgáltatónál akarta megoldani jóárasítva' az üzemeltető a dolgot. Egyik sem valami bizalomgerjesztő, jelen esetben a kezdőlap értelmetlenül nagy, több, mint több MB-s mérete lassítja meg a nyitólapot.

Ez eddig még mindig nem lenne annyira paráztató, hiszen naivan gondolhatjuk, hogy hejj, majd helyreteszi a webmester. Ami viszont már roppant gyanus, ha egy vagy több domainbróker oldalon az oldal domainjét eladásra kínálják! Ha valakinek nincs meg, a domainbrókeri tevékenység aztán tényleg a netes kereskedés mocska. Alapesetben arról szól, hogy valaki lefoglal egy domain nevet, amiről feltételezi, az majd kelleni fog előbb-utóbb egy azonos nevű szervezetnek, ilyenkor pedig a józan ész szerint névhasználatra jogosult szervezetnek nem a regisztrátornál kell fizetnie, hanem a domain tulajdonosánál, kitaláltad - annyit, amennyit az kér érte. Ezen a Wikipedia-linken lehet rajta szörnyülködni, hogy mik voltak a net történetének a legdrágábban visszavásárolt domainnevei.

Lényeg, hogy ha kihúzzák egy webhely alól a nevét, akkor aztán nem lesz nagyon hova kattintgatni, ez eléggé világos. Meg az is, hogy nem szoktak viccből vagy véletlenül eladásra meghirdetni egy domain nevet, ahhoz általában az eladónak valamelyik tetű domainbróker szolgáltatónak kell fizetni, mint amilyen a SeDo.

Persze, vannak oldalak, amik a címoldalon hirdetik, hogy valójában eladó az alattuk lévő domain, ennek a típusú internetes csalásnak egy sokkal gyakoribb formája, hogy az oldalon tényleg van valamilyen tartalom vagy szolgáltatás, amíg nem jön valaki, aki olyan árat kínál az adott névért, amennyiért a domain tulajdonosa már a fél családját is eladná kilóra...

Azaz lényegi szempontból nem vertek át _még_ mivel tényleg tudom használni, amiért fizettem, igaz, igencsak fapados módon, de lényeg, hogy még elérhető tartalomról van szó. De éppenséggel megtörténhetett volna az is, hogy teljesen más vagy elévült tartalmakhoz kapok hozzáférést, a fizetést követően pedig istenigazából senki sem hibáztatható, ha valamelyik játékos mégis, akkor az az idióta IT biztonsági szakportál, amelyik anélkül ajánlotta az egészet külön cikkben, hogy egyáltalán egyvalaki kipróbálta volna.

Közhelyes, de az internetes csalások egyidősek az internettel, aztán van, aki veszélyeztetettebb és van, aki kevésbé, a fraud preventionre pedig ugyancsak teljes üzletág épült. Egy kicsit át lettem verve, de tényleg olyan bagó összeget fizettem netes vásárláshoz használt kártyával, amitől azért éhen halni nem fogok. Ja, ha már szóba hoztam az internetes csalásokat, azok felderítését, na, ezzel is fogok foglalkozni a legközelebbi, ebben a formában legelső, neten is követhető kurzusomon, ami persze nem csak a csalókergetők számára lehet érdekes, hanem mindenkinek, aki szeretne a neten és az offline térben sokkal gyorsabban információt kinyerni, összefüggéseket feltárni a versenytársaihoz képest. A kurzus egyébként utólag is visszanézhető videón, kérdezni pedig lehet minden mennyiségben közben és utána is. A terjedelme beugró szintű, de a nívója annál komolyabb, jelentkezni erre lehet. #gyertekjólesz

fotó innen: Techsherpas, ITnext, Hostingtalk

0 Tovább

Telefonos átverés epic fail + gondolatébresztő


Nem írom, hogy a Magyarországon és úgy általában az EU-ban érvényes információs önrendelkezésről szóló és hozzá kapcsolódó jogi szabályozás túl van tolva. Inkább: el van tolva.  
 
Mindenek előtt hallgassuk meg ezt a nem túl lírai végűre sikerült telefonos átverési kísérlet felvételét, ami néhány nappal ezelőtt került fel a netre:  
 

Egy dolog, hogy a hívás körülbelüli ideje és a hívott szám alapján seperc alatt vissza lehetne keresni a hívót, akitől alighanem hordott már a hátán trükkösebb csalót is a föld, mindehhez a gyakorlatban olyan adminisztráció szükséges a nyomozó hatóságok részéről, hogy amíg meg is találnák a tettest, átverések százait tudná megcsinálni, amivel kapcsolatban ha a sértettek nem tesznek feljelentést, olyanok, mintha meg sem történtek volna.  

Egy korábbi posztomba írtam róla, hogy az információs önrendelkezésről szóló törvény egyik lényegi eleme az, hogy felismerhető fotó csak olyanról készíthető, tárolható, sátöbbi, aki ehhez kimondottan hozzájárult, ugyanakkor mégis Dunát lehetne rekeszteni az olyan típusú visszaélésekkel, amikor valakiről olyan kép készül és kerül ki a netre, amiből hátránya származik, ennek ellenére nincs olyan őrült törvényhozó, amelyik kitalálná, hogy ezek megakadályozása érdekében tiltsák be a kamerák mobiltelefonokba való építését. Bezzeg a hangfelvétel! Na az aztán ördögtől származó dolog ám! Az egyre nagyobb elterjedtséggel rendelkező Windows Phone-os, iOS-es mobilokban, ahogyan a mobilplatformok többségében is, alapértelmezés szerint nem indítható el a hangrögzítés, azaz a telefonbeszélgetés rögzítése telefonhívás közben, mivel tombol a para azzal kapcsolatban, hogy mi lenne, ha halomra venné fel mindenki a beszélgetéseket, aztán esetleg előhúznák emiatt azt, aki a mobil oprendszerének törvényi megfelelőségéért felelős*.  
 
Holott ha egyszerűen telepíthető lenne olyan háttérben futó alkalmazás, ami egész egyszerűen felveszi a beszélgetéseket, titkosítja például azzal a szervizkulccsal, amit a szolgáltatók használnak a mobil függetlenítéséhez a felhasználók kérése esetén, minden további nélkül meg lehetne csinálni, hogy hasonló csalás esetén az érintett csak feljelentést tegyen, a rendőrség a szolgáltatótól kikért szervízkulccsal lekérje a beszélgetést akár úgy, hogy a feljelentő a rendőrségen átadja a mobilt az adott adatterület lemásolásának idejére vagy éppen on the air, a feljelentés után feltöltődjön a beszélgetés a hatóságokhoz, olyan visszatartó ereje lenne a telefonos csalásokkal szemben, mint annak, hogy a bűnözők nem igazán lopnak több okosmobilt, mióta tudják, hogy azok követhetőek.  Azért, hogy túl sok titkosított beszélgetés ne foglalja a helyet, a beszélgetések ésszerű időközönként felülíródnának a mobilon. 
 
Ha ezt a posztot most egy törvényhozó vagy rendfenntartó szerv tagja olvassa, esetleg csóválja a fejét, hogy azért nem úgy megy ez, mindennek a kialakítása nem kis pénzbe kerülne. Valóban nem. Viszont teljesen biztos, hogy kevesebbe, mint amekkora kárt okoznak telefonos átverésekkel, amit pedig még egyszer kiemelnék, a lépés preventív jellege, míg a magánszférát nem veszélyeztetné aránytalan mértékben, hiszen például Magyarországon a telefonbeszélgetések lehallgatása egyébként is bírói vagy ügyészségi engedélyhez kötött - és ott még nem is közlik az érintettel. A jelenlegi szabályozás - na meg az én tudásom - szerint ami a legszebb az egészben, hogy ha el is kapnak egy telefonos csalót rögzített beszélgetés alapján, aki mondjuk milliós tétellel károsított meg több idős embert, a nyomozati szakaszban ugyan bizonyíték egy ilyen telefonbeszélgetés, a bírósági szakaszban nem használható fel hangfelvétel bizonyítékként akkor, ha a másik fél nem tudott róla, hogy a beszélgetést rögzítik!  
 
*Az Android ezt remekül kijátszotta, igaz, nem ingyenes, de tényleg néhány garasért vehető olyan app, amelyik jó minőségben rögzíti a beszélgetéseket teljesen automatikusan. Ha olyan mobilod van, amire nem telepíthető egyszerűen beszélgetést rögzítő szoftver, de szeretnél felvenni egy-egy beszélgetést valami miatt, semmi másra nincs szükség, csak egy Jack-típusú kábelre, egy Y-elosztóra, a headsetedre és egy diktafonra, amiről egy magyarázó leírást ábrával együtt ebben a posztban találsz. Ismét megjegyzem, ha felveszel egy telefonbeszélgetést, de nem jelzed a hívónak, hogy a beszélgetést rögzíted, törvényt sérthetsz vele.  

0 Tovább