Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

A tartalombarkácsolás sikere vagy bukása a blogszférában


Szinte mellékes, hogy eredetileg mi az ember hivatása, ha jön egy grafomán roham, a blogolás kitűnő eszköz ennek kiélésére. Ellentétben a 10-15 évvel ezelőtti állapothoz, ma már nem kell tudni saját blogmotort fejleszteni, sőt, általában a HTML/CSS-kódot szerkeszteni sem, mivel jobbnál jobb platformok állnak rendelkezésre. Ami viszont nagyon fontos, hogy egy blog sikere vagy sikertelensége sokkal inkább függ a tartalomtól, mint attól, hogy a blogszolgáltató milyen pöpec dashboardot és extra funkciókat biztosít hozzá, na meg betartjuk-e a hobbi-tartalombarkácsolás játékszabályait.

Úgy fogalmaztam, hogy "tartalomtól" és szándékosan nem úgy, hogy a "tartalom nívójától". Ugyanis vannak blogplatformok, ahol azt látom, hogy a contentless szar folyik napi terabájtos dózisban, de mégis sikeres a maga módján, mert lévén, hogy könnyen érthető, nagyon széles közösséghez eljut, fogyassza egészséggel, akinek kell, de az ilyen oldalak számoljanak azzal, hogy a trónról bármikor lerúghatja őket egy másik gyökér oldal.

Ha már a nívóról van szó, ha nem bulvárszennyben utazunk, egy írás legyen annyira jó, amilyet csak ki tud facsarni magából a blogger, viszont figyelembe kell venni, hogy a platformok többségén az olvasók nincsenek annyira képben egy-egy témával kapcsolatban, mint a poszt szerzője, ezért elkerülhetetlen, hogy itt-ott egyszerűsítéseket kelljen alkalmazni, de úgy, hogy az a lehető legkevésbé menjen a szakmaiság, precizitás rovására. Ez a jelenség azóta létezhet, hogy megjelentek az első kézikönyvek, jórészt összefűzött papírusztekercsek formájában, de legalábbis eléggé régen.

Ne pénzért írjunk blogot vagy gyártsunk bármilyen tartalmat! Legalábbis ne azért kezdjünk hozzá. Ezen a ponton feltételezem, hogy a blogok, közösségi tartalmak és a klasszikus értelembe vett hírportálok évek óta egyre inkább egy műfajjá látszanak összeolvadni. Több hatalmas, nagy forgalmú webes birodalmat és blogot láttam, amit az alapítója saját szórakoztatására kezdett írni, majd egyszerűen megtetszett másoknak, amit írt, és visszatérő látogatókká váltak. Szóval just dance! Ugyanakkor láthattuk látványos kudarcokat is, hogy-hogynem mindig akkor, amikor valaki azért fogott egy webes vállalkozásba, mert gyorsan akart eszelősen nagy profitra szert tenni. A magyar web történetének egyik leglátványosabb buktája a zoom.hu volt, amit nem titkoltan azzal a céllal alapítottak 1,5-2 milliárd forint alaptőkével, hogy a két legnagyobb hazai hírportál versenytársa legyen. Hiába volt például a videós részlegnek saját stúdiója, meg gyakorlatilag minden, ami egy professzionális szerkesztőség és hírportál működtetéséhez kellhet, az egész nem élte meg még az egy éves kort sem. Logikailag ide kapcsolódik, hogy személyes blog esetén ne kimondottan azért írjunk, hogy minél több olvasónk legyen vagy azért, hogy hűdemindenképpen címoldalon legyen a posztunk.

Ugyanakkor az anyagilag szinte nulláról, viszont professzionális csapattal induló és szerkesztőségként máig egy budai lakást használó 444.hu látványos sikere szintén példa nélküli. A titok alighanem, hogy a szerkesztők egyrészt profik, másrészt hittek benne.

Egyik hobbim, hogy új webes szolgáltatásokat, ilyen módon blogszolgáltatókat próbálok ki, persze többségüknél csak azt nézem, hogy mit tud technikailag és más téren milyen erős. Viszont a legnagyobb blogos platformokon ott vagyok, oké, van, ahol időhiány miatt csak a szellemem :) Szóval ez alapján azt tudom mondani, hogy téves megközelíteni a dolgot úgy, hogy az egyik blogszolgáltató jobb, a másik pedig rosszabb. Egyrészt már csak azért is, mert más-más platformokat más-más koncepció mentén találtak ki, majd folytattak, így például a Tumblr mikroblog-szolgáltatás ugyan, semmi akadálya annak, hogy klasszikus blogként használjuk, de mégsem használják sokan annak, mert az ottani felhasználói tábor mikroblog-tartalmakra számít, ha fellép, így ha azt szeretnénk, hogy olvassanak is, egyszerűen nem szerencsés a Tumblin terjedelmes írományokkal dobbantani. Hasonlóan ahhoz, hogy a Yahoo képmegosztó szolgáltatása, a Flickr és a jól ismert Instagram elvben, technikailag egyaránt alkalmas arra, hogy komoly témájú, mély értelmű, dög nagy fotókat illetve apró, bénán effekt-szteroidozott szelfiket toljunk fel rá, mégis, ha az instás közösség a könnyedebb tartalmat csipázza, persze, hogy ott olyan tartalommal lehet felfutni, míg a Flickr-en a mélyebb jelentésű képekkel.

Az előzőhöz kapcsolódik, hogy egy tartalomszolgáltatás profilja illetve annak módja, ahogy a célközönséget eléri, amilyen aktivitást mutatnak rajta a látogatók, menet közben is változhat, sokszor messze nem világos okok miatt. Konkrét példaként emlegetném az Index-Inda-Bloghu-sztorit: amíg az index.hu a korábbi dizájnnal működött, a jobb oldali blogboxban voltak a index szerkesztői által beválogatott posztok, ahova bekerülni dicsőség volt, nagyon sok látogatót hozott és az egykori Indanet rendszer arra is lehetőséget kínált, hogy egy teljesen új blogot a blogger megpromózhasson. Másrészt még egy-egy gyengébb, ámde címlapos poszthoz is érkezett 10-30 komment, de a valóságos kommentáradat sem volt ritka. Indexkénél az Index/Index2 felosztás bevezetésével a közösségi tartalom háttérbe szorulni látszik, elvégre nem kell nagy webergonómia-szakinak lenni, hogy megállapítsuk: az olvasó sokkal ritkábban kattint rovatcímekre, oldalsávokra, meg úgy egyáltalán bármire, ami nincs szinte közvetlenül az orra előtt egy frappáns, konkrét címmel és snippettel.

Ha már Index, origózzunk is egy kicsit. A postr.hu blogjain sokkal kisebb a "kommentelési hajlandóság". Több közt. Az ajánlóba beválogatott tartalmak ugyanolyan szinesek, mint Indexéknél, többször jobbak is annál, a napi blogajánló nem alul elhelyezve, ugyanúgy hozná a minőséget és a látogatottságot, mint az Index egykori blogboxja, itt is van jó blogger bőven, csak éppen sokkal kevesebb, egyszólval felpörgetné a Postr.hu-t, legalábbis szerintem. A Postr.hu néhány sajátosságára egyébként van egy roppant egyszerű magyarázat: az Origo.hu jóval később, 2010-ben indította saját blogszolgáltatását, amikor, már mondjuk úgy eléggé fel volt osztva a terep a hazai blogszolgáltatók közt. Azaz ha valaki tumblizott, freeblogozott, bloghuzott, nem valószínű, hogy rögtön tiplizett is a postr.hu-ra, egyrészt, mivel a felhasználók ódzkodnak azoktól a szolgáltatásoktól, amiknek a lényegét nem tudják egy pillanat alatt átlátni, nincs korábbi tapasztalatuk vele, másrészt egész egyszerűen a felhasználók ideje véges, nem fognak csukafejest ugrani egy olyan szolgáltatásba, mivel kapcsolatban nem tudják egészen biztosan, hogy cool, többet ad nekik, még akkor sem, ha így van. Ja, innen üzenem, hogy szerintem így van, a Postr tényleg király és hülye kommentből is kevesebb érkezik.

A viszonyok megváltozásának legszélsőségesebb példája, amikor egy blogszolgáltató egyszerűen bezárja a bazárt, ahogy nemzetközi színtéren a Posterous, magyar színtéren a  blogter.hu tette. Ugyan eléggé jól bejósolható, hogy melyik szolgáltató kerülhet a webkettő temetőjébe, a Posterous példája mutatja, hogy egy rendszer sem lehet biztosan örökéletű csak azért, mert baromi sokan használják. Ezért a blogunkról rendszeresen készítsünk biztonsági másolatot  exportálással.

Az eddig leírtakból sejthető, hogy eléggé értelmetlen dolog egy teljesen új, bármiféle közösségi köldökzsinórtól mentes blogot indítani mondjuk www.faszablog.com címen saját blogmotorral, ugyanis ideális esetben az olvasótábort nem kell építeni, épül az magától, ha jó a kontent, viszont olyan esetben, amikor egy blog "lóg a semmiben", sokkal nehezebben megugorható feladat az olvasók elérése. Az viszont igen hasznos tud lenni, ha a blogszolgáltatónk lehetővé teszi, hogy saját domain-nevet rendeljünk a náluk futó blogunkhoz. így például, ha a http://science.bardoczi.net/ alatt futó blogszolgáltató, a Weebly kipurcan, a cím továbbra is él, csak éppenséggel az egésznek az időben exportált tartalmát be kell cibálni az új - importálás funkciót támogató - szolgáltatóhoz. A blog.hu-n és a postr.hu-n nincs saját domaines lehetőség, aminek a legnyomósabb oka alighanem az, hogy kicsi lenne rá az igény hazai terepen.

Nálam a blogírással kapcsolatban az igazán szűk keresztmetszetet a szabad idő jelenti. Viszont érdemes fent lenni több platformon is, amik mind saját nevünkön vagy azonos fantázianevünkön futnak ugyan, de a tartalomgyártási koncepciójuk kicsit más. Például az előbb emlegetett science.bardoczi.net blogon legutóbb egy olyan posztot lapátoltam ki egy levelezőkliens finomhangolásáról, ami relatív szűk kört érdekel és abszolút nem illene például a postr.hu-n tolt vonalba.

Első blikkre értelemszerűnek tűnhet, hogy ha egy poszt, ami mondjuk úgy, ide is és oda is bepasszol, jelenjen meg két helyen, ez ordas nagy hiba, többek közt azért, mert a keresőmotorok a pillanat törtrésze alatt úgy dönthetnek, hogy a tartalom nem elég eredeti és ezt egy durva ranking-pontszámmal büntetik vagy legalábbis nem előnyös, az összes keresőóriás azokat a tartalmakat cibálja előkelő helyre a keresési találatok közt, amik minél eredetibbek [többek közt]. Egy esetben történt, hogy ugyanazt a posztot két helyre tettem fel, mivel valamit tesztelni akartam. Az viszont kimondottan hasznos, ha a Twitter csatornánkra az összes blogunk rá van drótozva vagy kézileg twitteljük az új posztok linkjeit, így ha valaki maradéktalanul követni szeretné nyilvános bloggerkedős munkásságunkat [oké, ilyen úgysincs, hacsak nem szerelmes belénk az illető], elég csak a Twitter-csatornánkat követnie. Másrészt a Twittert elsősorban pont ilyesmire találták ki, a keresőóriások is szeretik, mert segít nekik eldönteni például több helyen azonos módon megjelent tartalmak esetén, hogy hol jelent meg korábban, ki retwittelte kitől és hasonló big data mágiák, amik a Google-Bing-Yahoo-trió titkos algoritmusarzenáljában az alapfelszereltség részei.

A több helyen való megjelenés akkor különösen hasznos lehet, ha gyakori a nevünk és valaki, aki még nem ismer - igen, elsősorban a HR-esekre gondolok - szeretne képet kapni rólunk, egyértelműbb lesz neki, hogy mely tartalmak tartoznak össze és melyek egy névrokonunkhoz.

Nem hiszek a SEO-ban. Legalábbis a klasszikus értelembe vett SEO-ban. Nem állítom, hogy a keresőoptimalizálás teljesen kóklerség, mert nyilván nem az, vannak alapelvek, amiket nagyon érdemes betartani, csak fájdalmasan túl van ez az egész lihegve. Ha valaki nincs képben a keresőoptimalizálásban: például a permalink ne úgy nézzen már ki, hogy

http://www.webhelyem.tld/usercontent/index.php?articleID=k85s8dk49amcls9439dcmswkckjslkdf

ha úgy is kinézhet, hogy

http://www.webhelyem.tld/20141223/mezeskalacs-recept

ha a keresőmotorok jobban szeretik a human readable címeket. SEO-téren érdemes néha tájékozódni, de semmiképp sem szabad túllihegni. Személy szerint a tököm tele azzal, hogy manapság már egy rakás arc burkoltan vagy nyíltan SEO-szakinak mondja magát, holott annyira hülye hozzá, hogy azt nem tudnám minősíteni a jó ízlés határain belül. Több olyan esetet is láttam, hogy egy szájt százezres tételeket fizetett ki egy keresőoptimalizáláshoz elvileg értő cégnek, az eredmény pedig alig volt mérhető, mi több az oldal jól be is fuccsolt.

Most komolyan, aki olvasókat szeretne, arra kíváncsi, hogy mennyire tudja átverni a keresőmotort vagy arra, hogy mennyire kíváncsiak mások arra, amit ír? És akkor még a linkfarmokról nem is írtam, ami mindennek a legalja, hagyjuk is. Ami viszont fontos, hogy a saját blogposztjainkat szigorúan tilos arrogáns módon tolni Internetország lakóinak képébe, linkekkel összefosni ilyen-olyan felületeket. Pontosabban semmi sem tilos, de ha pontozni lehetne a gyökérséget, tőlem az ilyen blogger maximális pontszámot kapna.

A poszt menjen ki az eredeti helyén túl a Twitterre plusz esetleg még egy helyre, mondjuk a Facebookra. Aztán ha bejön az olvasónak, akkor úgyis olvassa/követi, az pedig elemi, hogy több blog esetén az eredetileg belőtt tematikától ne térjünk el, a Tumblira mehet a netszenny ezerrel, egy másik blogra a közérthető, de szakmai tartalom, megint másikra a hardcore szakmai írás vagy éppen egy személyes, de még vállalható sztori, ha létezik ilyen egyáltalán.

Ami vélemény, az természetéből adódóan érzékenységet sért, attól vélemény. Ami a tartalmat illeti, sem jogom, sem tisztem ezzel kapcsolatban okosságokat írni, néhány spéci dolgot leszámítva. Készüljünk fel rá, hogy az egyébként full ártatlannak tűnő téma is alaposan felháborgathatja más lelki világát, ha pedig a téma olyan, hogy valakinek a személyét érinti [tegyük fel, hogy nem közszereplő a figura, de a neten rendszeresen jelen van], akkor se nevezzük nevén, ha a legnagyobb kártékony balfasz, akit valaha is megismertünk, egyrészt, hogy ne gyűjtsünk ellenségeket fölöslegesen, másrészt sosem lehetünk biztosak benne, hogy a másik pusztán a rosszindulatával milyen károkat okozhat nekünk.

0 Tovább

Bankkártyaszám-anatómia, avagy így húztak le a bankom hülyesége miatt


Biztosan többek számára ismert, hogy vannak olyan mobilalkalmazások, amiknek a letöltése és használata ingyenes ugyan, viszont ún. in-app purchase-re van lehetőség, azaz az alkalmazáson belül lehet megvásárolni az extra funkciókat. Az illedelmes alkalmazás persze megkérdezi a fizetés módját, majd ha a bankkártyás fizetést választjuk, elkéri a bankkártyaszámot. A pofátlan alkalmazás megpróbálja megszerezni, aminek a sikeréhez néha elengedhetetlen a bank suttyósága is.

Történt ugyanis, hogy ma este láttam egy általam régen használt mobilalkalmazásban, hogy egy hónapig ingyenesen lehet használni az alkalmazás extra funkcióit. Gondoltam, ki is próbálom, elvégre azok a helyek, amik a kipróbálási lehetőségnél nem kérnek bankkártyaszámot, nem is tudnák honnan levonni az összeget. Elvileg. Ha pedig valahonnan a bankkártyaszámot mégis tudja valahonnan az app és rá is tudja terhelni az összeget, az ingyenességet úgy oldják meg, hogy a kártyán zárolják az összeget ugyan, ha 30 napig a bankkártya-elfogadó nem jelentkezik a zárolt, de még nem könyvelt összegért, mivel lemondja a kipróbált szolgáltatást a vásárló, az összeg visszakerül a vásárlóhoz.

Az én esetemben nem vagyok benne biztos, hogy honnan tudta az alkalmazás a bankkártyaszámom, az alkalmazásboltból aligha nyúlhatta le, alighanem korábban megadtam az alkalmazásban a régit hitelesítés miatt, ők pedig szépen elmentették. Később láttam ugyan, hogy itt nem kérdezett semmit az alkalmazás, gondoltam, nem is volt honnan levonnia, mivel - és most jön a lényeg - a korábban megadott bankkártyám lejárt nemrég, így a réginek az adatai érvénytelenek és nem használhatók fel. Mondom elméletileg!

Ugyanis, ha a bankkártya kibocsátó van akkora ergya-gyökér-suttyó paraszt, hogy a 3 vagy éppen 5 év érvényesség lejárta után a bankkártyát olyan módon újítja meg, hogy maga a bankkártyaszám nem változik és feltételezzük, hogy a bankkártya tulajdonosát /*card holder*/ sem keresztelik át idő közben, az egész megújításnak semmi értelme sincs. Ugyanis a lejárt, ergo már érvénytelen bankkártyának, aminek tehát a lejárati idején kívül más nem változott, nem túl bonyolult módon megjósolhatók próbálgatással az aktuális,  helyes adatai: a korábban tárolt lejárati időhöz években szépen hozzáadnak egyet, kettőt, hármat, négyet, ötöt, azaz öt évre kibocsátott bankkártya esetén legfeljebb öt próbálkozásra van szükség és az összeget már rá is terhelhetik. Jelen esetben is ez történt. Remek kérdés, hogy ez bankkártyacsalás-e.  

Egyébként egy tipikus, Magyarországon használt 16 számjegyű bankkártya száma ilyen módon épül fel:
- a bankkártya első hat számjegye a kártyakibocsátó-hálózatot azonosítja, amiből az első számjegy azt jelzi, hogy melyik szektorhoz tartozik a kártya, így például a 3-mal kezdődnek bizonyos hitelkártyák, mint például az American Express, 4-gyel illetve 5-tel az általános banki tranzakcióknál és vásárlásoknál használt kártyák, mint a Visa vagy a Mastercard
- az első hat számjegy 2-6 számjegyei a kártyakibocsátó-hálózat használható azonosítóit tartalmazzák, így például a szintén elterjedt Maestro /*az első számjegyet is belefoglalva*/ a 500000-509999 és 560000-699999 tartományokat használhatja
- ezt követi a 7-15. pozícióban a véletlenszerűen generált azonosítószám - és ez a lényeg - amivel kapcsolatban a pénzintézet kérheti a kibocsátó-hálózatot, hogy a bankkártya megújításánál maradjon a régi vagy változzon meg az adott ügyfél esetén
- a 16. pozícióban egy ún. Luhn-algoritmus által kiszámolt ellenőrzőösszeg áll

Egyszerűsítve tehát a bank a kibocsátó-hálózattól veszi a kártyákat. De ha kérhető, hogy változzon meg az azonosító, ami ugyebár gyakorlatilag az egyetlen variábilis elem a kártya megújításánál, akkor az ügyfél számára megrendelő bank miért nem kéri a kibocsátó-hálózatot, hogy úgy nyomják újra a kártyát? Ja, hogy az drágább lenne? Hát legyen ez a bank magánügye, azért fizetem az éves kártyadíjat, hogy a lehető legbiztonságosabban lehessen használni, csókolom!

Olyan részletekbe most nem mentem bele, hogy például a bankkártya hátoldalán lévő CVV, CVV2 kódok sok esetben lényegtelenek, ahogy abba sem, hogy más kártyaszám-generálási forgatókönyvek is lehetségesek, külföldön. Amit leírtam persze csak a kártyaszám generálás lényege, a teljes forgatókönyv bonyolultabb, viszont ez alapján is megállapítható, hogy még egy óriási bank esetén sem fordulhat elő, hogy a bankkártyaszám és lejárati dátuma megegyezzen véletlenül, ráadásul a tulaj neve is azonos legyen.

Ezen kívül vegyük észre, hogy a bankkártya adatok önmagukban csak akkor használhatóak fel, ha annak minden adata érvényes. így például a bolti kártyás vásárláskor hiába van rajta a blokkon az utolsó négy számjegy és a lejárati idő, ezek teljesen ártalmatlan adatok, viszont pont az előző bekezdésben leírtakból adódóan kitűnően alkalmasak lehetnek azonosításra. Például annak a valószínűsége, hogy ugyanazzal a négyszámjegy-lejárati dátum-kombóval ugyanazon a napon, ugyanabban a boltban vásároljon több azonos vevő, gyakorlatilag nulla.

És persze ha egy internetes elfogadóhely kéri, hogy küldjünk nekik scannelt vagy fotózott képet a bankkártyánkról azonosítás végett, nyugodtan küldjük el őket melegebb éghajlatra, esetleg mutatva, hogy mennyire vesszük a kérésüket komolyan, küldjük nekik sok szeretettel az alábbi képet, bárminemű egyezés a valósággal a véletlen műve xD



A szokásos bankkártya-tematikájú közhely és bullshitelés helyett a következőt tudom javasolni az olvasónak egyben eloszlatva néhány tévhitet:

- a bankkártya lejárta és megújítása előtt érdeklődjön a bankjánál, hogy az azonosító megváltozik-e egyáltalán, abban az esetben ha nem, egyszerűen ne kérje a megújítást, ilyenkor nem kell fizetni a letiltásért, mivel ez nem is letiltás, a kártya egyszerűen lejár. Új kártyát igényelni pedig jobb családokban nem drágább, mint az éves díj.
- full hülyeség azt mondani, hogy a neten nem adom meg a bankkártyaadataim, mivel
 I. a bankkártyaadatokat nem is tárolja normális, komoly elfogadóhely, ha nem feltétlenül szükséges, csak kap egy visszajelzést, hogy a kártyával minden stimmel és megtörténik a vásárlás
 II. a kártyaadatok megadását egy ellenőrzéshez még akkor is érdemes megcsinálni, ha nem tervezünk semmit vásárolni az adott webhelyen. Többször cikkeztem már arról, hogy ellopni egy Facebook-fiókot mennyire egyszerű. Nos, ha a felhasználó megadta a bankkártyaadatait a Settings/Payment methods alatt, a Facebook megpróbál zárolni egy dollárt, ha sikerül, elmenti és az 1 dollár visszakerül 30 nap után az egyenlegre és kétes helyzetekben, a Facebook előtt a korábbi bankkártyával történő azonosítás mutatja, hogy a felhasználó tényleg az, aki, hiába jelenti fel egy trollhadsereg az illetőt azzal a feljelentés-áradattal, töröltetés céljából, hogy kamuprofilról van szó, a Facebook jó eséllyel nem kér semmilyen további azonosítást a felhasználótól, akinek az accountja biztonságban marad
 III. elemi, hogy kinézetre is komolytalan webhelyen ne boltoljunk bankkáryával

Annak a valószínűsége, hogy egy, a neten kártyával rendszeresen fizető ügyfélnek egy éven belül a sarki zöldségesnél vagy cigivásárlás közben lopják el a bankkártya adatait, jóval nagyobb, mint annak, hogy a neten, ugyanis aki rendszeresen fizet a neten a kártyájával, "pofára" meg tudja saccolni a webhelyről, hogy mennyire vehető komolyan /*l. fentebb*/, míg a sima bolti vásárlás már bonyolultabb ügy.
Tisztelet a kivételnek, de az eladó sokszor nem olyan agytröszt, hogy észlelje, ha a vásárlói bankkártyadatai veszélybe kerülnek.

Tételezzük fel, hogy egy bankkártyacsaló banki alkalmazottnak kiadva magát elhelyez egy olyan eszközt az üzletben a terminál közelében, ami a tessék-lássék módon titkosított kártyaadatokat lehallgatja és továbbítja, akár vezetékes, akár vezeték nélküli a POS-terminálról van szó. De még az sem tűnne fel az eladónak, ha a "bankoscsávó", aki "hozott egy új terminált", valójában olyan POS-terminált adott, ami működik ugyan, de közben lopja a vevők kártyaadatait, hasonlóan az automaták kártyanyílására buherált eszközökhöz. Nem, még akkor sem tűnne fel semmi, ha egyébként más protokoll szerint üzemelné be a csaló az új terminált az üzemeltető nevében, de talán még akkor sem, ha a pofa úgy nézne ki, mint az egyik Beagle boy a Kacsamesékből.

Meg egyébként is? A boltosnak miért kellene tudnia a bankkátyaadatok biztonságáról, nem? Ha meg lopják, a vevőét lopják, "akkor meg kit érdekel, rohadthekkerek, sünökdóga, nem?" Tisztelet a kivételnek, de az általános mentalitás ez.
- a lejárt kártya se kerüljön a szemétbe, sem szétvágva, sem pedig egészben, de a legjobb, ha még a bankfiókban sem hagyjuk ott, lévén, hogy ők is a kommunális hulladékba tennék, hasonlóan ahhoz, ahogy a fenemód okos mobilszolgáltatók alkalmazottai sokszor a minden személyes adatot tartalmazó, de már szükségtelen dokumentumokat csak simán a kukába dobják, ilyen módon minden ilyen üzlet szemetese valóságos aranybánya az adathalászoknak. Nem arról van szó, hogy egy komplett identitáslopásra alkalmas adatmennyiséget gyűjtenének össze /*ugyan ez sem zárható ki */, a személyes adatok kikerülése súlyos visszaélésekre adhat lehetőséget, elég csak arra gondolni, hogy a telefonszolgáltatónk, netszolgáltatónk, telefonos ügyfélszolgálata személyes adatok alapján azonosít be minket, ha nem tudjuk az ügyfélazonosítónkat, így ha egy csaló elég trükkös valaki ahhoz, hogy kiadja magát a nevünkben /*szakargóban impersonation*/, az adataink birtokában például lemondhatja a telefonszolgáltatásunkat vagy lekérheti a hívásrészletezőt 1-2 évre visszamenőleg papíralapon egy általa megadott címre, esetleg a netes felületen új jelszót állíttathat be és úgy fér hozzá a híváslistához.

Ezen kívül cca. végtelen azoknak a lehetséges scenarioknak a száma, amik előfordulhatnak a social engineeringben  és az alapját a bizalmasnak hitt, személyes adatok képzik, ami valami miatt még mindig nem jutott el például még a telekom szolgáltatók tudatáig sem, hogy egyik-másik közintézmény és iskola adatkezelési gyakorlatát ne is emlegessem, arról úgyis csak szuperlatívuszokban lehetne írni.

Visszatérve a bankkártyás témára, az emberi hülyeséget mi sem mutatja jobban, mint, hogy két és fél évvel ezelőtt indult egy Twitter-csatorna, amin első ránézésre roppant mód jópofa dolognak tűnt feltolni a saját bankkártya fotóját. Viszont a csatorna oldala a fejlécben hívta fel a figyelmet, hogy senki ne posztoljon képet a bankkártyájáról. Na mi történt? Igen, az Internetország egyszerű gyermekei halomra tolták fel a fotókat a csatornára. Oké, persze, a többség nem ennyire hülye, de a bankkártyaadatokkal kapcsolatos biztonságtudatosság ugyanúgy egyfajta kontinuumon helyezkedik el /*a teljesen hülyétől a több bankkártyát is használó formákig*/, mint sokminden más, de ezen a téren az átlag is hajmeresztő lemaradást mutat.

Bankkártyaadatokkal kezdtem, személy adatokkal folytattam, zárásként ide embeddelem az Személyiségtolvaj trailerjét, ami szerintem  a legrealisztikusabb hekkerfilm ever, annak ellenére, hogy nem hekkerfilmnek szánták.


11 Tovább