hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
7 kwietnia 2017

Bo WiFi było darmowe…

Wydawać by się mogło, że memy z dopisanym na dole Piramidy Maslowa dostępem do darmowego WiFi to już wyjątkowy suchar, jednak regularnie medialne informacje udowadniają nam, że jeśli coś jest za darmo, wciąż potrafimy rzucić się na to bez opamiętania. Skąd to się bierze w świecie liczących często 4 i więcej GB pakietów internetowych zawartych w cenie abonamentu?

Inspiracją do tego tekstu był materiał Macieja Dzwonnika, opublikowany w trójmiejskiej „Gazecie Wyborczej”. Opisuje on bazujący na prostej (wręcz prostackiej można by rzec) socjotechnice test 30-letniego gdynianina, który chciał sprawdzić, czy po latach kładzenia nam do głów podstaw dbałości o własne bezpieczeństwo w sieci, będzie nas trudniej oszukać. Czy fakt, że w ciągu kilku dni praktycznie zerowym kosztem zdobył dane 107 osób, powinien nas cieszyć, czy martwić? Czy te niewiele ponad 100 loginów i haseł do Facebooka lub Twittera mało, czy dużo?

Odpowiedź jest taka sama jak zawsze – to zależy. Zwykły login i hasło pojedynczego internauty do serwisu społecznościowego warte są na czarnym rynku grosze (czy raczej należałoby powiedzieć „centy”) i trzeba by ich wykraść sporo, by to się opłacało. Chyba, że przestępca jak po sznurku będzie próbował dostać się na konto mailowe ofiary, albo poszuka szczęścia w innych serwisach (kto nie dubluje haseł niech pierwszy rzuci kamieniem). W końcu szczegóły ma na koncie społecznościowym, gdzie może również znaleźć podpowiedzi do odzyskania hasła, czy numer telefonu, na który może wysłać odpowiednio spreparowany phishing. A stamtąd już malutki krok np. do banku…

Na czym polega taki atak? Jest trywialnie prosty. Idziemy z komputerem i małym (nawet mobilnym, podpinanym pod USB) routerem do uczęszczanego miejsca (np. centrum handlowego), uruchamiamy hotspot, w jego nazwie umieszczamy „free” (a najlepiej FREE!) i to w zasadzie tyle. Rybki szybko łapią się garściami, a odpowiednie oprogramowanie na komputerze napastnika, po tym jak ofiara automatycznie wpisze dane dostępowe do swojego Facebooka (wymagane do „logowania” do WiFi) zapisze je do pliku i może nawet da faktycznie skorzystać z internetu (a jeśli nie, to pewnie ofiara stwierdzi „jakiś badziewny ten net” i skorzysta z innego hotspotu).

A teraz wyobraźcie sobie, że – co niestety wciąż jest smutnym standardem – przychodząc np. na obiad do foodcourtu w takim centrum handlowym odpalamy laptopa i logujemy się do firmowej sieci (!). W Orange Polska warunkiem zdalnego dostępu jest skorzystanie z szyfrowanego połączenia VPN, do którego logujemy się tokenem kryptograficznym, ale stawiam dolary przeciwko orzechom, że takie podejście to wyjątek, gdy na wszystkim trzeba oszczędzać. A z loginem, hasłem przestępca ma szeroko otwarte wrota do firmowej sieci, w której może się rządzić jak panisko, wykradając dane, podkładając malware – katalog jest wyjątkowo szeroki. I co potem powiedzieć, jak tragedia już się stanie? „Ale to WiFi było darmowe”?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 kwietnia 2025
Oferta pracy przez WhatsApp? Tak oszuści wyłudzają pieniądze
Dowiedz się więcej
22 kwietnia 2025
(nie)Bezpieczna Sieć – seniorzy, ten film jest dla Was!
Dowiedz się więcej
16 kwietnia 2025
Raport CERT Orange Polska 2024 już dostępny!
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance