Confessions Of A Dangerous Mind

קיבלתי היום מתנה חדשה דרך הIM שלי , את הקישור הבא :

http://myparties.piclooks.com/?<user> link , כאשר <user> מייצג את שם המשתמש של מי ששלח לי את ההודעה במקור דרך תוכנת הIM , במקרה הזה MSN.

המסך שהתקבל היה :

מה שבעצם העלה חשד הוא שיש אתר לא מוכר , אשר מבקש לקבל את הפרטים של משתמש\סיסמה של ה IM שלי , או של כתובת הדואר שלי ב Hotmail. וזה כמובן נראה חשוד... צפיה בקוד המקור החשידה אף היא מאחר ונראה היה שמדובר בקוד פשוט מאוד של Form אשר סה"כ מנסה לאסוף את המידע.

יתרה מכך , ישנה כתובת IP שהיא - 64.34.154.82 - מוטמעת בקוד המקור , דבר מאוד חריג.

פירוק הURL כדי לגשת ישירות לpiclooks.com הניב את התוצאה הבאה ( כלומר, אין כל Homepage מאחורי האפליקציה )

המסקנה , כנראה שמדובר באתר Phising אשר כל מטרתו היא לאסוף אינפורמציה כדי לגנוב זהויות של משתמשים. היזהרו.

Labels: social, spam, threats, virus

Posted by barry at 7:37 PM | Link | Comments

במרוצת השנים האחרונות יצא לי לעבוד עם לא מעט לקוחות ואינטגרטורים שונים אשר בעבר נמנתי על חלקם. עם הזמן שמתי לב למספר דפוסים אשר חוזרים בין פרטנרים שונים, אשר במבט מעמיק יותר - יוצרים בעיות אבטחה לא פשוטות לארגונים בהם ישנן חברות השמה , או כל אינטגטרטור אשר מבצע עבודות אפליקציה ותשתית עבורם.

למעשה, כאשר אינטגרטור עובד עבור מוסד או חברה כלשהי , בחלק גדול מהמקרים - ברשותו שם משתמש וסיסמה לשרתים ולציודים שונים על מנת לתת להם תמיכה. באותה רמה אנשים קבועים אשר נותנים שירות לאורך תקופה אצל לקוחות, מחזיקים ברשותם סיסמאות ושרטוטי ארכיטקטורה רשתית ואפליקטיבית מפורטים - וכל זאת מהסיבה הלגיטימית של מתן שירות והבנה לאורך זמן של תהליכים על מנת לטפל בתקלות שעלולות לקרות.

איפה למעשה נוצרת בעיה... כאשר אותו אדם אשר מועסק על ידי אינטגרטור מסויים , מטפל בפועל במספר רב של לקוחות. ברוב מכריע של המקרים ישתמש באותו שם משתמש וסיסמה למערכות וציודים רבים בצורה חופפת בין לקוחות מסיבות של זיכרון אנושי. מה שקורה הוא שבדרך כלל הסיסמה אינה מורכבת , ולעתים אנשי הארגון אשר מקבל שירות אף יודעים אותה. מה שהופך ארגון לפגיע.

יתרה מכך , חברה משקיעה משאבים רבים בהגנה על שרטוטי ארכיטקטורה , ססמאות , מבני גישה ומודלים של נתוני Database למיניהם, אך אין ביכולתה לאכוף מדיניות על המחשב הנישא ( שאינו חייב להיות מחובר כדי שיהיו עליו נתונים ) של אותו טכנאי , אשר הרבה יותר פגיע לגניבה , ברוב המקרים לא יוצפן , ברוב המקרים ולא מתוך רוע לב - יזלזל במדיניות האבטחה של הארגון מאחר והוא אינו נאכף על ידה.

בצורה אבסורדית , אותו גורם אשר מטפל בנו מבפנים , יש לו גישה הכי גבוהה למערכות מאחר ובד"כ הוא הגורם המוסמך ביותר לטפל בהן - הוא גורם הסיכון הלא מבוקר והפגיע ביותר.

תשאלו את עצמכם פעם , לכמה מהלקוחות של האינטגרטור שלכם יש את אותו משתמש\סיסמה שהוגדר אצלכם ...

האם פתרון OTP מיושם אצלכם ? וגם אם כן , האם גם שם המשתמש ( Something You Know ) הוא אקראי ? כנראה שלא.

Labels: concepts, privacy, service, social, threats

Posted by barry at 9:36 AM | Link | Comments

בסוף השבוע שעבר בוצעה התקפה על משתמשי FACEBOOK באמצעות פרצה שהתגלתה במערכת שליחת ההודעות של FACEBOOK, ההתקפה שלחה לכל משתמש מספר הודעות שהגיעו כביכול מחבריהם אשר הכילה קישור לאתר שברגע שהופנה - הוריד קוד זדוני למחשב הגולש.

החלק היפה בכל הסיפור הזה אינו דווקא מבנה ההתקפה , שכן גם כאן יש על מה לדבר - אלא לתגובת הגולשים אשר זיהו די מהר את ההתקפה, ומיהרו לפרסם לכל הפורומים וקבוצות FACEBOOK על ה"וירוס חדש בFACEBOOK" ולפתוח קבוצות תמיכה , ובכך מיזערו לחלוטין את השפעת ההתקפה.

זה הופך להיות מעניין , כאשר משתמשים מצליחים להגן על משתמשים. ואולי בעצם מישהו צריך להקים Taskforce כזה או אחר שמנטר מקומות כמו Facebook וכמו MySpace על מנת לאתר איומים כאלו ולהתריע עליהם בזמן... מישהו מרים את הכפפה ? סימנטק ? מקפי ? טרנד ? מעניין ...

בכל מקרה , זה בהחלט ג'ונגל שם בחוץ... מעניין מה עוד יקרה השנה בהקשר של רשתות חברתיות והתקפות מזנים חדשים.

Labels: blog, ethics, social, threats, virus

Posted by barry at 9:26 AM | Link | Comments

למי שמכיר את עמדותיי בנוגע לשוק אבטחת המידע העולמי, ולמדינות שאינן מוגדרות Emerging Markets בפרט, יודע ומכיר את דעתי לגבי שוק העסקים הסובב סביב עולם אבטחת המידע.

בניגוד לשווקי התקשורת, שווקי הSYSTEM ושווקי הASP ( אירוח אפליקציה והוסטינג ) - שוק אבטחת המידע הוא שוק מאוד מאוד מיוחד ובעל אופי מאוד שונה. הסיבה לכך היא הצורך הבסיסי באמון בגוף שמולך כאשר אתה מבצע פרוייקט , או רכישת מערכות עבור הארגון שלך.

אחד הקשיים הגדולים בתחום אבטחת המידע, הוא שיש המון שחקנים. מעט מהשחקנים הם באמת אנשי אבטחת המידע טובים טכנולוגיים ומשופשפים, בעוד רוב השחקנים ירוקים או מהווה אחוז גבוה של אנשים אשר ביצעו הסבת מקצוע בגלל ההילה והכסף שהתחום נוטה לצבוע עצמו בהם. וזה מה שגם מקשה על השוק לפעול בצורה מאוד משמעותית, שכן בעוד בעבר יכול היה איש טכני ומיומן לרכוש את אמונו של הלקוח בגלל קבלות, היום הסמכות עושות אותו דבר ( ובלי נסיון ! ) מה שגם גורם ללקוחות להאמין בגופים ואנשים שהם , ונהיה כנים ... פחות טובים.

אם פעם יכולתי להופיע לפגישה אצל לקוח חדש או קיים, ומאחר והוא מכיר ביכולות הטכניים שאני מביא איתי - היה לי קל יחסית להעביר את המסר שלי . אך היום - נגמר העולם הזה. את אף אחד לא מעניין אם מגיע אליו מהנדס אבטחת מידע עם 10 שנים נסיון , או זאטוט בוגר מוקד תמיכה עם פה גדול. כי בMoney Time הבדיקה לאיכות האינטגרטור והפתרון השתנו.

שירות.

כאדם שגדל בתחום השירות ושם גם התמקצע על הפנים הטכניים, אני יודע לומר היום מנסיוני שאין זה משנה כמה צבעים יש בלוגו החברה , וכמה יפה האוטו של מנהל הלקוח שמגיע ללקוח או כמה כפתורים יש בחולצות של המהנדסים. אלא בצורה חד משמעית - ארגון קם ונופל על רמת השירות שהוא מציע . על אחת כמה וכמה בתחום אבטחת המידע , שבו שירות לא אמין או לא מקצועי יכול לגרום לנזק של מעבר להשבתה , אלא יכול לגרום לאובדן של נכס שמור וסודי לידי ידיים לא נכונות.

השוק של המחר ( ובחלקו גם של אתמול ) אמור להתבסס על גורם מאוד מכריע בהחלטתו - שירות טכני ורמת Delivery שהאינטגרטור מסוגל לבצע עבור הלקוח הסופי שלו. ובמבחן התוצאה אין זה משנה למי יש עוד הסמכה ושל מי יותר גדול , אלא מיהו זה שהלקוחות שלו מסמנים אותו כמוביל בתהליך של אחרי המכירה ואחרי ההפעלה. מבחינתי אינטגרטור או כל גורם אשר מסוגל לתת מענה מקצועי ביום שאחרי הוא זה שראוי להוביל את המשך הדרך.

כמי שאמון על לא מעט פרוייקטים , אני יודע שכאשר אני מגיע ללקוח והוא מרוצה מהשירות שהוא מקבל ממחלקות התפעול וההקמה , הוא לקוח שימשיך לעבוד איתי על פרוייקטים נוספים. אני גם יודע שכאשר לא כך המצב , המצב יכול להתהפך, ניתן לראות פתאום לקוח בן שנים מתייחס להזדמנות כהזדמנות ראשונה מאחר ונכווה בעבר.

אגב , כדי להישאר נייטרלי - אציין שאחת החברות שמצטיינות בתחום של הבנה של היום שאחרי בעולם הינה BT Counterpane , ( לא , לא BT Infonet . ) שהיא חברת אבטחת המידע שייסד ברוס שנייר , היא בדיוק כזו שהצליחה לקום ולהיות חזקה כפי שהיא כיום בדיוק בגלל שני דברים - השם של ברוס, והשירות חסר התחרות שנותנת קבוצת BT ללקוחותיה.

ותחשבו על זה ...  

Labels: consulting, managment, social, thesis

Posted by barry at 9:34 PM | Link | Comments

קודם כל חג שמח לכולם, באמת עברה שנה מעניינת מאז פורים האחרון.

רציתי בהזדמנות זו לחלוק אתכם מחשבה שלי.

בחג פורים , רבות מחברות ההייטק שוכרות שירותיהם של חברות הפקה אשר מביאים דמויות שונות של שחקנים המחופשים ללייצנים וכדומה , ומסתובבים בתוך החברה ועושים לאנשים שמח. אני יכול למנות עשרות רבות של ארגונים שאני מכיר שאותם "ליצנים" מסתובבים להם בכיף ועושים שמח לאנשי תמיכה , למזכירות טלפוניות , למחלקת רכש , למחלקת שכר , למחלקת פרוייקטים , למנכ"ל ולמי לא ...

רגע ! האם מישהו בודק ומלווה את האנשים הללו בארגון ? האם מותר להם להסתובב במקומות אשר כאשר נראה את כף רגלו של מתחרה נזמין את האבטחה ? האם זכותו של ליצן לראות את המכרזים בהם החברה שלי עוסקת ואת תלושי המשכורת או הזמנות הרכש ?

זה נראה טריוויאלי , אבל דווקא בגלל הסיטואציה , רובנו מורידים את העירנות כאשר אנו רואים שהארגון והרווחה בארגון באים לעזור לנו להרגיש טוב לגבי עבודתנו. ומשקיעים מיטב המאמצים בכדי לגרום לעובד להרגיש שייך למקום העבודה ... אבל האם זה לא פותח דלת לצרות ?

כמובן , יש כאן דילמה ... לא נעביר ליצן חביב בדיקות פוליגרף בטרם נכנס אלינו למשרד. אבל האם לא הגיוני לקבל רשימה עם תמונות מהספק , ועם משך עבודתו של כל אדם בארגון ? והאם לא הגיוני להצמיד מאבטח \ איש מחלקת משאבי אנוש לאותם אנשים שילוו אותם במשך כל שיהותם במתקן ?

שווה מחשבה...

Labels: issues, managment, social, threats

Posted by barry at 9:23 PM | Link | Comments

למי שמכיר ויודע , לאחרונה הצפתי מספר פעמים את נושא ההתקפות בוקטורים חדשים לקראת 2008, מי שהספיק להשתתף אולי בהרצאה שלי לגבי Differentiated Vector Attacks אפילו קיבל מספר דוגמאות חיות ודרכים ליישום התקפות מסוג זה.

והנה מסתיים לאט לאט השבוע הראשון של 2008 , והוירוס הראשון ( שאני יודע עליו ) מופץ דרך אפליקציה בתוך FACEBOOK. ובדרך די מרשימה.

הראשונים לנתח ולתפוס את ההתקפה היו חברת Fortinet אשר מראים בקישור הבא את מבנה ההתקפה והתחושה למשתמש.

בגדול - הופצה אפליקציה אשר גורמת למשתמש להבין שכדאי לו להתקין אותה בעמוד הFB שלו , בכדי לגלות אנשים אשר "דלוקים" על אותו משתמש. כאשר המשתמש מתקין את האפליקציה , מגיע אליו לינק על גבי IFRame אשר סוחב עימו את הוירוס Zango.

לא רע ... וגם די אפקטיבי.

Labels: social, software, technology, threats, utm, virus

Posted by barry at 11:29 AM | Link | Comments

סוף שנת 2007 מתקרבת ( אפילו לפי ספירת סיסקו ) ואיתה הסיכום המתבקש לבוא לאירועי אבטחת המידע של 2007 , והטרנדים שהיו , או התגלו שלא היו ...

אשמח לקבל מכם Input לפני שאני מסכם ומוציא לאור פוסט שכזה.

 

While 2007 is coming to an end soon ( even by cisco's calander ) - a summary of all security events , trends and things that went wrong - is just behind the corner...

I would love to get some of your input on this , so my summary will be more complete when its finally out.

 

Labels: blog, english, news, social

Posted by barry at 5:48 PM | Link | Comments

אני כותב , וראשית מתנצל על הפאסיביות שלי לאחרונה בכל הנוגע לכתיבה בבלוג, שכן מאחר והעבודה היא עבודה חדשה - אני מוצא את עצמי נשאב לתוך שעות "מיוחדות" של הלילה עם העבודה ולא מספיק לכתוב - אני מאמין שזה ישתנה בקרוב ...

ובכן , היום הסתיימה הסדנה לשיפור יכולות בניית והובלת מצגת ( שהועבר העל ידי צביקה רול ) אצלי בעבודה. ואני חייב לומר שנהניתי מכל רגע ( סלח לי צביקה שהייתי צריך לצאת מוקדם .. ) ובהחלט אני מרגיש שהסדנה הזו הייתה סוג של Life Changer עבורי , שכן כפי שכבר ציינתי לא מזמן - אני מאוד אוהב את תחום ההוראה ואת העמדה של פרזנטר. בעיקר כשמישהו מוכן לשלם כדי שאני אקשקש שעות על טכנולוגיה ...

למי שלא יודע , אחד הדברים שאני מקפיד לעשות כבר מספר שנים , הוא לקרוא לפחות 2 ספרים בחודש הקשורים לתחום העבודה שלי ( ולעתים אף יותר ) וזאת כדי להשתפר ולהתפתח ... וגם כאן נפלה בחלקי הזדמנות ללמוד נושא שמרתק אותי

בהזדמנות זו - אני רוצה להמליץ על ספר בתחום שקראתי בתחום במהלך השבועיים האחרונים :

The Exceptional Presenter ( קנו באמאזון ) , ספר זה מתאר את השלבים לבניית מצגת, התמקדות בקהל היעד , הצגה נכונה , כלים להעברת מסר בצורה יעילה - וכמובן - טיפים ... אני עדיין לא יודע עד כמה הנושא ישפר את יכולות ההצגה ובניית המצגת שלי לרמה גבוהה יותר.

אגב , אני ממליץ בחום להיכנס לאתר של צביקה ( לינק ) ולהתרשם.

Labels: news, report, social

Posted by barry at 10:12 PM | Link | Comments

למי שלא יודע, אחד הדברים האהובים עליי ביותר בעולם, הוא העברת מצגות והדרכות טכנולוגיות. לכן חלק ניכר מהזמן שלי מופנה לכתיבת מצגות ושיפורן המתמיד. ובכן - לאחר מספר שנים בתחום זה ( כמובן מלווה בתגובות שונות ) נוצרה לי בתודעה תפיסה - שאני מציג די טוב. אבל מסתבר שאני יכול להשתפר בהרבה.

כחלק מעבודתי בחברת אינטגרציה, הוחלט להעביר בפני אנשי המכירות ואנשי ההנדסה בארגון - קורס בהעברת מצגות אפקטיביות. כאשר המרצה הוא לא אחר מאשר צביקה רול - אשר הינו פסיכולוג חברתי בהשכלתו ובעל חברת ייעוץ ארגוני על שמו. כמו כן מחבר בלוג מעניין.

מעבר לטיפים עיצוביים , ופסיכולוגיים לגבי יכולת העברת מצגת , מעביר צביקה בקורס - מספר מצגות אשר הוצגו בכנס TED בארה"ב . ועל ידי כך הפך אותי למעריץ בין-לילה של אל גור, מסתבר שאל גור הוא מרצה במועדון ה100K ( מאה אלף דולר להרצאה ) ואני לא חושב שראיתי מישהו שהצליח לקשור אותי כל כך חזק להקשבה אליו בצורה וירטואוזית כלכך ( פרט אולי לסטיב ג'ובס , שהוא גורו בתחום זה ).

מדהים איך אחרי השתלמות של מספר שעות , כבר משתנה הראיה , ונראות מיידית טעויות הנדסיות ועיצוביות של מצגת , ושל התנהגות המציג - שכן המצגת הינה תמיד רקע בלבד למציג עצמו ( אם הוא טוב ).

לפעמים אנו רואים כמובן מאליו את העובדה שאנו בקיאים בחומר אשר אנו מעבירים , אך איננו יודעים כיצד להעביר אותו הלאה, ואלמנט בניית הסיפור והמצגת הינו סוג של אומנות. אני חושב שכל אדם שיודע לחבר מצגת טובה, יש לו מספר תכונות אשר חלקן מולדות : כריזמה , Copywriter-By-Nature , תחושת זמן ומרחב , מודעות לסביבה. כמובן שישנן תכונות נוספות ( חלקן דומות אגב לתכונותיו של מנהיג ) שבונות מציג טוב, אבל זה כבר בנושא אחר...

אני מתכוון לקחת את הנושא ברצינות , ואפילו רכשתי מספר ספרים בתחום ( שניים כבר סיימתי לקרוא ). אני מניח שמעבר לעובדה ש Practice Makes Perfect , ידע והבנה מושכלת של מה שאתה עושה מעבר לנסיון וטריקים שעובדים עבורך - הינם כלי לא מבוטל אשר יש להתייחס אליו ברצינות בכל תחום.

בתור אחד שלא מאמין בשלמות , ומאמין שתמיד יש לאן להשתפר - אני חושב שמצאתי תחביב חדש.

Labels: conference, consulting, links, social, taldor

Posted by barry at 3:10 PM | Link | Comments

היום קיבלתי משני האקרים חביבים העונים לכינויים GOURANGA , Shed0\Tomer40 - מייל המתאר פרצת אבטחה שהם מצאו במנוע החיפוש החדש של תפוז. כמובן שהכנתי לכם מייד סרטון שמראה POC לפרצת האבטחה, ובמקביל שלחתי אימייל למערכת תפוז , בנוגע למנוע החיפוש ולבעיה שנמצאה. כך שייתכן שעד לזמן הפרסום , תיחסם הפרצה.

לא בדקתי אם מדובר באפשרות ליצור Persistant XSS , אבל בהחלט ניתן לגנוב עוגיות מהדפדפן של המשתמש המותקף ולשלוח אותן לאן שאנחנו רק רוצים.

הקוד לביצוע הXSS:

http://www.tapuz.co.il/search/search.asp?q=%3C%2Ftitle%3E%3Cbody+onload%3D%22alert%28document.cookie%29%22%3E%3C%2Fbody%3E%3Chead%3E%3Ctitle%3Ewanksta&tapuzGoogleSelection=1

תודה ל Shed0\Tomer40 ול GOURANGA על העבודה הטובה של מציאת הפרצה, וכמובן שיתוף המידע. 

אני מעודד תמיד מציאת בעיות אבטחת מידע באתרים מובילים בארץ ,כל עוד נשמרים כללי האתיקה. כמובן שאחד הדברים היותר חשובים לי, הוא לדווח לאותן רשויות וארגונים על הפרות בכדי שיוכלו לתקן אותן לפני שיגרם כל נזק.

Labels: hacking, social, threats, vulnerability, xss

Posted by barry at 10:48 PM | Link | Comments

בתור משתמש המוגדר "כבד" בכלים שונים במחשב , ואחד שמנסה תוכנות ושירותים חדשים הניתנים באמצעות תשתיות האינטרנט , אני נתקל כמוכם באלפי תוכנות אשר ניתנות לשימוש בחינם למשתמש הקצה , אך מפתחיהן מרוויחים את לחמם באמצעות שתילת פרסומות מותאמות לקוח בממשקים הגרפיים של אותן אפליקציות.

ובכן , כפי שוודאי ידוע לכם ( ראו פוסטים קודמים שפרסמתי כאן וגם כאן ) שירותים אלו מושתתים על היכולת של תוכנת הקצה לתקשר עם שרת פרסומות של החברות הספקיות , ומשיכת באנרים ופרסומות בכדי להציגן בממשקי המשתמש.

איך זה עובד ?

כאשר אני מתקין תוכנה כלשהי אשר מופעלת במודל הפרסום , לאחר ההפעלה שלה , יוצרת התוכנה קשר עם שרת nameserver שיושב במיקום ידוע מראש , ומספק בחזרה כתובות למשוך מהן פרסומות , התוכנה אז מושכת פרסומות ומציגה אותן לפי רוטציה מסויימת למשתמש , כמובן מידי פעם מתרחש עדכון לפרסומות.

ניתן לחסום את הפרסומות ?

כן, ניתן. זאת משום שעל מנת ליצור תקשורת עם אותם מאגרי פרסומות , על האפליקציה לצאת בבקשת תקשורת החוצה , כמובן שבמערכות האבטחה או הנתבים , PORT 80 פתוח מבפנים החוצה לטובת גלישה , ולכן התוכנות יוצרות קשר דרך HTTP בדרך כלל בכדי למשוך את המידע. מהסיבה הזו בדיוק , ניתן לבצע חסימה לכתובות הIP , לURL או למהדרין למבנה הבקשה בשכבת הTRANSPORT במערכות הIPS.

שאלת השימוש ההוגן ( רמז : זה כנראה מותר )

למעשה , כאשר אני מתקין אפליקציה מסויימת כFREEWARE או מודל דומה , אני מודע לכך שהשימוש מחייב אותי לצפיה בפרסומות . אך אין כל דרישה ממני לספק לאותן תוכנות גישה מלאה למשאבי רשת לפי רצונם. הרי שזכותו של ארגון להחליט שהוא חוסם גישה לאתרים מסויימים וכתובות IP מסויימות , ואין בעצם כל התערבות בקוד התוכנה , בצורת הפעולה שלה מבחינתנו ( התוכנות יודעות להציג באנר ריק כשאין תקשורת בדרך כלל ) ובעצם אנחנו מנהלים את משאבי הרשת שלנו כראות עינינו.

כמובן שמעבר לשאלת הפרת EULA כזה או אחר ( שלפי דעתי אינו מופר כאן ) נשאלת שאלה אתית , האם בעצם מותר לי להשתמש בתוכנה אשר המודל העסקי שלה הוא - שימוש תמורת צפיה בפרסומות , להשתמש בה כאשר הצד המרוויח הוא רק אני .

בהחלט נושא למחשבה...

Labels: ethics, law, social, software, technology

Posted by barry at 7:44 PM | Link | Comments

אתמול בערב , יצאנו אני ובת זוגתי לארוחת ערב חביבה באחת המסעדות האהובות עלינו , כדי לטעום קצת מהמטבח היפני המשובח. ואכן היה כך , האוכל היה מעולה והחשבון היה גבוה יחסית כבכל מקום שבו השף לובש בנדנה עם אותיות מדיאלקט לא נודע.

ובכן , בסוף הארוחה הגשתי את כרטיס האשראי שלי על מנת לשלם את החשבון , וכפי שקורה מידי פעם - קיבלתי את נייר החשבון בצורה שאני מאוד מתנגד אליה , ומופיעה במקומות רבים אשר רובם - מסעדות.

על מה בעצם אני מדבר ...
כאשר המלצר או בעל העסק מעביר את כרטיס האשראי שלך , מתבצעת סליקה מיידית של החשבון אל מול חברות אשראי שונות כגון SHVA או חברות אחרות אשר ייעודן הוא בעצם לבצע טיוב עסקאות אשראי בזמן אמת על מנת לגבות ולתקף את העסקה אל מול הלקוח ללא ביצוע עתידי. כלומר - פרטי האשראי מועברים בזמן אמת ונבדקים , ולאחר מכן אין בהם עוד צורך.

במסעדה שאכלנו אתמול ( וזו לא המסעדה היחידה שראיתי את זה בה ) הוגש לנו החשבון לחתימה כאשר הפרטים הבאים היו עליו :
תוקף הכרטיס
מס מלא !!! של כרטיס האשראי
וברגע שהייתי חותם עליו - גם שמי.

למעשה , כל אדם בעל גישה לאותה פיסת נייר שהייתי משאיר בעוזבי את המסעדה , או מלצר ממורמר - יכלו בקלות לקחת ממני את הפרטים ולרכוש בצורה מקוונת באינטרנט או בכל מקום אשר נדרשים רק פרטים מזהים של כרטיס - לרכוש על חשבוני ככל שיעלה על רוחם ועד גובה הקרדיט המגיע לי. מובן שאת מס תעודת הזהות היו צריכים להשיג , אבל בואו נהיה כנים - זה לוקח 5 דקות גם למי שאינו מכיר ברזי כריית המידע.

מה שהיה צריך לקרות בפועל , הוא שהפתק אשר אני מקבל מכיל רק 4 ספרות אחרונות מפרטי כרטיס האשראי שלי , ועל פי כן לא ניתן לגלות את כל המספר - וזה אכן מה שקורה ברוב בתי העסק . אבל בשל חוסר זהירות של הלקוח , וחוסר אמינות מסויים מאת המסעדן - קורה מצב בו אחד הפרטים החשובים ביותר שאדם נושא עמו - הופך לאלמנט קל לגניבה.

מובן שמדובר בחוסר מודעות ותכנון לקוי של מערכות הסליקה , אבל אולי פה מתחיל הפתרון - תוציאו גרסאות מעודכנות לקופות הרושמות ! חברות שונות אשר זה כל ייעודן לא יכולות לתת לחברות אשר אותן הן משרתות לפגוע במוניטין שלהן על ידי חשיפת מידע רגיש בצורה כל כך פשוטה.

Labels: managment, social

Posted by barry at 11:29 AM | Link | Comments