25.02.2016, 17:11
Czy wiesz, że Twoje konto Uber jest około 17 razy bardziej cenne dla hakerów, niż dane Twojej karty kredytowej?
Takie wnioski można wyciągnąć po analizie raportu firmy zabezpieczającej Trend Micro sporządzonego dla kanału CNBC, a któremu miałem szansę bliżej się przyjrzeć. Wynika również z niego, że skradzione dane zawierające loginy i hasła użytkowników usługi Uber, na czarnym rynku sprzedawane są średnio za 12 złotych za dostęp do jednego konta. Dla porównania, na dane karty kredytowej nie wydamy w przeliczeniu więcej niż 80 groszy.
Badanie, które zostało przeprowadzone na zlecenie CNBC, ujawnia również ceny za skradzione konta do innych usług. O ile, nie zbiedniejemy bardzo podczas zakupu kradzionego konta Uber, to już za konto w usłudze PayPal będziemy musieli trochę wydać, gdyż te ostatnie konta są na czarnym rynku są uważane za najbardziej wartościowe. Według raportu konto PayPal z gwarantowanym rachunkiem w ilości 500 dolarów możemy uzyskać za ok. 24 złote.
Poniżej znajdziecie wykres, na którym można sprawdzić ile warte są konta na czarnym rynku, do poszczególnych usług.
![[Obrazek: pubchart?oid=1051748007&format=image]](https://docs.google.com/spreadsheets/d/1TQyBZJjyamaRYHSTCAXfZNwwp0Syn_3PJaTiFluVeXI/pubchart?oid=1051748007&format=image)
"Skradzione konto Uber może posłużyć do uzyskania lepszego obrazu swojej potencjalnej następnej ofiary przed pełną kradzieżą tożsamości." powiedział Darryn O'Brien Country Manager Trend Micro na Afrykę Południową.
Skalę problemu może przedstawić wynik wyszukiwania w wyszukiwarce Twittera po wpisaniu hashtagu #UberAccountHacked czy #uberhacked.
Użytkownik twierdzi, że nigdy nie był w Johannesburgu, nie wspominając już o podróży do RPA. Poniżej znajdziemy zrzut ekranu z zapisem trasy.
![[Obrazek: CWdLwSeUYAAB9lF.jpg]](https://pbs.twimg.com/media/CWdLwSeUYAAB9lF.jpg)
Kolejny przykład tym razem prosto z Moskwy. W tym przypadku użytkownik również informuje na Twitterze o użytkowaniu jego konta przez osobę trzecią. Poniżej zapis z przejazdu.
![[Obrazek: CZs_47tWYAAXeqH.jpg]](https://pbs.twimg.com/media/CZs_47tWYAAXeqH.jpg)
"Niezależnie od tego, czy powyższe historie na Twitterze są prawdziwe, faktem jest, że m.in. skradzione konta do usługi Uber są wystawione na sprzedaż na czarnym rynku.” Powiedział Darryn O'Brien Country Manager Trend Micro
Co jeśli już zauważysz, że ktoś włamał się na Twoje konto?
W pierwszej kolejności powinieneś zmienić hasło do swojego konta. Spowoduje to automatyczne wylogowanie się ze wszystkich urządzeń.
W tym przypadku najlepszym sposobem będzie skontaktowanie się bezpośrednio z pomocą techniczną Uber.
Lekarstwem na tego typu przypadki byłaby weryfikacja dwuetapowa użytkownika Uber, niestety na chwilę obecną nie jest ona jeszcze dostępna w Polsce.
O komentarz poprosiłem Tomasza Milę, który w firmie
„Afera Ubera” to wynik lekkomyślności użytkowników, którzy w usłudze wymagającej podpięcia karty płatniczej podają hasło, którego używają również w innych usługach, portalach internetowych itd. To właśnie zrobiło wielu użytkowników Ubera. Należy pamiętać, aby nigdy nie używać takiego samego hasła do więcej niż jednego serwisu internetowego. W przypadku Ubera może to być o tyle trudne, że rejestracja przebiega na telefonie, co może komplikować silenie się na wpisywanie hasła spełniającego wymogi bezpieczeństwa. Niemniej jednak, trzeba się przełamać i utworzyć hasło, które spełnia poniższe kryteria:
- nie jest hasłem słownikowym, zawartym w słownikach służących do łamania haseł. Te specyficzne słowniki zawierają wszystkie poprawne słowa definiowane w języku polskim, angielskim, etc., oraz popularne kombinacje cyfr typu 123456, a także wersje wymienionych słów pisane od tyłu, na przemian małymi i dużymi literami, z przyrostkami typu 123, 094, 111, 000, 123!, 1!, 2! itd.
- jest hasłem nieszablonowym. Wyciek hasła do Facebooka typu "moje_hasło_do_facebooka" sprawi, że cyberprzestępca będzie próbował dostać się np. do LinkedIn za pomocą hasła "moje_hasło_do_linkedin".
- jest długie i skomplikowane, bo im dłuższe hasło i im więcej znaków posiada, tym dłużej zajmuje jego łamanie. Należy pamiętać o stosowaniu kombinacji małych i dużych liter z domieszką znaków specjalnych i cyfr. Hasła warto tworzyć i zapisywać w menedżerze haseł (np. KeePass, czy moduł e-Portfela zaimplementowany w produkty antywirusowe marki
W przypadku nadużyć finansowych związanych z "aferą Ubera", główną bolączką jest fakt integracji konta użytkownika z kartą płatniczą. W takim przypadku dobrym środkiem zapobiegawczym zdaje się być spięcie konta z kartą pre-paid lub każdą inną, dla której to posiadacz definiuje ilość gotówki na rachunku przypisanym do karty. Kiedy już jednak przytrafi się katastrofa i użytkownik padnie ofiarą nadużycia, wówczas oprócz kontaktu z Uberem, absolutną koniecznością jest wykonanie tzw. chargebacku, czyli niezwykle skutecznej operacji anulowania transakcji z użyciem karty płatniczej. Chargeback to operacja odzyskania pieniędzy z banku po fałszywej transakcji kartowej. Prawo stanowi, że każdą transakcję na karcie płatniczej, z którą posiadacz się nie zgadza, zawsze można reklamować. I najlepiej zrobić to od razu w tzw. trybie VISA / MasterCard chargeback. Bank jako właściwy wydawca karty płatniczej zobowiązany jest do prowadzenia procesu chargeback zgodnie z regulacjami międzynarodowej organizacji płatniczej VISA lub MasterCard, a cała procedura chargeback jest regulowana wewnętrznymi przepisami organizacji płatniczych, w jej treść nie ingeruje prawo krajowe, a tym bardziej wewnętrzna polityka danego banku.
Jak widać, włamanie na konto użytkownika w aplikacji Uber to nie koniec świata. Niemniej jednak jest to oczywisty sygnał, że należy szczególnie uważnie przyjrzeć się swojemu cyfrowemu bezpieczeństwu.
Źródło: własne, Twitter, Trend Micro RPA
Rozpowszechnianie artykułu bez zgody zespołu Safegroup.pl zabronione.
[Aby zobaczyć linki, zarejestruj się tutaj]
Takie wnioski można wyciągnąć po analizie raportu firmy zabezpieczającej Trend Micro sporządzonego dla kanału CNBC, a któremu miałem szansę bliżej się przyjrzeć. Wynika również z niego, że skradzione dane zawierające loginy i hasła użytkowników usługi Uber, na czarnym rynku sprzedawane są średnio za 12 złotych za dostęp do jednego konta. Dla porównania, na dane karty kredytowej nie wydamy w przeliczeniu więcej niż 80 groszy.
Badanie, które zostało przeprowadzone na zlecenie CNBC, ujawnia również ceny za skradzione konta do innych usług. O ile, nie zbiedniejemy bardzo podczas zakupu kradzionego konta Uber, to już za konto w usłudze PayPal będziemy musieli trochę wydać, gdyż te ostatnie konta są na czarnym rynku są uważane za najbardziej wartościowe. Według raportu konto PayPal z gwarantowanym rachunkiem w ilości 500 dolarów możemy uzyskać za ok. 24 złote.
Poniżej znajdziecie wykres, na którym można sprawdzić ile warte są konta na czarnym rynku, do poszczególnych usług.
"Skradzione konto Uber może posłużyć do uzyskania lepszego obrazu swojej potencjalnej następnej ofiary przed pełną kradzieżą tożsamości." powiedział Darryn O'Brien Country Manager Trend Micro na Afrykę Południową.
Skalę problemu może przedstawić wynik wyszukiwania w wyszukiwarce Twittera po wpisaniu hashtagu #UberAccountHacked czy #uberhacked.
Użytkownik twierdzi, że nigdy nie był w Johannesburgu, nie wspominając już o podróży do RPA. Poniżej znajdziemy zrzut ekranu z zapisem trasy.
Kolejny przykład tym razem prosto z Moskwy. W tym przypadku użytkownik również informuje na Twitterze o użytkowaniu jego konta przez osobę trzecią. Poniżej zapis z przejazdu.
"Niezależnie od tego, czy powyższe historie na Twitterze są prawdziwe, faktem jest, że m.in. skradzione konta do usługi Uber są wystawione na sprzedaż na czarnym rynku.” Powiedział Darryn O'Brien Country Manager Trend Micro
Co jeśli już zauważysz, że ktoś włamał się na Twoje konto?
W pierwszej kolejności powinieneś zmienić hasło do swojego konta. Spowoduje to automatyczne wylogowanie się ze wszystkich urządzeń.
W tym przypadku najlepszym sposobem będzie skontaktowanie się bezpośrednio z pomocą techniczną Uber.
Lekarstwem na tego typu przypadki byłaby weryfikacja dwuetapowa użytkownika Uber, niestety na chwilę obecną nie jest ona jeszcze dostępna w Polsce.
O komentarz poprosiłem Tomasza Milę, który w firmie
[Aby zobaczyć linki, zarejestruj się tutaj]
, będącej generalnym dystrybutorem produktów marki[Aby zobaczyć linki, zarejestruj się tutaj]
, odpowiada za produkty związane z bezpieczeństwem IT.„Afera Ubera” to wynik lekkomyślności użytkowników, którzy w usłudze wymagającej podpięcia karty płatniczej podają hasło, którego używają również w innych usługach, portalach internetowych itd. To właśnie zrobiło wielu użytkowników Ubera. Należy pamiętać, aby nigdy nie używać takiego samego hasła do więcej niż jednego serwisu internetowego. W przypadku Ubera może to być o tyle trudne, że rejestracja przebiega na telefonie, co może komplikować silenie się na wpisywanie hasła spełniającego wymogi bezpieczeństwa. Niemniej jednak, trzeba się przełamać i utworzyć hasło, które spełnia poniższe kryteria:
- nie jest hasłem słownikowym, zawartym w słownikach służących do łamania haseł. Te specyficzne słowniki zawierają wszystkie poprawne słowa definiowane w języku polskim, angielskim, etc., oraz popularne kombinacje cyfr typu 123456, a także wersje wymienionych słów pisane od tyłu, na przemian małymi i dużymi literami, z przyrostkami typu 123, 094, 111, 000, 123!, 1!, 2! itd.
- jest hasłem nieszablonowym. Wyciek hasła do Facebooka typu "moje_hasło_do_facebooka" sprawi, że cyberprzestępca będzie próbował dostać się np. do LinkedIn za pomocą hasła "moje_hasło_do_linkedin".
- jest długie i skomplikowane, bo im dłuższe hasło i im więcej znaków posiada, tym dłużej zajmuje jego łamanie. Należy pamiętać o stosowaniu kombinacji małych i dużych liter z domieszką znaków specjalnych i cyfr. Hasła warto tworzyć i zapisywać w menedżerze haseł (np. KeePass, czy moduł e-Portfela zaimplementowany w produkty antywirusowe marki
[Aby zobaczyć linki, zarejestruj się tutaj]
), natomiast zalecam unikać zapisywania haseł w przeglądarkach internetowych.W przypadku nadużyć finansowych związanych z "aferą Ubera", główną bolączką jest fakt integracji konta użytkownika z kartą płatniczą. W takim przypadku dobrym środkiem zapobiegawczym zdaje się być spięcie konta z kartą pre-paid lub każdą inną, dla której to posiadacz definiuje ilość gotówki na rachunku przypisanym do karty. Kiedy już jednak przytrafi się katastrofa i użytkownik padnie ofiarą nadużycia, wówczas oprócz kontaktu z Uberem, absolutną koniecznością jest wykonanie tzw. chargebacku, czyli niezwykle skutecznej operacji anulowania transakcji z użyciem karty płatniczej. Chargeback to operacja odzyskania pieniędzy z banku po fałszywej transakcji kartowej. Prawo stanowi, że każdą transakcję na karcie płatniczej, z którą posiadacz się nie zgadza, zawsze można reklamować. I najlepiej zrobić to od razu w tzw. trybie VISA / MasterCard chargeback. Bank jako właściwy wydawca karty płatniczej zobowiązany jest do prowadzenia procesu chargeback zgodnie z regulacjami międzynarodowej organizacji płatniczej VISA lub MasterCard, a cała procedura chargeback jest regulowana wewnętrznymi przepisami organizacji płatniczych, w jej treść nie ingeruje prawo krajowe, a tym bardziej wewnętrzna polityka danego banku.
Jak widać, włamanie na konto użytkownika w aplikacji Uber to nie koniec świata. Niemniej jednak jest to oczywisty sygnał, że należy szczególnie uważnie przyjrzeć się swojemu cyfrowemu bezpieczeństwu.
Źródło: własne, Twitter, Trend Micro RPA
Rozpowszechnianie artykułu bez zgody zespołu Safegroup.pl zabronione.