Hacking jako marketingová technika?

Velmi často se na internetu stává, že se někdo snaží získat vaše citlivá data. O to větší překvapení pak nastává, když naopak citlivá data získáte vy, a ještě k tomu ta vaše. O tom, že tato data byla použita jako prostředek v rámci konkurenčního boje, nemusíte mít vůbec tušení, stejně tak jako Karel v tomto příběhu.

Asi zde nemá smysl sáhodlouze vysvětlovat, že phishing či chcete-li rhybaření je podvodná technika, mající za cíl získat citlivé údaje, například údaje o vaší platební kartě včetně PINu. Oběť obvykle obdrží mail, který se tváří jako důvěryhodný a snaží se jí přesvědčit, aby klikla na odkaz, který ji přesměruje na pro tento účel vytvořené webové stránky, které obsahují formulář sloužící k zadání citlivých údajů (obvykle jméno a heslo apod.). Takto nasbírané údaje pak bývají hned zneužity nebo dále prodávány na černém trhu.

V případě phishingu sami a zcela dobrovolně tyto údaje poskytnete, většinou v domnění, že mail pochází od dané firmy a, že se nacházíte opravdu na jejich stránkách. Ono totiž odhalit pravé stránky od phishingových bývá mnohdy velmi obtížné a pokud se vám toto podaří a přihlásíte se např. do pravého e-shopu, ještě nemusíte mít vyhráno, stejně jako Karel v následujícím příběhu.

Karel je běžný uživatel internetu ve středních letech. Má ženu, dvě děti a konečně našel to, co hledal – vytoužený přípravek pro vylepšení intimního soužití. Za takto nízkou cenu ho nabízí pouze jeden e-shop. Ano, e-shop vypadá trochu podezřele, nabízí neuvěřitelné množství produktů za bezkonkurenční ceny. Má sice ruskou doménu, ale za trochu riskování to snad stojí, ne? Už tyto skutečnosti by měly zodpovědného uživatele odradit od nákupu.

Karel objednává zboží a k uhrazení částky použije svoji platební kartu. Bez mrknutí oka zadá číslo karty, datum exspirace i CVV2 kód a už se těší na dodaný preparát. Za několik dní skutečně přijde objednané zboží. Zdá se, že vše proběhlo naprosto v pořádku, avšak jen do té doby, než Karel obdrží zvláštní email. V e-mailu Karla vybízí osoba vystupující jako bezpečnostní expert, aby kontaktoval banku a policii, protože údaje o jeho platební kartě byly zcizeny. Aby Karel skutečně uvěřil, že se jeho údaje dostaly do nepravých rukou, jsou tyto údaje v e-mailu uvedeny jako důkaz.

Skutečně je to tak, jak si myslíte. Na e-shop byl proveden útok, a útočník hacknutím serveru získal obsáhlou databázi. Nezapomínejte, že údaje o Karlově platební kartě, tedy údaje, které umožní provést platbu na internetu, byly uloženy v databázi e-shopu. (Nemysleli jste si doufám, že by tento e-shop dodržoval požadavky uvedené v PCI DSS?)  Karel by tedy měl neprodleně požádat banku o zablokování platební karty.

Tentokrát to dopadlo naštěstí dobře. Karel kartu včas zablokoval a má i zboží, které si objednal. Když si ale připočte k ceně zboží poplatek za vydání nové karty, už svůj nákup za tak výhodný nepovažuje a u daného e-shopu, který nedostatečně ochránil jeho data, si už nikdy nic nekoupí.

Výše popsaný příběh se skutečně stal. Jedná se o techniku používanou v rámci konkurenčního boje mezi firmami, které nabízejí zboží, které v mnoha státech není volně v prodeji nebo se dokonce nesmí prodávat vůbec. Jestliže tyto firmy nemají zábrany na prodeji tohoto zboží vydělávat, nemají ani zábrany najmout si hackery, aby zaútočili na jejich konkurenci, stáhli DB jejich klientů a těm následně rozeslali e-mail o tom, že daný e-shop byl hacknut a jejich údaje byly ukradeny. Je zřejmé, že příjemci mailu použijí příště jiný e-shop, třeba ten, který se ve výsledcích vyhledávání doposud objevoval níže. Ten, co byl na prvních místech, již zcela ztratil jejich důvěru.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. zeaza

    Pěkné téma. Hacking je jako marketingová technika používán nepochybně už dlouho a v mnohem méně „temných“ příkladech. Vzpomeňme na libovolnou bezpečnostní konferenci, které jsme se kdy zúčastnili. S velkou pravděpodobností byla součástí programu přednáška a) výrobce bezpečnostních technologií, uvedená příklady toho, co všechno se může stát, když nekoupíme jeho nový produkt, b) „white-hat“ hackera, který na nějaké webové aplikaci (ideálně internetové bankovnictví) demonstroval nejnověji objevené XSS, CSRF či jiné zranitelnosti (message: zaplaťte si mě, rád vám váš web vyčistím) či c) nezávislého publicisty, který na základně zpráv a statistik o zveřejňovaných bezpečnostních incidentech predikoval budoucí trendy (a za příslušný poplatek vám rád poskytne případné další konzultační služby).

    A co se týče uživatele Karla, jeho hlavní problém není podle mě ani tak v tom, že mu někdo zcizil údaje o jeho platební kartě, ale v tom, že kupuje farmaka pochybné kvality, které mohou trvale poškodit jeho zdraví. Ty peníze na účtu mu banka zrefunduje, s ucpanými cévami už to tak jednoduché být nemusí. Ale kdo by těm cenám odolal, že?

  2. Mach

    Zajímavý článek. Já naopak vidím problém v tom, že Karlovi byly zcizeny jeho údaje o platební kartě, které pak putovaly internetem přes všemožné poštovní servery a byly v podstatě volně k dispozici. Karel si mohl koneckonců kupovat něco jiného (nemusela to být zrovna zdraví poškozující farmaka). Vyvstává tak otázka, jakou má perspektivu nakupování na internetu, kde je obrana proti těmto útokům vždy o krok pozadu. Podle mne to budoucnost nemá.


K článku “Hacking jako marketingová technika?” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: