EMV – standard służący podniesieniu bezpieczeństwa transakcji kartowych

Data: 15 czerwca 2010 | Autor: | Brak komentarzy »

Smart cardPonieważ w ostatnim wpisie o statystyce oszustw kartowych za 2009 rok rzuciłem trochę karcianym żargonem technologicznym, spieszę wyjaśnić, cóż to takiego jest standard EMV. Otóż jest to standard elektronicznych kart płatniczych, oparty na technologii smart card – co oznacza po prostu kombinację „czip + PIN”. Kartami EMV są wszystkie karty, które oprócz paska magnetycznego, mają jeszcze wtopiony w nie mikroprocesor. W zasadzie – podchodząc do tego w dość uproszczony sposób – standard EMV określa pewien sposób autentykacji i autoryzacji kartami płatniczymi, a więc można powiedzieć, że jest pewnego rodzaju protokołem.

Nazwa jest akronimem pochodzącym od trzech organizacji, które ten standard opracowały – Europay, MasterCard i Visa. Rozwojem tego standardu zajmuje się powołana przez nie organizacja EMVCo., zaś aktualnie, tj. od roku 2008, obowiązuje specyfikacja 4.2 standardu. Aktualnie EMVCo. rozwija równolegle standard płatności bezstykowych (PayPass w przypadku MasterCarda i payWave dla Visy).

Czytaj dalej »


Przekręt 419, czyli szwindel nigeryjski

Data: 14 czerwca 2010 | Autor: | 1 komentarz »

Dzisiejszy artykuł został zainspirowany przez wiadomość, jaka trafiła do mnie w portalu społecznościowym GoldenLine, a przedstawia się następująco (kliknij, żeby powiększyć):

Przekręt nigeryjski - wiadomość na GoldenLine

Hmmm… Prawda, że ciekawa oferta? I na upartego mogę zaprezentować ją urzędowi skarbowemu jako spadek! Cóż, niestety ten świat jest tak zaprojektowany, że w przeważającej większość przypadków, kiedy Ci coś dają za darmo, należy uciekać jak najszybciej, trzymając się za portfel. Tak jest również w tym przypadku.

Czytaj dalej »


Proceder przejmowania rachunków – podejście American Bankers Association

Data: 10 czerwca 2010 | Autor: | Brak komentarzy »

Serwis BankInfoSecurity publikuje interesujący wywiad z Dougiem Johnsonem z Amerykańskiego Stowarzyszenia Bankowców, dotyczący ryzyka przejmowania przez przestępców rachunków firmowych w celu wytransferowania z nich środków. Ten proceder staje się również coraz większym problemem w Polsce, więc warto poświęcić chwilę i zainteresować się nad podejściem do tego problemu w USA. Tytuł wywiadu jest znamienny: Nie wszystko stracone.

W największym skrócie Johnson podkreśla łączną odpowiedzialność za zabezpieczenie rachunku, tj. leżącą zarówno po stronie banku, jak i jego posiadacza. Dementuje on także powszechne podejście do problemu w postaci „technologia załatwi wszystko” i zwraca uwagę na słabość, jaką w procesach reprezentuje czynnik ludzki. Jako dwa podstawowe remedia na ten problem Johnson wymienia po pierwsze – tak, tak! – należyty poziom kontroli wewnętrznej po stronie klienta. Po drugie postuluje odpowiednią współpracę między bankiem a klientem, która pozwoli na określenie typu i charakteru powszechnie realizowanych transakcji, tak aby systemy bankowe potrafiły zidentyfikować i zapobiec transakcjom atypowym, które potencjalnie mogą oznaczać próbę wyprowadzenia środków. Wydaje się, że to dość trywialne i podstawowe rzeczy, tymczasem życie pokazuje, że na tym polu jest jeszcze wiele do zrobienia.


Nowy rodzaj phishingu – tabnabbing

Data: 27 maja 2010 | Autor: | Brak komentarzy »

Cóż, świat idzie do przodu, a razem z nim oszuści. W sieci, na blogu jednego z deweloperów Firefoxa, Azy Raskina, pojawił się niedawno wpis o nowej możliwości wyłudzania poufnych danych identyfikacyjnych, tym razem za pomocą skryptów podmieniających „normalną” przeglądaną przez nas stronę. Raskin wspomina, że podatne na ten mechanizm są w tej chwili Firefox i Chrome, nie wspomina natomiast o Internet Explorerze.

Jak to działa? Cały pomysł oparty jest na braku uwagi przeglądających naraz szereg stron www w kartach. Otóż wystarczy wstawić do kodu strony przemyślny skrypt (Raskin zamieszcza zresztą przykładowy skrypt na swojej stronie), który po określonym czasie nieaktywności użytkownika dana karta „odświeżyła” stronę, ładując na niej inną, spreparowaną stronę, zachęcającą użytkownika do podania informacji identyfikacyjnych. Może to być strona logowania do banku, poczty e-mail, czy innej usługi sieciowej. Zajęty przeglądaniem innych stron użytkownik w większości wypadków stwierdzi po prostu, że z powodu dłuższej nieaktywności wygasła mu sesja w poczcie, czy banku. Po wypełnieniu danych logowania, wędrują one do przestępców, a strona wczytuje właściwą stronę, tj. tą, której użytkownik oczekuje. Prawda, że proste?

Czytaj dalej »


Trochę matematyki, czyli trójkąt jako warunek konieczny dla nadużycia

Data: 25 maja 2010 | Autor: | Brak komentarzy »

Jedną z fundamentalnych teorii w zarządzaniu ryzykiem nadużyć, która próbuje odpowiedzieć na pytanie Dlaczego ludzie popełniają nadużycia? jest tzw. trójkąt nadużyć. Koncepcja ta, w uproszczony oczywiście sposób, stara się zebrać czynniki psychologiczne, jakie muszą współzaistnieć, aby dana osoba popełniła nadużycie.

Podstawą koncepcji trójkąta nadużyć były prace amerykańskiego kryminologa i socjologa, Donalda R. Cresseya (1919-1987), aczkolwiek – o czym niewiele osób wie – to nie on był autorem samego trójkąta. Trójkąt jako graficzna forma teorii Cresseya pojawił się nieco później i w ogromnym stopniu przyczynił się do jej popularyzacji.  Jednym z tematów badań Cresseya była właśnie przestępczość białych kołnierzyków, których nazywał „gwałcicielami zaufania” [wszystkie tłumaczenia w tekście są mojego autorstwa]. W wydanej w 1973 r. pracy Pieniądze innych ludzi: studium nad psychosocjologią nadużyć wyszedł on z hipotezą, która w kolejnych latach została właśnie zilustrowana trójkątem nadużyć.

Czytaj dalej »