Archiwa miesięczne

lipiec 2006

Dorabiają kserując tajemnicę bankową Citibanku

Szczegółowe dane klientów Citibanku Handlowego krążą po rynku. Sprzedają je innym bankom i firmom ubezpieczeniowym pracownicy spółki DSA, która zajmuje się sprzedażą kart kredytowych Citibanku.

Do „Gazety” w Łodzi zgłosiło się kilku byłych i obecnych pracowników spółki DSA, agencji sprzedaży podległej Citibankowi.

Z ich opowieści wynika, że dane klientów banku nie są należycie chronione, a co więcej – są przedmiotem handlu.

Manipulujemy i zarabiamy

Na dowód przynieśli kilkadziesiąt skserowanych formularzy ze szczegółowymi informacjami o klientach: danymi osobowymi, adresem, posiadanym samochodem, zarobkami, telefonem, stażem pracy, rachunkiem w banku itp.

– Tych dokumentów nie powinniśmy mieć – przyznają. – Kserujemy dane, żeby dorobić – tłumaczą swoje postępowanie doradcy spółki Citibanku.

DSA została założona przez Citibank pięć lat temu tylko w jednym celu – by sprzedawała jak najwięcej kart kredytowych Citibanku. Działa we wszystkich największych miastach Polski. Jej doradcy organizują spotkania w najróżniejszych firmach, podczas których namawiają pracowników do wyrobienia karty kredytowej Citibanku.

– Im więcej kart sprzedamy, tym więcej zarobimy – opowiadają anonimowo doradcy DSA. – Żyjemy z prowizji, a presja jest ogromna. Miesięcznie musimy namówić na kartę kredytową 42 klientów, a 36 z nich musi zostać zaakceptowanych przez Citibank. Taki jest plan, kto go nie wykona, żegna się z pracą.

Żeby wyrobić normę, doradcy DSA chwytają się najróżniejszych metod. – Wnioski o wydanie kart są podrasowywane w ten sposób, by podczas weryfikacji przez Citibank klient nie został „zrejectowany” (odrzucony) – tłumaczą. – I rzucają przykładami:

* podnosi się wykształcenie takiej osobie, * zarobki, * zamienia mieszkanie wynajmowane na własnościowe, * podwyższa staż pracy.

– Citibank to później sprawdza, ale wyrywkowo i wiele takich wniosków przechodzi. Jak nam klienta odrzucą, mamy problem. Teoretycznie ktoś taki może starać się o kartę po sześciu miesiącach. Omijamy to tak, że zretuszowany wniosek składa na drugi dzień inny doradca, który swój kod wpisuje na wniosku. Wypisuje go sam, co też jest niezgodne z prawem. W końcu wniosek przechodzi, a my mamy kasę za kartę. Gdy klient ją jeszcze aktywuje, albo zrobi nią choć jedną transakcję, mamy z tego kilkaset złotych. Jak się zadłuży – nawet kilka tysięcy. Oczywiście tych klientów musi być co najmniej kilkunastu.

Wnioski w bagażniku

Ale doradcy DSA zarabiają też w inny sposób. – Kserujemy wnioski, co w Citi jest absolutnie zakazane. Żeby nie wpaść podczas audytu, wozimy je w bagażnikach naszych aut. Nie trzymamy w biurze. Takich wniosków mamy tysiące.

Dane klientów są potem sprzedawane firmom ubezpieczeniowym i doradcom finansowym z konkurencji. – To idealne do telemarketingu. Konkurencja potem dzwoni do klienta i proponuje na przykład kredyt. Wie, ile zarabia, i ma większe szanse na sukces. Za wniosek dostajemy po 20 zł – przyznają.

Pracownicy DSA mówią, że Citibank nie wie o ich manipulacjach. Dodają także, że narażają klientów. – Ludzie nie zdają sobie sprawy, że wpisując wyższe zarobki od prawdziwych, narażają się na odpowiedzialność karną. Jak Citi to w końcu sprawdzi, okaże się, że połowa klientów nie spełnia kryteriów koniecznych do posiadania karty kredytowej. Ale na razie jesteśmy liderem w sprzedaży kart. I szefostwo nasze metody akceptuje.

– Nic o tym nie wiem – zapewnia Robert Narloch, dyrektor DSA na region łódzki. – Będziemy to dokładnie badali, bo mamy do czynienia z działaniami kryminogennymi. Nic więcej nie powiem.

Po naszych pytaniach wysłanych do Citibanku w DSA rozpoczęła się błyskawiczna kontrola zarządzona przez bank. – Mamy bardzo rygorystyczne procedury, więc zaistnienie sytuacji, o które pan pyta, mogłoby mieć miejsce tylko i wyłącznie w przypadku złamania procedur, czyli przez popełnienia przestępstwa. – mówi Paweł Zegarłowicz, dyrektor biura prasowego Citibanku.

Zegarłowicz nie wykluczał prowokacji, ale po wysłaniu faksem przez „Gazetę” skserowanych wniosków klientów Citibanku zmienił zdanie. – Sprawą musi się zająć policja i prokuratura – deklaruje.

– Wiem, jakie dane trzeba podać przy staraniu się o kredyt czy kartę i jestem przerażona. Po raz kolejny okazuje się, że warte miliony złotych zabezpieczenia danych klientów banku mogą zawieść, gdy zawodzi najsłabsze ogniwo, czyli człowiek – komentuje Małgorzata Kałużyńska-Jasak z biura Generalnego Inspektora Ochrony Danych Osobowych. – Mamy do czynienia nie tylko ze złamaniem tajemnicy bankowej, ale także zwykłą kradzieżą.

Autor: Marcin Masłowski
Źródło: Gazeta.pl

Atak na Firefoksa

H.D. Moore, twórca zestawu hakerskich narzędzi Metasploit, który ogłosił lipiec „miesiącem dziur w przeglądarkach”, stworzył prototypowy kod atakujący Firefoksa.

Kod wykorzystuje luki załatane w wersji 1.5.0.5 przeglądarki. Podczas prezentacji kod Moore’a był w stanie uruchomić Kalkulator na komputerze z zainstalowanym systemem Windows.

Można się jednak spodziewać, że wkrótce na jego podstawie zostanie stworzony bardziej niebezpieczny robak. Do infekcji szkodliwym kodem dochodzi podczas wizyty na specjalnie spreparowanej stronie.

Moore twierdzi, że jego kod działa także pod kontrolą systemu Linux z zainstalowaną obsługą języka Java. Można go wykorzystać np. do utworzenia pliku na dysku zarażonego komputera. Zaatakowany może również zostać maszyna z Mac OS X.

Źródło: Arcabit

Undelete w MS Windows Vista

Z Windows Vista zniknęło kilka rewolucyjnych rozwiązań. Ale za to pojawiło się coś nowego.

Jak poinformował Microsoft w swoim TechNet Windows Vista będzie umożliwiał przywrócenie skasowanego pliku.

Operacja ma być bardzo łatwa do zrealizowania z poziomu użytkownika, a szczególną pomocą ma być odpowiedni interfejs. Undelete ma być pomocne w wielu działaniach, a zwłaszcza przy przypadkowym usuwaniu plików. Usługę będzie można wyłączyć.

Źródło: x86.pl

Koń trojański ukryty w pokazie slajdów

Internauci zostali ostrzeżeni przed koniem trojańskim, który ukrywa się w pokazie slajdów.

Zdjęcia prezentują kobietę, która jakoby nazywa się Wiktoria Stasowa. Uruchomienie trzyslajdowego pokazu prowadzi za zainfekowania komputera trojanem.

„Internauci mogą myśleć, że oglądają zdjęcia pięknej Rosjanki, która szuka miłości. Jednak w tle cyberprzestępcy kradną informacje, wśród nich nazwy użytkownika i hasła” – mówią specjaliści. Ostrzegają oni, by nie otwierali załączników od osób, które zostały poznane na serwisach randkowych.

Trojan nie rozpowszechnił się szeroko, a przed infekcją może nas uchronić aktualizowane na bieżąco oprogramowanie antywirusowe.

Źródło: Arcabit

Neostrada bez abonamentu

Instalacja oferowanej przez TP neostrady (dostęp do internetu) bez konieczności opłacania abonamentu telefonicznego powinna być możliwa wszędzie tam, gdzie będzie to technicznie wykonalne.

Uważa Urząd Komunikacji Elektronicznej (UKE).

Jak poinformowało w piątek PAP biuro prasowe TP, Telekomunikacja „pracuje obecnie nad stanowiskiem dla UKE” dotyczącym oferty neostrady. Do czasu udzielenia oficjalnej odpowiedzi Urzędowi, TP nie będzie komentować stanowiska regulatora.

Jak stwierdza przesłany w piątek PAP komunikat UKE, prezes Urzędu wezwał w zaleceniach pokontrolnych Telekomunikację Polską do usunięcia nieprawidłowości polegającej na „uzależnieniu zawarcia umowy o świadczenie usługi neostrada tp, od świadczenia usługi telefonicznej w oparciu o dostęp analogowy”.

Zdaniem UKE, takie uzależnianie jest – zgodnie z art. 57 ust. 1 pkt 1 Prawa telekomunikacyjnego – bezprawne. Dostawca usług czyli Telekomunikacja Polska nie może bowiem uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej, od zawarcia przez użytkownika umowy o świadczenie innych usług.

Jednak, jak stwierdza komunikat UKE, prezes Urzędu na razie tylko wezwał TP do usunięcia w ciągu 30 dni nieprawidłowości spowodowanych takimi praktykami lub złożenia wyjaśnień w tej sprawie, a nie zaś wydał decyzję nakazującą rozdzielenie neostrady od abonamentu telefonicznego.

Decyzja taka, według UKE, może zostać wydana, jeśli TP nie udzieli wyjaśnień w ciągu 30 dni lub UKE uzna je za niewystarczające. Wówczas Urząd Komunikacji Elektronicznej wydaje decyzję, w której wskazuje środki zmierzające do usunięcia nieprawidłowości, wyznacza termin ich usunięcia oraz nakłada karę.

Jak stwierdza UKE, „do czasu wyegzekwowania przez prezesa UKE wykonania zalecenia, czyli zmiany oferty TP (umowy i regulaminu usługi), ubieganie się o rozwiązanie umowy o abonament telefoniczny i świadczenia wyłącznie neostrady tp nie będzie skuteczne, natomiast wypowiedzenie umowy o abonament telefoniczny może spowodować zaprzestanie przez TP świadczenia wszystkich usług”. To oznacza, iż obecnie abonenci nie mogą żądać rozdzielenia usługi neostrady i abonamentu telefonicznego.

Według UKE, Telekomunikacja Polska powinna wprowadzić usługę neostrady bez abonamentu telefonicznego wszędzie tam, gdzie dotąd świadczona ona była wraz abonamentem telefonicznym oraz wszędzie tam, gdzie pozwalają na to warunki techniczne.

Urząd nie wyklucza, że TP będzie próbowała podwyższyć cenę neostrady, aby zrekompensować spadek przychodów z abonamentu telefonicznego, ale nowy cennik TP zawierający taką podwyżkę musi zostać najpierw zaakceptowany przez UKE.

Źródło: PAP

Dzień Administratora

Jak co roku ostatni piątek lipca obchodzony jest jako Dzień Administratora. Jest to jedyny dzień w roku w którym możemy wyrazić swoje uznanie i wdzięczność dla ich pracy.

Dzisiejszy dzień dotyczy wielu administratorów systemów:

administratorzy komputerowi
administratorzy sieci
administratorzy Internetowi (webmaster)
administratorzy telekomunikacyjni
administratorzy poczty głosowej
administratorzy baz danych
administratorzy systemów pocztowych
programiści systemów Mainframe
Kim jest administrator ?

Osoba odpowiedzialna za utrzymanie wieloużytkownikowych sieci komputerowych LAN oraz WAN, systemów telefonicznych lub systemów poczty głosowej. Typowe obowiązki w jego pracy:

dodawania i konfiguracja nowych komputerów
zakładanie kont użytkowników
instalacja oprogramowania
wykonywanie procedur zapobiegających atakom wirusów internetowych
odpowiednie zaalokowanie masowej przestrzeni
odpowiadanie na pytania użytkowników
Odpowiednio do wielkości i zapotrzebowania przedsiębiorstwa małe firmy posiadają jednego administratora, jednak większe zatrudniają cały ich zespół.

Na stronie sysadminday.com możemy znaleść opis typowego administratora systemu, prezenty jakie chciałby otrzymać oraz humor, który lubi.

Atak na Mailslot i DHCP

Pojawił się szkodliwy kod, który korzysta z dwóch świeżo załatanych luk w systemie Windows.

French Security Incident Response Team (FrSIRT) poinformował o odkryciu kodu atakującego poprawiony protokół DHCP w Windows. Dziura została załatana 11 lipca w ramach poprawek MS06-036.

Druga z zaatakowanych luk to błąd w protokole Mailslot, który również został załatany.

Obie części szkodliwego kodu pozwalają na zdalne przejęcie kontroli nad zaatakowanym komputerem.

Rzecznik prasowy Microsoftu powiedział, że jego firma nie została poinformowana o żadnych skutecznych atakach, jednak monitoruje sytuację.

Firma potwierdziła jednak, że systemy, w których zastosowano opublikowane poprawki, nie są narażone.

Źródło: Arcabit

KaZaA słono zapłaci za pliki

Właściciele jednego z najsłynniejszych serwisów P2P (peer-to-peer) mają zapłacić ponad 100 mln dol. odszkodowania

O ugodzie poinformowali wczoraj przedstawiciele Międzynarodowego Stowarzyszenia Przemysłu Fonograficznego (IFPI). Właściciele spółki Sharman Networks, do której należy KaZaA, mają zapłacić wielomilionowe odszkodowanie czterem największym koncernom fonograficznym – Universal Music, Sony BMG, EMI oraz Warner Music.

W zamian za to wytwórnie wycofają się z dwóch pozwów – w sądzie w Australii (sędzia już orzekł, że spółka łamała prawa autorskie) oraz w Kalifornii.

Czym KaZaA podpadła wytwórniom? Dzięki serwisowi miliony internautów na całym świecie mogły się wymieniać utworami muzycznymi chronionymi prawami autorskimi, nie płacąc za to ani grosza.

Prawnicy wytwórni oskarżyli właścicieli Sharman Networks o zachęcanie do łamania prawa – promowali oni swoje oprogramowanie m.in. pod hasłem „free music”.

Zgodnie w ugodą KaZaA może dalej działać pod warunkiem, że będzie odprowadzać opłaty licencyjne.

Także wczoraj właściciele serwisu KaZaA podali, że podobną ugodę podpisali z hollywoodzkimi studiami filmowymi. Jej szczegółów nie ujawniono.

Ojcami serwisu KaZaA byli dwaj przedsiębiorczy Skandynawowie – Niklas Zennstrom i Janus Friis. W 2001 r., kiedy KaZaA była na szczycie popularności, sprzedali oni serwis spółce Sharman Networks.

Ta sama dwójka stworzyła potem Skype’a – dziś lidera telefonii internetowej. W zeszłym roku za 2,6 mld dol. odkupił go aukcyjny gigant eBay.

Choć IFPI odtrąbiło podpisanie ugody jako wielki sukces w walce z piratami, analitycy są sceptyczni. Ich zdaniem ma to wymiar jedynie symboliczny, gdyż KaZaA już kilka lat temu utraciła miano najpopularniejszego serwisu P2P. Jej miejsce zajęły takie serwisy jak eMule czy BitTorrent.

– To wielkie zwycięstwo, dobry symbol, by się na niego powoływać, ale jeśli chodzi o faktyczne zwalczanie problemu piractwa internetowego, niewiele to zmieni, bo internauci dawno wyemigrowali do innych serwisów – powiedział Jonathan Arber, analityk firmy badawczej Ovum.

IFPI szacuje, że w zeszłym roku piracki rynek muzycznych płyt CD był wart 4,5 mld dol., a internauci nielegalnie ściągnęli 20 mld plików.

Autor: Tomasz Grynkiewicz
Źródło: Reuters/Gazeta.pl

Sieci Wi-Fi wciąż podatne na ataki

Specjaliści przestrzegają, że sieci Wi-Fi są szczególnie podatne na ataki.
Nie chroni przed nimi nawet szyfrowanie protokołami WEP i WPA.

Narzędzia potrzebne do złamania haseł są łatwo dostępne w Internecie, a niektóre dystrybucje Linuksa zostały skonfigurowane tak, by ułatwić dokonywanie włamań. Co więcej, by skorzystać ze wspomnianych narzędzi i złamać szyfry, nie jest potrzebna żadna specjalistyczna wiedza.

Szczególnie narażony na atak polegający na nasłuchiwaniu komunikacji, jest protokół WEP.

Cyberprzestępca może podsłuchiwać wymianę danych pomiędzy połączonymi bezprzewodowo komputerami, a gdy zbierze wystarczającą ilość przesyłanych pakietów, złamanie zastosowanych haseł jest bardzo łatwe.

Z kolei protokół WPA jest bardzo łatwo złamać w momencie logowania się jednego z komputerów do bezprzewodowej sieci.

Eksperci przypominają, by wybierać długie, skomplikowane hasła, które nie przypominają żadnych istniejących wyrazów. Okazuje się, że aż 10% użytkowników wciąż chroni swoje maszyny za pomocą jednego z 50 najpopularniejszych haseł. Hasła należy również często zmieniać.

Źródło: Arcabit

MySpace nie działa przez brak prądu

Brak prądu stał się przyczyną wyłączenia internetowego serwisu społecznościowego MySpace. Problemy z ponownym uruchomieniem witryny są poważniejsze, niż przypuszczano na początku.

MySpace to najpopularniejszy serwis społecznościowy na świecie; co miesiąc odwiedza go dwa miliony internautów, głównie nastolatków.

Można w nim założyć osobistą stronę internetową i pisać blogi, tworzyć grupy dyskusyjne, wymieniać się zdjęciami czy plikami audio i video.

Administratorzy zapewniali na początku, że awarię uda się naprawić w ciągu godziny, teraz przestali jednak podawać jakiekolwiek terminy końca naprawy. Odwiedzający MySpace mogą natomiast pograć w popularną grę Pacman zamieszczoną na stronie głównej.

Siedziba Myspace mieści się w Hollywood w Kalifornii, właścicielem serwisu jest firma News Corporation medialnego magnata Ruperta Murdocha. Według analiz, MySpace jest czwartą co do popularności na świecie anglojęzyczną stroną internetową – chwilowo nieczynną.

Źródło: IAR