David Schwartzberg, in�ynier bezpiecze�stwa firmy Sophos przedstawi� ciekaw� sytuacj� z pr�b� przej�cia domeny swojej �ony przez oszusta.

17 czerwca, w pi�tkowe popo�udnie zadzwoni� do niego niejaki Mike twierdz�cy, �e jest pracownikiem dzia�u sprzeda�y hostingu 1&1. Przywita� si� m�wi�c, �e dzwoni w sprawie domeny jak� niedawno zarejestrowa�a jego �ona, co by�o prawd�.

Zaoferowa� on now� us�ug� za 19.99 dolara miesi�cznie z okresem testowym na 30 dni. Rozmowa sz�a w tym kierunku, �e mo�na by by�o spr�bowa�, a jak co� to si� zrezygnuje bez �adnych konsekwencji. Kiedy ju� wszystko by�o um�wione, Mike stwierdzi� �e na koniec musi sprawdzi� kilka danych co by potwierdzi� to�samo�� rozm�wcy. Zacz�� od prostych rzeczy jak pytanie o adres domowy.

Potem poprosi� o ID do systemu logowania ale na koniec powiedzia� jeszcze, i� potrzebuje has�o co by si� zalogowa� i uruchomi� us�ug� na pr�b�. Tu na szcz�cie zadzia�a� instynkt samozachowawczy Schwartzberga. By�a to n�dzna pr�ba zastosowania in�ynierii spo�ecznej do wyci�gni�cia danych logowania.

Mike niemal natychmiastowo zako�czy� rozmow� m�wi�c, �e uruchomi us�ug� inaczej i �yczy� mi�ego dnia.

W�a�cicielka szybko ruszy�a sprawdzi� swoje konto i zmieni� has�o. Sprawdzi�a te� mail. Znalaz�a w nim list z informacj� o wys�anie wniosku o nowe has�o. Najwidoczniej Mike musia� o nie prosi�.

W kontakcie z 1&1 poinformowano j�, �e nigdy nie prosz� o �adne has�a. Schwartzbergerowie poprosili te�, aby sprawdzi� czy kto� o imieniu Mike bra� jej numer telefonu i dzwoni�, ale nikogo takiego nie znaleziono. Poinformowano zatem na koniec 1&1, �e informacje o ich klientach s� wykorzystywane do wy�udzania hase� przy u�yciu in�ynierii spo�ecznej. Inaczej bowiem nikt nie m�g� pozna� jej telefonu.

�r�d�o: http://nakedsecurity.sophos.com/