Tabnabbing — новый вид фишинга
Новый сорт фишинга детально описан и назван автором Tabnabbing. Суть такая — вы открываете вкладку, в ней появляется нормальный с виду сайт, все отлично. Затем вы переключаетесь в другую вкладку, занимаетесь чем-то еще, а предыдущая вкладка потихоньку меняет свое название, иконку и содержание. Когда вы возвращаетесь к ней, вас ждет нечто, что сфабриковал злоумышленник — форму входа в Gmail, логин в банковский аккаунт и тому подобные хитрые вещи. Есть некий шанс, что вы пожмете плечами и введете свой пароль, который попадет прямиком к мошеннику. Дальнейшие ужасы можете додумать сами.
Демонстрация с комментариями доступны (просто перейдите по ссылке, а потом на 5 секунд откройте любую другую вкладку), а вот решения бля большинства браузеров пока нет. Для Firefox предлагается использовать Account Manager, а пользователям других браузеров предлагается быть повнимательнее.
Уязвимое место у этой технологии обмана есть — в адресной строке по-прежнему будет адрес вредоносной страницы. Но всегда ли мы на него обращаем внимание? Кроме того, подделать адрес стало возможно с внедрением национальных доменов с поддержкой Unicode — можно использовать в доменном имени похожие на латиницу буквы.
Остерегайтесь подделок, граждане.
BSS MobiPass, Nokia 5800, Интернет и Региобанк
Сегодня подключил бесплатную услугу банка НОМОС-Региобанк — Интернет-офис, то есть доступ к счетам через интернет. Посмотреть счета можно запросто, надо только логин и пароль ввести, а вот на операции по переводу денег или для оплаты услуг надо вводить сеансовый ключ. Варианта два — либо распечатать сто бумажек в банке, по одной на операцию, либо установить в телефон «вечный» генератор ключей MobiPass.
Я бумажки не люблю в принципе, особенно те, которые надо иметь под рукой, поэтому выбрал MobiPass, благо, у меня не iPhone (там мобипасс не работает, говорят) какой-нибудь, а обычная рабоче-крестьянская Nokia 5800. В требованиях заявлено, что для MobiPass необходимо иметь телефон с поддержкой Java MIDP 2.0, что бы это ни было. Мой телефон, очевидно, соответствует, поскольку программу я скачал и установил без проблем.
Проблемы были дальше. Программа при первом запуске просит выдумать PIN, а затем надо ввести 4 секретных числа, которые выдал банк. Только нормальной клавиатуры в Nokia 5800 нет, а «ненормальную» виртуальную MobiPass в упор не видит. Короче, не удалось мне эти цифры ввести.
Начал с начала — я сразу в банке спрашивал, а нет ли у них такой же программы, но для компьютера. Сказали нет и не планируется. Оказывается, есть. По запросу java midp emulator Google выдал набор ссылок, среди которых была ссылка на бесплатный MicroEmulator.
Мне не особо интересно разбираться со всеми возможностями этого эмулятора, но одно могу точно сказать — BSS MobiPass в нем работает отлично. Я сделал тестовый перевод со счета на счет, подписал транзацкию, банк ее принял. Выглядит, правда, не так гламурно, как в телефоне, но это тоже, скорее, плюс. Самое главное, что MicroEmulator где-то сохраняет настройки MobiPass, то есть его не надо каждый раз активировать 40-значным ключом, выданным в банке.
Насколько я знаком с Java, MicroEmulator будет работать на любом компьютере, где оная Java установлена. Я проверял на Mac OS X 10.6.3, здесь она изначально есть.
Я так и не понял причину, по которой MobiPass существует, а какой-нибудь PCPass нет. Пользоваться интернет-банком из телефона нереально (там отдельный ужас), а раз уж есть компьютер, то почему на нем не установить такую программу? Единственное объяснение, которое я нашел — это доступ к своему счету с какого-нибудь публичного компьютера, где нельзя (и глупо) устанавливать программы, а телефон он всегда под рукой.
Локализация рекламы в Интернете
Сегодня обнаружил занятный баннер на одном сайте. Сам сайт значения не имеет, как и рекламируемый сервис Daily Deal от LivingSocial. Примечателен баннер ровно одним — он динамически подставляет название города, основываясь на базе данных, сопоставляющей диапазоны IP адресов с населенными пунктами.
Само по себе это не ново, я периодически сталкиваюсь с рекламой какой-то службы знакомств, которая настойчиво предлагает познакомиться с девушками из Nekrasovka и Topolevo. Понятно, что никаких некрасовских барышень у них на сайте нет, как нет и хабаровских распродаж на сайте Daily Deals.
О чем это я? В общем, это просто был хороший повод написать о том, что реклама постепенно будет становиться более сфокусированной, а в итоге будет обращена персонально адресату, причем с учетом не только города проживания, но и возраста, пола, социального статуса, истории покупок в соседнем супермаркете и так далее. Полагаю, многие из читающих это сейчас вполне могут дожить до такой антиутопии.