14 septembrie 2010

This time it happened to me too



...that I was about to be scammed. Really stupidly if I look back, but the impression that you have on the spot is different. Here's what happened:

Some weeks ago I had put up an ad on ebay about a device that I wanted to sell. Nothing had happened until today, when the ebay guys have sent me a note that I will have either to take the ad out, or repost it. So I took their advice, and no sooner had I reposted it (the just-in-case / doesn't hurt approach) than I got an email for somebody! Yay! The person wanted the device for its last price, made no comments, and when I said that the process will take a while, the person insisted that I send her (it was a she) just the stuff that I have with me. And ASAP, and she was giving me a generous 60 euro for the shipping to the UK! I said, hm, nothing bad so far. So at her request, I sent her the bank details of my account (harmless) and waited. What happened next was a bit more interesting: the person's bank, apparently, sent me 2 emails to tell me that they would release the agreed sum only when I send to the bank the shipping order code for the device. And that was supposed to be done in 5-6 hours!

Apart from the fact that "hey, that's some nerve there: I have the device, I send it ASAP, and I still risk of losing both the device and never getting the money" , I realized the email address was kind of strange - the domain, instead of ending with .com, ended with .net, and instead of containing the bank name, had a conspicuous "officeemail" in the body. So that triggered a little alarm... So I looked at the emails again, and noticed:
  1. lots of spelling mistakes / typos
  2. the name of the bank (Scotiabank) was written sometimes in one word, sometimes in two
  3. lots of capital letters
  4. the CEO was thanking me for the service, but his name didn't correspond with the name of Scotiabank that Google gave me
  5. how in the world could a bank verify the shipment number that I give them without knowing what service provider I used?
  6. how in the world could a bank care so much about the process and need the code, in the first place?
  7. the picture banner contained references to the 175th anniversary of the bank, but ... that was in 2007!

I would indeed have fallen for the CEO saying thanks in the end, it's true and I admit it. But the other details caught my eye. The truth is, still, that mostly connaiseurs would know about these things, but not a normal person who's new to this game. And I was also lucky - these possibly Nigerian guys were sloppy. They left out so many glitches, that the more time I spend looking at the actual emails, the more other glitches I find.

So the question is what would have happened had the bad guys not been so sloppy? If you eliminate the typos, and the CEO, and the picture banner that wouldn't load just right -- basically, the things that were about form and details, then what would be left?
  • the connection between a bank transfer and a shipment order (since when bank transfers can stop depending on another person than the one who sends the money?)
  • the impossibility to verify the correctness of the shipment number that I would have supplied
  • the email address that looked strange, unfit for a bank.
I don't know which of these points you or anybody else would be trapped in. Or would be not. But I was thinking what are, in general, the non-technical ways of thwarting social engineering or ...stupidity (!) when it comes to these things online, because I know a lot of people who would be fooled easily. Actually I also know people who are really pro-s and they were almost fooled e.g., a friend of mine from Ipswich got at some point a popup window that looked ok, saying that he needs to click there if he wants the McAffee virus signatures to be updated. He had almost clicked, when he realized - wait a minute, I don't have McAffee installed on this computer! and indeed it was a cool malware that had slipped in. So overall, malicious attempts tend to be much smarter by the day.

So, if I were to start a list of what to look for and what to do when you are in such a situation, I would put there:
  • the "this feels spooky" approach, also knows as intuition. If you 'feel' there's something fishy, don't do what they tell you until some time passes and you get some proofs that the action will be authentic. Problem: when your intuition says "go for it!".
  • the "better if he makes the effort first" approach, in cases like ebay. You risk less if you get the other pay or send you the object first, but if you are malicious, well, doesn't work. Problem with this approach: even if both parties are honest, there can be a deadlock when one waits for the other to make the first step.
  • the "check out for the hologram" approach. This works well with (bank)notes, but less well with emails. But if you have an email, then you can look for signs of authenticity like references, signatures that are not plain text or pictures, links. Problem with this approach: you can spoof references, you can spoof links easily, and even a lawful signature can have a bug that renders it fake for no real reason. But you need to look for something concrete other than "because this person says so".
  • the "check out for legitimate contact data" approach. It's more difficult to spoof domains that are already taken, but true, not impossible.
  • the "common sense in the real world" approach, or what guarantees can they give me that I won't end up with nothing. This is seldom easy, and technology-wise, not yet attainable...
What else would *you* add to the list draft?

Când gunoiul înfrânge...


Sursa imaginii.

... şi toată lumea pierde, mai puţin gunoiul. Nu ştiu cine a avut geniala idee de a-l aresta pe DDD dar dacă tot au făcut-o sper să fie pentru un motiv bun şi justiţia să îi acopere toate portiţele de scăpare. De ce? Pentru că altfel întreaga Românie va deveni platoul de filmare al jegurilor de la OTV.

Dan Diaconescu s-a făcut remarcat prin punerea pe sticlă cu obstinaţie a tuturor deşeurilor umane pe principiul că penibilul vinde. Şi a vândut, a vândut mult prea bine. Iar oamenii care trebuiau să sancţioneze fenomenul (CNA în primul rând) culeg acum roadele jocului de glezne. Chiar şi societatea a asistat pasivă la îndobitocirea sistematizată promovată de OTV, iar boala s-a luat şi la celelalte televiziuni unde emisiuni de aşa zis "divertisment" ar îngrozi ochii unui Toma Caragiu sau Amza Pellea.

Iar pericolul cel mai mare este că personajul vrea să candideze la preşedenţie. Iar dacă lumea va lua în râs candidatura lui aşa cum au luat şi rebutu-i de televiziune, s-ar putea chiar să-i şi reuşească şi să-l vedem în prima poziţie din stat. Are terminaţia corectă "escu", are discursul populist care include cuvinte magice ca pensionari, sănătate, învăţământ şi ştie ce satisface mintea neantrenată.

De aceea zic că dacă au început să-l mângâie cu cătuşele pe la încheieturi ar face bine să i le strângă până la sânge şi să i le ţină acolo pentru câţiva ani. Altfel toate instituţiile implicate în cercetarea lui penală vor fi târâte în mocirla de mediocritate cu care am fost obişnuiţi pe platoul de la OTV. Iar această terfelire a instituţiei deja a început. Urmăream aseară un interviu care îi era luat la ieşirea de la DNA şi acuzele pe care le-a adresat instituţiei ar fi fost suficiente într-o ţară normală să-l bage câteva zile la întuneric. O persoană care candidează la preşedenţie nu are voie să vorbească aşa despre o instituţie a statului pe care vrea să-l reprezinte.

Sper ca justiţia să fie de această dată eficientă şi să reducă la tăcere acest fenomen dăunător sănătăţii sociale şi spirituale a poporului român pentru că altfel, conform istoriei noastre de păcălici electorali, cei mulţi şi naivi vor îmbrăţişa cea mai facilă soluţie, nu cea corectă.

Later edit: Interviu DDD

3 septembrie 2010

Roşia Hannah Montană


În tot vacarmul din ultima vreme, generat de remanieri, de o posibilă inutilă moţiune de cenzură (care dacă ar duce la căderea Guvernului s-ar putea concretiza şi într-o suspendare a Preşedintelui) şi alimentat (vacarmul) cu sete de televiziunile şantajiste (denumite trusturi de presă), este foarte uşor să se treacă anumite evenimente sau ştiri cu vederea.

Cum ar fi, de exemplu, "şpaga" RMGC pentru mai mulţi jurnalişti. Mai multe detalii puteţi citi aici. Istoria trădărilor pentru un pumn de bani sau avantaje este lungă şi nu numai la noi. N-am de gând să mă pronunţ asupra subiectului pe care mărşăluiesc mai toate polemicile legate de Roşia Montană şi anume exploatarea prin cianuri. O să mă concentrez asupra rezultatului final: statul ia undeva la 20% din aurul extras (sursa), iar nea Gabriel pleacă de aici cu restul pe care românii nu o să-l mai pupe niciodată. Măcar pentru asta găsesc că este normal să protestez.

Faptul că aici este cel mai bogat zăcământ cunoscut de aur din Europa explică interesul atât de ridicat al RMGC şi campania media pe care a făcut-o până acum şi cea care se prefigurează. Tocmai pentru că interesele sunt foarte puternice şi fiecare hienă vrea o bucată din acel aur a fost imposibil ca proiectul să se desfăşoare în orice forma a fost el propus. Recomandările Comisiei Europene legate de exploatările cu cianuri nu vin dintr-o subită ingrijorare legată de impactul asupra mediului. Sunt şi ei nişte funcţionari graşi care nu vor să scape un asemenea potenţial fără să se mânjească şi ei puţin pe la bot. În plus contez şi pe un mic "ajutor" maghiar, pentru că România are o istorie de poluare cu cianură a apelor ce ajung în Ungaria. Iar exploatarea asta cu cianură chiar şi în conditiile unei părţi de doar 20% tot ar fi un fond mare ce ajunge la statul român. Iar Ungaria nu are nevoie ca vecina ei, tot timpul îmbrăcată în zdrenţe, să apară poleită în aur din cap până-n picioare. Aşa că proiectul nu va ajunge să se implementeze până nu vor sătura toate gurile avide după caşcaval. Protestele organizaţiilor de mediu şi a celor dacofile n-ar avea absolut niciun efect dacă factorii de decizie ar fi puşi de acord pentru proiect. Şi ce face RMGC pentru a ajunge la acest stadiu? Interpune ziarişti între nevoile, scopul lor şi factorii de decizie. Jurnaliştii la comandă pot face şantaj de imagine pentru orice opozant al proiectului (pentru că între noi fie vorba presa din România la asta e folosită). În plus toată percepţia general negativă legată de proiect poate fi manevrată prin penelul unor jongleori ai cuvântului. Ar mai fi de pus la socoteala aici şi patrimoniul cultural şi istoric al zonei (printre care ar fi de menţionat minele de aur din vremea romană şi pre-romană care sunt singurele trapezoidale de pe tot teritoriul fostului imperiu). Dar după principiul Vanghelie-Lahovari: ne băgăm p***-n ei de strămoşi că oricum noi murim de foame, aceste valori vor fi călcate în picioare fără absolut nicio remuşcare.