|
Zadatak 1: treći čovjek
Pozadinski scenarij: prevarant poslužuje lažni
escrow servis koji predlaže i pristaje na sve
prodavateljeve uvjete kako bi se domogao prijenosnog
računala. Lažni escrow servis nema nikakvu funkciju,
jednostavno služi da prodavatelja uvjeri da će mu prijenosno
računalo biti plaćeno.
Bitne točke u zadatku:
- Uvjeriti se da polaznici razumiju što je založni
servis (escrow service).
Predloženo objašnjenje:
Založni servis (escrow service) posreduje između
kupca i prodavatelja tako da zadržava isplatu sve
dok se kupac ne uvjeri u ispravnost isporučene robe.
- Pronaći "točku na kojoj se gubi povjerljivost":
nepouzdani izvor (nepoznata osoba) diktira način
provođenja transakcije.
- Potaknuti polaznike da zamisle što bi se dogodilo
kada bi pristali na ponudu. Mentor glumi prevaranta
(nepoznatu osobu) i odgovara na njihove upite.
- Potvrda o uplati koja stigne s takvog servisa je
lažna kao i cijelo web sjedište.
- Web stranice servisa možda sadrže i e-mail adresu korisničke službe
na koju se polaznici mogu javiti da "provjere
autentičnost". I ta adresa je lažna jer na poruke
odgovaraju osobe uključene u prijevaru.
- Najčvršća točka je u cijelom dopisivanju je adresa
na koju treba poslati prijenosno računalo.
Bodovanje:
| 50% |
za otkrivanje da je nepouzdan izvor razlog zbog kojeg založnom servisu ne
treba vjerovati |
| 20% |
za svaki funkcionalan prijedlog provjere kredibiliteta založnog servisa |
| 10% |
za isticanje da je sve na lažnom servisu - lažno (korisnički račun,
potvrde...) |
| 20% |
za otkrivanje da se korištenjem e-mail adrese istaknute na lažnom webu ne
potvrđuje ništa |
Zadatak 2: virtualni posjet virtualnom dućanu
Pozadinski scenarij: običan http phishing
web (u prilogu). Web stranice iz priloga odgovaraju
zamišljenom autentičnom e-bankarstvu zamišljene banke.
Polaznici trebaju proći čitav scenarij (kliknuti na sve
raspoložive linkove).
Bodovanje:
| 40% |
za uočavanje da link u e-mail obavijesti može voditi bilo kamo |
| 10% |
za isticanje da su kontakt informacije u potpisu lažne |
| 30% |
za prijedlog neovisne provjere nazivanjem korisničke službe (ne pomoću broja
iz e-mail poruke) |
| 20% |
za svaki funkcionalan prijedlog provjere kredibiliteta web stranice (https,
certifikat) |
Zadatak 3: prepreke na putu
Pozadinski scenarij: radi se o lažnom pluginu
(browser nije bitan, izbjeći raspravu o tehnologiji)
iza kojeg se krije trojanac. Plugin inače (osim što
je trojanac) uredno reproducira pjesmu. Uz ovaj zadatak nema
primjera.
Navesti polaznike da razmišljaju o motivima autora
stranice. Kada potvrde da se najvjerojatnije radi o
malicioznom kodu (i objasne zašto tako misle), postaviti
sljedeća pitanja:
- Ako bi napravili potpuni backup računala i
tada pokrenuli nepoznat program, da li bi na taj način
bili sigurni?
Odgovor: Ne, jer trojanac bi nam mogao pokrasti već
pohranjene povjerljive podatke.
- Kada bi na stranici proizvođača preglednika
potvrdili da je plugin normalna komponenta koja
se inače koristi, bi li je tada bilo sigurno ugraditi?
Odgovor: Ne, ispravno bi bilo na stranici proizvođača
web preglednika slijediti poveznicu ili uputu kako taj
plugin ugraditi.
- Ako se sadržaj ispravno reproducira, znači li to da
je plugin bezopasan?
Odgovor: Ne, plugin može obavljati stvarnu i
skrivenu funkciju.
Navesti polaznike da nagađaju na koje bi se sve načine
mogla izvesti provjera kredibiliteta (digitalni potpis,
preusmjeravanje na stranicu proizvođača web preglednika i
slično). Ta rješenja ne moraju biti stvarna niti praktična,
važno je da polaznici pronađu način za uspostavu ispravne
linije povjerenja.
Bodovanje:
| 30% |
za svaki funkcionalan prijedlog provjere kredibiliteta plugina (npr.
download s vjerodostojne lokacije) |
| 30% |
za isticanje da je izvor nepouzdan |
| 20% |
za potpuni odgovor (s objašnjenjem) na bilo koje od tri pitanja |
| 20% |
za potpuni odgovor (s objašnjenjem) na preostala dva pitanja |
|
