Unikátní otisk PC - implementace sledovacího SW na webu proti podvodníkům
Dodáváme službu klientům na fakturu s odloženou splatností (jsme překladatelská agentura). V uplynulém roce jsme se opakovaně stali obětí podvodu.
Každodenní praxe je taková, že klient si objedná, my ověříme údaje objednatele v živnostenském nebo obchodním rejstříku a pokud vše souhlasí - službu dodáme (v našem sektoru naprosto obvyklá praxe).
Stalo se ovšem, že:
1) při vyplňování online objednávky se objednatel připojil ze svého notebooku někde v restauraci přes veřejnou WiFi (policie jej tak nemůže vystopovat podle IP adresy)
2) fakturační údaje použil existujícího živnostníka či firmy
3) pouze e-mail použil vlastní a sice Gmail, který nepředává IP adresy v hlavičce zprávy.
Hotový překlad jsme dodali e-mailem a po 14 dnech nedostali zaplaceno.
Případy dopadly tak, že jsme na odeslanou upomínku dostali odpověď, že domnělý odběratel si nic neobjednával. Dluh jsme tedy nevymáhali.
V jednom případě jsme podali už žalobu o zaplacení, protože domnělý dlužník nereagoval na naše upomínky, ale u soudu pak objednávku popřel.
Porovnával jsem IP adresy ze všech případů, kdy jsme obdrželi falešnou objednávku. Pro marketingové účely používáme na webu měřič návštěvnosti, který např. odchytává klíčová slova a odkazy, ze kterých na náš web zákazníci chodí. Toto sledování má pro nás zásadní význam z hlediska SEO.
Přitom jsem si všiml jedné věci, o které jsem dosud nevěděl. Ve všech případech se shodovala položka "User agent". Jde o tři řádky nesrozumitelného kódu, kterému jsem dosud nepřikládal žádnou pozornost a netušil, k čemu je dobrý. Po krátkém googlení jsem dohledal, že se jedná o unikátní otisk každého počítače.
Podvodník tedy, podle mé hypotézy, používá stále stejný notebook, ale při vyplňování objednávky se připojuje z veřejných WiFi, aby skryl svou domácí IP.
Šel jsem ve statistice měřiče návštěvnosti do historie, až jsem došel k úplně prvnímu přístupu dotyčného notebooku (předpokládám, že jde o notebook, neboť rozlišení monitoru je 1024x600). A bingo! Vyskočila na mne domácí IP adresa a na náš web přišel přes vyhledávač Seznam.cz! Náš web si tehdy prohlížel 6 minut a následně jej navštěvoval již jen z veřejných IP. Domácí IP je od WiFi spotu jednoho z poskytovatelů na Jižním Městě v Praze - dle mapy na jejich webu jsem dokonce našel, že mají anténu přímo na paneláku, kde dotyčný podvodník bydlí. Po dalším pátrání a vyhledávání na internetu jsem totiž zjistil i identitu dotyčného. Tato identifikace samozřejmě stojí na vodě, na policii by mi to asi nezbaštili.
Po dlouhém úvodu se dostávám k otázkám:
1. znáte konkrétní sledovací SW, který bych implementoval na web a pomáhal by mi ve filtrování podobných podvodníků?
2. lze unikátní otisk PC (user agent) použít jako pomocný důkaz a předložit policii, vč. postupu, jakým jsem k dotyčnému došel a ztotožnil anonymního podvodníka s reálnou identitou žijící osoby? Např. podal na policii trestní oznámení, policie by daný notebook zajistila a prověřila, zda se shoduje unikátním otiskem, který zachytil náš měřič návštěvnosti?
1. panopticlick.eff.org tady je ukázka co browser pustí do světa
takže minimálně toto lze sbírat, a následně to vyhodnocovat
2. na naše poměry sci-fi, policie nemá prachy na benzín do aut, nepoužije zdroje sledovací techniku a lidi na tak malé případy, po trestním oznámení se to celé vyřídí papírově a uzavře do dvou měsíců.
Já bych ty objednávky asi ověřoval telefonicky dotazem na tel. č. té firmy
teď přesně nevím, co se ti pod user agent loguje, ale já mám takový pocit, že to jsou jen obecná data, jako verze OS, prohlížeče, maximálně pak rozlišení apod. Nic, co by ten počítač opravdu fyzicky identifikovalo (tj. zjistíš, že to byl podle rozlišení netbook, ale už je zcela neprůkazné, zda dva záznamy v logu jsou od téhož jednoho konkrétního stroje).
Obávám se, že nejjednodušší řešení je takové, na jaké přistoupili běžní obchodníci - u neznámých zákazníků (prvních zakázek) platba (nebo alespoň záloha např. 50%) předem - tím se zároveň ověří identita, u ověřených zákazníků pak možnost fakturace na splatnost.
Snazil bych se podvodu predchazet nez nasledne resit problem s nezalacenymi zakazkami
1. Pro prijem objednavky vynutit poslani mailu z firemni adresy - tohle jde jeste obejit.
2. Po objednani poslat potvrzovaci mail na firemni mail s tim, ze prisla objednavka, a pozadovat potvrzeni - tohle uz podvodnik neobejde.
Bod 1 by se dal upravit i tak, ze muze odeslat odkudkoliv, ale musi uvest firemni adresu, pres kterou dojde k potvrzeni objednavky.
User agent neobsahuje nic unikatneho, neviem, kde si to vygooglil, ale tvoje rozpravanie mi prislo chvilkami az moc filmove.
Identita sa da overit mnoho sposobmi, firmy casto ziadaju kopiu zovnostenskeho, danovej registracie, alebo si rovno zavolaju a overuju si kontakt cez telefon.
To, ze ma zakaznik, ktory objednava po 1x zaplatit dopredu je viac ako jasne.
Děkuji, ale uvědomte si, že jde o podvodníka, nejedná se o neplatiče. Jde o podvodníka, sociotechnika, jehož cílem je vás oklamat a už předem ví, že nebude za zakázku platit (a pojistí se všemi preventivními opatřeními, aby nebyl ztotožněn).
Neplatič je člověk, který chce zaplatit, ale nemá čím (druhotná platební neschopnost), příp. někdy v budoucnu zaplatí (třeba po zásahu exekutora
1) Kráťa: Telefon firmy - jaká je záruka, že jde o firemní číslo, natož číslo nějakého živnostníka?
2) touchwood: ne každý klient chce přistoupit na zálohu či platbu předem (aneb "nechce kupovat zajíce v pytli") a u překladatelských agentur panuje velká konkurence, zákazník může jít o dům dál, kde mu odloženou splatnost umožní.
3) touchwood: ad ověření identity - ne každý má bankovní účet (řada klientů z řad "obyčejných nefiremních" nám chodí do banky vkládat platby na pokladně)
4) Jan Fiala: firemní emaily - ne každý je má, i středně velké firmy používají emaily na Seznam.cz, Gmail, Atlas.cz ....
Příslušný user-agent je tento:
Mozilla/4.0 (compatible; MSIE 7.0;
Windows NT 5.1; Trident/4.0;
GTB7.2; .NET CLR 2.0.50727; .NET
CLR 3.0.04506.648; .NET CLR
3.5.21022; .NET CLR 3.0.4506.2152;
.NET CLR 3.5.30729)
Když jej porovnám s ostatními, je unikátní a ztotožňuje se jen s několika přístupy.
Znovu opakuji, že zde mám co do činění se zkušeným sociotechnikem, který všechna tato opatření (ověření identity telefonem, emailem) zná. A není pro něj problém si za 100 Kč pořádit výpis z živnostenského rejstříku. A dotyčný podvodník se vydává zejména za živnostníky - existující osoby. Abych si se zárukou ověřil, že živnostník opravdu objednal, musel bych posílat doporučený dopis na adresu jeho místa podnikání, s dotazem, zda skutečně objednávka pochází od něho, aby ji písemně potvrdil (s úředně ověřeným podpisem).
Asi chápete, že něco takového je naprosto nemyslitelné a administrativně náročné (nemluvě o tom, že klienti na překlady spěchají, potřebují je mít hotové často do druhého dne). Toto všechno podvodník ví, a využívá této naší slabiny.
este raz, co pisal fleg, User agent obsahuje nazov browsera, OS, pripadne rozlisenie, v tvojom pripade verzia .NET, v ziadnom pripade nemusi byt unikatny, takisto, ak tvoj podvodnik zmeni browser, tak User Agent bude iny. Riesenie je, pozadovat nejaku formu overenia iba pri podozrivych pripadoch, pripadne taku objednavku neprijat. Inak z tvojho prveho postu som pochopil, ze sa vzdy jednalo o toho isteho cloveka
Nechapem co riesis. Ja podnikam 10 rokov a kazdu chvilku ma chce niekto obtiahnut o peniaze. To, co robi dotycny nie je nic unikatne. Co je user-agent si uz snad pochopil, takze o co ide?
Chces rychly preklad? Ok tak rychlo zaplat. Nemozes? Dovidenia. Je to tak jednoduche.
Evidentne patris este medzi tych zaciatocnikov, co trpia poruchou vyhoviet kazdemu za kazdu cenu. Potom sa nediv, ze podvodnici to vyuzivaju.
fleg: Toto je sice fórum o počítačích, snad nebude vadit, že odbočím, ale - jak doznal fleg - patřím "k začátečníkům". Jak byste tedy ověřovali identitu klienta, pro případnou pozdější žalobu o zaplacení. A podle čeho se rozhodovat, že zákazník je "podivný" a nejspíš s ním budou problémy?
Já tohle totiž z elektronické objednávky (máme pro objednávky na webu standardizovaný formulář) nepoznám. Nepoznám to ani z e-mailové komunikace a světe div se, ani z telefonního hovoru.
Rád si vyslechnu vaše rady.
Připomínám, že většina klientů s překladem spěchá (jedná se o překlady faktur, emailů, dopisů, nabídek, brožur, jídelních lístků, projektových dokumentací) a protože dodáváme překlady obratem - i kdybychom přešli zcela na systém "zaplať předem", nelze čekat na bankovní převod (trvá 1-2 dny), protože jsme s překladem rychlejší, než banka připíše peníze
Pokial sa prevod realizuje medzi roznymi bankami posiela sa ako dokaz o zaplateni print screen obrazovky z internete bankingu, kde je vidiet, ze peniaze boli prevedene.
Samozrejme sikovny grafik, taketo nieco vyrobi za 30min, ale na 99% podvodnikov to staci.
Inak tuto prax maju aj velke firmy, okrem Esetu, ktory caka az na prichod penazi me doteraz, kdekolvek stacilo zaslat printscreen a faktura bola povazovana za uhradenu.
každý user zanechá své jedinečné otisky. počítač ne. musel bys najmout stejného magora jako je on, pokud nechceš použít doporučené postupy. user agenta změní i pětileté dítě, ip také. jediný co člověk nezmění, jsou návyky v komunikaci a způsob vyjadřování. nebude to ovšem nic pro trestní stíhání, jen pro blokaci.
Já si myslím, že i kdybys získal komplet informace o počítači, ze kterého bula objednávka zaslána, nebude ti to nic platné. To bys musel získat snad i otisk prstu s časovým razítkem.
Co když ti někdo pošle z kavárny přes anonymizer, z počítače, u kterého se vystřídá 20 lidí za den objednávku na přeložení "Vojna a mír"? K čemu ti bude přesná identifikace počítače? Požaluješ majitele kavárny?
A pokud tomu tedy rozumíte, můžete mi rozklíčovat jednotlivé položky user-agent:
Mozilla/4.0 (compatible; MSIE 7.0;
Windows NT 5.1; Trident/4.0;
GTB7.2; .NET CLR 2.0.50727; .NET
CLR 3.0.04506.648; .NET CLR
3.5.21022; .NET CLR 3.0.4506.2152;
.NET CLR 3.5.30729)
Prohlížeč je MSIE 7.0, operační systém Win XP.
Co znamená ostatní a zejména ta čísla?
Jedná se o stále stejného člověka, jehož obětí jsme už asi rok.
Na to nikdo nepřistoupí.
Můj příspěvek č. 2 jen relativizoval vaše (dobře míněné) rady. Pokud je útočník chytrý, bude se vydávat za existujícího živnostníka Petra Slepičku, s emailem fanky_bunky@gmail.com a mobilem 608123456789, tak nemám jinou možnost prokazatelného ověření objednávky, než poslat písemně na adresu místa podnikání žádost o potvrzení objednávky.
Přece nebudu klienty žádat, aby mi poslali naskenovanou občanku, jak vyžaduje např. PayPal
su to verzie .NET frameworku, ktore ma/mal nainstalovane na jeho PC
Ještě k user agentovi.
V addonu pro Firefox User Agent Switcher lze nastavit prakticky cokoliv.
Toto vie Safari, IE s doplnkom developer toolbar a mnohe ine alternativne browsery, takze ten agent prezradi vsetko, ale v skutocnosti nic, takze pokial dotycny neziska nejaky digitalny hash konkretneho pc, tak nema v rukach nic, cim by mohol svojpomocne identifikovat nejakeho konkretneho cloveka s konkretnym pocitacom, notebookom etc.
Maximalne skus prez toho user agenta blokuj ty, co to maj stejný. Zase ale muzes ztratit zakaznika(y) kdyz to bude shoda nahod.
Až to nějak vyřešíš, navrhuju smazání tohoto tématu. Daný záškodník může projizdet poradnu :)