ZDNet - Pozabite na razne Škulje in podobne spletne kvazibandite na Slovenskem; tokrat so na Švedskem izvedli največji spletni rop vseh časov. Izkupiček ni točno znan, ocenjujejo pa, da so v zadnjih 15 mesecih ukradil sedem do osem milijonov švedskih kron oz. nekoliko manj kot 900.000 evrov.
Za napad sumijo ruske kriminalce, potekal pa je po uveljavljenih metodah. Nekaj sto uporabnikov je po elektronski pošti dobilo ponarejeno sporočilo, ki jih je napeljevalo k prenosu aplikacije raking.zip, ki naj bi asistirala v boju proti nezaželeni elektronski pošti. Odveč je omeniti, da je šlo za zamaskiranega trojanskega konja z imenom haxdoor.ki, ki je uporabnike ob poskusu dostopa do spletnega bančništva preusmeril na lažno stran in zabeležil vsak njihov vnos, mdr. tudi gesla. Program je nato uprizoril tehnično napako na strežniški strani in prekinil povezavo, zlikovci pa so s pridobljenimi podatki počasi, a vztrajno praznili račune.
Švedska policija je odkrila, da so podatke najprej poslali v ZDA, od koder so jih preusmerili v Rusijo; od tod tudi sum, da gre za organizirano skupino iz Rusije. Boo Ehlin, Nordein tiskovni predstavnik, je dejal, da večina oškodovancev na svojih računalnikih ni uporabljala protivirusne zaščite. Kljub temu je banka prevzela glavno breme in vsem oškodovanim uporabnikom vrnila denar iz lastnih sredstev. Poudaril je še, da banka uporablja različne mehanizme za nadzor transakcij, ki opozorijo na sumljivo vedênje, a zaradi nizkih zneskov vseh niso mogli opaziti. Več o tem.
Novice » Varnost » Največji spletni rop
Road Runner ::
Kljub temu je banka prevzela glavno breme in vsem oškodovanim uporabnikom vrnila denar iz lastnih sredstev.
tole me pa pozitivno preseneca.. oni najbrz niso dolzni tega nardit? ali pac? lepa gesta sicer, vprasanje pa ce vzgojna :-)
http://dusan.fora.si/blog/ (742617000027)
@LOL ::
To vračilo se meni zdi hecno in neumno (ok so že preračunali da se jim bolj splača vračati debilnim uporabnikom zaradi ugleda kot da se začne šimf) samo to ne reši problema.
Je zlo pdoobno temu da se odpravimo recmo v trgovino, potem se pa nekje na obvoznici zaletimo ker mislimo kako bomo nakupovali v enem centru kamor smo namenjeni. Zaradi dobrih poslovnih odnosov ti potem trgovina pokrije škodo LOL
Ja zgleda da ni ravno za vsakega uporaba elektronskega poslovanja.. bo treba raje uporabnike malo izobraževati ....
Je zlo pdoobno temu da se odpravimo recmo v trgovino, potem se pa nekje na obvoznici zaletimo ker mislimo kako bomo nakupovali v enem centru kamor smo namenjeni. Zaradi dobrih poslovnih odnosov ti potem trgovina pokrije škodo LOL
Ja zgleda da ni ravno za vsakega uporaba elektronskega poslovanja.. bo treba raje uporabnike malo izobraževati ....
Hippy: The Doors?
Geek: The Windows!
Geek: The Windows!
Monster ::
mogoč pa je banko strah, da se jih nebo kdo spravo tožit zaradi slabe varnosti ... preventiva :D
Ka zaboga...
Microsoft ::
... a zaradih nizkih zneskov vseh niso mogli opaziti.
Dobro so tole ti kriminalci naredili. Pocasi in po malem.
by Miha
Dobro so tole ti kriminalci naredili. Pocasi in po malem.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Fr33man ::
Sumljivo. Mogoče so pa predstavniki tele banke na ta način samo lepo elegantno si na svoj račun nakazal, vse skup pa uprizoril kot rop, potem pa dobrodušno vrnili denar oškodovanim, banka je bila oškodovana, odgovorni pa imajo pol đeparc.
KoMar- ::
Jz jim ne bi vrnil niti tolarja... sej ni banka kriva, da folk poganja vsak .exe, ki ga dobi po mejlu?
@LOL ::
Hehe še ena primerjava: človek ima dizla, na pumpi tanka pa bencin. Ker si servis ne želi "slabe reklame" (sicer neupravičeno) jim šenka iztankanje ter morebitno škodo
Težava je v glupih uporabnikih in ne drugje. Sej pravim, objava in uproaba osebnih podatkov, kreditnih kartic ni za vsakogar. Podno kot tisti dialerji (le kje so jih dobili: warez strani in sumljive pornjaške ter klik na vsak Yes )
Težava je v glupih uporabnikih in ne drugje. Sej pravim, objava in uproaba osebnih podatkov, kreditnih kartic ni za vsakogar. Podno kot tisti dialerji (le kje so jih dobili: warez strani in sumljive pornjaške
ter klik na vsak Yes ) Hippy: The Doors?
Geek: The Windows!
Geek: The Windows!
Zgodovina sprememb…
- spremenil: @LOL ()
AndrejKP ::
Nordein tiskovni predstavnik, je dejal, da večina oškodovancev na svojih računalnikih ni uporabljala protivirusne zaščite
Mislim.Brez komentarjev.
Svaka cest banki.Brez antivirusa,odprta exe kar tako,pa jim se vrnejo denar.Takim je treba cel racun spraznit.
Jst si ne zamislim uporabe PCja na internetu brez vsaj AVja ter FWja.Me zanima kako jim je sploh PC
delal.Jst sem za foro probal 1x brez zascite uporabljat PC na netu....zdrzal je cele 3h,nakar se je
zacelo vse sesuvat in stekat.
Mislim.Brez komentarjev.
Svaka cest banki.Brez antivirusa,odprta exe kar tako,pa jim se vrnejo denar.Takim je treba cel racun spraznit.
Jst si ne zamislim uporabe PCja na internetu brez vsaj AVja ter FWja.Me zanima kako jim je sploh PC
delal.Jst sem za foro probal 1x brez zascite uporabljat PC na netu....zdrzal je cele 3h,nakar se je
zacelo vse sesuvat in stekat.
Microsoft ::
Banke bi lahko naredile dosti vec na tem podrocju. Vsakemu, ki se zanima za to elektronsko bancnistvo, bi lahko ponudile skonto antivirusni program v okviru te ponudbe. Ali pa vsaj svetovali in posvarili uporabnike, v kaj se spuscajo.
Samo tega na zalost ne delajo. Men so enkrat recimo predlagal, da si naj to zrihtam (pac, sem lesen, pa se nimam tega). In govor je bil samo o tem, kako oh in ah bom lahko placeval poloznice (kakor da trajnik ni vredu), pogledal online, koliko denarja imam ipd. O tem, da bi te vsaj malo informairali o varnosti ni. Razen tistega, da ker se uporablja 128 bitni kljuc in SSL, se nic ne more naredit.
by Miha
Samo tega na zalost ne delajo. Men so enkrat recimo predlagal, da si naj to zrihtam (pac, sem lesen, pa se nimam tega). In govor je bil samo o tem, kako oh in ah bom lahko placeval poloznice (kakor da trajnik ni vredu), pogledal online, koliko denarja imam ipd. O tem, da bi te vsaj malo informairali o varnosti ni. Razen tistega, da ker se uporablja 128 bitni kljuc in SSL, se nic ne more naredit.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Pithlit ::
Jst si ne zamislim uporabe PCja na internetu brez vsaj AVja ter FWja.Me zanima kako jim je sploh PC
delal.Jst sem za foro probal 1x brez zascite uporabljat PC na netu....zdrzal je cele 3h
Zanimivo... jaz pa že od leta 1991 ne uporabljam ne antivirusa, ne FWja... pa je vedno vse normalno delovalo. Le kako?
Je pa res, da ne poklikam lih vsake nage babe pa obvestila o miljonih dolajrev, ki sem jih čudežno zadel...
delal.Jst sem za foro probal 1x brez zascite uporabljat PC na netu....zdrzal je cele 3h
Zanimivo... jaz pa že od leta 1991 ne uporabljam ne antivirusa, ne FWja... pa je vedno vse normalno delovalo. Le kako?
Je pa res, da ne poklikam lih vsake nage babe pa obvestila o miljonih dolajrev, ki sem jih čudežno zadel...
Life is as complicated as we make it...
Jaka83 ::
Pri nas ti banka 99% ne bi vrnila ukradenega denarja.
Kaj čmo, niso vsi uporabniki elektronskega bančništva člani Slo-Tech-a oziroma na kratko elektronsko osveščeni. Obstajajo ljudje, ki enostavno uporabljajo računalnik zato ker ga morajo (kot nujno zlo) in taki se bolj malo zanimajo za varnost in jih baš boli kaj vse se lahko zgodi če kliknejo na en YES/OK. Tudi če bi jim banka poturila antivirusnik ga po vsej verjetnosti ne bi znal naložit oziroma niti probal ne bi ... tko kot me je babica zadnjič klicala, če ji pridem napolnit Simobil predplačniški račun, da ga ne zna (čeprav je prej že 2 leti uporabljala Mobitel predplačniški račun in je polnjenje popolnoma enako, samo klicna številka je druga). Skratka point je v tem, da nimajo vsi takega zanimanja za elektronsko bančništvo in ga uporabljajo le zaradi tega, da ne hodijo na banko.
Kaj čmo, niso vsi uporabniki elektronskega bančništva člani Slo-Tech-a oziroma na kratko elektronsko osveščeni. Obstajajo ljudje, ki enostavno uporabljajo računalnik zato ker ga morajo (kot nujno zlo) in taki se bolj malo zanimajo za varnost in jih baš boli kaj vse se lahko zgodi če kliknejo na en YES/OK. Tudi če bi jim banka poturila antivirusnik ga po vsej verjetnosti ne bi znal naložit oziroma niti probal ne bi ... tko kot me je babica zadnjič klicala, če ji pridem napolnit Simobil predplačniški račun, da ga ne zna (čeprav je prej že 2 leti uporabljala Mobitel predplačniški račun in je polnjenje popolnoma enako, samo klicna številka je druga). Skratka point je v tem, da nimajo vsi takega zanimanja za elektronsko bančništvo in ga uporabljajo le zaradi tega, da ne hodijo na banko.
mrTwelveTrees ::
če bi bila jaz "banka" nebi vrnil denarja oškdovancem...
zakaj ?
to je čista krivda vsakega posameznika... kaj pa odpira vsako pošto... pa vsako priponko...
pa če še nima protivirusnega programa...
zakaj ?
to je čista krivda vsakega posameznika... kaj pa odpira vsako pošto... pa vsako priponko...
pa če še nima protivirusnega programa...
mHook ::
Pri nas tudi ponudniki (širokopasovnega) interneta ponujajo brezplačen antivirus.
Pithlit: Modertni operacijski sistemi (ja, XP tudi) imajo že vgrajen firewall, poleg tega pa moraš še redno posodabljati sistem z varnostnimi popravki - v tem primeru gre tudi brez antivirusa.
Pithlit: Modertni operacijski sistemi (ja, XP tudi) imajo že vgrajen firewall, poleg tega pa moraš še redno posodabljati sistem z varnostnimi popravki - v tem primeru gre tudi brez antivirusa.
sgdjkdlsugi4 ::
V bistvu ti sploh ni treba klikat, da karkoli dobiš.
kdo pa je klikno na tisti .zip in ga namestil ? zli hekerji ?
kdo pa je klikno na tisti .zip in ga namestil ? zli hekerji ?
Microsoft ::
mrTwelveTrees, ne pozabit, da se slab glas 10x boljs siri kot dobri. Tko bi si banka nabrala dosti slabega ugleda. Zdej bodo rajsi vrnali tist drobiz nazaj oskodovancem, namesto da jim posljejo po posti nekaj v stilu "POFUKANI BEDAKI JEDNI...".
maddog, na zacetku odpres, ja. Samo potem ti ni treba vec.
by Miha
maddog, na zacetku odpres, ja. Samo potem ti ni treba vec.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
dejanslo ::
hm, ne vem, če je to, da nimajo nameščenega AV, lahko razlog, da ne bi vrnili denarja. če jim ga banka ni ponudila ali ga zahtevala, pol tu nimajo kaj.
jaz, banka, ne bi tako hitro rekel, da ne bom vrnil denarja. očitno se je že splačalo (uporabniku prijazna banka itd). bo pa očitno treba nekaj nardit na izobraževanju. upam, da se bo tudi pri nas..
jaz, banka, ne bi tako hitro rekel, da ne bom vrnil denarja. očitno se je že splačalo (uporabniku prijazna banka itd). bo pa očitno treba nekaj nardit na izobraževanju. upam, da se bo tudi pri nas..
There`s More Than One Way To Do It
matter ::
Mislim da bodo tudi banke morale malo spremeniti zaščito, saj jim tale phising kar močno zjebe avtentikacijo s certifikatom in fiksnim geslom.
Prava bi bila kombinacija od NLB in SKB : Certifikat + generator ključev za dostop. Tako bi bil phising pomoje neuporaben, razen če keygen razbijejo, kar je pa pomoje kar težko in dolgotrajno.
Čudno se mi zdi da je 15 mesecev trajal, da so pogruntali zadevo. Saj vndarle ljudje mesečno dobijo izpisek na račun. Jaz bi vsako malenkost opazil.
LP
Prava bi bila kombinacija od NLB in SKB : Certifikat + generator ključev za dostop. Tako bi bil phising pomoje neuporaben, razen če keygen razbijejo, kar je pa pomoje kar težko in dolgotrajno.
Čudno se mi zdi da je 15 mesecev trajal, da so pogruntali zadevo. Saj vndarle ljudje mesečno dobijo izpisek na račun. Jaz bi vsako malenkost opazil.
LP
Grem basket pa bom neloke metal
Zgodovina sprememb…
- spremenil: matter ()
Roadkill ::
Tole je priblizno najbolj enostavna oblika "hekanja" -> ponudis userju, da se sam zakolje in potem te podatke uporabis v svoje namene.
Kaze pa tudi na to, da je security v banki pateticen saj ocitno ne uporabljajo prakticno nebene izmed smiselnih zascit (certifikati, generatorji kljucev, fizicne avtentikacijske kartice), ki so te dni ze prakticno samoumevne.
Kaze pa tudi na to, da je security v banki pateticen saj ocitno ne uporabljajo prakticno nebene izmed smiselnih zascit (certifikati, generatorji kljucev, fizicne avtentikacijske kartice), ki so te dni ze prakticno samoumevne.
Ü
Zgodovina sprememb…
- spremenil: Roadkill ()
Microsoft ::
Ja in kaj ti bo ta zascita, ce mas pohekano masino.
Edina smiselna resitev je format, reinstall, update, zascita in izobrazevanje.
by Miha
Edina smiselna resitev je format, reinstall, update, zascita in izobrazevanje.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
HeMan ::
Jaz sem bil tudi več kot eno leto brez FW (tudi tisti od winsev je bil izklopljen) in AV, win XP (posodobil le ko sem instaliral, potem autoupdata nisem več pognal), pa mislim da nisem dobil niti enega virusa. Ček kako leto mi je nekaj sralo, pa sem posumil, da je kak virus, dal gor AV in nasel mi je enega ali dva, ki pa noben ni bil krivec za težavo :) Odtakrat imam AV, FW pa kr od winsev, pa razen tega, da mi AV na vsake tok časa pove, da je kak priponka (ki je itak ne bi odprl) virus, nimam večjih problemov z virusi.
Ne vem kako enim rata dobit po 3h viruse, da jim sistem čisto podrejo. Kolega mi je celo pravil, da ga je staknu v prvih 10min, po tem ko je komp na net povezal.
Zgleda mamo eni velik zegn :)
Ne vem kako enim rata dobit po 3h viruse, da jim sistem čisto podrejo. Kolega mi je celo pravil, da ga je staknu v prvih 10min, po tem ko je komp na net povezal.
Zgleda mamo eni velik zegn :)
Jaka83 ::
Microsoft, če imaš certifikat zaščiten z geslom, potem pa še avtentikacijo na sami strani, je zelo težko razbit zaščito, razen če narediš takega trojanca, kjer mora uporabnik uploadat certifikat nekam in vpisat njegovo geslo. Potem pa to še skombiniraš s tem kar se je v tem primeru zgodilo (kraja gesla na strani). Skratka kar težko je tole izvest če je kombinirano s certifikatom in avtentikacijo. Predstavljaj si, da daš skupaj NLBjev certifikat zaščiten z geslom in geslom za vstop na stran ter SKBjev generator vstopnih kod (kar je za moje pojme že kar overkill).
sverde21 ::
@HeMan: nejkateri virusi skenirajo po cela območja IP-jev, in iščejo ranljive compe... tak da če maš comp brez updejtov bod prepričan de jih boš ti tud deset fasu pa še več...
<?php echo `w`; ?>
|SNap| ::
Ja sej je vseen če maš geslo, ki ga pošlješ plaintext prek neta, ali pa certifikat+OTP generator in ne vem kaj še vse.
V vsakem primeru lahko browser hijackne trojanc, ane? Pa mu ni treba nikamor vdirat, lepo počaka da mu user poda vse potrebne podatke.
Edit: S tem ne mislim, da je vsa ta zaščita brezveze. Pravim samo, da je vse enako (ne)učinkovito, če je varnostna luknja uporabnik.
V vsakem primeru lahko browser hijackne trojanc, ane? Pa mu ni treba nikamor vdirat, lepo počaka da mu user poda vse potrebne podatke.
Edit: S tem ne mislim, da je vsa ta zaščita brezveze. Pravim samo, da je vse enako (ne)učinkovito, če je varnostna luknja uporabnik.
Zgodovina sprememb…
- spremenil: |SNap| ()
Microsoft ::
Tocno to. Ze v novici je omenjeno, da so uporabnike preusmerjali in na tisti strani brali njihove vnose.
Recimo SKBjev generator. Ti na zacetku normalno uporabljas tist generator. Enkrat staknes trojanca, ki te preusmeri na neko drugo stran. Generator zgenerira geslo, samo stran ti vrne error. Takoj zatem preberes vnesene podatke na lazni strani in jih vneses na pravi strani banke.
Kako je pa s certifikati teh bank pa ne vem. Ce je certifikat uvozen z moznostjo izvoza private key in brez gesla, si zelo olajsal delo napadalcu.
by Miha
Recimo SKBjev generator. Ti na zacetku normalno uporabljas tist generator. Enkrat staknes trojanca, ki te preusmeri na neko drugo stran. Generator zgenerira geslo, samo stran ti vrne error. Takoj zatem preberes vnesene podatke na lazni strani in jih vneses na pravi strani banke.
Kako je pa s certifikati teh bank pa ne vem. Ce je certifikat uvozen z moznostjo izvoza private key in brez gesla, si zelo olajsal delo napadalcu.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Zgodovina sprememb…
- spremenil: Microsoft ()
Jaka83 ::
U don't get it ... če ti SKB generator generira vstopno geslo, ki velja samo delček minute, bo to premalo, da napadalec na drugi strani istočasno izvede transakcijo.
Glede certifikatov pa sam veš, da jih moraš vnesti v browser, če hočeš dostopat do strani, ki je zaščitena preko certifikata. Skratka, če oboje združiš ima heker zelo malo možnosti da pridobi vse podatke ... najtežje je pa certifikatovo lastno geslo razdret, razen če je uporabnik res tako neumen in ga hekerju napiše.
Glede certifikatov pa sam veš, da jih moraš vnesti v browser, če hočeš dostopat do strani, ki je zaščitena preko certifikata. Skratka, če oboje združiš ima heker zelo malo možnosti da pridobi vse podatke ... najtežje je pa certifikatovo lastno geslo razdret, razen če je uporabnik res tako neumen in ga hekerju napiše.
Microsoft ::
če ti SKB generator generira vstopno geslo, ki velja samo delček minute
To ne vem, ce bo drzalo. Kolikor se meni zdi, je point tega generatorja (in vseh podobnih), da generira neko zaporedje stevilk (in/ali znakov), katerega nihce ne ve. Vendar ne vem, ce tu velja kaksna casovna omejitev. Ti si namrec lahko zgeneriras geslo sedajle, pa gres cez en teden na stran in se z njim prijavis. Takoj po odjavi je geslo neuporabno, ker potrebujes novo geslo, ki ti ga spet zgenerira "kalkulatorcek".
by Miha
To ne vem, ce bo drzalo. Kolikor se meni zdi, je point tega generatorja (in vseh podobnih), da generira neko zaporedje stevilk (in/ali znakov), katerega nihce ne ve. Vendar ne vem, ce tu velja kaksna casovna omejitev. Ti si namrec lahko zgeneriras geslo sedajle, pa gres cez en teden na stran in se z njim prijavis. Takoj po odjavi je geslo neuporabno, ker potrebujes novo geslo, ki ti ga spet zgenerira "kalkulatorcek".
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Zgodovina sprememb…
- spremenil: Microsoft ()
[:Notebook:] ::
Tole z virusi je z mojega stališča kot vožnja avtomobila. Če se držiš predpisov in pravil, se ti načeloma ne zgodi nič, če pa ga malo "pokronaš" in zapelješ naravnost, namesto da bi zavil levo, se ti zgodi nesreča. V najboljšem primeru sam nosiš škodo samo na svojem vozilu. Zavarovalnica ti ponuja kasko zavarovanje in ti pomaga kriti škodo na tvojem vozilu...
Podobno je pri računalniku. Če si malo zmeden, pa kar nekaj v tri dni klikaš, moraš pač odgovarjat za posledice. Plačat sosedu, da ti ponovno instalira PC, ponovno naročiš spletni certifikat in ga plačaš, pokriješ 500 EUR manjka na računu...
Vidim tržno nišo za zavarovalnice. Zavarovanje za primer izgube podatkov in zlorabe spletne banke...
Podobno je pri računalniku. Če si malo zmeden, pa kar nekaj v tri dni klikaš, moraš pač odgovarjat za posledice. Plačat sosedu, da ti ponovno instalira PC, ponovno naročiš spletni certifikat in ga plačaš, pokriješ 500 EUR manjka na računu...
Vidim tržno nišo za zavarovalnice. Zavarovanje za primer izgube podatkov in zlorabe spletne banke...
[:DELL / HP / APPLE:]
Jaka83 ::
Microsoft: No, potem mi pa povej, kako se bo heker v sistem prijavil z isto vstopno kodo, ki si jo ti že uporabil? Aja, se ne more ... torej.
EDIT: @[:Notebook:]: Ne bo čisto držalo to drugo ... če se pelješ po predpisih se še vedno kakšen kreten lahko zaleti vate. ;)
EDIT: @[:Notebook:]: Ne bo čisto držalo to drugo ... če se pelješ po predpisih se še vedno kakšen kreten lahko zaleti vate. ;)
Zgodovina sprememb…
- spremenil: Jaka83 ()
Microsoft ::
... ki si jo ti že uporabil?
Saj v tem je finta, ker je nisi. "Uporabil" si jo namrec na fejkani strani.
by Miha
Saj v tem je finta, ker je nisi. "Uporabil" si jo namrec na fejkani strani.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
grex ::
Gres na SKB, si zgeneriras geslo, ga zapises na lazno stran.
Hekerjeva stran ti rece, da skb ne dela zaradi "tehnicnih tezav, poizkusite ponovno cez 2 uri".
Heker po 1 uri gre na pravo stran in napise tocno iste podatke.
Gre,.. komot.
Se bolje,.... se prijavis na phishing.skb.net.,.. heker dobi sms, ki mu rece "sucker ahead". Gre za racunalnik in na stran skb.net posilja iste podatke kot jih ti na phishing.skb.net. Tebi pa posilja iste podatke kot njemu skb.net. Po tvoji odjavi pa na pravo stran ne poslje odjavi,.. tebi pa lazno odjavno stran.
Ti gres spat in naslednji dan ne mores vec dvignat denarja na bankomatu :)
Sicer pa je razmisljanje, da banka ne bi smela vrniti denarja, ker je folk prebutast za spletno bancnistvo, tipicno balkansko. V dobi konkurence in denarja tudi precej neumno. Ameriske firme ti vrnejo vse, tudi ce si ti tehnicno gledano sam kriv (ne vedno ampak dostikrat). Ker tako ne gres h konkurenci.
Sam balkanu in podobnim to ne potegne. (balkan se hoce mascevati glupim uporabnikom,... amerika pa hoce denar glupih uporabnikov).
Hekerjeva stran ti rece, da skb ne dela zaradi "tehnicnih tezav, poizkusite ponovno cez 2 uri".
Heker po 1 uri gre na pravo stran in napise tocno iste podatke.
Gre,.. komot.
Se bolje,.... se prijavis na phishing.skb.net.,.. heker dobi sms, ki mu rece "sucker ahead". Gre za racunalnik in na stran skb.net posilja iste podatke kot jih ti na phishing.skb.net. Tebi pa posilja iste podatke kot njemu skb.net. Po tvoji odjavi pa na pravo stran ne poslje odjavi,.. tebi pa lazno odjavno stran.
Ti gres spat in naslednji dan ne mores vec dvignat denarja na bankomatu :)
Sicer pa je razmisljanje, da banka ne bi smela vrniti denarja, ker je folk prebutast za spletno bancnistvo, tipicno balkansko. V dobi konkurence in denarja tudi precej neumno. Ameriske firme ti vrnejo vse, tudi ce si ti tehnicno gledano sam kriv (ne vedno ampak dostikrat). Ker tako ne gres h konkurenci.
Sam balkanu in podobnim to ne potegne. (balkan se hoce mascevati glupim uporabnikom,... amerika pa hoce denar glupih uporabnikov).
dejanslo ::
ne vem, če je pri skb isto, ampak pri nkbm zgenerirana koda velja 1min.
There`s More Than One Way To Do It
Microsoft ::
Kdo pa to veljavnost preverja? In kako?
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Jaka83 ::
Ne vem kdo preverja ampak pri SKB je isto, ker zadnjič se je moji mami zgodilo, da je morala kodo generirat še enkrat. Jaz pa pri Kliku še nisem imel težav, sploh mi je pa zdaj fino ker so mi še varčevalni račun dodal gor in banke, kot prostora v katerem bi čakal v vrsti, takorekoč sploh ne potrebujem več.
EDIT: Najbrž je centralni strežnik sinhroniziran na vse generatorje, oziroma v vseh teče enaka ura in veljavnost ključev.
EDIT: Najbrž je centralni strežnik sinhroniziran na vse generatorje, oziroma v vseh teče enaka ura in veljavnost ključev.
Zgodovina sprememb…
- spremenil: Jaka83 ()
snow ::
Mislim, da je pri nkbm veljavnost pina 30 sekund.
Kodo pa preverja server. Gre za pseudo random algoritem, ki je tako na uporabnikovi kartici, kot tudi na serverju. Verjetno podoben algoritem kot checksum.
Kodo pa preverja server. Gre za pseudo random algoritem, ki je tako na uporabnikovi kartici, kot tudi na serverju. Verjetno podoben algoritem kot checksum.
Random mutation plus nonrandom cumulative natural selection - Richard Dawkins
Kostko ::
@Microsoft:
V kolikor ciljaš na OTP generatorje si poglej:
http://en.wikipedia.org/wiki/One-time_password
Imaš več variant implementacije, verjetno najbolj pogosta je challenge-response shema kjer ti server pri vsaki prijavi zgenerira naključni challenge na katerega moraš odgovoriti z ustreznim one-way hashanim responsom. Strežnik na tako zgenerirani response čaka recimo 30 sekund, potem pa je tudi ustrezen response neveljaven.
Skratka tole boš shekal samo tako da bo trojanec ugrabil uporabnikov session realtime - torej da bo transakcije izvajal takrat ko je uporabnik dejansko prijavljen preko svojega brskalnika (tako da "ugrabiš" brskalnik).
Mogoče pa bi morali poleg OTP in SSL certifikatov uvesti še captche, da ne bi kak program samodejno submital transakcij. No to bi bilo verjetno še bolj nadležno za uporabnike
V kolikor ciljaš na OTP generatorje si poglej:
http://en.wikipedia.org/wiki/One-time_password
Imaš več variant implementacije, verjetno najbolj pogosta je challenge-response shema kjer ti server pri vsaki prijavi zgenerira naključni challenge na katerega moraš odgovoriti z ustreznim one-way hashanim responsom. Strežnik na tako zgenerirani response čaka recimo 30 sekund, potem pa je tudi ustrezen response neveljaven.
Skratka tole boš shekal samo tako da bo trojanec ugrabil uporabnikov session realtime - torej da bo transakcije izvajal takrat ko je uporabnik dejansko prijavljen preko svojega brskalnika (tako da "ugrabiš" brskalnik).
Mogoče pa bi morali poleg OTP in SSL certifikatov uvesti še captche, da ne bi kak program samodejno submital transakcij. No to bi bilo verjetno še bolj nadležno za uporabnike
Human stupidity is not convergent, it has no limit!
Brane2 ::
Hm. Kaj pa napadalcu preprečuje, da bi se sam logiral na pravi site v tem času, ko se ti poizkušaš na njegov, fake site ?
Saj 30 sekund je verjetno čezinčez zadosti časa, ko ima enkrat tvoj password...
Saj 30 sekund je verjetno čezinčez zadosti časa, ko ima enkrat tvoj password...
On the journey of life, I chose the psycho path.
jype ::
grex> Gres na SKB, si zgeneriras geslo, ga zapises na lazno stran.
grex> Hekerjeva stran ti rece, da skb ne dela zaradi "tehnicnih tezav, poizkusite ponovno cez 2 uri".
grex> Heker po 1 uri gre na pravo stran in napise tocno iste podatke.
grex> Gre,.. komot.
Si poskusil? Ker jaz VEM, da ne gre, sicer bi jim tisti "kalkulatorček za varnost" nekam zatlačil.
Strežnik in kalkulator imata števec in uro. Kadar ti banka zaklene račun, ker si se prevečkrat (trikrat) narobe prijavil, kličeš na helpdesk, poveš vse podatke, potem te vprašajo kako imaš nastavljen števec in zadeva spet deluje. Če menjaš baterijo, pa zadevo pustiš predolgo stat brez baterije, kalkulatorček pozabi uro in zadevo moraš zamenjat na banki (ker ga ne moreš sam syncat s strežnikom).
Pri poslovnih računih dejansko dobiš od banke token, ki ga vneseš v kalkulatorček, ki ti izračuna response. S tem responsom potem podpišeš celotno transakcijo, kar dejansko onemogoči takšne vrste (non-real-time man-in-the-middle) napad.
Microsoft> Banke bi lahko naredile dosti vec na tem podrocju. Vsakemu, ki se zanima za to elektronsko bancnistvo, bi lahko ponudile skonto antivirusni program v okviru te ponudbe. Ali pa vsaj svetovali in posvarili uporabnike, v kaj se spuscajo.
Halo? Banke naj ponujajo antivirus? Kaj točno pa antivirus pomaga pri takih napadih? In zakaj ravno antivirus, zakaj ne rajši usb ključka z Linuxom, ki je zagotovo varnejša platforma za online banking?
grex> Hekerjeva stran ti rece, da skb ne dela zaradi "tehnicnih tezav, poizkusite ponovno cez 2 uri".
grex> Heker po 1 uri gre na pravo stran in napise tocno iste podatke.
grex> Gre,.. komot.
Si poskusil? Ker jaz VEM, da ne gre, sicer bi jim tisti "kalkulatorček za varnost" nekam zatlačil.
Strežnik in kalkulator imata števec in uro. Kadar ti banka zaklene račun, ker si se prevečkrat (trikrat) narobe prijavil, kličeš na helpdesk, poveš vse podatke, potem te vprašajo kako imaš nastavljen števec in zadeva spet deluje. Če menjaš baterijo, pa zadevo pustiš predolgo stat brez baterije, kalkulatorček pozabi uro in zadevo moraš zamenjat na banki (ker ga ne moreš sam syncat s strežnikom).
Pri poslovnih računih dejansko dobiš od banke token, ki ga vneseš v kalkulatorček, ki ti izračuna response. S tem responsom potem podpišeš celotno transakcijo, kar dejansko onemogoči takšne vrste (non-real-time man-in-the-middle) napad.
Microsoft> Banke bi lahko naredile dosti vec na tem podrocju. Vsakemu, ki se zanima za to elektronsko bancnistvo, bi lahko ponudile skonto antivirusni program v okviru te ponudbe. Ali pa vsaj svetovali in posvarili uporabnike, v kaj se spuscajo.
Halo? Banke naj ponujajo antivirus? Kaj točno pa antivirus pomaga pri takih napadih? In zakaj ravno antivirus, zakaj ne rajši usb ključka z Linuxom, ki je zagotovo varnejša platforma za online banking?
Zgodovina sprememb…
- spremenilo: jype ()
Microsoft ::
jype, kolikor sem jaz prebral novico, se zgodba zacne pri emailu z priponko. In tu bi lahko antivirusni program odigral pomembno vlogo.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Zgodovina sprememb…
- spremenil: Microsoft ()
jype ::
Kako pa ločiš virus od "remote assistance" programa?
Kaj narediš, če je virus kot OLE objekt vstavljen v Powerpoint prezentacijo, ki ga požene VBA, ko odpreš tretji slide? Kako to pogruntaš?
Po toči zvoniti je prepozno.
Kaj narediš, če je virus kot OLE objekt vstavljen v Powerpoint prezentacijo, ki ga požene VBA, ko odpreš tretji slide? Kako to pogruntaš?
Po toči zvoniti je prepozno.
Kostko ::
Vsekakor veliko dosežeš s tem da mora uporabnik avtenticirati vsako transakcijo posebej.
Human stupidity is not convergent, it has no limit!
jype ::
Resno varnost lahko zagotavlja samo verificiran strežnik.
Po moje brskalniki ne bi smeli pokazati izbire, ko se je certifikat strežnika spremenil, ampak enostavno crkniti. Napisati na ekran z velikimi črkami "NE DA SE".
Nihče ne bere opozoril, da se je checksum strežniškega certifikata spremenil. Nihče ne prebere, da je certifikat podpisan od drugega CAja kot je bil prejšnjič.
Enostavno ne bi smel dovoliti. Če potem banki dejansko zares poteče certifikat, naj lepo izda pisna navodila, ki jih pošlje po pošti, pri postopku pa je nujno treba izmenjati neko geslo z banko (torej nekakšno aktivacijo), da banka ve, kateri uporabniki so dejansko nadgradili certifikate, sicer jih ne spusti not.
Sicer vedno lahko zli(tm) ljudje naredijo man in the middle napad na račun tega, da uporabnik v ogromno primerih enostavno prezre opozorila, ki mu jih ponuja računalnik.
Če brskalnik tega ne dovoli, potrebujejo dejanski tajni ključ bančnega strežnika ali morebiti CAja, ki ga je izdal.
Po moje brskalniki ne bi smeli pokazati izbire, ko se je certifikat strežnika spremenil, ampak enostavno crkniti. Napisati na ekran z velikimi črkami "NE DA SE".
Nihče ne bere opozoril, da se je checksum strežniškega certifikata spremenil. Nihče ne prebere, da je certifikat podpisan od drugega CAja kot je bil prejšnjič.
Enostavno ne bi smel dovoliti. Če potem banki dejansko zares poteče certifikat, naj lepo izda pisna navodila, ki jih pošlje po pošti, pri postopku pa je nujno treba izmenjati neko geslo z banko (torej nekakšno aktivacijo), da banka ve, kateri uporabniki so dejansko nadgradili certifikate, sicer jih ne spusti not.
Sicer vedno lahko zli(tm) ljudje naredijo man in the middle napad na račun tega, da uporabnik v ogromno primerih enostavno prezre opozorila, ki mu jih ponuja računalnik.
Če brskalnik tega ne dovoli, potrebujejo dejanski tajni ključ bančnega strežnika ali morebiti CAja, ki ga je izdal.
Zgodovina sprememb…
- spremenilo: jype ()
Microsoft ::
jype, spet iz novice je razvidno, da je slo za fajl raking.zip. Proizvajalec antivirusnega programa pac rabi dodato "podpis" tega fajla na server, ti pa na masini.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
jype ::
Microsoft> jype, spet iz novice je razvidno, da je slo za fajl raking.zip. Proizvajalec antivirusnega programa pac rabi dodato "podpis" tega fajla na server, ti pa na masini.
Ja. Ampak to se običajno zgodi PO tistem, ko je škoda že storjena.
Zakaj bi preganjal nek "popolnoma nenevaren" zip file (če nisi totalni idiot poleg virusa not stlačiš še kaj, zaradi česar dovolj butasti ljudje stvar sami od sebe pošiljajo naprej)?
Ja. Ampak to se običajno zgodi PO tistem, ko je škoda že storjena.
Zakaj bi preganjal nek "popolnoma nenevaren" zip file (če nisi totalni idiot poleg virusa not stlačiš še kaj, zaradi česar dovolj butasti ljudje stvar sami od sebe pošiljajo naprej)?
Microsoft ::
Ja. Ampak to se običajno zgodi PO tistem, ko je škoda že storjena.
Recimo. Vendar je Haxdoor.KI ( link, ki je objavljen v nocivi) star ze pol leta. Dosti casa, da se doda podpis za ta virs, kaj pravis?
by Miha
Recimo. Vendar je Haxdoor.KI ( link, ki je objavljen v nocivi) star ze pol leta. Dosti casa, da se doda podpis za ta virs, kaj pravis?
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
jype ::
Ne gre za to. Gre za to, da ko so računalniki enkrat okuženi (in večina vpletenih najbrž ni bila okuženih pred kratkim) jim tisti podpis nič več ne pomaga.
V vsakem primeru je TUDI to treba početi, ker vemo da je prva linija obrambe (varnost programske opreme a la mail client, browser, office in podobne) luknjasta kot švicarski sir. Pa to še zdaleč ne drži le za Windows platformo, le viruse za druge platforme je precej bolj nehvaležno pisati, saj tistim petim uporabnikom ne-windows sistemov ne moreš pokrast bajnih vsot denarja (no, razen mac userjem :).
V vsakem primeru je TUDI to treba početi, ker vemo da je prva linija obrambe (varnost programske opreme a la mail client, browser, office in podobne) luknjasta kot švicarski sir. Pa to še zdaleč ne drži le za Windows platformo, le viruse za druge platforme je precej bolj nehvaležno pisati, saj tistim petim uporabnikom ne-windows sistemov ne moreš pokrast bajnih vsot denarja (no, razen mac userjem :).
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnikaOddelek: Novice / Zasebnost | 3541 (3541) | christooss |
| » | Storm podira rekorde - ponovni naval spamaOddelek: Novice / Omrežja / internet | 4720 (3175) | Jst |
| » | Po menjavi ponudnika problem s pošiljanjem pošteOddelek: Omrežja in internet | 5286 (4675) | Matko |
| » | Spam kot umetnostOddelek: Novice / Omrežja / internet | 3762 (3308) | Matevžk |