» »

NLB mora povrniti škodo zaradi phishinga

1
2
3

Izi ::

technolog je izjavil:

se lahko naredi tale scenarij: Ti narediš nakazilo 10EUR za nove čevlje, vpišeš kodo. V resnici pa napadalec namesto tebe naredi 5000EUR nakazilo offshore.

Tale scenarij je pa po moje bolj znanstvena fantastika. Povezava med klientom in bančnim strežnikom je šifrirana.
Nisem kakšen hacker, ampak močno dvomim, da bi bil kdo sposoben po želji spreminjati šifrirane paketke, ki potujejo na bančni strežnik.
Razen če ni kakšna državna agencija NSA ali kaj podobnega, Ampak ti ti ne bodo šli krasti denarja z računa, ker ti ga poberejo kar legalno preko raznoraznih davkov in podobnega.

bluefish ::

Tako je.

Pa vseeno. Če lahko napadalec dejansko prestreže in spremeni konkretno nakazilo, potem morda že gre. Ni pa možno, da bi uporabil kodo prejšnjega nakazila za izvedbo novega. Vsakič te namreč vpraša po drugem paru znakov tistega gesla, ki ga imaš doma v fizični obliki.

Zgodovina sprememb…

  • spremenil: bluefish ()

fosil ::

technolog je izjavil:

Seveda je možno. Če ti nazažeš 10EUR sosedi Micki in vpišeš potrditveno kodo, lahko MITM napadalec v ozadju naredi s to isto kodo poljubno nakazilo.
Sem kaj spregledal? Ne uporabljam Klika, tko da ne vem čist točno, kako delujejo stvari tam.

Spregledal si, da je teh kod 8. Vsakič pa moraš vpisat dve naključno izbrani.
Tako je!

technolog ::

Povezava med klientom in bančnim strežnikom je šifrirana.


Bistveno vprašanje: Klient je browser al kakšen poseben .exe program?
Če je browser, potem v primeru phishing linka ni važno, kako hudo kriptirana (šifrirana ni pravi izraz!!) je povezava. Če je .exe, potem možnosti za phisnihing seveda ni in se torej motim in smo končali debato.

V primeru phishinga "striček v sredini" obstaja med uporabnikom preko njegovega strežnika, banka pa komunicira z njim namesto in se on odloča, kaj uporabnikovega bo posredoval naprej in v kakšni obliki.

Zgodovina sprememb…

Izi ::

technolog je izjavil:

Klient je browser al kakšen poseben .exe program? Če je browser, potem v primeru phishing linka ni važno, kako hudo kriptirana (šifrirana ni pravi izraz!!) je povezava.

Za firme (NLB Pro Klik) je poseben programček, za navadno rajo (NLB Klik) pa gre prek Browserja.
Ampak za Phishing link pa imamo spet svojo zaščito in sicer "osebno sporočilo". To sporočilo si sestaviš sam in vsakič ko se povežeš na pravi NLB Klik te mora na prijavni strani pričakati tvoje osebno sporočilo. Če ga ni nikjer poten je to znak da si na Phishing strani.

To osebno sporočilo ti posreduje bančni strežnik glede na tvoj certifikat. Torej še preden vpišeš geslo.

Zgodovina sprememb…

  • spremenil: Izi ()

technolog ::

Madonca. Tale klik je je res dobro zaščiten. SKB nimajo za burek. Čist zares. Že razmišljam o šaltanju banke.

Kako je ob vsem tem mogoče, da se je phisnihg v novici sploh zgodil, če uporabnika ni pričakalo osebno sporočilo?
Če je bila to njegova osebna napaka, da ni bil dovolj pozoren, potem mu sodišče ne bi smelo povrniti denarja, IMO.

Zgodovina sprememb…

fosil ::

Čeprav bi bil tak napad z nekaj nepazljivosti uporabnika teoretično možen, se mi zdi da bi bilo za to potrebno zelo veliko dela.
Čudno se mi zdi da bi se nekdo tako potrudil za eno slovensko banko.
Razen če je bilo na ta način ukradeno res veliko denarja.
Tako je!

Izi ::

technolog je izjavil:

Kako je ob vsem tem mogoče, da se je phisnihg v novici sploh zgodil?

Menda se je zgodilo že leta 2009. Se pravi že več kot 4 leta nazaj. Sodni mlini meljejo počasi. Ne spomnim se točno kakšne zaščite so bila takrat.
Vsekakor pa vem, da osebno sporočilo in varnostna koda za potrditev nakazila nista že od začetka. Ne vem pa točno kdaj so ju dodali.

technolog ::

SKB bo moral nekaj naredit, ker trenutno ne pride do kolen vsemu temu, kar ste mi povedal.

Ampak ne, oni rajš dodajo to, da je treba kodo pisat dvakrat ob prijavi, kar res ne ščiti proti ničemur.

Čudno se mi zdi da bi se nekdo tako potrudil za eno slovensko banko.


Jaz imam delujoč prototip za tale napad spisan v enem dnevu. In bi tud deloval, če privzamemo, da uporabnik spregleda to, da ga ne pričaka osebno sporočilo.
Pa še reply na tvoje prejšnje sporočilo: To, da je kod osem, nima veze na nič.

Zgodovina sprememb…

Izi ::

technolog je izjavil:

Jaz imam delujoč prototip za tale napad spisan v enem dnevu.
Ne verjamemo :P
Tisti, ki so res sposobni kaj takega tega ne bodo nikoli priznali ;)
To so nevarna znanja.

bluefish ::

technolog je izjavil:

Pa še reply na tvoje prejšnje sporočilo: To, da je kod osem, nima veze na nič.
Koda je ena, z osmimi znaki (velike črke in številke). Ob nakazilu te povpraša po dveh naključno izbranih, ki ju vneseš s pomočjo prikazane tipkovnice.
Je pa res, da je ta mehanizem irelevanten, če privzamemo način napada, ki si ga omenil.

technolog ::

To bi znal vsak, ne se hecat. Fora je samo, koliko časa bi porabil za kaj takega (in koliko bi se mu finančno splačal).

Tehnološka izvedba je tukej še ta mal problem, upam da se zavedate. Problemi se začnejo takrat, ko ti dejansko uspe dobit dostop (torej kam nakazat, kje postavit serverje, ustanavljanje offshore računa, se primerno skrit za sloji plačancev, ki te ne izdajo)... To so ta, ta nevarna znanja.

Se strinjamo, ne?

p.s.: bluefish, tako ja.
p.s.2: Sem pa vesel, da smo si prišli na jasno, da so SKB tisti, ta nesposobni, da mal zbijem ego parih ljudi z začetka teme.

Zgodovina sprememb…

fosil ::

technolog je izjavil:

Tehnološka izvedba je tukej še ta mal problem, upam da se zavedate. Problemi se začnejo takrat, ko ti dejansko uspe dobit dostop (torej kam nakazat, kje postavit serverje, ustanavljanje offshore računa, se primerno skrit za sloji plačancev, ki te ne izdajo)... To so ta, ta nevarna znanja.

Kakorkoli, na koncu je kar velik dela.
In zakaj bi toliko dela vložil za eno slovensko banko, ki je v svetovnem merilu majhna, če lahko z enako vloženega dela drugje zaslužiš precej več.
Edini razlog, ki mi pride na pamet je, da gre za slovensko navezo, ampak tukaj bi pa rekel da pri nas kljub vsemu ni veliko ljudi, ki bi to znali izvesti.
Tako je!

bluefish ::

Indeed, sploh za 500€. Če ima človek toliko znanja, ga lahko legalno "proda" za precej več.

fosil ::

Zato meni cela tale zgodba ne štima.
Ali pa so same informacije o načinu zlorabe napačne.
Tako je!

lanko ::

Brane22 je izjavil:

4. Splošni certifikati po standardu x.509, delujejo praktično povsod na telefonih, tablicah in računalnikih. Povsem normalno pa je, da moraš samooklicane CA-je dodati na seznam zaupanja vrednih. Vprašanje je le ali jim zaupaš.


Poleg vprašanja ali zaupaš telefonom, tablicam itd itd. Ki SPLOH ni tako nepomembno, kot nam potrjujejo sveži dogodki. Sam nikoli ničesar takega ne bi tlačil v te naprave, ker pač sploh niso namenjene tem zadevam in ker interesi njihovih proizvajalcev pomembno odstopajo od topoglednih interesov uporabnikov.


Tudi procesorji pri osebnih računalnikih so vprašljivi, sploh del, ki skrbi za naključna števila, da o ostali hardweriji niti ne govorimo. Vprašljivi so tudi Windowsi, MAC OS in Linuxi. Slednji je vsaj odprtokoden pa lahko pogledaš v kodo oz. upaš da bo nekdo drug, ki ima vso potrebno znanje.

Zgodovina sprememb…

  • spremenil: lanko ()

Looooooka ::

technolog je izjavil:

Seveda je možno. Če ti nazažeš 10EUR sosedi Micki in vpišeš potrditveno kodo, lahko MITM napadalec v ozadju naredi s to isto kodo poljubno nakazilo.

Sem kaj spregledal? Ne uporabljam Klika, tko da ne vem čist točno, kako delujejo stvari tam.

Ne more.
Zadeva je simple in bullet proof(idiot proof ni...je ta bebec ocitno dokazal al se mu je pa to zgodilo pred uvedbo vsega tega).
Prvo se logiras na klik.nlb.si. Ce si res paranoik si si v naprej zapolnil ip stevilko streznika in pred tem pogledas kaj tvoj racunalnik vidi pod klik.nlb.si.
Potem imas certifikat, ki si ga downloadal z njihove strain(ce so jim vdrli in ze takrat zamenjali ta root cert potem so za vso skodo avtomaticno krivi oni).
Potem se moras avtenticirati s svojim certifikatom(za katerega si spet lahko dal HIGH security in si moral ze na svoji strain vtipkati geslo, da ga sploh lahko posljes naprej).
Potem prides na login page, kjer te mora cakati tisti osebni tekst, ki si ga nastavil. Res da bi ti lahko nekdo heknil masino pa prejsnjo sejo sejval kaj tam pise...ampak a ne tle si ze v startu zajebal, ker ti je nekdo udrl v masino.
No potem naredis placilo(10 eur) na nov racun. Sledi prvi post na klik.nlb.si, kjer je ze na klikovi strain zapisano kaj koliko in kam hoces placati. Ker je to nov racun te vprasa za dodatno geslo(random crka stevilka s papirja, ki si ga dobil priporoceno po posti). Ko to vneses(aja vtipkati ga ne mores uporabljena je virtualna tipkovnica, kjer so tipke vsakic random razporejene)...potem se potrdi tisto placilo, ki je ze shranjeno na strain klika. In to geslo, ki si ga vtipkal velja izkljucno samo za TO prvo placilo in samo TA racun. Za nov racun bo moral cez cel postopek. Torej ti ne more po tem, ko si ti vtipkal dodatno geslo narediti posebej posta na klik s podatki o nekem xy racunu. IMPOSIBRU!!!.
Je pa seveda mozen naslednji scenarij:
-Janezek gleda pornice.
-Janezek fase trojanca.
a)Janezku trojanec namesto klik.nlb.si prikaze tuj page in mu nekako spizdi certifikat in geslo
v starem kliku si bil tle ze mrtev. Imeli so VSE kar so rabili.
b)Isti scenarij.
-prvo te nategnejo, da Z LASTNO ODLOCITVIJO kupis izdelek za 10 eur. Potrdis placilo z unikatnim geslom in shranis racun med priljubljene.
-te prepricajo, da spet kupis nekaj za 5 eur...se logiras gres cez vse postopke in potem oni naredijo nov post z vrednostjo 500 eur...in potem se enega za potrditev(dodatno geslo NE bo zahtevano).
Ampak dejansko bi moral biti slep, gluh in glup, da ne bi opazil, da se ta druga MISSION IMPOSSIBLE variant odvija pred tvojimi ocmi :)
V vsakem primeru si pa spet kriv SAM. Nemogoce, da nosi banka kakrsno koli odgovornost.
Tko, da resnicno upam, da so tega cloveka nategnili preden so vse to uvedli. Potem se nekako razumem sodnike...

...:TOMI:... ::

eVro je izjavil:

SKB ima tudi še eno finto, ki je še nisem videl nikjer drugje, in sicer je to read only dostop do računa preko m.skb.net, kjer potrebuješ le štirimestni PIN. Za nahitro preverit stanje in transakcije je super, avtentikacija z geslom pa se mi zdi dovolj varna za read only, ker jo lahko tudi izklopiš.
Tudi abanka ima to, da lahko polgedaš stanje samo z geslom.
Tomi

technolog ::

Ok razmišljaš, edin tole ne drži:

No potem naredis placilo(10 eur) na nov racun. Sledi prvi post na klik.nlb.si, kjer je ze na klikovi strain zapisano kaj koliko in kam hoces placati. Ker je to nov racun te vprasa za dodatno geslo(random crka stevilka s papirja, ki si ga dobil priporoceno po posti). Ko to vneses(aja vtipkati ga ne mores uporabljena je virtualna tipkovnica, kjer so tipke vsakic random razporejene)...potem se potrdi tisto placilo, ki je ze shranjeno na strain klika. In to geslo, ki si ga vtipkal velja izkljucno samo za TO prvo placilo in samo TA racun. Za nov racun bo moral cez cel postopek. Torej ti ne more po tem, ko si ti vtipkal dodatno geslo narediti posebej posta na klik s podatki o nekem xy racunu. IMPOSIBRU!!!.


En korakec do razumevanja ti še manjka. Če ne bo šlo, ti pa razložim.

Zaključek je tak, da če se ti uspe vrinit v povezavo preko phisnihnga, je tak napad možen (to, da podtakneš malicious nakazilo). Ampak zaradi phishing zaščite (osebno sporočilo ob loginu) to ni mogoče, razen če je uporabnik šlampast in ni pozoren, da sporočila ni bilo.

Zgodovina sprememb…

poweroff ::

Gandalfar je izjavil:

> Ja pizda cela fora avtentifikacije je da korespondentu NE verjamem na lepe oči.

Ja, saj je simple. Gres na njihovo stran: https://elba.nlb.si/ac-nlb-prevzem-klik
(ki je podpisana s strani Verisigna) in si uvozis njihov root certifikat v browser. Lahko bi se pa tudi s tehnikom zmenil po telefonu, da ti pove signature.

Aha, kako pa zaupaš, da ta stran ni MITMjana?

Sicer je pa logika te 'kazni' v tem, da se banke motivira, da bodo vlagale v zaščito. Ker dokler banka stroške zlorab lahko prevali na uporabnike, nima motivacije za implementacijo dobrih zaščit.
sudo poweroff

Looooooka ::

Dobro se ti vrinejo med sejo in ti nazaj servirajo html kjer pise 10 namesto 500.
Pa potem se tist java crap pojahajo do konca preden se ta del kode pride do tvojega brskalnika...to bi blo pomojem ze v vseh casopisih :)

Najceneje za njih bi bilo, da dodajo moznost(ki je lahko OPT IN in jo placamo uporabniki).
Vtipkam 10 eur nakazila Matthaiu in dobim unikatno geslo po smsu za tocno to vsoto. "Posiljamo vam potrditveno kodo za potrditev placila v vrednosti 10 eur na TRR xxxxxxx. Koda: blabla".
Dokler ne vpisem te kode placilo ne gre cez.
Pa mi lahko heknejo od moje masine do banke kar hocejo.
No razen ce se prej ne naucijo pofejkat kartkih stevilk....kar bo Matthai verjetno rekel, da ni tezko.
In smo spet v riti :D

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Looooooka ::

Ha...oziroma se boljse.
namesto, da jo vpisujem nazaj na spletno stran, ki je lahko hijackana...sms pa je lahko fake. moram preko ussdja vtipkati *534*8888# (534 je ussd cifra dodeljena banki...8888 je koda iz smsa). kliknem klici...pocakam, da dobim obvestilo, da je slo cez. In potem na spletni strani kliknem POTRDI.
Jebo mast ce bo sel kdo hijackat sejo in heknit vse operaterje v Sloveniji :)

poweroff ::

Lahko bi digitalno podpisal vsako transakcijo... se da pa tudi to pofejkat.
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

Apple ::

bluefish je izjavil:

A NLB v 2009 še ni imel sistema za vnos dveh naključnih znakov ob izvedbi nakazila? Če je, potem si je bil dotični osebek sam kriv.


NLB je razpošiljala dodatna gesla v oktobru 2009.

Drugače pa vsi, ki ste na NBLju in imate Klik in ste malo paranoični, si vklopite prejem SMSja ob vsaki finančni transakciji, izvedeni v Kliku...
Pred tem si pa lahko vklopite še prejem SMSja pri vstopu v Klik...
LP, Apple

Zgodovina sprememb…

  • spremenilo: Apple ()

BaToCarx ::

Torej žrtev tukaj je lahko bil napaden z kombinacijo NLB tarča phishing-a in Klik.nlb shekan? / Robert Škulj naredil samomor ? Ma kdo kake dokumente od sodišča za prebrat?

tehnolog, ti razmišljaš pa v tej smeri Hooking @ Wikipedia ?

Happy xmas. :D

Gandalfar ::

poweroff je izjavil:

Gandalfar je izjavil:

> Ja pizda cela fora avtentifikacije je da korespondentu NE verjamem na lepe oči.

Ja, saj je simple. Gres na njihovo stran: https://elba.nlb.si/ac-nlb-prevzem-klik
(ki je podpisana s strani Verisigna) in si uvozis njihov root certifikat v browser. Lahko bi se pa tudi s tehnikom zmenil po telefonu, da ti pove signature.

Aha, kako pa zaupaš, da ta stran ni MITMjana?

Sicer je pa logika te 'kazni' v tem, da se banke motivira, da bodo vlagale v zaščito. Ker dokler banka stroške zlorab lahko prevali na uporabnike, nima motivacije za implementacijo dobrih zaščit.


Kako pa ti ves, da tvoja povezava na S-T ni MITM-jana? (Drugace majo NLB-jeva navodila kako uvozit certifikat tudi njihov fingerprint napisan zraven)

Zgodovina sprememb…

poweroff ::

Ja, recimo, da zaupam CA-ju. Pri NLB je pa problem, da na Kliku uporabnika 'navajajo' k temu, da CA-ja ni, tam pa CA kar naenkrat je pomemben.

BTW, slovenske banke uporabljajo kaj PFS? Kaj pravi SSLtest?
sudo poweroff

...:TOMI:... ::

Banke morajo imeti en kupček denarja nekje, prav za take primere. Risk management... Morda v tem primeru res ni bilo pravično, da so gw izplačali, vendar to je treba vzeti v zakup banke.

Po navadi so banke tiho in izplačajo škodo, da nimajo negativne reklame. Slišal sem že, da so bile že hujše zadeve, ker so imeli vdore, pa so to tiho popravili, da nobeden ni vedel, da je sploh kaj bilo.
Tomi

Brane22 ::

In čim to vzamejo v zakup banke, konča na plečih komitentov, ustrezno prikrito seveda.

Zato bi blo fajn, da se uvedejo neki splošni varnostni standardi.

...:TOMI:... ::

Varnost je tako kot črna luknja. Lahko zmečemo neskončno denarja za varnost, pa še vedno ne bo 100 % varnosti.

Zato pa je tu uvedba ocen tveganja, kjer risk management določi mejo, do katerega zneska se vlaga v varnost in kakšen znesek se nameni za poplačilo morebitne škode. Lahko gre to iz fonda banke, lahko je zavarovano...
Tomi

Gandalfar ::

poweroff je izjavil:

Ja, recimo, da zaupam CA-ju. Pri NLB je pa problem, da na Kliku uporabnika 'navajajo' k temu, da CA-ja ni, tam pa CA kar naenkrat je pomemben.

BTW, slovenske banke uporabljajo kaj PFS? Kaj pravi SSLtest?


To ni res. Prva stran navodil je, da si prenses njihov certifikat za CA in ga uvozis v browser/OS. Stran iz kje si pa preneses je pa Thawte SSL.

Brane22 ::

Varnost je tako kot črna luknja. Lahko zmečemo neskončno denarja za varnost, pa še vedno ne bo 100 % varnosti.


Oziroma tako se glasi reklamni slogan tistih, ki prodajajo cheap crap kitajsko robo in podobne zadeve.

Ker popolne varnosti itak ni, je po njihovem vseeno kakšna je.

Pa kaj če ti je zaradi cheap crap napajalca za telefon pogorela bajta. _Lahko_ bi se zgodilo tudi z originalnim.

Če padaš na take stvari, prav.

Brane22 ::

Zato pa je tu uvedba ocen tveganja, kjer risk management določi mejo, do katerega zneska se vlaga v varnost in kakšen znesek se nameni za poplačilo morebitne škode. Lahko gre to iz fonda banke, lahko je zavarovano...


Tu je le ena majhna "drobnarija". Ko imaš opravka z banko ali zavarovalnico, se te ne tepejo za to,d a bi ti izplačale škodo vedno ali čimveč. Ravno obratno. Interes jih sili v čimmanjša izplačila in samo ko ne gre drugače. Ja, nekaj šteje dobro ime, ampak ne vpliva vsako izplačilo enako na dobro ime in komot izvisiš.

In ko pride do nasprotja interesov je komitent sam na eni strani,banka/zavarovalnica s svojim utečenim in specializiranim teamom pa na drugi.

Če že zaradi drugega ne, bi zaradi tega rad videl minimalno dovljene varnostne mehanizme, ki bi zmanjšali število takih slučajev in njihovo resnot.

Brane22 je izjavil:


In ko pride do nasprotja interesov je komitent sam na eni strani,banka/zavarovalnica s svojim utečenim in specializiranim teamom pa na drugi.


In BTW je ponavadi takrat komitent brez beliča, banki pa za denar ni sile. Kdo je takrat v boljši situaciji za izsiljevanja tipa vzemi ali pusti" je pa tudi očitno.

Zgodovina sprememb…

  • spremenilo: Brane22 ()

...:TOMI:... ::

Banke ne bodo izdale, kako so varovane, ker je to lahko poslovna skrivnost ali pa se bojijo, da bi storilcem olajšale delo. To je napačen pristop, banke bi morale igrati z odprtimi kartami.

Ja, brane, strinjam se s tvojimi izjavami, vendar banke delujejo po načelih, ki sem jih napisal. One bi v varnost vlagale čim manj, hkrati pa bi izplačale čim manj odškodnin, kar je logično.

Ne vem, kaj hočeš ti od banke, vendar tega ti nobena banka na tem svetu ne zagotavlja. Če pa ti, si pa neumen, da nisi njen komitent.
Tomi

xxxul ::

technolog je izjavil:

Pozor!

Ne se prosim slepit, da je SKB kaj bolj varen, ker je treba kao dvakrat pisat neko kodo. Niti pikice bolj.

Le uporabniki jih v pizdo pošiljajo, ker rabiš 5 minut, da se sploh prijaviš. Seveda lahko izklopiš, ampak na lastno škodo. Logike itak nima nihče nobene.

Edina pametna rešitev je, da dajo uporabnikom osebne certifikate. Tega pa seveda nihče ne bi.


glede na to da je Tanner (password generator bi mu verjetno reku) bl k ne standard po večini bank ne vem zakaj bi bil manj varen kot certifikat? je pa precej bolj priročen...

lukaz ::

MrStein je izjavil:


Za njihov cert pa bi lahko po telefonu vprašal, da ti thumbprint zdrdra, če imaš dvome.

V kar pa jih je bilo včasih zelo težko prepričati.

stb ::

Kolikor se spomnim pri Kliku leta 2009 dodatna koda za potrjevanje transakcij še ni bila obvezna.

Edit: bo držalo: NLB klik amaterji?

Zgodovina sprememb…

  • spremenil: stb ()

MrStein ::

lanko je izjavil:


2. NLBCA - je neke vrste samooklicani izdajatelj certifikatov, eni brskljalniki ga podpirajo, drugi ne. V vsakem primeru pa ne bi zaupal nobenemu CA-ju vsaj dokler lahko vidijo tvoj zasebni ključ. Vsi CA-ji bi morali delovati tako, da podpišejo ključe, ki jih generiraš sam in ne tako, da ti jih generira CA in da ima fizični stik s tvojim ključi. Certificate signing request @ Wikipedia

- preberi link, ki si ga navedel
- boš videl, da CA ni v nobenem stiku z zasebnim ključem uporabnika
- NLB CA je enako samooklican CA kot bilokateri drugi CA. Da avtorji frfoksa raje zaupajo tistim CA, ki izdajajo lažne certifikate, kot pa NLB, ki tega ne počne, je stvar avtorjev frfoksa

bluefish je izjavil:

A NLB v 2009 še ni imel sistema za vnos dveh naključnih znakov ob izvedbi nakazila? Če je, potem si je bil dotični osebek sam kriv.

Zakaj? Vpisat jih je moral enako kot vpisat geslo (tako za web stran, kot za svoj certifikat).

gruntfürmich je izjavil:

uporabnik je očitno totalen loj in banka mu gre na roko...
same lepe zadeve se dogajajo v sloveniji.

Loj si ti. In zanič izdelki.

(predpostavljam, da je druge imenovati "loj", v skladu s pravili, saj ni bilo brisano)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Izi je izjavil:

Tukaj je pa sodišče močno brcnilo v temo. Se vidi, da se sodniki ne spoznajo na te zadeve.

A zadevo ti poznaš bolje?
Ker sodišče je presodilo, da uporabnik ni ravnal malomarno.
Na podlagi česa si ti presodil drugače?

Izi je izjavil:

Tukaj je pa sodišče močno brcnilo v temo. Se vidi, da se sodniki ne spoznajo na te zadeve.

Tale zadeva z phishingon in prenakazanim denarjem je popoln bullshit. Tudi če jaz na internetu objavim svoje geslo za Banko mi nihče ne more ukrasti denarja.
Prva stvar je, da se brez certifikata ne moreš prijaviti v banko, tudi če veš geslo. Certifikat pa se lahko ukrade samo fizično iz računalnika. Se pravi EDINA možnost je, da so mu denar prenakazali iz njegovega računalnika, ki je imel nameščen certifikat. Torej ali so mu vlomili v hišo ali pa mu ukradli prenosnik. Kje je tukaj kriva banka?
Pa tudi v tem primeru se lahko samo povežeš na banko, še vedno pa ne moreš prenakazati denarja, ker rabiš vpisati še dvomestno zaščitno kodo, ki je ne more vedeti nihče razen lastnik. Se pravi, da so mu morali zraven ukrasti še tisti listek s kodami za nakazila.

Tukaj je pa že toliko čejev in nelogičnosti, da lahko zaključimo, da je ta uporabnik sam nakazal svoj denar na nek drug svoj račun in potem prijavil denar kot ukraden. Naivno sodišče pa mu je verjelo.
Skratka ta uporabnik je nategnil državo in si namesto povračila denarja zasluži zapor.

NLB Klik je štirikrat varovan.
1. Certifikat
2. Geslo
3. Osebno sporočilo
4. Varnostna koda (dvomestna), ki je ob vsakem nakazilu drugačna

Če si še tako neumen in nevešč ti nihče ne more ukrasti denarja, če mu sam ne dovoliš.

Ha ha, čista slovenceljska miselnost:
- žrtev je kriva
- dajmo jo še pretepst in pobrcat
- dogodek se verjetno niti zgodil ni...

Se ti ne zdi, da si lahko NLB (pred dnevi smo jih podarili milijardo, pomnimo) privošči vrhunske odvetnike in strokovnjake s katerim bi na sodišču zmagali, tudi če bi sami s pištolo stranko oropali?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

stb ::

MrStein je izjavil:


- NLB CA je enako samooklican CA kot bilokateri drugi CA. Da avtorji frfoksa raje zaupajo tistim CA, ki izdajajo lažne certifikate, kot pa NLB, ki tega ne počne, je stvar avtorjev frfoksa

Drugi resni CAji se ponavadi potrudijo in Mozilli vsaj predlagajo vpis svojih root certifikatov v Mozilline produkte.

MrStein ::

Saj predlagan je, kolikor vem.

MuadDib je izjavil:


ni stroskov pri placevanju poloznic (po celi evropi, se razume)

Kaj s tem misliš? Grem na poljubno pošto in plača položnico brez provizije?
Imajo svoje poslovalnice po celi evropi?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Izi je izjavil:

technolog je izjavil:

se lahko naredi tale scenarij: Ti narediš nakazilo 10EUR za nove čevlje, vpišeš kodo. V resnici pa napadalec namesto tebe naredi 5000EUR nakazilo offshore.

Tale scenarij je pa po moje bolj znanstvena fantastika. Povezava med klientom in bančnim strežnikom je šifrirana.
Nisem kakšen hacker, ampak močno dvomim, da bi bil kdo sposoben po želji spreminjati šifrirane paketke, ki potujejo na bančni strežnik.

Ta scenarij se dogaja v praksi. Zato (drugje) že uvajajo hardverske tokene, ki na svojem displeju prikažejo ciljni TRR, da ga lahko preveriš, če je pravi.

Ja, res nisi hacker.

Izi je izjavil:

technolog je izjavil:

Jaz imam delujoč prototip za tale napad spisan v enem dnevu.
Ne verjamemo :P
Tisti, ki so res sposobni kaj takega tega ne bodo nikoli priznali ;)
To so nevarna znanja.

Ja, tako kot poznavavanje poštevanke. Sami teroristi!

bluefish je izjavil:

Indeed, sploh za 500€. Če ima človek toliko znanja, ga lahko legalno "proda" za precej več.

5000 je bilo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

poweroff je izjavil:

Gandalfar je izjavil:

> Ja pizda cela fora avtentifikacije je da korespondentu NE verjamem na lepe oči.

Ja, saj je simple. Gres na njihovo stran: https://elba.nlb.si/ac-nlb-prevzem-klik
(ki je podpisana s strani Verisigna) in si uvozis njihov root certifikat v browser. Lahko bi se pa tudi s tehnikom zmenil po telefonu, da ti pove signature.

Aha, kako pa zaupaš, da ta stran ni MITMjana?

Če frfoks zaupa Verisign-u, zakaj ne bi tudi Janez?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Gandalfar ::

Ne vem, Matthai mu ocitno ne :)

MrStein ::

Looooooka je izjavil:


Najceneje za njih bi bilo, da dodajo moznost(ki je lahko OPT IN in jo placamo uporabniki).
Vtipkam 10 eur nakazila Matthaiu in dobim unikatno geslo po smsu za tocno to vsoto. "Posiljamo vam potrditveno kodo za potrditev placila v vrednosti 10 eur na TRR xxxxxxx. Koda: blabla".
Dokler ne vpisem te kode placilo ne gre cez.

To je tako dobra ideja, da jo banke že uporabljajo lep čas.


Pa mi lahko heknejo od moje masine do banke kar hocejo.

Razen če ti heknejo mandoridni telefon...

In smo spet v riti :D

Tako je. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

stb ::

MrStein je izjavil:

Saj predlagan je, kolikor vem.


Nisem prepričan.

solatko ::

Psihing strani je, kolikor je bilo objavljeno, dal vse osebne podatke, številko računa in gesla. Že ob prvi uporabi klik-a te pričaka obvestilo o varni uporabi, kjer lepo piše, da banka nikoli ne bo zahtevala dodatnih podatkov klienta. Če se na strani pojavi zahteva po osebnih podatkih, je to znak, da gre za lažno stran.

Osebno poslujem preko klik-a že od kar obstoji, prenakazoval sem že večje vsote 100kDEM+, v času, ko je bilo varovanje še nepopolno pa ni bilo nikoli nič narobe.
Osebni ključ imam na ključku in SD kartici (rezerva), vstavim ga v brovser, ko nameravam delat z banko, po zaključku seje, ga iz računalnika brišem.
Postopek traja nekaj sekund za vnos in sekunda za izbris. Prijavljal sem se na različnih računalnikih, tudi po svetu, pa ni bilo nikoli problemov.

Sem pa že delal na računalnikih strank, ki so imele osebni ključ shranjen v brovserju, naštimano prvo geslo avtomatsko prijavo, drugo geslo pa v beležki pod naslovom - gesla.
Na opozorilo, da to ni varno (tudi pri strankah, katerim bi bilo kaj pobrati), jih je malo zaskrbelo, tako, da so ukinili avtomatsko prijavo in umaknili gesla, po prejemu novega ključa, pa smo uredili tako kot je potrebno.

Problem je namreč, če je ključ dan v brovser, brez možnosti izvoza (to je možno nastavit samo ob instalaciji - prevzemu).

Problem je, da ni zavarovanja pred neumnostjo samih uporabnikov.
Delo krepa človeka

fosil ::

Osebni ključ imam na ključku in SD kartici (rezerva), vstavim ga v brovser, ko nameravam delat z banko, po zaključku seje, ga iz računalnika brišem.

To je brezveze in nič kaj bolj varno od stalno prisotnega certifikata v brskalniku.
Če se že greš ta sistem, si kupi pametni usb ključ, ki je namenjen hrambi certifikatov in ni treba certifikata nič uvažat in brisat iz brskalnika.
Tako je!

49106 ::

Osebno poslujem preko klik-a že od kar obstoji, prenakazoval sem že večje vsote 100kDEM+, v času, ko je bilo varovanje še nepopolno pa ni bilo nikoli nič narobe.


Jaz sem take vsote včasih nosil v kufrih. Znanec še 10x višje v škatlah in vrečah za smeti. Your point?

BigWhale ::

Obstajajo tehnologije s katerimi se da na precej enostaven nacin zascititi spletne strani pred phishingom. Spletno stran pa si lahko zascitis aktivno ali pa pasivno. V podrobnosti se ne morem spuscati, gre pa za mehanizme kjer imas third party service, ki skrbi za validacijo spletne strani ali posameznih elementov na spletni strani. V kombinaciji z DNSSEC in nekaj osvescenosti uporabnika, je stvar precej efektivna.

Je pa dobro, da imas SSL certifikat, ki je bil izdan od ustreznega CAja. Ce imas svoj CA, potem pa poskrbis, da si uporabniki namestijo tvoj CA certifikat.

Ni pa nobena zascita 100% varna.
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Poizkus zlorabe bančne kartice

Oddelek: Informacijska varnost
163595 (2721) K3kec
»

Obrali so me za 1000€ prek spleta !! pomoč/izkušnje!? (strani: 1 2 )

Oddelek: Loža
7518141 (13621) Daedalus
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23291581 (84792) sisemen 

Več podobnih tem