The Register - Ruski razvijalci online banking trojanca SpyEye so pripravili še Android različico Spitmo, namenjeno kraji enkratne potrditvene kode (TAN, transaction authentication number), ki jo uporabnik spletnega bančništva prejme po SMS-u in z njo potrdi transakcijo. Banke so namreč že pred leti posredi visokih stroškov z zlorabami uvedle dvofaktorsko avtorizacijo transakcij, tako da so zlikovci poleg računalnika (certifikat, geslo) za krajo denarja z bančnih računov morali kontrolirati tudi uporabnikov mobilni telefon. Druga možnost so majhni kalkulatorčki enkratnih kod, a tudi mimo tega se da priti, npr. z malo socialnega inženiringa in pošiljanjem okuženih XLS datotek delavcem pri RSA Security, ki je eden izmed večjih proizvajalcev teh kalkulatorčkov.

SpyEye mora biti najprej nameščen na...

Financial Times - Ameriška banka Citigroup je priznala, da so hekerji že maja pridobili dostop do osebnih in bančnih podatkov nekaterih komitentov. V ZDA ima Citigroup 21 milijonov komitentov, prizadetih pa naj bi jih bil približno odstotek.

Napaden je bil Citi Account Online, ki vsebuje osnovne informacije, med katerimi so imena, številke računov in elektronski naslovi. Podatke o...

Ars Technica - Čeprav še ni popolnoma, 100-odstotno zagotovljeno, obstaja velika možnost, da so številke kreditnih kartic uporabnikov PlayStation Networka in storitve Qriocity prišli v roke zlikovcem. Sony o tem pač ni popolnoma prepričan (pravijo, da ni dokazov, a ne izključujejo možnosti), a so zatrdili, da je prišlo do izgube oz. kraje osebnih podatkov. Med podatki, ki so zagotovo prišli v roke zlikovcev, so uporabniško ime in geslo uporabnika, njegovo pravo ime, točen naslov, država, v kateri prebiva, naslov elektronske pošte in datum rojstva. Poročajo še, da je poleg številk kreditnih kartic (slednjega sicer ne omenjajo, a trenutna situacija ne daje upanja) lahko zlikovcem v roke prišel seznam preteklih nakupov skupaj z naslovom za izdajanje računov (večinoma sicer enak naslovu prebivališča), skupaj z vsemi...

Google - Google je včeraj začel za vse uporabnike ponujati storitev varnejše prijave v Googlove račune, ki bo z dodatnim korakom nekoliko podaljšala prijavo in zmanjšala možnost kraje identitete. Uporabniki bodo namreč lahko nastavili, da pri prijavi po vpisu gesla na svojo mobilno napravo prejme sporočilo z enkratno kodo ali pa si enkratno kodo generirajo z aplikacijo za Android, BlackBerry ali iPhone.

Pri tem si lahko nastavijo, da tega ne bo potrebno ponoviti mesec dni, nakar jih bo Google zopet pozval k varnejši prijavi. Na ta način želi Google zmanjšati možnost kraje gesla in zlorabe računa. Omenjena storitev je za Google Apps na voljo že od septembra, sedaj pa jo je Google razširil na vse izdelke in za vse uporabnike.

Kmalu bo Google ponujal varnejšo prijavo kot naše...

Slashdot - Podjetje Visa, ki je znano po istoimenskih kreditnih karticah, je vstopilo na trg sistemov plačevanja preko spleta in se postavilo ob bok storitvam kot so Moneybookers, Alertpay in Neteller, še najbolj pa želijo konkurirati Paypalu na področju t.i. mikro plačil.

Gre za predplačniško storitev imenovano Payclick, ki je v prvi vrsti namenjena mladoletnikom. Le-ti večinoma preko spleta opravljajo nakupe glasbe in videoiger, ki ne presegajo vrednosti 20$. Zaenkrat je največji dovoljeni znesek na računu 1000$, hkrati pa denarja s Payclicka ni možno prenesti na bančni račun. Podobno kot Paypal, Payclick omogoča vplačevanje na račun s pomočjo bančnega nakazila ali kreditnih kartic (Visa in Master Card). Storitev se od Paypala razlikuje v tem, da omogoča popoln starševski nadzor nad pretokom denarja na računu.

V kratkem nameravajo storitev uvesti tudi za druge uporabnike po svetu ter se ne želijo omejevati le na Avstralijo.

Slashdot - Spletni prevarantje so neizmerno iznajdljivi ljudje. RSA poroča o novem načinu napada na nič hudega sluteče uporabnike, ki so ga poimenovali kar chat-in-the-middle napad. Začetek je poznan - uporabnik tako ali drugače pristane na zlobni strani, ki od njega zahteva vpis uporabniškega imena in gesla za vstop v elektronsko banko (klasično ribarjenje). Inovativni del sledi za tem, saj uporabnika stran ne preusmeri na naslednjo ponarejeno stran ali na legitimno stran, temveč odpre pojavno okno, kjer se prevarantje predstavljajo kot tehnična podpora in poskušajo s spletnim klepetom pridobiti še več informacij od žrtve. Poudariti gre, da ne...

Slo-Tech - Pri Linux Foundation so se skupaj s podjetjem CardPartner in UMB banko odločili ponuditi svojo Visa Platinum kreditno kartico.


Linux Foundation bo za vsako izdano kartico prejela 50 USD ter določen odstotek od vsake transakcije, ki jo bodo opravili imetniki kartice. Ves tako zbrani denar pa bodo namenili za odprtokodne tehnične prireditve ter kritje stroškov potovanja članov odprtokodne skupnosti.

Kreditna kartica bo za začetek na voljo le v ZDA, obljubljajo pa tudi razširitev na ostale države.

Končno bomo lahko pingvina spravili v denarnico...

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

The Register - Visa se je z štirimi evropskimi bankami dogovorila, da bodo preizkusili novo generacijo kreditnih kartic, ki je namenjena zajezitvi internetnih zlorab. Britanska podružnica Bank of America, Corner Bank iz Švice, izraelski Cal in IW Bank iz Italije bodo 500 oz. 3000 komitentom izdali nove kartice. Te bodo imele na zadnji strani vgrajeno številčnico, s katero bodo uporabniki vnesli PIN, kartica pa bo izpisala kodo za enkratno uporabo. Podobni sistem so že v uporabi za dostop do npr. elektronskega bančništva, le da se kalkulator za izračun enkratne dostopne kode ne nahaja na kartici, temveč je ločena enota.

Na ta način izdajatelji želijo preprečiti napade, v katerih so...

Schneier.com - Raziskovalci Cambridge University (Saar Drimer, Steven J. Murdoch in znani profesor Ross Anderson) so ugotovili, da dve znani napravi za plačevanje s pametnimi bančnimi karticami (tim PIN Entry Device) Ingenico i3300 in Dione Xtreme ne omogočata zadostne zaščite bančnih kartic z čipom.

Problem je v tem, da transakcija med bančno kartico z čipom in napravo za vnos PIN kode ni šifrirana. To omogoča prestrezanje komunikacije, na podlagi česar napadalec lahko izdela kopijo kartice (na magnetni kartici). Kljub temu, da naprave za vnos PIN kode ne onemogočajo takšnega prestrezanja, so bile certificirane in se še vedno uporabljajo. Oprema za napad stane le nekaj sto britanskih funtov, izvesti pa ga je mogoče na razmeroma enostaven način.

Kljub temu, da naj bi nove kartice za avtentikacijo transakcije uporabljale tehnologijo iCVV (ki izvaja avtentikacijo plačila s pomočjo digitalnega certifikata v čipu kartice), tudi novejše kartice (v Britaniji izdane februarja letos) še vedno...

Schneier.com - Trije ameriški raziskovalci iz Symanteca ter Indiana University School of Informatics so razvili novo vrsto napada, poimenovano Drive-By Pharming.

Gre za napad, kjer napadalec preko posebej oblikovane spletne strani, ki vsebuje zlonamerno JavaScript kodo, skuša dostopiti do domačega brezžičnega ali navadnega usmerjevalnika. Zlonamerna JavaScript koda, ki se izvede ob obisku spletne strani, spremeni DNS nastavitve v usmerjevalniku, kar napadalcu omogoča nadzor nad uprabnikovo internetno povezavo. S pomočjo DNS preusmeritev namreč lahko napadalec uporabnike usmerja na lažne spletne strani oziroma pri SSL zaščitenih straneh izvaja napad s posrednikom (tim. man-in-the-middle napad).

Ključno za uspešnost napada je, da napadalec s svojo kodo uspešno dostopi do usmerjevalnika. Ker v praksi veliko domačih uporabnikov v usmerjevalnikih uporablja privzeta gesla, je verjetnost uspešnosti napada pravzaprav precej visoka.

Iz tega razloga je priporočljivo čimprej spremeniti privzeta...

Crypto-Gram - Da plačevanje s kreditnimi karticami preko interneta ni povsem varno, se verjetno vsi zavedamo. Tehnologije, kot je SSL, sicer varnost nekoliko povečajo (kljub temu še vedno obstaja možnost man-in-the-middle-napada), vendar pri plačevanju iz raznih cybercaffejev ali knjižnic nikoli ne moremo vedeti, če ni morda kdo na računalnik namestil programa, ki snema pritisnjene tipke (keylogger).

A morda se bo to v prihodnosti spremenilo. Kot poroča Crypto-Gram je namreč podjetje BeepCard razvilo posebno kartico z vgrajenim čipom, zvočnikom in mikrofonom. Kartica je v velikosti običajne kreditne kartice, novost pa je to, da ne potrebuje posebnega čitalca. Ko želimo kartico uporabiti, najprej v mikrofon povemo geslo, nato pa se ob pritisku na poseben gumb generira 128-bitni niz znakov, ki ga zvočnik zapiska. Stvar deluje podobno kot kartice SecureID, kar pomeni, da je ta 128-bitni niz znakov za odobritev vsake transakcije drugačen, torej se ob naslednji transakciji ne ponovi. To pomeni, da...

HardOCP - Da so američani čuden narod tako ali tako vemo že vsi, toda to presega že skoraj vse meje. Kaj se zgodi, če zmešate dve zelo popularni stvari v Ameriki: orožje in hardver? Uničevanje hardvera, seveda. Neki tip je postavil stran, na kateri objavlja slikice raznih delov hardvera, ki jih je prestrelil s svojo Big Kahuna pušketino. Še več, če hočete, mu lahko celo pošljete svoj hardver, ki ga bo zastonj uničil, pa še na strani boste omenjeni! Lame...