»

Četrt stoletja SMS-ov

Slo-Tech - Kratka sporočila, ki jih pošiljamo po mobilnih telefonih, ali krajše smsi so stari 25 let. Za iznajdbo, ki je revolucionarno spremenila uporabo mobilnih telefonov (od preprostega dogovarjanja do dvorjenja), je odgovoren britanski inženir Neil Papworth. Leta 1992 je v podjetju Sema Group Telecoms za Vodafone UK razvijal SMSC (Short Message Service Centre). Prvo sporočilo je bilo kratko in praznično, saj je 3. decembra direktorju Vodafona napisal "merry Christmas". To je bilo prvi sms v zgodovini. Poslan je bil z računalnika, prispel pa je na telefon Orbitel TPU 900.

Čeprav so smsi kasneje postali izjemno priljubljeni in marsikod celo zasenčili izvirno funkcijo telefona, to je pogovarjanje, so bili začetki borni. Prvi telefoni so imeli...

51 komentarjev

Dropbox dobil dvostopenjsko avtentifikacijo

Computerworld - Dropbox je izpolnil obljubo, ki so jo dali po izgubi osebnih podatkov pretekli mesec, in uvedel dvostopenjsko avtentifikacijo. Doslej je bil dostop do računa mogoč izključno z uporabniškim imenom (elektronski naslov) in geslom, ki ju napadalci relativno lahko prestrežejo oziroma pridobijo s socialnim inženiringom ali zlonamernimi aplikacijami. Da bi to preprečili ali vsaj otežili, so uvedli preverjanje istovetnosti s SMS-kodo oziroma namenskimi programi.

Kdor bo želel uporabljati novo varnostno storitev, bo moral svojega odjemalca najprej posodobiti na verzijo vsaj 1.5.12. Potem bo na spletni strani Dropbox v svojem računu na zavihku...

18 komentarjev

Kreditna sposobnost je zapisana v mobilnih telefonih

vir: Boston
Boston - Odobravanje kreditov je v razvitem svetu vsaj v teoriji relativno preprosto. Stranka pride v banko, kjer ji na podlagi kreditne zgodovine, kamor se beležijo vsi njeni krediti in njihovo odplačevanje, prihodkov in zavarovanja kredit bodisi odobrijo bodisi zavrnejo. Bistveno je, da imajo banke načeloma precej podatkov o kreditojemalcu, ki jim omogočajo relativno varno odločitev - kaj se zgodi ob zlorabah tega sistema in odobravanju kreditov kreditno nezmožnim iz političnih razlogov, smo v Sloveniji videli, a načeloma...

40 komentarjev

Zloraba spletnega bančništva s pomočjo prenosa mobilne številke

SC Magazine - Domiselnost tatov kar noče poznati meja. Skupina avstralskih nepridipravov je potem, ko so s trojancem uspešno pridobili prijavne podatke za spletno banko lokalnega poslovneža, z malo socialnega inženiringa dobila njegovo mobilno številko in jo po krajšem telefonskem klicu na avstralski Vodafone prenesla na svoj telefonski aparat. Nato so si naklikali 45 tisoč avstralskih dolarjev preko nakupa v trgovini s pohištvom. Banka je transakcijo sicer zaznala kot sumljivo, vendar imetnika računa niso uspeli priklicati, ker je med kontaktnimi podatki navedel (ironija) svojo mobilno številko.

Napad se je zgodil letos junija, poslovnež pa je zanj zvedel šele...

18 komentarjev

SpyEye e-bančni trojanec na voljo za Androida

Delovanje potrditvenih kod TAN.

vir: The Register
The Register - Ruski razvijalci online banking trojanca SpyEye so pripravili še Android različico Spitmo, namenjeno kraji enkratne potrditvene kode (TAN, transaction authentication number), ki jo uporabnik spletnega bančništva prejme po SMS-u in z njo potrdi transakcijo. Banke so namreč že pred leti posredi visokih stroškov z zlorabami uvedle dvofaktorsko avtorizacijo transakcij, tako da so zlikovci poleg računalnika (certifikat, geslo) za krajo denarja z bančnih računov morali kontrolirati tudi uporabnikov mobilni telefon. Druga možnost so majhni kalkulatorčki enkratnih kod, a tudi mimo tega se da priti, npr. z malo socialnega inženiringa in pošiljanjem okuženih XLS datotek delavcem pri RSA Security, ki je eden izmed večjih proizvajalcev teh kalkulatorčkov.

SpyEye mora biti najprej nameščen na...

32 komentarjev

Nov, tehnično dovršen napad na nemške spletne banke

SMS sporočilo s skritim in digitalno podpisanim mobilnim trojancem

Slo-Tech -

Raziskovalci pri podjetju F-Secure poročajo o novem, tehnično dovršenem napadu na uporabnike spletnega bančništva. V normalnih okoliščinah se uporabnik prijavi v spletno banko kar z uporabniškim imenom in geslom, ko pa želi opraviti transakcijo, jo rabi posebej avtorizirati z vpisom posebne številke (mTAN), ki jo v ta namen obliki SMS-a prejme na svoj mobilni telefon. Ta sistem dvojnega preverjanja preprečuje, da bi napadalec zgolj z prestrezanjem uporabniškega imena in gesla (npr. s keyloggerjem) spraznil račun.

Napad poteka v več fazah. Najprej rabijo lopovi na spletno stran banke nastaviti opozorilo, da je uporabnikovo digitalno potrdilo poteklo in da rabi dobiti novega (nič od tega seveda ni res). Opozorilo...

23 komentarjev

Zaradi računalniške napake razpad plačilnega prometa v Avstraliji

Herald Sun - Zadnje čase pogosto poročamo o napakah računalniških sistemov, ki imajo zelo otipljive posledice v realni ekonomiji, in dokaj pogosto so na sporedu Avstralci. Septembra jim je računalniški sistem prizemljil več kot sto poletov, to pot pa je mnogo prebivalcev za nekaj dni pahnil v revščino.

V sredo je nočno obdelavo finančnih transakcij v banki NAB, ki sodi med štiri največje banke v Avstraliji (poleg Commonwealth Banke, Westpaca in ANZ-ja), prekinila okvarjena datoteka. Zaradi te težave se niso izvedle obdelave in v četrtek je zastal celoten promet pri NAB. Nakazila, plače, plačilo položnic, kliring in poravnava transakcij (NAB je na primer klirinška hiša za HSBC), bankomati, promet z nepremičninami - koder bi...

49 komentarjev

Varnostna analiza bančnega protokola: Chip Authentication Programme je neustrezen

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

12 komentarjev

Tatov še niso našli

The Register - Gotovo se še spominjate senzacionalne kraje pomnilniških modulov v oktobru iz skladišča v bližini letališča Heathrow. Ker angleške oblasti nepridipravov, ki so se polastili za kar 4.5 milijona funtov dragocenih ploščic, še niso našle, so se odločili za pomoč zaprositi javnost. V Veliki Britaniji je tako razpisana nagrada 100.000 funtov za vsakogar, ki bi lahko s svojimi informaciji pomagal spraviti tatove za zapahe. Če imate slučajno kakšne insajderske informacije, pokličite 0208 897 7412 oziroma anonimno številko 0800 555 111. Klik!

1 komentar