Novice » Varnost » NLB mora povrniti škodo zaradi phishinga
Hayabusa ::
Postopek traja nekaj sekund za vnos in sekunda za izbris. Prijavljal sem se na različnih računalnikih, tudi po svetu, pa ni bilo nikoli problemov.
Ni problema dobiti nazaj certifikat z undelete orodji .
techfreak :) ::
Uf, jaz ne bi nikoli dal certifikata za banko na računalnik kateremu ne zaupam. Podobno velja tudi za email, PayPal in podobne račune.
AndrejO ::
Nekaj nametanih komentarjev na temo.
Okoli l. 2009 je bil splošen nivo varnosti NLB klik na začetnem nivoju, varnostni elementi so bili osnovni, banka je ponujala možnost, ki je že ob manjši neprevidnosti uporabnika, le tega izpostavila visokem tveganju. "Osnovni paket [NLB klika] torej ne zagotavlja visoke ravni varnosti, vendar se najveć uporabnikov odloči prav zanj in to zaradi ugodne cene. Tega prav gotovo ne bi storili, če bi se zavedali potencialne nevarnosti, ki jim grozi. Prav pri uporabi tega osnovnega paketa je do zdaj prišlo do največjega števila odtujitev denarja z računov uporabnikov."[1]
Izhodišče za 120. čl. ZPlaSS je neenakopraven odnos med bank in komitentom. Banka je namreč tista, ki ima možnost predpisati in zahtevati uporabo poljubnih varovalnih mehanizmov. Povprečen uporabnik, pa po drugi strani ni sposoben ocenjevanja tveganj in s tem informirane izbire na trgu. V to neenakopravnost se poseže tako, da se povprečnega uporabnika še vedno spodbuja k varnem in odgovornem ravnanju (sam trpi stroške do višine 150 EUR), banko pa k dejanski implementaciji ustreznih varnostnih mehanizmov, ki bodo minimizirali njeno stopnjo tveganja (če ni vzroka v hudi malomarnosti na strani uporabnika, bo banka nosila vse posledice zlorabe, ki presega 150 EUR).
Vsebina sodbe mi ni na voljo, da jo bi prebral, vendar pa ob upoštevanju zgornjih dveh odstavkov, ni nujno iz trte zvita. Če je uporabnik uporabljal "Osnovni paket", ki ga je banka prodajala in z nižjo ceno tudi promovirala in, če je za varnost računalnika poskrbel tako, kot bi za to poskrbel povprečen uporabnik, potem sta dva bistvena pogoja torej skoraj že izpolnjena. Banka se je odločila ponujati bolj tvegano rešitev (kar pomeni višje zavarovalne premije za banko), uporabnik pa ni ravnal očitno malomarno (nameščen požarni zid, protivirusna zaščita, verjetno tudi uporaba gesla). Glede na kvaliteto različnih phishing strani in odsotnost podatka o uporabljenem spletnem brskalniku, pa ostane odprto vprašanje kako enostavno bi bilo za povprečnega uporabnika zaznati, da vidi phising stran in ne "original".
Glede na odsotnost očitnih indikatorjev, da povezava ni zaščitena (govora je o spletnih brskalnikih l. 2009), ali pa, da je z njo nekaj narobe (znova, l. 2009), v kombinaciji s svetovanjem banke, ki je uporabnike "trenirala" na varnostno tvegano potrjevanje navidezno neveljavnega digitalnega potrdila, se da sklepati, da tudi tukaj zelo verjetno ni šlo za hudo malomarnost uporabnika.
Glede na to, da so se varnostni mehanizmi v preteklih štirih letih izboljšali, je tudi to lahko predstavljeno in upošetvano kot implicitno priznanje banke, da takratni varnostni mehanizmi niso bili optimalni. Enako pa se lahko ugotovi (in se še vedno ugotavlja) za spletne brskalnike.
[1] Belič, B; 2009; Varnost sistemov internetnega bančništva na primeru Klik NLB; EPF - Ekonomsko-poslovna fakulteta, Maribor; http://dkum.uni-mb.si/IzpisGradiva.php?...
Okoli l. 2009 je bil splošen nivo varnosti NLB klik na začetnem nivoju, varnostni elementi so bili osnovni, banka je ponujala možnost, ki je že ob manjši neprevidnosti uporabnika, le tega izpostavila visokem tveganju. "Osnovni paket [NLB klika] torej ne zagotavlja visoke ravni varnosti, vendar se najveć uporabnikov odloči prav zanj in to zaradi ugodne cene. Tega prav gotovo ne bi storili, če bi se zavedali potencialne nevarnosti, ki jim grozi. Prav pri uporabi tega osnovnega paketa je do zdaj prišlo do največjega števila odtujitev denarja z računov uporabnikov."[1]
Izhodišče za 120. čl. ZPlaSS je neenakopraven odnos med bank in komitentom. Banka je namreč tista, ki ima možnost predpisati in zahtevati uporabo poljubnih varovalnih mehanizmov. Povprečen uporabnik, pa po drugi strani ni sposoben ocenjevanja tveganj in s tem informirane izbire na trgu. V to neenakopravnost se poseže tako, da se povprečnega uporabnika še vedno spodbuja k varnem in odgovornem ravnanju (sam trpi stroške do višine 150 EUR), banko pa k dejanski implementaciji ustreznih varnostnih mehanizmov, ki bodo minimizirali njeno stopnjo tveganja (če ni vzroka v hudi malomarnosti na strani uporabnika, bo banka nosila vse posledice zlorabe, ki presega 150 EUR).
Vsebina sodbe mi ni na voljo, da jo bi prebral, vendar pa ob upoštevanju zgornjih dveh odstavkov, ni nujno iz trte zvita. Če je uporabnik uporabljal "Osnovni paket", ki ga je banka prodajala in z nižjo ceno tudi promovirala in, če je za varnost računalnika poskrbel tako, kot bi za to poskrbel povprečen uporabnik, potem sta dva bistvena pogoja torej skoraj že izpolnjena. Banka se je odločila ponujati bolj tvegano rešitev (kar pomeni višje zavarovalne premije za banko), uporabnik pa ni ravnal očitno malomarno (nameščen požarni zid, protivirusna zaščita, verjetno tudi uporaba gesla). Glede na kvaliteto različnih phishing strani in odsotnost podatka o uporabljenem spletnem brskalniku, pa ostane odprto vprašanje kako enostavno bi bilo za povprečnega uporabnika zaznati, da vidi phising stran in ne "original".
Glede na odsotnost očitnih indikatorjev, da povezava ni zaščitena (govora je o spletnih brskalnikih l. 2009), ali pa, da je z njo nekaj narobe (znova, l. 2009), v kombinaciji s svetovanjem banke, ki je uporabnike "trenirala" na varnostno tvegano potrjevanje navidezno neveljavnega digitalnega potrdila, se da sklepati, da tudi tukaj zelo verjetno ni šlo za hudo malomarnost uporabnika.
Glede na to, da so se varnostni mehanizmi v preteklih štirih letih izboljšali, je tudi to lahko predstavljeno in upošetvano kot implicitno priznanje banke, da takratni varnostni mehanizmi niso bili optimalni. Enako pa se lahko ugotovi (in se še vedno ugotavlja) za spletne brskalnike.
[1] Belič, B; 2009; Varnost sistemov internetnega bančništva na primeru Klik NLB; EPF - Ekonomsko-poslovna fakulteta, Maribor; http://dkum.uni-mb.si/IzpisGradiva.php?...
Zgodovina sprememb…
- spremenil: AndrejO ()
joze67 ::
Glede na to, da so se varnostni mehanizmi v preteklih štirih letih izboljšali, je tudi to lahko predstavljeno in upošetvano kot implicitno priznanje banke, da takratni varnostni mehanizmi niso bili optimalni. Enako pa se lahko ugotovi (in se še vedno ugotavlja) za spletne brskalnike.
Tole ... ne drži. Vsi ponudniki izboljšujejo svojo tehnologijo, prav tako kot napadalci. Beseda "optimalno" ima skozi čas drugačen pomen - kar je bilo optimalno 2003, v letu 2013 morda ni več.
AndrejO ::
Glede na to, da so se varnostni mehanizmi v preteklih štirih letih izboljšali, je tudi to lahko predstavljeno in upošetvano kot implicitno priznanje banke, da takratni varnostni mehanizmi niso bili optimalni. Enako pa se lahko ugotovi (in se še vedno ugotavlja) za spletne brskalnike.
Tole ... ne drži. Vsi ponudniki izboljšujejo svojo tehnologijo, prav tako kot napadalci. Beseda "optimalno" ima skozi čas drugačen pomen - kar je bilo optimalno 2003, v letu 2013 morda ni več.
Morda sem premalo pojasnil, pa bom še malo.
Če se pogleda progresijo varnostnih ukrepov spletnih bank, se opazi, da banke šele po večjih ali odmevnejših zlorabah uvajajo tehnologije in pristope, ki so bili na voljo že leta prej in so jih konkurenti tudi že uporabljali. Tukaj ni govora o temu, da se izumlja novo šifriranje ali nove protokole, govora je izključno o temu, da se začne uporabljati tehnike, ki so bile optimalne že l. 2009 in so še danes zadostne.
Za primerjavo še ena povezava iz l. 2009: http://www.zps.si/osebne-finance/varnos...
Povzetek tabel je, da je bilo že takrat videti, da imaš takšne in drugačne varnostne mehanizme. Kar se je s časom pri Klik NLB spremenilo, je samo to, da so spletni brskalniki malenkostno izboljšali uporabniške vmesnike (ranljivosti in omejitve PKI so še vedno iste) in, da so selektivno uvedli nekatere dodatne varnostne mehanizme.
Pa ni NLB največji grešnik. Zaradi nabrane zgodovine je npr. Abanet še danes "unsafe at any speed", če se uporabnik le malenkost spozabi. Spozabi na način, ki ga ni možno povezati z malomarnostjo.
Zgodovina sprememb…
- spremenil: AndrejO ()
poweroff ::
Ne vem, Matthai mu ocitno ne :)
Seveda ne. Niti najmanjšega razloga ni, da bi zaupal CA-ju. Ne po Snowdnu.
sudo poweroff
RejZoR ::
Koliko lahko zaupate banki, ob obisku katere dobite sporočilo:
klik.nlb.si uporablja neveljavno digitalno potrdilo.Mimogrede, izdajatelj potrdila je NLB.
Digitalno potrdilo ni vredno zaupanja, ker tudi njegov izdajatelj ni.
Seveda je treba za nadaljevanje dodati izjemo in kako naj običajni uporabnik ve, da je enkrat to dobro, drugič pa ne.
Samo zato, ker se banki zdi škoda dobrih sto evrov za certifikat z zeleno naslovno vrstico.
To ti javi zato, ker nimaš NLB certifikata (ker nisi njihov uporabnik), ki ti ga osebno izda NLB, in ga moraš potem uvozit v brskalnik. Potem pa ti tega ne bo več javljalo.
Angry Sheep Blog @ www.rejzor.com
tony1 ::
Osebni ključ imam na ključku in SD kartici (rezerva), vstavim ga v brovser, ko nameravam delat z banko, po zaključku seje, ga iz računalnika brišem.
To je brezveze in nič kaj bolj varno od stalno prisotnega certifikata v brskalniku.
Če se že greš ta sistem, si kupi pametni usb ključ, ki je namenjen hrambi certifikatov in ni treba certifikata nič uvažat in brisat iz brskalnika.
Solatkotu smo že enkrat pojasnili, da so ti njegovi ukrepi blažev žegen, pa vidim, da jih še vedno uporablja (in celo propagira naprej).
Looooooka ::
Obstajajo tehnologije s katerimi se da na precej enostaven nacin zascititi spletne strani pred phishingom. Spletno stran pa si lahko zascitis aktivno ali pa pasivno. V podrobnosti se ne morem spuscati, gre pa za mehanizme kjer imas third party service, ki skrbi za validacijo spletne strani ali posameznih elementov na spletni strani. V kombinaciji z DNSSEC in nekaj osvescenosti uporabnika, je stvar precej efektivna.
Je pa dobro, da imas SSL certifikat, ki je bil izdan od ustreznega CAja. Ce imas svoj CA, potem pa poskrbis, da si uporabniki namestijo tvoj CA certifikat.
Ni pa nobena zascita 100% varna.
A ni mela ena slovenska firma to cez nekaj let nazaj.
Na stran zalimas nek link, ki je na koncu za uporabnika slikca...ki jo lahko kadarkoli klikne in ga forwardira na stran, ki mu pove ce je stran res prava(sklepam, da je v linku nek string zgeneriran s kljucem, ki je znan samo temu overitelju in spletni strani)...
To bi blo ze dovolj, da bi uporabnik vedel, da je na pravi strani.
Potem pa se dvostopenjska avtentikacija(sorry v letu 2013 se mi zdijo namenski generatorji kljucev nepotreben balast)...pa si verjetno ze relativno safe.
Jst ::
Po prebranem je klik varnejši, kot pa Proklik, ki je neka čudna aplikacija, ki kdorkoli jo uporablja, ve o čem govorim.
Za varnost je poskrbljeno samo z readerjem in kartico na kateri je certifikat, ter pin kodo, ko poženeš program.
popravek: spomnil sem se, da imam jaz to kartico in reader, vem pa, da obstaja tudi nekaj drugih stvari, vendar za njih ne vem.
Za varnost je poskrbljeno samo z readerjem in kartico na kateri je certifikat, ter pin kodo, ko poženeš program.
popravek: spomnil sem se, da imam jaz to kartico in reader, vem pa, da obstaja tudi nekaj drugih stvari, vendar za njih ne vem.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Zgodovina sprememb…
- spremenil: Jst ()
AndrejO ::
A ni mela ena slovenska firma to cez nekaj let nazaj.
Na stran zalimas nek link, ki je na koncu za uporabnika slikca...ki jo lahko kadarkoli klikne in ga forwardira na stran, ki mu pove ce je stran res prava(sklepam, da je v linku nek string zgeneriran s kljucem, ki je znan samo temu overitelju in spletni strani)...
To bi blo ze dovolj, da bi uporabnik vedel, da je na pravi strani.
To je crap in uporabnik ne bi bil čisto nič bolj varen. Kaj mu namreč jamči, da tudi stran, ki se mu odpre po kliku na to stran ni navaden ponaredek?
Potem pa se dvostopenjska avtentikacija(sorry v letu 2013 se mi zdijo namenski generatorji kljucev nepotreben balast)...pa si verjetno ze relativno safe.
Razpoložljive stopnje so:
- nekaj, kar vem (uporabniška imena, gesla, ipd.);
- nekaj, kar sem (biometrični podatki, zasebni biografski podatki, ipd.);
- nekaj, kar imam (digitalni podpisi, OTP, ipd.).
Izberi poljubni dve.
V nadaljevajnu izberi relativno varno implementacijo izbranih dveh. Relativno je tukaj določeno glede na verjetnost zlorabe in potencialno škodo, ki s takšno zlorabo nastane. Generator ključev je primer "nekaj, kar imam" dejavnika, ki ga lahko nadomestiš z nečim drugim. Vendar pa je vprašanje s čim bi ga ti nadomestil, da bi ohranil solidno varnost pri večji praktičnosti.
BigWhale ::
A ni mela ena slovenska firma to cez nekaj let nazaj.
Na stran zalimas nek link, ki je na koncu za uporabnika slikca...ki jo lahko kadarkoli klikne in ga forwardira na stran, ki mu pove ce je stran res prava(sklepam, da je v linku nek string zgeneriran s kljucem, ki je znan samo temu overitelju in spletni strani)...
To bi blo ze dovolj, da bi uporabnik vedel, da je na pravi strani.
To je crap in uporabnik ne bi bil čisto nič bolj varen. Kaj mu namreč jamči, da tudi stran, ki se mu odpre po kliku na to stran ni navaden ponaredek?
No, tocno te stvari tudi jaz pocnem. Stvar je malo bolj komplicirana, kot jo je opisal Luka, uporabnik je pa varen ravno toliko, kot je pripravlje sam narediti oziroma toliko, kot ga je ponudnik storitve opozoril na zascitne elemente na svoji spletni strani. To pa velja za vse vrste ponarejanja, pa naj gre za telefone ali pa spletne strani. V doticnem primeru zascita deluje tako, da je uporabnika zelo tezko pretentati, da je na pravi spletni strani.
Najvecja tezava je v tem, da je potrebno spletno stran narediti tako, da so elementi zascite prepoznavni in jih lahko uporabnik preveri na cim bolj preprost nacin, brez da bi rabil poglobljeno znanje iz racunalniskih omrezij. :)
AndrejO ::
Najvecja tezava je v tem, da je potrebno spletno stran narediti tako, da so elementi zascite prepoznavni in jih lahko uporabnik preveri na cim bolj preprost nacin, brez da bi rabil poglobljeno znanje iz racunalniskih omrezij. :)
Najvecja bedarija pa je, da se tega ne naredi na izvorni strani.
a1) Vse, kar lahko narediš na N-ti spletni strani, lahko narediš tudi na N-1 spletni strani, ki jo uporablja za verifikacijo.
a2) Ljudje iščemo najhitrejši/najlažji način za dosego cilja.
Po logičnem sklepanju na podlagi zgornjih dveh aksiomov:
i1) lahko vse mehanizme uporabiš na 1. spletni strani.
i2) je uporaba na 1. spletni strani edina smiselna, saj uporabnik v povprečju ne bo preverjal verodostojnosti strani, če je preverba opcijska (link na neko novo stran).
Ergo, tovrstne rešitve so smetje. Vendar ne skrbi, ne da se mi tega razglašati naokoli in, če je to tvoj vir prihodkov, ... There's one born every minute.
Zgodovina sprememb…
- spremenil: AndrejO ()
Hayabusa ::
Koliko lahko zaupate banki, ob obisku katere dobite sporočilo:
klik.nlb.si uporablja neveljavno digitalno potrdilo.Mimogrede, izdajatelj potrdila je NLB.
Digitalno potrdilo ni vredno zaupanja, ker tudi njegov izdajatelj ni.
Seveda je treba za nadaljevanje dodati izjemo in kako naj običajni uporabnik ve, da je enkrat to dobro, drugič pa ne.
Samo zato, ker se banki zdi škoda dobrih sto evrov za certifikat z zeleno naslovno vrstico.
To ti javi zato, ker nimaš NLB certifikata (ker nisi njihov uporabnik), ki ti ga osebno izda NLB, in ga moraš potem uvozit v brskalnik. Potem pa ti tega ne bo več javljalo.
https://klik.nlb.si/
MS IE10 v win7, javi tole
This page can't be displayed
Make sure the web address https://klik.nlb.si is correct.
Look for the page with your search engine.
Refresh the page in a few minutes.
Make sure TLS and SSL protocols are enabled. Go to Tools > Internet Options > Advanced > Settings > Security
screen
obkljukam vse glede tega v ie
screen
restartam ie in je še vedno enako.
Acnlb certifikat sem dodal https://elba.nlb.si/ac-nlb-identiteta-a... [ Digitalno potrdilo AC NLB ]
Zgodovina sprememb…
- spremenilo: Hayabusa ()
MrStein ::
Tvoj certifikat manjka.
PS: Ne spreminjaj "internih" "sistemskih" nastavitev, ker so dobri za 99,9999999% primerov in boš kvečjemu kaj pokvaril. Si sam ugotovil, da ti spremembe nič ne pomagajo.
PS: Ne spreminjaj "internih" "sistemskih" nastavitev, ker so dobri za 99,9999999% primerov in boš kvečjemu kaj pokvaril. Si sam ugotovil, da ti spremembe nič ne pomagajo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
BigWhale ::
i1) lahko vse mehanizme uporabiš na 1. spletni strani.
i2) je uporaba na 1. spletni strani edina smiselna, saj uporabnik v povprečju ne bo preverjal verodostojnosti strani, če je preverba opcijska (link na neko novo stran).
Ergo, tovrstne rešitve so smetje. Vendar ne skrbi, ne da se mi tega razglašati naokoli in, če je to tvoj vir prihodkov, ... There's one born every minute.
V resnici je tako, da lahko ti izvajas phishing za izvorno spletno stran in se verifikacijsko stran, da bi pa rec res delovala, moras pa priti se do uporabnikovega racunalnika in ponarediti se nekaj drugih zadev, ki pa niso povsem trivialne.
Jasno, ce uporabnik teh zadev ne preverja, je popolnoma vseeno kaksne mehanizme uporabljas za zascito.
AndrejO ::
V resnici je tako, da lahko ti izvajas phishing za izvorno spletno stran in se verifikacijsko stran, da bi pa rec res delovala, moras pa priti se do uporabnikovega racunalnika in ponarediti se nekaj drugih zadev, ki pa niso povsem trivialne.
Dokler se zanašaš izključno na spletno stran in spletni brskalnik, potem bo phishing enako uspešen, ne glede na to katera stran (1., 2., ... ali N-ta) je zadnja v verigi verifikacij, če so vse ostale okoliščine enake. Vendar pa, če je za verifikacijo potrebno opcijsko obiskati dodatno stran, potem bo phishing lažje izvedljiv, saj bo avtomatično "vklopljena" človekova lastnost "optimizacije procesa". To je tisto, kar ne glede na dobre ideje, izniči kakršno koli dodano vrednost rešitve, ki ni "vsiljena" v proces uporabe in se minimalno zanaša na dogovorjeno pravilno ravnanje uporabnika.
Jasno, ce uporabnik teh zadev ne preverja, je popolnoma vseeno kaksne mehanizme uporabljas za zascito.
Phishing temelji točno na temu. Rešitev za to nevarnost torej ni v temu, da še naprej zaupaš uporabniku, temveč izključno v temu, da uporabnika postaviš v položaj v katerem bo nasesti phishingu mentalno napornejši proces, kot pa ravnati varno. Samo sodatne spletne strani izvornega problema ne rešujejo.
Primer večanja takšnega mentalnega napora je npr. v FF, kjer mora uporabnik skozi daljši proces v katerem potrdi, da želi sprejeti povezavo, ki ni povezana z verigo zaupanja, ki bi ji uporabnik že zaupal. Veliko uporabnikov pri tem procesu preprosto "popi**i" in vse skupaj zapre, kar je natačno tisti rezultat, ki se ga je želelo doseči.
Zgodovina sprememb…
- spremenil: AndrejO ()
trizob ::
> Ja pizda cela fora avtentifikacije je da korespondentu NE verjamem na lepe oči.
Ja, saj je simple. Gres na njihovo stran: https://elba.nlb.si/ac-nlb-prevzem-klik
(ki je podpisana s strani Verisigna) in si uvozis njihov root certifikat v browser. Lahko bi se pa tudi s tehnikom zmenil po telefonu, da ti pove signature.
Roko na srce, to je za veliko uporabnikov kar mukotrpno in abstraktno početje.
Hayabusa ::
Obupal nad Ie in šel preveriti na firefox v25:
dodam acnlb.cer v Ff certifikati shrambo https://slo-tech.com/forum/t316631/p206... , dodam še skozi skozi "add exception" ko Ff v prvo "zateži" in dobim
Kdo zdaj koga na suho ??
dodam acnlb.cer v Ff certifikati shrambo https://slo-tech.com/forum/t316631/p206... , dodam še skozi skozi "add exception" ko Ff v prvo "zateži" in dobim
Kdo zdaj koga na suho ??
Zgodovina sprememb…
- spremenilo: Hayabusa ()
BaToCarx ::
Hayabusa pa ti sploh imaš klik pri banki? Zgleda da strežnik lepo zavrne če tvoj "sigenca" ni dodan pri njih.
MrStein ::
Heh, ko soforumaš ne prebere, kaj mu napišem.
Sicer bi lahko NLB (ali browser) dal bolj razumljivo sporočilo o napaki.
Sicer bi lahko NLB (ali browser) dal bolj razumljivo sporočilo o napaki.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MuadDib ::
se lahko naredi tale scenarij: Ti narediš nakazilo 10EUR za nove čevlje, vpišeš kodo. V resnici pa napadalec namesto tebe naredi 5000EUR nakazilo offshore.
Tale scenarij je pa po moje bolj znanstvena fantastika. Povezava med klientom in bančnim strežnikom je šifrirana.
Nisem kakšen hacker, ampak močno dvomim, da bi bil kdo sposoben po želji spreminjati šifrirane paketke, ki potujejo na bančni strežnik.
Razen če ni kakšna državna agencija NSA ali kaj podobnega, Ampak ti ti ne bodo šli krasti denarja z računa, ker ti ga poberejo kar legalno preko raznoraznih davkov in podobnega.
Tale scenarij je popolnoma realen! Tebi nekso pokaze spletno stran, ki je popolnoma enaka izvirni, tvoje podatke zajema in jih predstavi banki, kot tudi dolocene podatke iz banke direktno tebi (npr. gre za kaksno vprasanje od stirih, jih nek streznik dalje posreduje tebi in caka na tvoj odgovor, ki ga dalje posreduje) Torej nas sifriranje sploh ne prizadane, saj je NASA stran tista ki prestreza podatke. Torej prenakazemo 10 eur. S tem navedemo potrditveno kodo na NAPACNO stran, ki le-to uporabi naprej za prednastavljeno nakazilo XXX eur. Ker ima se taksna stran se dostop do tvojega stanja, informacije o najvecjem nastavljenem prenakazilu, se da tudi te stvari avtomatizirat!
To se dogaja predvsem za vecje banke, kjer pa je nlb le nek ficfiric.
AndrejO ::
MITM lahko izvedeš tudi lokalno na računalniku tako, da zlonamerna koda vzpostavi lokalnega posrednika (proxy) in ustrezno "popravi" nastavitve v uporabnikovem spletnem brskalniku oz. sistemu. Če uporabnik ne pazi na sporočila brskalnika glede neustreznih digitalnih potrdil, je zloraba hitro tu.
Pa imaš MITM za katerega na rabiš nekih hudih scenarijev rezanja žic, dešifriranja ali česa podobnega. Reklamacija? Valjda, gospod. Je to bil vaš IP naslov? Je? Ja potem ste pa to vi nakazali, a ne?
Možne so tudi ostale variante, ki gredo za MTIM zelo rade na temo "za hrbtom spremenim nastavitve spletnega brskalnika".
Pa imaš MITM za katerega na rabiš nekih hudih scenarijev rezanja žic, dešifriranja ali česa podobnega. Reklamacija? Valjda, gospod. Je to bil vaš IP naslov? Je? Ja potem ste pa to vi nakazali, a ne?
Možne so tudi ostale variante, ki gredo za MTIM zelo rade na temo "za hrbtom spremenim nastavitve spletnega brskalnika".
technolog ::
No, v Sloveniji mamo še to srečo, da lahko banke sklepajo, da so akcije iz tujih IPjev tvegane in si lahko dovoljo poklicat stranko.
Ker nekdo ki dela MITM napad in ima strežnik doma, v Sloveniji, ga bodo slej ko prej dobili.
Če pa lahko spreminjaš nastavitve brskalnika pa to že direktno pomeni, da je računalnik compromisan, tukej je brezveze karkoli razmišljat. Seveda pozabmo IE tukej in njegov ActiveX.
Ker nekdo ki dela MITM napad in ima strežnik doma, v Sloveniji, ga bodo slej ko prej dobili.
Če pa lahko spreminjaš nastavitve brskalnika pa to že direktno pomeni, da je računalnik compromisan, tukej je brezveze karkoli razmišljat. Seveda pozabmo IE tukej in njegov ActiveX.
Zgodovina sprememb…
- spremenil: technolog ()
Gandalfar ::
> Seveda pozabmo IE tukej in njegov ActiveX.
Z vsemi zero dayi Jave in Acrobatovih PDF-jev, je IE res se najmanjsi problem.
Z vsemi zero dayi Jave in Acrobatovih PDF-jev, je IE res se najmanjsi problem.
Matija82 ::
Še malo primerjave, kolega ima Banko Koper in tam dobiš OTP (one tipe password) kalkulator.
Klik je bil polom od storitve dokler niso prenovili sistema (dve leti nazaj, tri?). Plačila, ki ne zahtevajo dodatne potrditve z virtualno tipkovnico morajo biti ročna nastavljena kot "hitra plačila". To pa lahko naštimaš šele ko enkrat opraviš plačilo na ta račun z dodatno potrditvijo.
Klik je bil polom od storitve dokler niso prenovili sistema (dve leti nazaj, tri?). Plačila, ki ne zahtevajo dodatne potrditve z virtualno tipkovnico morajo biti ročna nastavljena kot "hitra plačila". To pa lahko naštimaš šele ko enkrat opraviš plačilo na ta račun z dodatno potrditvijo.
tony1 ::
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Poizkus zlorabe bančne karticeOddelek: Informacijska varnost | 3873 (2999) | K3kec |
» | Obrali so me za 1000€ prek spleta !! pomoč/izkušnje!? (strani: 1 2 )Oddelek: Loža | 19436 (14916) | Daedalus |
» | Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 98825 (92036) | sisemen |