bankowość internetowa a smartfony
Tomek
Widziałem ostatnio program w TV traktujący o niebezpieczeństwie związanym z
korzystaniem z bankowości internetowej i smartfonów.
I nie chodziło o przypadek, kiedy transakcji dokonujemy w całości na
smartfonie, tylko o przypadku, kiedy dokonujemy przelewu na komputerze, a
jednorazowe hasło dostajemy smsem na smartfona. O ile jeszcze rozumiem, że
na kompie możemy mieć jakieś dziadostwo które przechwyciło nam login i
hasło, że inne dziadostwo na smartfonie przechwyci nam smsa, to nie
rozumiem, jak można wykorzystać tego smsa, skoro jest on przypisany do
konkretnej transakcji? (tak jest przynajmniej w mBanku). Czy czegoś nie
rozumiem, czy w innych bankach hasła smsowe działają inaczej?
Jeżeli zła grupa to prosiłbym o podanie właściwej.
Pozdrawiam, Tomek
Lemat
na pececie złosliwy kod udaje stronę bankową
dokonujesz na fałszywej stronie przelewu
fałszywa strona dokunuje przelewu na zupełnie inne konto
smsa dostajesz prawdziwego
falszywa strona autoryzuje tym smsem swój przelew a tobie wyświetla jakiś
błąd i polecenie "spróbuj ponownie podać mi dobrego smsa to wyciągnę więcej
kasy"
--
Pozdrawiam
Lemat
Tomek
> na pececie złosliwy kod udaje stronę bankową
> dokonujesz na fałszywej stronie przelewu
> fałszywa strona dokunuje przelewu na zupełnie inne konto
> smsa dostajesz prawdziwego
> falszywa strona autoryzuje tym smsem swój przelew a tobie wyświetla jakiś
> błąd i polecenie "spróbuj ponownie podać mi dobrego smsa to wyciągnę
> więcej
> kasy"
Dzięki za odpowiedź
Jeżeli dobrze zrozumiałem opis powyżej, fałszywa strona wykorzystuje do
autoryzacji lewego przelewu smsa przechwyconego z smartfona, zanim ja zdąże
przeczytać w smsie, że nie zgdadza się konto odbiorcy, czy tak?
Pytanie dodatkowe: czy złośliwy kod oznacza w istocie fałszywą stronę (w
prawdziwej przeglądarce) czy wręcz spreparowany proces z oknem udającym np
mozille? W pierwszym przypadku powinno wystarczyć dokładne sprawdzanie
adresu i certyfikatu strony, w drugim przypadku to już nie wiadomo w co
wierzyć :/
Pozdrawiam, Tomek
Lemat
>
>> na pececie złosliwy kod udaje stronę bankową
>> dokonujesz na fałszywej stronie przelewu
>> fałszywa strona dokunuje przelewu na zupełnie inne konto
>> smsa dostajesz prawdziwego
>> falszywa strona autoryzuje tym smsem swój przelew a tobie wyświetla jakiś
>> błąd i polecenie "spróbuj ponownie podać mi dobrego smsa to wyciągnę
>> więcej
>> kasy"
>
> Dzięki za odpowiedź
>
> Jeżeli dobrze zrozumiałem opis powyżej, fałszywa strona wykorzystuje do
> autoryzacji lewego przelewu smsa przechwyconego z smartfona, zanim ja
> zdąże przeczytać w smsie, że nie zgdadza się konto odbiorcy, czy tak?
skąd, sam podajesz ten kod z smsa, no ale twój sposób też dobry
> Pytanie dodatkowe: czy złośliwy kod oznacza w istocie fałszywą stronę (w
> prawdziwej przeglądarce) czy wręcz spreparowany proces z oknem udającym np
> mozille? W pierwszym przypadku powinno wystarczyć dokładne sprawdzanie
> adresu i certyfikatu strony, w drugim przypadku to już nie wiadomo w co
> wierzyć :/
szerokie pole do popisu, ja bym nawet stawiał na wtyczkę do przeglądarki,
która podmienia dane w momencie submitu formularza
--
Pozdrawiam
Lemat
Tomek
> skąd, sam podajesz ten kod z smsa, no ale twój sposób też dobry
>
no jak samemu się wpisze kod nie sprawdzając odbiorcy to już trudno.
Zasadniczo chodziło mi o to, jakie zagrożenie wiąże się z podatnym na
infekcje smartfonem (w kontekście haseł smsowych), w odróżnieniu od zwykłego
komufona, .
> szerokie pole do popisu, ja bym nawet stawiał na wtyczkę do przeglądarki,
> która podmienia dane w momencie submitu formularza
No to mi dało trochę do myślenia. Ale jeżeli dane zostałyby podmienione po
submicie, to w smsie już by się nie zgadzał odbiorca. To tylko utwierdza
mnie w świadomości, jak ważne jest czytanie tych smsów :)
Nawiasem mówiąc, może warto się rozejrzeć za maksymalnie prostą
przeglądarką, która obsługuje tylko tyle ile trzeba do korzystania z serwisu
bankowego. A zbajerowaną mozille do korzystania z całej reszty netu.
Pozdrawiam, Tomek
bo...@nano.pl
>
>> skąd, sam podajesz ten kod z smsa, no ale twój sposób też dobry
>>
>
> no jak samemu się wpisze kod nie sprawdzając odbiorcy to już trudno.
> Zasadniczo chodziło mi o to, jakie zagrożenie wiąże się z podatnym na
> infekcje smartfonem (w kontekście haseł smsowych), w odróżnieniu od
> zwykłego komufona, .
>
Ale ten atak może być zastosowany dla każdego telefonu. Najsłabszym
ogniwem jest człowiek, który przepisuje kod i nie zwraca uwagi na to do
kogo idzie przelew. W dodatku część banków olewa przy przyjmowaniu
przekazów opis konta, czyli możesz dać i Jan Kowalski i Stanisław Nowak
jako właściciel w przekazie i dojdzie. W takim przypadku trzeba patrzeć
dokładnie na numer konta.
W sumie cały mechanizm opiera się na starej technice m-i-m.
--
wer <",,)~~
http://szumofob.eu
Luke
> na pececie złosliwy kod udaje stronę bankową
> dokonujesz na fałszywej stronie przelewu
> fałszywa strona dokunuje przelewu na zupełnie inne konto
Na smartfonie może być też jakaś aplikacja robakopodobna która po GPRS
wysyła gdzieś treści wszystkich SMS. Wtedy haker może użyć tego kodu
zanim Ty go wprowadzisz.
L.
Boguś
> Nawiasem mówiąc, może warto się rozejrzeć za maksymalnie prostą
> przeglądarką, która obsługuje tylko tyle ile trzeba do korzystania z
> serwisu bankowego. A zbajerowaną mozille do korzystania z całej reszty
> netu.
Postaw sobie cały system na maszynie wirtualnej, i przed/po użyciu rób
rollback.
--
Boguś
out
wirusy z bot-netu ZEUS; strona jest prawdziwą stroną banku, hackowany
może być także smartphone.
Najważniejsze sprawdzić treść SMSa; z jakiego konta, na jakie i jaki nr
transakcji