Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

Falszywa strona jest jasna.

Fałszywy panel płatności. Tego typu wałków jest na pęczki.
https://niebezpiecznik.pl/tag/doplata-1pln/

Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Jaką autoryzację przeglądarki? Login i hasło do banku sama pewnie podała na podrobionej stronie dotpaya czy innego
PayU. Dlatego warto płacić BLIKiem ;-)

A co do autoryzacji samej operacji: na 99,9% czynnik ludzki. Kobieta zatwierdzała operację bez czytania, bo co się będzie przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
dodanie odbiorcy zaufanego.

Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy zainstalowac program przechwytujacy apke  bankową ?

Można zainstalować program z szemranego źródła i dać mu uprawnienia do odczytu sms. Ale tu pewnie prościej było.

A moze jakims skryptem java da sie udawac apkę bankową dla serwera ... to gdzie rzekome bezpieczenstwo tych apek ?

Chrzanisz waść. --
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

W dniu 01.10.2020 o 13:28, Dominik Ałaszewski pisze:

A co do autoryzacji samej operacji: na 99,9% czynnik ludzki.
Kobieta zatwierdzała operację bez czytania, bo co się będzie
przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
dodanie odbiorcy zaufanego.

Żeby wykonać przelew na odbiorcę zaufanego złodziej musi zalogować się na konto ofiary ze swojej przeglądarki. Przeglądarka jest niezaufana, zatem bank powinien wysłać sms do ofiary.

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms dodający przeglądarkę do zaufanych.

   MJ

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

I tak jest wielki postęp, że banki podają w sms-ach, do czego ten sms jest. Kiedyś nawet tego nie było.

   MJ

Użytkownik "Michal Jankowski" <michalj@fuw.edu.pl> napisał w wiadomości news:5f75c307$0$550$65785112news.neostrada.pl...

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

I tak jest wielki postęp, że banki podają w sms-ach, do czego ten sms jest. Kiedyś nawet tego nie było.

Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć
przecinek łatwo. Zamiast tego pełny nr rachunku, chociaż ciężko
raczej podstawić taki ze zgodną sumą kontrolną.
SMS-a chyba można podłsłuchać.
Poza tym licho wie jaki jest ich prawdziwy los - operatorzy niespiesznie
je kasują (o ille w ogóle) a potem treść może wypłynąć i w karierze
politycznej zaszkodzić.
Zdaje się, że Niemcy mieli odejść od potwierdzania SMS-ami?

Arek
..

"Arek" <Na przykład: osoba@microsoft.com> writes:

Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć
przecinek łatwo. Zamiast tego pełny nr rachunku, chociaż ciężko
raczej podstawić taki ze zgodną sumą kontrolną.

Niezwykle łatwo. Zwłaszcza gdy można samemu tworzyć subkonta.
--
Krzysztof Hałasa

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:

Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
dodający przeglądarkę do zaufanych.

Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
więcej niewiele da. Zasymuluje się błąd (podany kod jest
nieprawidłowy, spróbuj ponownie) i gra muzyka.

No tak, to jest dobra koncepcja. Aż szkoda, że nam się ta uczciwość marnuje...

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony
sms dodający przeglądarkę do zaufanych.

SMS mógł być "zamówiony", wystarczy np. włączyć kasowanie ciastek po
zakończeniu sesji, i zawsze na wejściu dostajemy SMSa. Sesja mogła być
podtrzymywana przez wiele godzin.

Natomiast faktycznie z tym drugim SMSem musiało być coś nie tak - może
nie przeczytała.
--
Krzysztof Hałasa

W dniu 01.10.2020 o 15:41, Krzysztof Halasa pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony
sms dodający przeglądarkę do zaufanych.

SMS mógł być "zamówiony", wystarczy np. włączyć kasowanie ciastek po
zakończeniu sesji, i zawsze na wejściu dostajemy SMSa. Sesja mogła być
podtrzymywana przez wiele godzin.

Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy:

1. sms startujący prawdziwą sesję klientki
2. sms zatwierdzający dodanie zaufanego odbiorcy (błędnie zrozumiany przez klientkę jako zatwierdzenie przelewu złotówki)
3. sms startujący sesję złodzieja

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy:

1. sms startujący prawdziwą sesję klientki
2. sms zatwierdzający dodanie zaufanego odbiorcy (błędnie zrozumiany
przez klientkę jako zatwierdzenie przelewu złotówki)
3. sms startujący sesję złodzieja

Nie, wystarczą dwa:
1. Startujący sesję klientki (według niej) = złodzieja (rzeczywiście)
2. zatwierdzający odbiorcę (czy co tam to było - może być zatwierdzający
   konkretny przelew).
--
Krzysztof Hałasa

Użytkownik "DominikAłaszewski"  napisał w wiadomości grup dyskusyjnych:5f75bd41$0$522$65785112@news.neostrada.pl...
Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

Falszywa strona jest jasna.

Fałszywy panel płatności. Tego typu wałków jest
na pęczki.
https://niebezpiecznik.pl/tag/doplata-1pln/

Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Jaką autoryzację przeglądarki? Login i hasło do banku
sama pewnie podała na podrobionej stronie dotpaya czy innego
PayU. Dlatego warto płacić BLIKiem ;-)

Ok, login i haslo podala.

A co do autoryzacji samej operacji: na 99,9% czynnik ludzki.
Kobieta zatwierdzała operację bez czytania, bo co się będzie
przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie
dodanie odbiorcy zaufanego.

No, jest to jakas koncepcja. Tresc sie co prawda mocno rozni, ale byc moze.

Tylko:
-falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS".
  I dopiero teraz mozesz dodawac zaufanych, wiec drugi SMS.

-jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne logowanie w celu wykonania przelewu bedzie  wymagalo hasla.

Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy
zainstalowac program przechwytujacy apke  bankową ?

Można zainstalować program z szemranego źródła i dać mu uprawnienia
do odczytu sms. Ale tu pewnie prościej było.

No wlasnie - "kobieta kliknela w link".

Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja namierzac ..

J.

Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:

-falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS".
  I dopiero teraz mozesz dodawac zaufanych, wiec drugi SMS.

Pisałem, wystarczy przy pierwszym kodzie zasymulować błąd
(kod nieprawidłowy, spróbuj ponownie) i ofiara grzecznie
poda drugi. Gdzieś nawet mi nawet artykuł na ten temat
na z3s czy niebezpieczniku mignął, ale teraz jak na złość nie mogę znaleźć.

Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja

Jak ktoś instaluje programy z szemranego źródła i daje im dostęp do wszystkiego, to znaczy że jest półgłówkiem i pozostaje
mu/jej tylko sprzęt Apple :-)

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

"J.F." 5f75c810$0$17362$65785112@news.neostrada.pl

-jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne

Komu ono potrzebne?

logowanie w celu wykonania przelewu bedzie  wymagalo hasla.

--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.   (,-.`._,'(       |\`-/|  .'O`-'      .,; o.'      eneuel@gmail.com      '.O_'      `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  -bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/...