Data: 2020-10-01 11:28:01 | |
Autor: Dominik Ałaszewski | |
Bezpieczenstwo | |
Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:
Falszywa strona jest jasna. Fałszywy panel płatności. Tego typu wałków jest na pęczki. https://niebezpiecznik.pl/tag/doplata-1pln/ Ale jak pokonali autoryzacje przegladarki i samych przelewow ? Jaką autoryzację przeglądarki? Login i hasło do banku sama pewnie podała na podrobionej stronie dotpaya czy innego PayU. Dlatego warto płacić BLIKiem ;-) A co do autoryzacji samej operacji: na 99,9% czynnik ludzki. Kobieta zatwierdzała operację bez czytania, bo co się będzie przemęczać. Zamiast przelewu na 1,50 autoryzowała pewnie dodanie odbiorcy zaufanego. Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy zainstalowac program przechwytujacy apke bankową ? Można zainstalować program z szemranego źródła i dać mu uprawnienia do odczytu sms. Ale tu pewnie prościej było. A moze jakims skryptem java da sie udawac apkę bankową dla serwera ... to gdzie rzekome bezpieczenstwo tych apek ? Chrzanisz waść. -- Dominik Ałaszewski (via raspbianowy slrn) "W życiu piękne są tylko chwile..." (Ryszard Riedel) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
Data: 2020-10-01 13:40:41 | |
Autor: Michal Jankowski | |
Bezpieczenstwo | |
W dniu 01.10.2020 o 13:28, Dominik Ałaszewski pisze:
A co do autoryzacji samej operacji: na 99,9% czynnik ludzki. Żeby wykonać przelew na odbiorcę zaufanego złodziej musi zalogować się na konto ofiary ze swojej przeglądarki. Przeglądarka jest niezaufana, zatem bank powinien wysłać sms do ofiary. Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms dodający przeglądarkę do zaufanych. MJ |
|
Data: 2020-10-01 11:47:39 | |
Autor: Dominik Ałaszewski | |
Bezpieczenstwo | |
Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a:
Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms dodający przeglądarkę do zaufanych. Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok więcej niewiele da. Zasymuluje się błąd (podany kod jest nieprawidłowy, spróbuj ponownie) i gra muzyka. -- Dominik Ałaszewski (via raspbianowy slrn) "W życiu piękne są tylko chwile..." (Ryszard Riedel) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
Data: 2020-10-01 13:52:37 | |
Autor: Michal Jankowski | |
Bezpieczenstwo | |
W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:
Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a: I tak jest wielki postęp, że banki podają w sms-ach, do czego ten sms jest. Kiedyś nawet tego nie było. MJ |
|
Data: 2020-10-01 18:09:36 | |
Autor: Arek | |
Bezpieczenstwo | |
Użytkownik "Michal Jankowski" <michalj@fuw.edu.pl> napisał w wiadomości news:5f75c307$0$550$65785112news.neostrada.pl...
W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze: Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć przecinek łatwo. Zamiast tego pełny nr rachunku, chociaż ciężko raczej podstawić taki ze zgodną sumą kontrolną. SMS-a chyba można podłsłuchać. Poza tym licho wie jaki jest ich prawdziwy los - operatorzy niespiesznie je kasują (o ille w ogóle) a potem treść może wypłynąć i w karierze politycznej zaszkodzić. Zdaje się, że Niemcy mieli odejść od potwierdzania SMS-ami? Arek .. |
|
Data: 2020-10-01 21:31:03 | |
Autor: Krzysztof Halasa | |
Bezpieczenstwo | |
"Arek" <Na przykład: osoba@microsoft.com> writes:
Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć Niezwykle łatwo. Zwłaszcza gdy można samemu tworzyć subkonta. -- Krzysztof Hałasa |
|
Data: 2020-10-01 16:28:13 | |
Autor: Michal Jankowski | |
Bezpieczenstwo | |
W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:
Dnia 01.10.2020 Michal Jankowski <michalj@fuw.edu.pl> napisał/a: No tak, to jest dobra koncepcja. Aż szkoda, że nam się ta uczciwość marnuje... MJ |
|
Data: 2020-10-01 15:41:30 | |
Autor: Krzysztof Halasa | |
Bezpieczenstwo | |
Michal Jankowski <michalj@fuw.edu.pl> writes:
Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i SMS mógł być "zamówiony", wystarczy np. włączyć kasowanie ciastek po zakończeniu sesji, i zawsze na wejściu dostajemy SMSa. Sesja mogła być podtrzymywana przez wiele godzin. Natomiast faktycznie z tym drugim SMSem musiało być coś nie tak - może nie przeczytała. -- Krzysztof Hałasa |
|
Data: 2020-10-01 16:27:02 | |
Autor: Michal Jankowski | |
Bezpieczenstwo | |
W dniu 01.10.2020 o 15:41, Krzysztof Halasa pisze:
Michal Jankowski <michalj@fuw.edu.pl> writes: Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy: 1. sms startujący prawdziwą sesję klientki 2. sms zatwierdzający dodanie zaufanego odbiorcy (błędnie zrozumiany przez klientkę jako zatwierdzenie przelewu złotówki) 3. sms startujący sesję złodzieja MJ |
|
Data: 2020-10-01 21:29:53 | |
Autor: Krzysztof Halasa | |
Bezpieczenstwo | |
Michal Jankowski <michalj@fuw.edu.pl> writes:
Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy: Nie, wystarczą dwa: 1. Startujący sesję klientki (według niej) = złodzieja (rzeczywiście) 2. zatwierdzający odbiorcę (czy co tam to było - może być zatwierdzający konkretny przelew). -- Krzysztof Hałasa |
|
Data: 2020-10-01 14:14:04 | |
Autor: J.F. | |
Bezpieczenstwo | |
Użytkownik "DominikAłaszewski" napisał w wiadomości grup dyskusyjnych:5f75bd41$0$522$65785112@news.neostrada.pl...
Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a: Falszywa strona jest jasna. Fałszywy panel płatności. Tego typu wałków jest Ale jak pokonali autoryzacje przegladarki i samych przelewow ? Jaką autoryzację przeglądarki? Login i hasło do banku Ok, login i haslo podala. A co do autoryzacji samej operacji: na 99,9% czynnik ludzki. No, jest to jakas koncepcja. Tresc sie co prawda mocno rozni, ale byc moze. Tylko: -falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS". I dopiero teraz mozesz dodawac zaufanych, wiec drugi SMS. -jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne logowanie w celu wykonania przelewu bedzie wymagalo hasla. Przegladarka w telefonie taka madra, ze potrafi przechwycic SMS czy Można zainstalować program z szemranego źródła i dać mu uprawnienia No wlasnie - "kobieta kliknela w link". Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja namierzac .. J. |
|
Data: 2020-10-01 12:22:20 | |
Autor: Dominik Ałaszewski | |
Bezpieczenstwo | |
Dnia 01.10.2020 J.F. <jfox_xnospamx@poczta.onet.pl> napisał/a:
-falszywa strona wchodzi na ST banku, wpisuje login i haslo ... a bank mowi "przegladarka wymaga autoryzacji, wpisz haslo z SMS". Pisałem, wystarczy przy pierwszym kodzie zasymulować błąd (kod nieprawidłowy, spróbuj ponownie) i ofiara grzecznie poda drugi. Gdzieś nawet mi nawet artykuł na ten temat na z3s czy niebezpieczniku mignął, ale teraz jak na złość nie mogę znaleźć. Chyba ze ... wczesniej zainstalowala program, i tak zaczeto ja Jak ktoś instaluje programy z szemranego źródła i daje im dostęp do wszystkiego, to znaczy że jest półgłówkiem i pozostaje mu/jej tylko sprzęt Apple :-) -- Dominik Ałaszewski (via raspbianowy slrn) "W życiu piękne są tylko chwile..." (Ryszard Riedel) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
Data: 2020-10-02 02:01:43 | |
Autor: Eneuel Leszek Ciszewski | |
Bezpieczenstwo | |
"J.F." 5f75c810$0$17362$65785112@news.neostrada.pl -jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne Komu ono potrzebne? logowanie w celu wykonania przelewu bedzie wymagalo hasla. -- _._ _,-'""`-._ .`'.-. ._. .-. (,-.`._,'( |\`-/| .'O`-' .,; o.' eneuel@gmail.com '.O_' `-.-' \ )-`( , o o) `-:`-'.'. `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`., -bf- `- \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/... |