wirus wykradający hasła, w tym jednorazowe:
http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc.html?ticaid=18d7e

Jak się przed takim czymś bronić?

On 1 Paź, 13:09, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:

wirus wykradający hasła, w tym jednorazowe:http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-n...

Jak się przed takim czymś bronić?

Hasła smsowe albo token.

Jak się przed takim czymś bronić?

Hasła smsowe albo token.
-- -- -- -- -- -- -- -- -- -

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

Dnia Thu, 01 Oct 2009 14:14:08 +0200, P.H. napisał(a):

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
klikasz wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat że
jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

Da, ale tylko wtedy jak wysyłasz przelew jednorazowy IMO przy zaufanych to nie zadziała.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

"P.H." <ktos@gdzies.w.sieci> writes:

2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
wprowadziłeś na formatkę.

Jesli w smsie dostaniesz informacje, jaki przelew zostanie
zrealizowany po wpisaniu kodu z tego smsa (kwota, konto odbiorcy) to
masz okazje zauwazyc, ze cos jest nie tak.

  MJ

Użytkownik "Michal Jankowski" <michalj@fuw.edu.pl> napisał w wiadomości news:kjzr5tne283.fsfccfs1.fuw.edu.pl...

"P.H." <ktos@gdzies.w.sieci> writes:

2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
wprowadziłeś na formatkę.

Jesli w smsie dostaniesz informacje, jaki przelew zostanie
zrealizowany po wpisaniu kodu z tego smsa (kwota, konto odbiorcy) to
masz okazje zauwazyc, ze cos jest nie tak.

tylko w przypadku jeśli hasło jest liczone na podstawie nr rachunku i kwoty
jeśli jest to kolejne hasło z listy to w smssie przyjdzie to co wprowadziłeś na formatkę

P.H. pisze:

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję? Mówię o haśle smsowym czy tokenie.

Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

Pozdr,
Tomek

Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek Głowacki napisał(a):

Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną
transakcję? Mówię o haśle smsowym czy tokenie.

Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i
co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to
znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

Tu chodzi o coś innego. Ty wpisujesz nr konta i inne dane a on tylko podmienia nr konta i oczywiście kwotę. Ty natomiast na ekranie widzisz to co wklepałeś, czyli wszystko Ci się zgadza i jak nie przyglądniesz się smsowi (nr konta i kwota) to leżysz. Przy tokenie/TAN/liście haseł jest jeszcze gorzej, bo nie masz nawet szansy weryfikacji tego. Wychodzi, że te smsy nie takie głupie są ;)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx <bart@hashzero.net> writes:

Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek Głowacki napisał(a):

Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną
transakcję? Mówię o haśle smsowym czy tokenie.

Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i
co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to
znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

Tu chodzi o coś innego. Ty wpisujesz nr konta i inne dane a on tylko podmienia nr konta i oczywiście kwotę. Ty natomiast na ekranie widzisz to co wklepałeś, czyli wszystko Ci się zgadza i jak nie przyglądniesz się smsowi (nr konta i kwota) to leżysz. Przy tokenie/TAN/liście haseł jest jeszcze gorzej, bo nie masz nawet szansy weryfikacji tego. Wychodzi, że te smsy nie takie głupie są ;)

Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót"
transakcji, i generowal ci na podstawie tego skrótu odpowiedź. Token GSM EB też generuje info o podpisywanej transakcji.

KJ

--
kondensator - kondensatorych - kondensatoremu
   (odmiana słowa "kondensator" według MS Word 6.0)

Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil Jońca napisał(a):

Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót"
transakcji, i generowal ci na podstawie tego skrĂłtu odpowiedĹş.

No to tutaj trojan też nic nie zdziała.

Token GSM EB teĹź generuje info o podpisywanej transakcji.

Hmmm jak on to robi, jakaś łączność z bankiem czy jak?

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx <bart@hashzero.net> writes:

Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil Jońca napisał(a):

Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót"
transakcji, i generowal ci na podstawie tego skrótu odpowiedź.

No to tutaj trojan też nic nie zdziała.

Token GSM EB też generuje info o podpisywanej transakcji.

Hmmm jak on to robi, jakaś łączność z bankiem czy jak?

Nie. Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
10%) oraz początek i koniec konta, a następnie  pyta czy się zgadza. Jeśli tak, to wypluwa kod, który z kolei wpisujesz w przeglądarce.

KJ
--
The only thing worse than X Windows: (X Windows) - X

Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):

Nie.
Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena;
token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
10%) oraz początek i koniec konta, a następnie  pyta czy się zgadza.
Jeśli tak, to wypluwa kod, który z kolei wpisujesz w przeglądarce.

Dzięki, bo nie wiedziałem jak to działa. Myślałem, że token po prostu generuje kolejne kody. W takim razie jest to na pewno jakieś zabezpieczenie, no chyba że twórca trojana zrobi wersję dla EB gdzie trojan będzie przycinał właśnie te 10% ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):

Token GSM EB też generuje info o podpisywanej transakcji.

Hmmm jak on to robi, jakaś łączność z bankiem czy jak?

Nie. Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
10%)

A te 10% to skąd ci się wzieło? Obcina grosze tylko. --
Kojer

Robert Kois <kojer@hell.pl> writes:

Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):

Token GSM EB też generuje info o podpisywanej transakcji.

Hmmm jak on to robi, jakaś łączność z bankiem czy jak?

Nie. Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
10%)

A te 10% to skąd ci się wzieło? Obcina grosze tylko.

Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN?
Kj

--
Anyone can make an omelet with eggs.  The trick is to make one with none.

Dnia Thu, 01 Oct 2009 15:04:48 +0200, Kamil Jońca napisał(a):

Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
10%)

A te 10% to skąd ci się wzieło? Obcina grosze tylko.

Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN?

Przy  9999,99 - kwota 9999 PLN (bez groszy)
Przy 10000,01 - kwota 10000-10010 PLN
Przy 10400,01 - kwota 10390-10400 PLN

Bardziej mi się bawić nie chce :).

--
Kojer

Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w wiadomości news:1254400300.614105bongos2.pseinfo.pl...

P.H. pisze:

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję? Mówię o haśle smsowym czy tokenie.

Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

weź rusz głową.
nie drugiej transkacji tylko __zamiast__ Twojej.
to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera banku.
nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek odbiorcy i kwotę.

On Oct 1, 2:36 pm, "P.H." <k...@gdzies.w.sieci> wrote:

Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w
wiadomościnews:1254400300.614105bongos2.pseinfo.pl...



> P.H. pisze:

>> boszzzzzz
>> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
>> klikasz wyśli
>> 2. dostajesz prośbę o hasło.
>> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
>> formatkę.
>> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
>> wprowadziłeś na formatkę.
>> 5. w zależności od inwencji programisty dostajesz na ekran komunikat że
>> jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

>> da sie??

> Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję?
> Mówię o haśle smsowym czy tokenie.

> Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co?
> Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy,
> że dziurawy jest system banku, jeśli umożliwia coś takiego.

weź rusz głową.
nie drugiej transkacji tylko __zamiast__ Twojej.
to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera
banku.
nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek
odbiorcy i kwotę.

Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i
odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i
jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak.

Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego,
tzn. calkowite ubezwlasnowolnienie.

Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisał(a):

Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i
odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i
jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak.

No trochę trasa musi się wydłużyć. Jak robisz przelew za prąd to jest to krajowy czyli poza pl nie pójdzie, dobrze mówię? Poza tym zazwyczaj za prąd przelew jest zaufany, więc dupa. Także generalnie trzeba chyba przysiąść do konkretnego banku i do każdego inny trojan hłe hłe albo trojan będzie miał po prostu templatki ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On Oct 1, 2:45 pm, xbartx <b...@hashzero.net> wrote:

Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisał(a):

> Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i
> odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i
> jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak.

No trochę trasa musi się wydłużyć. Jak robisz przelew za prąd to jest to
krajowy czyli poza pl nie pójdzie, dobrze mówię? Poza tym zazwyczaj za
prąd przelew jest zaufany, więc dupa. Także generalnie trzeba chyba
przysiąść do konkretnego banku i do każdego inny trojan hłe hłe albo
trojan będzie miał po prostu templatki ;)

Ja nie place zauafnymi. Nie mam zaufania :) :) :)

Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a):

Ja nie place zauafnymi. Nie mam zaufania :) :) :)

No to w świetle zaistniałej sytuacji należy zweryfikować poziomy, zaufania oczywiście ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On Oct 1, 3:03 pm, xbartx <b...@hashzero.net> wrote:

Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a):

> Ja nie place zauafnymi. Nie mam zaufania :) :) :)

No to w świetle zaistniałej sytuacji należy zweryfikować poziomy,
zaufania oczywiście ;)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

W swietle tego trojana wychodzi na to, ze zdefiniowanie zaufanych
przelewow zabezpiecza przed nim w 100%. Jak bede placil z konta tylko
zaufanymi to mi trojan moze naskoczyc :)

BK wrote:

On Oct 1, 3:03 pm, xbartx <b...@hashzero.net> wrote:

Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a):

> Ja nie place zauafnymi. Nie mam zaufania :) :) :)

No to w świetle zaistniałej sytuacji należy zweryfikować poziomy,
zaufania oczywiście ;)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

W swietle tego trojana wychodzi na to, ze zdefiniowanie zaufanych
przelewow zabezpiecza przed nim w 100%. Jak bede placil z konta tylko
zaufanymi to mi trojan moze naskoczyc :)

no chyba, ze przy definiowaniu zaufanego trojan zrobi dobrze
z numerem konta ;)

"BK" news:211ed9f9-0e3d-4c03-bf55-dd6c3ee57289s31g2000yqs.googlegroups.com

Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego,
tzn. calkowite ubezwlasnowolnienie.

I jeżeli ktoś dodatkowo ma burdel na kompie, nie posiada FW itp. to sam jest
sobie winny.

W dniu 2009-10-01 14:36, P.H. pisze:

Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał
w wiadomości news:1254400300.614105bongos2.pseinfo.pl...

P.H. pisze:

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
klikasz wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat
że jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną
transakcję? Mówię o haśle smsowym czy tokenie.

Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i
co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to
znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

weź rusz głową.
nie drugiej transkacji tylko __zamiast__ Twojej.
to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera
banku.
nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek
odbiorcy i kwotę.

Eurobank generuje hasło w tokenie GSM przynajmniej na podstawie kwoty i nr rachunku.

P.H. pisze:

nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek odbiorcy i kwotę.

Eurobank :)
podaje kod, ktory po wprowadzeniu do tokena komunikuje na jakie cyfry zaczyna sie i konczy rachunek docelowy, oraz jakiej kwoty dotyczy transakcja. Po potwierdzniu, dostajemu kod zwrotny do wprowadzenia w formatke przelewu w systemie banku.

Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w wiadomości news:1254400300.614105bongos2.pseinfo.pl...

P.H. pisze:

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję? Mówię o haśle smsowym czy tokenie.

Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

Ale z tym trojanem, sama przeglądarka staje sie wirusem!
Ona nie wyśle zapłaty za prąd, tylko ten swój przelew na konto X
(nie będzie drugiej transakcji), natomiast na ekranie wyświetli to,
czego użytkownik się spodziewa, a co nie będzie prawdą.

P.H. pisze:

Jak się przed takim czymś bronić?

Hasła smsowe albo token.
-- -- -- -- -- -- -- -- -- -

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

Z tokenem się nie da - przynajmniej w BZWBK.

Wezwanie dla tokena jest fragmentem numeru konta na który przelewasz pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena   trojan nie może wysłać kasy na inne konto.

Jeżeli podobnie jest z hasłami SMS, to też się nie da.

Hasła papierowe faktycznie mają tu słabość.


--
gonT
>>Trzeba się pilnować, bo inaczej ani się człowiek nie obejrzy, a już zaczyna każdego żałować i w końcu nie ma komu w mordę dać.
(W. Wharton: Ptasiek)<<

Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisał(a):

Z tokenem się nie da - przynajmniej w BZWBK.

Wezwanie dla tokena jest fragmentem numeru konta na ktĂłry przelewasz
pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena
  trojan nie moĹźe wysłać kasy na inne konto.

Jeżeli podobnie jest z hasłami SMS, to też się nie da.

No niekoniecznie. Tak jak pisałem. Wpisujesz nr konta ale trojan go podmienia na swój, więc jak dostaniesz hasło to jest on już wygenerowane na podstawie nr konta, który wstawił trojan. Jedyna szansa, że popatrzysz nr konta lub kwotę i wyłapiesz. Jest tutaj pewna zaleta kodów sms, bo hasło jest zazwyczaj na końcu razem z kwotą przelewu, więc łatwo to wyłapać IMO.

Hasła papierowe faktycznie mają tu słabość.

No i token, które po prostu tylko generują kody a są odblokowywane na PIN.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx pisze:

Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisał(a):

Z tokenem się nie da - przynajmniej w BZWBK.

Wezwanie dla tokena jest fragmentem numeru konta na ktĂłry przelewasz
pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena
  trojan nie moĹźe wysłać kasy na inne konto.

Jeżeli podobnie jest z hasłami SMS, to też się nie da.

No niekoniecznie. Tak jak pisałem. Wpisujesz nr konta ale trojan go podmienia na swój, więc jak dostaniesz hasło to jest on już wygenerowane na podstawie nr konta, który wstawił trojan. Jedyna szansa, że popatrzysz nr konta lub kwotę i wyłapiesz. Jest tutaj pewna zaleta kodów sms, bo hasło jest zazwyczaj na końcu razem z kwotą przelewu, więc łatwo to wyłapać IMO.

Racja - o tym nie pomyślałem.

Czyli mĂłj stary token rulez :)

Czy w BZWBK dają/sprzedają teraz jeszcze tokeny? Moja siostra niedawno zakładała konto i domyślnie już ma korzystanie z haseł SMS. Co gorsza SMS-em przychodzi tylko numer do wpisania - nic więcej.


--
gonT
>>Trzeba się pilnować, bo inaczej ani się człowiek nie obejrzy, a już zaczyna każdego żałować i w końcu nie ma komu w mordę dać.
(W. Wharton: Ptasiek)<<

gont wrote:

Czyli mĂłj stary token rulez :)

Czy w BZWBK dają/sprzedają teraz jeszcze tokeny?

jak sie klient indywidualny uprze, to za te bodajze 80pln mu wyrobia.

Paweł pisze:

gont wrote:

Czyli mĂłj stary token rulez :)

Czy w BZWBK dają/sprzedają teraz jeszcze tokeny?

jak sie klient indywidualny uprze, to za te bodajze 80pln mu wyrobia.

Kiszka. A ja dostałem za friko. Ale to jeszcze WBK (bez BZ) był :)

--
gonT
>>Trzeba się pilnować, bo inaczej ani się człowiek nie obejrzy, a już zaczyna każdego żałować i w końcu nie ma komu w mordę dać.
(W. Wharton: Ptasiek)<<

"Netx" news:ha22m8$26o$1inews.gazeta.pl

Jak się przed takim czymś bronić?

Hasła SMSowe.

Valdi.Pavlack pisze:

"Netx" news:ha22m8$26o$1inews.gazeta.pl

Jak się przed takim czymś bronić?

Hasła SMSowe.

Mam więc pytanie w kontekście mBank, czy jeśli dostanę hasło do przelewu SMSem, ale go nie wpiszę na stronie przelewu w mBank (tzn. nie dokończę transakcji - albo wirus zapamięta hasło i zapobiegnie przesłaniu go do mBank) to czy przy następnym przelewie mBank wyśle mi nowe hasło SMS czy poprosi o to co już dostałem ale nie wykorzystałem?

To jest dla mnie kluczowa różnica która mogłaby udaremnić wykradnięcie hasła.

W przypadku haseł z listy, jeśli ostatecznie nie wpiszę hasła to przy następnej transakcji bank prosi o to samo hasło (z tym samym numerem na liści) a więc trojan może sobie zapamiętać moje hasło i użyć go później.

Pozdr.

W dniu 2009-10-01 13:25, Netx pisze:

Valdi.Pavlack pisze:

"Netx" news:ha22m8$26o$1inews.gazeta.pl

Jak się przed takim czymś bronić?

Hasła SMSowe.

Mam więc pytanie w kontekście mBank, czy jeśli dostanę hasło do przelewu
SMSem, ale go nie wpiszę na stronie przelewu w mBank (tzn. nie dokończę
transakcji - albo wirus zapamięta hasło i zapobiegnie przesłaniu go do
mBank) to czy przy następnym przelewie mBank wyśle mi nowe hasło SMS czy
poprosi o to co już dostałem ale nie wykorzystałem?

To jest dla mnie kluczowa różnica która mogłaby udaremnić wykradnięcie
hasła.

W przypadku haseł z listy, jeśli ostatecznie nie wpiszę hasła to przy
następnej transakcji bank prosi o to samo hasło (z tym samym numerem na
liści) a więc trojan może sobie zapamiętać moje hasło i użyć go później.

Nigdy nie prosi o to samo hasło, jeżeli transakcja nie doszła do skutku, nawet w przypadku papierowych - przynajmniej w mBanku i Nordei.

On Oct 1, 1:32 pm, XYZ <j...@mail.bin> wrote:

W dniu 2009-10-01 13:25, Netx pisze:





> Valdi.Pavlack pisze:
>> "Netx"news:ha22m8$26o$1inews.gazeta.pl

>>> Jak się przed takim czymś bronić?

>> Hasła SMSowe.

> Mam więc pytanie w kontekście mBank, czy jeśli dostanę hasło do przelewu
> SMSem, ale go nie wpiszę na stronie przelewu w mBank (tzn. nie dokończę
> transakcji - albo wirus zapamięta hasło i zapobiegnie przesłaniu go do
> mBank) to czy przy następnym przelewie mBank wyśle mi nowe hasło SMS czy
> poprosi o to co już dostałem ale nie wykorzystałem?

> To jest dla mnie kluczowa różnica która mogłaby udaremnić wykradnięcie
> hasła.

> W przypadku haseł z listy, jeśli ostatecznie nie wpiszę hasła to przy
> następnej transakcji bank prosi o to samo hasło (z tym samym numerem na
> liści) a więc trojan może sobie zapamiętać moje hasło i użyć go później.

Nigdy nie prosi o to samo hasło, jeżeli transakcja nie doszła do skutku,
nawet w przypadku papierowych - przynajmniej w mBanku i Nordei.- Hide quoted text -

- Show quoted text -

Dodatkowo np w Aliorze w sms'ie jest podane jaka operacja ma byc
autoryzowana [kwota, odbiorca:P].

BK pisze:

Dodatkowo np w Aliorze w sms'ie jest podane jaka operacja ma byc
autoryzowana [kwota, odbiorca:P].

najlepszy jest ING - nowy, nigdy nie uzywany odbiorca, a on nie pyta o nic, "transakcja nie wymaga autoryzacji", i poszlo...
A logowanie do systemu jest na haslo (wybrane literki), po kilkunastu logowaniach znane jest cale haslo
No po prostu swietny bank, gdyby nie to ze uzywam bankomatu na osiedlu to juz dawno bym go pogonil.
Chyba sie pojde pozalic na ich forum...
Marx

"Netx" news:ha23ju$6tn$1inews.gazeta.pl

Mam więc pytanie w kontekście mBank, czy jeśli dostanę hasło do przelewu
SMSem, ale go nie wpiszę na stronie przelewu w mBank (tzn. nie dokończę
transakcji - albo wirus zapamięta hasło i zapobiegnie przesłaniu go do
mBank) to czy przy następnym przelewie mBank wyśle mi nowe hasło SMS czy
poprosi o to co już dostałem ale nie wykorzystałem?

Dostaniesz nowe hasło! :)

"Valdi.Pavlack" <Valdi.Pavlack@PSL.NOspam.pl> writes:

"Netx" news:ha22m8$26o$1inews.gazeta.pl

Jak się przed takim czymś bronić?

Hasła SMSowe.

TAN też w jakimś stopniu.
KJ


--
DOS: n., A small annoying boot virus that causes random spontaneous system
     crashes, usually just before saving a massive project.  Easily cured by
     UNIX.  See also MS-DOS, IBM-DOS, DR-DOS.
        -- David Vicker's .plan

Użytkownik "Valdi.Pavlack" <Valdi.Pavlack@PSL.NOspam.pl> napisał w wiadomości news:ha21pj$aje$1news.interia.pl...

"Netx" news:ha22m8$26o$1inews.gazeta.pl

Jak się przed takim czymś bronić?

Hasła SMSowe.

Czy hasła SMS działają tak, że to uzytkownik wysyła dane
hasło SMSem do banku? Bo jeśli nie, to nie widzę żadnej
różnycy w stosunku do haseł "z kartki", przeciez ten trojan
siedzi między użytkownikiem a przeglądarką...

siedzi między użytkownikiem a przeglądarką...

Za szybko pisałem ;) powinno być "siedzi między przeglądarką
a bankiem", tak wieć użytkownik dostaje na ekran to, co
wirus chce, a nie to co faktycznie zaszło w banku.

ikarek pisze:

siedzi między użytkownikiem a przeglądarką...

Za szybko pisałem ;) powinno być "siedzi między przeglądarką
a bankiem", tak wieć użytkownik dostaje na ekran to, co
wirus chce, a nie to co faktycznie zaszło w banku.

No nie do końca, bo ci wirus z komórki nie przepisze hasła z powrotem do przeglądarki... ;)

Jeśli nawet wirus w jakiś sposób zrobiłby przelew bez twojej wiedzy, to przyjście smsa na komórkę z hasłem zabezpiecza resztę.

Tomek Głowacki wrote:

ikarek pisze:

siedzi między użytkownikiem a przeglądarką...

Za szybko pisałem ;) powinno być "siedzi między przeglądarką
a bankiem", tak wieć użytkownik dostaje na ekran to, co
wirus chce, a nie to co faktycznie zaszło w banku.

No nie do końca, bo ci wirus z komórki nie przepisze hasła z powrotem do
przeglądarki... ;)

Jeśli nawet wirus w jakiś sposób zrobiłby przelew bez twojej wiedzy, to
przyjście smsa na komórkę z hasłem zabezpiecza resztę.

popatrz na to z innej strony. niczego nieswiadomy klient loguje sie
do systemu, klika sobie przelew np. za telefon, a wirus podstawia
do banku koszyk przelewow. przychodzi sms, klient autoryzuje koszyk
o ktorym nie wie i pozamiatane. jesli w sms-ie bedzie szczegolowe
info o transakcjach, to mozna sie w pore zorientowac, jesli nie bedzie
detali to jestesmy w doopie - telefon zaplacony, reszta kasy na kajmanach.

Jak dla mnie bełkot o tym jak sprytnie niby ten wirus ukrywa fakt że pieniądze wychodzą z konta.Tylko ZERO konkretów w jaki sposób dana transakcja jest potwierdzana (raport z linka podanego w artykule też o tym milczy). .
- wydaje mi się że nie jest możliwe wykonanie przelewu w polskich systemach bez podania kodu - chyba że są dziurawe aż tak bardzo. Ale jesli nie ma kodu to po prostu dana funkcja
się nie wykona i już.

Jak się przed takim czymś bronić?

"Netx" <gigabyte-cut-it-out@gazeta.pl> wrote in message news:ha22m8$26o$1inews.gazeta.pl...

wirus wykradający hasła, w tym jednorazowe:
http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc.html?ticaid=18d7e

Jak się przed takim czymś bronić?

dobrze że ten trojan jeszcze nie gotuje przy okazji obiadu...
george

Dnia Thu, 01 Oct 2009 15:02:18 +0200, george napisał(a):

 

dobrze Ĺźe ten trojan jeszcze nie gotuje przy okazji obiadu... george

Kto wie? Z kaĹźdego przelewu automatycznie zamawia obiad swojemu twĂłrcy ;)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

"xbartx" <bart@hashzero.net> wrote in message news:ha29fm$e0h$12inews.gazeta.pl...

Dnia Thu, 01 Oct 2009 15:02:18 +0200, george napisał(a):

dobrze Ĺźe ten trojan jeszcze nie gotuje przy okazji obiadu... george

Kto wie? Z kaĹźdego przelewu automatycznie zamawia obiad swojemu twĂłrcy ;)

-- xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

na szczęście kodowanie systemu raportowego banków w Polsce sie nie opłaca... za dużo roboty / za małe kwoty na kontach żeby sie w to bawić.

Anyway, wykonywać przelewy zdefiniowane i koniec.

george

Dnia Thu, 01 Oct 2009 15:14:08 +0200, george napisał(a):

na szczęście kodowanie systemu raportowego banków w Polsce sie nie
opłaca... za dużo roboty / za małe kwoty na kontach żeby sie w to bawić.

No wiesz, kwestia skali, poza tym jak już będzie prototyp to na pewno chętni i w pl się znajdą aby spróbować swoich sił, rynek nie lubi próżni, nawet trojanowy rynek ;)

Anyway, wykonywać przelewy zdefiniowane i koniec.

No hasła smsowe, które przed kodem, który należy wklepać w przeglądarce podają kwotę przelewu i nr konta docelowego są IMO dosyć dobry zabezpieczeniem. No i tokeny, które generują kod na podstawie ostatnich kilku cyfr nr konta, na które się przelewa, są w tym przypadku 100% zabezpieczeniem.


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On 1 Paź, 13:09, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:

wirus wykradający hasła, w tym jednorazowe:http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-n...

Jak się przed takim czymś bronić?

Linux z wbudowaną przeglądarką odpalany z CD (czy DVD) - używany tylko
do operacji bankowych. Proste i skuteczne.

Dnia Thu, 01 Oct 2009 15:10:22 -0700, Clegan napisał(a):

Linux z wbudowaną przeglądarką odpalany z CD (czy DVD) - używany tylko
do operacji bankowych. Proste i skuteczne.

Już niedługo nawet takich skomplikowanych rzeczy nie trzeba będzie odstawiać dzięki sandbox-X.


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On 2 Paź, 07:47, xbartx <b...@hashzero.net> wrote:

Dnia Thu, 01 Oct 2009 15:10:22 -0700, Clegan napisał(a):

> Linux z wbudowaną przeglądarką odpalany z CD (czy DVD) - używany tylko
> do operacji bankowych. Proste i skuteczne.

Już niedługo nawet takich skomplikowanych rzeczy nie trzeba będzie
odstawiać dzięki sandbox-X.

W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to
poprawić stabilność systemu, ale czy uchroni przed trojanami ?

On 2009-10-02, Clegan <cleghan@gmail.com> wrote:

[...]

W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to
poprawić stabilność systemu, ale czy uchroni przed trojanami ?

W takim samym stopniu jak dual-boot.

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Clegan" <cleghan@gmail.com> napisał w wiadomości
news:53a41d57-5044-48ab-a06c-77cf6f4a4945f16g2000yqm.googlegroups.com...

W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to
poprawić stabilność systemu, ale czy uchroni przed trojanami ?

Moim zdaniem, system z Live CD jest najbezpieczniejszy,
natomiast jeśli mówimy o wirtualnym systemie, wykorzystywanym
tylko do transakcji z bankiem, to również będzie on dość bezpieczny.
Tego rodzaju wirusy muszą działać w przeglądarce, z uwagi na
obecność szyfrowania SSL, zatem wirus czy rootkit na hoście
będzie miał już do czynienia z zaszyfrowanymi danymi i nic nie
wskóra. Oczywiście, o ile nie zdoła zarazić wirtualnego systemu.

On 3 Paź, 10:06, "ikarek" <l...@poczta.spamerzy.to.brudasy.onet.pl>
wrote:

Użytkownik "Clegan" <cleg...@gmail.com> napisał w wiadomościnews:53a41d57-5044-48ab-a06c-77cf6f4a4945f16g2000yqm.googlegroups.com...

> W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to
> poprawić stabilność systemu, ale czy uchroni przed trojanami ?

Moim zdaniem, system z Live CD jest najbezpieczniejszy,
natomiast jeśli mówimy o wirtualnym systemie, wykorzystywanym
tylko do transakcji z bankiem, to również będzie on dość bezpieczny.

Ja nie twierdzę że jest jakiś strasznie niebezpieczny tylko że jest
mniej bezpieczny niż live CD. To po prostu kwestia rozgryzienia
mechanizmu wirtualizacji. Jeśli użytkownicy zaczną masowo
wykorzystywać wirtualizacje to wcześniej czy później ktoś jakąś lukę
znajdzie.

Clegan pisze:

W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to
poprawić stabilność systemu, ale czy uchroni przed trojanami ?

Słyszałeś o snapshotach? Chociaż jak złapiesz syfa zaraz po instalacji to nic ci nie pomoże

--
Raf

Clegan pisze:

On 1 Paź, 13:09, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:

wirus wykradający hasła, w tym jednorazowe:http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-n...

Jak się przed takim czymś bronić?

Linux z wbudowaną przeglądarką odpalany z CD (czy DVD) - używany tylko
do operacji bankowych. Proste i skuteczne.

Czy próbował ktoś odpalać live-linuxa z cd/dvd pod maszyną wirtualną? Tzn. chodzi mi o to żeby *nie musieć wyłączać Windowsa* w celu zabotowania Linuxa, tylko odpalić Linuxa z cd/dvd w maszynie wirtualnej pod Windows. Sam mam Windows 7 x64, nawet nie wiem czy to o co pytam da się zrobić.
Chyba taki live-cd Linux w maszynie wirtualnej też powinien być wiruso-odporny?

Przy okazji jakby ktoś polecił jakąś fajną dystrybucję live-linuxa. Wiem że na sieci jest pewnie tego sporo, ale może są jakieś lepsze/bezpieczniejsze/bardziej okrojone live Linuxy które się nadają do operacji bankowych.

Pozdrawiam,
Marek

On 6 Paź, 15:02, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:

Czy próbował ktoś odpalać live-linuxa z cd/dvd pod maszyną
wirtualną? Tzn. chodzi mi o to żeby *nie musieć wyłączać

nie raz. Korzystam i z VMWare Server i Virtual PC. Dziś np.
uruchomiłem Live CD, a potem nawet przeprowadziłem instalacje SuSe
"skrojonego" przy pomocy http://susestudio.com/
Oczywiście w VPC nie ma Virtual Machine Additions dla linuksa, ale i
bez tego działa znośnie.

Windowsa* w celu zabotowania Linuxa, tylko odpalić Linuxa z
cd/dvd w maszynie wirtualnej pod Windows. Sam mam Windows 7
x64, nawet nie wiem czy to o co pytam da się zrobić.

myślę, że bez problemów (ja uzywam głównie wersji 32-bitowych XP, na
64b nie próbowałem).

Chyba taki live-cd Linux w maszynie wirtualnej też powinien
być wiruso-odporny?

linux tak, ale można sobie wyobrazić wirusa na maszynie "hosta", która
wpływałaby na bezpieczeństwo tej wirtualnej (np. poprzez dostęp do RAM
czy nawet jej zmiany).

Przy okazji jakby ktoś polecił jakąś fajną dystrybucję
live-linuxa. Wiem że na sieci jest pewnie tego sporo, ale
może są jakieś lepsze/bezpieczniejsze/bardziej okrojone live
Linuxy które się nadają do operacji bankowych.

bsd :-) A na serio: ja używam Ubuntu, Suse i CentOS. Nie sądzę, żeby w
zastosowaniu LiveCD dystrybucja była bardzo istotna (chyba, że czegoś
szczególnego poza przeglądarką zechcesz używać)

--
pozdrawiam,
Jarek Andrzejewski

Dnia Tue, 06 Oct 2009 15:02:05 +0200, Netx napisał(a):

Czy próbował ktoś odpalać live-linuxa z cd/dvd pod maszyną wirtualną?
Tzn. chodzi mi o to żeby *nie musieć wyłączać Windowsa* w celu
zabotowania Linuxa, tylko odpalić Linuxa z cd/dvd w maszynie wirtualnej
pod Windows. Sam mam Windows 7 x64, nawet nie wiem czy to o co pytam da
się zrobić. Chyba taki live-cd Linux w maszynie wirtualnej też powinien
być wiruso-odporny?

Poczytaj o możliwościach maszyn wirtualnych, to nie będzie zadawała takich trywialnych pytań.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On 2009-10-01 13:09, Netx wrote:

wirus wykradający hasła, w tym jednorazowe:
http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc.html?ticaid=18d7e Jak się przed takim czymś bronić?

Już nie działa:
http://www.scmagazineus.com/URLZone-touted-as-most-sophisticated-banking-trojan-yet/article/151096/

"Finjan discovered the hub used in the attack on Aug. 24, and it is no longer running, Ben-Itzhak said. German law enforcement was notified."


witrak()

On 2009-10-01 13:09, Netx wrote:

wirus wykradający hasła, w tym jednorazowe:
http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc.html?ticaid=18d7e

Więcej informacji:
http://pindebit.blogspot.com/2009/09/urlzone-and-news.html

witrak()