Data: 2009-10-01 04:40:55 | |
Autor: Tomasz [Bubon] | |
No i jest | |
On 1 Paź, 13:09, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:
wirus wykradający hasła, w tym jednorazowe:http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-n... Hasła smsowe albo token. |
|
Data: 2009-10-01 14:14:08 | |
Autor: P.H. | |
No i jest | |
Jak się przed takim czymś bronić? Hasła smsowe albo token. -- -- -- -- -- -- -- -- -- - boszzzzzz 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz wyśli 2. dostajesz prośbę o hasło. 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na formatkę. 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które wprowadziłeś na formatkę. 5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest przelew zrealizowano albo że nastąpił jakiśtam błąd. da sie?? |
|
Data: 2009-10-01 12:28:11 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:14:08 +0200, P.H. napisaĹ(a):
boszzzzzz Da, ale tylko wtedy jak wysyĹasz przelew jednorazowy IMO przy zaufanych to nie zadziaĹa. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 14:19:08 | |
Autor: Michal Jankowski | |
No i jest | |
"P.H." <ktos@gdzies.w.sieci> writes:
2. dostajesz prośbę o hasło. Jesli w smsie dostaniesz informacje, jaki przelew zostanie zrealizowany po wpisaniu kodu z tego smsa (kwota, konto odbiorcy) to masz okazje zauwazyc, ze cos jest nie tak. MJ |
|
Data: 2009-10-01 14:28:58 | |
Autor: P.H. | |
No i jest | |
Użytkownik "Michal Jankowski" <michalj@fuw.edu.pl> napisał w wiadomości news:kjzr5tne283.fsfccfs1.fuw.edu.pl... "P.H." <ktos@gdzies.w.sieci> writes:tylko w przypadku jeśli hasło jest liczone na podstawie nr rachunku i kwoty jeśli jest to kolejne hasło z listy to w smssie przyjdzie to co wprowadziłeś na formatkę |
|
Data: 2009-10-01 14:31:40 | |
Autor: Tomek Głowacki | |
No i jest | |
P.H. pisze:
boszzzzzz Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję? Mówię o haśle smsowym czy tokenie. Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego. Pozdr, Tomek |
|
Data: 2009-10-01 12:41:44 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek GĹowacki napisaĹ(a):
Nie da siÄ. W jaki sposĂłb wirus ma autoryzowaÄ tym hasĹem innÄ Tu chodzi o coĹ innego. Ty wpisujesz nr konta i inne dane a on tylko podmienia nr konta i oczywiĹcie kwotÄ. Ty natomiast na ekranie widzisz to co wklepaĹeĹ, czyli wszystko Ci siÄ zgadza i jak nie przyglÄ dniesz siÄ smsowi (nr konta i kwota) to leĹźysz. Przy tokenie/TAN/liĹcie haseĹ jest jeszcze gorzej, bo nie masz nawet szansy weryfikacji tego. Wychodzi, Ĺźe te smsy nie takie gĹupie sÄ ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 14:45:36 | |
Autor: Kamil Jońca | |
No i jest | |
xbartx <bart@hashzero.net> writes:
Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek Głowacki napisał(a): Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót" transakcji, i generowal ci na podstawie tego skrótu odpowiedź. Token GSM EB też generuje info o podpisywanej transakcji. KJ -- kondensator - kondensatorych - kondensatoremu (odmiana słowa "kondensator" według MS Word 6.0) |
|
Data: 2009-10-01 12:51:22 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil JoĹca napisaĹ(a):
SÄ tokeny (np. w wubeku czy bgĹź byl taki), Ĺźe trzeba byĹo wpisaÄ "skrĂłt" No to tutaj trojan teĹź nic nie zdziaĹa. Token GSM EB teĹź generuje info o podpisywanej transakcji. Hmmm jak on to robi, jakaĹ ĹÄ cznoĹÄ z bankiem czy jak? -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 14:57:13 | |
Autor: Kamil Jońca | |
No i jest | |
xbartx <bart@hashzero.net> writes:
Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil Jońca napisał(a): Nie. Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do 10%) oraz początek i koniec konta, a następnie pyta czy się zgadza. Jeśli tak, to wypluwa kod, który z kolei wpisujesz w przeglądarce. KJ -- The only thing worse than X Windows: (X Windows) - X |
|
Data: 2009-10-01 13:02:15 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil JoĹca napisaĹ(a):
Nie. DziÄki, bo nie wiedziaĹem jak to dziaĹa. MyĹlaĹem, Ĺźe token po prostu generuje kolejne kody. W takim razie jest to na pewno jakieĹ zabezpieczenie, no chyba Ĺźe twĂłrca trojana zrobi wersjÄ dla EB gdzie trojan bÄdzie przycinaĹ wĹaĹnie te 10% ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 15:02:17 | |
Autor: Robert Kois | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):
Nie. Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością doToken GSM EB też generuje info o podpisywanej transakcji.Hmmm jak on to robi, jakaś łączność z bankiem czy jak? A te 10% to skąd ci się wzieło? Obcina grosze tylko. -- Kojer |
|
Data: 2009-10-01 15:04:48 | |
Autor: Kamil Jońca | |
No i jest | |
Robert Kois <kojer@hell.pl> writes:
Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a): Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN? Kj -- Anyone can make an omelet with eggs. The trick is to make one with none. |
|
Data: 2009-10-01 15:24:35 | |
Autor: Robert Kois | |
No i jest | |
Dnia Thu, 01 Oct 2009 15:04:48 +0200, Kamil Jońca napisał(a):
Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN?Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością doA te 10% to skąd ci się wzieło? Obcina grosze tylko. Przy 9999,99 - kwota 9999 PLN (bez groszy) Przy 10000,01 - kwota 10000-10010 PLN Przy 10400,01 - kwota 10390-10400 PLN Bardziej mi się bawić nie chce :). -- Kojer |
|
Data: 2009-10-01 14:36:38 | |
Autor: P.H. | |
No i jest | |
Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w wiadomości news:1254400300.614105bongos2.pseinfo.pl... P.H. pisze:weź rusz głową. nie drugiej transkacji tylko __zamiast__ Twojej. to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera banku. nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek odbiorcy i kwotę. |
|
Data: 2009-10-01 05:40:12 | |
Autor: BK | |
No i jest | |
On Oct 1, 2:36 pm, "P.H." <k...@gdzies.w.sieci> wrote:
Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak. Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego, tzn. calkowite ubezwlasnowolnienie. |
|
Data: 2009-10-01 12:45:17 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisaĹ(a):
Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i No trochÄ trasa musi siÄ wydĹuĹźyÄ. Jak robisz przelew za prÄ d to jest to krajowy czyli poza pl nie pĂłjdzie, dobrze mĂłwiÄ? Poza tym zazwyczaj za prÄ d przelew jest zaufany, wiÄc dupa. TakĹźe generalnie trzeba chyba przysiÄ ĹÄ do konkretnego banku i do kaĹźdego inny trojan hĹe hĹe albo trojan bÄdzie miaĹ po prostu templatki ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 05:58:30 | |
Autor: BK | |
No i jest | |
On Oct 1, 2:45 pm, xbartx <b...@hashzero.net> wrote:
Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisał(a): Ja nie place zauafnymi. Nie mam zaufania :) :) :) |
|
Data: 2009-10-01 13:03:06 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisaĹ(a):
Ja nie place zauafnymi. Nie mam zaufania :) :) :) No to w Ĺwietle zaistniaĹej sytuacji naleĹźy zweryfikowaÄ poziomy, zaufania oczywiĹcie ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 06:06:15 | |
Autor: BK | |
No i jest | |
On Oct 1, 3:03 pm, xbartx <b...@hashzero.net> wrote:
Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a): W swietle tego trojana wychodzi na to, ze zdefiniowanie zaufanych przelewow zabezpiecza przed nim w 100%. Jak bede placil z konta tylko zaufanymi to mi trojan moze naskoczyc :) |
|
Data: 2009-10-01 15:12:06 | |
Autor: PaweĹ | |
No i jest | |
BK wrote:
On Oct 1, 3:03 pm, xbartx <b...@hashzero.net> wrote: no chyba, ze przy definiowaniu zaufanego trojan zrobi dobrze z numerem konta ;) |
|
Data: 2009-10-01 14:45:59 | |
Autor: Valdi.Pavlack | |
No i jest | |
"BK" news:211ed9f9-0e3d-4c03-bf55-dd6c3ee57289s31g2000yqs.googlegroups.com
Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego, I jeżeli ktoś dodatkowo ma burdel na kompie, nie posiada FW itp. to sam jest sobie winny. |
|
Data: 2009-10-01 16:00:55 | |
Autor: XYZ | |
No i jest | |
W dniu 2009-10-01 14:36, P.H. pisze:
Eurobank generuje hasło w tokenie GSM przynajmniej na podstawie kwoty i nr rachunku. |
|
Data: 2009-10-02 00:38:22 | |
Autor: krzysztofsf | |
No i jest | |
P.H. pisze:
nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek odbiorcy i kwotę. Eurobank :) podaje kod, ktory po wprowadzeniu do tokena komunikuje na jakie cyfry zaczyna sie i konczy rachunek docelowy, oraz jakiej kwoty dotyczy transakcja. Po potwierdzniu, dostajemu kod zwrotny do wprowadzenia w formatke przelewu w systemie banku. |
|
Data: 2009-10-01 14:38:41 | |
Autor: ikarek | |
No i jest | |
Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w wiadomości news:1254400300.614105bongos2.pseinfo.pl...
P.H. pisze: Ale z tym trojanem, sama przeglądarka staje sie wirusem! Ona nie wyśle zapłaty za prąd, tylko ten swój przelew na konto X (nie będzie drugiej transakcji), natomiast na ekranie wyświetli to, czego użytkownik się spodziewa, a co nie będzie prawdą. |
|
Data: 2009-10-01 14:51:50 | |
Autor: gont | |
No i jest | |
P.H. pisze:
Jak się przed takim czymś bronić? Z tokenem się nie da - przynajmniej w BZWBK. Wezwanie dla tokena jest fragmentem numeru konta na który przelewasz pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena trojan nie może wysłać kasy na inne konto. Jeżeli podobnie jest z hasłami SMS, to też się nie da. Hasła papierowe faktycznie mają tu słabość. -- gonT >>Trzeba się pilnować, bo inaczej ani się człowiek nie obejrzy, a już zaczyna każdego żałować i w końcu nie ma komu w mordę dać. (W. Wharton: Ptasiek)<< |
|
Data: 2009-10-01 13:00:15 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisaĹ(a):
Z tokenem siÄ nie da - przynajmniej w BZWBK. No niekoniecznie. Tak jak pisaĹem. Wpisujesz nr konta ale trojan go podmienia na swĂłj, wiÄc jak dostaniesz hasĹo to jest on juĹź wygenerowane na podstawie nr konta, ktĂłry wstawiĹ trojan. Jedyna szansa, Ĺźe popatrzysz nr konta lub kwotÄ i wyĹapiesz. Jest tutaj pewna zaleta kodĂłw sms, bo hasĹo jest zazwyczaj na koĹcu razem z kwotÄ przelewu, wiÄc Ĺatwo to wyĹapaÄ IMO. HasĹa papierowe faktycznie majÄ tu sĹaboĹÄ. No i token, ktĂłre po prostu tylko generujÄ kody a sÄ odblokowywane na PIN. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 15:07:48 | |
Autor: gont | |
No i jest | |
xbartx pisze:
Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisaĹ(a): Racja - o tym nie pomyĹlaĹem. Czyli mĂłj stary token rulez :) Czy w BZWBK dajÄ /sprzedajÄ teraz jeszcze tokeny? Moja siostra niedawno zakĹadaĹa konto i domyĹlnie juĹź ma korzystanie z haseĹ SMS. Co gorsza SMS-em przychodzi tylko numer do wpisania - nic wiÄcej. -- gonT >>Trzeba siÄ pilnowaÄ, bo inaczej ani siÄ czĹowiek nie obejrzy, a juĹź zaczyna kaĹźdego ĹźaĹowaÄ i w koĹcu nie ma komu w mordÄ daÄ. (W. Wharton: Ptasiek)<< |
|
Data: 2009-10-01 15:10:57 | |
Autor: PaweĹ | |
No i jest | |
gont wrote:
Czyli mĂłj stary token rulez :) jak sie klient indywidualny uprze, to za te bodajze 80pln mu wyrobia. |
|
Data: 2009-10-02 10:01:59 | |
Autor: gont | |
No i jest | |
PaweĹ pisze:
gont wrote: Kiszka. A ja dostaĹem za friko. Ale to jeszcze WBK (bez BZ) byĹ :) -- gonT >>Trzeba siÄ pilnowaÄ, bo inaczej ani siÄ czĹowiek nie obejrzy, a juĹź zaczyna kaĹźdego ĹźaĹowaÄ i w koĹcu nie ma komu w mordÄ daÄ. (W. Wharton: Ptasiek)<< |
|