Stopień nurkowy: P2, Adv.Eanx
Ilość nurkowań rocznie: 50 Pomógł: 3 razy Wiek: 38 Dołączył: 18 Lip 2014 Posty: 109 Skąd: Elnesvagen
Wysłany: 31-03-2015, 09:06
Adam Frajtak napisał/a:
Polecam rozwiązanie z subkontem do płatności i wirtualnej karty płatniczej. Z pustego konta nawet Salomon nie ukradnie
Opisywany atak nie jest zależny od tego czy przelewasz z subkonta czy z głównego.
Taka kradzież nie wymaga włamania na konto użytkownika w banku a tylko podmiany numeru konta w schowku lub w polu przeglądarki i dzieje się to przez zainfekowanie urządzenia.
Podatne są windowsy i unixy tak w wersji stacjonarnej jak i mobilnej.
Takiej zmiany nie weryfikuje autoryzacja tokenem ani kodami jednorazowymi.
Ochroną są kody sms, gdzie sprawdzasz numer konta docelowego i porównujesz z tym co wpisałeś ale i one nie są idealne, bo kartę sim można klonować.
Stopień nurkowy: AdvEANx, FullCave
Ilość nurkowań rocznie: 70
Ubezpieczenie: DAN Sport Silver
Oznaczenie stage: GALA Pomógł: 4 razy Wiek: 49 Dołączył: 28 Lut 2009 Posty: 179 Skąd: Warszawa
Wysłany: 31-03-2015, 09:26
Witold Sepioł napisał/a:
... bo kartę sim można klonować.
Można też zainfekować telefon albo zaspoofować nadajnik GSM żeby podmienić sms. Wszystko jest kwestią oceny ryzyka, nie zawsze można je wyeliminować.
W zaprzyjaźnionej firmie regularnie robione są 'prowokacje' w postaci wysyłania phishingu na konta firmowe. No i co? ~20% ludzi klika w linki śmierdzące na kilometr, a jakieś 3/4 podaje swoje firmowe dane autoryzacyjne w podstawionych formularzach!
Oczywiście po wejściu na taki 'sprowokowany phishing' pokazuje się informacja, że tak nie wolno, jak się zachować, jak rozpoznawać ataki... I co, mija pół roku i wyniki się nie zmieniają. Ludzie jak barany dalej klikają w podstawione maile.
Zresztą sami pewnie kiwacie z niedowierzaniem głowami, ile znajomych na FB klika w te scamy typu 'ocalał z katastrofy germanwings', 'szok, nastolatki' albo 'do rozdania 60 iphonów bez folii'.
Ostatnio zmieniony przez Marcin Gala dnia 31-03-2015, 09:30, w całości zmieniany 2 razy
Stopień nurkowy: AdvEAN
Ilość nurkowań rocznie: 41
Oznaczenie stage: PTJA Pomógł: 51 razy Wiek: 53 Dołączył: 08 Paź 2011 Posty: 2707 Skąd: Łódź
Wysłany: 31-03-2015, 10:30
Chyba wkraczamy w semantykę.
Jeśli upierasz się, że token musi być osobnym urządzeniem, to wtedy ten z EB rzeczywiście nie jest tokenem. Jeśli nie ma potrzeby się przy tym upierać, to wtedy bez wątpienia mamy do czynienia z urządzeniem kryptograficznym: ma ono indywidualny klucz, osobny licznik komunikatów oraz kryptograficzne funkcje skrótu wykorzystujące obie te indywidualne cechy do obliczania odpowiedzi. Dodatkowo ma funkcję prezentacji podpisywanej treści, co właśnie jest przewagą nad tokenami, gdzie tylko wpisuje się kody i odczytuje odpowiedź.
Linux jest wzorowany na uniksie, ale to zdecydowanie nie to samo, choć działa bardzo podobnie. Jądro linuksa zostało stworzone przez Linusa Thorwaldsa w 1991, a Unix był rozwijany od 1969 w Bell Laboratories.
Stopień nurkowy: GUE PSAI TMX Cave
Ilość nurkowań rocznie: 100
Ubezpieczenie: DAN Pomógł: 11 razy Wiek: 53 Dołączył: 25 Wrz 2007 Posty: 2601 Skąd: Śląsk
Wysłany: 31-03-2015, 16:08
Witold Sepioł napisał/a:
Adam Frajtak napisał/a:
Polecam rozwiązanie z subkontem do płatności i wirtualnej karty płatniczej. Z pustego konta nawet Salomon nie ukradnie
Opisywany atak nie jest zależny od tego czy przelewasz z subkonta czy z głównego.
Nie zrozumiałeś idei.
Na koncie głównym mam przykładowo dorobek całego życia 10 000 zł
na subkonto robię co miesiąc przelew 1000 zł z tego tysiąca płacę za mieszkanie itd itd jeżeli ktoś będzie chciał wyczyścić mi konto w taki sposób o jakim piszesz to może maksymalnie ukraść mi 1000 zł z subkonta zamiast 10 000 z konta głównego.
Tak jak pisałem z pustego to i Salomon nie ukradnie.
Identycznie działa wirtualna karta do płatności w necie. Chcę kupić sobie płytę na iTunes robię przelew 50 zł na taką kartę i płacę karta pozostaje pusta więc złodziej może kraść ile tylko zechce na szczęście bez efektu.
Posługując się kartą do konta głównego może to robić aż do całkowitego wyczyszczenia konta.
_________________ Instruktor NAUI # 49419 http://www.naui.org
"God is at the bottom of the sea and I dive to find him" Enzo Maiorca
Stopień nurkowy: Padi DM, IANTD Tec R Pomógł: 1 raz Wiek: 50 Dołączył: 19 Paź 2008 Posty: 461 Skąd: uk
Wysłany: 31-03-2015, 16:41
Cytat:
A w jaki sposób robisz przelewy z konta głównego na subkonto?
mozesz miec ustawione subkonto jako "stalego odbiorce" ale sam przelew jakiejs tam sumy musi zostac potwierdzony kodem z sms'a wyslanego na wczesniej zdefiniowany numer tel.
calkiem bezpieczne.
_________________ Szukam realnych porad a nie kretynskich komentarzy. One moga sie przydac nie tylko w nurkowaniu.
Stopień nurkowy: GUE PSAI TMX Cave
Ilość nurkowań rocznie: 100
Ubezpieczenie: DAN Pomógł: 11 razy Wiek: 53 Dołączył: 25 Wrz 2007 Posty: 2601 Skąd: Śląsk
Wysłany: 31-03-2015, 22:51
Tomasz Ciesielski napisał/a:
A w jaki sposób robisz przelewy z konta głównego na subkonto?
Robię to na swoim koncie, niczego nie potwierdzam sms ani żadnym "tokenem" po prostu wykonuję operację jak "bankier" w swoim banku. Niczego nie kopiuję niczego nie wklejam jedyne co robię to wybieram walutę i z listy rozwijanej oraz konto docelowe. Środki przeksięgowywane są w tej samej chwili dostępne są natychmiast na subkoncie.
Stopień nurkowy: ARTmx
Ilość nurkowań rocznie: 40
Ubezpieczenie: DAN Pomógł: 28 razy Wiek: 48 Dołączył: 18 Mar 2008 Posty: 2766 Skąd: w-wa
Wysłany: 01-04-2015, 09:37
Adam Frajtak napisał/a:
Nie zrozumiałeś idei.
Adam ty piszesz o zupełnie innym systemie zabezpieczenia. Dopuszczasz możliwość, że ktoś może pozyskać Twoje dane i ukraść Ci pieniądze (np. przez podmianę nr. konta w przelewie), dlatego trzymasz na tym koncie kwotę, która wystarcza na bieżące potrzeby ale nie zaboli jak Ci ją wyczyszczą.
Chłopaki natomiast poruszają kwestię samej możliwości kradzieży tej kwoty przez podmianę nr konta, niezależnie od jej wartości.
Abramik napisał/a:
mozesz miec ustawione subkonto jako "stalego odbiorce" ale sam przelew jakiejs tam sumy musi zostac potwierdzony kodem z sms'a wyslanego na wczesniej zdefiniowany numer tel.
calkiem bezpieczne.
można zdefiniować odbiorców, którzy nie wymagają potwierdzenia kodem czy sms'em i chyba jest to bezpieczne, bo wówczas nie wklejamy żadnego numeru konta za każdym razem gdy robimy przelwe, a tylko podczas definiowania odbiorcy.
W przypadku "przelewu na własne konto/subkonto" nie trzeba nawet niczego definiować.
Przelewy to tylko połowa możliwości zdarzeń. Systemy typu PayU czy Paypal ułatwiają zakupy na różnych serwisach, ale nie wszędzie są akceptowalne i wtedy trzeba płacić kartą. Wówczas taka "karta do zakupów internetowych" w których ustala się limit adekwatnie do planowanej transakcji jest chyba jedynym rozsądnym sposobem. Wówczas idea opisana przez Adama, tz. dopuszczam że mi ukradną, ale tylko tyle na ile ustawię limit brzmi sensownie. Gorzej jeśli taka transakcja opiewa na kwoty powyżej kilku tysi, i taki limit trzeba ustalić. Taka kwota nawet Adama zaboli
Wracając do serwisów typu PayU, wiecie może jak to działa, że kupując na allegro dostaję przekierowanie do banku, tam po zalogowaniu otwiera się już wypełniony formularz. Tzn. że strona banku musi "zassać" informacje z jakiś cookies czy jest to realizowane zupełnie inaczej ..... trochę mnie to intryguje i nie wiem na ile można ocenić poziom bezpieczeństwa tych transakcji ??????
_________________ Pozdrav
"And remember; any diver can abort any dive at any time for any reason."
Moja strona www.podlustremwody.pl
Stopień nurkowy: GUE PSAI TMX Cave
Ilość nurkowań rocznie: 100
Ubezpieczenie: DAN Pomógł: 11 razy Wiek: 53 Dołączył: 25 Wrz 2007 Posty: 2601 Skąd: Śląsk
Wysłany: 01-04-2015, 10:28
Tomek Płociński napisał/a:
Adam Frajtak napisał/a:
Nie zrozumiałeś idei.
Adam ty piszesz o zupełnie innym systemie zabezpieczenia. Dopuszczasz możliwość, że ktoś może pozyskać Twoje dane i ukraść Ci pieniądze (np. przez podmianę nr. konta w przelewie), dlatego trzymasz na tym koncie kwotę, która wystarcza na bieżące potrzeby ale nie zaboli jak Ci ją wyczyszczą.
Chłopaki natomiast poruszają kwestię samej możliwości kradzieży tej kwoty przez podmianę nr konta, niezależnie od jej wartości.
UPS!
To w takim razie wyrwałem się przed szereg.
Tomek Płociński napisał/a:
Gorzej jeśli taka transakcja opiewa na kwoty powyżej kilku tysi, i taki limit trzeba ustalić. Taka kwota nawet Adama zaboli
Wiesz że każda kwota boli, jakby nie było to jakiś tam gwałt na nas. To jak włamanie do mieszkania z którego kradną Ci radio za 50 zł Szkoda żadna a trauma taka że ciężko się dalej mieszka w takim mieszkaniu.
Ja podchodzę do kwestii bezpieczeństwa trochę w duchu KravMagi - nie ma obrony która nie zakłada otrzymania ciosu takimi cudami zajmują się mistrzowi Kung-Fu wykorzystujący tajną moc coś jak Linux
Zakładam że w konfrontacja z przestępcą zaboli mnie ale nie chcę całkowitej przegranej.
_________________ Instruktor NAUI # 49419 http://www.naui.org
"God is at the bottom of the sea and I dive to find him" Enzo Maiorca
Stopień nurkowy: AdvEAN
Ilość nurkowań rocznie: 41
Oznaczenie stage: PTJA Pomógł: 51 razy Wiek: 53 Dołączył: 08 Paź 2011 Posty: 2707 Skąd: Łódź
Wysłany: 01-04-2015, 11:39
Profilaktyka w opisywanym przypadku będzie raczej obroną w stylu Bruce'a Lee: sztuka walki bez walki. Po prostu nie damy przestępcy szansy na wyprowadzenie ciosu.
Stopień nurkowy: Tech.Cave
Ubezpieczenie: DAN/VDST Pomógł: 55 razy Dołączył: 28 Sty 2006 Posty: 3501 Skąd: NUE
Wysłany: 01-04-2015, 13:28
Cytat:
Tzn. że strona banku musi "zassać" informacje z jakiś cookies czy jest to realizowane zupełnie inaczej ..... trochę mnie to intryguje i nie wiem na ile można ocenić poziom bezpieczeństwa tych transakcji
Strona banku jest wywolywana przez specjalny URL, zawierajacy dane do transakcji. Po zalogowaniu jestes w twoim koncie, front end banku przejmuje dane ktore byly przekazane przy pomocy wywolujacej URL.
Druga mozliwosc (stosownana w DE) - strona wywolujaca jest tylko front-endem, czyms w rodzaju graficznej nakladki, calosc operacji odbywa sie przy pomocy HBCI.
_________________ [quote:e1aa1c559f="KasiaK"]ja sie nie boje siebie
boje sie tych z ktorymi mialabym plywac[/quote]
Stopień nurkowy: GUE PSAI TMX Cave
Ilość nurkowań rocznie: 100
Ubezpieczenie: DAN Pomógł: 11 razy Wiek: 53 Dołączył: 25 Wrz 2007 Posty: 2601 Skąd: Śląsk
Wysłany: 01-04-2015, 17:57
UWAGA NIEBEZPIECZNE - TYLKO W PRZYPADKU PODAWANIA PRAWDZIWYCH DANYCH
Właśnie otrzymałem taki mail
Thank you for buying the following product:
Product Name: Navmii GPS World
Order Number: EO3T3SDE3Z
Receipt Date: 01/04/2015
Order total: 32.99 €
If you did not authorize this purchase, please visit the iTunes Payment Cancellation Form within the next 12 hours in order to cancel the payment. Tu link do fałszywej strony Apple choć łudząco podobna
http://ebizdigitalmarketing.com/wp-admin/care/apple/apple/
Oczywiście w pewnym momencie przekieruje na prawie identyczną stronę VISA Security do podania kodu CVV
Zaraz po tym nastąpiłoby wyczyszczenie konta
You can find the App Store Terms of Sale and Sales Policies by launching your App application and clicking on Terms of Sale or Sales Policies.
Oczywiście choć w nagłówku nadawcy widnieje Apple Store to po kliknięciu nadawcy widzimy adres appist@fcistres.com
WIADOMOŚĆ ORYGINALNA Z MOJEJ POCZTY JEST PRÓBĄ KRADZIEŻY
W tym konkretnym przypadku nawet gdybym dał się nabrać to złodziej może mi ukraść 3,5 EUR bo tyle wynosi mój stan konta na karcie wirtualnej.
Dla fachowców w opcjach wiadomości można wyłuskać coś takiego
X-Barracuda-Start-Time: 1427904023
X-Barracuda-Spam-Score: 0.00
X-Barracuda-Connect: smtp-outgoing3.gwtc.net[64.251.188.45]
X-Icloud-Spam-Score: 30002230 f=fcistres.com;e=fcistres.com;is=yes;ir=no;pp=ham;spf=?;dkim=?;dmarc=?;wl=absent;pwl=absent;clxs=ham;clxl=absent
X-Barracuda-Url: http://64.251.188.104:8000/cgi-mod/mark.cgi
X-Clx-Spam: false
Authentication-Results: st11p00mm-smtpin008.mac.com; spf=none (st11p00mm-smtpin008.mac.com: appist@fcistres.com does not designate permitted sender hosts) smtp.mailfrom=appist@fcistres.com;
Authentication-Results: st11p00mm-smtpin008.mac.com; dkim=none reason="no signature"; dkim-adsp=none
X-Virus-Scanned: by bsmtpd at e-filtering.net
X-Barracuda-Envelope-From: appist@fcistres.com
Return-Path: <appist@fcistres.com>
X-Priority: 3
X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.3.17438 Rule breakdown below pts rule name description ---- ---------------------- -------------------------------------------------- 0.00 HTML_TAG_BALANCE_HEAD BODY: HTML has unbalanced "head" tags 0.00 HTML_MESSAGE BODY: HTML included in message
X-Barracuda-Apparent-Source-Ip: 216.106.240.55
X-Barracuda-Rbl-Trusted-Forwarder: 64.251.188.45
Original-Recipient: rfc822;frajtak@icloud.com
Organization: asdasdas
X-Asg-Debug-Id: 1427904023-060b492d0c8d19e0002-1pZ9jE
X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 spamscore=0 suspectscore=15 phishscore=0 adultscore=0 bulkscore=0 classifier=spam adjust=0 reason=mlx scancount=1 engine=7.0.1-1412110000 definitions=main-1504010141
Message-Id: <CEC57447E1C643BBAB7A2DEA6BC36293@Server>
X-Dmarc-Info: pass=?; dmarc-policy=(noPolicy); s d=
X-Proofpoint-Virus-Version: vendor=fsecure engine=2.50.10432:5.13.68,1.0.33,0.0.0000 definitions=2015-04-01_06:2015-04-01,2015-04-01,1970-01-01 signatures=0
Mime-Version: 1.0
X-Mailer: Microsoft Windows Mail 6.0.6001.18000
X-Barracuda-Rbl-Ip: 216.106.240.55
X-Clx-Shades: None
Received: from st11p00mm-smtpin008.mac.com ([17.172.83.249]) by ms09564.mac.com (Oracle Communications Messaging Server 7u4-27.08 (7.0.4.27.7) 64bit (built Aug 22 2013)) with ESMTP id <0NM4007Q3XTH4S30@ms09564.mac.com> for frajtak@icloud.com; Wed, 01 Apr 2015 16:00:53 +0000 (GMT)
Received: from smtp-cuda2.e-filtering.net ([64.251.188.104]) by st11p00mm-smtpin008.mac.com (Oracle Communications Messaging Server 7.0.5.35.0 64bit (built Feb 12 2015)) with ESMTP id <0NM4008V6XSO6F71@st11p00mm-smtpin008.mac.com> for frajtak@icloud.com (ORCPT frajtak@icloud.com); Wed, 01 Apr 2015 16:00:53 +0000 (GMT)
Received: from smtp-cluster1.gwtc.net (smtp-outgoing3.gwtc.net [64.251.188.45]) by smtp-cuda2.e-filtering.net with ESMTP id AZxFTwGDF0iiHA98 for <frajtak@icloud.com>; Wed, 01 Apr 2015 10:00:23 -0600 (MDT)
Received: from Server (unknown [216.106.240.55]) by smtp-cluster1.gwtc.net (Postfix) with SMTP id A3C9C400F9 for <frajtak@icloud.com>; Wed, 01 Apr 2015 10:00:23 -0600 (MDT)
X-Msmail-Priority: Normal
Content-Type: multipart/alternative; boundary="----=_NextPart_000_0DB2_01D06C73.790C9150"
X-Barracuda-Spam-Status: No, SCORE=0.00 using global scores of TAG_LEVEL=1000.0 QUARANTINE_LEVEL=5.0 KILL_LEVEL=6.0 tests=HTML_MESSAGE, HTML_TAG_BALANCE_HEAD
X-Asg-Orig-Subj: Your receipt No.170041372511
X-Barracuda-Brts-Status: 1
X-Mantsh: 1TEIXWV4bG1oaGkdHB0lGUkdDRl5PWBoaGREKTEMXGx0EGx0YBBIZBBscEBseGh8 aEQpYTRdLEQptfhcHGxEKTFkXGxseEQpZTRdkRURPEQpZSRcHGR1xGwYHHR53BhsZEwYaBhoGG x0GGnEaEBp3BhoGGgYaBgcfBhoGGnEaEBp3BhoRClleF2hjeREKQ04XSxsbGmJCH2lvGWBwGXh zBxkbGxwaGkYbTBEKW0MXGmRnHhoaEnwccnllHGwdGxEKWFwXGQQaBBgYAR4HTR0aSBlPEkwFG x0EGx0YBBIZBBscEBseGh8bEQpeWRdnf0hYYREKTVwXGR8RCkxaF3tpXXtrEQpFWRdoa2sRCkx fF3oFBQUFBQUFBQUdEQpMRhdja2sRCkNaFxweBBgfGwQbEhIEGxoeEQpCXhcbEQpCRRdgcxhLX 01sWB5JTREKQk4XZ01oTmFJTEZnbmMRCkJMF2RFW155fmlFG0JoEQpCbBdvREFpeEFnQW5lRhE KQkAXZ05oEmd4ZnNdb0cRCkJYF2F5eBh/GkkFGkRMEQpNXhcHGxEKcGcXbWF9TG1hXE5LHHoRC nBoF24THU9mTlhTeEd7EQpwaBdvZUxuWRJ8Ek1gYxEKcGgXb1obaEBuX0FdeEwRCnBoF2dCXB0 cbx9BG34aEQpwaBdiEgVzTF1rR0xSRREKcH8XZAF4GHobXmxERlgRCnBfF2kde1tTe1xuaXwYE QpwbBdtS1tNYxhvfWtBTxEKcEMXbkxdS15AZhhrW1MR
Received-Spf: none (st11p00mm-smtpin008.mac.com: appist@fcistres.com does not designate permitted sender hosts) receiver=st11p00mm-smtpin001.mac.com; client-ip=64.251.188.104; helo=smtp-cuda2.e-filtering.net; envelope-from=appist@fcistres.com;
X-Mimeole: Produced By Microsoft MimeOLE V6.0.6001.18049
X-Clx-Score: 114
Your receipt No.170041372511
_________________ Instruktor NAUI # 49419 http://www.naui.org
"God is at the bottom of the sea and I dive to find him" Enzo Maiorca
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Nie możesz ściągać załączników na tym forum
coś jak Linux
d=
