W dniu 01.10.2020 o 15:41, Krzysztof Halasa pisze:
> Michal Jankowski <m...@f...edu.pl> writes:
>
>> Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
>> zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony
>> sms dodający przeglądarkę do zaufanych.
>
> SMS mógł być "zamówiony", wystarczy np. włączyć kasowanie ciastek po
> zakończeniu sesji, i zawsze na wejściu dostajemy SMSa. Sesja mogła być
> podtrzymywana przez wiele godzin.

Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy:

1. sms startujący prawdziwą sesję klientki
2. sms zatwierdzający dodanie zaufanego odbiorcy (błędnie zrozumiany
przez klientkę jako zatwierdzenie przelewu złotówki)
3. sms startujący sesję złodzieja

MJ

do góry

W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:
> Dnia 01.10.2020 Michal Jankowski <m...@f...edu.pl> napisał/a:
>
>> Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
>> zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony sms
>> dodający przeglądarkę do zaufanych.
>
> Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
> więcej niewiele da. Zasymuluje się błąd (podany kod jest
> nieprawidłowy, spróbuj ponownie) i gra muzyka.
>

No tak, to jest dobra koncepcja. Aż szkoda, że nam się ta uczciwość
marnuje...

MJ

do góry

Użytkownik "Michal Jankowski" <m...@f...edu.pl> napisał w wiadomości
news:5f75c307$0$550$65785112@news.neostrada.pl...
>W dniu 01.10.2020 o 13:47, Dominik Ałaszewski pisze:
>> Dnia 01.10.2020 Michal Jankowski <m...@f...edu.pl> napisał/a:
>>
>>> Czyli - ofiara musi nie tylko zalogować się na fałszywą stronę i
>>> zatwierdzić operację, ale jeszcze przekazać złodziejowi niezamówiony
>>> sms
>>> dodający przeglądarkę do zaufanych.
>>
>> Zapewne tak. Ale skoro klient nie czyta treści, to jeden krok
>> więcej niewiele da. Zasymuluje się błąd (podany kod jest
>> nieprawidłowy, spróbuj ponownie) i gra muzyka.
>>
>
> I tak jest wielki postęp, że banki podają w sms-ach, do czego ten sms
> jest. Kiedyś nawet tego nie było.

Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć
przecinek łatwo. Zamiast tego pełny nr rachunku, chociaż ciężko
raczej podstawić taki ze zgodną sumą kontrolną.
SMS-a chyba można podłsłuchać.
Poza tym licho wie jaki jest ich prawdziwy los - operatorzy niespiesznie
je kasują (o ille w ogóle) a potem treść może wypłynąć i w karierze
politycznej zaszkodzić.
Zdaje się, że Niemcy mieli odejść od potwierdzania SMS-ami?

Arek
.

do góry

W dniu 01.10.2020 o 13:16, J.F. pisze:

> Falszywa strona jest jasna.
> Ale jak pokonali autoryzacje przegladarki i samych przelewow ?

Tzw. "wyjebka na fałszywego dotpeja" (Mexx musi być wściekły, że taka
nazwa się utarła ;) ).
Zwabiona podstępem (np. "na dopłatę do przesyłki") ofiara na stronie
udającej witrynę banku wpisuje kolejno login, hasło, a potem kod SMS,
albo zatwierdza w aplikacji. Tyle, że zamiast przelewu na drobną kwotę
zatwierdza dodanie zaufanego odbiorcy (którego przestępcy równolegle
dodają używając danych z fałszywej strony), co umożliwia przestępcy
(posiadającemu już login i hasło) wysyłanie przelewów do takiego
odbiorcy bez dwustopniowej autoryzacji. No i takimi przelewami czyści
konto do zera...

Pozdr,
--
L E P E K Pruszcz Gdański
no_spam/maupa/poczta/kropka/fm

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> Czyja sesja? W twoim scenariuszu bank musi wysłać trzy smsy:
>
> 1. sms startujący prawdziwą sesję klientki
> 2. sms zatwierdzający dodanie zaufanego odbiorcy (błędnie zrozumiany
> przez klientkę jako zatwierdzenie przelewu złotówki)
> 3. sms startujący sesję złodzieja

Nie, wystarczą dwa:
1. Startujący sesję klientki (według niej) = złodzieja (rzeczywiście)
2. zatwierdzający odbiorcę (czy co tam to było - może być zatwierdzający
konkretny przelew).
--
Krzysztof Hałasa

do góry

"Arek" <Na przykład: osoba@microsoft.com> writes:

> Moim zdaniem kwoty mogliby całej nie podawać, zresztą przesunąć
> przecinek łatwo. Zamiast tego pełny nr rachunku, chociaż ciężko
> raczej podstawić taki ze zgodną sumą kontrolną.

Niezwykle łatwo. Zwłaszcza gdy można samemu tworzyć subkonta.
--
Krzysztof Hałasa

do góry

"J.F." 5f75c810$0$17362$6...@n...neostrada.pl

> -jesli nie autoryzowano przegladarki jako zaufanej, to i kolejne

Komu ono potrzebne?

> logowanie w celu wykonania przelewu bedzie wymagalo hasla.

--
_._ _,-'""`-._ .`'.-. ._. .-.
(,-.`._,'( |\`-/| .'O`-' .,; o.' e...@g...com '.O_'
`-.-' \ )-`( , o o) `-:`-'.'. `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,
-bf- `- \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/...

do góry

"LEPEK" rl546o$1jd$1$L...@n...chmurka.net

> odbiorcy bez dwustopniowej autoryzacji. No i takimi przelewami czyści konto do
zera...

Były 2 przelewy dające razem 250kpln? -- banki dają aż tyle jednorazowo?...

--
_._ _,-'""`-._ .`'.-. ._. .-.
(,-.`._,'( |\`-/| .'O`-' .,; o.' e...@g...com '.O_'
`-.-' \ )-`( , o o) `-:`-'.'. `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,
-bf- `- \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/...

do góry

W dniu 02.10.2020 o 02:05, Eneuel Leszek Ciszewski pisze:

> Były 2 przelewy dające razem 250kpln? -- banki dają aż tyle jednorazowo?...

A skąd ci się wzięła informacja o dwóch przelewach? W tekście jest
"kobieta zobaczyła na swoim telefonie kilka powiadomień".

Pozdr,
--
L E P E K Pruszcz Gdański
no_spam/maupa/poczta/kropka/fm
Avensis ADT270 1ADFTV sedan'11
MX-5 II NB FL B6-ZE rdstr'03
Kymco Xciting 500i sqter'08

do góry

LEPEK <g...@w...pl> writes:

> W dniu 02.10.2020 o 02:05, Eneuel Leszek Ciszewski pisze:
>
>> Były 2 przelewy dające razem 250kpln? -- banki dają aż tyle jednorazowo?...
>
> A skąd ci się wzięła informacja o dwóch przelewach? W tekście jest
> "kobieta zobaczyła na swoim telefonie kilka powiadomień".
>
> Pozdr,

A tak poza tym dają (a przynajmniej dawały). Jak płaciłem za mieszkanie,
to (jeden) przelew na ~230k przeszedł w mbanku bez żadnych fajerwerków. Fakt -
2006r.

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry