Użytkownik "zbihniew" <z...@a...me> napisał w wiadomości
news:e7s94a$rj4$1@opal.icpnet.pl...
> Użytkownik Tomasz Roskal napisał:
>
>
>>
>> Kiedys tak w citi bylo - nie wiem jak obecnie
>
> Na początku tego roku, jak stamtąd uciekałem, było w ING. Tzn. do samych
> przelewów było drugie hasło, które wpisywało się w formularzu będącym
> jakimś okienkiem w Javie. Niemniej znajomość loginu i dwóch haseł
> wystarczyła do jakichkolwiek operacji - owszem, wygodne w podróży było ;]


Czlowieku, nie jakies tam okienko w Javie tylko generowal sie podpis
elektroniczny!!!
Jakbys umial tego uzywac i nie trzymal klucza na serwerze banku to takie cos
jest lepsze niz hasla jednorazowe. A drugie haslo bylo do klucza tak
nawiasem mowiac

do góry

XXX XXX wrote:

> Czlowieku, nie jakies tam okienko w Javie tylko generowal sie podpis
> elektroniczny!!!
> Jakbys umial tego uzywac i nie trzymal klucza na serwerze banku to takie cos
> jest lepsze niz hasla jednorazowe.

z tym ostatnim stwierdzeniem to sie nie zgodze, jesli na komputerze
uzytkownika mozna zainstalowac trojana to nic nie stoi na
przeszkodzie by wejsc w posiadanie i hasel i pliku klucza

do góry

MarcinF <m...@i...pl> writes:

>> Czlowieku, nie jakies tam okienko w Javie tylko generowal sie podpis
>> elektroniczny!!!
>> Jakbys umial tego uzywac i nie trzymal klucza na serwerze banku to takie cos
>> jest lepsze niz hasla jednorazowe.
>
> z tym ostatnim stwierdzeniem to sie nie zgodze,

Jednakze mimo tego jest ono prawdziwe.

> jesli na komputerze
> uzytkownika mozna zainstalowac trojana to nic nie stoi na
> przeszkodzie by wejsc w posiadanie i hasel i pliku klucza

Jesli na komputerze uzytkownika jest trojan to nic nie jest
bezpieczne.
--
Krzysztof Halasa

do góry

darnok napisał(a):
> In news:e7rhmh$2l5$1@atlantis.news.tpi.pl, *Cyneq* wrote:
>
>> Hasła jednorazowe nie pomogą. Może pomóc tylko token
>> pytanie-odpowiedź.
>
> Albo smsowe - bo najpierw musi jeszcze zwinac komore (token tez moze).
>
No fakt.

--
Cyneq

do góry

fotomania.pl napisał(a):
> Użytkownik "Cyneq" <c...@n...com> napisał w wiadomości
> news:e7rhmh$2l5$1@atlantis.news.tpi.pl...
>
>> Chodziło o to, że user myśli że prowadzi dialog z witryną internetową a
>> prowadzi go z moim programem ;)
>> Proste, skuteczne.
>> Hasła jednorazowe nie pomogą. Może pomóc tylko token pytanie-odpowiedź.
>
>
> Ale z ciebie haker :))

No ba, tamta sztuczka nie przekraczała możliwości 16 latka, bo tyle
wtedy miałem.
Zresztą "nakładki" bankomatowe też zbytnio nie są skomlikowane. Tu
pewnie też jest "nakładka".

> Mozesz zdobyc ID , mozesz zdobyc haslo .
> Ciekawy jestem w jaki sposob dokonasz "celowego przelewu " na wskazane
> przez ciebie konto nie posiadajac hasla jednorazowego ??

A dlaczego nie posiadająć?
Robię kawałek programu, który "udaje" bank lokalnie (trzeba tylko nieco
oszukać przeglądarkę co do adresu i obecności certyfikatu). Zbieram
hasła jednorazowe (np. z listy mbanku) przez jakiś czas. Przy zrobieniu
jednego przelewu gość się nie zorientuje że saldo mu się naprawdę w
banku niezmieniło, a mam w ręku hasło które mogę użyć (z punktu widzenia
mbanku "pierwsze ważne z listy").


>
> Podrzucasz key logera , koles wpisuje przelew i podaje haslo jednorazowe .
> Przejmujesz jedno haslo .
>
> Tylko ciekawe jak zrobisz zeby w czasie rzeczywistym po wykonaniu transakcji
> ktorej nie ma .
> System zrobil takie saldo jakie byc powinno .

Nie zrobię, to nie ja jestem hakerem ;)
A ten co to zrobił, tego też nie musi zrobić, bo...


> Ja osobiscie zawsze po jakims przelewie sprawdzam czy zmienilo sie saldo
> wchodzac takze w historie transakcji .

Historię transakcji Ci też "symulują".

>
> Hasla jednorazowe sa bardzo skuteczna metoda zabezpieczenia .
>
> a: nie sa przechowywane w kompie
> b: wykorzystany numerek nie jest juz wazny

Jeśli bank wie że jest wykorzystany.
Tu zakładam że kolesie robią Cię w konia, bo w żadnym momencie nie
rozmawiałeś z bankiem ;)

--
Cyneq

do góry

Tomek napisał(a):
>> Proste, skuteczne.
>> Hasła jednorazowe nie pomogą. Może pomóc tylko token pytanie-odpowiedź.
>>
>> --
>
>
>
> Z ciebie haker jak z koziej .....

Pozdrowienia od Wujka Staszka.
Czy ja mówiłem że jestem jakiś "hakier"?
Mówię tylko że "nakładki" są tak proste do zrobienia, że radzą sobie z
nimi nastolatki.
A to że ludzie prowadzą sesje z bankiem przy nieważnych albo bez
certyfikatów to już nieraz nauka radziecka udowodniła.

> Jak już przechwycisz to hasło to co z nim zrobisz - założysz nowy przelew,
> czy zapłacisz komuś rachunki ?

Przelew dowolny to Twoim zdaniem opcja nieistniejąca w żadnym banku?

--
Cyneq

do góry

m napisał(a):
> A jak zmusisz odbiorcę żeby uruchomił konia trojańskiego ? W
> szczególności nie widzę sposobu jeśli on stale używa konta xp z
> ograniczeniami.
>

Nie wiem, ale widocznie autor przekrętu wiedział.
A w ogóle to wiarę w zabazpieczenia microsoftu i św. Mikołaja sobie darujmy.

--
Cyneq

do góry

Tue, 27 Jun 2006 19:37:15 +0200, w <e7rqc9$noj$02$1@news.t-online.com>, AFAIK
<n...@p...org> napisał(-a):

> wybrać bank, który umożliwią korzystanie z listy tanów, tzn. listy haseł
> jednorazowych. na zachodzie standard. bez tego ani rusz.

Haha, pokaż mi banki na Zachodzie, które bawią się w szmaty z kodami.

do góry

Wszyscy na grupie pl.biznes.banki czytajcie uważnie, bo kjvirtual pisze:
> Masz chyba jakies slabe dane, bo na zachodzie jeszcze nie spotkalem sie z
> haslami jednorazowymi, czy kodami sms! Jedynie stale hasla ;/

Deutsche Bank w Niemczech daje listę haseł - podobną do takiej z mBanku.

GO

do góry

Użytkownik "Cyneq" <c...@n...com> napisał w wiadomości
news:e7tpvk$ivd$1@nemesis.news.tpi.pl...

> Robię kawałek programu, który "udaje" bank lokalnie (trzeba tylko nieco
> oszukać przeglądarkę co do adresu i obecności certyfikatu). Zbieram hasła
> jednorazowe (np. z listy mbanku) przez jakiś czas. Przy zrobieniu jednego
> przelewu gość się nie zorientuje że saldo mu się naprawdę w banku
> niezmieniło, a mam w ręku hasło które mogę użyć (z punktu widzenia mbanku
> "pierwsze ważne z listy").

Tak to działa w mBanku?
W Pekao SA system banku losowo wskazuje nr kodu na liście który (kod)
trzeba podać. To jest pewne utrudnienie bo:
- musisz zażądać na swojej atrapie strony kod o jakimś konkretnym numerze
- jak masz szczęście, to nie będzie on jeszcze zużyty, jeśli nie masz
szczęście to właściciel konta dzwoni do banku, że go proszą drugi raz o ten
sam numerek i sprawa wychodzi szybko na jaw.
- potem musisz tyle razy inicjować wykonanie przelewu, aż w końcu
bank trafi w twój numerek
Wszystko oczywiście wykonalne, ale sprawa robi się bardziej upierdliwa
i mniej pewna (element losowy zużyty-niezużyty).

--
Pozdrawiam
Miroo

do góry