"Netx" news:ha23ju$6tn$1@inews.gazeta.pl

> Mam więc pytanie w kontekście mBank, czy jeśli dostanę hasło do przelewu
> SMSem, ale go nie wpiszę na stronie przelewu w mBank (tzn. nie dokończę
> transakcji - albo wirus zapamięta hasło i zapobiegnie przesłaniu go do
> mBank) to czy przy następnym przelewie mBank wyśle mi nowe hasło SMS czy
> poprosi o to co już dostałem ale nie wykorzystałem?

Dostaniesz nowe hasło! :)

do góry

Użytkownik "Valdi.Pavlack" <V...@P...NOspam.pl> napisał w
wiadomości news:ha21pj$aje$1@news.interia.pl...
> "Netx" news:ha22m8$26o$1@inews.gazeta.pl
>
>> Jak się przed takim czymś bronić?
>
> Hasła SMSowe.

Czy hasła SMS działają tak, że to uzytkownik wysyła dane
hasło SMSem do banku? Bo jeśli nie, to nie widzę żadnej
różnycy w stosunku do haseł "z kartki", przeciez ten trojan
siedzi między użytkownikiem a przeglądarką...

do góry

> Jak się przed takim czymś bronić?

Hasła smsowe albo token.
-------------------

boszzzzzz
1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz
wyśli
2. dostajesz prośbę o hasło.
3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
formatkę.
4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
wprowadziłeś na formatkę.
5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest
przelew zrealizowano albo że nastąpił jakiśtam błąd.

da sie??

do góry

> siedzi między użytkownikiem a przeglądarką...

Za szybko pisałem ;) powinno być "siedzi między przeglądarką
a bankiem", tak wieć użytkownik dostaje na ekran to, co
wirus chce, a nie to co faktycznie zaszło w banku.

do góry

"P.H." <k...@g...w.sieci> writes:

> 2. dostajesz prośbę o hasło.
> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
> formatkę.
> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
> wprowadziłeś na formatkę.

Jesli w smsie dostaniesz informacje, jaki przelew zostanie
zrealizowany po wpisaniu kodu z tego smsa (kwota, konto odbiorcy) to
masz okazje zauwazyc, ze cos jest nie tak.

MJ

do góry

Dnia Thu, 01 Oct 2009 14:14:08 +0200, P.H. napisał(a):

> boszzzzzz
> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
> klikasz wyśli
> 2. dostajesz prośbę o hasło.
> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
> formatkę.
> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
> wprowadziłeś na formatkę.
> 5. w zależności od inwencji programisty dostajesz na ekran komunikat że
> jest przelew zrealizowano albo że nastąpił jakiśtam błąd.
>
> da sie??

Da, ale tylko wtedy jak wysyłasz przelew jednorazowy IMO przy zaufanych
to nie zadziała.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

ikarek pisze:
>> siedzi między użytkownikiem a przeglądarką...
>
> Za szybko pisałem ;) powinno być "siedzi między przeglądarką
> a bankiem", tak wieć użytkownik dostaje na ekran to, co
> wirus chce, a nie to co faktycznie zaszło w banku.

No nie do końca, bo ci wirus z komórki nie przepisze hasła z powrotem do
przeglądarki... ;)

Jeśli nawet wirus w jakiś sposób zrobiłby przelew bez twojej wiedzy, to
przyjście smsa na komórkę z hasłem zabezpiecza resztę.

do góry

Użytkownik "Michal Jankowski" <m...@f...edu.pl> napisał w wiadomości
news:kjzr5tne283.fsf@ccfs1.fuw.edu.pl...
> "P.H." <k...@g...w.sieci> writes:
>
>> 2. dostajesz prośbę o hasło.
>> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
>> formatkę.
>> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
>> wprowadziłeś na formatkę.
>
> Jesli w smsie dostaniesz informacje, jaki przelew zostanie
> zrealizowany po wpisaniu kodu z tego smsa (kwota, konto odbiorcy) to
> masz okazje zauwazyc, ze cos jest nie tak.
>
tylko w przypadku jeśli hasło jest liczone na podstawie nr rachunku i kwoty
jeśli jest to kolejne hasło z listy to w smssie przyjdzie to co wprowadziłeś
na formatkę

do góry

P.H. pisze:

> boszzzzzz
> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
> klikasz wyśli
> 2. dostajesz prośbę o hasło.
> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
> formatkę.
> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
> wprowadziłeś na formatkę.
> 5. w zależności od inwencji programisty dostajesz na ekran komunikat że
> jest przelew zrealizowano albo że nastąpił jakiśtam błąd.
>
> da sie??

Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną
transakcję? Mówię o haśle smsowym czy tokenie.

Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i
co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to
znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

Pozdr,
Tomek

do góry

Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w
wiadomości news:1254400300.614105@bongos2.pseinfo.pl...
> P.H. pisze:
>
>> boszzzzzz
>> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
>> klikasz wyśli
>> 2. dostajesz prośbę o hasło.
>> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
>> formatkę.
>> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
>> wprowadziłeś na formatkę.
>> 5. w zależności od inwencji programisty dostajesz na ekran komunikat że
>> jest przelew zrealizowano albo że nastąpił jakiśtam błąd.
>>
>> da sie??
>
> Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję?
> Mówię o haśle smsowym czy tokenie.
>
> Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co?
> Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy,
> że dziurawy jest system banku, jeśli umożliwia coś takiego.
>
weź rusz głową.
nie drugiej transkacji tylko __zamiast__ Twojej.
to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera
banku.
nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek
odbiorcy i kwotę.

do góry