eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiPSD2 mBank i pewnie nie tylko...
Ilość wypowiedzi w tym wątku: 295

  • 201. Data: 2019-08-20 14:49:36
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-20, Kris <k...@g...com> wrote:

    [...]

    >> Chcę zrobić przelew, w znakomitej większości korzystam ze
    >> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
    >> w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
    >> wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
    >> nie tak?
    >
    > Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak
    wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie
    tak

    Napisanie "proxy" które będzie pobierało dane ze strony banku
    to nie jest jakaś skomplikowana rzecz. W pierwszym kroku zawsze podajesz
    login i hasło, więc wyczytanie tych informacji to dość trywialna
    sprawa. Kwestia tylko i wyłącznie tego jak porządnie ktoś przygotuje
    się do działania pod konkretny bank.

    Pozatym ostatnie wektory ataku to są ataki nie bezpośrednio
    na konto, tylko bardziej udające strony do płatności online.
    Tam to już w ogóle jest łatwiej, bo przecież masz tylko
    dwa ekrany:

    - formatka do loginu i hasła
    - stronę do autoryzacji transakcji

    I jedyne miejsce gdzie możesz wychwycić że coś się nie
    zgadza, to komunikat autoryzacyjny w SMS lub Push,
    bo na ekranie Ci się wszystko będzie zgadzać.

    --
    Wojciech Bańcer
    w...@g...com


  • 202. Data: 2019-08-20 14:52:20
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Wojciech Bancer" napisał w wiadomości grup
    dyskusyjnych:slrnqlnr31.2gb6.wojciech.bancer@pl-test
    .org...
    On 2019-08-20, Kris <k...@g...com> wrote:
    [...]
    >Pozatym ostatnie wektory ataku to są ataki nie bezpośrednio
    >na konto, tylko bardziej udające strony do płatności online.
    >Tam to już w ogóle jest łatwiej, bo przecież masz tylko
    >dwa ekrany:
    > - formatka do loginu i hasła
    > - stronę do autoryzacji transakcji

    >I jedyne miejsce gdzie możesz wychwycić że coś się nie
    >zgadza, to komunikat autoryzacyjny w SMS lub Push,
    >bo na ekranie Ci się wszystko będzie zgadzać.

    A tak swoja droga - ta dyrektywa ma przeciez umozliwiac zarzadzanie
    kontem przez strony innej firmy.

    Jest przewidziana jakas procedura weryfikacji tych innych firm i
    dostepow przez nie, czy mozna sie spodziewac calej masy falszywek ?

    J.


  • 203. Data: 2019-08-20 15:02:26
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-20, Wojciech Bancer <w...@g...com> wrote:
    > On 2019-08-20, Kris <k...@g...com> wrote:
    >
    > [...]
    >
    >>> Chcę zrobić przelew, w znakomitej większości korzystam ze
    >>> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
    >>> w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
    >>> wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
    >>> nie tak?
    >>
    >> Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak
    wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie
    tak
    >
    > Napisanie "proxy" które będzie pobierało dane ze strony banku

    Żeby nie być gołosłownym, to takie najbardziej prymitywne
    rozwiązanie to chociażby:
    https://github.com/chimurai/http-proxy-middleware

    ---
    var express = require('express');
    var proxy = require('http-proxy-middleware');

    var app = express();

    app.use('/', proxy({ target: 'http://strona.mojego.banku', changeOrigin: true }));
    app.listen(3000);
    ---

    Czyli jakieś 6 linijek kodu i wszystko masz "przekazywane", tak że jedynie
    po domenie widzisz różnicę. Bank również dostaje wszystkie właściwe dane,
    nagłówki przeglądarki itp., wszystko od Ciebie.

    Oczywiście banki stosują pewne zabezpieczenia, ale jak ktoś wie co robi,
    to i je obejdzie. A w środku powyższego możesz dodać kod dowolnie
    modyfikujący wybrane fragmenty strony, czy tego co użytkownik
    przekazuje.

    Dopisanie więc, że przelew który użytkownik autoryzuje
    zamiast 1,00 zł, to <saldo konta>,00 zł, to dość prosta
    rzecz.

    --
    Wojciech Bańcer
    w...@g...com


  • 204. Data: 2019-08-20 15:17:39
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Szymon <...@w...pl>

    W dniu 2019-08-20 o 14:46, J.F. pisze:
    > Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez
    > zabezpieczenia.

    Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie tokena.

    > Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja
    > bedzie w aplikacji.
    > I tam sie juz haslo moze pojawic.

    Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec aplikacji.
    >> W przypadku tokena i fałszywej strony działania hakera musiałby się
    >> odbyć w tym samym czasie. Czyli logowanie, przelew.
    >
    > Zaden problem - raz oszukales komputer usera, to pewnie jeszcze pare
    > razy oszukasz.

    Czyli zakładasz, że klient będzie kilkanaście/kilkadziesiąt razy
    korzystał z fałszywki, bo haker "zbiera" informację, aby mieć pełne
    hasło przy maskowanym?

    >> Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż
    >> klient wstuka na fałszywce te same pola, o które poprosi hakera
    >> oryginalna strona są małe.
    >
    > Ale haslo jest stale ? To po paru probach ustali pelne haslo.

    Tak, jest stałe. Potrzeba raczej kilkudziesięciu prób. W tym czasie
    fałszywka ma się zachowywać jak prawdziwa? Tzn. realizować przelewy
    itd., aby klient nie zorientował się, że np. nie dochodzą i coś jest nie
    tak?

    >> A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne
    >> znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?
    >
    > IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac
    > dokladnie tego samego co bank.

    Masz rację. Wymagane byłoby pewne opóźnienie, ale z punktu widzenia
    klienta może być niezauważalne.

    > W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
    > mozna probowac w ciemno, a noz sie trafi ..

    To mało prawdopodobne.


  • 205. Data: 2019-08-20 15:40:23
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Szymon" napisał w wiadomości grup
    dyskusyjnych:qjgrur$144g$...@g...aioe.org...
    W dniu 2019-08-20 o 14:46, J.F. pisze:
    >> Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez
    >> zabezpieczenia.

    >Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie
    >tokena.

    Ale to nie to samo co token z klawiaturka, ktorego zlodziej nie
    odblokuje.

    >> Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja
    >> bedzie w aplikacji.
    >> I tam sie juz haslo moze pojawic.

    >Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec
    >aplikacji.

    Byc moze, ale widac, ze pomysl im sie podoba, a przeciez "kazdy ma
    smartfona".

    >>> W przypadku tokena i fałszywej strony działania hakera musiałby
    >>> się
    >>> odbyć w tym samym czasie. Czyli logowanie, przelew.
    >
    >> Zaden problem - raz oszukales komputer usera, to pewnie jeszcze
    >> pare razy oszukasz.

    >Czyli zakładasz, że klient będzie kilkanaście/kilkadziesiąt razy
    >korzystał z fałszywki, bo haker "zbiera" informację, aby mieć pełne
    >hasło przy maskowanym?

    Tak.

    >>> Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż
    >>> klient wstuka na fałszywce te same pola, o które poprosi hakera
    >>> oryginalna strona są małe.
    >
    >> Ale haslo jest stale ? To po paru probach ustali pelne haslo.

    >Tak, jest stałe. Potrzeba raczej kilkudziesięciu prób.

    IMO mniej - zakladajac ze haslo ma np 10 znakow, z ktorych naraz
    podajesz 4 czy 5.

    A jesli bank nie spyta o ten dziesiaty znak przez kilka logowan ... to
    moze do przelewu tez wystarczy 9 znanych.

    >W tym czasie fałszywka ma się zachowywać jak prawdziwa? Tzn.
    >realizować przelewy itd., aby klient nie zorientował się, że np. nie
    >dochodzą i coś jest nie tak?

    tak, jakies proxy uwazam za sensowne ... i chyba nawet mialy miejsce w
    rzeczywistosci, bo jakby omineli hasla jednorazowe z listy ?
    ale nawet jesli nie - tak trudno zasugerowac, ze cos jest zle ?
    wysypac przegladarke, zamknac okno, napisac "serwer przeciazony,
    sprobuj za kilka minut", czy "haslo nieprawidlowe - wprowadz jeszcze
    raz" - i przekierowac na oryginalna strone.

    >>> A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne
    >>> znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?
    >
    >> IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac
    >> dokladnie tego samego co bank.

    >Masz rację. Wymagane byłoby pewne opóźnienie, ale z punktu widzenia
    >klienta może być niezauważalne.

    Jak bedzie realizowal komputer - to niezauwazalnie male.

    >> W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
    >> mozna probowac w ciemno, a noz sie trafi ..
    >To mało prawdopodobne.

    1:1000. Tysiac prob i trafiles. Robiac dwie dziennie - efekt w ciagu
    niecalych dwoch lat.
    Ale majac namierzonych 10 frajerow - juz co dwa miesiace.

    Pytanie tylko czy bank wczesniej nie zareaguje, bo zlicza te nieudane
    proby ... albo podejrzany mu sie wyda adres IP ktory tak czesto sie
    myli ..

    J.


  • 206. Data: 2019-08-20 16:08:26
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-20, J.F. <j...@p...onet.pl> wrote:

    [...]

    >> I jedyne miejsce gdzie możesz wychwycić że coś się nie
    >> zgadza, to komunikat autoryzacyjny w SMS lub Push,
    >> bo na ekranie Ci się wszystko będzie zgadzać.
    >
    > A tak swoja droga - ta dyrektywa ma przeciez umozliwiac zarzadzanie
    > kontem przez strony innej firmy.
    >
    > Jest przewidziana jakas procedura weryfikacji tych innych firm i
    > dostepow przez nie, czy mozna sie spodziewac calej masy falszywek ?

    Pewnie to trochę będzie tak jak z terminalami.
    By móc się podpiąć do systemu, musisz być wiarygodny, tzn. przejść
    weryfikację (w przypadku kart masz PCI DSS). Serwisy online które
    zapisują dane kart również muszą być zweryfikowane pod tym kątem.

    --
    Wojciech Bańcer
    w...@g...com


  • 207. Data: 2019-08-20 16:12:21
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Szymon <...@w...pl>

    W dniu 2019-08-20 o 15:40, J.F. pisze:
    >> Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec aplikacji.
    >
    > Byc moze, ale widac, ze pomysl im sie podoba, a przeciez "kazdy ma
    > smartfona".

    Tak, masz rację. Jednocześnie Alior na swoich stronach podaje:
    "Urządzenie z którego korzystasz do obsługi aplikacji Google Pay
    (wczesniej Android Pay) musi być skutecznie zabezpieczone przed
    zagrożeniami poprzez zainstalowanie aktualnego oprogramowania
    antywirusowego renomowanego producenta."

    Ciekawe czy ten wymóg może potem skutkować jakimiś problemami dla
    klienta (np. z odrzuceniem reklamacji).
    I dalej:

    "Pamiętaj, że Twoje urządzenie mobilne to klucz do Twoich finansów! Jego
    utrata lub przejęcie przez przestępców może skutkować przejęciem konta
    bankowego, a w rezultacie utratą środków pieniężnych."

    Myślę, że część klientów woli mieć do dyspozycji klawiaturę obsługując
    system transakcyjny. Jeszcze innych przekona większy ekran monitora.
    Stąd smartfonowe aplikacje będą mieć raczej ograniczony zasięg. No -
    może do autoryzacji (wzorem tokenuGSM w EB).

    Swoją drogą do obsługi foreksu często są dostępne aplikacje mobilne i na
    komputery. Banki rozwijają te pierwsze, ale niekoniecznie drugie. Pewnie
    mają swoje powody, ale być może aplikacja komputerowa dałaby większy
    poziom bezpieczeństwa niż przez przeglądarkę.


  • 208. Data: 2019-08-20 16:15:34
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Szymon <...@w...pl>

    "Dbaj o bezpieczeństwo Twojego telefonu komórkowego - nie pozostawiaj go
    w miejscach, w których narażony może być na kradzież lub dostęp osób
    niepowołanych. "

    Zdaje się, że Alior ma świadomość, iż największym niebezpieczeństwem w
    przypadku urządzenia mobilnego jest jego mobilność. ;-) Tylko jak tu
    spełnić ten warunek? I czy nie będzie on potem wykorzystany przeciwko
    klientowi (mimo ostrzeżeń banku zostawił telefon gdzieś tam i nie
    dochował należytej staranności)...


  • 209. Data: 2019-08-20 16:30:10
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Szymon" napisał w wiadomości grup
    dyskusyjnych:qjgv5d$1ig0$...@g...aioe.org...
    W dniu 2019-08-20 o 15:40, J.F. pisze:
    >>> Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec
    >>> aplikacji.
    >
    >> Byc moze, ale widac, ze pomysl im sie podoba, a przeciez "kazdy ma
    >> smartfona".

    >Tak, masz rację. Jednocześnie Alior na swoich stronach podaje:
    >"Urządzenie z którego korzystasz do obsługi aplikacji Google Pay
    >(wczesniej Android Pay) musi być skutecznie zabezpieczone przed
    >zagrożeniami poprzez zainstalowanie aktualnego oprogramowania
    >antywirusowego renomowanego producenta."

    >Ciekawe czy ten wymóg może potem skutkować jakimiś problemami dla
    >klienta (np. z odrzuceniem reklamacji).

    Nieznane sa wyroki sadow rejonowych :-)
    Z jednej strony - oczywiscie moze, z drugiej ... a gdzie lista
    renomowanych (dla banku) producentow ?

    >I dalej:
    >"Pamiętaj, że Twoje urządzenie mobilne to klucz do Twoich finansów!
    >Jego utrata lub przejęcie przez przestępców może skutkować przejęciem
    >konta bankowego, a w rezultacie utratą środków pieniężnych."

    Ale to samo mialbys z tokenem.

    >Myślę, że część klientów woli mieć do dyspozycji klawiaturę
    >obsługując system transakcyjny. Jeszcze innych przekona większy ekran
    >monitora. Stąd smartfonowe aplikacje będą mieć raczej ograniczony
    >zasięg. No - może do autoryzacji (wzorem tokenuGSM w EB).

    Dokladnie o autoryzacji pisalem ... ale mysle, ze sporo klientow
    bedzie wolalo obslugiwac konto z telefonu.
    Ewentualnie - odbiorce sobie zdefiniuja na komputerze, przelewac potem
    beda z telefonu.

    No i zobacz kolejne pomysly rozwojowe - np platnosci przez QR-kod.
    A komputera nie odczytasz.

    Co prawda ... fajnie sie to skanuje z papieru, ale papier jest drogi.
    mozna zeskanowac e-maila z ekranu komputera ... ale jak ktos woli
    e-maile czytac na telefonie ? :-)

    >Swoją drogą do obsługi foreksu często są dostępne aplikacje mobilne i
    >na komputery. Banki rozwijają te pierwsze, ale niekoniecznie drugie.

    Ale tu inna sprawa - tu trzeba byc czujnym. I miec aplikacje zawsze
    pod reka ... czyli w telefonie.

    > Pewnie mają swoje powody, ale być może aplikacja komputerowa dałaby
    > większy poziom bezpieczeństwa niż przez przeglądarkę.

    A to swoja droga - czemu na telefonie dedykowany program, a na
    komputerze przegladarka.
    Przegladarka kompa wystarcza, a przegladarka z telefonu nie wyrabia ?
    Nie akceptuje ActiveX ? ... od tego sie chyba odchodzi, javascript
    potrafi duzo.
    Strona duzo danych transmituje ?

    Czy jednak bezpieczenstwo dedykowanej aplikacji ... czy po prostu chca
    przy okazji wiecej danych zgromadzic - liste kontaktow np :-)

    J.


  • 210. Data: 2019-08-20 16:58:20
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Animka <a...@w...pl>

    W dniu 2019-08-20 o 14:46, J.F. pisze:
    > W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
    > mozna probowac w ciemno, a noz sie trafi ..

    Po trzech nieudanych razach konto jest już zablokowane.



    --
    animka

strony : 1 ... 10 ... 20 . [ 21 ] . 22 ... 30


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1