W dniu poniedziałek, 22 października 2012 17:31:00 UTC+2 użytkownik Jacek Osiecki
napisał:

>
> >> Bo nie zdziwiłbym się, gdyby ktoś
>
> >> wykonał taki sam fraud i złapał trochę ofiar korzystających z SMSów...
>
> > Oj to chyba jednak zdecydowanie trudniejsze zadanie dla hakera. Oszust
>
> > musiałby wykryć moment kiedy ofiara chce wysłać przelew, podpiąć się
>
> > pod sms-a którego wpisał i w tym samym czasie wysłać własny przelew.
>
>
>
> Nic a nic trudniejsze. Przecież technicznie nawet działa to identycznie jak
>
> przy kodach jednorazowych: wpisuje się przelew, pojawia się pole do wpisania
>
> kodu. Co za różnica czy kod klient ma w kieszeni czy dostanie SMSem? Nic nie
>
> trzeba przejmować, poza komputerem ofiary. Dlatego piszę, że nie zdziwiłbym
>
> się gdyby te osoby które padły ofiarą oszusta miały aktywne SMSy i po
>
> prostu bezmyślnie przepisały kod...
>
Ponieważ nigdy nie miałem do czynienia z kodami jednorazowymi w mbanku uściślijmy
zatem ich znaczenie:
- autoryzuje tylko i wyłącznie daną transakcję (np. jest generowany z jakiejś tabeli)
- autoryzuje kolejną transakcję (kody idą po kolei)
Jeśli odpowiedź pierwsza to jest to bardzo podobne do sms-ów. Jeśli odpowiedź druga
to uważam że opcja ta jest mniej bezpieczna - wystarczy kod, a nie trzeba podszywać
się pod dany przelew (np. wystarczy zerknąć komuś przez ramię jak wpisuje taki kod i
zablokować mu sieć).

Zibo
>
> Pozdrawiam,
>
> --
>
> Jacek Osiecki j...@c...pl GG:3828944
>
> I don't want something I need. I want something I want.

do góry

Gotfryd Smolik news <s...@s...com.pl> writes:

> No nie mów, że śruby od wkrętu nie odróżniają ;)

Chyba śruby od śrubki :-)
--
Krzysztof Halasa

do góry

Zibo <z...@g...com> writes:

> Dla mnie bezpieczniejsze są sms-y ponieważ nawet przejęcie /
> podsłuchanie takiegoż (np. jakimś keyloggerem) kodu nie wystarcza do
> zrealizowania innego przelewu.

Natomiast podsłuchiwanie SMSów bez używania żadnego keyloggera wystarcza
do zrealizowania przelewu.

Jedno i drugie rozwiązanie ma swoje wady i zalety - kody papierowe m.in.
nie określają kwoty ani odbiorcy np. przelewu, natomiast SMSy da się
przechwycić, w różny sposób (od trywialnych do trudnych).

To nie są całkiem bezpieczne rozwiązania, takim jest (po spełnieniu
dodatkowych warunków) np. bezpieczny system do podpisu elektronicznego
+ podpisywanie zleceń kluczem asymetrycznym (którego część publiczna
jest w posiadaniu banku). Niestety to nie jest chwilowo rozwiązanie "dla
ludu".
--
Krzysztof Halasa

do góry

On 22 Paź, 13:01, Jacek Osiecki <j...@c...pl> wrote:

> Zawsze dokładnie czytasz treść SMSa? :) Bo nie zdziwiłbym się, gdyby ktoś
> wykonał taki sam fraud i złapał trochę ofiar korzystających z SMSów...

Ten fraud jest przecież skierowany wyłącznie do tych, którzy
korzystają z potwierdzania SMSami! Masz gotowy wypełniony formularz
przelewu na konto złodzieja i dostajesz SMS z kodem, który wpisujesz.
Wszystko z wykorzystaniem prawdziwej formatki, prawdziwego kodu.
Jedynie na górze jest formatka, że jak tego nie zrobisz to piekło cię
pochłonie.

do góry

Użytkownik "Konfabulator" <k...@1...pl> napisał w wiadomości
news:c4250edb-0683-4935-a4f2-bf3782037346@u9g2000vbm
.googlegroups.com...
On 22 Paź, 13:01, Jacek Osiecki <j...@c...pl> wrote:

> Zawsze dokładnie czytasz treść SMSa? :) Bo nie zdziwiłbym się, gdyby ktoś
> wykonał taki sam fraud i złapał trochę ofiar korzystających z SMSów...

> Ten fraud jest przecież skierowany wyłącznie do tych, którzy
korzystają z potwierdzania SMSami! Masz gotowy wypełniony formularz
przelewu na konto złodzieja i dostajesz SMS z kodem, który wpisujesz.
Wszystko z wykorzystaniem prawdziwej formatki, prawdziwego kodu.
Jedynie na górze jest formatka, że jak tego nie zrobisz to piekło cię
pochłonie.

-------
Dlaczego uważasz, że to jest wyłącznie do tych z SMS-ami.
To jest przede wszystkim do tych z papierowymi kodami, ale niektórzy z
SMS-owymi też się mogą złapać.
Co za różnica dla programu, czy ofiara wpisuje kod z SMSa czy z tabelki
kodów jednorazowych.
Ten co ma tabelkę nie ma możliwości zauważyć, ze podpisuje coś innego niż
widzi na ekranie, a ten co ma SMS-y jak przeczyta treść to zauważy, że
podpisuje nie to co widzi na ekranie.
P.G.

do góry

On 23 Paź, 10:49, Piotr Gałka <p...@C...pl> wrote:

> Dlaczego uważasz, że to jest wyłącznie do tych z SMS-ami.

Nie wyłącznie, ale pierwszy trojan, który to umie.

> Ten co ma tabelkę nie ma możliwości zauważyć, ze podpisuje coś innego niż
> widzi na ekranie, a ten co ma SMS-y jak przeczyta treść to zauważy, że
> podpisuje nie to co widzi na ekranie.

Ale przecież on podpisuje to co widzi na ekranie! Ma wiadomość, że
Stefański przelał mu 10 tysięcy z konta X i on ma na to konto X
przelać te 10 tysięcy z powrotem, więc przelewa, zatwierdzając przelew
na konto X na 10 tysięcy.

do góry

W dniu wtorek, 23 października 2012 13:50:06 UTC+2 użytkownik Konfabulator napisał:
> On 23 Paź, 10:49, Piotr Gałka <p...@C...pl> wrote:
>
>
>
> > Dlaczego uważasz, że to jest wyłącznie do tych z SMS-ami.
>
>
>
> Nie wyłącznie, ale pierwszy trojan, który to umie.
>
>
>
> > Ten co ma tabelkę nie ma możliwości zauważyć, ze podpisuje coś innego niż
>
> > widzi na ekranie, a ten co ma SMS-y jak przeczyta treść to zauważy, że
>
> > podpisuje nie to co widzi na ekranie.
>
>
>
> Ale przecież on podpisuje to co widzi na ekranie! Ma wiadomość, że
>
> Stefański przelał mu 10 tysięcy z konta X i on ma na to konto X
>
> przelać te 10 tysięcy z powrotem, więc przelewa, zatwierdzając przelew
>
> na konto X na 10 tysięcy.

No i to jest różnica w kodach SMS a jednorazowych. Dlatego pisałem że niezły haker
musiałby być, który jednocześnie w tym samym momencie wyśle przelew na swoje konto
autoryzując się podanym sms-em

do góry

Użytkownik "Konfabulator" <k...@1...pl> napisał w wiadomości
news:88e4c0a1-b715-4cf3-8b56-c045cff05c44@k6g2000vbr
.googlegroups.com...
On 23 Paź, 10:49, Piotr Gałka <p...@C...pl> wrote:

>> Ten co ma tabelkę nie ma możliwości zauważyć, ze podpisuje coś innego niż
>> widzi na ekranie, a ten co ma SMS-y jak przeczyta treść to zauważy, że
>> podpisuje nie to co widzi na ekranie.

> Ale przecież on podpisuje to co widzi na ekranie! Ma wiadomość, że
> Stefański przelał mu 10 tysięcy z konta X i on ma na to konto X
> przelać te 10 tysięcy z powrotem, więc przelewa, zatwierdzając przelew
> na konto X na 10 tysięcy.

Nie wczytywałem się w treść tego co on widzi, bo pokazali to na jakiejś
stronie gdzie się nie da wejść.
Sądziłem że operacja widziana na ekranie jest inna niż ta widziana przez
bank i to wyjdzie w SMS-ie.
Może faktycznie to jest tak, że on wykonuje to co widzi i SMS też jest z tym
zgodny.

Aby to zadziałało to chyba ta kwota przelana rzekomo przez kogoś musi być
niższa od aktualnego salda bo inaczej to chyba nie da się takiego przelewu
wykonać i bank zamiast wysłać SMSa będzie próbował (próbował bo przecież
filtrowane przez hakera) wypisać coś o braku środków. Nigdy nie próbowałem
przelewu dającego w wyniku ujemne saldo.
P.G.

do góry

On 23 Paź, 16:52, Piotr Gałka <p...@C...pl> wrote:

> Aby to zadziałało to chyba ta kwota przelana rzekomo przez kogoś musi być
> niższa od aktualnego salda bo inaczej to chyba nie da się takiego przelewu
> wykonać i bank zamiast wysłać SMSa będzie próbował (próbował bo przecież
> filtrowane przez hakera) wypisać coś o braku środków. Nigdy nie próbowałem
> przelewu dającego w wyniku ujemne saldo.
> P.G.

Trojan czyta prawdziwe saldo i pokazuje zawsze saldo dwa razy większe.
Masz 10.000 pokaże Ci 20.000, masz 50.000 pokaże Ci 100.000, jak masz
2,72 to pokaże 5,44. I co ciekawe, nikogo kto się dał na to nabrać nie
zastanowiło, dlaczego jakiś Kowalski przelał mu akurat równo 2,72,
czyli tyle ile miał wcześniej na koncie... Naiwność ludzka nie zna
granic.

do góry

On 22 Paź, 16:23, SQLwiel <"[nick]"@guglowapoczta.com> wrote:

>
> A ja sobie założyłem na FB konto "Pierdolę To" (jakimś cudem przeszło) i
> lajkuję aż miło!

Malo sie nie skusilem, zeby zalozyc tam konto w celu sprawdzenia
powyzszego :)

do góry