Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w
wiadomości news:1254400300.614105@bongos2.pseinfo.pl...
> P.H. pisze:
>
>> boszzzzzz
>> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
>> klikasz wyśli
>> 2. dostajesz prośbę o hasło.
>> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
>> formatkę.
>> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
>> wprowadziłeś na formatkę.
>> 5. w zależności od inwencji programisty dostajesz na ekran komunikat że
>> jest przelew zrealizowano albo że nastąpił jakiśtam błąd.
>>
>> da sie??
>
> Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję?
> Mówię o haśle smsowym czy tokenie.
>
> Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co?
> Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy,
> że dziurawy jest system banku, jeśli umożliwia coś takiego.
>

Ale z tym trojanem, sama przeglądarka staje sie wirusem!
Ona nie wyśle zapłaty za prąd, tylko ten swój przelew na konto X
(nie będzie drugiej transakcji), natomiast na ekranie wyświetli to,
czego użytkownik się spodziewa, a co nie będzie prawdą.

do góry

On Oct 1, 2:36 pm, "P.H." <k...@g...w.sieci> wrote:
> Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w
> wiadomościnews:1254400300.614105@bongos2.pseinfo.pl.
..
>
>
>
> > P.H. pisze:
>
> >> boszzzzzz
> >> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
> >> klikasz wyśli
> >> 2. dostajesz prośbę o hasło.
> >> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
> >> formatkę.
> >> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
> >> wprowadziłeś na formatkę.
> >> 5. w zależności od inwencji programisty dostajesz na ekran komunikat że
> >> jest przelew zrealizowano albo że nastąpił jakiśtam błąd.
>
> >> da sie??
>
> > Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję?
> > Mówię o haśle smsowym czy tokenie.
>
> > Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co?
> > Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy,
> > że dziurawy jest system banku, jeśli umożliwia coś takiego.
>
> weź rusz głową.
> nie drugiej transkacji tylko __zamiast__ Twojej.
> to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera
> banku.
> nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek
> odbiorcy i kwotę.

Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i
odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i
jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak.

Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego,
tzn. calkowite ubezwlasnowolnienie.

do góry

Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek Głowacki napisał(a):

> Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną
> transakcję? Mówię o haśle smsowym czy tokenie.
>
> Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i
> co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to
> znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.

Tu chodzi o coś innego. Ty wpisujesz nr konta i inne dane a on tylko
podmienia nr konta i oczywiście kwotę. Ty natomiast na ekranie widzisz to
co wklepałeś, czyli wszystko Ci się zgadza i jak nie przyglądniesz się
smsowi (nr konta i kwota) to leżysz. Przy tokenie/TAN/liście haseł jest
jeszcze gorzej, bo nie masz nawet szansy weryfikacji tego. Wychodzi, że
te smsy nie takie głupie są ;)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisał(a):

> Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i
> odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i
> jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak.

No trochę trasa musi się wydłużyć. Jak robisz przelew za prąd to jest to
krajowy czyli poza pl nie pójdzie, dobrze mówię? Poza tym zazwyczaj za
prąd przelew jest zaufany, więc dupa. Także generalnie trzeba chyba
przysiąść do konkretnego banku i do każdego inny trojan hłe hłe albo
trojan będzie miał po prostu templatki ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

xbartx <b...@h...net> writes:

> Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek Głowacki napisał(a):
>
>> Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną
>> transakcję? Mówię o haśle smsowym czy tokenie.
>>
>> Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i
>> co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to
>> znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.
>
> Tu chodzi o coś innego. Ty wpisujesz nr konta i inne dane a on tylko
> podmienia nr konta i oczywiście kwotę. Ty natomiast na ekranie widzisz to
> co wklepałeś, czyli wszystko Ci się zgadza i jak nie przyglądniesz się
> smsowi (nr konta i kwota) to leżysz. Przy tokenie/TAN/liście haseł jest
> jeszcze gorzej, bo nie masz nawet szansy weryfikacji tego. Wychodzi, że
> te smsy nie takie głupie są ;)

Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót"
transakcji, i generowal ci na podstawie tego skrótu odpowiedź.
Token GSM EB też generuje info o podpisywanej transakcji.

KJ

--
kondensator - kondensatorych - kondensatoremu
(odmiana słowa "kondensator" według MS Word 6.0)

do góry

"BK" news:211ed9f9-0e3d-4c03-bf55-dd6c3ee57289@s31g2000yq
s.googlegroups.com

> Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego,
> tzn. calkowite ubezwlasnowolnienie.

I jeżeli ktoś dodatkowo ma burdel na kompie, nie posiada FW itp. to sam jest
sobie winny.

do góry

Tomek Głowacki wrote:

> ikarek pisze:
>>> siedzi między użytkownikiem a przeglądarką...
>>
>> Za szybko pisałem ;) powinno być "siedzi między przeglądarką
>> a bankiem", tak wieć użytkownik dostaje na ekran to, co
>> wirus chce, a nie to co faktycznie zaszło w banku.
>
> No nie do końca, bo ci wirus z komórki nie przepisze hasła z powrotem do
> przeglądarki... ;)
>
> Jeśli nawet wirus w jakiś sposób zrobiłby przelew bez twojej wiedzy, to
> przyjście smsa na komórkę z hasłem zabezpiecza resztę.

popatrz na to z innej strony. niczego nieswiadomy klient loguje sie
do systemu, klika sobie przelew np. za telefon, a wirus podstawia
do banku koszyk przelewow. przychodzi sms, klient autoryzuje koszyk
o ktorym nie wie i pozamiatane. jesli w sms-ie bedzie szczegolowe
info o transakcjach, to mozna sie w pore zorientowac, jesli nie bedzie
detali to jestesmy w doopie - telefon zaplacony, reszta kasy na kajmanach.

do góry

Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil Jońca napisał(a):

> Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót"
> transakcji, i generowal ci na podstawie tego skrótu odpowiedź.

No to tutaj trojan też nic nie zdziała.

> Token GSM EB też generuje info o podpisywanej transakcji.

Hmmm jak on to robi, jakaś łączność z bankiem czy jak?

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

P.H. pisze:
>> Jak się przed takim czymś bronić?
>
> Hasła smsowe albo token.
> -------------------
>
> boszzzzzz
> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
> klikasz wyśli
> 2. dostajesz prośbę o hasło.
> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
> formatkę.
> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
> wprowadziłeś na formatkę.
> 5. w zależności od inwencji programisty dostajesz na ekran komunikat że
> jest przelew zrealizowano albo że nastąpił jakiśtam błąd.
>
> da sie??

Z tokenem się nie da - przynajmniej w BZWBK.

Wezwanie dla tokena jest fragmentem numeru konta na który przelewasz
pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena
trojan nie może wysłać kasy na inne konto.

Jeżeli podobnie jest z hasłami SMS, to też się nie da.

Hasła papierowe faktycznie mają tu słabość.


--
gonT
>>Trzeba się pilnować, bo inaczej ani się człowiek nie obejrzy, a już
zaczyna każdego żałować i w końcu nie ma komu w mordę dać.
(W. Wharton: Ptasiek)<<

do góry

xbartx <b...@h...net> writes:

> Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil Jońca napisał(a):
>
>> Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót"
>> transakcji, i generowal ci na podstawie tego skrótu odpowiedź.
>
> No to tutaj trojan też nic nie zdziała.
>
>> Token GSM EB też generuje info o podpisywanej transakcji.
>
> Hmmm jak on to robi, jakaś łączność z bankiem czy jak?

Nie.
Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena;
token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
10%) oraz początek i koniec konta, a następnie pyta czy się zgadza.
Jeśli tak, to wypluwa kod, który z kolei wpisujesz w przeglądarce.

KJ
--
The only thing worse than X Windows: (X Windows) - X

do góry