On Oct 1, 2:45 pm, xbartx <b...@h...net> wrote:
> Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisał(a):
>
> > Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i
> > odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i
> > jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak.
>
> No trochę trasa musi się wydłużyć. Jak robisz przelew za prąd to jest to
> krajowy czyli poza pl nie pójdzie, dobrze mówię? Poza tym zazwyczaj za
> prąd przelew jest zaufany, więc dupa. Także generalnie trzeba chyba
> przysiąść do konkretnego banku i do każdego inny trojan hłe hłe albo
> trojan będzie miał po prostu templatki ;)
>
>

Ja nie place zauafnymi. Nie mam zaufania :) :) :)

do góry

Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisał(a):

> Z tokenem się nie da - przynajmniej w BZWBK.
>
> Wezwanie dla tokena jest fragmentem numeru konta na który przelewasz
> pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena
> trojan nie może wysłać kasy na inne konto.
>
> Jeżeli podobnie jest z hasłami SMS, to też się nie da.

No niekoniecznie. Tak jak pisałem. Wpisujesz nr konta ale trojan go
podmienia na swój, więc jak dostaniesz hasło to jest on już wygenerowane
na podstawie nr konta, który wstawił trojan. Jedyna szansa, że popatrzysz
nr konta lub kwotę i wyłapiesz. Jest tutaj pewna zaleta kodów sms, bo
hasło jest zazwyczaj na końcu razem z kwotą przelewu, więc łatwo to
wyłapać IMO.

> Hasła papierowe faktycznie mają tu słabość.

No i token, które po prostu tylko generują kody a są odblokowywane na PIN.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):

> Nie.
> Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena;
> token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
> 10%) oraz początek i koniec konta, a następnie pyta czy się zgadza.
> Jeśli tak, to wypluwa kod, który z kolei wpisujesz w przeglądarce.

Dzięki, bo nie wiedziałem jak to działa. Myślałem, że token po prostu
generuje kolejne kody. W takim razie jest to na pewno jakieś
zabezpieczenie, no chyba że twórca trojana zrobi wersję dla EB gdzie
trojan będzie przycinał właśnie te 10% ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):

>>> Token GSM EB też generuje info o podpisywanej transakcji.
>> Hmmm jak on to robi, jakaś łączność z bankiem czy jak?
> Nie.
> Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena;
> token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
> 10%)

A te 10% to skąd ci się wzieło? Obcina grosze tylko.

--
Kojer

do góry

"Netx" <g...@g...pl> wrote in message
news:ha22m8$26o$1@inews.gazeta.pl...
> wirus wykradający hasła, w tym jednorazowe:
> http://tech.wp.pl/kat,1009785,title,URLzone-takiego-
trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc
.html?ticaid=18d7e
>
> Jak się przed takim czymś bronić?

dobrze że ten trojan jeszcze nie gotuje przy okazji obiadu...
george

do góry

Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a):

> Ja nie place zauafnymi. Nie mam zaufania :) :) :)

No to w świetle zaistniałej sytuacji należy zweryfikować poziomy,
zaufania oczywiście ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Robert Kois <k...@h...pl> writes:

> Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):
>
>>>> Token GSM EB też generuje info o podpisywanej transakcji.
>>> Hmmm jak on to robi, jakaś łączność z bankiem czy jak?
>> Nie.
>> Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena;
>> token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
>> 10%)
>
> A te 10% to skąd ci się wzieło? Obcina grosze tylko.

Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN?
Kj

--
Anyone can make an omelet with eggs. The trick is to make one with none.

do góry

Dnia Thu, 01 Oct 2009 15:02:18 +0200, george napisał(a):


> dobrze że ten trojan jeszcze nie gotuje przy okazji obiadu... george

Kto wie? Z każdego przelewu automatycznie zamawia obiad swojemu twórcy ;)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

On Oct 1, 3:03 pm, xbartx <b...@h...net> wrote:
> Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a):
>
> > Ja nie place zauafnymi. Nie mam zaufania :) :) :)
>
> No to w świetle zaistniałej sytuacji należy zweryfikować poziomy,
> zaufania oczywiście ;)
>
> --
> xbartx - Xperimental Biomechanical Android Responsible for Thorough
> Xenocide

W swietle tego trojana wychodzi na to, ze zdefiniowanie zaufanych
przelewow zabezpiecza przed nim w 100%. Jak bede placil z konta tylko
zaufanymi to mi trojan moze naskoczyc :)

do góry

xbartx pisze:
> Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisał(a):
>
>> Z tokenem się nie da - przynajmniej w BZWBK.
>>
>> Wezwanie dla tokena jest fragmentem numeru konta na który przelewasz
>> pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena
>> trojan nie może wysłać kasy na inne konto.
>>
>> Jeżeli podobnie jest z hasłami SMS, to też się nie da.
>
> No niekoniecznie. Tak jak pisałem. Wpisujesz nr konta ale trojan go
> podmienia na swój, więc jak dostaniesz hasło to jest on już wygenerowane
> na podstawie nr konta, który wstawił trojan. Jedyna szansa, że popatrzysz
> nr konta lub kwotę i wyłapiesz. Jest tutaj pewna zaleta kodów sms, bo
> hasło jest zazwyczaj na końcu razem z kwotą przelewu, więc łatwo to
> wyłapać IMO.
>

Racja - o tym nie pomyślałem.

Czyli mój stary token rulez :)

Czy w BZWBK dają/sprzedają teraz jeszcze tokeny? Moja siostra niedawno
zakładała konto i domyślnie już ma korzystanie z haseł SMS. Co gorsza
SMS-em przychodzi tylko numer do wpisania - nic więcej.


--
gonT
>>Trzeba się pilnować, bo inaczej ani się człowiek nie obejrzy, a już
zaczyna każdego żałować i w końcu nie ma komu w mordę dać.
(W. Wharton: Ptasiek)<<

do góry