gont wrote:

> Czyli mój stary token rulez :)
>
> Czy w BZWBK dają/sprzedają teraz jeszcze tokeny?

jak sie klient indywidualny uprze, to za te bodajze 80pln mu wyrobia.

do góry

BK wrote:

> On Oct 1, 3:03 pm, xbartx <b...@h...net> wrote:
>> Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a):
>>
>> > Ja nie place zauafnymi. Nie mam zaufania :) :) :)
>>
>> No to w świetle zaistniałej sytuacji należy zweryfikować poziomy,
>> zaufania oczywiście ;)
>>
>> --
>> xbartx - Xperimental Biomechanical Android Responsible for Thorough
>> Xenocide
>
> W swietle tego trojana wychodzi na to, ze zdefiniowanie zaufanych
> przelewow zabezpiecza przed nim w 100%. Jak bede placil z konta tylko
> zaufanymi to mi trojan moze naskoczyc :)

no chyba, ze przy definiowaniu zaufanego trojan zrobi dobrze
z numerem konta ;)

do góry

"xbartx" <b...@h...net> wrote in message
news:ha29fm$e0h$12@inews.gazeta.pl...
> Dnia Thu, 01 Oct 2009 15:02:18 +0200, george napisał(a):
>
>
>> dobrze że ten trojan jeszcze nie gotuje przy okazji obiadu... george
>
> Kto wie? Z każdego przelewu automatycznie zamawia obiad swojemu twórcy ;)
>
> --
> xbartx - Xperimental Biomechanical Android Responsible for Thorough
> Xenocide

na szczęście kodowanie systemu raportowego banków w Polsce sie nie opłaca...
za dużo roboty / za małe kwoty na kontach żeby sie w to bawić.

Anyway, wykonywać przelewy zdefiniowane i koniec.

george

do góry

> w mBanku prosi(ł?) jeśli się jawnie przerwało.  W przypadku timeoutu nie
> wiem.

Jeśli się samemu przerwało, to to samo hasło posłuży do zatwierdzenia
innej operacji pod warunkiem, że będzie to w ramach tej samej sesji.
po wylogowaniu wiewykorzystane hasło przepada.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Dnia Thu, 01 Oct 2009 15:04:48 +0200, Kamil Jońca napisał(a):

>>> Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena;
>>> token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do
>>> 10%)
>> A te 10% to skąd ci się wzieło? Obcina grosze tylko.
> Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN?

Przy 9999,99 - kwota 9999 PLN (bez groszy)
Przy 10000,01 - kwota 10000-10010 PLN
Przy 10400,01 - kwota 10390-10400 PLN

Bardziej mi się bawić nie chce :).

--
Kojer

do góry

Dnia Thu, 01 Oct 2009 15:14:08 +0200, george napisał(a):


> na szczęście kodowanie systemu raportowego banków w Polsce sie nie
> opłaca... za dużo roboty / za małe kwoty na kontach żeby sie w to bawić.

No wiesz, kwestia skali, poza tym jak już będzie prototyp to na pewno
chętni i w pl się znajdą aby spróbować swoich sił, rynek nie lubi próżni,
nawet trojanowy rynek ;)

> Anyway, wykonywać przelewy zdefiniowane i koniec.

No hasła smsowe, które przed kodem, który należy wklepać w przeglądarce
podają kwotę przelewu i nr konta docelowego są IMO dosyć dobry
zabezpieczeniem. No i tokeny, które generują kod na podstawie ostatnich
kilku cyfr nr konta, na które się przelewa, są w tym przypadku 100%
zabezpieczeniem.


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

W dniu 2009-10-01 14:36, P.H. pisze:
>
> Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał
> w wiadomości news:1254400300.614105@bongos2.pseinfo.pl...
>> P.H. pisze:
>>
>>> boszzzzzz
>>> 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu.
>>> klikasz wyśli
>>> 2. dostajesz prośbę o hasło.
>>> 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na
>>> formatkę.
>>> 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które
>>> wprowadziłeś na formatkę.
>>> 5. w zależności od inwencji programisty dostajesz na ekran komunikat
>>> że jest przelew zrealizowano albo że nastąpił jakiśtam błąd.
>>>
>>> da sie??
>>
>> Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną
>> transakcję? Mówię o haśle smsowym czy tokenie.
>>
>> Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i
>> co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to
>> znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego.
>>
> weź rusz głową.
> nie drugiej transkacji tylko __zamiast__ Twojej.
> to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera
> banku.
> nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek
> odbiorcy i kwotę.
Eurobank generuje hasło w tokenie GSM przynajmniej na podstawie kwoty i
nr rachunku.

do góry

On 2009-10-01 13:09, Netx wrote:
> wirus wykradający hasła, w tym jednorazowe:
> http://tech.wp.pl/kat,1009785,title,URLzone-takiego-
trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc
.html?ticaid=18d7e
>
>
> Jak się przed takim czymś bronić?

Już nie działa:
http://www.scmagazineus.com/URLZone-touted-as-most-s
ophisticated-banking-trojan-yet/article/151096/

"Finjan discovered the hub used in the attack on Aug. 24, and it is
no longer running, Ben-Itzhak said. German law enforcement was
notified."


witrak()

do góry

On 2009-10-01 13:09, Netx wrote:
> wirus wykradający hasła, w tym jednorazowe:
> http://tech.wp.pl/kat,1009785,title,URLzone-takiego-
trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc
.html?ticaid=18d7e
>

Więcej informacji:
http://pindebit.blogspot.com/2009/09/urlzone-and-new
s.html

witrak()

do góry

On 1 Paź, 13:09, Netx <g...@g...pl> wrote:
> wirus wykradający hasła, w tym jednorazowe:http://tech.wp.pl/kat,1009785,title,URLz
one-takiego-trojana-jeszcze-n...
>
> Jak się przed takim czymś bronić?

Linux z wbudowaną przeglądarką odpalany z CD (czy DVD) - używany tylko
do operacji bankowych. Proste i skuteczne.

do góry