Re: Haker ukradł z konta 650 tys. zł, bank umywa ręce

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Haker ukradł z konta 650 tys. zł, bank umywa ręce › Re: Haker ukradł z konta 650 tys. zł, bank umywa ręce

Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.nask.pl!new
s.nask.org.pl!newsfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!not-for-m
ail
From: Cyneq <c...@n...com>
Newsgroups: pl.biznes.banki
Subject: Re: Haker ukradł z konta 650 tys. zł, bank umywa ręce
Date: Thu, 29 Jun 2006 10:53:36 +0200
Organization: tp.internet - http://www.tpi.pl/
Lines: 36
Message-ID: <e8049g$fgf$1@atlantis.news.tpi.pl>
References: <e7r9bt$5oj$1@news.onet.pl> <e7rhmh$2l5$1@atlantis.news.tpi.pl>
<e7rj22$7eo$1@atlantis.news.tpi.pl> <e7tpvk$ivd$1@nemesis.news.tpi.pl>
<e7vtua$m72$1@atlantis.news.tpi.pl>
NNTP-Posting-Host: host-ip244-226.crowley.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: atlantis.news.tpi.pl 1151571056 15887 62.111.226.244 (29 Jun 2006 08:50:56
GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Thu, 29 Jun 2006 08:50:56 +0000 (UTC)
User-Agent: Thunderbird 1.5.0.4 (Windows/20060516)
In-Reply-To: <e7vtua$m72$1@atlantis.news.tpi.pl>
Xref: news-archive.icm.edu.pl pl.biznes.banki:389561
[ ukryj nagłówki ]

Miroo napisał(a):
> Użytkownik "Cyneq" <c...@n...com> napisał w wiadomości
> news:e7tpvk$ivd$1@nemesis.news.tpi.pl...
>
>> Robię kawałek programu, który "udaje" bank lokalnie (trzeba tylko
>> nieco oszukać przeglądarkę co do adresu i obecności certyfikatu).
>> Zbieram hasła jednorazowe (np. z listy mbanku) przez jakiś czas. Przy
>> zrobieniu jednego przelewu gość się nie zorientuje że saldo mu się
>> naprawdę w banku niezmieniło, a mam w ręku hasło które mogę użyć (z
>> punktu widzenia mbanku "pierwsze ważne z listy").
>
> Tak to działa w mBanku?
> W Pekao SA system banku losowo wskazuje nr kodu na liście który (kod)
> trzeba podać. To jest pewne utrudnienie bo:
> - musisz zażądać na swojej atrapie strony kod o jakimś konkretnym numerze
> - jak masz szczęście, to nie będzie on jeszcze zużyty, jeśli nie masz
> szczęście to właściciel konta dzwoni do banku, że go proszą drugi raz o ten
> sam numerek i sprawa wychodzi szybko na jaw.

No własnie mbank leci po kolei.
Dlatego metoda z atrapą może zadziałać. Przechwycony kod jest jak
najbardziej do użycia przy najbliższej transakcji.

> - potem musisz tyle razy inicjować wykonanie przelewu, aż w końcu
> bank trafi w twój numerek
> Wszystko oczywiście wykonalne, ale sprawa robi się bardziej upierdliwa
> i mniej pewna (element losowy zużyty-niezużyty).

Też mi się ta wersja bardziej podoba, jest trochę lepsza. Sprowadza się
to w zasadzie do metody "zapytanie-odpowiedź" chociaż z mniejsza ilością
kombinacji niż np. 6 cyfrowy token.

--
Cyneq