eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiOgraniczyć phising...Re: Ograniczyć phising...
« poprzedni post
następny post »
  • Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.onet.pl!not-for-mail
    From: scream <n...@p...pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Ograniczyć phising...
    Date: Tue, 18 Dec 2007 20:52:22 +0100
    Organization: Onet.pl
    Lines: 53
    Message-ID: <1...@4...net>
    References: <j...@4...net>
    <m...@m...localdomain>
    NNTP-Posting-Host: chello084010156147.chello.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset="iso-8859-2"
    Content-Transfer-Encoding: 8bit
    X-Trace: news.onet.pl 1198007556 24138 84.10.156.147 (18 Dec 2007 19:52:36 GMT)
    X-Complaints-To: u...@n...onet.pl
    NNTP-Posting-Date: Tue, 18 Dec 2007 19:52:36 +0000 (UTC)
    X-Sender: b1FRey18Rjfr6sFC2XmCIS8xKFttorww
    User-Agent: 40tude_Dialog/2.0.15.1pl
    Xref: news-archive.icm.edu.pl pl.biznes.banki:432848
    [ ukryj nagłówki ]

    Dnia Tue, 18 Dec 2007 19:27:00 +0100, Krzysztof Halasa napisał(a):

    > Glownym problemem w przypadku phishingu jest taki, ze uzytkownik mysli,
    > ze korzysta z innego serwera niz jest w istocie. Zadne obrazki ani
    > czytniki linii papilarnych tego nie zmienia.

    Przeczytałeś w ogóle mój post? Jeśli nie ma obrazka, to wiadomo, że nie
    łączysz się ze stroną banku tylko z jakąś podróbą.

    Czytnik linii papilarnych łatwo oszukać domowymi sposobami, więc to akurat
    nie jest najlepsze rozwiązanie.

    > To, ze akurat istniejacy system podatny jest takze na inne "ataki"
    > (jednoczesnie z "man in the middle") tylko ulatwia prace oszustom,
    > ale nie zmienia glownego problemu.

    Aczkolwiek bardzo mocno utrudnia podrobienie strony banku.

    >> Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
    >> loginu oraz hasła. Teraz jest inaczej.
    > Problem w tym, by SSL nie byl wadliwie uzywany, a nie w braku obrazkow.

    Nie mam zastrzeżeń co do SSL, a jedynie zastrzeżenia do kombinacji
    login/hasło. To nie jest bezpieczna forma logowania.

    >> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
    >> phising.
    > Niczego nie eliminuje, bo stara sie rozwiazac cos w innym miejscu niz to,
    > w ktorym problem sie znajduje.

    Wyjaśnij więc jak byś podrobił stronę banku w takim przypadku. Trzeba by
    pobrać wszystkie dostępne obrazki logowania, następnie dowiedzieć się w
    jakiś sposób który obrazek wybrał użytkownik (jak? rozpoznając po dokładnym
    rozmiarze pliku?). Pozostaje nam jeszcze problem z podpisem obrazka. Aby go
    poznać trzeba by użyć keyloggera ZANIM użytkownik ustanowi zabezpieczenie
    dla konta, przechwytywać treść strony wysyłanej do użytkownika przez bank
    zakodowanej w SSL, albo włamać się do bazy danych banku. Przy czym po
    włamaniu do bazy banku sens traci pozyskiwanie danych konta pojedyńczego
    użytkownika. Tak czy inaczej bez instalacji trojana na danym komputerze
    raczej by się nie obeszło. No, ale to juz nie jest phishing.

    > To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
    > o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
    > elektrycznych urzadzen).

    MITM przy połączeniu kodowanym 128-bitowym SSLem? Jedynie jakiś bardzo
    sprytny trojan na komputerze usera, ale to nie phishing.

    --
    best regards,
    scream (at)w.pl
    Samobójcy są arystokracją wśród umarłych.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy