On 2019-08-20, Kris <k...@g...com> wrote:

[...]

>> Chcę zrobić przelew, w znakomitej większości korzystam ze
>> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
>> w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
>> wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
>> nie tak?
>
> Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak
wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie
tak

Napisanie "proxy" które będzie pobierało dane ze strony banku
to nie jest jakaś skomplikowana rzecz. W pierwszym kroku zawsze podajesz
login i hasło, więc wyczytanie tych informacji to dość trywialna
sprawa. Kwestia tylko i wyłącznie tego jak porządnie ktoś przygotuje
się do działania pod konkretny bank.

Pozatym ostatnie wektory ataku to są ataki nie bezpośrednio
na konto, tylko bardziej udające strony do płatności online.
Tam to już w ogóle jest łatwiej, bo przecież masz tylko
dwa ekrany:

- formatka do loginu i hasła
- stronę do autoryzacji transakcji

I jedyne miejsce gdzie możesz wychwycić że coś się nie
zgadza, to komunikat autoryzacyjny w SMS lub Push,
bo na ekranie Ci się wszystko będzie zgadzać.

--
Wojciech Bańcer
w...@g...com