-
Data: 2005-05-13 08:22:59
Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
Od: f...@T...fiut.org (Franz) szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Paweł wrote:
> > No to numer mozliwy do wykonania raz, drugi, moze 10-ty.
> no w BPH zanim sie połapali to jednak trochę trwało
> zakładając nawet że BPH to poziom dna - mbankowi pewnie i tak
zajęłoby parę
> dni odkrycie sprawy,
No jesli jednego dnia kilku klientow zglosiloby ze nie moga wykonac zadnej
operacji to powinien byc alert dla security teamu - zbadanie co sie dzieje
zajeloby godziny.
> a przy zmasowanym ataku - gdyby udało się takiego trojana szybko i
masowo
> rozpowszechnić - np na tej grupie reklamując super kolejny program który
> pomaga zarządzać wydrukami z mbanku czy cos liczącego iban, pokazującego
> bank lub dowolny inny program finansowy- i już masz co najmniej
> kilkadziesiat osób które mają konto w mbanku i ściągną ten program
Od tego powinien byc security team zeby w godzine zbadac sytuacje w ktorej
nastepuja serie logowan na na te same konta z roznych IP lub z tego samego
IP na rozne konta.
Jesli w wyniku takigo screeningu okazuje sie ze jedno logowanie bylo z Wawy
a drugie z Chin to na 99% wiadomo ze ktos dziala przez proxy bynajmniej
nie w celach charytatywnych :))
> po 1-sze - żona ze swojej pracy, ja ze swojej wiele razy logowaliśmy
się
> równocześnie i przynajmniej mbank nie robił z tego powodu problemu
IMHO dziurka do wykorzystania w przypadku kolejnego ataku tych zlych
hiakerow... wykrywanie rownoczesnego logowania z roznych IP to chocby
podstawa zabezpieczenia roznych serwisow opartych na subskrypcji - admini
orientuja sie wtedy ze koles albo oszukuje (bo dal haselko 10-ciu osobom
za cene jednej subskrypcji) albo jego konto zostalo hackniete...
> po drugie logowanie nie musi być jednoczesne - znając wcześniej z
klawiatury
> Twój login i hasło, można przecież Twoją sesje
zakończyć i otworzyć nową +
> skorzystać z wpisanego przed momentem hasła jednorazowego do
jakiegoś
> przelewu
To sie wiaze z tym co wyzej - zgloszenia uzytkownikow + ciagle
monitorowanie logowan - nie mowcie mi ze tego sie nie da zrobic przy
pomocy banalnego analizatora logow ktory w sekundy wykryje ze po sesji o
10.10 ktos zaczal sesje o 10.20 z innego IP, inna przegladarka.
Sam korzystam z serwisu w ktorym moge sobie ustawic np. powiadamianie
mailem o kazdym moim logowaniu.
> a to fakt, to podniosłoby calkiem nieĽle bezpieczeństwo
> nie bierzesz tylko pod uwagę że bank to musi być produkt
masowy,
> łopatologiczny
Podejrzewam ze BPH teraz masowo udowodni ograbionym glupkom ze nie
zachowali nalezytych zasad bezpieczenstwa korzystania z serwisu i tyle.
> kiedyś wysyłałem klientom podpisane maile - po tym jak połowa
nie umiała
> otworzyc takiego listu dałem sobie spokój
Nie chodzi o szyfrowanie tylko o podpisywanie - np. maile z serwisu
hush.com mozesz podpisac PGP, odbiorca dostaje razem z majlem informacje
ze moze zweryfikowac ta wiadomosc uzywacac jedynie zabiegu copy+paste na
stronie hushtools.com
--
Franz
Następne wpisy z tego wątku
- 13.05.05 08:19 Piotr Hołda (usuń z adresu co niepotrzebne)
- 13.05.05 08:15 Jacek
- 13.05.05 08:24 S.T.
- 13.05.05 08:33 Franz
- 13.05.05 08:33 Piotr Hołda (usuń z adresu co niepotrzebne)
- 13.05.05 08:44 S.T.
- 13.05.05 09:16 inżynier Nowak
- 13.05.05 11:10 r...@a...net.pl
- 13.05.05 11:13 r...@a...net.pl
- 13.05.05 11:34 Marcin Kasperski
- 13.05.05 11:45 Michał 'Amra' Macierzyński
- 13.05.05 11:57 Marcin Kasperski
- 13.05.05 12:09 jureq
- 13.05.05 12:13 Marcin Lubojański
- 13.05.05 12:20 Rafał Krupiński
Najnowsze wątki z tej grupy
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
Najnowsze wątki
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...