eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiRekordowy phishing w Polsce - skradziony 1 mln złRe: Rekordowy phishing w Polsce - skradziony 1 mln zł
  • Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.onet.pl!newsfeed.tpinternet.pl!
    nemesis.news.tpi.pl!news.tpi.pl!not-for-mail
    From: f...@T...fiut.org (Franz)
    Newsgroups: pl.biznes.banki
    Subject: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Date: Fri, 13 May 2005 08:22:59 +0000 (UTC)
    Organization: http://www.tpi.pl
    Lines: 78
    Message-ID: <d61o53$ehg$1@nemesis.news.tpi.pl>
    References: <d5tkom$5og$1@inews.gazeta.pl> <0...@n...onet.pl>
    <d5tq36$45u$1@inews.gazeta.pl> <d5v2bc$h9f$1@inews.gazeta.pl>
    <d5v2sa$kpo$1@inews.gazeta.pl> <d5v4j3$rv4$1@inews.gazeta.pl>
    <d5vdei$i52$1@inews.gazeta.pl> <d6057b$c1t$1@nemesis.news.tpi.pl>
    <c...@4...com>
    <d60a1j$dr7$1@nemesis.news.tpi.pl> <d60fge$d7p$1@inews.gazeta.pl>
    NNTP-Posting-Host: tau4.ceti.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=ISO-8859-2
    Content-Transfer-Encoding: 8bit
    X-Trace: nemesis.news.tpi.pl 1115972579 14896 62.121.128.14 (13 May 2005 08:22:59
    GMT)
    X-Complaints-To: u...@t...pl
    NNTP-Posting-Date: Fri, 13 May 2005 08:22:59 +0000 (UTC)
    Xref: news-archive.icm.edu.pl pl.biznes.banki:348363
    [ ukryj nagłówki ]

    Pawe&#322; wrote:

    > > No to numer mozliwy do wykonania raz, drugi, moze 10-ty.

    > no w BPH zanim sie po&#322;apali to jednak troch&#281; trwa&#322;o
    > zak&#322;adając nawet &#380;e BPH to poziom dna - mbankowi pewnie i tak
    zaj&#281;&#322;oby par&#281;
    > dni odkrycie sprawy,

    No jesli jednego dnia kilku klientow zglosiloby ze nie moga wykonac zadnej
    operacji to powinien byc alert dla security teamu - zbadanie co sie dzieje
    zajeloby godziny.

    > a przy zmasowanym ataku - gdyby uda&#322;o si&#281; takiego trojana szybko i
    masowo
    > rozpowszechni&#263; - np na tej grupie reklamując super kolejny program który
    > pomaga zarządza&#263; wydrukami z mbanku czy cos liczącego iban, pokazującego
    > bank lub dowolny inny program finansowy- i ju&#380; masz co najmniej
    > kilkadziesiat osób które mają konto w mbanku i ściągną ten program

    Od tego powinien byc security team zeby w godzine zbadac sytuacje w ktorej
    nastepuja serie logowan na na te same konta z roznych IP lub z tego samego
    IP na rozne konta.
    Jesli w wyniku takigo screeningu okazuje sie ze jedno logowanie bylo z Wawy
    a drugie z Chin to na 99% wiadomo ze ktos dziala przez proxy bynajmniej
    nie w celach charytatywnych :))


    > po 1-sze - &#380;ona ze swojej pracy, ja ze swojej wiele razy logowaliśmy
    si&#281;
    > równocześnie i przynajmniej mbank nie robi&#322; z tego powodu problemu

    IMHO dziurka do wykorzystania w przypadku kolejnego ataku tych zlych
    hiakerow... wykrywanie rownoczesnego logowania z roznych IP to chocby
    podstawa zabezpieczenia roznych serwisow opartych na subskrypcji - admini
    orientuja sie wtedy ze koles albo oszukuje (bo dal haselko 10-ciu osobom
    za cene jednej subskrypcji) albo jego konto zostalo hackniete...

    > po drugie logowanie nie musi by&#263; jednoczesne - znając wcześniej z
    klawiatury
    > Twój login i has&#322;o, mo&#380;na przecie&#380; Twoją sesje
    zako&#324;czy&#263; i otworzy&#263; nową +
    > skorzysta&#263; z wpisanego przed momentem has&#322;a jednorazowego do
    jakiegoś
    > przelewu

    To sie wiaze z tym co wyzej - zgloszenia uzytkownikow + ciagle
    monitorowanie logowan - nie mowcie mi ze tego sie nie da zrobic przy
    pomocy banalnego analizatora logow ktory w sekundy wykryje ze po sesji o
    10.10 ktos zaczal sesje o 10.20 z innego IP, inna przegladarka.
    Sam korzystam z serwisu w ktorym moge sobie ustawic np. powiadamianie
    mailem o kazdym moim logowaniu.


    > a to fakt, to podnios&#322;oby calkiem nie&#317;le bezpiecze&#324;stwo

    > nie bierzesz tylko pod uwag&#281; &#380;e bank to musi by&#263; produkt
    masowy,
    > &#322;opatologiczny

    Podejrzewam ze BPH teraz masowo udowodni ograbionym glupkom ze nie
    zachowali nalezytych zasad bezpieczenstwa korzystania z serwisu i tyle.


    > kiedyś wysy&#322;a&#322;em klientom podpisane maile - po tym jak po&#322;owa
    nie umia&#322;a
    > otworzyc takiego listu da&#322;em sobie spokój

    Nie chodzi o szyfrowanie tylko o podpisywanie - np. maile z serwisu
    hush.com mozesz podpisac PGP, odbiorca dostaje razem z majlem informacje
    ze moze zweryfikowac ta wiadomosc uzywacac jedynie zabiegu copy+paste na
    stronie hushtools.com


    --
    Franz


Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1