eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiRekordowy phishing w Polsce - skradziony 1 mln zł
Ilość wypowiedzi w tym wątku: 133

  • 61. Data: 2005-05-13 08:15:06
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mlnzł
    Od: "Jacek" <j...@p...onet.pl>

    > Hm, nawet nieźle... ponoć zwinęli 1 000 000 zł.

    Tak się podepnę, żeby pogratulowć AMRZE krótkiego wstępniaka z dzisiejszego
    newslettera - to zdecydowanie coś innego niż komunikaty prasowe banków :-)
    Jak tak dalej pójdzie, to spędzę dużo czasu odszczekując pod stołem kalumnie :-(

    Pozdrawiam
    Jacek


    --
    Wysłano z serwisu OnetNiusy: http://niusy.onet.pl


  • 62. Data: 2005-05-13 08:19:14
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Od: "Piotr Hołda (usuń z adresu co niepotrzebne)" <p...@w...pl>

    Jacek Wojaczyński napisał(a):
    > W sensie bezpieczeństwa? To pewnie niczym.
    > Bardziej chodziło mi o to, że z mBanku to jest taka płachta papieru, którą
    > niewygodnie trzyma się w portfelu...

    Aaaa! To o to chodzi :) Fakt. Ja swoją przycinam, zostawiając tylko to,
    co istotne. Mieści się wtedy w każdym standardowym portfelu.

    --
    Pozdrawiam
    Piotr Hołda


  • 63. Data: 2005-05-13 08:22:59
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Od: f...@T...fiut.org (Franz)

    Pawe&#322; wrote:

    > > No to numer mozliwy do wykonania raz, drugi, moze 10-ty.

    > no w BPH zanim sie po&#322;apali to jednak troch&#281; trwa&#322;o
    > zak&#322;adając nawet &#380;e BPH to poziom dna - mbankowi pewnie i tak
    zaj&#281;&#322;oby par&#281;
    > dni odkrycie sprawy,

    No jesli jednego dnia kilku klientow zglosiloby ze nie moga wykonac zadnej
    operacji to powinien byc alert dla security teamu - zbadanie co sie dzieje
    zajeloby godziny.

    > a przy zmasowanym ataku - gdyby uda&#322;o si&#281; takiego trojana szybko i
    masowo
    > rozpowszechni&#263; - np na tej grupie reklamując super kolejny program który
    > pomaga zarządza&#263; wydrukami z mbanku czy cos liczącego iban, pokazującego
    > bank lub dowolny inny program finansowy- i ju&#380; masz co najmniej
    > kilkadziesiat osób które mają konto w mbanku i ściągną ten program

    Od tego powinien byc security team zeby w godzine zbadac sytuacje w ktorej
    nastepuja serie logowan na na te same konta z roznych IP lub z tego samego
    IP na rozne konta.
    Jesli w wyniku takigo screeningu okazuje sie ze jedno logowanie bylo z Wawy
    a drugie z Chin to na 99% wiadomo ze ktos dziala przez proxy bynajmniej
    nie w celach charytatywnych :))


    > po 1-sze - &#380;ona ze swojej pracy, ja ze swojej wiele razy logowaliśmy
    si&#281;
    > równocześnie i przynajmniej mbank nie robi&#322; z tego powodu problemu

    IMHO dziurka do wykorzystania w przypadku kolejnego ataku tych zlych
    hiakerow... wykrywanie rownoczesnego logowania z roznych IP to chocby
    podstawa zabezpieczenia roznych serwisow opartych na subskrypcji - admini
    orientuja sie wtedy ze koles albo oszukuje (bo dal haselko 10-ciu osobom
    za cene jednej subskrypcji) albo jego konto zostalo hackniete...

    > po drugie logowanie nie musi by&#263; jednoczesne - znając wcześniej z
    klawiatury
    > Twój login i has&#322;o, mo&#380;na przecie&#380; Twoją sesje
    zako&#324;czy&#263; i otworzy&#263; nową +
    > skorzysta&#263; z wpisanego przed momentem has&#322;a jednorazowego do
    jakiegoś
    > przelewu

    To sie wiaze z tym co wyzej - zgloszenia uzytkownikow + ciagle
    monitorowanie logowan - nie mowcie mi ze tego sie nie da zrobic przy
    pomocy banalnego analizatora logow ktory w sekundy wykryje ze po sesji o
    10.10 ktos zaczal sesje o 10.20 z innego IP, inna przegladarka.
    Sam korzystam z serwisu w ktorym moge sobie ustawic np. powiadamianie
    mailem o kazdym moim logowaniu.


    > a to fakt, to podnios&#322;oby calkiem nie&#317;le bezpiecze&#324;stwo

    > nie bierzesz tylko pod uwag&#281; &#380;e bank to musi by&#263; produkt
    masowy,
    > &#322;opatologiczny

    Podejrzewam ze BPH teraz masowo udowodni ograbionym glupkom ze nie
    zachowali nalezytych zasad bezpieczenstwa korzystania z serwisu i tyle.


    > kiedyś wysy&#322;a&#322;em klientom podpisane maile - po tym jak po&#322;owa
    nie umia&#322;a
    > otworzyc takiego listu da&#322;em sobie spokój

    Nie chodzi o szyfrowanie tylko o podpisywanie - np. maile z serwisu
    hush.com mozesz podpisac PGP, odbiorca dostaje razem z majlem informacje
    ze moze zweryfikowac ta wiadomosc uzywacac jedynie zabiegu copy+paste na
    stronie hushtools.com


    --
    Franz



  • 64. Data: 2005-05-13 08:24:35
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mlnzł
    Od: "S.T." <n...@p...onet.pl>

    > >> Kartę kodów z Inteligo mam zawsze przy
    > >> sobie w portfelu. Nie wyobrażam sobie trzymania cały czas przy sobie
    > >> karty kodów z mBanku.
    > > A to ciekawe. Możesz wyjaśnić czemu?
    > > Czym się różni skradziona karta-zdrapka od skradzionej karty mBanku?
    >
    > W sensie bezpieczeństwa? To pewnie niczym.
    > Bardziej chodziło mi o to, że z mBanku to jest taka płachta papieru, którą
    > niewygodnie trzyma się w portfelu...

    Hmmm, ja jakoś nie mogę dostrzec żadnych zalet zdrapki,
    (poza estetycznymi, może się komuś bardziej podobać)
    lista z mBanku złożona wpół jest mniejsza od karty,
    z 10 razy cieńsza, co ostotne, bo przy większej ilości
    kart portfel paskudnie pęcznieje, no i nie brudzi,
    a dodatkowo w razie napadu łatwiej ją ... zjeść ;-)

    --
    Wysłano z serwisu OnetNiusy: http://niusy.onet.pl


  • 65. Data: 2005-05-13 08:33:52
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Od: "Piotr Hołda (usuń z adresu co niepotrzebne)" <p...@w...pl>

    Bartol Partol napisał(a):
    > W ogole nie pisze programow. Ja mysle. :-P

    Właściwie nie musiałeś tego pisać. Można to było wyczytać, między
    wierszami, z Twoich poprzednich postów w tym wątku. Tylko, skoro się na
    tym nie znasz, czemu z takim uporem bronisz swojej błędnej tezy o
    niemożliwości napisania trojana, przeznaczonego dla mBanku? To już
    zakrawa na mitomanię :)

    Wszystko co opisał Paweł jest jak najbardziej możliwe do zrobienia.
    Powiem więcej: Większość gotowych komponentów takiego trojana można
    znaleźć gotowych w sieci. Nie będę tutaj przytaczał źródeł, bo ten wątek
    zaczyna powoli przypominać instrukcję, jak takiego trojana napisać :)

    Dla mnie dużo ciekawszym zagadnieniem jest konstrukcja psychiczna
    osobnika, który to robi. Musi być na tyle inteligentny, żeby stworzyć
    nietrywialny program, na tyle sprytny i przedsiębiorczy, żeby to
    wszystko zorganizować (lewe konta) i jednocześnie na tyle głupi, żeby
    sądzić że nie pójdzie na kilka albo kilkanaście lat za kratki. I
    wreszcie: Z takimi umiejętnościami nie potrafi sobie znaleźć legalnej,
    dobrze płatnej pracy.

    --
    Pozdrawiam
    Piotr Hołda


  • 66. Data: 2005-05-13 08:33:57
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Od: f...@T...fiut.org (Franz)

    PshemeK wrote:

    > BPH ma klawiatury wirtualne. Zarówno przy logowaniu, jak i przy
    > podpisywaniu zlecenia.
    > Tyle, &#380;e prawdopodobnie ma&#322;o kto z tego korzysta...

    Pic na wode ta klawiaturka.
    Znaki nie sa rozmieszczane losowo, znaczenie klawiszy nie jest losowo
    przypisywane klawiszom, kod strony jest jawny.
    Hiakier kiedy przygladnie sie dzialaniu skrypu ze strony
    https://www.bph.pl/pi/0/keyboard.html w try miga napisze trojana ktory
    bedzie analizowal jakie 'wiryalne klawisze' zostaly nacisniete.

    --
    Franz



  • 67. Data: 2005-05-13 08:44:34
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Od: "S.T." <n...@p...onet.pl>

    > > Nikt (nawet Bartol;-)) nie twierdzi, że się nie da.
    > > Tylko który "logiczny, precyzyjnie myślący" programista
    > > będzie się niepotrzebnie męczył z włamywaniem do banku
    > > wymagającego haseł jednorazowych, skoro pod nosem ma
    > > takie kfiatki jak BPH czy Citi?
    >
    > To ja ci podpowiem - samo hasło możesz co najwyżej w wordzie wysłać
    > jako laurkę.

    Jednorazowe?
    Komu i po co?
    I czemu samo?
    Do czego w koncu ma być ta podpowiedź,
    skoro tu wcześniej nikt nie miał żadnych wątpliwości,
    że _samo_ hasło (jednorazowe) nic nie znaczy?

    --
    Wysłano z serwisu OnetNiusy: http://niusy.onet.pl


  • 68. Data: 2005-05-13 09:16:59
    Temat: [OT] Prnews o zabezpieczeniach
    Od: "inżynier Nowak" <n...@W...gazeta.pl>

    Jacek <j...@p...onet.pl> napisał(a):


    > Tak się podepnę, żeby pogratulowć AMRZE krótkiego wstępniaka z dzisiejszego
    > newslettera - to zdecydowanie coś innego niż komunikaty prasowe banków :-)
    >

    To ja sie - dla odmiany - przyczepie (do tego wstepniaka): jakiz
    to "przecientny klient" banku nie odczuje straty 10k zlotych? :-p

    --
    Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/


  • 69. Data: 2005-05-13 11:10:55
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Od: "r...@a...net.pl" <r...@a...net.pl>

    Fri, 13 May 2005 09:44:09 +0200, w <d61loi$447$1@news.onet.pl>, Paweł Korobczak
    <P...@p...onet.pl> napisał(-a):

    > Czy razem ze mną przegląda moją
    > aktywność na stronach transakcyjnych?

    Oczywiście, dla programisty to jest niemalże banalne.

    > Tak sobie gdybam: czy mB nie śledzi IP uzytkownika w czasie dokonywania
    > transakcji?

    Nie.


  • 70. Data: 2005-05-13 11:13:17
    Temat: Re: Rekordowy phishing w Polsce - skradziony 1 mln zł
    Od: "r...@a...net.pl" <r...@a...net.pl>

    Fri, 13 May 2005 08:43:43 +0200, w <d61i5m$34b$1@inews.gazeta.pl>, Marcin
    Lubojański <marcin.lubojanski_usun_to@i_to_tez.gmail.com> napisał(-a):

    > Pomysł dobry, wykonanie gorsze. Po jednym dniu trzymania tego w portfelu
    > wszystko miałem uświnione tym "sreberkiem" a większość haseł i tak widoczna.

    Heh, ja włożyłem zdrapkę do zmywarki, a i tak nie zmyło się :)

strony : 1 ... 6 . [ 7 ] . 8 ... 14


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1