Dnia Mon, 6 Mar 2006 20:07:43 +0100, Vizvary II istvan napisał(a):
> "Fantom" <s...@S...poczta.onet.pl> wrote in message

>> Tak od jakiegos czasu sie nad tym zastanawiam i widze dwie slabosci
>> systemow
>> elektronicznej bankowosci :
> ...
>> Myle sie ?
>> Fantom

> Tak.

Niestety ma rację :(

Kanał telefoniczny to z reguły naprawdę _KANAŁ_... W większości banków jest
stałe, niezmienne hasło i pytania o najprostsze rzeczy typu adres, data
urodzenia, nazwisko panieńskie matki itd. :-/

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

> > 2) Podpinajac sie pod linie telefoniczna uzytkownika, moza latwo
przechwycic
> > PIN (w roznych bankach sa inaczej nazywne, inne dlugosci itp) do konta.
> > Dzieki znajomosci tej danej mozna wykonywac rozne operacje na koncie
>
> W mBanku nie podajesz całego kodu, tylko losowe liczby w stylu: 1-sza i
> 6-sta - tak więc całego kodu nie poznasz, chyba że będziesz bardzo długo
> podsłuchiwał ;)

to raptem jest 6 cyfr jak dobrze pamietam. Statystycznie maks 3 podsluchania
i znasz wszystkie

Fantom
ps. A w innych bankach to nawet chyab jeszcze prostsze

do góry

<s...@S...poczta.onet.pl> napisal(a):
>> > 2) Podpinajac sie pod linie telefoniczna uzytkownika, moza latwo
> przechwycic
>> > PIN (w roznych bankach sa inaczej nazywne, inne dlugosci itp) do konta.
>> > Dzieki znajomosci tej danej mozna wykonywac rozne operacje na koncie
>>
>> W mBanku nie podajesz całego kodu, tylko losowe liczby w stylu: 1-sza i
>> 6-sta - tak więc całego kodu nie poznasz, chyba że będziesz bardzo długo
>> podsłuchiwał ;)
>
> to raptem jest 6 cyfr jak dobrze pamietam. Statystycznie maks 3 podsluchania
> i znasz wszystkie

Gdzie Cię uczyli statystyki? :)
--
Samotnik
http://www.bizuteria-artystyczna.pl/

do góry

> >> > 2) Podpinajac sie pod linie telefoniczna uzytkownika, moza latwo
> > przechwycic
> >> > PIN (w roznych bankach sa inaczej nazywne, inne dlugosci itp) do
konta.
> >> > Dzieki znajomosci tej danej mozna wykonywac rozne operacje na koncie
> >>
> >> W mBanku nie podajesz całego kodu, tylko losowe liczby w stylu: 1-sza i
> >> 6-sta - tak więc całego kodu nie poznasz, chyba że będziesz bardzo
długo
> >> podsłuchiwał ;)
> >
> > to raptem jest 6 cyfr jak dobrze pamietam. Statystycznie maks 3
podsluchania
> > i znasz wszystkie
>
> Gdzie Cię uczyli statystyki? :)

Smiej sie dalej. Tak naprawde to wystarczy raz !! A potem zadzownic kilka
razy i czekac az zapyta akurat o te 3 z 6.

Fantom

do góry

Użytkownik "Fantom" <s...@S...poczta.onet.pl> napisał w wiadomości
news:dupnpn$a1n$1@nemesis.news.tpi.pl...

> > > to raptem jest 6 cyfr jak dobrze pamietam. Statystycznie maks 3
> podsluchania
> > > i znasz wszystkie
> >
> > Gdzie Cię uczyli statystyki? :)
>
> Smiej sie dalej. Tak naprawde to wystarczy raz !!

Tak, tak - totolotka też wystarczy raz puścić :-)

do góry

> Tak.
> Vizvary
>
>

Twoja odpowiedz niewiele wnosi (moze poza potwierdzeniem "ignoranctwa" w
kwesti w ktorej starasz sie wypowiedziec)

Poruszone tu kwestie sa istotne i chociaz na pierwszy rzut oka moga
wydawac sie banalne to ich istotnosc w dalszym ciagu pozostaje. Niestety
banki poniewaz chca byc wygodne takze te kwestie bagatelizuja mimo
zapewne istniejacych ( a moze nie dzialajacych do konca co pokazuje
raport o SSL2) wewnetrznych audytow. Problem z przesylaniem danych za
pomoca ktorych mozna zdrowo nabroic ( nie koniecznie ukrasc ale chociaz
skutecznie utrudniac zycie) otwartymi kanalami pozostaje tak stary jak
kwestia "szpiegowania" i istnial na dlugo przed era dostepu przez www do
bankow.

Jedyne co pozostaje to w ofercie bankow wybrac te, ktore naprawde
oferuja kilku-warstwowa polityke odnosnie potencjalnie niebezpiecznych
dzialan na koncie oraz blokowac kanaly dostepu "otwartego" jak np linia
telefoniczna. Dochodzi do tego naturalnie czesta zmiana hasel dostepu do
konta. Malo wygodne ? Albo bezpieczne albo wygodne.


Chociaz autor tego watku nie do konca wstrzelil sie z poprawnoscia
dotyczaca statystyki to jednak racja pozostaje, ze tak naprawde w
przypadku wyzej omawianym przy zalozeniu, ze bank nie blokuje kanalu
telefonicznego przy n-krotnej probie dostepu do konta przez telefon
wystarczy znac 2 podsluchane cyfry i probowac "do skutku", az przy
kolejnej probie powtorzy sie prosba wlasnie o te dwie.




P.

do góry

Uzytkownik "Piotr Kulinski" <p...@c...pl> napisal w wiadomosci
news:dv63mf$1k4$1@san.support-online.pl...
>
>> Tak.
>> Vizvary
>>
>>
>
> Twoja odpowiedz niewiele wnosi (moze poza potwierdzeniem "ignoranctwa" w
> kwesti w ktorej starasz sie wypowiedziec)
>
> Poruszone tu kwestie sa istotne i chociaz na pierwszy rzut oka moga
> wydawac sie banalne to ich istotnosc w dalszym ciagu pozostaje. Niestety
> banki poniewaz chca byc wygodne takze te kwestie bagatelizuja mimo
> zapewne istniejacych ( a moze nie dzialajacych do konca co pokazuje
> raport o SSL2) wewnetrznych audytow. Problem z przesylaniem danych za
> pomoca ktorych mozna zdrowo nabroic ( nie koniecznie ukrasc ale chociaz
> skutecznie utrudniac zycie) otwartymi kanalami pozostaje tak stary jak
> kwestia "szpiegowania" i istnial na dlugo przed era dostepu przez www do
> bankow.
>
> Jedyne co pozostaje to w ofercie bankow wybrac te, ktore naprawde
> oferuja kilku-warstwowa polityke odnosnie potencjalnie niebezpiecznych
> dzialan na koncie oraz blokowac kanaly dostepu "otwartego" jak np linia
> telefoniczna. Dochodzi do tego naturalnie czesta zmiana hasel dostepu do
> konta. Malo wygodne ? Albo bezpieczne albo wygodne.
>
>
> Chociaz autor tego watku nie do konca wstrzelil sie z poprawnoscia
> dotyczaca statystyki to jednak racja pozostaje, ze tak naprawde w
> przypadku wyzej omawianym przy zalozeniu, ze bank nie blokuje kanalu
> telefonicznego przy n-krotnej probie dostepu do konta przez telefon
> wystarczy znac 2 podsluchane cyfry i probowac "do skutku", az przy
> kolejnej probie powtorzy sie prosba wlasnie o te dwie.
>
>
>
>
No dobra mamy haslo logujemy sie do serwisu transakcyjnego -przelewu
dowolnego nie zrobimy -potrzebne haslo jednorazowe / SMS / Token wiec po co
to wszystko ?
- mamy telekod dzwonimy i próbujemy ukrasc troche kasy i wykonac przelew na
nasze konto (oczywiscie zalozone na falszywe papiery, dzwonimy z nie
zarejetrowanego telefonu zmienionym IMEI-) mamy do wyboru- zdefiniowanie
przelewu dowolnego i jego wykonanie -mozna zablokowac (w mBanku)
lub podyktowanie przelewu - to jest ten slaby punkt ? (mBank informuje
SMS'em ze ktos definuje lub wykonuje jakis przelew., w Rajfim mozna
zablokowac)
Pozdr- User

do góry