Wybrałem obrazek bezpieczeństwa w iPKO
o co chodzi?
wie ktoś?

do góry

Bolko pisze tak:

> Wybrałem obrazek bezpieczeństwa w iPKO
> o co chodzi? wie ktoś?


To taki gadżet dla dzieci Androida. Pokemon który pojawia się po każdym
podaniu numeru klienta. Pokemon jest przypisany do numeru klienta.
Fałszywa strona banku nie wie jaki to obrazek.

Taki duży kolorowy ostrzegacz dla tłumoków, żeby pochopnie nie wpisali
jeszcze złodziejom hasła.

--
Piter

w banku bądź czujny jak pies podwójny!

do góry

Użytkownik "PiteR" napisał w wiadomości grup
dyskusyjnych:XnsA6A57E0AA5818PanElektronik@localhost
.net...
Bolko pisze tak:
>> Wybrałem obrazek bezpieczeństwa w iPKO
>> o co chodzi? wie ktoś?

>To taki gadżet dla dzieci Androida. Pokemon który pojawia się po
>każdym
>podaniu numeru klienta. Pokemon jest przypisany do numeru klienta.
>Fałszywa strona banku nie wie jaki to obrazek.
>Taki duży kolorowy ostrzegacz dla tłumoków, żeby pochopnie nie
>wpisali
>jeszcze złodziejom hasła.


I na tlumackich hackerow - co za problem sprawdzic na stronie banku
jaki jest obrazek dla tego klienta ?

J.

do góry

J.F. pisze tak:

> Użytkownik "PiteR" napisał w wiadomości grup
> dyskusyjnych:XnsA6A57E0AA5818PanElektronik@localhost
.net...
> Bolko pisze tak:
>>> Wybrałem obrazek bezpieczeństwa w iPKO o co chodzi? wie ktoś?
>
>>To taki gadżet dla dzieci Androida. Pokemon który pojawia się po
>>każdym podaniu numeru klienta. Pokemon jest przypisany do numeru
>>klienta. Fałszywa strona banku nie wie jaki to obrazek.
>>Taki duży kolorowy ostrzegacz dla tłumoków, żeby pochopnie nie
>>wpisali jeszcze złodziejom hasła.
>
>
> I na tlumackich hackerow - co za problem sprawdzic na stronie
> banku jaki jest obrazek dla tego klienta ?


No siedzi tam sztab informerów lepszych zapewne niż w Biedronce.
To pewnie poeta miał coś na myśli.

--
Piter

w banku bądź czujny jak pies podwójny!

do góry

On 2016-10-18, J.F. <j...@p...onet.pl> wrote:

[...]

> I na tlumackich hackerow - co za problem sprawdzic na stronie banku
> jaki jest obrazek dla tego klienta ?

Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie.

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrno0f460.ake.wojciech.bancer@pl-test.
org...
On 2016-10-18, J.F. <j...@p...onet.pl> wrote:
[...]
>> I na tlumackich hackerow - co za problem sprawdzic na stronie banku
>> jaki jest obrazek dla tego klienta ?

>Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie.

Zawsze jakies, ale na oko - na pare godzin roboty hackera ... a potem
juz nic nie bedzie zabezpieczalo ...

J.

do góry

On 2016-10-19, J.F. <j...@p...onet.pl> wrote:

[...]

>> Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie.
> Zawsze jakies, ale na oko - na pare godzin roboty hackera ... a potem
> juz nic nie bedzie zabezpieczalo ...

Na oko. :)
To jest trudniejsze niż wygląda na pierwszy rzut oka.

No i pamiętaj, że to nie jest jedyne zabezpieczenie. W pewnym momencie
suma "zabezpieczeń" robi się na tyle duża, że cała operacja przestaje być
opłacalna.

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrno0f68t.ake.wojciech.bancer@pl-test.
org...
On 2016-10-19, J.F. <j...@p...onet.pl> wrote:
>>> Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie.
>> Zawsze jakies, ale na oko - na pare godzin roboty hackera ... a
>> potem
>> juz nic nie bedzie zabezpieczalo ...

>Na oko. :)
>To jest trudniejsze niż wygląda na pierwszy rzut oka.

Wersja a): od strony serwera polaczyc sie ze strona pko, wpisac
klienta, sciagnac obrazek i przekazac do udawanej strony.
Wada - moze zwrocic uwage na duza ilosc polaczen ze strony jednego
serwera - trzeba by rozrzucic po wielu komputerach.

Wersja b): zaprogramowac to w javascript strony. Skrypt z przegladarki
klienta polaczy sie do PKO, wpisze nr klienta, i pokaze otrzymany
obrazek.
Nie mowie ze sie uda, ale coz szkodzi sprawdzic.

J.

do góry

On 2016-10-19, J.F. <j...@p...onet.pl> wrote:

[...]

>>Na oko. :)
>>To jest trudniejsze niż wygląda na pierwszy rzut oka.
>
> Wersja a): od strony serwera polaczyc sie ze strona pko, wpisac
> klienta, sciagnac obrazek i przekazac do udawanej strony.
> Wada - moze zwrocic uwage na duza ilosc polaczen ze strony jednego
> serwera - trzeba by rozrzucic po wielu komputerach.

Zablokować połączenia bez sesji/ciacha od klienta, dorzucić kontrolnie
check nagłówków (user agent, przekierowania z CSRFem, zmieniać randomowo
kod HTML utrudniają automatyczne parsowanie kodu przez serwer).

> Wersja b): zaprogramowac to w javascript strony. Skrypt z przegladarki
> klienta polaczy sie do PKO, wpisze nr klienta, i pokaze otrzymany
> obrazek.

Zablokować połączenia AJAX (przeglądarki to wysyłają tak, że da się wykryć).
A to tylko takie prostsze rzeczy, które stosuje się zawsze. :)

I co zrobisz? :)

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrno0h4r3.kv3.wojciech.bancer@pl-test.
org...
On 2016-10-19, J.F. <j...@p...onet.pl> wrote:
>> Wersja b): zaprogramowac to w javascript strony. Skrypt z
>> przegladarki
>> klienta polaczy sie do PKO, wpisze nr klienta, i pokaze otrzymany
>> obrazek.

>Zablokować połączenia AJAX (przeglądarki to wysyłają tak, że da się
>wykryć).
>A to tylko takie prostsze rzeczy, które stosuje się zawsze. :)

>I co zrobisz? :)

Wyswietle komunikat "blad w trakcie odczytu strony", przekieruje
klienta do prawdziwej strony ... ale sobie zanotuje w bazie ktory
klient dal sie nabrac.
Wejde na strone banku recznie, wpisze jego id, zapamietam obrazek, i
dopisze do bazy falszywego serwera ze temu klientowi nastepny razem
ten obrazek sie pokaze.

I postaram sie podeslac mu ponownie falszywa strone. Raz sie nabral,
to moze i drugi raz sie nabierze.
Ale wtedy nie bedzie mial powodow nie wpisywac hasla :-)

Wymaga to troche obslugi recznej ... ale imo z duza szansa powodzenia.

J.

do góry