Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
bezpieczństwa...

Prosty scenariusz:
Pewien klient daje się złapać na phishingu - wchodzi na jakąś podejrzaną
strone myśląc, że to strona jego banku, ale nieświadom niebezpieczeństwa
loguje się i dokonuje pewnej tranzakcji. Podejrzana strona, to nie jakiś
prosty formularz do wyciągania haseł, ale bardziej wyrafinowany system
oszusta. Otoż, ten system równocześnie symuluje działanie klienta na
prawdziwej stronie banku:
1) klient loguje sie na stronie oszusta
2) system oszusta, przy użyciu właśnie uzyskanych danych loguje się na
prawdziwą strone banku
(system oszusta może nawet pokazać błąd w przypadku błędnego logowania)
3) klient chce dokonać tranzakcji - wypełnia stosowny formularz i przesyła
go do strony oszusta
4) system oszusta przekazuje te dane na prawdziwą stronę banku zmieniając
jedynie numer konta oraz kwote przelewu
5) system bankowy odpowiada prośbą o podanie hasła jednorazowego, bądź
(kiedy używamy tokena) generuje liczbę, która trzeba wpisać w token. System
bankowy w tym momencie prawdopodobnie bedzie przesyłał również szczegóły
przelewu (tak żeby klient sobie zobaczył, czy sie nie pomylił, no i w
efekcie potwierdził tranzakcje)
6) system oszusta, przekazuje prośbe do przeglądarki klienta (jeśli
potrzebne zmienia informacje o numerze konta i kwocie na prawidłowe)
7) klient wpisuje hasło jednorazowe / liczbę otrzymaną z tokena i wysyła
8) system oszysta przekazuje to dalej - do banku i przelew został
potwierdzony.

O ile hasła jednorazowe nie wymagają tworzenia systemu, który działa "w
locie", to tokeny już tak, bo liczby przez nie generowane mają swój limit
ważności czasowej.

pozdr.
kx

do góry

Użytkownik "kx" <n...@o...pl> napisał w wiadomości
news:d6587n$jm2$1@nemesis.news.tpi.pl...

> O ile hasła jednorazowe nie wymagają tworzenia systemu, który działa
"w
> locie", to tokeny już tak, bo liczby przez nie generowane mają swój
limit
> ważności czasowej.

o ile się nie mylę, to zapytanie do tokena jest generowane na podstawie
wyliczeń z treści dyspozycji. W konsekwencji jak prześlesz co innego do
banku, to i inne zapytanie zostanie zwrócone, inny będzie wynik z tokena
i w banku nie zadziała.

do góry

Robert Tomasik wrote:
> Użytkownik "kx" <n...@o...pl> napisał w wiadomości
> news:d6587n$jm2$1@nemesis.news.tpi.pl...

> o ile się nie mylę, to zapytanie do tokena jest generowane na
> podstawie wyliczeń z treści dyspozycji. W konsekwencji jak prześlesz
> co innego do banku, to i inne zapytanie zostanie zwrócone, inny
> będzie wynik z tokena i w banku nie zadziała.

No ale bank przesle ciag wygenerowany na podstawie dyspozycji oszusta (z
podmienionym juz numerem konta).
System oszusta przekaze wiec do banku wlasciwa odpowiedz tokena!!!! Klient
nei bedzie wiedzial, ze bez posrednictwa oszustow zapytanie byloby inne, bo
i skad?
- aby sie przed tym zabezpieczyc, nalezaloby numer rachunku i kwote
wpisywac takze i w tokenie.

Pozdrawiam
SDD

do góry

Użytkownik "SDD" <s...@t...wszechwiedza.pl> napisał w wiadomości
news:d658he$a5a$1@news.onet.pl...

> No ale bank przesle ciag wygenerowany na podstawie dyspozycji oszusta
(z
> podmienionym juz numerem konta).
> System oszusta przekaze wiec do banku wlasciwa odpowiedz tokena!!!!
Klient
> nei bedzie wiedzial, ze bez posrednictwa oszustow zapytanie byloby
inne, bo
> i skad?
> - aby sie przed tym zabezpieczyc, nalezaloby numer rachunku i kwote
> wpisywac takze i w tokenie.

Faktycznie, nie pomyślałem o tym. Powinno zadziałać. Rozwiązanie z
wpisywaniem numeru rachunku w token było by bez wątpienia
bezpieczniejsze, choć bardziej uciążliwe.

do góry

kx wrote:
> Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
> bezpieczństwa...
>
a wystarczy tylko spojrzeć na certyfikat strony, żeby się zorientować,
że nie jest się na stronie banku, tylko na jakiejś totalnie innej.
Podrobić certyfikat banku już nie jest tak prostu.

do góry

Sat, 14 May 2005 12:01:15 -0500, w <d65asr$qsu$1@inews.gazeta.pl>, witek
<w...@g...pl.spam.invalid> napisał(-a):

> kx wrote:
> > Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
> > bezpieczństwa...
> >
> a wystarczy tylko spojrzeć na certyfikat strony, żeby się zorientować,
> że nie jest się na stronie banku, tylko na jakiejś totalnie innej.
> Podrobić certyfikat banku już nie jest tak prostu.

Wystarczyłoby (no, bardzo mocno utrudniło i ograniczyło) żeby np. mBank nie
pytał drugi raz o to samo hasło jednorazowe...

No, ale na to fachowcy z tego banku muszą najpierw wpaść.

do góry

W artykule news:d658df$kfb$1@nemesis.news.tpi.pl grupowicz Robert Tomasik
napisał:

> o ile się nie mylę, to zapytanie do tokena jest generowane na podstawie
> wyliczeń z treści dyspozycji.

what ? ;-)


--
S pozdravem,
August

do góry

Robert Tomasik wrote:
>
> o ile się nie mylę, to zapytanie do tokena jest generowane na
> podstawie wyliczeń z treści dyspozycji.

Nie wiem jakie tokeny masz na myśli, bo tokena RSA SecurID nie da się o nic
zapytać - wyświetla sam z siebie ;-)

do góry

kx napisał(a):
> Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
> bezpieczństwa...
>
> Prosty scenariusz:
> Pewien klient daje się złapać na phishingu - wchodzi na jakąś podejrzaną
> strone myśląc, że to strona jego banku, ale nieświadom niebezpieczeństwa
> loguje się i dokonuje pewnej tranzakcji. Podejrzana strona, to nie jakiś
> prosty formularz do wyciągania haseł, ale bardziej wyrafinowany system
> oszusta. Otoż, ten system równocześnie symuluje działanie klienta na
> prawdziwej stronie banku:

W tych bankach internetowych, w których mam/miałem konta (Inteligo,
mBank, e-Integrum BGŻ) zaraz po wejściu pierwsze co widzę to stan mojego
rachunku. Widzę jego nazwę, numer i stan. Oszuści musieliby mieć już te
dane, żeby dla mojego identyfikatora je przygotować w tym 'wyrafinowanym
systemie' ;-) i to przy założeniu, że atakowaliby konkretną osobę, a
jeżeli dla wszystkich klientów to chyba dane musieliby ukraść z systemu
banku, a skoro już by się tam włamali, to po cholerę podrabiać stronę,
skoro wystarczyłoby znaleźć pełne konto i je opróżnić :-) Inna opcja
jest taka, że wystawiliby stronę z jednym zestawem danych, licząc na
debilizm klientów. I, soory, ale jeżeliby w ten sposób udałoby im się
cokolwiek ukraść to faktycznie z konta skończonego kretyna ;-)


--
"- Why do they call him a bullet dodger?
- Because he dodges bullets, Avi." (Snatch)

do góry

> W tych bankach internetowych, w których mam/miałem konta (Inteligo,
> mBank, e-Integrum BGŻ) zaraz po wejściu pierwsze co widzę to stan mojego
po wejściu tzn. po zalogowaniu ? bo jeżeli tak, to aplikacja oszusta
zaloguje się na strone banku - uda ciebie używając własnie otrzymane od
ciebie dane (login i haslo), odbierze dane, które wyskoczą po zalogowaniu i
prześle ci na przeglądarke - nic nie zauważysz (może jedynie to, że strona
załaduje się troche wolniej).

> [ciah...]
Możesz jaśniej ? Albo ja ciebie nie rozumiem, albo ty mnie.

A wyobraź sobie kolejną sytuacje:
Załóżmy, że ty masz bezpieczny komputer (oprogramowanie antywirusowe oraz
system regularnie updatowany, nie ściągasz żadnych śmieci z netu, itd...).
Co więcej, jesteś rozsądnym użytkownikiem - nie dasz się złapać na phishing.
Bank również jest całkowicie bezpieczny - ma dobrych adminów. Ale twój
provider wałki wali, albo oszut wpierniczył mu sie na serwer i on tym nie
wie. Zamiast routować pakiety z twojej przeglądarki do serwera banku cała
transmisja jest odbierana przez oszusta, który napisał aplikacje udającą
stronę banku. Tak samo bank myśli, że 'rozmawia' bezpośrednio z twoją
przeglądarka, a w rzeczywistości rozmawia z aplikacją oszusta. No i cały
opisany scenariusz działa.

kx

do góry