Hlavní navigace

Názor k článku Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák? od ondra.novacisko.cz - Není to jednoduchý, ale dá se. Nicméně, pro...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 1. 2011 10:31

    ondra.novacisko.cz (neregistrovaný) ---.seznam.cz

    Není to jednoduchý, ale dá se. Nicméně, pro vstup na účet lze emulovat formulář a se zadanými údaji ihned provést přihlášení na skutečný účet. Banka nepozná, že se přihlašuješ ty, nebo někde z tebe vylákal autorizační kód a s tím se přihlašuje. Má na to ale celkem málo času, ty kódy většinou plati pár minut.... To stačí.

    Horší je to s platbou. Do kalkulátoru je třeba zadat i částku a číslo účtu příjemce, a pokud chce phishinkový útočník peníze poslat skrytě, pak je zřejmé, že uživatel tyto čísla není schopen naťukat. Může se to udělat pomocí sociálního inženýrství, třeba tak, že stránka uživatele přesvědčí, že jde o nějaký test kalkulátoru a krok zakrokem ho provede procesem, který vede k ověření platby.

    U SMSek je to jednodušší v tom, že uživatel nemůsí úplně pozorně přečíst SMSku a jen slepě opsat kód. Že v SMSce je napsáno, že jde o platbu na účet mu bude srdečně jedno.