Hlavní navigace

Vlákno názorů k článku Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák? od F. - Víte někdo o nějaké technice, jak by se...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 1. 2011 9:10

    F. (neregistrovaný) ---.sh.cvut.cz

    Víte někdo o nějaké technice, jak by se dal provést phishingový útok na účet, na který se přihlašuji pomocí autentizačního kalkulátoru (který mám ještě z dob e-banky) ?

  • 11. 1. 2011 9:26

    bez přezdívky

    Nejdřív zjistím přihlašovací číslo (u RF to je dost hloupě většinou rodné číslo) a pak budu volat s "technickou kontrolou kalkulátorů".

    Nadiktuju co máš zadat a ty mi řekneš, co vidíš na displeji.

    Stejně tak by šlo volat s "technickou kontrolou příjmu SMS".

    Pokud uživatel nerozumí principu zabezpečení, pak lze sociálním inženýrsvím dosáhnout čehokoliv. Lidi jsou blbí.

  • 11. 1. 2011 11:34

    Earl (neregistrovaný) ---.112.broadband3.iol.cz

    I kdyby byl někdo tak hloupý že by to řekl, tak by jsi stejně potřeboval znovu verifikovat platbu a to už by nepotvrdil ani tuplovaný polodebil když vidí že je to potvrzení platby částku....

  • 11. 1. 2011 14:23

    Karel (neregistrovaný) 93.90.162.---

    Prvním krokem k úspěchu je zjistit kdy a kam ten člověk posílá peníze. To jsou ty "jméno a heslo jsou jim k ničemu". Jakmile vím, kdy ten člověk asi tak může něco posílat a kam, mohu se na něj připravit. Podstrčím mu falešnou stránku, budu sledovat co dělá, to samé dělat na pravé stránce a předávat mu informace. Když dojde na převod peněz, tak až on zadá požadavek na převod X peněz na účet U u banky B, tak já zadám na pravé stránce požadavek na převod X peněz na účet FF u banky B. Řada lidí ověří částku a občas si všimne kódu banky. Konkrétní číslo účtu si ověřuje málokdo. Právě proto potřebuji vědět kolik má peněz a kdy a jaké transakce dělá - nejlépe když si každý měsíc pošle značnou část výplaty na jiný účet. A právě proto bezpečnostní odborníci považují "s username a heslem si maximálě prohlídne kolik mam na účtu a kdy a kolik jsem kam poslal" za nebezpečné podceňování. Je to ten první průzkum, zda se útočníkovi vyplatí investovat do podvodu s autorizační SMS.

  • 12. 1. 2011 7:58

    Petr (neregistrovaný) 212.11.119.---

    Správně popsaný man-in-the-middle proti SMS autorizacím.

    A některé banky (například ta zmiňovaná ČSOB) to ještě dále zjednoduší tím, že kód banky v SMS není (jen číslo účtu, takže pokud mám stejné číslo účtu u jiné banky, tak si oběť ani nevšimne, že převádí peníze mně) anebo že pro hromadný převod je v SMS napsaná jen celková částka(!), takže uživatel netuší, na jaké účty to vlastně převod autorizuje.

  • 11. 1. 2011 10:31

    ondra.novacisko.cz (neregistrovaný) ---.seznam.cz

    Není to jednoduchý, ale dá se. Nicméně, pro vstup na účet lze emulovat formulář a se zadanými údaji ihned provést přihlášení na skutečný účet. Banka nepozná, že se přihlašuješ ty, nebo někde z tebe vylákal autorizační kód a s tím se přihlašuje. Má na to ale celkem málo času, ty kódy většinou plati pár minut.... To stačí.

    Horší je to s platbou. Do kalkulátoru je třeba zadat i částku a číslo účtu příjemce, a pokud chce phishinkový útočník peníze poslat skrytě, pak je zřejmé, že uživatel tyto čísla není schopen naťukat. Může se to udělat pomocí sociálního inženýrství, třeba tak, že stránka uživatele přesvědčí, že jde o nějaký test kalkulátoru a krok zakrokem ho provede procesem, který vede k ověření platby.

    U SMSek je to jednodušší v tom, že uživatel nemůsí úplně pozorně přečíst SMSku a jen slepě opsat kód. Že v SMSce je napsáno, že jde o platbu na účet mu bude srdečně jedno.

  • 11. 1. 2011 21:56

    polygon (neregistrovaný) ---.tmcz.cz

    Ano tak nějak. A snad i jednodušeji bez podstrčení stránek. IB umožňují uživatelům ukládat si šablony nejčastěji používaných plateb. Pro útok tedy stačí vymámit jméno a heslo, přihlásit se do IB a pozměnit tyto šablony. Pak už si jen počkat, až uživatelé sami začnou posílat peníze.