Vlákno názorů k článku
Proč rhybaření funguje?
od Lukas Kalista - Ja nevim, ale podle meho to je problem...
-
dan (neregistrovaný)Pristupove udaje (kod z sifrovaciho klice pro pristup) vam v tomto pripade budou k nicemu, jakoukoli dalsi operaci je treba znovu autorizovat klicem k jehoz generovani se pouziji vlozene udaje (napriklad castka). Leda ze by uzivatel dobrovolne vplnil a autorizoval prikaz k uhrade...
-
laoce (neregistrovaný)No a ked budem frajer a urobim stranku ktora sa bude tvarit ako orig. stranka nejakej banky a poskytnem uzivatelovi moznost zadat autentifikacne udaje po ktorych zobrazim stranku zase na nerozoznanie od tej orig. a uzivatel napr. zada prikaz na uhradu ja ho v pohode akceptujem ako original a nasledne vsetko naozaj vykonam (ved mam vsetky potrebne udaje a session s orig. strankou je v mojich rukach)?? Budem tzv Man-in-the-middle ... to predsa ide lahko .. potom mam viacero moznosti ... bud ho nechat odhlasit..ale len z mojej stranky a session do banky nechat otvorenu...alebo ak je potrebne este dalsie autorizacne zariadenie na vykonanie prevodu tak prevod vykonam vtedy ked ho bude chciet vykonat nicnetusiaci klikac ale s inou sumou. Ked doverne poznam stranku danej banky da sa pekne vyhrat s tym co secko budem vediet na 100% suplovat...
-
To je sice pravda, ale co takový postup: Uživatel chce převést 150 Kč na účet 123. Zadá to do falešné stránky. Ta ovšem bance pošle informace o převodu 10000 Kč na účet 456 a nechá mu poslat SMSku s novým autentizačním kódem. Teď přichází kritická fáze. V té SMS je nejen autorizační kód, ale i informace o tom, k čemu se vztahuje, takže jsou tam znovu částky, čísla účtů a podobně. Otázka ale zní, kolik procent lidí to skutečně z té SMS přečte a znovu překontroluje. Podle mě většina odscrolluje dolů, opíše kód a tečka. V tu chvíli jsi přibral 10000 Kč. -
Samozřejmě můžu:
- vyplníte uživatelské jméno
- přijde SMS, zadáte PIN, opíšete do browseru autentizační číslo
- zadáte vytvoření nového příkazu
- vyplníte formulář s číslem účtu, částkou a podobně
- klepnete na autorizaci
- přijde SMS, zadáte PIN, (možná) zkontrolujete údaje v SMS a opíšete z jejího konce autentizaci
- příkaz odešlete
- odhlašujete se
To je celý postup. Dvě SMSky, dvakrát zadávání PINu do mobilu. Nic víc není potřeba dělat. Jak říkám, je to bezpečné, pokud není uživatel hloupý a kontroluje obsah SMSek.
Obecně existují ale jednodušší formy útoku a získávání citlivých informací. Když na uživatele vyskočí varování o tom, že nebylo možno ověřit SSL certifikát, kolik procent lidí volá do banky a ptá se na fingerprinty? Já to dělám, moje přítelkyně taky, vy možná ano, ale BFU určitě ne.
-
proc myslite ze by neslo aplikovat phishing na ebanku? pokud rhybar zneuzije naivity klienta ebanky, tak zjiska byt' casove oemzeny pristup.
staci kdyz za Vas provede prvni cast autorizace a pak si Vam rekne o rozkodovani. pokud bude uspesny a stihne tyto kroky v historicky kratke dobe, zjiska docasne pristup.
timto nechci nikterak znevazovat autorizacni proceduru ebanky (sam ji s vdecnosti pouzivam). znacne minimalizuje mnohe bezpecnostini rizika, za velmi nizkou ztratu pohodli. nekdy ale ani to nestaci.
imho to neni problem banky. to je jako pustit zlodeje do baraku a rici ze je to problem alarmu, protoze alarm nerozpoznal, ze se nejedna o pracovnika plynaren, prestoze neexistuje plynova pripojka. -
Lukas Kalista (neregistrovaný)Podle meho to nepujde, protoze nez zakaznik vyplni udaje k platbe, na ktere musi byt take vygenerovany kod, prestane pro zmenu platit pristupovy kod k uctu (je casove omezeny). Navic proc by uzivatel potvrzoval nejakou platbu. A bez toho si zase zadne penize neprevedete, protoze nebudete mit aktivacni kod.
