-
Path: news-archive.icm.edu.pl!news2.icm.edu.pl!not-for-mail
From: Tomasz <t...@p...fm>
Newsgroups: pl.biznes.banki
Subject: Re: phishing a hasła jednorazowe i tokeny
Date: Mon, 16 May 2005 00:01:02 +0200
Organization: http://news.icm.edu.pl/
Lines: 57
Message-ID: <d68gqt$jaj$1@achot.icm.edu.pl>
References: <d6587n$jm2$1@nemesis.news.tpi.pl>
NNTP-Posting-Host: chello081018222042.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: achot.icm.edu.pl 1116194462 19795 81.18.222.42 (15 May 2005 22:01:02 GMT)
X-Complaints-To: a...@i...edu.pl
NNTP-Posting-Date: Sun, 15 May 2005 22:01:02 +0000 (UTC)
In-Reply-To: <d6587n$jm2$1@nemesis.news.tpi.pl>
X-Accept-Language: en-us, en
User-Agent: Mozilla Thunderbird 1.0.2 (Windows/20050317)
Xref: news-archive.icm.edu.pl pl.biznes.banki:348737
[ ukryj nagłówki ]kx wrote:
> Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
> bezpieczństwa...
>
> Prosty scenariusz:
> Pewien klient daje się złapać na phishingu - wchodzi na jakąś podejrzaną
> strone myśląc, że to strona jego banku, ale nieświadom niebezpieczeństwa
> loguje się i dokonuje pewnej tranzakcji. Podejrzana strona, to nie jakiś
> prosty formularz do wyciągania haseł, ale bardziej wyrafinowany system
> oszusta. Otoż, ten system równocześnie symuluje działanie klienta na
> prawdziwej stronie banku:
> 1) klient loguje sie na stronie oszusta
> 2) system oszusta, przy użyciu właśnie uzyskanych danych loguje się na
> prawdziwą strone banku
> (system oszusta może nawet pokazać błąd w przypadku błędnego logowania)
> 3) klient chce dokonać tranzakcji - wypełnia stosowny formularz i przesyła
> go do strony oszusta
> 4) system oszusta przekazuje te dane na prawdziwą stronę banku zmieniając
> jedynie numer konta oraz kwote przelewu
> 5) system bankowy odpowiada prośbą o podanie hasła jednorazowego, bądź
> (kiedy używamy tokena) generuje liczbę, która trzeba wpisać w token. System
> bankowy w tym momencie prawdopodobnie bedzie przesyłał również szczegóły
> przelewu (tak żeby klient sobie zobaczył, czy sie nie pomylił, no i w
> efekcie potwierdził tranzakcje)
> 6) system oszusta, przekazuje prośbe do przeglądarki klienta (jeśli
> potrzebne zmienia informacje o numerze konta i kwocie na prawidłowe)
> 7) klient wpisuje hasło jednorazowe / liczbę otrzymaną z tokena i wysyła
> 8) system oszysta przekazuje to dalej - do banku i przelew został
> potwierdzony.
>
> O ile hasła jednorazowe nie wymagają tworzenia systemu, który działa "w
> locie", to tokeny już tak, bo liczby przez nie generowane mają swój limit
> ważności czasowej.
>
> pozdr.
> kx
>
>
Kilka uwag:
Teoretycznie wszystko można zlamać, lecz nie wszystko jest łatwe.
1. Komunikacja idzie bezpiecznym kanałem - we wszystkich bankach;
2. Stosowanie podpisu - token, hasła jednorazowe.
Tu można łatwiej lub gorzej zabezpieczyć - jeśli podpis idzie pod
transakcją, to łatwiej podmienić jest samą treść transakcji a dopisać
tylko podpis klienta.
Lepsze rozwiązanie polega na przesłaniu treści transakcji do banku (wraz
z adresem IP naszej maszyny), który generuje dla niej sumę kontrolną,
którą następnie wpisuje się do tokena i tym podpisuje transakcję która
ponownie jest przesłana do banku.
Wtedy włamywacz musi: a. przechwycić samą transakcję i adres IP;
b.wysłać własną do banku z własnym adresem; c. pobrać cyfry z banku;
odesłać stronę do klienta z treścią jego transakcji; d. jeszcze raz
przechwycić transakcję klienta z podpisem;
e. po podmianie treści odesłać do banku podmienioną transakcję z dobrym
podpisem; f. odesłać potwierdzenie do klienta;
Tomek
Następne wpisy z tego wątku
- 16.05.05 07:59 S.T.
- 17.05.05 12:33 SDD
- 17.05.05 12:29 r...@a...net.pl
- 17.05.05 15:23 SDD
Najnowsze wątki z tej grupy
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
Najnowsze wątki
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek