-
Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!newsfeed.tpinternet.pl!nemesis.news.
tpi.pl!news.tpi.pl!not-for-mail
From: "kx" <n...@o...pl>
Newsgroups: pl.biznes.banki
Subject: phishing a hasła jednorazowe i tokeny
Date: Sat, 14 May 2005 18:12:14 +0200
Organization: tp.internet - http://www.tpi.pl/
Lines: 37
Message-ID: <d6587n$jm2$1@nemesis.news.tpi.pl>
NNTP-Posting-Host: dis136.neoplus.adsl.tpnet.pl
X-Trace: nemesis.news.tpi.pl 1116087351 20162 83.23.226.136 (14 May 2005 16:15:51
GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Sat, 14 May 2005 16:15:51 +0000 (UTC)
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2800.1437
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
Xref: news-archive.icm.edu.pl pl.biznes.banki:348584
[ ukryj nagłówki ]Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
bezpieczństwa...
Prosty scenariusz:
Pewien klient daje się złapać na phishingu - wchodzi na jakąś podejrzaną
strone myśląc, że to strona jego banku, ale nieświadom niebezpieczeństwa
loguje się i dokonuje pewnej tranzakcji. Podejrzana strona, to nie jakiś
prosty formularz do wyciągania haseł, ale bardziej wyrafinowany system
oszusta. Otoż, ten system równocześnie symuluje działanie klienta na
prawdziwej stronie banku:
1) klient loguje sie na stronie oszusta
2) system oszusta, przy użyciu właśnie uzyskanych danych loguje się na
prawdziwą strone banku
(system oszusta może nawet pokazać błąd w przypadku błędnego logowania)
3) klient chce dokonać tranzakcji - wypełnia stosowny formularz i przesyła
go do strony oszusta
4) system oszusta przekazuje te dane na prawdziwą stronę banku zmieniając
jedynie numer konta oraz kwote przelewu
5) system bankowy odpowiada prośbą o podanie hasła jednorazowego, bądź
(kiedy używamy tokena) generuje liczbę, która trzeba wpisać w token. System
bankowy w tym momencie prawdopodobnie bedzie przesyłał również szczegóły
przelewu (tak żeby klient sobie zobaczył, czy sie nie pomylił, no i w
efekcie potwierdził tranzakcje)
6) system oszusta, przekazuje prośbe do przeglądarki klienta (jeśli
potrzebne zmienia informacje o numerze konta i kwocie na prawidłowe)
7) klient wpisuje hasło jednorazowe / liczbę otrzymaną z tokena i wysyła
8) system oszysta przekazuje to dalej - do banku i przelew został
potwierdzony.
O ile hasła jednorazowe nie wymagają tworzenia systemu, który działa "w
locie", to tokeny już tak, bo liczby przez nie generowane mają swój limit
ważności czasowej.
pozdr.
kx
Następne wpisy z tego wątku
- 14.05.05 16:13 Robert Tomasik
- 14.05.05 16:28 SDD
- 14.05.05 16:32 Robert Tomasik
- 14.05.05 17:01 witek
- 14.05.05 17:22 r...@a...net.pl
- 14.05.05 18:34 August
- 14.05.05 21:05 Bogdan B.
- 14.05.05 23:08 mlody_book
- 15.05.05 00:37 kx
- 15.05.05 05:57 witek
- 15.05.05 06:30 Michał 'Amra' Macierzyński
- 15.05.05 14:32 mlody_book
- 15.05.05 16:43 kx
- 15.05.05 16:52 mlody_book
- 15.05.05 16:52 witek
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem