Re: phishing a hasła jednorazowe i tokeny - Grupy dyskusyjne w eGospodarka.pl

Data: 2005-05-15 14:32:32
Temat: Re: phishing a hasła jednorazowe i tokeny
Od: mlody_book <m...@g...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
kx napisał(a):
>>W tych bankach internetowych, w których mam/miałem konta (Inteligo,
>>mBank, e-Integrum BGŻ) zaraz po wejściu pierwsze co widzę to stan mojego
>
> po wejściu tzn. po zalogowaniu ? bo jeżeli tak, to aplikacja oszusta
> zaloguje się na strone banku - uda ciebie używając własnie otrzymane od
> ciebie dane (login i haslo), odbierze dane, które wyskoczą po zalogowaniu i
> prześle ci na przeglądarke - nic nie zauważysz (może jedynie to, że strona
> załaduje się troche wolniej).
>
>
>>[ciah...]
>
> Możesz jaśniej ? Albo ja ciebie nie rozumiem, albo ty mnie.
>
> A wyobraź sobie kolejną sytuacje:
> Załóżmy, że ty masz bezpieczny komputer (oprogramowanie antywirusowe oraz
> system regularnie updatowany, nie ściągasz żadnych śmieci z netu, itd...).
> Co więcej, jesteś rozsądnym użytkownikiem - nie dasz się złapać na phishing.
> Bank również jest całkowicie bezpieczny - ma dobrych adminów. Ale twój
> provider wałki wali, albo oszut wpierniczył mu sie na serwer i on tym nie
> wie. Zamiast routować pakiety z twojej przeglądarki do serwera banku cała
> transmisja jest odbierana przez oszusta, który napisał aplikacje udającą
> stronę banku. Tak samo bank myśli, że 'rozmawia' bezpośrednio z twoją
> przeglądarka, a w rzeczywistości rozmawia z aplikacją oszusta. No i cały
> opisany scenariusz działa.
>
> kx

OK, ale to już nie byłby phishing, tylko raczej konieczny byłby atak na
serwer DNS, o którym wiadomo, że jest bardziej niebezpieczny od
phishingu. Opisana przez Ciebie sytuacja nie wystąpi jeżeli sam
wchodzisz na stronę, której adres wpisujesz ręcznie, albo nawet
wybierasz z zakładek, a nie korzystasz z podrzuconego w mailu linku, a
serwer DNS mojego providera działa prawidłowo. Piszesz o sytuacji, w
której mój ISP leci w kulki, albo ma zhakowane serwery. W tej sytuacji
mój dalszy wywód nie miałby sensu, gdyby nie fakt, że w temacie postu
jest mowa o phishingu i w związku z tym powinniśmy odrzucić taką
możliwość. Jednakże w takiej sytuacji pozostaje to, o czym ktoś już tu
pisał, czyli certyfikat strony. W razie podejrzeń możesz go zweryfikować.

--
"- Why do they call him a bullet dodger?
- Because he dodges bullets, Avi." (Snatch)