Új hozzászólás Aktív témák
-
SaGaIn
senior tag
válasz
dragon1993 #17 üzenetére
Értem. Szoval csak nagyon, nagyon hülye felhasználók akik felülbírálják a védelmet szívhatják meg.
-
dragon1993
őstag
Gyakorlatilag az, hogy megadhatsz két aktív cert-et amiket elfogad és a többit nem fogja akkor se ha alapból érvényes lenne.
Ez azért jó, mert a bank ügyfelei beléptek már az oldalra, azután HTTPS nélkül (HSTS bekapcsolva) nem fog bejönni az oldal az ügyfélnek. A HPKP-vel meg csak azzal a 2 cert-el jön be az oldal amit a bank beállított, így a lopott domainhez hiába szerzel be Let's Encrypt vagy bármi más DV cert-et marad a kikerülhetetlen piros ablak, hogy ez egy támadó oldal.
-
SaGaIn
senior tag
válasz
dragon1993 #14 üzenetére
HPKP az mi?
-
Depression
veterán
Mobil alkalmazásos token-nel tudnának mit kezdeni?
-
goccer
aktív tag
"Banki kétfaktoros azonosítást játszottak ki" - ezt bárhogy számolom egy faktornak tűnik, csak két lépcsővel
-
-
SaGaIn
senior tag
Nem biztos...
Nem rég volt egy hír hogy egy brazil bankot nyomtak fel úgy, hogy a DNS-ben átírták az ip-t és létrehoztak egy teljesen ugyanolyan oldalt, még a HTTPS hitelesítést is szereztek. na most ha első két bejelentkezést a fals oldalon teszi mega user majd átdobják a valódira senkinek nem tűnik fel csak annyi hogy két alkalommal kap egy rosz usernév/jelszó üzenetet, majd hirtelen frissül az oldal és harmadjára beengedi.
Ilyen próbálkozásnál csak a leggyakorlottabb infósoknak kattan le hogy mi a helyzet...
Egy napig nem tűnt fel a banknak hogy mi a baj...
-
-
Stanlee
őstag
A nemet bankoknal utalashoz kell egy egyszer hasznalatos PIN-kod, ok ezt TAN-nak hivjak. Tobbfele azonositasi mod van a TAN-ban, a legregebbi, amikor egy papirra kinyomtatott listat adtak a usernek, akitol a online bankolasi felulet az utalas elesitesehez bekerte a TAN listarol az x. szamot.
A bankoknal van a mobil TAN, vagy mTAN. A tamadok ezt hasznaltak ki, ugyanis itt sms-ben kapja meg az ember az utalas aktivalasahoz a kodot. A modszer az volt, hogy a fake oldalakon begyujtottek az online banki felulethez szukseges felhasznalonev/jelszo parost, ha ugyesek voltak, akkor a mobilszamot is (az en bankom mar hetek ota kiirja a sajat belepesi oldalan, hogy phising veszely van, csak a hivatalos cimen lepjen be az ember). Addig amig az sms tartalmat nem tudjak elolvasni, nincs semmi gond, mert a mTAN nelkul csak nezegetni tudjak a bankszamlat, elutalni nem tudnak rola. De ha mindharom adat megvan, akkor mehet az utalas.
Tiszta ugy, ehhez kell az is, hogy a user rossz oldalon jelentkezen be a bank online feluletere.
-
Gaborz1
senior tag
Ezért kell a jó öreg dunyhában tartani a pénzt.
Amelyik hacker onnan kibűvöli a dellát az az igazán nagy mágus. Ja várjunk csak, ez a betörő. -
scyllafren
senior tag
Megszerzik az ugyfel login adatait, es megtudjak a telefonszamat. Megprobalnak belepni, bank kuld SMS-t, ezt az adathalaszok elfogjak, es belepnek. Ugyfel meg jo esellyel eszre se veszi, hogy kapott SMS-t, mivel vagy kiutik az ertesitest, vagy sose erkezik meg a telefonra.
-
waveson
tag
" egyes becslések szerint hétmilliárd felhasználó érintett."
Azt azért vágjátok, hogy összesen 7mrd ember él a földön, ebben benne van a 2 hetes csecsemőm és a 80+ éves nagymamám, ők aztán igazi power userek főleg banki szektorban, meg a mongol, afrikai kisgyerekek benszülöttek (nem tudom hány milliárd embert soroltam fel itt hirtelen, aki életében nem fogott még mobiltelefont, mert hát minek), és a többi.
lol. -
Fred23
nagyúr
"évek óta ismert hálózati protokollhibát kihasználva"
-
Nem világos, hogy lehet értelmes ügyféltől így pénzt lopni. SMS-ben kapok kódot a belépéshez vagy tranzakció-visszaigazoláshoz, de kell egy hamis weboldal is, amire rámennék (de minek is mennék bárhol linkelt oldalra, ha mindig magam gépelem be az ótépéponthu-t?). Ha meg van hamis weboldal, akkor minek az SMS-ekkel ügyeskedni?
Ha meg a telefonom akar a bankkal SMS-ben kommunikálni, aligha fognak ügyfélazonosítás nélkül bármilyen üzit komolyan venni, főleg nem azt, hogy toljanak már át 2-3000EUR-t egy Közép-Afrikai bankszámlára...
Új hozzászólás Aktív témák
ph A támadók adathalász módszerekkel minden szükséges adatot megszereztek, aztán még az SMS-ekbe is belekukkantottak.
- Honor Magic 7 Pro 512GB / 12GB RAM / Fekete / Független / Újszerű állapot / 3 év gyári garanciával!
- Tablet felvásárlás! Samsung Galaxy Tab S10+, Samsung Galaxy Tab S10 Ultra, Samsung Galaxy Tab S10 FE
- Ryzen 7 CPU-k
- iKing.Hu - Apple Watch Ultra 2 Titanium Szíjjal 49 mm Használt, újszerű
- DELL PowerEdge R730xd 16LFF 160TB+400GB 2U rack - 2xE5-2683v4 (16c/32t),256GB RAM,2x10G NET,HBA330
Állásajánlatok
Cég: Laptopszaki Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest