- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Kormányok / autós szimulátorok topikja
- Milyen billentyűzetet vegyek?
- TCL LCD és LED TV-k
- Melyik a legerősebb Low Profile VGA kártya?
- Fejhallgató erősítő és DAC topik
- OLED monitor topik
- Videós, mozgóképes topik
- Melyik tápegységet vegyem?
Új hozzászólás Aktív témák
-
#18
SaGaIn
senior tag
dragon1993
#17
SaGaIn
senior tag
válasz
dragon1993
#17
üzenetére
Értem. Szoval csak nagyon, nagyon hülye felhasználók akik felülbírálják a védelmet szívhatják meg.
-
#17
dragon1993
őstag
SaGaIn
#16
dragon1993
őstag
Gyakorlatilag az, hogy megadhatsz két aktív cert-et amiket elfogad és a többit nem fogja akkor se ha alapból érvényes lenne.
Ez azért jó, mert a bank ügyfelei beléptek már az oldalra, azután HTTPS nélkül (HSTS bekapcsolva) nem fog bejönni az oldal az ügyfélnek. A HPKP-vel meg csak azzal a 2 cert-el jön be az oldal amit a bank beállított, így a lopott domainhez hiába szerzel be Let's Encrypt vagy bármi más DV cert-et marad a kikerülhetetlen piros ablak, hogy ez egy támadó oldal.
-
#16
SaGaIn
senior tag
dragon1993
#14
SaGaIn
senior tag
válasz
dragon1993
#14
üzenetére
HPKP az mi?
-
#13
Depression
veterán
Depression
veterán
Mobil alkalmazásos token-nel tudnának mit kezdeni?
-
SaGaIn
senior tag
Nem biztos...
Nem rég volt egy hír hogy egy brazil bankot nyomtak fel úgy, hogy a DNS-ben átírták az ip-t és létrehoztak egy teljesen ugyanolyan oldalt, még a HTTPS hitelesítést is szereztek. na most ha első két bejelentkezést a fals oldalon teszi mega user majd átdobják a valódira senkinek nem tűnik fel csak annyi hogy két alkalommal kap egy rosz usernév/jelszó üzenetet, majd hirtelen frissül az oldal és harmadjára beengedi.
Ilyen próbálkozásnál csak a leggyakorlottabb infósoknak kattan le hogy mi a helyzet...
Egy napig nem tűnt fel a banknak hogy mi a baj...
-
Stanlee
őstag
A nemet bankoknal utalashoz kell egy egyszer hasznalatos PIN-kod, ok ezt TAN-nak hivjak. Tobbfele azonositasi mod van a TAN-ban, a legregebbi, amikor egy papirra kinyomtatott listat adtak a usernek, akitol a online bankolasi felulet az utalas elesitesehez bekerte a TAN listarol az x. szamot.
A bankoknal van a mobil TAN, vagy mTAN. A tamadok ezt hasznaltak ki, ugyanis itt sms-ben kapja meg az ember az utalas aktivalasahoz a kodot. A modszer az volt, hogy a fake oldalakon begyujtottek az online banki felulethez szukseges felhasznalonev/jelszo parost, ha ugyesek voltak, akkor a mobilszamot is (az en bankom mar hetek ota kiirja a sajat belepesi oldalan, hogy phising veszely van, csak a hivatalos cimen lepjen be az ember). Addig amig az sms tartalmat nem tudjak elolvasni, nincs semmi gond, mert a mTAN nelkul csak nezegetni tudjak a bankszamlat, elutalni nem tudnak rola. De ha mindharom adat megvan, akkor mehet az utalas.
Tiszta ugy, ehhez kell az is, hogy a user rossz oldalon jelentkezen be a bank online feluletere.
-
#5
scyllafren
senior tag
t72killer
#1
scyllafren
senior tag
Megszerzik az ugyfel login adatait, es megtudjak a telefonszamat. Megprobalnak belepni, bank kuld SMS-t, ezt az adathalaszok elfogjak, es belepnek. Ugyfel meg jo esellyel eszre se veszi, hogy kapott SMS-t, mivel vagy kiutik az ertesitest, vagy sose erkezik meg a telefonra.
-
waveson
tag
" egyes becslések szerint hétmilliárd felhasználó érintett."
Azt azért vágjátok, hogy összesen 7mrd ember él a földön, ebben benne van a 2 hetes csecsemőm és a 80+ éves nagymamám, ők aztán igazi power userek főleg banki szektorban, meg a mongol, afrikai kisgyerekek benszülöttek (nem tudom hány milliárd embert soroltam fel itt hirtelen, aki életében nem fogott még mobiltelefont, mert hát minek), és a többi.
lol. -
Nem világos, hogy lehet értelmes ügyféltől így pénzt lopni. SMS-ben kapok kódot a belépéshez vagy tranzakció-visszaigazoláshoz, de kell egy hamis weboldal is, amire rámennék (de minek is mennék bárhol linkelt oldalra, ha mindig magam gépelem be az ótépéponthu-t?). Ha meg van hamis weboldal, akkor minek az SMS-ekkel ügyeskedni?
Ha meg a telefonom akar a bankkal SMS-ben kommunikálni, aligha fognak ügyfélazonosítás nélkül bármilyen üzit komolyan venni, főleg nem azt, hogy toljanak már át 2-3000EUR-t egy Közép-Afrikai bankszámlára...
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Limitált ideig kipróbálható a magyar fejlesztésű Cult of the Child Eater
- Otthoni hálózat és internet megosztás
- Gumi és felni topik
- Magisk
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Formula-1
- BestBuy topik
- Politika
- További aktív témák...
- Ne hagyd ki: AORUS ELITE lap, 41.500 Ft-ért! 0% THM-re is!
- Bomba ár! Dell Latitude 5400 - i5-8GEN I 16GB I 512SSD I 14" HD I HDMI I Cam I W11 I Gari!
- iKing.Hu - Apple iPhone 14 Pro - Deep Purple - Használt, karcmentes, 100% akku
- Telefon felvásárlás!! iPhone X/iPhone Xs/iPhone XR/iPhone Xs Max
- Telefon felvásárlás!! Samsung Galaxy S24/Samsung Galaxy S24+/Samsung Galaxy S24 Ultra
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest