•  
    J..........y

    +54

    pokaż komentarz

    - Każdy przelew autoryzuję takim urządzeniem. Jest to taki pendrive. Zawsze muszę go włożyć w port usb komputera, podczas autoryzacji przelewu. Nie jestem specjalistą w tej dziedzinie, ale według mnie mógł to zrobić haker na naszym komputerze, ale równie dobrze bank może mieć jakieś dziury w swoim systemie – mówi Marcin Bartos.

    Ja bym jednak obstawiał, że zabezpieczenia banku >>> zabezpieczenia użytkownika i jednak to po ich stronie miało miejsce "włamanie". Jak znam życie sytuacja wyglądała tak, że księgowy zostawiał token wpięty w komputer i ew. dodatkowo nie wylogowywał się z bankowości internetowej. Albo ktoś fizycznie (ktoś z firmy) albo ktoś zdalnie przejął mu komputer i porobił przelewy.

    •  
      d....3

      +34

      pokaż komentarz

      @Jack_Donaghy: najbardziej prawdopodobna jest podmiana rachunku w schowku przez jakiegoś wira, w czasie gdy gościu robił przelew, bądź podmiana dns i atak przez stronę pośredniczącą, wtedy też kwote można łatwo powiększyć

    •  
      J..........y

      +31

      pokaż komentarz

      @darco3: nie sądzę bo w tym wypadku do ataku doszło kiedy nie wykonywał przelewów (zadzwoniono jedynie do niego zweryfikować czy wykonywał przelew) - podmiana numeru działa tylko jeśli sam robisz jakiś przelew i wklejasz numer rachunku... na 90% więc doszło do przejęcia kompa i zdalnego zlecenia przelewów z wykorzystaniem podłączonego tokena USB.

    •  

      pokaż komentarz

      @Jack_Donaghy: prawda, pozostaje więc tylko przejęcie kompa, bądź kręcenie przez gościa

    •  
      J..........y

      +3

      pokaż komentarz

      bądź kręcenie przez gościa

      @darco3: w sumie też prawda - bo dlaczego automatycznie przyjmujemy, że księgowy mówi prawdę? :) Spraw związanych z wyprowadzaniem kasy przez księgowych też jest dużo :)

    •  

      pokaż komentarz

      @Jack_Donaghy: A dlaczego przyjmujesz, ze to bank mówi prawdę?

    •  

      pokaż komentarz

      @rajwyk @Jack_Donaghy: Przecież na podstawie tego artykułu nie można wyciągnąć żadnych wniosków. Każdy scenariusz jest tutaj możliwy.

    •  
      J..........y

      +27

      pokaż komentarz

      @rajwyk: nie zakładam na 100% że bank mówi prawdę - po prostu "na rynku" ataki po stronie banku i złamanie zabezpieczeń banku nie zdarzają się... biorąc pod uwagę jak łatwo autoryzować operacje wykorzystując błędy użykowników-klientów. Najpopularniejsze są metody związane z pozyskiwaniem haseł poprzez fałszywe www, wirusy zmieniające numery kont wklejanych do bankowości internetowej oraz przejmowanie komputerów z wpiętymi tokenami. Biorąc pod uwagę to co napisano w tym tekście wygląda na to, że to dość klasyczna sytuacja przejęcia komputera z tokenem. Gdyby doszło do złamania zabezpieczeń po stronie banku zapewne zginęłoby nieco więcej niż 75 000 PLN i zapewne anty-fraud bankowy nie dzwoniłby do klienta potwierdzić jednego z oszukańczych przelewów (z konta euro).

    •  

      pokaż komentarz

      @Jack_Donaghy: Zdarzają się, choć banki niechętnie (o ile w ogóle) się do tego przyznają.
      Skoro tak łatwo, jak twierdzisz autoryzować operacje po stronie użytkownika, to źle świadczy o narzuconym przez bank sposobie zabezpieczeń. I tutaj również nie przerzucał bym w całości odpowiedzialności na użytkownika końcowego. Bank nie może wymagać, żeby każdy znał sposoby zabezpieczania.
      Z mojego doświadczenia : w bankach też pracują chciwi, głupi i nieuczciwi ludzie.

    •  
      J..........y

      +16

      pokaż komentarz

      Skoro tak łatwo, jak twierdzisz autoryzować operacje po stronie użytkownika, to źle świadczy o narzuconym przez bank sposobie zabezpieczeń. I tutaj również nie przerzucał bym w całości odpowiedzialności na użytkownika końcowego. Bank nie może wymagać, żeby każdy znał sposoby zabezpieczania.

      @kielus: nie da się stworzyć systemu autoryzacji odpornego na głupotę użytkowników - i na tym bazują oszuści, cokolwiek nie wprowadzi się po stronie banku (tokeny sprzętowe/programowe, hasła jednorazowe, smsy) to i tak wykłada się to na ludziach, którzy albo udostępniają swoje dane do logowania albo zupełnie nie dbają o podstawy "BHP" swojego komputera :)

      Bank może wymagać, aby ludzie ogarniali podstawy korzystania z komputera - bo skoro klient chce korzystać z bankowości internetowej to podstawowe "abc" powinien kojarzyć, w takim świecie żyjemy i nie można liczyć na to, że ktoś nas poprowadzi za rękę i przejmie odpowiedzialność za nasze błędy. Chociażby kwestia posiadana aktualnego oprogramowania (system, przeglądarka, antywirus) i np. niezapisywania hasła na monitorze, pinu w portfelu etc. :)

    •  
      p.......3 via iOS

      -8

      pokaż komentarz

      @Jack_Donaghy: serio tak myślisz? Nart nie wiesz w jakim błędzie żyjesz. Ataki na banko sie zdążają cześciej niż zakładasz. Niemniej o tym sie nigdy nie dowiesz, bo banki dbając o opinie nie angażują nawet do tego projuratury pokrywając straty z własnych środków. Jest to bardziej opłacalne niż negatywny marketing. Niemniej to trochę taka tajemnica... Nie dzieje sie to codziennie, ale jednak dzieje.

    •  
      J..........y

      +6

      pokaż komentarz

      Ataki na banko sie zdążają cześciej niż zakładasz.

      @piotreq13: nie myślę tylko wiem - i na 100% nie zdarzają się częściej niż zakładam ;)

    •  

      pokaż komentarz

      @Jack_Donaghy: Banki najczęśćiej dostarczają gotowego "produktu" pod nazwą "bankowość internetowa". Masz minimalne, o ile w ogóle jakiekolwiek, możliwości wyboru poziomu zabezpieczeń. Wybór jest tylko na poziomie : wszystko albo nic. Na dodatek, starają się zniechęcić nas do tradycyjnej bankowości. Jest to o tyle zrozumiałe, że promują rozwiązania po prostu tańsze.
      Mnie zawsze uczono, że przełamanie zabezpieczeń to tylko kwestia czasu i środków na ten cel przeznaczonych. Zauważ, że nikt nie stosuje zabezpieczeń 100% bezpiecznych, a cały wyścig toczy się tylko o to, aby uczynić próbę ich złamania nieopłacalną czasowo i/lub finansowo (co wg mnie i tak na jedno wychodzi).
      Jeśli bank daje użytkownikowi możliwość dokonywania transakcji, która nie gwarantuje 100% bezpieczeństwa to jest wg mnie współodpowiedzialny. To tak jak gdyby w trakcie wpłaty w okienku podszedł do Ciebie człowiek z pistoletem i zabrał wpłacane przez Ciebie pieniądze. Argumenty, że można się w takiej sytuacji bronić nie trafiają do mnie.

    •  
      J..........y

      +3

      pokaż komentarz

      To tak jak gdyby w trakcie wpłaty w okienku podszedł do Ciebie człowiek z pistoletem i zabrał wpłacane przez Ciebie pieniądze. Argumenty, że można się w takiej sytuacji bronić nie trafiają do mnie.

      @kielus: ale właśnie bank nie odpowiada za to, że ktoś Cię obrobi np. podczas wypłaty przy bankomacie - dlaczego w analogicznej sytuacji związanej z bankowością internetową ma odpowiadać? :)

    •  
      p.......3 via iOS

      -3

      pokaż komentarz

      @Jack_Donaghy: skąd taka zła wiedza?

    •  
      J..........y

      +3

      pokaż komentarz

      @piotreq13: dlaczego zakładasz, że zła? :)

    •  

      pokaż komentarz

      @Jack_Donaghy: Ale ale za napad w placówce już tak. Jeśli bank da mi alternatywę i wyraźnie określi które transakcje dają mi 100% bezpieczeństwa, wtedy zgoda. Ale na razie tak nie jest, a co gorsza wszystkie formy komunikacji przedstawiane są jako jednakowo bezpieczne, co jest oczywistą nieprawdą.

    •  
      J..........y

      +3

      pokaż komentarz

      Jeśli bank da mi alternatywę i wyraźnie określi które transakcje dają mi 100% bezpieczeństwa, wtedy zgoda. Ale na razie tak nie jest, a co gorsza wszystkie formy komunikacji przedstawiane są jako jednakowo bezpieczne, co jest oczywistą nieprawdą.

      @kielus: ale nic nigdy nie da Ci 100% bezpieczeństwa - to sytuacja nierealna, nieosiągalna w normalnym życiu. Zawsze z każdym działaniem wiąże się jakieś ryzyko - możesz je zaakceptować lub np. możesz nie korzystać z usług banków. Masz oczywiście prawo oczekiwać, że ktoś będzie Ci pokrywać straty związane z kradzieżą Twoich pieniędzy - czy to pod bankomatem czy to z wykorzystaniem Twojego komputera / hasła / loginu, ale tu masz raczej kiepskie szanse. Szansa jest gdy bank wypuścił wadliwe rozwiązanie - ale jeśli wypuścił zgodne z standardami na rynku rozwiązanie, a do kradzieży dochodzi bo Ty łamiesz elementarne zasady bezpieczeństwa to raczej nie masz szans.

    •  

      pokaż komentarz

      @Jack_Donaghy: Nie twierdzę, że rozwiązania w bankowości internetowej są wadliwe, choć i takie widziałem. Cały czas twierdzę, że banki idą na pewien kompromis w kwestii zabezpieczeń, a klient nie dość że nie ma pełnej wiedzy co do ryzyka to jeszcze nie ma pozycji do negocjacji.
      Taka mała dygresja, która wg mnie świetnie przedstawia moją tezę : wszystkie karty dostępne na rynku są zbliżeniowe. Ich poziom bezpieczeństwa jest dyskusyjny i zależy od wielu czynników (bank, operator, konfiguracja terminala, użytkownik). Są jednak przedstawiane jako 100% bezpieczne. Możesz powiedzieć, nie używaj, ale to takie trochę stawanie okoniem wobec świata.
      Piszesz o elementarnych zasadach bezpieczeństwa. Jak one wg Ciebie wyglądają ? Czy bank je jasno określa ? Czy w ogóle w tak masowym produkcie można je jasno zdefiniować ?

    •  
      J..........y

      +3

      pokaż komentarz

      Taka mała dygresja, która wg mnie świetnie przedstawia moją tezę : wszystkie karty dostępne na rynku są zbliżeniowe.

      @kielus: tak w woli wyjaśnienia - nie wszystkie, praktycznie większość banków daje wybór ;)

      . Ich poziom bezpieczeństwa jest dyskusyjny i zależy od wielu czynników (bank, operator, konfiguracja terminala, użytkownik).

      racja ;)

      Piszesz o elementarnych zasadach bezpieczeństwa. Jak one wg Ciebie wyglądają ? Czy bank je jasno określa ? Czy w ogóle w tak masowym produkcie można je jasno zdefiniować ?

      i moim zdaniem w takim wypadku bank powinien pokrywać straty z paypass i tu akurat przepisy stoją po stronie klienta ;)

    •  

      pokaż komentarz

      @Jack_Donaghy: I podobnie masz w przypadku bankowości internetowej. Ilość czynników wpływających na bezpieczeństwo niejeden zespół fachowców przyprawia o ból głowy, a Ty oczekujesz sensownej analizy ryzyka od zwykłego klienta. Niestety niewykonalne.

    •  
      J..........y

      +2

      pokaż komentarz

      @kielus: Nie oczekuje - ale zakładam, że użytkownik wykona minimum pracy po swojej stronie. Póki co większość ataków ukierunkowanych jest właśnie na słabość użytkownika. Jak sam zauważyłeś chodzi o to aby ataki uczynić nieopłacalnymi ekonomicznie/czasowo - a obecnie atak na użytkownika bankowości internetowej jest banalnie prosty/szybki i tani. Nawet nie musimy przechodzić na poziom innych czynników - zabezpieczeń operatora, banku etc. W dalszym ciągu skuteczne są ataki, w których klient sam podaje "złodziejowi" hasło, login i numer z sms'a autoryzacyjnego. Dlatego banki za takie zdarzenia nie odpowiadają.

    •  

      pokaż komentarz

      @Jack_Donaghy: Ryzykowne założenie. Bezpieczniejsze - użytkownik palcem nie kiwnie ponad to co pozwoli mu na uzyskanie dostępu. I wiesz co jest najgorsze, że absolutnie wszyscy w branży mają świadomość, że atakowanie użytkownika jest optymalne (patrząc od strony atakującego), ale nikt, absolutnie nikt nic z tym nie robi. Bank ładują kupę kasy w swoje zabezpieczenia, choć i już teraz ich poziom jest daleko poza zasięgiem "cywilnych" hakerów. To i tak nie przekłada się jakoś specjalnie na bezpieczeństwo transakcji, skoro to nie one są celem.
      Dla mnie to cały czas pójście na łatwiznę i przerzucanie odpowiedzialności na użytkownika końcowego.

    •  

      pokaż komentarz

      księgowy zostawiał token wpięty w komputer

      @Jack_Donaghy: Co to znaczy? Czy nie jest tak, ze za pomocą tokena mozna się zalogować tylko raz? I czy ten token nie wygasa jakos szybko?

    •  
      J..........y

      0

      pokaż komentarz

      Bezpieczniejsze - użytkownik palcem nie kiwnie ponad to co pozwoli mu na uzyskanie dostępu. I wiesz co jest najgorsze, że absolutnie wszyscy w branży mają świadomość, że atakowanie użytkownika jest optymalne (patrząc od strony atakującego), ale nikt, absolutnie nikt nic z tym nie robi

      @kielus: z drugiej strony bierz pod uwagę, że każde kolejne kliknięcie, hasło, krok, czynność powoduje, że jakiś % użytkowników nie jest zadowolona i grozi to odpływem do konkurencji ;) klientom wymogi bezpieczeństwa źle się kojarzą i dlatego ciągle na nie marudzą ;)

      Bank ładują kupę kasy w swoje zabezpieczenia, choć i już teraz ich poziom jest daleko poza zasięgiem "cywilnych" hakerów.

      @kielus: tu się zgadzam i to można skierować do @piotreq13: - dlatego włamania po stronie banków praktycznie się nie zdarzają, jeśli ktoś się bawi w "testowanie" możliwości zabezpieczeń bankowych to raczej nie są to kolesie nastawieni na dmuchnięcie kilkudziesięciu tysięcy z kont klientów - przestępczość to jednak wolny rynek, w pierwszej kolejności decyduje opłacalność przedsięwzięcia i tu póki co królują ataki po stronie klienta, ew. próby wprowadzania pracowników w błąd. Łamanie zabezpieczeń bankowych (czy jak ostatnio GPW) to już kwestia trochę polityczna.

      Dla mnie to cały czas pójście na łatwiznę i przerzucanie odpowiedzialności na użytkownika końcowego.

      @kielus: można i tak to interpretować, moim zdaniem to po prostu schlebianie prostym gustom i oczekiwaniom masowego klienta ;) a skoro klient ma takie oczekiwania żeby było szybko, prosto i jednym kliknięciem...

    •  
      J..........y

      0

      pokaż komentarz

      Co to znaczy? Czy nie jest tak, ze za pomocą tokena mozna się zalogować tylko raz? I czy ten token nie wygasa jakos szybko?

      @stefan_banach: jak masz token sprzętowy wpięty w komputer to zdalnie przejmują twoją stację roboczą i analizując dane z keyloggera działają tak jak ty byś się logował - z poziomu twojego komputera otwierają przeglądarkę, bankowość internetową, wpisują login i generują kod na tokenie... ciebie nie ma przy kompie, ale z punktu widzenia banku wygląda to tak jakbyś to robił ty ;)

    •  

      pokaż komentarz

      klient ma takie oczekiwania żeby było szybko, prosto i jednym kliknięciem
      @Jack_Donaghy: I dobrze, ale niech ma świadomość czym to grozi.

    •  

      pokaż komentarz

      @darco3:

      bądź podmiana dns i atak przez stronę pośredniczącą,
      Jeśli strona banku jest właściwie zabezpieczona to nie powinno się udać. Jest jeszcze certyfikat który na podstawionej stronie nie będzie się zgadzał i użytkownik dostanie stosowne ostrzeżenie.

      Jeśli je zignoruje to jego wina. Ale jeśli bank wcześniej zrobił coś nie tak i np strona logowania nie była w całości szyfrowana (co pozwala podmienić jej treść bez wzbudzania podejrzeń) albo ze względu na jakieś niedociągnięcia kazał ignorować jakieś ostrzeżenia związane z bezpieczeństwem to winny jest bank.

      @Jack_Donaghy:

      po prostu "na rynku" ataki po stronie banku i złamanie zabezpieczeń banku nie zdarzają się..
      To nie jest prawda. Sam byłem świadkiem włamania do jednego z banków i próby kradzieży środków z konta osoby z mojej rodziny. Na całe szczęście jej czujność do tego nie dopuściła (ktoś wyciągnął dane bezpośrednio z systemu bankowego i próbował ich użyć do autoryzacji przelewu).

      Niestety bank nie wyciągnął z tego żadnych wniosków.

      Ja bym jednak obstawiał, że zabezpieczenia banku >>> zabezpieczenia użytkownika
      I byś przegrał (gdyby wziąć komputer babci i serwer mbanku).

    •  
      J..........y

      +3

      pokaż komentarz

      i próbował ich użyć do autoryzacji przelewu

      @mnlf: możesz opisać w jaki sposób?

      ktoś wyciągnął dane bezpośrednio z systemu bankowego

      @mnlf: jaką masz pewność? Sytuacja w której ktoś złamał system banku i wydobył z niego dane żeby autoryzować przelew wydaje się nieco nieprawdopodobna - skoro złamał zabezpieczenia i uzyskał bezpośredni dostęp do systemu banku to dlaczego nie ukradł pieniędzy? Może dane pochodziły z innego źródła niż sam system banku? Źródło mogło mieć miejsce w banku, ale dlaczego zakładasz że pozyskanie danych wiązało się z przełamaniem zabezpieczeń systemu banku?

      Przełamanie zabezpieczeń systemu bankowego wymaga zasobów pozwalających na kradzież innymi metodami znacznie większych sum niż metoda "mam dane osobowe to spróbuje autoryzować przelew" :)

    •  

      pokaż komentarz

      @Jack_Donaghy: W banku też pracują ludzie i wierz mi, że nie wszyscy z nich znają i stosują własne procedury zabezpieczające. W zasadzie to wszystko o czym pisaliśmy na temat użytkownika końcowego rozciąga się też na pracowników banku.

    •  
      J..........y

      +1

      pokaż komentarz

      @kielus: oczywiście, z tą jednak różnicą, że banki sporo wydają na "wielkiego brata" pilnującego swoich pracowników - a klientów już nikt nie nadzoruje/obserwuje/kontroluje ;)

    •  

      pokaż komentarz

      le właśnie bank nie odpowiada za to, że ktoś Cię obrobi np. podczas wypłaty przy bankomacie

      @Jack_Donaghy: Bank nie odpowiada nawet jak bankomat cię obrobi. Miałem kiedyś przypadek, że bankomat nie wydał mi pieniędzy, ale z konta ściągnał. Pół roku bujałem się z bankiem i oddali pieniądze prawdopodobnie tylko dlatego, że poszkodowanych przez ten konkretny bankomat było więcej. Co w takiej sytuacji? Jak udowodnisz, że bankomat pieniędzy nie wydał? Oni na każdą reklamację powiedzą ci "logi urządzenia nie wykazują żadnych anomalii". I nawet nie masz jak tego sprawdzić.

    •  

      pokaż komentarz

      @Jack_Donaghy:

      możesz opisać w jaki sposób?
      Zadzwonił i podał się za pracownika banku, znał przy tym dane które zna tylko bank (nie istnieją nigdzie indziej bo są to rzeczy wymyślone przez bank przy zawieraniu umowy, nie są też dostępne przez internet), wiedział też o zastosowaniu niestandardowego zabezpieczenia w postaci dodatkowej listy haseł jednorazowych, nie znał tylko tego hasła, więc udając pracownika banku usiłował to hasło jakoś wydobyć. Na całe szczęście niezależnie czego by nie wiedział i jak by nie próbował się uwiarygodnić jako pracownik banku logicznym jest, że skoro to on dzwoni to nie można mu podać żadnych haseł ani innych informacji (i jest to wystarczająco oczywiste aby nawet starsza osoba o tym wiedziała).

      skoro złamał zabezpieczenia i uzyskał bezpośredni dostęp do systemu banku to dlaczego nie ukradł pieniędzy?
      Bo nawet pracownik banku który ma legalnie dostęp do systemu nie jest w stanie tego zrobić.

      Może dane pochodziły z innego źródła niż sam system banku? Źródło mogło mieć miejsce w banku, ale dlaczego zakładasz że pozyskanie danych wiązało się z przełamaniem zabezpieczeń systemu banku?

      Ponieważ bank się do tego oficjalnie przyznał.

      Osobiście podejrzewałem pracownika banku który po prostu chciał wykorzystać swoje stanowisko i coś ukraść, ale w przeprowadzonym śledztwie bank wykluczył taką możliwość.

    •  
      J..........y

      0

      pokaż komentarz

      Osobiście podejrzewałem pracownika banku który po prostu chciał wykorzystać swoje stanowisko i coś ukraść, ale w przeprowadzonym śledztwie bank wykluczył taką możliwość.

      @mnlf: to ja bym tej możliwości nie wykluczał

      Bo nawet pracownik banku który ma legalnie dostęp do systemu nie jest w stanie tego zrobić.

      @mnlf: oczywiście, że jest w stanie - uzyskanie dostępu do systemu obsługi klienta daje większe możliwości niż uzyskanie dostępu do bankowości internetowej bo wykonywanie operacji przez pracownika zazwyczaj nie wymaga autoryzacji hasłami jednorazowymi / tokenem etc.

      Zadzwonił i podał się za pracownika banku, znał przy tym dane które zna tylko bank (nie istnieją nigdzie indziej bo są to rzeczy wymyślone przez bank przy zawieraniu umowy, nie są też dostępne przez internet), wiedział też o zastosowaniu niestandardowego zabezpieczenia w postaci dodatkowej listy haseł jednorazowych, nie znał tylko tego hasła, więc udając pracownika banku usiłował to hasło jakoś wydobyć. Na całe szczęście niezależnie czego by nie wiedział i jak by nie próbował się uwiarygodnić jako pracownik banku logicznym jest, że skoro to on dzwoni to nie można mu podać żadnych haseł ani innych informacji (i jest to wystarczająco oczywiste aby nawet starsza osoba o tym wiedziała).

      @mnlf: raczej mi to wygląda na pozyskanie danych i próbę ich wykorzystania do przejęcia bankowości internetowej niż przełamanie zabezpieczeń systemu bankowego bo to umożliwiałoby dokonanie operacji z poziomu tego systemu co jest łatwiejsze ;)

    •  

      pokaż komentarz

      ciebie nie ma przy kompie, ale z punktu widzenia banku wygląda to tak jakbyś to robił ty ;)

      @Jack_Donaghy: Dzieki za wyjasnienie. Zastanawia mnie jedna rzecz. Pewnie to glupie co mowię, ale jezeli token jest powiazany ze sprzetem to nie dałoby się to zrobic w ten sposob, ze konto bankowe jest powiazane takze z numerem IP? Wtedy chyba taki bandzior nawet znając nasz token nie moglby wejsc z innego IP na konto? Byloby to dobre rozwiazanie dla firm, ktore wykonują przelewy zawsze z jednego kompa.

    •  
      J..........y

      0

      pokaż komentarz

      @stefan_banach: pewnie by się dało, w kontach bankowych nie słyszałem o takich zabezpieczeniach, ale generalnie jest to możliwe :)

    •  

      pokaż komentarz

      @Jack_Donaghy: Wtedy taki bandzior musialby miec fizyczny dostep do naszej maszyny bo zawsze tylko jeden numer IP pozwalalby na dokonywanie przelewow. Inaczej error :D Chyba nie byloby to glupie

    •  
      J..........y

      0

      pokaż komentarz

      @stefan_banach: nie no właśnie w takim wypadku takie zabezpieczenie nie działa - bo on łączy się z Twojego komputera, po prostu korzysta z odpowiedniego oprogramowania które pozwala mu zdalnie wykonywać operację z Twojego komputera bez Twojego udziału i dla banku wygląda, że to Ty to robisz ;)

    •  

      pokaż komentarz

      @Jack_Donaghy: To chyba trzeba by stworzyc system, ktory jakoś sprawdza ruch wstecz :D Moj komputer powinien informować bank, ze jest tylko "łącznikiem" miedzy bankiem a wczesniejszym kompem i ruch zostal przekierowany

    •  

      pokaż komentarz

      @darco3: @Jack_Donaghy: widze że wykopkowi hakerzy tudzież spece od forensics w formie ( ͡° ͜ʖ ͡°)

    •  

      pokaż komentarz

      @Supercoolljuk2: zgłoszone natychmiast na policję i do banku, na następny dzień policja pytała się z jakich IP łączono się z bankiem (aby ustalić z jakich IP, łączył się włamywacz) oraz o jakich godzinach itp.

      Później jeszcze kontaktowali się ludzie z banku chcący jakoś wytłumaczyć jak bank mógł dopuścić do takiej sytuacji. Najpierw chcieli sprzedać jakąś bajkę o wirusie co doprowadziło do jeszcze większej kompromitacji (fajnie by wyglądał artykuł: kierownik .... twierdzi, że mieli w banku wirusa przez co wyciekły wszystkie dane klientów oraz ich hasła główne) tak, że aby jakoś sytuację ratować zadzwonił jego przełożony a potem przełożony, przełożonego i ostatecznie znaleźli jakieś wiarygodne wytłumaczenie lub przynajmniej ustalili wersję najmniej kompromitującą dla banku.

      raczej mi to wygląda na pozyskanie danych i próbę ich wykorzystania do
      Dokładnie, kluczowe jest tylko jak do tego doszło.

    •  
      J..........y

      0

      pokaż komentarz

      widze że wykopkowi hakerzy tudzież spece od forensics w formie

      @HackTheGibson: hakerem nie jestem, ale forensics to akurat jest element mojego wykształcenia i pracy ;)

    •  

      pokaż komentarz

      @Jack_Donaghy: no to widzisz jak dobrze wiem, czemu lajka nie dałeś mi :> ?

    •  
      J..........y

      0

      pokaż komentarz

      czemu lajka nie dałeś mi :> ?

      @HackTheGibson: ?:)

    •  
      p.......3 via iOS

      0

      pokaż komentarz

      @Jack_Donaghy: bo pracuje w tej branży.

    •  
      J..........y

      0

      pokaż komentarz

      @piotreq13: to jeszcze nie daje (niestety) patentu na nieomylność - też pracuje w tej branży, a jak widać nie zgadzamy się co do podstawowej kwestii jaką jest częstotliwość włamań do systemów banków :)

    •  

      pokaż komentarz

      @darco3: http://www.cert.pl/news/8999#more-8999 byłeś najbliżej :). Ten robaczek ostatnio najczęściej infekuje polskie banki. Co najlepsze jest tylko jeden sposob na to by skutecznie go usunąć, a mianowicie format C. :)

    •  
      J..........y

      0

      pokaż komentarz

      @alczas1: nie no tu nie miało to miejsca bo "oszukańcze" przelewy były wykonywane gdy użytkownik nie korzystał z komputera, w którym pozostawił token... podmienianie numerów rachunków wymaga tego abyśmy się sami zalogowali i próbowali wykonać normalny przelew ;)

  •  

    pokaż komentarz

    Swoją drogą... token na usb?! Nie ma chyba nic bardziej niebezpiecznego. Gość złapie wirusa i mu przechwycą ten token albo przyblokują i zostanir bez możliwości dostępu do czegokolwiek.

  •  

    pokaż komentarz

    - Myślę, że zabezpieczamy się w odpowiedni sposób.

    pokaż spoiler ( ͡º ͜ʖ͡º)

  •  

    pokaż komentarz

    A ja zgubiłem klucz do samochodu i przez to ktoś ukradł mi auto - żądam zwrotu od producenta!

  •  

    pokaż komentarz

    To znany problem użytkowników firmowych. Gość ma zapewne trojana na komputerze, który uruchamia zdalny pulpit przez VNC albo RDP oraz posiada funkcję keyloggera żeby przechwycić login i hasło. W przypadku niewyciągniecia tokena USB z gniazda jest otwierana sesja zdalnego pupitu, atakujący ma login i hasło i może zrobić wszystko. Najlepiej zmodyfikować np. nr konta jakiegoś stałego kontrahenta, wtedy użytkownik sam zrobi przelew i nic nie zwróci jego uwagi przez parę dni, zanim kontrahent odezwie się że nie dostał pieniędzy. Ostatnio sporo takich ataków było na samorządy, o czym pisała prasa.
    Moim zdaniem, jeśli bank informował o konieczności wyciągania tokena po wylogowaniu to facet powinien mieć tylko pretensję do siebie.