Podmiana numerów kont w mBank, czyli jak zostaliśmy oszukani na 40 000,00 zł.
Kilka dni temu zostaliśmy okradzeni na 40 tys. podczas wykonywania zwykłego przelewu w mbanku. Po kilku dniach, wchodze w historie operacji widzę nr konta, na który chciałam przelac kase. Wystawiam potwierdzenie, a w nim jest inny nr konta.
+1306
pokaż komentarz
@zpue: nie wiem czy to Twój filmik czy nie, ale - po pierwsze - sprawdzanie zgodności numerów w SMS to podstawa, banki o tym trąbią od dłuższego czasu. Sposób przedstawiony na filmie to nie błąd mBanku, ani żadna "nakładka na połączenie szyfrowane", masz na kompie wirusa który po prostu podmienia numery na stronach transakcyjnych banków, nie ma tu żadnej ingerencji w dane wysyłane przez protokół sieciowy, podmiana następuje w Twojej przeglądarce. Dlaczego widzisz "niby dobry" numer rachunku w historii, a ten właściwy, na który poszła kasa, w SMS i w wygenerowanym PDF? Bo wirus nie ma możliwości podmiany numeru w aplikacjach generowanych po stronie banku, podmienia ci tylko to co masz w przeglądarce, SMS i PDF są generowane po stronie serwera.
-1053
pokaż komentarz
@dzafel: Ja bym bardziej wskazał że mają błąd w systemie ;). Trochę dziwne że dzieją się cuda pt. W historii A, w potwierdzeniu B ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)
+490
pokaż komentarz
@rossecki: Rzecz w tym, że w kod strony łatwo wstrzyknąć inne dane, a do PDFa już nie.
+14
pokaż komentarz
@dzafel: a czy da sie przed tym jakos ochronic korzystajac z opcji karty kodow jednorazowych, a nie potwierdzenia sms? W jaki sposob upewnic sie, ze wysylamy pieniadze na wlasciwe konto, jesli w przegladarce wyswietlany jest prawidlowy numer konta i korzystamyz karty kodow?
+215
pokaż komentarz
@Glacial: Da się minimalizować ryzyko, nie tak super jak przy SMS-ach z wypisanym numerem rachunku, albo tokenach Challenge Response:
W miarę możliwości przelewy wykonuj na dedykowanym urządzeniu. Najlepszy będzie np. niewykorzystywany już do niczego sensownego tablet -- jeśli to iPad, tym lepiej. Z racji hermetycznego środowiska bardzo ciężko jest zainfekować to urządzenie w taki sposób, aby opisywany na filmie problem wystąpił. (Wiemy, wiemy: wygoda, koszt). Wersja budżetowa, nieodporna na wszystkie "triki" przestępców to ZAWSZE po wykonaniu przelewu NATYCHMIAST sprawdzać potwierdzenie przelewu na INNYM komputerze.
-4
pokaż komentarz
@Glacial: to chyba jest spora słabość kart. Może masz możliwość wysłania maila z banku przed wpisaniem kodu?
+13
pokaż komentarz
@Glacial: Odpowiedź była w filmie, sprawdzasz w SMS czy numer konta na które przelewasz jest zgodny, pod warunkiem, że na tel. nie zainstalowałeś podobnego gówna, które też podmienia numery.
+15
pokaż komentarz
@niebezpiecznik-pl: czy drugi system np linux zainstalowany na kompie właśnie do takich transakcji to zabezpieczenie w jakimś stopniu?
+57
pokaż komentarz
@merho: Jeśli nie wierzysz w mitycznego BADBIOS i tego typu wynalazki (albo zdolności naszych rodzimych hakierów od fakturek w zipie) to tak. Ale reboot po przelew to jednak lekki overkill.
+7
pokaż komentarz
@niebezpiecznik-pl: a czy takie ustrojstwo jest w stanie zmienić również kwotę przelewu? Tutaj mamy do czynienia z przelewem na znaczną kwotę. Ale czy człowiek też powinien zachować szczególną ostrożność przy małych przelewach nap. 50 zł.
+7
pokaż komentarz
@niebezpiecznik-pl:
No niestety. Jak niektórzy nie potrafią używać komputera, to może takie porady chyba będą jedynymi sensownymi.
@merho: Prędzej w tej roli widziałbym rozruchowy system z pendrive lub jeszcze lepiej LiveCD/LiveDVD. Wówczas nie można by nić naruszyć w obrazie systemu(który przed wgraniem można zweryfikować pod kątem zgodności sum kontrolnych).
Pozostaje kwestia szkodnika w trakcie trwania sesji, ale można oczekiwać że każdy rozruch wywoła "identycznie czystą sesję".
+3
pokaż komentarz
@niebezpiecznik-pl: wydaje mi się ze zlecenie przelewu telefonicznie też jest całkiem niezłym pomysłem.
+13
pokaż komentarz
na cudzych kompach zawsze używajcie klawiatury ekranowej przy logowaniu i podstawa sprawdzać nr rachunku w SMS szczególnie przy tak dużych kwotach jak 40 tys. Ciekaw jestem czy bank zwróci kasę.
+23
pokaż komentarz
@niebezpiecznik-pl: widziano działalność takiego wirusa na linuxach?
+77
pokaż komentarz
@tomh:
Nie zwróci.
Prawdopodobnie zaatakowana przeglądarka po stronie klienta. Klient olał treść SMSa z potwierdzeniem który wskazywał na przelew pod inny numer konta niż ten który widział na ekranie swojego komputera.
-253
pokaż komentarz
@i_wtedy_sloik_pekl: Tyle minusów, dupa piecze ( ͡° ʖ̯ ͡°)
Doskonale zdaję sobie z tego sprawę. Ale historia jest generowana z danych dostarczonych przez serwer.
Do tego chciałbym zauważyć że jakoś nie dawno była aktualizacja serwisu mbank.
Dlatego nie sondze żeby to był wirus.
+9
pokaż komentarz
@dzafel: a co jeśli ktoś ma tylko kartę kodów ? :C
+64
pokaż komentarz
@rossecki: Tak, dane są dostarczane przez serwer, jednak wirus w dalszym ciągu podmienia kod HTML w przeglądarce.
+12
pokaż komentarz
@Glacial: Tak ja wspomniał @niebezpiecznik-pl - jakieś zewnętrzne urządzenie, ewentualnie jeśli nie posiadasz takowego to wg mnie sensowną alternatywą jest wirtualna maszyna(Virtualbox, VMware) z jakimś windowsem lub user-friendly linuksem(Ubuntu). Uruchamiasz ją tylko gdy potrzebujesz zalogować się na stronę banku.
Gorzej z addonami/pluginami do przeglądarek bo te nie są uzależnione od systemu operacyjnego. Po prostu musisz być uważny gdzie klikasz i co instalujesz :)
+27
pokaż komentarz
widziano działalność takiego wirusa na linuxach?
@SosnoWicher:
Raczej nie - zbyt niszowy system. Atakuje się to co popularne czyli na desktopach Windows, a na komórkach głównie Androida.
+24
pokaż komentarz
@niebezpiecznik-pl: no tak bo dedykowany iPad do przelewów to nie jest przecież overkill bo one są przecież w cenie bułek, więc komu by się chciało tracić 2 minuty na reboot, żeby wykonać przelew. ;)
+6
pokaż komentarz
@rossecki: Chyba za bardzo się zafiksowałeś na ten wirus. Przecież jeśli złośliwy kod podmienia numer konta podczas robienia przelewu, to może robić to też podczas generowania historii - po prostu zakładamy, że jest w stanie robić wszystko w ramach przeglądarki. Wystarczy, że wirus parsuje kod strony i każde wystąpienie pierwszego numeru konta zastępuje drugim (aczkolwiek nie wierzę, by w tym przypadku było to tak prymitywnie zrobione).
-1
pokaż komentarz
@marw007: tak jak mowi @niebezpiecznik-pl: co do kwoty to sa wirusy ktore w schowku windowsa podnmieniaja numery (wiec kwote tez pewnie da rade)
+61
pokaż komentarz
@niebezpiecznik-pl: no dokładnie. W AIB (Irlandia) po wprowadzeniu numeru "obcego" konta muszę:
- wsadzić kartę debetową w generator tokenków,
- zalogować się PINem karty,
- wprowadzić osiem ostatnich cyfr rachunku na który chcę wysłać,
- kwotę,
- wygenerowany token wprowadzić dla potwierdzenia przelewu.
Niby upierdliwe, ale zabezpiecza i to pewnie dość skutecznie przed opisaną sytuacją.
+60
pokaż komentarz
@dzafel: Nigdy nie zwróciłem nawet uwagi, że w powiadomieniu SMS jest numer konta! Dzięki za info!
+1
pokaż komentarz
@niebezpiecznik-pl: a wirtualka? Jak uważacie? Jakieś Dragonfly BSD tylko do bankowości. Po takich newsach coraz przychylniejszym okiem patrzę też na Qube OS...
-3
pokaż komentarz
@marw007:
W tym przypadku facet nie byl kierowany przez strone (aplikacje) do mbanku. Wykonywal z palca przelew (zaplata za fakture). I w tym momencie program podmienil nr konta. Normalnie w sms masz kwote do zaplaty. On chcial wykonac przelew na 40 tys i dostal sms z kwota 40 tys ale nr konta byl inny.
-5
pokaż komentarz
@niebezpiecznik-pl:
Czy taki wirus przejmie tez kontrole nad komputerem na kttórym pracuje na koncie gosc ? Tzn czy na koncie gosc jest mozliwosc zainstalowania sie wirusa ? Lub czy idzie ograniczyc uprawnienia do tego stopnia, aby taka czynnosc byla niemozliwa ? Wiekszosc ludzi pracuje na kompie na zasadzie pracy na wybranych (zainstalowanych wczesniej) aplikacjach. Jesli sie da, czy ktos moze nagrac poradnik ?
-5
pokaż komentarz
@dzafel: ja do przelewów używam komputera offline i linuxa( ͡° ͜ʖ ͡°)
-1
pokaż komentarz
@i_wtedy_sloik_pekl: wogole nie mozna do PDFa nic zmienic bo jest podpisany przez mBank co jest jednym z najlepszych ficzerów mBanku
+55
pokaż komentarz
@Glacial: @niebezpiecznik-pl: Przy potwierdzeniu sms mbank wysyła smsem nr rachunku na który ma być wysłany przelew. Jeśli jeden z drugim się nie zgadza(czyli na komputerze i na sms nr są różne) to od razu widać że coś nie gra.
na cudzych kompach zawsze używajcie klawiatury ekranowe
@tomh: Na cudzych kompach nie korzysta się z bankowości internetowej.
+2
pokaż komentarz
@Glacial: W smsie przynajmniej widzisz na jaki rachunek idzie przlew, w kartach z kodami jednorazowymi nawet takiego zabezpieczenia nie ma
+3
pokaż komentarz
@maraduk12: Do mnei PEKAO zawsze dzwoni przy wiekszych kwotach - i pani czyta cyferki i odbiorce
+35
pokaż komentarz
Kurde, prawie jak w AMA, no to po kolei
@marw007: Tak
@maraduk12: Zlecenie przelewu przez telefon to też overkill IMHO, a często i dodatkowa, większa opłata.
@tomh: Klawiatura ekranowa to półśrodek (zadziała na część wektorów ataku, tylko tych których celem jest podsłuchiwanie klawiatury. Są bowiem trojany, które robią screenshoty wokół kursora. W ten sposób poznają hasło). Niezależnie od sposobu logowania/wprowadzania danych, dane przelewu mogą zostać podmienione.
@SosnoWicher: Nie znamy takiego przypadku, póki co.
@FihuFil: Może być Andek, ale Andek ma gorszą procedurę aktualizacji i dlatego iOS jest polecany jako rozwiązanie "daj userowi, miej spokój". Wszystko oczywiście to kwestia tego ile pieniędzy, czasu i wygody chcesz poświecić na stworzenie "zabezpieczenia idealnego".
@RandomizeUsr0: wirtualka uruchomiona na zainfekowanym systemie jest niezaufaną wirtualką. Nie sądzimy, aby twórcom malware'u chciało się pokrywać tak niszowe przypadki, ale pamiętaj że wymiana danych w schowku jest możliwa pomiędzy gościem a hostem ;)
@smotek: Tak, może.
0
pokaż komentarz
@tomh: a co jak ktoś nagrywa pulpit? Co w tedy da klawiatura ekranowa? Nagrywanie pulpitu jest prostsze niż hakowanie komputera
-3
pokaż komentarz
@niebezpiecznik-pl:
Halo halo napisz prosze jak sie na windowsie zabezpieczyc. Czy ograniczenie konta w specjalny sposob pomoze ?
Mleko sie rozlało. Szukam dla siebie i innych sposobu aby uniknac podobnej sytuacji.
+30
pokaż komentarz
@smotek: Problem nie jest w Windowsie (no dobra, trochę jest :P) czy innym systemie operacyjnym ale przede wszystkim w człowieku i jego naiwności i rutynie.
Najpierw naiwność na poziomie infekcji (damy sobie obciąć rękę, albo nawet coś ważniejszego, że wektorem był plik .pdf.scr, .pdf.exe udający wezwanie do zapłaty albo awizo, przesłany w formie spakowanego na hasło archiwum).
Potem rutyna na etapie potwierdzania przelewu. Brak czytania SMS-a z kodem i weryfikacji cyfr rachunku, które tam się znajdują z rachunkiem na który zlecany jest przelew (o ile ten rachunek nie przyszedł "mailem").
Generalnie to jak się zabezpieczyć, niezależnie od systemu operacyjnego, opisaliśmy już dawno tutaj:
http://niebezpiecznik.pl/post/6-rad-jak-bezpiecznie-wykonywac-przelewy/
+1
pokaż komentarz
@niebezpiecznik-pl: a jeszcze pytanie do was, jak wyglada sprawa tych atakow w kwestii opcji w stylu pay4u (allegro itp.). Czyli w stronach ktore z gory automatycznie maja wypelniona pola z kwotami i numerem rachunku. Czy one tez sa narazone na ataki? Oraz co z przelewami dedykowanymi (te ktore tez maja od razu wypeslniony numer rachunku), ale zapisane sa na twoim koncie internetowym w banku.
-5
pokaż komentarz
@niebezpiecznik-pl:
Nie kazdy zna się na komputerach. Ludzie działają rutynowo, lenistwo itp.
Generalnie chodzi mi o to, jak system ustawić aby zabezpieczyć rodzine (wujków, dziadków, rodziców i dzieci) oraz tych co o komputerach wiedzą niewiele. Wasze porady to szereg czynności. Proszę napiszcie jak windows zmodyfikować aby wykluczyć albo zminimalizować do minimum zagrożenie.
+1
pokaż komentarz
@bachus: Bardzo podobne zabezpieczenia są w HSBC or w Barclays. Trochę czasu to zajmuje, ale przynajmniej bezpieczne.
+3
pokaż komentarz
@Glacial: Zależy od API. Może, nie musi. Gdybyśmy to my mieli wykorzystać ten element do ataku, to w trakcie przelewu PayU po przekierowaniu na stronę banku wyświetlilibyśmy komunikat - "Z racji XXX musisz YYY" - czyli przeszli na wiarygodny phishing, aby wyskoczyć z obostrzeń API.
+9
pokaż komentarz
@smotek: Dokładnie tak, jak jest napisane w tym artykule, który już na pewno przeczytałeś, prawda? :)
0
pokaż komentarz
@dzafel: smsy to podstawa, a co jesli ktos ma tokeny albo karty zdrapki? wtedy nie mozliwosci sprawdzenia
0
pokaż komentarz
@niebezpiecznik-pl: Czy wystarczyło by żeby bank podczas prośby o akceptacje przelewu nie pokazywał numeru wygenerowanego na stronie tylko np. obrazek wygenerowany na ich serwerze z numerem konta? Jak rozumiem to wysyłają numer konta w smsie, ale jak widać większość osób to ignoruje.
+27
pokaż komentarz
@thris: Wszystko co masz w przeglądarce nie jest godne zaufania, więc czy to będzie obrazek, czy migająca morsem dioda klawiatury -- nie możesz temu ufać.
0
pokaż komentarz
@bachus: tez tak mam ( ͡° ͜ʖ ͡°)
0
pokaż komentarz
Komentarz usunięty przez autora
-1
pokaż komentarz
@FihuFil: Używany Ipad2 za 500 można już zdobyć pewnie przed świętami nawet łatwiej, bo będą wymieniać na nowe :-)
+2
pokaż komentarz
@rossecki: "sondze" - nie sądź innych po sobie :/
-2
pokaż komentarz
@niebezpiecznik-pl: i co ci da sprawdzenie po minucie jeśli wysłałeś na zły adres? poszło to poszło
-14
pokaż komentarz
Banku, ani żadna "nakładka na połączenie szyfrowane", masz na kompie wirusa który po prostu podmienia numery na stronach transakcy
@dzafel: Mbank ma tak sp#%%?@!oną stronę i politykę z nią związaną, że sam rozważam zmianę.
Na tablecie/tel korzystałem nie za apki tylko strony internetowej i ostatnio zastanawiałem się czy przypadkiem nie trafiłem na cos podmienionego bo te głąby zmieniły stronę ze starej na nową, na której wykonanie przelewu pomiędzy kontami to loteria....
+8
pokaż komentarz
Wersja budżetowa, nieodporna na wszystkie "triki" przestępców to ZAWSZE po wykonaniu przelewu NATYCHMIAST sprawdzać potwierdzenie przelewu na INNYM komputerze.
@niebezpiecznik-pl: Ale wiecie ze w mBanku potwierdzenie PDFowe da sie wygenerowac dopiero gdy przelew wyjdzie na sesji Elixir? Wczesniej nie ma w ogole tego przycisku
+3
pokaż komentarz
@rossecki: kompletnie nie rozumiesz tematu
+1
pokaż komentarz
@smotek: Nie da się z ludzi zrobić bezmyślnych zombie. Chociaż niektórzy by chcieli. To jak z higieną (myj ręce), elementarnymi zasadami bezpieczeństwa (nie wchodź na czerwone) etc. Tego trzeba się po prostu nauczyć
+1
pokaż komentarz
@sln7h: Moża jednak zobaczyć podsumowanie transakcji w historii. Zrobienie tego z innego urządzenia (i łącza), np. z tel. ujawni różnicę.
0
pokaż komentarz
@dzafel: @niebezpiecznik-pl: a tak teoretycznie, np. na innym komputerze (niezawirusowanym) będzie widać w historii podmieniony numer konta (ten widoczny dopiero w pdfie)?
+1
pokaż komentarz
@niebezpiecznik-pl: A, dobra, już rozumiem - nie doczytałem co mieliście na myśli. W sumie ujawniając podmianę zaraz po wysłaniu (jeszcze przed Elixirem), istnieje pewnie opcja wstrzymania przelewu po kontakcie z bankiem - tylko trzeba zdążyć przed sesją Elixir
+2
pokaż komentarz
a tak teoretycznie, np. na innym komputerze (niezawirusowanym) będzie widać w historii podmieniony numer konta (ten widoczny dopiero w pdfie)?
@chud: Tak, bedzie widac podmieniony.
0
pokaż komentarz
@niebezpiecznik-pl: jak nie tablet, to jakies ubuntu "live-cd" (a raczej live-usb) uzywane jedynie do przelewów
-5
pokaż komentarz
@elizabeth-barley:
Idzie zrobić. W polsce panuje przekonanie, ze nic sie nie da bo po co, ile to bedzie kosztowac bla bla bla. zobacz na zachodzi jak sa perony zabezpieczone dla pociagow i metra, jakie sa rozwiazania drogowe idiotoodporne, tylko u nas zawsze wina uzytkownika ..
-1
pokaż komentarz
@dzafel: Masz rację, a Pan mówi o zabezpieczeniach a kompletnie się na nich nie zna. Trzeba więcej pornusów oglądać a rano przelewy idą na inne konto!.
+3
pokaż komentarz
@niebezpiecznik-pl: Pan w filmie zadał ciekawe pytanie. Mianowicie w jakim celu podaje się te wszystkie dane do przelewu tj. imię, nazwisko itd.? Bank tego nie sprawdza(chyba) do weryfikacji. Pomyślałem, że to jest tylko dla nas, żeby później mieć po czym filtrować historię, ale w takim układzie nie musi być to obowiązkowe.
0
pokaż komentarz
@dzafel: nie czytałem wszytskich komentarzy, byc może ten temat byl poruszany ale zapytam. Czy jest jakas mozliwość aby ten numer potwierdzający numer konta dal się rozwinać ? Mi za kązdym razem przychodzą dwie pierwsze....cztery ostatnie cyfry i ni cholery nie moge go rozwinąć aby go sprawdzić :)
0
pokaż komentarz
@wojciechwaw: nie da, przychodzą zawsze tylko takie skrócone numery, wystarczające do weryfikacji.
-5
pokaż komentarz
@butcher_borys: Mam tylko nadzieję, że jak Ty zostaniesz oszukany (w taki lub inny sposób) to wszyscy dookoła też Ci tak powiedzą. Co ty masz w głowie? Pasztetową?
+1
pokaż komentarz
@j123456: Już mi źle życzysz a w ogóle mnie nie znasz. Akurat wielu ludzi do edukowałem z IT i to za darmo.
0
pokaż komentarz
@wojciechwaw: nie jest to potrzebne, cztery ostatnie cyfry (a nawet więcej) to numer rachunku klienta w obrębie jego banku, a pierwsze 2 cyfry to cyfry kontrolne, jeśli one się zgadzają to wszystko jest ok.
Zajmuję się bankowością internetową zawodowo i niestety nie da się wszystkim wytłumaczyć, że sms to lepszy środek autoryzacji niż karta TAN/Zdrapka. Niektórzy muszą się na własnej skórze przekonać żeby zrozumieć.
-1
pokaż komentarz
@niebezpiecznik-pl: to jeśli jesteśmy w temacie zapytam się znawców.
Powiedzmy, że mam ten wirus, trojan czy inny malware na komputerze, robię przelew ale mam włączone programy typu procexp, tcpview - to czy dzięki nim mogę zauważyć aktywność wirusa? Czy powinien włączyć się jakiś ruch w procesie, ruch na łączu przy wypełnianiu pola "numer konta"?
0
pokaż komentarz
@niebezpiecznik-pl: W tym wypadku oceniam, że wina w systemie jest duża, gdyż z tego co widzę to Vista.
-1
pokaż komentarz
@SosnoWicher: na osx tez nie widziano. Dyndows c#%#!wy.
0
pokaż komentarz
@niebezpiecznik-pl:
A gdyby zastosować Virtualboxa z Linuxem i używać go tylko do transakcji bankowych?
0
pokaż komentarz
sprawdzanie zgodności numerów w SMS to podstawa
@dzafel: A gdy metodą autoryzacji jest token (np PEKAO) jak można się uchronić przed takim oszustwem?
+2
pokaż komentarz
@dzafel: Gość ciągle powtarza, że stracił "pieniążki", więc chyba nie jest tak źle :)
0
pokaż komentarz
najlepsze rozwiązanie do przelewów to odpalac z USB np. Linux MInt'a
0
pokaż komentarz
@dzafel: Od siebie dodam, że prawdopodobnie taki wirus może być zagnieżdżony w UEFI płyty głównej. Chyba był kiedyś o tym temat na wykopie.
+1
pokaż komentarz
@niebezpiecznik-pl: a jak się ma odpowiedzialność banku jeżeli robię przelew na tokenie? Przecież nie mam możliwości sprawdzenia numeru tak jak w SMS a bank powinien moim zdaniem zestawić numer z danymi odbiorcy, które w przypadku podmiany numeru będą inne?
-1
pokaż komentarz
@mariusz5891: przeczytaj wypowiedzi niebezpiecznika powyżej, masz tam odpowiedź.
0
pokaż komentarz
ale pamiętaj że wymiana danych w schowku jest możliwa pomiędzy gościem a hostem ;)
@niebezpiecznik-pl: VBox od jakiegoś czasu ma możliwość włączenia (domyślnie jest wyłączone) wymiany danych przez schowek - w obie strony oddzielnie.
+3
pokaż komentarz
@AppleDash: to zależy jak wykonywane jest wstrzyknięcie
@no_stupid_person: Wyślij ze źle wpisanymi danymi, to zobaczysz, że nie ma większego znaczenia co tam wpiszesz... Te dane są ignorowane, choć niektóre banki zwracają uwagę na te informacje (nie dlatego, że muszą, a dlatego, żę chcą) -- jest to jednak ich dobra wola. Bardziej jest to wykorzystywane do wykrycia dokonanego fraudu i próby jego powstrzymania, a więc nikt nie blokuje automatycznie na tej podstawie transakcji przelewu
@Hejkumkejkum: Odpalenie wirutalki na zainfekowanym systemie to nie jest coś, co chcesz robić. Dalej jest możliwość kontrolowania tego co w wirtualce, a host i gość wspóldzielą schowek. Nie widzieliśmy jednak malware;u który ten możliwy do zaimplementowania atak, zaimplementował. Pewnie dlatego, że dużo pracy, a szkoda czasu na tak jednostkowe przypadki (bo ile osób będzie stosować taki myk?).
@piotrb: no właśnie. Host steruje tą opcją, więc jak jest zainfekowany to "po ptokach"
+1
pokaż komentarz
@niebezpiecznik-pl: hips od comodo zawsze mi wykrywał wszystkie rodzaje wstrzyknieć xd
0
pokaż komentarz
@tomh: klawiatura ekranowa przed niczym nie chroni...
-8
pokaż komentarz
@sln7h: Aliorze przy kopiowaniu i wklejaniu numeru konta trzeba ostatnią cyfrę wpisać ręcznie. Proste i prawdopodobnie w miarę skuteczne zabezpieczenie. M Bank infokinia też zdecydowanie nirmalniejsza od Mbankowej..
0
pokaż komentarz
@Glacial: już ktoś odpowiedział jak to zrobić: czytać smsy, tam powinien być poprawny numer, chyba, że telefon też masz zawirusowany - to możliwe, ale to też nie wina banku, tylko wirusa - on jest na Twoim telefonie i bank nijak na to wpłynąć nie może co sobie zainstalujesz.
0
pokaż komentarz
@tas2000: niekoniecznie - przepisanie nie gwarantuje, że wirus w komputerze podmieni numer, są takie, co podmieniają nie tylko wklejane ze schowka numery, tylko po prostu wszystkie
0
pokaż komentarz
@tomh: Klawy ekranowej to autor filmiku mógł użyć, żeby mu teraz nikt konta nie shax0rzył "na słuch" ( ͡º ͜ʖ͡º)
@niebezpiecznik-pl A co sądzicie o opcji Man-in-the-browser? To by tłumaczyło wstrzyknięcie i wyświetlanie fałszywej wartości numeru konta w historii rachunku. Ciekawe, czy logowali się z innej przeglądarki, co w tym przypadku byłoby najprostszym sprawdzeniem. Bo na podmianę schowka mi to nie wygląda.
0
pokaż komentarz
@no_stupid_person: w mbanku te informacje i tak sa mało rozbudowane, wpisujesz tylko jakąś nazwę (nie musi być to imie i nazwisko, ja bardziej wpisuję tam to po czym łatwo dojde np. 'kredyt') numer konta kwotę i poszło. Bank nawet jak jest w formularzu to nie sprawdza żadnych danych. Generalnie jest tak że (nie biorąc pod uwagę wirusa o którym tutaj mowa) nie da sie pomylić w numerze konta, jak wpiszesz zły to nie pójdzie do kogoś innego tylko nie przepuści Cie formularz bo nie zgodzą się sumy kontrolne.
-1
pokaż komentarz
@niebezpiecznik-pl: czy pomocny na takiego typu wirusy (oprócz antywirusa) jest Malwarebytes Anti-Malware?
0
pokaż komentarz
widziano działalność takiego wirusa na linuxach
@volatile_pc: A co z pluginami do Chrome i Firefox na Linuxie? czy one mogły by robić takie cuda jak podmiana kodu w HTML? Pytam, bo właśnie na Linuxie pracuje i wiem że wirusów raczej nie ma, ale nie mam zaufania do przeglądarek
+1
pokaż komentarz
chyba, że telefon też masz zawirusowany - to możliwe,
@pigwa3: Dlatego jako numer prywatny mam starą Nokie, która nie doś że trzyma kilka dni, to raczej nie da rady uruchomić takiego oprogramowania. I to na nią wysyłam SMSy z banku, a aplikacje bankową mam na drugim smartfonie, gdzie mam numer firmowy włożony
+1
pokaż komentarz
Jeśli kasa nie została przelana na zagraniczne konto, jeśli prokuratura by spięła dupę to można się pokwapić o odzyskanie pieniędzy. Prokuratura - bank gdzie przelew przyszedł - monitoring z tego i tego dnia - śledzenie trasy z monitoringu słupa przy zakładaniu konta, wybraniu pieniędzy z atma, banku - numery rejestracyjne / adres / twarz. Chodź podejrzewam że jak ktoś wykodził takie gówienko to obmyślał sprawę...
0
pokaż komentarz
@kajttek: moja ostatnio największa bolączka - chciałbym telefon nieduży (ekran 4 cale to za duże bydle), z normaną, fizyczną klawiaturą (może być qwerty), nie koniecznie będący smartfonem, ale z radiem, mp3, jedną grą: sudoku (przepadłem odkąd miałem w motoroli rokr e8), oraz książką telefoniczną łątwo importowalną/eksportowalną do listy kontaktów gmaila, do tego najlepiej wodoodporny, ale nie wyglądający jak pomarańczowo aluminiowa zabawka z budowy chińskiej autostrady :)
kuźwa - naprawdę nikt nic takiego nie potrzebuje, że nikt tego nie produkuje?
+1
pokaż komentarz
@AppleDash: po kilku dniach każdy AV jest pomocny ( ͡° ͜ʖ ͡°)
0
pokaż komentarz
nie sondze
@rossecki: rak
0
pokaż komentarz
Komentarz usunięty przez autora
-1
pokaż komentarz
SMS i PDF są generowane po stronie serwera.
@rossecki: To się zgadza. Dlaczego w takim razie u autora filmu PDF ma inny nr konta? Przecież jest generowany na serwerze. Wirus prawdopodobnie na localhoście, w locie podczas przelewu podmienia nr konta i już na serwerze mBanku jest generowany faktyczny ale fałszywy nr.
+9
pokaż komentarz
@psyxosutek: Twój numerek na onkologię to: 460.
(Nie zmarnuj go) (✌ ゚ ∀ ゚)☞
źródło: x3.cdn03.imgwykop.pl
0
pokaż komentarz
@Glacial: bit Defender ma fajną nakładkę do przelewów. Tzw safe Pay.
+1
pokaż komentarz
@rossecki: przeczytaj sobie dokładnie komenty niebezpiecznika, bo ty kompletnie nie rozumiesz o co w tym wszystkim chodzi.
-3
pokaż komentarz
@nomadicgoogler: Przeczytałem, na początku przyjąłem założenie że użytkownik korzysta z "innego, czystego" systemu.
-1
pokaż komentarz
@coolpick: Ale jak ktoś potrzebuje dostępu do konta bankowego na smartfonie to lepszy token lub kody zdrapkowe, bo wirus na smartfonie ma dostęp do konta i smsów. Powinny być tokeny, które generowałyby kody jednorazowe w oparciu o kilka cyfr z nr konta, na które chcemy zrobić przelew.
0
pokaż komentarz
@Mistrz_Cietej_Riposty: Przy wykonywanie przelewu z aplikacji na zainfekowanym telefonie nie ma różnicy czy mamy smsy czy TANy/zdrapki, i tak nic nie zauważymy. SMSy są lepsze od TANów czy zdrapek w przypadku wykonywania przelewu w przeglądarkowej aplikacji bankowości internetowej, ponieważ zapewnia drugi, niezależny kanał komunikacji z klientem.
0
pokaż komentarz
@coolpick: Rozumiem, ale chciałem tylko wskazać, że sms też nie jest rozwiązaniem idealnym i wskazać jeszcze inną możliwość ataku. Na smartfonie z kodami sms, wirus już nie musiałby czekać na twój przelew i podmieniać nr konta adresata, tylko robiłby swoje przelewy. Albo haker bierze na widelec konkretną osobę i infekuje jej zarówno komputer i smartfona.
+1
pokaż komentarz
@Mistrz_Cietej_Riposty: Z tym że nie jest idealny się zgodzę, tak jak pisałem jest po prostu lepszy od TANów i zdrapek :)
0
pokaż komentarz
@niebezpiecznik-pl a czy zabezpieczenie które polegało by na wprowadzeniu 4 losowych cyfr numeru konta na które chcemy przeslac pieniądze, też tak prosto można by złamać? Informacja które cztery cyfry mamy podać mogła by być wysłana smsem, zamiast potwierdzenia, w innej wersji, info które cyfry trzeba wpisać wyswietlali by w jakimś obrazku w stylu captcha, ale to już pewnie nie daje bezpieczeństwa.
-1
pokaż komentarz
@SosnoWicher: wszystko jest możliwe, jest kilka wirusów na linuksa, ale to jest na tyle niszowy system, że mało prawdopodobne. Jeśli chcesz być bardziej zabezpieczony - wybierz niestandardowy system (cokolwiek oprócz ubuntu). Jest pierdyliard dystrybucji Linuksa, kazda trochę inna, nikomu się nie chce pisać wirusów pod Gentoo czy inne niszowe wynalazki (znam gościa używającego PLD - to już szczyt hipsterstwa IMHO, ale działa ;) ).
0
pokaż komentarz
W miarę możliwości przelewy wykonuj na dedykowanym urządzeniu. Najlepszy będzie np. niewykorzystywany już do niczego sensownego tablet -- jeśli to iPad, tym lepiej. Z racji hermetycznego środowiska bardzo ciężko jest zainfekować to urządzenie w taki sposób, aby opisywany na filmie problem wystąpił. (Wiemy, wiemy: wygoda, koszt). Wersja budżetowa, nieodporna na wszystkie "triki" przestępców to ZAWSZE po wykonaniu przelewu NATYCHMIAST sprawdzać potwierdzenie przelewu na INNYM komputerze.
@niebezpiecznik-pl: Może jeszcze zamknąć się w bunkrze albo z E. Snowdenem pod jednym kocem?
-1
pokaż komentarz
@canto: co kto lubi.
0
pokaż komentarz
@Glacial: karta kodów jest mniej bezpieczna od sms, według niektórych sms zawierające dane transakcji są bardziej bezpieczne od tych najprostrzych tokenów, które takich danych nie pokazują na wyświetlaczu
0
pokaż komentarz
@rossecki: dlaczego nie sądzisz, żeby to był wirus? bo była aktualizacja?
0
pokaż komentarz
@rossecki: przynajmniej nie umrę jako analfabeta
-1
pokaż komentarz
@psyxosutek: Sondze że.
pokaż spoiler
Usuń konto ( ͡º ͜ʖ͡º)
0
pokaż komentarz
@rossecki: szczyt elokwencji, ctrl+c ctrl+v
-1
pokaż komentarz
@psyxosutek: To jest ciągle lepsze niż tasowanie się nad "sondze" ᕦ(òóˇ)ᕤ
0
pokaż komentarz
@rossecki: jesteś głupi i nie umiesz się przyznać ( ͡º ͜ʖ͡º)
-1
pokaż komentarz
@rossecki: to nie tasowanie się nad "sondze", tylko tasowanie się nad stanem umysłu człowieka, który nie potrafi napisać poprawnie tak prostego słowa jak "sądzę". Oczywiście prościej byłoby gdybyś napisał, że to przez pośpiech i nawet bym ci uwierzył, bo widzę, że większość twoich komentarzy nie zawiera takich "cudów", ale kto by się tam przyznał do błędu, lepiej wklejać kolejne odpowiedzi wykop-wojownika.
-1
pokaż komentarz
@psyxosutek: Lel, zrobiłem to całkowicie umyślnie ( ͡º ͜ʖ͡º).
Tak więc nie sondze aby twoja analiza była poprawna :3.
Żebyś nie mógł się tasować nad stanem mojego umysłu...
Pacz wiem co to jest słownik
http://sjp.pwn.pl/slowniki/s%C4%85dzi%C4%87.html
pokaż spoiler
Tasowanie się nad "Pacz" za 3..2..1
-2
pokaż komentarz
@dzafel:
po pierwsze - sprawdzanie zgodności numerów w SMS to podstawa, banki o tym trąbią od dłuższego czasu.
no chyba se jaja robisz. Nigdy jak żyje nie słyszałem żeby jakikolwiek bank o tym wspominał. Poza tym tylko niektóre banki załączają w smsach numery konta odbiorcy. Wysyłany jest tylko numer transakcji i numer weryfikacyjny do wpisania. O popularnych kartach zdrapkach używanych zamiast sms-ów nawet nie wspominając.
-1
pokaż komentarz
@psyxosutek:
źródło: pl.memgenerator.pl
więcej komentarzy(107)
+446
pokaż komentarz
pieniążki, pieniążki, pieniążki... pieniądze k$$!a!
+93
pokaż komentarz
@letterman91: dokładnie, widzę że nie jestem sam
-103
pokaż komentarz
@letterman91: A co to za roznica?
+109
pokaż komentarz
@boltzmann: w byciu poważnym
+130
pokaż komentarz
@letterman91: Do tej pory myślałem, że to ja mam p##??#%ca na tym punkcie. Często słychać "pieniążki" w wypowiedziach pseudo biznesmenów, szczególnie na allegro. "Jak dojdo pieniążki, to wyślę towarek", jakbym kupował klocki dla dziecka..
+64
pokaż komentarz
A co to za roznica?
@boltzmann: Pieniążki można dać dziecku na bułeczkę. 40 000 złotych to już nie są drobniaki. Zauważ, że jakbyś poszedł do banku i chciał np. wziąć kredyt mieszkaniowy, to żaden bankier nie powie Ci, że "pieniążki będą przelane w poniedziałek".
-37
pokaż komentarz
@letterman91: skandal! Napluli Ci tym w twarz!
pokaż spoiler
co za życie trzeba mieć, żeby irytować się z powodu takich głupot
-26
pokaż komentarz
pieniążki, pieniążki, pieniążki... pieniądze kurwa!
@letterman91: oj nie przyp$?$$@%aj się, to praska gwara. Dobrze, że są lokalne folklory.
+43
pokaż komentarz
@boltzmann: jak ktoś mówi "pieniążki" to od razu mam w głowie gotowy profil psychologiczny takiej osoby tj. nieśmiała, wstydliwa, bojąca się podjąć decyzję, w zasadzie pierdoła, która nie ogarnia, łatwo manipulować takimi ludźmi, wiem z doświadczenia.
0
pokaż komentarz
Komentarz usunięty przez autora
-2
pokaż komentarz
@letterman91: świetny opis. Pamiętam jedną panią, która doradzała mi, żebym "pieścił pieniążki". Nie pytaj, do dzisiaj nie wiem co miała na myśli. Dokładnie odpowiadała opisanemu przez Ciebie profilowi.
0
pokaż komentarz
pieniążki, pieniążki, pieniążki... pieniądze k??@a!
@letterman91: No to chyba zależy, o jakiej kwocie mówimy. Dla jednego pieniądze, a dla drugiego to tylko pieniążki.
+13
pokaż komentarz
@letterman91: k$#?icy idzie dostać, za każdym razem jak słyszałem 'pieniążki' coś we mnie umierało....
-1
pokaż komentarz
@WybranyLoginJestZaj: w mojej opinii tutaj nie ma niczego pomiędzy 0 i 1, albo jesteśmy poważni, zachowujemy i wypowiadamy się jak dorośli albo nie. Tak samo jak nie można być w pół dorosłym. I tu już nie chodzi o kwotę.
-3
pokaż komentarz
@letterman91: Ech, co za czasy - nie daj #pdk czy lenniego, to nikt nie wyczuje ironii.
-1
pokaż komentarz
@WybranyLoginJestZaj: (╥﹏╥)
+6
pokaż komentarz
@letterman91: Może 40 000 to pieniążki a 4 000 000 to pieniądze. Chociaż po saldzie z konta nie sądzę :-)
-5
pokaż komentarz
@letterman91: bo tu wszyscy operują pojęciem pieniądza. Nikt nie mówi o cebulionach, cebuli, cblnach i w ogóle tu jest ą i ę ( ͡° ͜ʖ ͡°)
+2
pokaż komentarz
@letterman91: mówisz chlebek -jesteś zjebek
-2
pokaż komentarz
@letterman91: Wypisz wymaluj Smegol
0
pokaż komentarz
@letterman91: Tez mnie w srodku wygina jak slysze bezsensowne zdrobnienia. Glownie pieniazki. On jeszcze z klodeczka wyjezdza. Ooo tu jest klodeczka. Szkoda tylko ze nie przeczytal dokladnie SMSika.
-2
pokaż komentarz
@letterman91: Tak to jest jak się nie zaplusuje twarzy pinionszka :(
+1
pokaż komentarz
pieniążki, pieniążki, pieniążki... pieniądze kurwa!
@letterman91: Bo?
-3
pokaż komentarz
@letterman91: @piachu: @lincolin: @Roszp: @drazekorsarz: Ja p??#?#?e, jak można mieć taki ból dupy o jakieś słowo xD
Niektórzy tak po prostu mówią i dla nich to jest normalne, dop?%%%%$anie się o "pieniążki" ma tyle sensu co kłótnia o to że ktoś mówi "na pole" zamiast "na dwór". Ogarnijcie się.
+1
pokaż komentarz
@perfidnyplan: Niektórych wk@#?a krzywo położony kostka na chodniku, niektórych to że jest bałagan w domu innych to, że dziecko za głośno płacze, albo że ktoś za głośno słucha muzyki, a mnie wk@#?ia zdrobnianie wszelakich wyrazów, a w szczególności słowo "pieniążek".
+1
pokaż komentarz
@benwatkins: Też nie lubie zdrobnień ale nie widzę sensu pouczania kogoś żeby tak nie mówił, taki człowiek nie będzie rozumiał dlaczego kogoś to wk#$@ia bo dla niego to słowo brzmi całkowicie normalnie.
0
pokaż komentarz
@Pan_Buk: to znaczy ze pieniążki trzeba glaskac i dotykac ( ͡° ͜ʖ ͡°)
0
pokaż komentarz
@letterman91: to tak samo jak będzie hasło 'święta święta i po świętach!' k??%icy dostać można od tego ;_;
0
pokaż komentarz
@letterman91: po trzecim powtórzeniu wyłączyłem film. W tekście pieniążki tak bardzo nie irytują jak w wersji av :)
0
pokaż komentarz
@perfidnyplan: Jak chodziłem do szkoły to miałem takiego znajomego z klasy co u niego mnie strasznie denerwowała jego artykulacja wyrazów. Był to spoko gość, nic mu nie mam do zarzucenia, oprócz tej artykulacji przez to nie mogłem go dłużej słuchać niż minutę. Próbowałem ze sobą walczyć, bo gość był spoko, no ale mi się nie udało.
0
pokaż komentarz
@perfidnyplan: mówienie na pole też mnie drażni. A co do pieniędzy - to jest podwójnie irytujące, bo żyjemy w poj?%!nym kraju gdzie pieniądze są tematem tabu, czasem tylko ktoś napomknie o "pieniążkach"
0
pokaż komentarz
jak ktoś mówi "pieniążki" to od razu mam w głowie gotowy profil psychologiczny takiej osoby tj. nieśmiała, wstydliwa, bojąca się podjąć decyzję, w zasadzie pierdoła, która nie ogarnia, łatwo manipulować takimi ludźmi, wiem z doświadczenia.
@letterman91: Ja natomiast mam do "pieniążków" także drugi profil psychologiczny. Cwaniaczek i krętacz, który takimi zdrobnieniami celowo "rozmiękcza" kontrahenta, albo zwyczajnie uważa wszystko wciąż za zabawę, a nie poważną transakcję. Ale jak ktoś nie potrafi mówić poważnie o pieniądzach, to niby dlaczego równie na poważnie miałoby się z nim robić jakikolwiek interes...
A na filmie ot, jakiś cwaniaczek którego ktoś własnie orżnął...
0
pokaż komentarz
@benwatkins: ja nie lubie krzywego chodnika, bo nie da sie po nim jezdzic
więcej komentarzy(22)
+10
pokaż komentarz
Może @niebezpiecznik-pl tym by się tym zainteresował i wyjaśnił mechanizmy tego oszustwa? Czy taka sytuacja też jest możliwa na stronach innych banków?
+178
pokaż komentarz
@Surgeon: Wielokrotnie to się przewijało. To jest możliwe na każdej www.
Po prostu ludzie traktują SMS z potwierdzeniem jako "zło konieczne" i nie sprawdzają końcówki numeru konta.
+29
pokaż komentarz
@kiler129: To niech @mbank z łaski swojej walnie migąjący oczojebny baner "Sprawdź zgodność numeru bankowego z otrzymanym w smsie" a nie dopierdziela jakieś lukrowane pierdołowate interfejsy dla gimbazy z nagrodami, fejsbukiem i innym gównem.
+303
pokaż komentarz
@Surgeon: 26 sekunda filmu -- padają słowa "jakiś wirus". Nie mamy więcej pytań... Wina użytkownika -- bo zgodnie z regulaminem, bank (w uproszczeniu) nie odpowiada za transakcje wykonywane z zainfekowanego komputer, zwłaszcza, jak się ich nie zgłosi w przed wychodzącą sesją elixiru. Niestety, takie numery są znane od dawna. Spisaliśmy w tym poście rady dla każdej osoby, która wykonuje przelewy bankowe (nie tylko w mBanku):
http://niebezpiecznik.pl/post/6-rad-jak-bezpiecznie-wykonywac-przelewy/
Kluczowa rada to:
1. Weryfikuj czy numer konta w SMS-ie z kodem potwierdzającym transakcje pasuje do numeru z faktury/rachunku itp. na których chcesz zrobić przelew. To jest kluczowe, a prawie nikt tego nie robi. Ofiary rutynowo szukają kodu w SMS-ie i go przepisują. Macie sprawdzić przede wszystkim cyfry rachunku oraz kwotę.
2. W miarę możliwości przelewy wykonuj na dedykowanym urządzeniu. Najlepszy będzie np. niewykorzystywany już do niczego sensownego tablet -- jeśli to iPad, tym lepiej. Z racji hermetycznego środowiska bardzo ciężko jest zainfekować to urządzenie w taki sposób, aby opisywany na filmie problem wystąpił. (Wiemy, wiemy: wygoda, koszt). Wersja budżetowa, nieodporna na wszystkie "triki" przestępców to ZAWSZE po wykonaniu przelewu NATYCHMIAST sprawdzać potwierdzenie przelewu na INNYM komputerze.
3. Nie otwieraj plików zip/rar/itp. przysyłanych e-mailem, spakowanych na hasło, z hasłem podanym w treści e-maila. Dotyczy zarówno wezwań do zapłaty, listów przewozowych z DHL i awizo z Poczty Polskiej, jak i szeregu innych "pomysłów" na jakie wpadną w najbliższych dniach przestępcy.
0
pokaż komentarz
@Surgeon: Wiem, że swego czasu był nawet mailing. Ludzkie przyzwyczajenia i lenistwo trudno pokonać.
+16
pokaż komentarz
@niebezpiecznik-pl: ja bym jeszcze dodał kopiowanie numeru konta na raty. Bo chyba te wirusy liczą cyfry w schowku i jak jest ich tle co nr konta to zamieniają.
+1
pokaż komentarz
@niebezpiecznik-pl: W T-mobile usługi bankowe dostarczane przez Alior Bank jest tak, że w przypadku chęci wydrukowania potwierdzenia płatności wykonanej za pomocą karty należy zadzwonić na infolinię, a następnie po zweryfikowaniu siebie podać dane tego przelewu, aby osoba po 2 mogła takie potwierdzenie wygenerować. Dodatkowo proszą także o podanie jednorazowego hasła które jest potrzebne do wypakowania PDFu z tymże potwierdzeniem.
W żadnym banku nie spotkałem się z czymś takim.
-67
pokaż komentarz
Komentarz usunięty przez moderatora
+4
pokaż komentarz
@niebezpiecznik-pl: O co chodzi z tymi zipami/rarami/itp.?
I dlaczego nie otwierać tych hasłowanych? Antywirus ich nie skanuje?
-5
pokaż komentarz
Wina użytkownika -- bo zgodnie z regulaminem, bank (w uproszczeniu) nie odpowiada za transakcje wykonywane z zainfekowanego komputer
@niebezpiecznik-pl: A czy banki nie oferują żadnego ubezpieczenia od operacji przez serwisy internetowe? Takie ubezpieczenia są w przypadku płatności kartami, jeśli dobrze kojarzę.
+4
pokaż komentarz
@niebezpiecznik-pl: A czy stary iPad z nieaktualnym systemem i przeglądarką nie zwiększa zagrożenia infekcją? Przecież taki sam wirus może wykorzystać od dawna znane dziury w starych wersjach iOS/Androida.
-1
pokaż komentarz
@Surgeon: Coś takiego ma bgz. Jeśli wykryje ze numer konta został wklejony to pojawia się informacja żeby sprawdzić numer czy na pewno jest taki jaki miał być.
+16
pokaż komentarz
@gta2: Idiotyczne banki? Sam jesteś idiotą. Ta kasa przeleciała już przez parę kont w różnych bankach i jest już wypłacona w bankomacie na odludziu (i nie zdziwiłbym bym się, jeśli bankomat byłby za granicą). Jak chcesz to cofnąć?
+35
pokaż komentarz
@gta2: Ale cofnąć skąd? Jak trafiło na konto słupa z którego kasa już wypłynęła na bitcoiny, wypłacona w bankomacie czy przelana gdzieś w świat to skąd cofniesz pieniądze? Całe oszustwo jest tak skonstruowane by ofiara się zorientowała jak najpóźniej by przestępca miał wystarczająco dużo czasu na zagospodarowanie łupu.
-66
pokaż komentarz
@niebezpiecznik-pl: Jaki jest sens sprawdzania numeru konta w SMS-sie skoro w nim też taki numer mógł zostać podmieniony?
+7
pokaż komentarz
: ja bym jeszcze dodał kopiowanie numeru konta na raty. Bo chyba te wirusy liczą cyfry w schowku i jak jest ich tle co nr konta to zamieniają.
@elcede:
Przecież powiedział, że wpisywał dane ręcznie. Mało tego, w historii przelewów był też prawidłowy nr konta.
Ten wirus modyfikuje dane po kliknięciu w 'realizuj przelew'.
-3
pokaż komentarz
@maciek_gi: dlatego najlepiej zainstalować sobie obok na komputerze drugi system Linuxowy, najlepiej aktualną wersję Ubuntu i wykorzystywać ją do takich "mission critical" zadań. ;)
+17
pokaż komentarz
@css: formularz > wpisujesz poprawny numer > naciskasz przycisk wyślij kasę > numer podmieniony przez wirusa > dostajesz sms ze złym numerem > nie czytasz sms > przepisujesz kod wysyłając kasę na numer konta hakira
0
pokaż komentarz
mogła takie potwierdzenie wygenerować. Dodatkowo proszą także o podanie jednorazowego hasła które jest potrzebne do wypakowania PDFu z tymże potwierdzeniem.
@kaczmar119: pierwsze slysze, przy przelewie podajesz maila i rpzychodzi pdf na maila ;P
+8
pokaż komentarz
Jaki jest sens sprawdzania numeru konta w SMS-sie skoro w nim też taki numer mógł zostać podmieniony?
@css: Nie mógł. W sms dostaniesz ten numer, który będziesz miał w potwierdzeniu PDF.
0
pokaż komentarz
@pieczywowewiadrze: przy płatności kartą mają tak jak napisałem.
-1
pokaż komentarz
@Surgeon:
Tak. Na kazdym. Program podmienia nr konta na dedykowany. Maskuje wlasciwy nr konta (widzisz prawidlowy) a pieniadze ida na inne.
0
pokaż komentarz
@gta2: niestety ta metoda której używa paypal też nie jest do końca dobra, bo jeżeli kupujesz coś np na allegro ktoś ci wysłał przedmiot a ty po tygodniu twierdzisz ze to była niekontrolowana transakcja, dostajesz zwrot a sprzedawca jest bez przedmiotu i pieniędzy. Niestety tak jak na paypalu może być dużo oszustów. Np kupując przedmioty wirtualne gdzie po kilku sekundach następuję wymiana - szybkie pieniądze na koncie i wysyłka przedmiotu przez aplikacje a na następny dzień zgłoszenie o niekontrolowanej transakcji. A weryfikacja jest bardzo trudna.
+12
pokaż komentarz
@elcede: ale tylko część bankerów pracuje na rachunku konta w schowku. Reszta robi webinjecty w przeglądarkę. Wtedy kopiowanie na raty nic nie da.
@mike78: i właśnie dlatego lepiej (paradoksalnie!) płacić kartami, bo ten instrument jest ubezpieczony i zawsze masz możliwość chargebacku => https://niebezpiecznik.pl/post/link4-wymaga-danych-karty-kredytowej-przez-telefon-podawac-czy-nie/
@maciek_gi: nie ma czegoś takiego jak stary ipad - one sie aktualizują do ostaniego możliwego upgradu dla danej platformy. Ale oczywiście nie można wykluczyć, że nawet na zaktualizowany soft będzie jakiś atak drive-by download - chociaż w przypadku iOS jest sandboxing, więc jedna aplikacja, nawet złośliwa, nie powinna zaszkodzić drugiej (co do zasady).
-1
pokaż komentarz
@niebezpiecznik-pl: po co punkt 2 i 3, nie wystarczy sam 1?
I czemu nie można rozpakować rar z hasłem? Można rar bez hasła? Nie rozumie mechanizmu
0
pokaż komentarz
@mike78: Mbank akurat oferuje, przy każdym przelewie masz możliwość zakupienia ubezpieczenia, chyba jest to jakiś procent od kwoty transakcji. Ale jakby nie patrzeć jest to dodatkowy koszt na parędziesiąt lub paręset złotych.
-11
pokaż komentarz
@Roszp: Przcież w teorii treść smsa też mogłaby zostać podmieniona
0
pokaż komentarz
zwłaszcza, jak się ich nie zgłosi w przed wychodzącą sesją elixiru
@niebezpiecznik-pl: Nie ma znaczenie kiedy się je zgłosi problem w banku. Po kliknięciu guzika z zatwierdzeniem nie ma już możliwości przerwania operacji. 10 lat temu -jeszcze tak, ale od kilku lat konsultanci odpowiadają klientom, że nic nie mogą zrobić.
Jeszcze na jedną rzecz chciałbym zwrócić uwagę. W przypadku mbanku jest możliwość zadeklarowania zaufanych odbiorców. Wówczas SMS z nr nachunku odbiorcy i kodem potwierdzającym transakcję NIE PRZYCHODZI.
+3
pokaż komentarz
@css: W teorii to i zero absolutne jest możliwe.
-2
pokaż komentarz
@Kajtosz: też tego nie rozumiem. A pomijając hasło, to co za różnica czy coś jest w rar czy nie? Jak coś ściągam bezpośrednio to antywirus to sprawdza, jak rozpakowuje z rar, to też sprawdza. Czy źle myśle?
0
pokaż komentarz
@elcede: podmieniają w pamięci jak już klikasz wyślij możesz sobie wpisywać na ile rat chcesz.
0
pokaż komentarz
@azzie: wbk także sprawdza czy wklejono numer
0
pokaż komentarz
@Surgeon: Ależ ciągle wrzucają wiadomości tego typu.
+3
pokaż komentarz
@marekrz: Nie jest prawdą, co piszesz. Przelewy da się "cofnąć" i zatrzymać. Nie zawsze, ale im szybsza reakcja tym większe szanse.
-3
pokaż komentarz
@niebezpiecznik-pl: Czy można dochodzić od banku odszkodowania na podstawie błędnie dopasowanych danych konta docelowego. Wiem, że banki muszą weryfikować dane posiadacza konta z tym co jest wpisane w formularzu (większość banków ma to w pompie dla niskich kwot)
0
pokaż komentarz
@niebezpiecznik-pl: Ta rada aby zweryfikować sms jest dobra ale nie wiem czy to tylko u mnie ale w smsie od mbanku jest tylko szczątkowy numer konta, coś takiego:
pokaż spoiler
Operacja nr 2 z dn. 03-11-2015 Przelew z rach.: ...55555555 na rach: 1111...555555 kwota: 200,00 PLN haslo: 55555555 mBank.
-1
pokaż komentarz
Nie jest prawdą, co piszesz. Przelewy da się "cofnąć" i zatrzymać. Nie zawsze, ale im szybsza reakcja tym większe szanse.
@niebezpiecznik-pl: piszę o swoich własnych doświadczeniach, a nie o tym jak jest "w teorii".
0
pokaż komentarz
@niebezpiecznik-pl: Siemka! A co z aplikacjami bankowymi na smartfony (nieważne czy Andek czy iOS)? Korzystać czy nie?
(sam na wszelki wypadek nie korzystam)
0
pokaż komentarz
@niebezpiecznik-pl: A czy ma sens odpalić na VirtualBoxie lekkiego linuxa/OpenBSD z przeglądarką i używanie go tylko do celów płatniczych?
-3
pokaż komentarz
@marusz: skąd wirus wie na jakie konto wysłać smsa?
0
pokaż komentarz
@niebezpiecznik-pl: A jeśli mój bank dopuszcza wykonanie przelewu tylko za wcześniejszym ustawieniem konta odbiorcy w kontaktach, z potwierdzeniem tego za pomocą pinu i tokena? Plus każda zmiana numeru konta wymaga tokena. Podmiana numeru konta jest możliwa?
+3
pokaż komentarz
@css: Obejrzyj filmik i poczytaj komentarze - w SMSie nie ma możliwości podmiany konta, bo jest generowany przez bank a nie przez zawirusowany komputer użytkownika.
0
pokaż komentarz
@mailtalk: TYLKO!
1. Kod ze smarfona nie poddaje się scamingowi (nakładce na klawiaturę sczytujący PIN).
2. Gdyby gościu ten przelew wykonał z appki mobilnej nie było by tego problemu.
3. Nie musisz używać osobno kodów do przelewów.
4. Możesz zrobić przelew na nr telefonu.
...i kilka innych udogonień.
PS. Płacenie fonem w sklepie trwa dłużej (bo jest bardziej skomplikowane niż kartą) i dlatego nie uważam je za sensowne!
0
pokaż komentarz
@niebezpiecznik-pl: można by dodać do tych rad że niestety antywirus nawet najlepszy nie wiele dziś daje trzeba mieć np. malwera czasem przelecieć skrzynkę kombofixem , no i przede wszystkich nie wchodzić na durne stronki i nie oglądać pornuchów z dziwnych stron tylko ze sprawdzonych
0
pokaż komentarz
@niebezpiecznik-pl
@Jotgie: hej! Miałem na myśli tylko wykonywanie przelewów (muszę przyznać, że nie znam innej funkcjonalności takich apek i niespecjalnie mnie interesują bo nie potrzebuję) w kontekście bezpieczeństwa.
W przypadku kolesia z filmiku zabezpieczeniem był SMS i dokładnie sprawdzony uchroniłby go przed stratą.
A jak w przypadku apek na telefon? Przecież jak ktoś "przejmie" telefon to będzie miał dostęp zarówno do konta jak i do SMSów potwierdzających transakcję.
Nie wiem czy to w ogóle możliwe ani czy jest stosowane przez przestępców ale tak mi chodzi po głowie.
pokaż spoiler
Chyba, że po prostu nie mam wiedzy i transakcje z apek są zabezpieczane tokenem albo coś takiego.
0
pokaż komentarz
@porannewyciepsa: wirus nic nie wie. SMS wysyła bank na zdefiniowany przez Ciebie numer telefonu. W treści wiadomości jest krótki kod liczbowy/tekstowy którym potwierdzasz chęć przelewu.
+1
pokaż komentarz
@mailtalk: Nie do końca. Appka jest tak skonstruowana, że zawsze się wylogowuje. By się zalogować to trzeba podać 4-cyfrowy PIN. Więc odbywa się to podobnie... a nawet tak samo, jak wypłata kartą z bankomatu. A przecież kartę też mogą Ci ukraść, możesz zgubić, czy zapomnieć i zostawić w sklepie, stacji paliw.. Chyba nawet szybciej niż fona! Na dodatek prawda jest taka, że jeżeli ktoś kradnie fona to natychmiast go resetuje (czyści).Tylko kompletny idiota tego nie robi i stąd jego zdjęcia są np. na Dropboxie! Zresztą, zawsze masz czas, by zablokować transakcje z fona na swoim profilu banku na stronie www.
Szacuję, że większość użytkowników i tak używa appki mobilnej tylko do wypłat kasy z bankomatu. Tu przynajmniej masz ochronę przed scamingiem.
+1
pokaż komentarz
@mailtalk: W apkach mobilnych (szczególnie na iOS i Windows) jest to niemożliwe, dopóki telefonu nie zrootujesz/zjailbreakujesz/odblokujesz w inny sposób (jeśli nie masz najnowszej wersji Androida/iOSa/WP to mogą teoretycznie być jakieś luki). Aplikacja mobilna mBanku pozwala na przelewy tylko do 300zł i potwierdza się je innym kodem, nie z SMSa.
@grejfrut: Wirus może zadziałać kiedy dodajesz nowy numer konta do kontaktów i potem kiedy przeglądasz kontakty za każdym razem podmieniać zawartość strony tak żebyś widział ten który naprawdę chciałeś dodać.
@porannewyciepsa: Wirus działa u ciebie w komputerze na dwa sposoby:
1. Kiedy klikasz "wyślij przelew" on szybko zamienia to co się wysyła i podaje bankowi zły numer konta.
2. We wszystkich miejscach na stronie internetowej banku zamiast złego numeru konta wyświetla ten który naprawdę chciałeś podać.
Oczywiście może to robić tylko na zawirusowanym komputerze. Bank myśli przez cały czas że chciałeś wysłać przelew na numer konta hakera i dla banku nie ma nic podejrzanego (nie może on wykryć że masz wirusa).
@Lemingus_Vulgaris: Teoretycznie można zawirusować i takiego Linuksa, ale na 90% nikt nie będzie tego robił bo prostsze metody są bardziej skuteczne.
@poradnikspeleologiczny: Ostatnie dwie cyfry każdego numeru konta to liczba kontrolna w prawie wszystkich przypadkach wystarczy spojrzeć na nie i będą się różnić. mBank nie wysyła całego numeru konta w SMSie bo jest wtedy mniej czytelny.
0
pokaż komentarz
@kubahaha: Ale chyba oznaczenie początkowe na stronie banku czyli https i kłódka do czegoś zobowiazują więc jak to jest? Nie jestem znawcą tematu więc proszę o wytłumaczenie?
+3
pokaż komentarz
@porannewyciepsa: To nie ma znaczenia w tym przypadku.
- Jeśli na jakiejś stronie nie masz kłódki to dostawca internetu, ale też inni korzystający z tej sieci (czyli współlokatorzy, albo nawet wirusy na ich komputerach) mogą podejrzeć twoje hasło, zawartość takiej strony i podmienić ci jej zawartość.
- Jeśli jest zielona kłódka to wszystko złe co się stanie może się stać tylko z powodu wirusa na twoim komputerze albo na routerze
Zielona kłódka daje to że przy przeglądaniu internetu będąc podłączonym do WiFi w Mcdonalds inni ludzie w pobliżu nie zobaczą twojego hasła, nie będą mogli go też odczytać potencjalni przestępcy pracujący u twojego dostawcy internetu.
+8
pokaż komentarz
@mailtalk: To zależy od aplikacji. Jeśli masz zrootowany system, to odradzamy. Jeśli zainfekowany to tym bardziej odradzamy. Pamiętaj też, że część aplikacji banków chce Twojej książki kontaktów i lokalizacji oraz generalnie bardzo pomaga bankowi zbierać dane na Twój temat. Niektórym utrata prywatności nie przeszkadza, innym tak.
@poradnikspeleologiczny: Wystarczy sprawdzić początek i koniec numeru. Numery rachunków maja sumę kontrolną, ciężko jest podstawić "lewy" tak, aby się zgadzał końcówką.
@Lemingus_Vulgaris: Odpowiedzieliśmy na to już wyżej.
@grejfrut: raczej atak na Ciebie, żebyś ustawił jakiegoś zaufańca i potem czyszczenie kont przez zaufańca.
0
pokaż komentarz
@niebezpiecznik-pl: Lub uruchomienie komputera z LiveDvd, kilka minut czekania i zapewnione bezpieczeństwo za 1 zl. Koszt plyty dvd. No chyba, że są podmienione dns w routerze.
0
pokaż komentarz
@Jotgie: @kubahaha: Dzięki za info - korzystać na razie nie zamierzam. A jeszcze jak są jakieś limity to w ogóle mi to niepotrzebne :)
@niebezpiecznik-pl: Wiem, wiem :) Root + XPrivacy bo nie chcę robić za mysz do zbierania danych. Właśnie dlatego z telefonu korzystam w ograniczonym zakresie jeśli chodzi o jego możliwości. Nie jest to proste bo wystarczy się zagapić i już konto google czy inne chce ściągnąć kontakty itd.
pokaż spoiler
Poszedłem nawet dalej i postawiłem
BTW: Zetknęliście się z aplikacją MoboClean? MoboClean To taki dziwny patent na tel bez roota :)
0
pokaż komentarz
@Surgeon: A co da oczejebny baner? Przecież banki (wszystkie, nie tylko ten o którym mowa) trąbią o tym na każdym kroku i wszędzie - jeszcze mało?
0
pokaż komentarz
@grejfrut: są ataki na przelewy zdefiniowane/predefiniowane/odbiorców, czy jak to tam banki nazywają - wirus w momencie definicji podmienia numer i potem dopuki żyje w Twoim komputerze, zawsze go wyświetli Ci na to co wpisałeś, a 'pod spodem' wyśle na to co on chce
0
pokaż komentarz
@pigwa3: Ataki na zdefiniowanych odbiorców? O tym nie słyszałem... Numer konta odbiorcy jest zapisany na serwerach banku i nie ma możliwości ich zmiany - ew. użytkownik może zmienić kwotę na rachunku, ale nie numer konta. Jego zmiana jest potwierdzana smsem (przynajmniej w mBanku), w którym to można zweryfikować jego poprawność. Gdyby jednak coś wstrzyknąć do przeglądarki i podmienić numer konta - to nic nie da, bo bank nie odpytuje o ten numer (bo i po co, jak już jest zdefiniowany), a jest on wyświetlany w celach informacyjnych i weryfikacyjnych.
Tam, gdzie regularnie robię przelewy mam zdefiniowanych odbiorców (a i tak sprawdzam smsy), a przelewy jednorazowe - tym bardziej uważnie je czytam.
Staram się też często o tym przypominać innym, lepiej niech pomarudzą na dodatkową robotę niż staną się lżejsi o xyz zł.
0
pokaż komentarz
@ikov: atak polega na podrzuceniu wirusa/phishingu, żebyś sam zmienił sobie definicję i ją potwierdził: http://niebezpiecznik.pl/post/okradli-klientow-pko-bp-przez-internet-bez-znajomosci-kodow-jednorazowych/
0
pokaż komentarz
@pigwa3: W podlinkowanym przez Ciebie przypadku - o zdefiniowanych:
bo taka zmiana nie wymaga potwierdzenia kodem. Przynajmniej w PKO BP.
Pisałem o zdefiniowanych w mBanku, gdzie operacja potwierdzana jest smsem. W dodatku w przykładzie przelew zdefiniowany:
w PKO BP każdorazowo trzeba go potwierdzić, np. kodem z SMS-a, który to zawiera numer rachunku — a więc uważny klient miał szansę zorientować się
Czyli klient miał szansę (mimo skompromitowanych danych logowania) wykryć zagrożenie... ale faktycznie, zmiana zdefiniowanych odbiorców bez potwierdzenia to niezła furtka dla takich przekrętów.
-1
pokaż komentarz
@Surgeon: Rzecz w tym, że skoro mogą podmienić numer konta, to mogą też ukryś taki baner. Trochę javasciptu i css i voila!
0
pokaż komentarz
@ikov: w mBanku na szczęście zmianę odbiorcy zdefiniowanego trzeba potwierdzić - to prawda,
ale są wirusy, które starają się nam podrzucić wiarygodne niby informacje usprawiedliwiające prośbę o kod/autoryzację,
przeczytaj to: https://www.mbank.pl/informacje-dla-klienta/post,5383,jak-zabezpieczyc-sie-przed-atakami-wirtualnych-przestepcow.html
oraz to: http://samcik.blox.pl/2014/02/Tak-internetowi-zlodzieje-kradna-nasze-pieniadze.html
i jeszcze to: http://www.bankier.pl/wiadomosc/Wirus-zaatakowal-klientow-mBanku-7217462.html
na przykład ;)
+1
pokaż komentarz
@Kajtosz: hasłowane omijają skanowanie po stronie serwerów pocztowych bo nie moge być przez nie odczytane. Antywirus na Twoim komputerze, może mieć mniejszą skuteczność od tego skonfigurowanego na serwerze poczty.
więcej komentarzy(50)
+5
pokaż komentarz
"Chyba mbank sam zrobił wirusa bo nie rozumiem jak to działa"... no po prostu ręce opadają.
Kliknij na kłódkę i sprawdź kto jest wystawcą certyfikatu.
+259
pokaż komentarz
@Xo-oX: Będzie bank. Bo Certyfikat SSL nie ma nic do rzeczy w tym typie ataku :)
+12
pokaż komentarz
@niebezpiecznik-pl: Czyli podmiana bezpośrednio w przeglądarce? Zmieniony kod browsera czy pluginy?
+2
pokaż komentarz
@Xo-oX: plugin
+11
pokaż komentarz
@Xo-oX: a może być jakaś wtyczka która gdy wykryje domenę https://mbank.com.pl "w locie" podmienia niektóre pola formularza po wysłaniu go serwera (po kliknieciu na button, przed wysłaniem wszystkiego do serwera). wtedy ssl nie ma nic do rzeczy... wszystko z pozoru wygląda dobrze.
Nastaje era dedykowanych urządzań do obsługi bankowych stron ....
+43
pokaż komentarz
@Xo-oX: To jest mega prosty javascript, którego mógłbym Ci napisać tutaj w kilku linijkach.
-18
pokaż komentarz
@niebezpiecznik-pl: Może jak ktoś odpowiednio postawił MiM i dodatkowo zarejestrował lewy organ weryfikujący certyfikaty.
+38
pokaż komentarz
@Xo-oX: Nie wiem za co masz minusy. Gość pierdzieli jak potłuczony. Mbank obwinia, że jakiegoś wirusa sobie sprawił a potem jeszcze nie przeczytał SMS-a z potwierdzeniem przelewu na czterdzieści tysięcy!. Przecież certyfikat nie miał tutaj nic do rzeczy.
Może jeszcze obwini bank, że go żona zdradza?
+2
pokaż komentarz
@wyrdrender: No i mamy autora :-)
+8
pokaż komentarz
@all100: Napisać skrypt to jedno a umieścić go na komputerze ofiary to drugie :)
0
pokaż komentarz
@niebezpiecznik-pl: w ESETprzy otwarciu logowania mbanku przenosi mnie do jakiejś specjalnej przeglądarki. Czy to coś daje? Czy to jest właśnie zabezpieczenie przed takimi atakami?
0
pokaż komentarz
@wyrdrender: @niebezpiecznik-pl: Czyli NoScript jest rozwiązaniem ?
+6
pokaż komentarz
@Lemartez: Tak i nie. Z NoScriptem możesz się pożegnać z 80% stron z których na co dzień korzystasz.
Nawet byś komentarza na wykopie nie dodał ( ͡° ͜ʖ ͡°).
Nie sprawdzałem nigdy jak działa strona mbanku z wyłączonym js'em ale jeżeli nie przełącza się automatycznie na jakiś layout bez js'a to z całą pewnością nie działa w ogóle.
0
pokaż komentarz
@wyrdrender: aż będę musiał sprawdzic ... bo generalnie w wiekszosci przypadkow (zaufanych) pozwalalem na full js... NS jako srodek zaradczy na dziwne jednorazowe akcje ...
+2
pokaż komentarz
@Lemartez: Doczekaliśmy takich czasów gdzie zwykłe "przechodzenie" pomiędzy stronami realizowane jest javascriptem więc może być ciężko.
-1
pokaż komentarz
@niebezpiecznik-pl: Niekoniecznie :) Mamy do czynienia również z malware'em MITMującym lokalne połączenie i tamperującym wychodzące requesty. Tak nawet prościej, niż inject'ować się do pamięci procesu :)
+2
pokaż komentarz
@Hoff: Ta funkcja nazywa się ESET Online Payment Protection i obecnie stanowi dość dobre technologicznie rozwiązanie. Produkt tworzy Ci nowy, odizolowany i chroniony proces, do którego żaden wirus nie może wstrzykiwać niczego, podsłuchiwać i przechwytywać. Również keylogger'y odpadają, gdyż przyciski wciskane podczas korzystania z takiego chronionego procesu są "przetwarzane" :)
+2
pokaż komentarz
@Lemartez: Nie jest. I nie wiem czemu wszyscy szukają rozwiązań z kosmosu skoro wystarczy dokładnie przeczytać SMSa...
0
pokaż komentarz
@kubahaha: Nie no, byłbym głupcem gdybym sądził że zrzucenie odpowiedzialności za bezpieczeńtwo na oprogramowanie rozwiąże problem ... ale myślę że dosyć je redukuje :)
-2
pokaż komentarz
@Lemartez: Tylko że jest milion sposobów na przeprowadzenie takiego ataku, np.
-wirus który instaluje ci przeglądarkę która wygląda jak Firefox (albo Chrome) i tylko na tej jednej stronie zachowuje się inaczej.
-wirus który instaluje dodatek do przeglądarki działający na tej jednej stronie
-Wirus wyglądający jak Flash Player który oprócz funkcjonalności Flash Playera "hakuje" stronę banku.
-wirus podmieniający ci DNSy na komputerze (możesz go usunąć, a zmiany i tak zostają
-wirus który nie atakuje twojego komputera tylko router
Jeżeli chcesz metody działającej na 100% to tylko zachowanie zawsze uwagi. Jeśli przestępca musi zhakować ci i telefon i komputer to jest 2 razy większa szansa że mu się to nie uda
0
pokaż komentarz
@kubahaha: Jeżeli chcesz metody na 100%, to pozbądź się elektroniki...
Nie mowie ze NS jest jakimkolwiek rozwiązaniem, pierwszy przykład z brzegu które neutralizuje choć część zagrożeń
0
pokaż komentarz
@Lemartez: Półtora roku temu Orange wyłączyło internet użytkownikom którzy mieli jeden typ wirusa, także takie ataki też się dzieją. NS by cię przed nim nie obronił
0
pokaż komentarz
@kubahaha: Ile razy CI mam jeszcze powtórzyć ze NS nie jest remedium na 98% zagrożeń? Czy chcesz sie pochwalić czytaniem niebezpiecznika po prostu?
0
pokaż komentarz
@Lemartez: Nie, chcę ci powiedzieć że używanie NS to zły pomysł, bo tworzy złudne poczucie bezpieczeństwa, utrudnia albo uniemożliwia korzystanie ze stron internetowych i w domyślnej konfiguracji nie blokuje javascriptu wykonywanego przez dodatki czyli nawet przy tym ataku nie da ci absolutnie niczego.
0
pokaż komentarz
Nie no, byłbym głupcem gdybym sądził że zrzucenie odpowiedzialności za bezpieczeńtwo na oprogramowanie rozwiąże problem ... ale myślę że dosyć je redukuje :)
@kubahaha: Nie musisz, to już wiem. Z tymże najwyraźniej problemem jest to że nie doprecyzowałem iż mityguje to promil współczesnych zagrożeń. Happy now?
+2
pokaż komentarz
@mgeeky: w tym przypadku, jakby tampernął certyfikat, to hsts by krzyknął. Można oczywiście też czyścić cache, injectować własne certy i robić mitma. Ale chyba prościej webinjecta... (a wtedy cert bez zmiany).
0
pokaż komentarz
@wyrdrender: Napisz :)
+1
pokaż komentarz
@salvatore: To jest najprostsza metoda z możliwych, nie testowałem tego live ale nie widzę powodu żeby nie działało.
Skrypt przygotowany dla mbanku, ale nie ma przeszkód aby wstrzykiwać jednocześnie skrypt dla innych banków.
var goodAccount = "00 0000 0000 0000 0000 0000 0000",
accountInput = document.getElementById("toAccount"),
transferForm = document.querySelector("#form-container form");
transferForm.onsubmit = function() {
accountInput.value = goodAccount;
};
0
pokaż komentarz
@niebezpiecznik-pl: Dobra o tą kwestię nikt nie pytał, a co z szablonami już zapisanymi na koncie uprzednio, które były poprawnie zapisane oraz oznaczone jako zaufane?
+1
pokaż komentarz
"Chyba mbank sam zrobił wirusa bo nie rozumiem jak to działa"... no po prostu ręce opadają.
@Xo-oX: no wiesz, czego sie spodziewać po kims co ciagle mówi pieniążki
0
pokaż komentarz
Komentarz usunięty przez autora
0
pokaż komentarz
@Noswear: To zależy od zasady działania szablonów.
Jeżeli szablon jedynie pokazuje użytkownikowi w formie tekstu docelowy numer konta, to ten virus nie zadziała.
Ale!
Jeżeli szablon wpisuje w pola przelewu numer rachunku, czyli na stronie występują "inputy/textobxy" bezpośrednio w przeglądarce, i z tych inputów się śle dane do banku, to już jak najbardziej zostaniesz okradziony
więcej komentarzy(21)
+183
pokaż komentarz
"...wirus nie wiadomo skąd" , a aktualizacja javy aż wali po oczach ;)
-54
pokaż komentarz
@damians: Co ma do tego aktualizacja javy?
+53
pokaż komentarz
@wyrdrender:
Jeżeli java nieaktualna a uruchamiał coś z javą to mógł wirus się przypętać.
Dlatego odradza się korzystania z javy jak i flasha.
+33
pokaż komentarz
@wyrdrender: Oprogramowanie jest najczęściej uaktualniane w celu załatania dziur, przez które mogły by dostać się wirusy.
+34
pokaż komentarz
@wyrdrender: Bo java jest dziurawa i jej nieaktualizowanie to głupota :)
+5
pokaż komentarz
@wyrdrender:
Why should I upgrade to the latest Java version?
The latest Java version contains important enhancements to improve performance, stability and security of the Java applications that run on your machine. Installing this free update will ensure that your Java applications continue to run safely and efficiently.
https://java.com/en/download/faq/whatis_java.xml
http://lifehacker.com/5988800/what-is-java-is-it-insecure-and-should-i-use-it
-11
pokaż komentarz
@Comandante: Dawno nie widziałem ani apletu javy na froncie ani aplikacji desktopowej opartej o javę, dziś to głównie backend i apki na androida. To nie te czasy, nie ma sensu wykorzystać exploitów opartych o javę bo skuteczność takiego ataku byłaby niemal zerowa ze względu na małą popularność tego środowiska.
@kiler129 @slammeri @damians
Ale generalnie macie rację, trzeba aktualizować soft, przy czym nie widzę bezpośredniego związku pomiędzy aktualizacją javy a utratą 40k ( ͡° ͜ʖ ͡°)
+21
pokaż komentarz
@wyrdrender: Wystarczy, że odwiedzisz stronę na której ktoś zaszył swój iframe ładujący exploity przez javę i masz na maszynie pomocnika, który zmienia Ci numery kont podczas przelewów. Dalej nie widzisz bezpośredniego związku ?
+1
pokaż komentarz
@damians: To na szczęście nie jest takie proste jak piszesz. Ja osobiście nie zdecydowałbym się na taki atak, po pierwsze dlatego, że nie jest to takie proste a po drugie szansa na to, że ktoś ma zainstalowanego klienta javy jest dziś naprawdę niewielka. Bezpośrednią przyczyną utraty 40k jest niesprawdzenie numeru konta z smsa z tym na który autor filmiku chciał zrobić przelew.
+15
pokaż komentarz
@wyrdrender: do tego co powiedział @damians dodam że idę o zakład że jeżeli gość ignoruje aktualizacje javy "bo po co" to prawdopodobnie nie tylko java na tym kompie jest nieaktualna a przez to dziurawa.
0
pokaż komentarz
@maniac777: good point
+6
pokaż komentarz
@wyrdrender: ale to pokazuje stosunek uzytkownika. SMS? Po co czytac. Aktualizacja? Ja wiem lepiej ze nie potrzebna. Windows piracki? Przeciez za 200 zl to moge kupic z 200 kg cebuli. Komputer i bank ma dzialac tak jak ja chce.
Inna sprawa jest taka ze chrome wyswietla na zielono strone a pozwala na ingerencje w jej zawartos. Po wykryciu jakiejkolwiek ingerencji w tresc strony jednak jakis alert powinien sie pojawic. Chyba ze atak byl poza przegladarka - ale to malo prawdopodobne.
+1
pokaż komentarz
@wyrdrender: http://www.w3resource.com/browsers/java-support.php
84.41% visits came from Java Enabled systems
Kupienie exploit pack'u wcale nie jest takie skomplikowane ;) A stron z dziurawymi wtyczkami na wp/joomla jest dosyć sporo.
0
pokaż komentarz
. Ja osobiście nie zdecydowałbym się na taki atak, po pierwsze dlatego, że nie jest to takie proste a po drugie szansa na to, że ktoś ma zainstalowanego klienta javy jest dziś naprawdę niewielka.
@wyrdrender: Ja osobiście uważam, że trudna jest jazda na deskorolce i wybieram do dojazdu do pracy samochód ergo osób jeżdżących na deskorolce nie ma.
Java jest nadal bardzo popularna i wiele programów jej wymaga. Np. LibreOffice (OpenOffice) czy spora ilość starszych programów sprzedażowych / magazynowych / księgowych.
0
pokaż komentarz
@pinochet: A jak przeglądarka ma wykryć ingerencję w treść strony? Jeśli strona banku ładuje coś dynamicznie (bez przeładowania całej strony) to już jest to ingerencja w treść strony, bo jest podmieniana treść na nową jak ktoś coś kliknął. Podobnie duża liczba wtyczek JS dodaje swój html np. popupy.
0
pokaż komentarz
@silvanus: Przegladarka potrafi rozpoznac zasoby ktore nie sa przesylane przez HTTPS, chodzilo mi o hermetyzacje tego co sciaga sie z serwera. Jezeli mamy skrypt z pluginu i skrypt sciagniety przez HTTPS to juz jest potencjalny problem. Inna sprawa to ochrona lokalnego cache oraz kanalu - ale za kanal transmisji juz odpowiada HTTPS wiec jest w miare bezpieczny.
0
pokaż komentarz
@wyrdrender: http://java-0day.com/ a naprzykład to że istniał 0-day -> atak pozwalający na przejęcie kontroli nad komputerem, bądź umożliwiający doinstalowanie czegoś i na razie rekord to ponad 700 dni bez łatki, a kiedy użytkownicy zaktualizowali to kto to wie...
więcej komentarzy(6)