Új hozzászólás Aktív témák
-
ArchElf
addikt
Ettől a csalástól csak azok a bankok védettek, ahol a bank állít ki (vagy regisztrálja az ügyfél már meglevő) személyes cetrificate-jét, és a kapccsolat felépítéshez az is kell (nem csak a szerver oldali certificate).
A képzeletbeli folyamat így néz ki:
Vajon mit véglegesített az ügyfél?
AE
-
bobsys
veterán
De meg mindig nem ertem, hogy ha utalok akkor kapok egy kodot ami csak az arra az egy utalasra fog vonatkozni. Azzal mas utalast nem tudnak kezdemenyezni hiaba lesz meg nekik.
Masik kerdesem, hogy a bank altal kiadott certificatet meg lehet hamisitani ugy hogy a bongeszo ne sikitson? Hiszen mondjuk az OTP certificatjet a Verisign adja.
szerk: mondjuk pont nem ilyen banknal vagyok, de en nem a main siterol megyek, ha kozvetlen a netbank sitera
-
ArchElf
addikt
Természetesen meg fog jönni, mivel a fake site routolja a HTTP kérésed a netbank felé ("tisztességes" https formában) és az eredmény pedig visszadobja neked (akár kicsit formázott változatban). Tehát belépsz a netbankba, de úgy, mintha http proxy-t használnál. Csak itt a "proxy" az SSL-t is kibontja és titkosítatlanul küldi tovább neked (vagy akár titkosítva, a saját oldalán érvényes SSL kuccsal).
AE
-
#27
ArchElf
addikt
TheVeryGuest
#26
ArchElf
addikt
válasz
TheVeryGuest
#26
üzenetére
Unicredit ugyanez, de pl a BB-nél a jelszó és a mobil kód is kell belépéshez (ergo a számlaegyenleg sem megtekinthető a mobil kód nélkül). Másrészt ezek a védelmi intézkedések egyáltalán nem védenek a cikkben leírt MITM támadások ellen, hiszen a felhasználó kezdeményezi a belépést, és ő konfirmálja le a belépést/tranzakciót a számára (mobiljára) kiküldött kóddal.
Az igazi védelem csak az, ha az egyszeri kód (tranzakcióhoz) a tranzakció adataiból generálódik, és az a felhasználó generálja, vagy azt ellenőrizni is tudja (legbiztonságosabb esetben egy másik eszközön - mondjuk egy billentyűzettel ellátott OTP generátoron, ahol az OTP jelszóhoz a pin kód a számlaszám és az összeg adataiból tevődik össze)AE
-
#26
TheVeryGuest
senior tag
Lenry
#24
TheVeryGuest
senior tag
Mondjuk az OTP-é szerintem az egyik legbiztonságosabb szisztéma, 1db user ID, 1 dbg szlasz, meg 1 db jelszó kell a belépéshez + az SMS-ben érkező konfirmáló kód minden komoly tranzakció előtt. Máshol meg user ID + dupla jelszó van: az egyikkel belépsz, a másik a tranzakció konfirmálja. Ergó ha csak ránéz az ember a szla-jára akkor még nincs veszve semmi.
-
#25
ArchElf
addikt
attila9988
#23
ArchElf
addikt
válasz
attila9988
#23
üzenetére
Ha a banknak kell az ő pénzük is, akkor igenis teremtsen biztonságos körülményeket a szolgáltatások mellé.
Megnézném, hogy pl te hogyan tudnál egy számodra ismeretlen ember ismeretlen operációs rendszerben futó ismeretlen alkalmazását távolról biztonságossá tenni.
Na jó ez kicsit túlzás, de tény az, hogy bármilyen operációs rendszer alatt, ahol elfut egy (jobb esetben SSL képes) böngésző, ott simán lehet netbankolni. Amennyiben pedig a bank kizárná a "pecseletlen" és "biztonságos" felhasználókat a köreiből, akkor szerintem bizony elég erőteljesen megcsappanna az ügyfélállomány az elektronikus termékeknél. Nem beszélve arról a plusz költségről, amivel egy ilyen "biztonságot ellenőrző" rendszer kifejlesztése és folymatos frissen tartása (plusz bizonsági felülvizsgálata, stb.) kerülne...Vagy esetleg úgy gondolod, hogy a bank biztosítson egy jogtiszta, folymatosan pecselt operációs rendszert minden (idióta) ügyfél számára, áruljon vírusírtót, tűzfalat, legyen kint a weboldalán az összes ismertebb webböngészó legfrisebb verzója? Esetleg a telebank lásson el szoftver és hardver-tanácsadást is?
Amúgy az esetek nagy részében egyszerű a szkennárió:
1) az ügyfél gépe nem volt megpecselve, vagy fizikailag hozzáfér egy rosszindulatú harmadik személy (pl nincs jelszó a gépen), esetleg adathalász támadás áldozata lesz
2) eltűnik egy kevés/sok pénz
3) ügyfél kárigényt jelent be a bank felé, amit ha a bank elutasít: az ügyfél sírva elkocog a PSZÁF-hoz, aki kiküld két IT auditort, és megállapítják a bank felelősségétAE
-
#24
Lenry
félisten
attila9988
#23
Lenry
félisten
válasz
attila9988
#23
üzenetére
küldök az egybites idiótának egy mailt az OTP nevében, egy OTP-sre hasonlító linkkel, hogy ha ide megadja az adatait, a számlaszámát stb, akkor jó lesz neki... ha van olyan hülye, akkor megadja, én meg jól ellopom az összes pénzét...
az OTP ez ellen hogy tud védekezni? sehogy, mert az égvilágon semmi köze nem volt hozzá, nem lehet az OTP-é a felelősség, mert a user volt balfasz...
-
#23
attila9988
őstag
moonman
#22
attila9988
őstag
bocs, de most akkor a hüjéket támogatjuk?
Az ügyfeleket. Ha pedig azok többségében hülyék, akkor igen, azokat. Márpedig szerintem a potenciális ügyfeleknek csak kis százaléka értelmiségi ember. Ha a banknak kell az ő pénzük is, akkor igenis teremtsen biztonságos körülményeket a szolgáltatások mellé.
Egyébként is piszkosul bonyorult dolog eldönteni egy ilyesfajta bűncselekmény után, hogy pontosan kié is a felelőség.
-
#22
moonman
titán
attila9988
#20
moonman
titán
válasz
attila9988
#20
üzenetére
bocs, de most akkor a hüjéket támogatjuk? ez szöges ellentétben áll az evolúcióval.
-
moonman
titán
szerintem is csak akkor kéne a banknak felelősséget vállalnia, ha bizonyíthatóan az ő hibájából került adat illetéktelenek kezébe. ha egy lúzer szarrá fertőzi a gépét, aztán egy phishing akcióval sikeresen belép a https://optbakn.hu/login.php oldalra, az legyen már a user baja.
-
#20
attila9988
őstag
L3zl13
#19
attila9988
őstag
Legalábbis azoké akikbe szorult csöppnyi értelem
És mit gondolsz az ügyfelek hány százaléka tartozik abba a csoportba? Manapság amikor a legtöbb ügyfélnek csak azért van bankszámlájára, mert oda kapja a fizetését, vagy a segélyt.
Béna vagy és egy kamu levélre elküldöd a bankszámla adataidat,
Itt is adott a kérdés. Miért kéne mindenkinek annyira "okosnak" lennie? Ő azt látja hogy a bank oldalán be kell gépelni az adatait. Mégis miből kellene tudnia hogy az nem a valódi lap? Kellőképp ügyes másolat téged is megtéveszthet, mikor rutinból nyomkodod a gombokat, hogy elintézhesd a pénzügyeidet..
Igenis a bank felelősége hogy a kínált szolgáltatásai biztonságosak legyenek. Ha nem így lenne, elég sok ember megélhetése kerülhetne veszélybe egy szerencsétlen tévedés után. Majd ha ellopják a pénzedet, lehet hogy te is hasonlóképpen fogsz vélekedni..
-
#19
L3zl13
nagyúr
attila9988
#18
L3zl13
nagyúr
válasz
attila9988
#18
üzenetére
Így van jól?
Béna vagy és egy kamu levélre elküldöd a bankszámla adataidat, mire lenyúlják a pénzedet és ez a bank hibája?
"Arról nem is beszélve, hogy az emberek bankok felé tanúsított bizalma milyen mértékben rendülne meg egy egy komolyabb eset után."
Szerintem az emberek bankok felé tanusított bizalma inkább akkor rendül meg, ha a bank hibájából lopják el a pénzüket, és nem akkor, ha a saját hibájukból.
Legalábbis azoké akikbe szorult csöppnyi értelem.
-
#18
attila9988
őstag
ArchElf
#17
attila9988
őstag
Ilyen esetekben általában a sztenderd mondás, hogy a szolgálató túl sok felelősséget ruházott át az ügyfélre.
És ez így van jól. Ha minden felelősséget át lehetne ilyen ügyekben "passzolni" az ügyfélre, akkor képzelheted hogy a bank ügyvédhadserege minden esetben elintézné hogy ne kelljen felelniük a saját hibáikért sem. Arról nem is beszélve, hogy az emberek bankok felé tanúsított bizalma milyen mértékben rendülne meg egy egy komolyabb eset után.
-
ArchElf
addikt
[OFF]"általában a szolgáltató felel a sok egybites felhasználó hülyeségeiért"
mármint?[/OFF]
Mármint a PSZÁF a bankokkal szemben az ügyfelet részesíti előnyben még olyan helyzetben is, amikor egyértelműen a felhasználó felelőssége a saját biztonságának megteremtése és megőrzése. Ilyen esetekben általában a sztenderd mondás, hogy a szolgálató túl sok felelősséget ruházott át az ügyfélre.
Általában pedig, amikor (egy támadás, trójai, phishing következtében) a felhasználók gépe kompromittálódik (amihez ugye a banknak nem sok köze lenne), akkor is a neki kell leállítani a szolgáltatást (pdig az ügyfelek nagyobb része azért szeretne pl. tranzaktálni, és nagyobb mértékű ügyfél veszteség esetén a kártérítést is meg szokták ítélni). Szerencsére az ilyen eset nem túl gyakori (de előfordult már idehaza is, csak ezek az esetek nem kapnak túl nagy publicitást).
Amúgy pl a bankkártyás üzletágban a felhasználó felelőssége 40.000 forintig terjed ki (lehet, hogy már kicsit több, nem követem azért annyira a bankkártyás sztenderdeket), a többit a pénzintézetnek kell állnia, kivéve, ha egyértelműen be tudja bizonyítani, hogy az ügyfél súlyosan gondatlanul járt el (pl pinkód a kártyán). Ez azonban igen nehezen bizonyítható.AE
-
ArchElf
addikt
Semmi új nincs ebben. Ismerős körökben már kb 3 éve ezt szajkózom... Azt sem mondhatnám, hogy nagy újítás lenne a perjeles trükk, főleg mióta a DNS megengedi a Unicode karaktereket...
Érvényes tanúsítványt meg bármilyen site-ra lehet szerezni ha egyszer fake (ha egy akármi.cn, vagy akármi.nu kell az embernek). Nincs ebben semmi feltörés, csak egy kis megtévesztés. Már rég rájöttek erre, sokkal egyszerűbb a júzereket átverni, mint a rendszereket feltörni. A gond csak ott van, hogy általában a szolgáltató felel a sok egybites felhasználó hülyeségeiért.AE
-
#06658560
törölt tag
Ezentul ha te irsz valamit tuntetoleg kivonulunk a terembol. CSak bambano meg moonman marad benn, kepviselni minket.
Akkor amennyiben a htttps-sel kezdem a cimet semmi gond nem lehet ezzel?
Ha midnenfele http nelkul irok be cimet akkro az mit ad talalatnak? PL bank eseteben? Asszem otpnel ilyenkor mitnha egybol a https oldal jonne be, de igy ezzel ketelkedni kezdtem, hogy az elegseges.. -
#8
Hedgehanter
őstag
Hedgehanter
őstag
Nekem is megallt a szivveresem hogy feltortek az SSL-t magat... Mar majdnem elkezdtem torolni az accountjaimat....
-
WN31RD
addikt
Pontosan ez jött le nekem is, bár nem volt még időm alaposabban belenézni a dologba. Ez lehet nagyon nagy jelentőségű biztonsági probléma, lehet esetleg különféle, többek között SSL/TLS technológiával védett, weboldalaknak, mint komplex rendszereknek, a feltöréséről beszélni, de ez nem magának az SSL/TLS-nek a feltörése.
-
moonman
titán
elolvastam, épp ott ötlött fel bennem a kétely, amikor azt taglalta, hogy https szájtokra legtöbbször nem úgy jut el a user, hogy beírja: https, hanem kattint egy http oldalon. tehát a trükk még titkosítatlan állapotban történik. ennek szerintem nem sok köze van magához a https protokollhoz meg az ssl feltöréséhez, az eredeti lappal nem történik semmi, a user egy kamu szerveren jár egy hamis tanúsítvánnyal a kezében.
-
rennes6
tag
Új hozzászólás Aktív témák
- sziku69: Szólánc.
- Apple asztali gépek
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Új telefont és tabletet mutatott be a Telekom
- One otthoni szolgáltatások (TV, internet, telefon)
- Miért álltak az oldalak egy hétig, mi történt?
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- AliExpress tapasztalatok
- Fujifilm X
- Okos Otthon / Smart Home
- További aktív témák...
- Dell Latitude 5320 -60% "Kis Gamer" Üzleti Profi Ultrabook 13,3" i5-1145G7 8/256 FHD IRIS Xe
- Apple IPad pro 12.9 4th gen 256GB wifi+sim 97%-os Gyári akku
- PlayStation 5 (PS5.) SLIM 1TB. SSD. Digital Edition & Sony PlayStation VR2. Virtuális szemüveg.
- Dell Precision 3580 i7-1370P//32GB DDR5 RAM// 1TB SSD/ RTX A500
- ÁRCSÖKKENTÉS Menő retró konfig: Q9550, Gigabyte P43, 4GB RAM, ASUS GT730
- Kaspersky, BitDefender, Avast és egyéb vírusírtó licencek a legolcsóbban, egyenesen a gyártóktól!
- Realme 7i 64GB, Kártyafüggetlen, 1 Év Garanciával
- BESZÁMÍTÁS! Gigabyte B450M R5 5600 16GB DDR4 512GB SSD GTX 1080Ti 11GB ZALMAN I3 NEO Chieftec 650W
- HP 200W (19.5V 10.3A) kis kék, kerek, 4.5x3.0mm töltők + tápkábel, 928429-002
- Lenovo Yoga Slim 7 i5-1135G7 8GB 512GB 14" FHD IPS
Állásajánlatok
Cég: FOTC
Város: Budapest