Skocz do zawartości


Close Open
Close Open
Zdjęcie
- - - - -

Hakerzy czyszczą konta w bankach elektronicznych!


  • Please log in to reply
39 replies to this topic

#1 maks55

maks55

    Adept

  • Forumowicze
  • Pip
  • 3 Postów:

Napisany 13 maj 2005 - 19:56

Dowiedziałem się, że hakerzy wyczyścili konta klientów krakowskiego banku internetowego na 800 tys złotych! Ciekawe jak oni to zrobili. Czy ten bank nie używał tokenów, tak dzisiaj popularnych? Co to w ogóle za bank? Bardzo dziwna sprawa.
maks5

#2 Quadro

Quadro

    Modern Life

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 28281 Postów:

Napisany 13 maj 2005 - 20:07

A czymże jest token, ze ma zapewniac bezpieczenswo naszych pieniedzy?
To nie token jest kluczem do bezpieczenstwa, tylko zabezpieczenia bankowe - ktore jak widac w tym wypadku okazaly sie niewystarczajace
Sony Vaio VGN-NW21SF

#3 repylek

repylek

    Very Lazy Cat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 40386 Postów:
  • Płeć:Mężczyzna

Napisany 13 maj 2005 - 20:11

Maks'iu... z tego co poczytałem na ten temat (nie tylko w tym linku) to - ofiarami padli userzy kompów na których zainstalowano trojany wykradające numery wpisywanych numerów NIK i PIN. W takim przypadku token do niczego nie służy i nie obroni przed dostępem do zasobów konta. W moim banku (BZWBK) dopiero od niedawna (maj br) wprowadzono możliwość używania tokena przy logowaniu, co już w znaczny sposób zwiększa bezpieczeństwo dostępu do konta. Bo nawet znajomość NIK i PIN do jego otwarcia , bez posiadania określonego (konkretnego) tokena - nie wystarczy.
[ zajrzyj tu: http://www.bzwbk.pl/...29/message/8929 ]

[color=#0000ff;]Linkman M-24[/color]


#4 hojlo1

hojlo1

    Bywalec

  • Forumowicze
  • PipPipPipPipPip
  • 271 Postów:

Napisany 28 sierpień 2005 - 09:26

...można zminimalizować (tylko częściowo) ataki trojanów np.:
- przechodząć na nową Operę i hasła (stałe) wybierać kombinacją klawiszy ( jest zaszyfrowane) - wtedy taki "key..." nie odczyta stukań w klawiaturę.
Do tego Opera wyraźnie ( na żółto) - pokazuje certyfikat strony bankowej.


Ps - token dobra rzecz ale np. XXX banki stosują jeszcze inną sztuczkę
- oprócz loginu, haslo jest kombinacją zmiennego numeru tokena i swojego hasła ( każde wejście i operacja).

#5 Pieczywo

Pieczywo

    Rozmowny

  • Forumowicze
  • PipPipPipPipPipPip
  • 848 Postów:

Napisany 28 sierpień 2005 - 09:59

W Mbanku używa sie listy haseł jednorazowych. Też jest to nie najgorszy sposób. Chyba tak samo skuteczny jak token
Intel Core2Duo E8400+Pentagram Karakorum, Asus P5QL-E, 2x2GB A-DATA Extreme Edition 800Mhz, Gigabyte GTX 260 OC Core 216, 2x Seagate Barracuda 7200.12 500GB, Cooler Master Real Power M620 620W, Cooler MasterCenturion 590

#6 bodziec_85

bodziec_85

    jedi knight

  • Forumowicze
  • PipPipPipPipPipPip
  • 842 Postów:
  • Płeć:Mężczyzna

Napisany 28 sierpień 2005 - 10:02

co to jest token?
nie wiem czy dobrze zrozumialem z tego co znalazlem na stronie Banku PeKaO.
to jest jakies urządzenie do generowania haseł, czy cos jak lista haseł jednorazowych ?

"Jeżeli znajdziesz złożoność w tym co proste, znajdziesz prostote w tym co złożone"
[color=#0000FF;][font="Arial;"]Gigabyte K8NF-9 F11, AMD 64 3000+ s939, 4 x 256MB Kingston, Saphire Radeon x600pro 128/128, Seagate 160GB SATA
LG DVD, Lite-on DVDRW SOHW-1633S, LG Flatron T710BH 17''[/color]
[color=#800080;]komp wyciszony matami APP[/color][/font]


#7 Quadro

Quadro

    Modern Life

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 28281 Postów:

Napisany 28 sierpień 2005 - 10:04

Tak, to jest wlasnie takie urzadzonko. wyglada jak taki maly kalkulatorek, tylko bez miozliwosci liczenia (+/-/x)
Sony Vaio VGN-NW21SF

#8 bodziec_85

bodziec_85

    jedi knight

  • Forumowicze
  • PipPipPipPipPipPip
  • 842 Postów:
  • Płeć:Mężczyzna

Napisany 28 sierpień 2005 - 10:12

danke

"Jeżeli znajdziesz złożoność w tym co proste, znajdziesz prostote w tym co złożone"
[color=#0000FF;][font="Arial;"]Gigabyte K8NF-9 F11, AMD 64 3000+ s939, 4 x 256MB Kingston, Saphire Radeon x600pro 128/128, Seagate 160GB SATA
LG DVD, Lite-on DVDRW SOHW-1633S, LG Flatron T710BH 17''[/color]
[color=#800080;]komp wyciszony matami APP[/color][/font]


#9 eXtrEamEr

eXtrEamEr

    Uczestnik

  • Forumowicze
  • PipPipPipPip
  • 211 Postów:

Napisany 28 sierpień 2005 - 10:14

W PKO BP/Inteligo juz od dawna do dokonania jakiejkolwiek operacji na koncie (przelew itp.) potrzebne jest podanie kolejnego kodu z karty zdrapki. W takim wypadku na nic sie zda KeyLogger :P
eXtrEamEr
A1700+, ASUS A7N8X2.0, Kingston 512MB @ 266, Sapphire RADEON 9600 128MB DDR @ 364/490, BARRACUDA IV 60GB, U6 40GB, Samsung 30GB, LG GSA-4163B, SB Live!, Kingston DataTravelerII 256MB, Win XP,
CANON A80, CF: 32MB, 256MB SanDisk, 512MB Kingston

#10 hojlo1

hojlo1

    Bywalec

  • Forumowicze
  • PipPipPipPipPip
  • 271 Postów:

Napisany 28 sierpień 2005 - 10:51

eXtrEamEr - w Inteligo wejście na konto jest "za stałym" :loginem i hasłem.

Uważam, że jest to kpina z klienta (bezpieczeństwo) . :(

#11 Lirogon

Lirogon

    Menura novaehollandiae

  • Forumowicze
  • PipPipPipPipPipPipPip
  • 1307 Postów:

Napisany 28 sierpień 2005 - 11:27

co to jest token?

<{POST_SNAPBACK}>

Token jest niewielkim urządzeniem, które służy do dokonywania autoryzacji przy logowaniu do systemu oddziału internetowego oraz potwierdzania wszelkiego rodzaju operacji. Token wyglądem przypominający kalkulator działa na zasadzie pytanie-odpowiedź. System oddziału internetowego w chwili logowania się przez konkretnego użytkownika wyświetla na ekranie komputera sekwencję sześciu cyfr. Po ich wpisaniu do tokena urządzenie generuje odpowiedź - również sześć cyfr. W tokenie zaszyty jest klucz szyfrujący 3DES o długości 168 bitów - wykorzystanie tak silnego klucza szyfrującego powoduje, że kod jest praktycznie niemożliwy do złamania (potrafią to jedynie superkomputery, które musiałyby pracować nad tym problemem kilka lat).

Token posiada zabezpieczenie w postacie kodu PIN - znanemu tylko właścicielowi urządzenia. Trzykrotne podanie złego numeru PIN powoduje zablokowanie tokenu.

Token jest urządzeniem, w którym w przypadku próby otworzenia następuje zniszczenie zapisanych danych. Zasilanie urządzenia wystarczy na funkcjonowanie przez ok. 7 lat.

To wszystko powoduje, że token jest jednym z najpopularniejszych urządzeń służących do autoryzacji

Dzięki elementom optycznym umieszczonych na obudowie tokenu możliwe jest czytanie kodu bezpośrednio z ekranu komputera i otrzymana automatycznej odpowiedzi. Nie ma więc potrzeby wpisywania cyfr z klawiatury.

Proces autoryzacji jest dodatkowo zabezpieczony poprzez ograniczenie czasu potrzebnego na wygenerowanie odpowiedzi przez token i wpisania go do komputera - po upływie np. 30 sekund od pojawienia się kodu na ekranie jego ważność wygasa co oznacza, że podanie nawet prawidłowej sekwencji cyfr nie zostanie po upływie tego czasu przyjęte jako prawidłowe.

[informacja ze stronki www.bgz.pl]

btw: W BGŻ są hasła jednorazowe i tokeny :)
~UBIQUILITY~

#12 eXtrEamEr

eXtrEamEr

    Uczestnik

  • Forumowicze
  • PipPipPipPip
  • 211 Postów:

Napisany 28 sierpień 2005 - 12:21

eXtrEamEr - w Inteligo wejście na konto jest "za stałym" :loginem i hasłem.

Uważam, że jest to kpina z klienta (bezpieczeństwo) . :(

<{POST_SNAPBACK}>

Otoz owszem, login i haslo dostepu sa stale, ale jak pisalem wyzej aby wykonac jakakolwiek operacje zwiazana z pieniedzmi na koncie potrzeba podac jednorazowy kod, ktory odczytujemy z karty-zdrapki. Jak dla mnie to wystarczy. B)
eXtrEamEr
A1700+, ASUS A7N8X2.0, Kingston 512MB @ 266, Sapphire RADEON 9600 128MB DDR @ 364/490, BARRACUDA IV 60GB, U6 40GB, Samsung 30GB, LG GSA-4163B, SB Live!, Kingston DataTravelerII 256MB, Win XP,
CANON A80, CF: 32MB, 256MB SanDisk, 512MB Kingston

#13 hojlo1

hojlo1

    Bywalec

  • Forumowicze
  • PipPipPipPipPip
  • 271 Postów:

Napisany 28 sierpień 2005 - 14:31

Otoz owszem, login i haslo dostepu sa stale, ale jak pisalem wyzej aby wykonac jakakolwiek operacje zwiazana z pieniedzmi na koncie potrzeba podac jednorazowy kod, ktory odczytujemy z karty-zdrapki. Jak dla mnie to wystarczy. B)

<{POST_SNAPBACK}>

....dla mnie jednak nie, dlatego dodatkowo otworzyłem konta w innym banku, gdzie system zabezpieczeń jest dużo wyższy (nie mam zamiaru ułatwiać zadania hakerowi....). ;)

#14 Gośćlopopopek_*

Gośćlopopopek_*
  • Goście

Napisany 29 sierpień 2005 - 21:24

Najbezpieczniejszym zabezpieczeniem była by oferta banku który juz przy procesie logowania wykorzystywał by jedną z metod silnego uwierzytelniania tak samo jak i przy autoryzacji operacji. Najwieksze bezpieczeństwo daje PKI z kluczem prywatnym umieczczonym na karcie kryptograficznaej klienta :D zabezpieczenie nie do złamania :ninja: chyba że przez jakąś siec superkomputerów :blush:

#15 hojlo1

hojlo1

    Bywalec

  • Forumowicze
  • PipPipPipPipPip
  • 271 Postów:

Napisany 02 wrzesień 2005 - 11:30

...wracajac do sprawy Inteligo i stałego wejścia...to właśnie doczytałem,(zapewne właśnie dzieki tak kiepskiemu zabezpieczeniu na wejściu...), że był jednym z internetowych banków ( obok CityBank) - gdzie hakerzy podróbkę strony zrobili , by przejąć loginy i hasła. :( !!

#16 wichura1

wichura1

    Mitsumaniak

  • Forumowicze
  • PipPipPipPipPipPipPip
  • 3516 Postów:

Napisany 02 wrzesień 2005 - 12:18

Tak, to jest wlasnie takie urzadzonko. wyglada jak taki maly kalkulatorek, tylko bez miozliwosci liczenia (+/-/x)

<{POST_SNAPBACK}>

W Lukasbanku jest wielkości breloczka do kluczy. :D "token"
Komputer: IBM ThinkPad T42/ Pentium M 1.7GHz 2048kB/ RAM SO-DIMM 2x1024MB DDR 333MHZ CL2.5/ ATi Mobility FireGL T2 128MB/ WD Scorpio HDWD1200BEVE 120GB/ Lenovo Ultrabay Slim DVD+/-RW/ Intel 2200BG Mini-PCI/ Windows XP Professional SP3 OEM

#17 G_no_M

G_no_M

    Tambylec

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 13644 Postów:

Napisany 02 wrzesień 2005 - 12:44

Hmmm. Mój Firefox wykonuje nieprawidłową operacje po wejściu na stronę Wichury. Ktoś jeszcze tak ma (zbackupować profil przed probą)?
meh

#18 smolki

smolki

    Użytkownik

  • Forumowicze
  • PipPipPipPipPipPipPip
  • 3738 Postów:

Napisany 02 wrzesień 2005 - 14:48

W innych bankach jest jeszcze gorzej. BGŻ pozwala na dostęp do konta gdy użytkownik zna tylko dane osobowe klienta, takie jak numer konta, adres czy pesel. Różnica funkcjonalna pomiędzy tokenem i listą haseł jest taka, że listę trzeba raz na jakiś czas odnowić (jak się skończą hasła). Wiele banków wciąż jednak stosuje do ochrony pieniędzy klienta tylko stały login i hasło. Ponieważ ludzie są ****, na pytanie np. telefoniczne czy mailowe jaki jest ich login i hasło potrafią je podać nieznajomemu. I to właśnie tak "hakerzy" niby się do banków włamują. Tylko czy jak napiszę swój PIN do karty kredytowej i oddam ją nieznajomemu, to czy napiszą w gazecie że ktoś się włamał do banku? Szum informacyjny i tyle.

#19 hojlo1

hojlo1

    Bywalec

  • Forumowicze
  • PipPipPipPipPip
  • 271 Postów:

Napisany 02 wrzesień 2005 - 17:17

G_no_M - u mnie stronka działa (ale to nie Firefox).

wichura1 - są też inne tokeny (inna zasada działania).

Jednak ten co opisujesz "RSA SecureID" - dośc ciekawie np. w banku działa, bo faktycznie hasło jest mieszaniną: własnego, wymyślonego hasełka + kod generowany na bieżąco na wyświetlaczu ( i wcale nie musi byc ograniczone do 4liter, czy cyfr)- do tego osobny login!

Przy takim zastosowaniu:
a/ hakerska(podstawiona) strona nic nie da - bo jest zmienny klucz (chyba co 1min)
b/ pytanie (np. emailem) o hasło nic nie da bo - patrz pkt.a/ (pytanie bez sensu)
c/ emaile np. banku są dostepne tylko na stronie bankowej po zalogowaniu ( więc nie moze być innych emaili)
d/ zgubisz takiego "RSA..." - trzeba jeszcze i tak znać prywatne hasło ( do kombinacji)

Do tego np. nowa Opera , która potwierdza na żółto certyfikat strony ( IE jeszcze tego nie potrafi) i jest dość bezpiecznie... ;)

Ps - smolki - sam kiedyś dostałem emaila, by się zalogowac do banku...do którego nie należę . 8| :D

#20 Lirogon

Lirogon

    Menura novaehollandiae

  • Forumowicze
  • PipPipPipPipPipPipPip
  • 1307 Postów:

Napisany 02 wrzesień 2005 - 17:25

Do tego np. nowa Opera , która potwierdza na żółto certyfikat strony ( IE jeszcze tego nie potrafi) i jest dość bezpiecznie...  ;)

<{POST_SNAPBACK}>

a jak się ma sprawa z FF w tej kwestii ?
~UBIQUILITY~




0 Użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników