9
-
eax #9 Au, nem neztem a datumot... ciki... :) -
eax #8 Az alapverzionak (hogy kuldenek egy linket levelben, hogy itt ird be az adataidat) tenyleg csak a nagyon amatorok dolnek be, de a kicsit advancedebb modszerek (pl. a cikkben emlitett, vagy meg ezt megdobva annyival, hogy a malware-t nem a juzer teszi fel, hanem valamilyen 0day exploiton keresztul bemaszik magatol) ellen nem sok banki rendszer van felkeszitve, a legtobb ugyanis csak a session kezdetekor ker mindenfele authentikaciot (pl. SMS, vagy remark kollega bankjanal a (leiras alapjan) RSA securID, onnantol pedig egy malware mar ugy session hijack-el, ahogy csak akar.
Ez ellen csak ugy lehet vedekezni, hogy vagy utalasonkent egyenkent kell pl. SMS-es megerosites (ami egyebkent semmivel sem biztonsagosabb, mint a sima e-mail, csak annyi az elonye, hogy mas, es igy mas modszerek kellenek a lehallgatasahoz/hamisitasahoz, a fizikai kozelsegen kivul), vagy valamilyen modon biztositani kell, hogy csak trusted kornyezetbol lepj be. Nekem pl. van egy kulon chrootom erre a celra, ami minden inditaskor reset-elodik egy tiszta snapshot-bol, de meg ez sem tokeletes, de ezert kulon gepet venni meg nem volt hangulatom... :) -
#7
hasonlo a helyzet. en a paypaltol kapok ilyen leveleket, pedig nincs is paypal szamlam. olyan ugyes, hogy akarmilyen nevvel es jelszoval beenged es keri a bankkartya szamomat. hat kitalaltam nekik egyet, legyen nekik is egy jo napjuk.
ami a banki belpest illeti, nekem van egy grid kartyam 8x7 mezovel amit a rendszer veletlenszeruen ker, de ugy, hogy a pozicio kepkent jelenik meg. tehat hacsak nem tudjak valami trojaival leolvasni a kepet, akkor nem sokat ernek a beadott koddal, mert nem tudjak melyik mezohoz tartozik. nagyobb atuatalasokra mar egy komolyabb szerkezet van ami percenkent szamokat general es ezeket kell beadni belepeskor es a tranzakcio vegeztevel. olyan bank, amelyik fix belepovel es jelszoval beenged az meg is erdemli, hogy tonkremenjen, mert az emberek elobb utobb eszreveszik mi a biztonsag -
HJPOWER #6 :D
Ilyen leveleket mostanában én is egy csomót kaptam és a durva az, hogy ilyesztően hivatalosnak tűnik. Figyelmeztetnek, hogy változtassuk meg a kódjainkat, mert mostanában adathalászok bizergálták a rendszerüket, stb...
A vicces az egészben, hogy semmiféle bankszámlám nincs :D -
#5
na mentem halászni :))) -
remark #4 Nalunk nincs felhasznalonev/jelszo a banki belepesnel. Nem tudom mi a modszer hivatalos neve, de a belepeshez egy banktol kapott kütyü hasznalatos (egy kisebb szamologep meretu kodolo). A kütyü kodjat a banki oldalra beirva az kiad egy "random" kodot amit a kütyüvel atkodolok es a kapott szamot visszairom a weboldalra. Minden utalast is hasonlo modon jova kell hagyatni.
Egyebkent meg az ember automatikusan ketelkedik ha kap egy emailt. Ha a bankom akar valamit, az kikuld egy levelet postan. Legalabbis en mailt meg sose kaptam a bankomtol.
Mikor meg bankban dolgoztam (ami jo regen volt) es elektronikus banki megoldasokat probaltunk az ugyfelekre sozni, egyik holland ceges ugyfel pont azt kifogasolta hogy milyen dolog az hogy egy nev es jelszo bevitelevel csak ugy be lehet lepni a banki kliens programba. Arra hivatkoztak hogy ez "naluk" nem szokas, egy fix kodot barki megszerezhet, es onnan kezdve szabadon garazdalkodhat. -
shaark #3 Nekem is van bankszámlám a megnevezett banknál, rendszeresen felhívják az ember figyelmét az ilyen esetekről és, hogy véletlenül se nyissanak meg mailt, de ezekszerint még mindig nem elég nagy betűkkel van kiírva :) Ti is csekkolhatjátok itt, asszem könnyen kitaláljátok, hogy melyik szöveg az :D
BCs design, itt is van egyszeri kódos beléptetés (küldenek egy "kaparós-kártyát", amin van kb 30 kód és minden kód egyszer érvényes), de nem minden bankszámlához. Vagy nem kérik a számlatulajdonosok szolgáltatást (amely mellékesen ingyenes) vagy pedig nem olyan internetes ügyintézést kérnek, illetve a bank nem ad olyat, akkor meg nem lehet küldeni pénzt, csak fogadni, illetve ellenőrizni a kifizetéseket. -
BCs design #2 nagy számok törvénye, hogy sokan még mindíg bedölnek ennek
szerencsére az én bankomnál netes utaláskor nem elég ha ha valkibe lép a névvel jelszóval, mert utaláskor egy véletlen szerükódot is be kel írni amit a telefonomra küldenek mindíg azonnal sms-ben -
SymbioC #1 Nem igaz, hogy még mindíg ennyien bedőlnek ennek 
Már megint beigazolódott, hogy a egy rendszer biztonságában az emberi tényező a legyengébb láncszem.