Új hozzászólás Aktív témák
-
#18
SaGaIn
senior tag
dragon1993
#17
SaGaIn
senior tag
válasz
dragon1993
#17
üzenetére
Értem. Szoval csak nagyon, nagyon hülye felhasználók akik felülbírálják a védelmet szívhatják meg.
-
#17
dragon1993
őstag
SaGaIn
#16
dragon1993
őstag
Gyakorlatilag az, hogy megadhatsz két aktív cert-et amiket elfogad és a többit nem fogja akkor se ha alapból érvényes lenne.
Ez azért jó, mert a bank ügyfelei beléptek már az oldalra, azután HTTPS nélkül (HSTS bekapcsolva) nem fog bejönni az oldal az ügyfélnek. A HPKP-vel meg csak azzal a 2 cert-el jön be az oldal amit a bank beállított, így a lopott domainhez hiába szerzel be Let's Encrypt vagy bármi más DV cert-et marad a kikerülhetetlen piros ablak, hogy ez egy támadó oldal.
-
#16
SaGaIn
senior tag
dragon1993
#14
SaGaIn
senior tag
válasz
dragon1993
#14
üzenetére
HPKP az mi?
-
#13
Depression
veterán
Depression
veterán
Mobil alkalmazásos token-nel tudnának mit kezdeni?
-
SaGaIn
senior tag
Nem biztos...
Nem rég volt egy hír hogy egy brazil bankot nyomtak fel úgy, hogy a DNS-ben átírták az ip-t és létrehoztak egy teljesen ugyanolyan oldalt, még a HTTPS hitelesítést is szereztek. na most ha első két bejelentkezést a fals oldalon teszi mega user majd átdobják a valódira senkinek nem tűnik fel csak annyi hogy két alkalommal kap egy rosz usernév/jelszó üzenetet, majd hirtelen frissül az oldal és harmadjára beengedi.
Ilyen próbálkozásnál csak a leggyakorlottabb infósoknak kattan le hogy mi a helyzet...
Egy napig nem tűnt fel a banknak hogy mi a baj...
-
Stanlee
őstag
A nemet bankoknal utalashoz kell egy egyszer hasznalatos PIN-kod, ok ezt TAN-nak hivjak. Tobbfele azonositasi mod van a TAN-ban, a legregebbi, amikor egy papirra kinyomtatott listat adtak a usernek, akitol a online bankolasi felulet az utalas elesitesehez bekerte a TAN listarol az x. szamot.
A bankoknal van a mobil TAN, vagy mTAN. A tamadok ezt hasznaltak ki, ugyanis itt sms-ben kapja meg az ember az utalas aktivalasahoz a kodot. A modszer az volt, hogy a fake oldalakon begyujtottek az online banki felulethez szukseges felhasznalonev/jelszo parost, ha ugyesek voltak, akkor a mobilszamot is (az en bankom mar hetek ota kiirja a sajat belepesi oldalan, hogy phising veszely van, csak a hivatalos cimen lepjen be az ember). Addig amig az sms tartalmat nem tudjak elolvasni, nincs semmi gond, mert a mTAN nelkul csak nezegetni tudjak a bankszamlat, elutalni nem tudnak rola. De ha mindharom adat megvan, akkor mehet az utalas.
Tiszta ugy, ehhez kell az is, hogy a user rossz oldalon jelentkezen be a bank online feluletere.
-
#5
scyllafren
senior tag
t72killer
#1
scyllafren
senior tag
Megszerzik az ugyfel login adatait, es megtudjak a telefonszamat. Megprobalnak belepni, bank kuld SMS-t, ezt az adathalaszok elfogjak, es belepnek. Ugyfel meg jo esellyel eszre se veszi, hogy kapott SMS-t, mivel vagy kiutik az ertesitest, vagy sose erkezik meg a telefonra.
-
waveson
tag
" egyes becslések szerint hétmilliárd felhasználó érintett."
Azt azért vágjátok, hogy összesen 7mrd ember él a földön, ebben benne van a 2 hetes csecsemőm és a 80+ éves nagymamám, ők aztán igazi power userek főleg banki szektorban, meg a mongol, afrikai kisgyerekek benszülöttek (nem tudom hány milliárd embert soroltam fel itt hirtelen, aki életében nem fogott még mobiltelefont, mert hát minek), és a többi.
lol. -
Nem világos, hogy lehet értelmes ügyféltől így pénzt lopni. SMS-ben kapok kódot a belépéshez vagy tranzakció-visszaigazoláshoz, de kell egy hamis weboldal is, amire rámennék (de minek is mennék bárhol linkelt oldalra, ha mindig magam gépelem be az ótépéponthu-t?). Ha meg van hamis weboldal, akkor minek az SMS-ekkel ügyeskedni?
Ha meg a telefonom akar a bankkal SMS-ben kommunikálni, aligha fognak ügyfélazonosítás nélkül bármilyen üzit komolyan venni, főleg nem azt, hogy toljanak már át 2-3000EUR-t egy Közép-Afrikai bankszámlára...
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it A támadók adathalász módszerekkel minden szükséges adatot megszereztek, aztán még az SMS-ekbe is belekukkantottak.
- Ez nem futótűz, inkább csak égés
- Fotók, videók mobillal
- Ingatlanos topic!
- Google Pixel topik
- Google Pixel 9 Pro XL - hét szűk esztendő
- OLED monitor topic
- Mindenkinek elérhetővé teszi a képgenerálást a Lossless Scaling
- Rezsicsökkentés, spórolás (fűtés, szigetelés, stb.)
- (nem csak) AMD FX / Ryzen tulajok OFF topikja
- Mesterséges intelligencia topik
- További aktív témák...
- Yongnuo 85mm 1.8 (legújabb modell) - Sony E
- Bomba ár! Lenovo ThinkPad L13 Yoga Gen1 - i7-10G I 16GB I 256SSD I 13,3" FHD I Cam I W11 I Gari!
- Meike 55mm 1.8 Pro objektív - Sony E
- Bomba ár! Lenovo ThinkPad Yoga 370 - i7-G7 I 8GB I 256SSD I 13,3" FHD Touch I W11 I Cam I Gari!
- Bomba ár! Lenovo ThinkPad L13 Gen2 - i7-1165G7 I 16GB I 256SSD I 13,3" FHD I HDMI I W11 I Cam I Gar
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest