Πολλά online banking συστήματα στηρίζονται στο ότι τα pcs των πελατών τους είναι ασφαλή, όμως αντιθέτως θα έπρεπε να υποθέτουν αξιωματικά ότι είναι μολυσμένα, αναφέρει το ENISA (http://www.enisa.europa.eu), το πρακτορείο για την cyber ασφάλεια της ΕΕ.

Οι πρόσφατες επιθέσεις σε πλούσιους λογαριασμούς τραπεζών που απέφεραν δεκάδες εκατομμύρια δολάρια, αναλύθηκαν σε μία πρόσφατη αναφορά που δημοσιεύθηκε από την McAfee και την Guardian Analytics. Η αναφορά περιγράφει τις τεχνικές λεπτομέρειες και τις επιπτώσεις μίας σειράς επιθέσεων. Η παλιά παροιμία "οι εγκληματίες πάνε όπου είναι τα λεφτά" σήμερα σημαίνει ότι οι "κλέφτες των τραπεζών πάνε online", αναφέρει ο εκτελεστικός διευθυντής της ENISA, καθηγητής Udo Helmbrecht. Δεν πρέπει να εκπλήσσει το ότι μεγάλες οργανωμένες ομάδες εγκληματιών στοχεύουν τις σελίδες των online banking. Οι επιθέσεις αυτές έχουν ενδιαφέρον γιατί είναι:

1) Πολύ αυτοματοποιημένες: οι επιτιθέμενοι κατάφεραν και ελαχιστοποίησαν την ανθρώπινη παρέμβαση, στηριζόμενοι κυρίως στην αυτοματοποίηση. Οι επιθέσεις ήταν επίσης ταχύτατες και δύσκολα αντιληπτές από τους χρήστες.

2) Έξυπνες: Τα μέτρα ασφαλείας των τραπεζών, όπως το two-factor authetication και η ανίχνευση απάτης, καταστρατηγηθήκανε. Οι χρήστες δεν αντιλήφθηκαν άμεσα την απάτη γιατί οι απατηλές κινήσεις αποκρύφτηκαν από κακόβουλο λογισμικό (εισάγωντας javascript κώδικα στις σελίδες).

3) Στοχευμένες: Μόνο τα PCs χρηστών που είχαν μεγάλα ποσά στους λογαριασμούς τους στοχοποιήθηκαν (π.χ. περίπου 5000 PCs στην Ολλανδία).

Οι επιθέσεις είχαν τρεις φάσεις. Πρώτον, οι στόχοι ταυτοποιήθηκαν χρησιμοποιώντας ένα είδος online αναγνώρισης και phising. Ξεχώρισαν τα θύματα με πρόσβαση σε λογαριασμούς με υψηλό υπόλοιπο. Δεύτερον, εγκατέστησαν στα pc των θυμάτων κακόβουλο λογισμικό (SpyEye, Zeus και Ice 9), προσαρμοσμένο συγκεκριμένα για τις ιστοσελίδες online banking των τραπεζών των θυμάτων. Το κακόβουλο λογισμικό ενεργοποιούταν όταν τα θύματα ξεκίναγαν μία online banking συνεδρία. Το SpyEye, Zeus και Ice 9 είναι τυποποιημένα malware toolkits φτιαγμένα για αυτούς του είδους της επιθέσεις. Ύστερα έκαναν αυτόματες κινήσεις στους λογαριασμούς των θυμάτων με τα ονόματα τους κρατώντας τες κρυμμένες από αυτούς πίσω από μηνύματα ειδοποίησης και αναμονής. Το κακόβουλο λογισμικό μεταφέρει ποσά από λογαριασμούς ταμιευτηρίου σε λογαριασμούς όψεως και κατόπιν σε λογαριασμούς τρίτων σε άλλες χώρες οι οποίοι τα στέλνουν σε άλλους μέσω π.χ. Western Union.

Η ENISA στο πλήρες κείμενό του δελτίου τύπου της, προτείνει στις τράπεζες τρόπους αντιμετώπισης αυτών των επιθέσεων.

Πηγή: Δ.Τ. της ENISA (http://www.enisa.europa.eu/media/press-releases/eu-cyber-security-agency-enisa-201chigh-roller201d-online-bank-robberies-reveal-security-gaps)

Τρέμε Έλληνα που έβγαλες τα λεφτά σου στην Ελβετία.:)

Τρέμε Έλληνα που έβγαλες τα λεφτά σου στην Ελβετία.:)

Εγώ πιστεύω πως τέτοιες απάτες τις χρεώνεται η τράπεζα... Αν τις χρεώνονταν οι ανυποψίαστοι πελάτες, θα είχε «πέσει» ήδη το τραπεζικό σύστημα... Ποιος θα εμπιστευόταν ξανά; Σίγουρα εχουν τον τρόπο τους οι τράπεζες «ν΄απορροφούν» τα κλεμμένα χρήματα. Τίποτα ασφάλειες, τίποτα σκοτεινά κολπάκια...

Όπως συμβαίνει και με την παλιά, κλασική ληστεία... Δεν πας την άλλη μέρα στη τράπεζα ν΄ακούσεις «δυστυχώς, ο λογαριασμός σας μηδενίστηκε διότι πέσαμε θύμα ληστείας». Το ίδιο συμβαίνει και με τις πιστωτικές...

Αν αποδειχθεί πως ήταν απάτη...:hmm::)

Εγώ πιστεύω πως τέτοιες απάτες τις χρεώνεται η τράπεζα... Αν τις χρεώνονταν οι ανυποψίαστοι πελάτες, θα είχε «πέσει» ήδη το τραπεζικό σύστημα... Ποιος θα εμπιστευόταν ξανά; Σίγουρα εχουν τον τρόπο τους οι τράπεζες «ν΄απορροφούν» τα κλεμμένα χρήματα. Τίποτα ασφάλειες, τίποτα σκοτεινά κολπάκια...

Όπως συμβαίνει και με την παλιά, κλασική ληστεία... Δεν πας την άλλη μέρα στη τράπεζα ν΄ακούσεις «δυστυχώς, ο λογαριασμός σας μηδενίστηκε διότι πέσαμε θύμα ληστείας». Το ίδιο συμβαίνει και με τις πιστωτικές...


Οι οποίες τράπεζες μετά φαλιρίζουν και τις πληρώνουν όλοι οι φορολογούμενοι της κάθε χώρας :)

Οι οποίες τράπεζες μετά φαλιρίζουν και τις πληρώνουν όλοι οι φορολογούμενοι της κάθε χώρας :)

Έτσι είναι... Απλά τώρα το θέμα γίνεται λίιιιιιγο πιο περίπλοκο, όσο πατάει η γάτα, δηλαδή. Εκεί κλέβουν οι ίδιοι τους οι τραπεζίτες... :p

Εγώ πιστεύω πως τέτοιες απάτες τις χρεώνεται η τράπεζα... Αν τις χρεώνονταν οι ανυποψίαστοι πελάτες, θα είχε «πέσει» ήδη το τραπεζικό σύστημα... Ποιος θα εμπιστευόταν ξανά; Σίγουρα εχουν τον τρόπο τους οι τράπεζες «ν΄απορροφούν» τα κλεμμένα χρήματα. Τίποτα ασφάλειες, τίποτα σκοτεινά κολπάκια...

Όπως συμβαίνει και με την παλιά, κλασική ληστεία... Δεν πας την άλλη μέρα στη τράπεζα ν΄ακούσεις «δυστυχώς, ο λογαριασμός σας μηδενίστηκε διότι πέσαμε θύμα ληστείας». Το ίδιο συμβαίνει και με τις πιστωτικές...

Η διαφορά στη συγκεκριμένη περίπτωση που συζητάμε είναι πως δεν έχει πέσει η Τράπεζα θύμα της "ληστείας" αλλά ο πελάτης. Γιατί η τράπεζα παρέχει στον πελάτη την ασφαλή υπηρεσία του Web Banking (ή ΑΤΜ) αλλά αν ο πελάτης δεν έχει βεβαιωθεί πως δεν τον "παρακολουθεί" κανείς (όπως π.χ. να είναι κάποιος ακριβώς από πίσω του στο ΑΤΜ και να βλέπει τους κωδικούς) κι ως συνέπεια πέφτει θύμα, τότε δεν είναι λογικό να φταίει η τράπεζα. Άσε που όπως ειπώθηκε ήδη, δεν είναι πάντα δυνατό ν' αποδείξεις ότι έπεσες θύμα απάτης.

Κι επειδή μια τράπεζα δε μπορεί να διαφυλάξει πως τα συστήματα των πελατών της είναι ασφαλή, θα πρέπει πιστεύω να προτείνει σε αυτούς να κάνουν τις Online συναλλαγές τους μόνο μέσω υπολογιστή που έχει ξεκινήσει από LiveCD. Αυτό βέβαια προϋποθέτω την "εκπαίδευση" των χρηστών.

Ορθή και η παρατήρηση του ermis333.

Η διαφορά στη συγκεκριμένη περίπτωση που συζητάμε είναι πως δεν έχει πέσει η Τράπεζα θύμα της "ληστείας" αλλά ο πελάτης.
Aυτό ακριβώς.
Δεν μπορείς να αποδείξεις οτι δεν έκανες εσύ τις κινήσεις.

Aυτό ακριβώς.
Δεν μπορείς να αποδείξεις οτι δεν έκανες εσύ τις κινήσεις.

Σε πρόλαβα. Δες το #4 ;)

Ε, και ;

Κι επειδή μια τράπεζα δε μπορεί να διαφυλάξει πως τα συστήματα των πελατών της είναι ασφαλή, θα πρέπει πιστεύω να προτείνει σε αυτούς να κάνουν τις Online συναλλαγές τους μόνο μέσω υπολογιστή που έχει ξεκινήσει από LiveCD. Αυτό βέβαια προϋποθέτω την "εκπαίδευση" των χρηστών.

Και μετά θα προσπαθούν να μολύνουν τα images που είναι διαθέσιμα για κατέβασμα :mrgreen: Αλλά πες ότι στο ubuntu.com θα περιμένεις κάπως καλύτερη ασφάλεια από ότι σε απλό χρήστη.
Ίσως ένα bootable cd (όχι usb!!) που να φόρτωνε ένα πολύ light λειτουργικό (για ταχύτητα φόρτωσης και μόνο) να ήταν μια καλή λύση. Αλλά όχι και οριστική.

Και μετά θα προσπαθούν να μολύνουν τα images που είναι διαθέσιμα για κατέβασμα :mrgreen: Αλλά πες ότι στο ubuntu.com θα περιμένεις κάπως καλύτερη ασφάλεια από ότι σε απλό χρήστη.
Ίσως ένα bootable cd (όχι usb!!) που να φόρτωνε ένα πολύ light λειτουργικό (για ταχύτητα φόρτωσης και μόνο) να ήταν μια καλή λύση. Αλλά όχι και οριστική.

Σε μερικές μητρικές υπάρχει ενσωματωμένο λειτουργικό σε παρόμοιο στυλ αλλά δεν νομίζω να κάνει και κανένας χρήση...

Ρε παιδιά συγγνώμη, η εμπειρία μου δείχνει ότι όλες οι τράπεζες δουλεύουν είτε με το μηχανηματάκι είτε με το sms που βγάζει εκείνη την ώρα κωδικό για να κάνεις συναλλαγή που αφορά μεταφορά σε λογαριασμό τρίτου. Αυτό πως παρακάμπτεται;

Εγώ πάντως κάθε φορά που κάνω log in στον λογαριασμό του online banking τρέμω.

Ρε παιδιά συγγνώμη, η εμπειρία μου δείχνει ότι όλες οι τράπεζες δουλεύουν είτε με το μηχανηματάκι είτε με το sms που βγάζει εκείνη την ώρα κωδικό για να κάνεις συναλλαγή που αφορά μεταφορά σε λογαριασμό τρίτου. Αυτό πως παρακάμπτεται;

...


Πρώτον, οι στόχοι ταυτοποιήθηκαν χρησιμοποιώντας ένα είδος online αναγνώρισης και phising.

Αν τσιμπήσεις στο phising δεν σε γλυτώνει ούτε ο superman!

Εγώ πάντως κάθε φορά που κάνω log in στον λογαριασμό του online banking τρέμω.

http://www.ubuntu.com/download/desktop

;)

Ρε παιδιά συγγνώμη, η εμπειρία μου δείχνει ότι όλες οι τράπεζες δουλεύουν είτε με το μηχανηματάκι είτε με το sms που βγάζει εκείνη την ώρα κωδικό για να κάνεις συναλλαγή που αφορά μεταφορά σε λογαριασμό τρίτου. Αυτό πως παρακάμπτεται;

Ένα από τα εργαλεία που χρησιμοποιούν το Zeus, μεταξύ άλλων κάνει το εξής: Εσύ έχεις δώσει κανονικά τα στοιχεία σου στον browser και έχεις κάνει login, αλλά μέσω κάποιων τεχνικών, άλλα βλέπεις στην οθόνη σου και άλλα τρέχουν στον browser. Απ' ότι θυμάμαι, μπορεί να καταλαβαίνει σε ποια σελίδα έχεις μπει και να τροποποιεί realtime το html της, προσθέτοντας-αφαιρώντας στοιχεία.

http://www.ubuntu.com/download/desktop

;)

Live CD για περισσότερη ασφάλεια...

Τo θέμα είναι ότι πολλές φορές βαριόμαστε το boot.

Live CD για περισσότερη ασφάλεια...

Τo θέμα είναι ότι πολλές φορές βαριόμαστε το boot.

http://www.ebay.co.uk/itm/WYSE-WINTERM-WT1125SE-THIN-CLIENT-NETWORK-TERMINAL-/251098365223?pt=US_Thin_Clients&hash=item3a76a0fd27

Άμεσο boot, μικρό μέγεθος, μηδενικός κίνδυνος.

Μεγάλη τύχη που έχουμε τον ENISA στην Ελλάδα, αν και πολλές άλλες χώρες τον εποφθαλμιούν. Και ως συνήθως, εμείς κάνουμε τα πάντα για να τον διώξουμε... Όσο τουλάχιστον εγώ ήμουν εκεί, η μεταφορά τεχνογνωσίας ήταν τεράστια...

Ένα από τα εργαλεία που χρησιμοποιούν το Zeus, μεταξύ άλλων κάνει το εξής: Εσύ έχεις δώσει κανονικά τα στοιχεία σου στον browser και έχεις κάνει login, αλλά μέσω κάποιων τεχνικών, άλλα βλέπεις στην οθόνη σου και άλλα τρέχουν στον browser. Απ' ότι θυμάμαι, μπορεί να καταλαβαίνει σε ποια σελίδα έχεις μπει και να τροποποιεί realtime το html της, προσθέτοντας-αφαιρώντας στοιχεία.


Ωραία στον browser ας κάνει ότι θέλει.. Στον server όμως στον οποίο δημιουργήθηκε ο κωδικός και στάλθηκε με μήνυμα στο κινητό μου πώς γίνεται το match των κωδικών αν δεν τον βάλεις εσύ;; Δηλαδή να το κάνει από μόνο του μου φαίνεται λίγο δυσκολάκι... Μόνο τη στιγμή που είσαι μέσα εσύ και έχεις κάνει εσύ την ταυτοποίηση..Άρα για μερικά δευτερόλεπτα ή λεπτά το πολύ.. Που πάλι φυσικά είναι επικίνδυνο αλλά τουλάχιστον εσύ είσαι εκεί και μπορείς να δεις κιόλας..

Ωραία στον browser ας κάνει ότι θέλει.. Στον server όμως στον οποίο δημιουργήθηκε ο κωδικός και στάλθηκε με μήνυμα στο κινητό μου πώς γίνεται το match των κωδικών αν δεν τον βάλεις εσύ;; Δηλαδή να το κάνει από μόνο του μου φαίνεται λίγο δυσκολάκι... Μόνο τη στιγμή που είσαι μέσα εσύ και έχεις κάνει εσύ την ταυτοποίηση..Άρα για μερικά δευτερόλεπτα ή λεπτά το πολύ.. Που πάλι φυσικά είναι επικίνδυνο αλλά τουλάχιστον εσύ είσαι εκεί και μπορείς να δεις κιόλας..

Κατά πάσα πιθανότητα θα δράσει την στιγμή που εσύ θα κάνεις login κανονικά στο site της τράπεζας. Θα κάνει τις μεταφορές του, ενώ εσύ θα βλέπεις ένα π.χ. "Παρακαλώ περιμένετε"...

Ρε παιδιά συγγνώμη, η εμπειρία μου δείχνει ότι όλες οι τράπεζες δουλεύουν είτε με το μηχανηματάκι είτε με το sms που βγάζει εκείνη την ώρα κωδικό για να κάνεις συναλλαγή που αφορά μεταφορά σε λογαριασμό τρίτου. Αυτό πως παρακάμπτεται;
Την ίδια απορία είχα κι εγώ αρχικά, αλλά μετά κατάλαβα πως λειτουρεί το σύστημα, το οποίο θα προσπαθήσω να περιγράψω με απλά λόγια (παρακαλώ διορθώστε τα όποια λάθη κάνω). Επισκέπτεσαι την ιστοσελίδα, βάζεις κανονικά τους κωδικούς σου, τους οποίους υποκλέπτει το σύστημα αυτόματα και στέλνει σε κεντρικό Server. Πας στο μενού για μεταφορά χρημάτων, σημειώνεις όλες τις πληροφορίες, λαμβάνεις με SMS ή από τη συσκευή ΟΤΡ τον επιπλέον κωδικό, τον οποίο και πληκτρολογείς. Πατάς το κουμπί για να ολοκληρώσεις τη συναλλαγή. Το κακόβουλο λογισμικό κάνει τα εξής:

ΣΤΑΜΑΤΑΕΙ τον browser από την εκτέλεση της ενέργειας (δηλαδή σαν να μην πάτησες καθόλου το πλήκτρο)
Στέλνει τον επιπλέον κωδικό ΟΤΡ σε κεντρικό server
Σου παρουσιάζει μια σελίδα ολοκλήρωσης της συναλλαγής για να σε ξεγελάσει ότι όλα πήγαν καλά
Στο χρόνο που είναι ενεργός ο κωδικός ΟΤΡ (συνήθως 30 - 45 δευτερόλεπτα), πραγματοποιείται από τον κεντρικό Server μια άλλη συναλλαγή (o Server έχει τα στοιχεία εισόδου αλλά και τον επιπλέον κωδικό μιας χρήσης για πραγματοποίηση συναλλαγής)


Ελπίζω να βοήθησα.

Τι ειδους φισιν ειναι αυτα που στελνονται;Και ποσο χαζοι μπορει να ειναι αυτοι,που ενω εχουν πολλα λεφτα,πραγμα που λεει οτι συνηθως δεν μπορει να ειναι ηλιθιοι,τσιμπανε οσο ευκολα,και ληστευονται;

- - - Updated - - -

Τι ειναι αυτο,γιατι ξερεις,υπαρχουν και ...υπερηλικες εδω,αρα κομπιουτερικως αναλφαβητοι...
:p

- - - Updated - - -

Πες μου και γι αυτο σε παρακαλω.Τι στο καλο κανει;

Σου έρχεται ένα mail το οποίο λέει και καλά ότι πρέπει για κάποιο σοβαρό λόγο να κάνεις login στο paypal λογαριασμό σου. Το mail παραθέτει και ένα link (το οποίο όμως δεν σε πάει στο paypal αλλά σε ένα ψεύτικο site)ώστε να κάνεις κλικ εκεί και να κάνεις login με τα στοιχεία σου. Στη φωτογραφία φαίνεται ένα τέτοιο ψεύτικο site.

104403

Αφού ανοίξεις το site, κάνεις login, κοινώς πληκτρολογείς το username και το password με τα οποία έχεις πρόσβαση στο paypal (και κατ'επέκταση στα χρήματά σου). Αυτά που εισάγεις εσύ, τα τσιμπάει ο κακόβουλος χρήστης και πλέον έχει πρόσβαση στο paypal σου.

Ο σκοπός είναι να τσιμπήσουν ανυποψίαστους χρήστες. Αυτές οι επιθέσεις γίνονται στα τυφλά, δηλαδή στέλνουν αβέρτα phising emails σε ένα μεγάλο αριθμό χρηστών ( > 1000). Ένας-δύο από αυτούς να τσιμπήσει, είναι επιτυχία :oneup:



Τι ειδους φισιν ειναι αυτα που στελνονται;Και ποσο χαζοι μπορει να ειναι αυτοι,που ενω εχουν πολλα λεφτα,πραγμα που λεει οτι συνηθως δεν μπορει να ειναι ηλιθιοι,τσιμπανε οσο ευκολα,και ληστευονται;

Αν αφήσουμε κατά μέρος το συλλογισμό ότι όσοι έχουν λεφτά συνήθως δεν είναι ηλίθιοι :mrgreen:...γιατί έχει και πολλούς. Αλλά φυσικά οι έξυπνοι λεφτάδες είναι πλειοψηφία.
Δεν πρέπει να είσαι ηλίθιος για να τσιμπήσεις. Οι κίνδυνοι είναι τόσοι πολλοί, αλλά δεν βλέπω μεγάλη προσπάθεια από κρατικούς φορείς ώστε να γίνει ενημέρωση. Ναι, OK, tutorials έχει μπόλικα στο net, αλλά το θέμα είναι πολύ σοβαρό και δεν πρέπει να περιμένεις τον χρήστη να έρθει να μάθει, αλλά να τον πάρεις εσύ από το χεράκι. Πέντε-δέκα πράγματα να ξέρεις, είναι μεγάλη υπόθεση σε σχέση με το να μη γνωρίζεις τίποτα.

Ένα ενημερωτικό που βρήκα έτσι στα γρήγορα γρήγορα: What is Phising (http://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx).

Τυγχάνει να έχω ένα συνάδελφο που το διδακτορικό του ασχολείται με την ενημέρωση του κοινού για τους κινδύνους στο διαδίκτυο, πολύ πρόσφατα δοκίμασα και ένα android app που κάνει develop για εκμάθηση πάνω στο phising και ήταν και αρκετά καλό ;)

2) Έξυπνες: Τα μέτρα ασφαλείας των τραπεζών, όπως το two-factor authetication και η ανίχνευση απάτης, καταστρατηγηθήκανε. Οι χρήστες δεν αντιλήφθηκαν άμεσα την απάτη γιατί οι απατηλές κινήσεις αποκρύφτηκαν από κακόβουλο λογισμικό (εισάγωντας javascript κώδικα στις σελίδες).

Δε βλέπω με πιο τρόπο μπορεί να γίνει αυτό στην Alpha bank για παράδειγμα.

Για μεταφορά κεφαλαίου σε μη καταχωρημένο λογαριασμό χρειάζεται και 2ο κωδικό απ τον authenicator (κάθε φορά που επιχειρείται τέτοια μεταφορά).

Δε βλέπω με πιο τρόπο μπορεί να γίνει αυτό στην Alpha bank για παράδειγμα.

Για μεταφορά κεφαλαίου σε μη καταχωρημένο λογαριασμό χρειάζεται και 2ο κωδικό απ τον authenicator (κάθε φορά που επιχειρείται τέτοια μεταφορά).

Το εξήγησα τρία μηνύματα πιο πάνω... Υποθέτω πως το GreaseMonkey θα το ξέρετε. Φανταστείτε κάτι σαν το GreaseMonkey ν' αλλάζει δυναμικά τη σελίδα (την επίσημη σελίδα της τράπεζας) που βλέπει ο χρήστης ώστε αυτός να μη μπορεί να καταλάβει τι γίνεται πίσω από τα μάτια του.