e-banking

[mezger]

Έχω ξεκινήσει να γελάω με αυτό το νήμα.
Συζητάμε για μία περίπτωση την οποία κάποιος θα έχεις πρόσβαση σε username/password και πρόσβαση real time στο κινητό.
Θα χρειαζόταν κάποιος να πείσει το χρήστη να κατεβάσει κάποιο plugin μιας και τα plugin είναι ο μόνος τρόπος που μία εφαρμογή μπορεί να κάνει inject javascript/jquery κώδικα σε σελίδα στον browser όλοι οι browsers οι γνωστοί τουλάχιστον explorer,edge,chrome,safari,firefox,opera κτλ δεν επιτρέπουν το injection κώδικα χωρίς να γίνει αυτό που είπα πχ ένα exe δεν γίνεται αυτό βέβαια θα μπορούσε να είναι το πρώτο βήμα πχ να είναι ένα keylogger.
Επίσης πλέον το tfa απαιτήται ανά συναλλαγή και όχι ανά session.

Πολύ λιγότερα πράγματα χρειάζονται, μάλλον δεν κατάλαβες τον τρόπο επίθεσης. Ο χρήστης συναλλάσσεται κανονικά με την τράπεζα μέχρι τη στιγμή που εισάγει ο ίδιος το tfa token, το οποίο δεν φτάνει ποτέ στην τράπεζα, αλλά το παίρνει ο επιτιθέμενος, ο οποίος το χρησιμοποιεί για να κάνει τη συναλλαγή του (άμεσα για να προλάβει τη λήξη του).
Άρα χρειάζονται είτε ένας keylogger συν ένας τρόπος να μη φύγει το request που το στέλνει στην τράπεζα (τίποτα sophisticated, ένα απλο κρασάρισμα αρκει), είτε να βλέπει ο χρήστης ένα dummy site που θα πιστέυει ότι είναι της τράπεζας (δύσκολο λόγω ssl, αλλά όχι αδύνατο αν μιλάμε για πολύ απρόσεκτο χρήστη)
Ούτε το κινητό έχει σχέση ούτε άμεσα ο browser.

[jap]

Θα συμφωνήσω με τον user2163. Όπως ανέφερε οι κωδικοί tfa αφορούν πλέον συγκεκριμένη συναλλαγή, ο χρήστης τον ζητά για να στείλει χρήματα στον λογαριασμό Α, δεν μπορεί ο χάκερ να πάρει τον ίδιο κωδικό και να τον χρησιμοποιήσει για να στείλει στον λογαριασμό Β, ούτε άλλο ποσό ούτε τίποτα. Αυτό από μόνο του αρκεί για να είναι απίθανα όλα τα άλλα σενάρια που συζητιούνται.

[cool11]

tfa τι ειναι; Πειτε με απλα λογια κατι παραπανω (οχι ενα απλο λινκ)

[minas]

tfa τι ειναι; Πειτε με απλα λογια κατι παραπανω (οχι ενα απλο λινκ)

Two Factor Authentication, συνήθως το βλέπεις και ως 2FA. Με μία λέξη, κωδικός μιας χρήσης που παίρνεις με συνήθως με SMS.
Όπως λέει και ο νέος κανονισμός, χρειάζεσαι δύο από:
Κάτι που ξέρεις (πχ κωδικός)
Κάτι που έχεις (πχ κινητό)
Κάτι που είσαι (πχ βιομετρικά)

[mezger]

Θα συμφωνήσω με τον user2163. Όπως ανέφερε οι κωδικοί tfa αφορούν πλέον συγκεκριμένη συναλλαγή, ο χρήστης τον ζητά για να στείλει χρήματα στον λογαριασμό Α, δεν μπορεί ο χάκερ να πάρει τον ίδιο κωδικό και να τον χρησιμοποιήσει για να στείλει στον λογαριασμό Β, ούτε άλλο ποσό ούτε τίποτα. Αυτό από μόνο του αρκεί για να είναι απίθανα όλα τα άλλα σενάρια που συζητιούνται.

Με τις συσκευές που δίνανε παλιότερα σίγουρα γινόταν γιατί ήταν time-based το token, εφόσον τα tokens που στέλνουν με sms είναι όντως κλειδωμένα στη συναλλαγή για την οποία ζητήθηκαν πράγματι δεν υπάρχει θέμα (υπάρχει δηλαδή ένα μικρό θεματάκι με τα sms, θέλει όμως μεγάλη επένδυση για να γίνει υποκλοπή, οπότε λογικά αρκεί να μη διαφημίζεις πόσα ακριβώς εκατομμύρια έχεις στην τράπεζα :P)

[user2163]

Με τις συσκευές που δίνανε παλιότερα σίγουρα γινόταν γιατί ήταν time-based το token, εφόσον τα tokens που στέλνουν με sms είναι όντως κλειδωμένα στη συναλλαγή για την οποία ζητήθηκαν πράγματι δεν υπάρχει θέμα (υπάρχει δηλαδή ένα μικρό θεματάκι με τα sms, θέλει όμως μεγάλη επένδυση για να γίνει υποκλοπή, οπότε λογικά αρκεί να μη διαφημίζεις πόσα ακριβώς εκατομμύρια έχεις στην τράπεζα :P)

Γιατί άμα έχεις εκατομμύρια δεν θα τα έχεις σε επενδυτικό χαρτοφυλάκιο; Σε καταθετικό λογαριασμό θα τα έχεις;

[sdikr]

Άδειασε λογαριασμό απο την Γερμανία μέσω ebanking, τον πιάσανε στην Ελλάδα

http://www.thestival.gr/society/poli...thodo-phishing

Από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, διερευνήθηκε και εξιχνιάσθηκε υπόθεση απάτης μέσω διαδικτύου και ταυτοποιήθηκε η εμπλοκή 52χρονου αλλοδαπού.

Σύμφωνα με την ανακοίνωση της ΕΛΑΣ, η διερεύνηση της υπόθεσης ξεκίνησε ύστερα από καταγγελία στις γερμανικές Αρχές, σύμφωνα με την οποία άγνωστος δράστης, με την μέθοδο του ηλεκτρονικού ψαρέματος (Phishing), υπέκλεψε τα προσωπικά διαπιστευτήρια εισόδου στον προσωπικό λογαριασμό ηλεκτρονικής τραπεζικής Γερμανίδας υπηκόου και στη συνέχεια πραγματοποίησε παράνομη μεταφορά (3.400) ευρώ, στον λογαριασμό του μέσω διαδικτύου.

Ακολούθησε έρευνα κατά την οποία προέκυψαν τα στοιχεία του 52χρονου στη χώρα μας ενώ η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος ενημερώθηκε, μέσω δικαστικής συνδρομής, για την ανακάλυψη και κατάσχεση ψηφιακών και έντυπων μέσων, που σχετίζονται με την παράνομη δραστηριότητα.

Άμεσα, προσδιορίστηκε γεωγραφικά ο τόπος κατοικίας του εμπλεκόμενου σε περιοχή της Αττικής, όπου αστυνομικοί της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος με τη συνδρομή της Διεύθυνσης Εγκληματολογικών Ερευνών, πραγματοποίησαν έρευνα και ταυτοποιήθηκε η εμπλοκή του στην υπόθεση.

Κατά την έρευνα βρέθηκαν και κατασχέθηκαν:

φορητός ηλεκτρονικός υπολογιστής,

κάρτα εξωτερικής αποθήκευσης microsd,

κινητό τηλέφωνο με (2) κάρτες sim,

χρεωστική κάρτα τράπεζας,

καρτέλα με στοιχεία διαπιστευτηρίων εισόδου στον λογαριασμό του ηλεκτρονικής τραπεζικής,

πλήθος εντύπων αποστολής χρημάτων σε τρίτα πρόσωπα, μέσω εταιρίας μεταφοράς χρημάτων,

πλήθος εγγράφων που αφορούν αλληλογραφία με διάφορα

τραπεζικά ιδρύματα, με κύρια θέματα την αίτηση σύναψης δανειακών συμβάσεων και ανοίγματος λογαριασμών και σχέδια συμβάσεων με τρίτους.

Επίσης, στην κατοχή του βρέθηκε βιβλιάριο καταθέσεων λογαριασμού, στο οποίο αναγραφόταν κατάθεση επιταγής – εμβάσματος (120.869,84) δολαρίων Αμερικής την οποία δεν μπορούσε να δικαιολογήσει και κατασχέθηκε.

Τα κατασχεθέντα ψηφιακά πειστήρια, θα αποσταλούν στη Διεύθυνση Εγκληματολογικών Ερευνών για εργαστηριακές εξετάσεις.

Ο 52χρονος δεν συνελήφθη καθώς δεν συνέτρεχαν οι προϋποθέσεις αυτοφώρου διαδικασίας, ενώ η δικογραφία που σχηματίστηκε υποβλήθηκε στην αρμόδια δικαστική Αρχή.

Σημειώνεται ότι, η μέθοδος ηλεκτρονικού – ψηφιακού ψαρέματος (Phishing) είναι μορφή επίθεσης που εκδηλώνεται μέσω σύγχρονων τεχνολογιών πληροφορικής και επικοινωνών, στην οποία ο δράστης μιμείται μια αξιόπιστη οντότητα, ζητώντας κατά τη συνομιλία του με το θύμα να αποκαλύψει ευαίσθητες πληροφορίες, οικονομικής φύσεως κυρίως, όπως π.χ. οι κωδικοί πρόσβασης σε διάφορα ψηφιακά μέσα και εφαρμογές, με απώτερο σκοπό την αποκόμιση παρανόμου περιουσιακού οφέλους.

Με αφορμή τη συγκεκριμένη υπόθεση, η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος συμβουλεύει τους πολίτες – χρήστες του διαδικτύου:

να μην πείθονται από μηνύματα ηλεκτρονικού ταχυδρομείου και να παραχωρούν τους προσωπικούς κωδικούς προσβάσεως (username και password) καθώς και του πρόσθετου κωδικού ασφαλείας αν δεν βεβαιωθούν ότι βρίσκονται σε φυσικό περιβάλλον τράπεζας με ασφαλή ένδειξη σύνδεσης (https,

να αποφεύγουν να χρησιμοποιούν τους ίδιους κωδικούς για πρόσβαση σε πλατφόρμες και διαδικτυακές υπηρεσίες,

να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης που να περιέχουν αριθμούς, γράμματα και σύμβολα,

να μην αποθηκεύουν τους κωδικούς στον περιηγητή (browser) που χρησιμοποιούν.

[cool11]

Πριν λιγες μερες, συζητουσα εδω οτι εμφανιστηκαν με το 'ετσι θελω', λογαριασμοι των γονιων μου στους οποιους μπηκα 'συνδικαιουχος', στο ebanking της winbank.

Υπαρχει τουλαχιστον τροπος, να εμφανιζει πχ πρωτο, ως default, τον λογαριασμο που ειναι αποκλειστικα δικος μου, παντοτε,
αντι να καθομαι να επιλεγω καθε φορα, με ποιον λογαριασμο θελω να κανω μια συναλλαγη;

[griniaris]

Πριν λιγες μερες, συζητουσα εδω οτι εμφανιστηκαν με το 'ετσι θελω', λογαριασμοι των γονιων μου στους οποιους μπηκα 'συνδικαιουχος', στο ebanking της winbank.

Υπαρχει τουλαχιστον τροπος, να εμφανιζει πχ πρωτο, ως default, τον λογαριασμο που ειναι αποκλειστικα δικος μου, παντοτε,
αντι να καθομαι να επιλεγω καθε φορα, με ποιον λογαριασμο θελω να κανω μια συναλλαγη;

Το να εμφανιζει με οποια σειρα θελεις εσυ... ναι γινεται.

Αλλα στις συναλλαγες.. ΠΑΝΤΑ θα σου εμφανιζει την λιστα να επιλεγεις απο ποιον θα παρεις λεφτα.

[cool11]

Το να εμφανιζει με οποια σειρα θελεις εσυ... ναι γινεται.

Αλλα στις συναλλαγες.. ΠΑΝΤΑ θα σου εμφανιζει την λιστα να επιλεγεις απο ποιον θα παρεις λεφτα.

Πως αλλαζει η σειρά εμφάνισης;

[thourios]

Δεν νομίζω να αλλάζει η σειρά εμφάνισης,

[griniaris]

Πως αλλαζει η σειρά εμφάνισης;

Αφου κανεις Login πανω πανω γραφει "Τα Αγαπημένα μου" . Μολις πατησεις εκει μπορεις να αλλαξεις σειρα καθως επισης και να βαλεις οτι ονομασιες σε βολευεουν καλυτερα.

[cool11]

Αφου κανεις Login πανω πανω γραφει "Τα Αγαπημένα μου" . Μολις πατησεις εκει μπορεις να αλλαξεις σειρα καθως επισης και να βαλεις οτι ονομασιες σε βολευεουν καλυτερα.

Να σαι καλα!

[manoulamou]

Παρομοια αλλαγη μπορει να γινει και στο ibank της ΕΘΝΙΚΗΣ ;

[goku]

Φαντάζομαι ότι θα είναι κάποιο bug, αλλά μπήκα σήμερα στο e-banking της Εθνικής από την εφαρμογή για Android και μου έβγαλε το παρακάτω κουλό.



Διαθέσιμα όρια ανάληψης 9.999.999.999,99. Που να είχα τόσα λεφτά. Έχει συμβεί και σε κανέναν άλλο;

Την εφαρμογή την έχω καιρό στο κινητό αλλά την τρέχω σπάνια, μόνο σε ώρα ανάγκης όταν είμαι εκτός σπιτιού, και δεν παρατήρησα από πότε άρχισε να το βγάζει. Όταν μπαίνω από τον υπολογιστή δεν μπορώ να βρω αν αναφέρονται κάπου αυτά τα όρια.