Dodaj do ulubionych

Internetowi złodzieje zaatakowali Citibank Hand...

IP: 5.3.1R* / *.cache.pol.co.uk 05.02.04, 01:20
szkoda ludzi ktorzy uwierzyli najgorszemu oraz najbardziej lichwiarskiemu
bankowi na swiecie. Zycze Citibank jak najgorzej.
Obserwuj wątek
      • Gość: Platyna Re: Internetowi złodzieje zaatakowali Citibank Ha IP: 83.27.2.* 05.02.04, 12:34
        Naprawde nie macie nic innego do roboty tylko poprawianie
        ortografii użytkowników forum internetowych, co zresztą jest
        łamaniem etykiety ponieważ to nie jest dyskusja na temat
        poprawnej polszczyzny.
        Zaś co do przedmiotu owej dyskusji to sprawa wygląda tak, że
        strony "designed for IE" są zmorą Internetu jak również przeraża
        fakt, że są to z reguły strony instytucji operujących ważnymi
        danymi osobowymi, których ujawnienie może spowodować tragiczne skutki
        z reguły dla klientów tych instytucji - przykładem tego jest np
        strona dla partnerów ABCdaty (dystrybutora sprzętu komputerowego)
        lub polskich banków, których informatycy nie nadają się nawet do tego
        aby fisklizować kasy nie mówiąc o projektowaniu i zabezpieczaniu
        systemów komputerowych jeśli ignorują ostrzeżenia o błędach w kodzie
        klienta, dla którego projektują serwisy w taki sposób, że uniemożliwiają
        użycie innych lepiej dopracowanych i "bezpieczniejszych" klientów.
        Jako administratorowi z osmioletnim doświadczeniem włosy na głowie
        mi się jeżą jak czytam bugtraq (IE, MS .NET itp).
      • Gość: pawcio Re: Internetowi złodzieje zaatakowali Citibank Ha IP: *.aster.pl / *.acn.pl 05.02.04, 13:56
        Nie znam się na tym, ale kiedy dostałem ofertę PeKaO 24 od razu poszedłem do
        odziału dowiedzieć się o zabezpieczenia. Usłyszałem od pani w okienku "dobre
        słowo" i wyciągnąłem wnioski. Bankowość internetowa jest dla społeczeństw,
        gdzie kradzież nie istnieje, po prostu tam się tego nie robi i tyle. W
        niektórych krajach nie zamyka się mieszkania. U nas alarmy nie wystarczają.
        Myślę, że bankowość internetowa w Polsce się nie sprawdzi. Sorry, mentalnie
        jesteśmy w 19 wieku. Teraz to nawet do pierwszego lepszego bankomatu nie
        podchodzę. Radzę ostrożność.
        • Gość: Pawcio co pleciesz Pawcio co Ty pleciesz???? IP: 193.243.146.* 07.02.04, 23:30
          > Myślę, że bankowość internetowa w Polsce się nie sprawdzi. Sorry, mentalnie
          > jesteśmy w 19 wieku. Teraz to nawet do pierwszego lepszego bankomatu nie
          > podchodzę. Radzę ostrożność.

          A na co masz ubezpieczenie karty na 24 czy 48 godz. wstecz oraz powiadomienie
          SMS-em o stanie konta po każdej operacji. Z kartą bankomatową to naprawdę
          przesadziłeś. Jedyne zastrzeżenie to takie abym mógł na własne życzenie PIN
          wydłuzyć do 6 cyfr.

          > Bankowość internetowa jest dla społeczeństw,
          > gdzie kradzież nie istnieje, po prostu tam się tego nie robi i tyle.

          Proszę wymień mi kraje gdzie kradzieże nie istnieją? Jestem bardzo ciekawy
    • mamotoja Internetowi złodzieje zaatakowali Citibank Hand... 05.02.04, 01:29
      A wiecie co jest najciekawsze?? że problem został odkryty 2003-12-09 a M$ nie
      zrobił nic.... bo przecież to nie jest niebezpieczne ;)) ciekawe jakie straty
      poniesie.... dla chętnych podaję stronę odkrywców www.secunia.com oraz
      stronkę z opisanym tym konkretnym problemem
      www.secunia.com/advisories/10395/
      Powodzenia w łataniu dziurawego M$
      • Gość: Lech Taczka Oprogramowanie dane od Boga... IP: *.wroclaw.dialog.net.pl 05.02.04, 08:37
        ...i przez to całkowicie wolne od błędów... hm... istnieje takie?
        Problem tzw. dziury w MSIE został opisany juz dawno. Rozpoznany i zgłoszony.
        Faktem jest, że na łatkę musieliśmy czekać aż do ubiegłego wtorku. Niemniej
        mozna zrozumieć argumentację Microsoftu, że problem wymaga dokładnego
        przeanalizowania i że robienie doraźnych poprawek bez dokładnego przetestowania
        może zaowocować jeszcze poważniejszymi komplikacjami. Przypomnę, że Microsoft
        mocno "przejechał się" na tzw. poprawce serwisowej nr 2 do Windows 2000, którą
        opublikował pod naciskiem użytkowników bez wstępnych testów. Korzystający ze
        spolszczonych wersji Win2k mieli szczęście i nie zauważyli owych błędów z
        prozaicznego powodu - SP2 PL został opublikowany później jak większość wersji
        lokalizowanych.
        Microsoft wyciągnął wnioski i dlatego SP 2 do Windows XP poddawany jest
        wnikliwym testom przed publikacją.
        Nie istnieje oprogramowanie wolne od wad. Tworzą je ludzie, nie zaś istoty
        nieomylne i wszechwiedzące. Gdyby kod źródłowy był nam dany od Boga... .
        Przykre, że dziura została wykorzystana do ukradzenia pieniędzy. Proszę jednak
        zauważyć, że istniała ona od dawna. Mój webmaster potrafił wykorzystać
        tę "właściwość" przeglądarki Microsftu (choć nie tylko tej - inne mają
        podobne "zdolności") w celach związanych z reklamą. Dopiero jednak po
        opublikowaniu informacji o błędzie i po opisaniu mechanizmu jego występowania
        posypały się przypadki masowego wykorzystania w złodziejskim celu.
        Nie tylko Microsoftowi zdarzają się wpadki, choć z powodu popularności
        orprogramowanie tej firmy ich skutki bywają najbardziej spektakularne.
        Przypomnę np. o błedzie w lubianym i często stosowanym oprogramowaniu do
        nagrywarek - o Nero f-my Ahead. Wczesne wersje 6.x miały wbudowany bardzo
        poważny feler w aplikacji służacej do rekodowania materiału na płyty DVD. Otóż
        jeśli nieświadomy zaszytej pułapki użytkownik umieścił bez sensu pliki
        tymaczasowe w katalogu głównym dysku, ich usunięcie powodowało kasowanie
        zawartości dysku twardego! Do dziś "wisi" w witrynie internetowej Ahead
        ostrzeżenie i prośba o aktualizację oprogramowania. Bład odkryki pechowi
        uzytkownicy.
        Całkiem niedawno bład odkryto w oprogramowaniu mającym za zadanie chronić - w
        oprogramowaniu antywirusowym firmy Symantec. Błąd, w wyniku którego w pewnych
        warunkach nieuprzywilejowany użytkownik może manipulując ustawieniami funkcji
        automatycznego pobierania uaktualnień (LiveUpdate) uzyskać większe uprawnienia.
        W oficjalnym tłumaczeniu winą obarczona została firma Verisign, która jako
        urząd certyfikacyjny nie była przygotowana na masowe pobieranie list odebranych
        certyfikatów (CRL), co utrudniało działanie nie tylko produktów Symanteca.
        Podpowiem, że firma Verisign m.in. wydaje też certyfikaty bezpieczeństwa dla
        bezpiecznych połaczeń szyfrowanych (tych z opisywaną w artykule kłódeczką).
        OK. Ktoś powie, że to wszystko dotyczy środowiska Windows. Owszem, ale podobne,
        albo jeszcze gorsze błędy zdarzają się w środowisku Linux. Z tą róznicą, że w
        pierwszym przypadku jest Bill do bicia; w drugi dziesiątki twórców rozsianych
        po całym świecie.
        Konkludując - nie ma oprogramowania od Boga.
        • Gość: Łukasz Kozicki Re: Oprogramowanie dane od Boga... IP: *.proterians.net.pl 05.02.04, 14:58
          Gość portalu: Lech Taczka napisał(a):

          > Problem tzw. dziury w MSIE został opisany juz dawno. Rozpoznany i zgłoszony.
          > Faktem jest, że na łatkę musieliśmy czekać aż do ubiegłego wtorku. Niemniej
          > mozna zrozumieć argumentację Microsoftu, że problem wymaga dokładnego
          > przeanalizowania i że robienie doraźnych poprawek bez dokładnego przetestowania

          Akurat w tym wypadku argumentacja MS jest całkowicie chybiona. Po pierwsze -
          dzira która to spowodowała jest niezgodna z normami Internetowymi (konkretnie
          RFC 1738, pkt 3.3.) i powinna być bez gadania załatana choćby dlatego. Po drugie
          - możliwe scenariusze zagrożeń były łatwe do przewidzenia, bo głośne przypadki
          "phishingu" miały miejsce również wcześniej, bez wykorzystania tej dzury. Dla
          oszustów była ona "prezentem", nic dziwnego że ją wykorzystali.

          Pozdrawiam,
    • Gość: xegar Re: Internetowi złodzieje zaatakowali Citibank Ha IP: *.wroclaw.mm.pl 05.02.04, 02:03
      "istnieje bardzo prosty sposób sprawdzenia, czy jesteśmy faktycznie na stronie
      internetowej naszego banku. Każda strona transakcyjna jest szyfrowana, a to
      oznacza, że w dolnym prawym rogu monitora pojawia się mały symbol kłódki."

      Spowodowanie, ze "maly symbol klodki" pojawi sie na lipnej stronie jest banalnie proste.
      Uwazalbym z taka wypowiedzia, bo stwarza falszywe poczucie bezpieczenstwa.

      Xe.
      • Gość: x7 Sam symbol "klodki" niczego nie zalatwia... IP: *.dip.t-dialin.net 05.02.04, 04:26
        Sam symbol "klodki" jeszcze niczego nie zalatwia. To tylko informacja, ze
        komunikacja pomiedzy Browserem a Serverem odbywa sie w protokole SSL. Jednak w
        "normalnych" (...) Browserach uzytkownik musi potwierdzic tkzw. certyfikat,
        ktorego pochodzenie powinno byc uzytkownikowi znane. Wyjatkiem jest sytuacja, w
        ktorej zertyfikat jest u uzytkownika akredytowany, lub - jezeli sie na to
        pozwoli - certyfikat jest znany w jednym z internetowych "bankow certyfikatow" i
        nastepuje automatyczna werafikacja. Nie uzywam IE, ale nie powinien on sie
        zachowywac inaczej (to sa standardy). Tak wiec jezeli w opisanych przypadkach
        nie bylo rzadania potwierdzenia "nowego" certyfikatu, oznaczaloby to, ze zostal
        on zlamany i wina lezy po stronie Mikrosoftu (IE i punkty autentyfikacji
        certyfikatow) lub banku. Dobra rada: URL do banku piszcie sami! Najlepiej
        cyfrowo, czyli np.217.121.2.3. Takie przeslania mozna jednak przachwycic w
        sieciach wewnetrznych, dlatego nie laczcie sie ze swoim bankiem na stanowisku pracy!
        • Gość: Lech Taczka Oczywiście, masz rację. IP: *.wroclaw.dialog.net.pl 05.02.04, 08:59
          Do pełnego bezpieczeństwa potrzebna jest odrobina choćby wyobraźni i
          świadomości użytkownika/klienta. Przypomnę niedawna sprawę
          dodatkowych "czytników" przysobaczonych do bankomatów.
          W przypadku "dziury" w MSIE wina leży też po stronie banków. O ile można
          zrozumieć klientów, którzy nie czytuja biletynów technicznych; nie rozumiem
          administratorów systemów bankowych, którzy powinni zaczynać dzień od lektury
          takich materiałów. Oba moje banki internetowe (mBank i PeKaO) po odkryciu
          usterki w MSIE wysyłały mi rózne bzdury, ale o prostych sposobach ustrzeżenia
          się przed wirtualnymi złodziejami nie były uprzejme poinformować.
        • Gość: daniel p Re: Sam symbol "klodki" niczego nie zalatwia... IP: 62.233.129.* 11.02.04, 10:25
          Naturalnie...ale zauważmy jedno - człowiek powiedzmy "oblatany" w korzystaniu z
          komputera/internetu po przeczytaniu informacji o "kłudeczce" tylko się obśmieje
          z niekopmetencji i niewiedzy bądź to cytowanego ekspera, bądź dziennikarza -
          podejrzewam raczej to drugie, w sensie że dziennikarz zamieścił zdanie wyjęte z
          kontekstu. Ale jeśli przeczyta to osoba nie mająca tego "oblatania" to powstaje
          problem - ponieważ w szacownej gazecie przeczytała - jest "kłudeczka" - znaczy
          bezpiecznie...a to jak wiemy za przeproszeniem g***o prawda.
          Wstyd, panowie dziennikarze że zamieszczacie takie bzdury, narażając przy tym na
          straty, podejrzewam że większość, naszego społeczeństwa.
    • Gość: zabezpieczacz Re: Internetowi złodzieje zaatakowali Citibank Ha IP: *.iweb.pl 05.02.04, 09:06
      numer jest stary jak istnienie karty kredytowej... to ze adres strony byl
      prawdziwy, to norma... jak myslicie, ze nie mozna zarejestrowac domeny
      www.wyborcza.net i dzieki temu zrobic czytelnikom portalu bubu, to jestescie w
      bledzie...

      poczatek winy jest po stronie citibanku, ktory nie wykupil wszystkich domen
      zwiazanych ze swoja nazwa, i mogacych potencjalnie byc wykorzystanych do ataku
      na klientow, a takze ze nie poinformowal klientow o takim zagrozeniu - ale coz,
      latwiej jest sciagac kase, i przeznaczac ja na niedorobionych informatykow,
      ktorzy godzinami graja w quake'a...

      ze przypomne slowa kevina mitnicka - lamalem ludzi, nie hasla
      • Gość: al Re: jesli nie stosuje sie oprogramowania dedykowan IP: *.broker.com.pl 05.02.04, 09:35
        i zabezpieczenia sprzetowego w postaci szyfrowania , to takie sa rezultaty
        czy banku nie stac na wdrozenie stosownych procedur i dostarczenie programu doi operacji bankowych?
        tylko po co ma to robic jesli w polskim sadzie zawsze winny jest klient
        a racje zawsze ma radca prawny, zreszta kolega sedziego ze studiow

        jedno jest pocieszajace ze jak widac glupcy w polsce i gdzie indziej tez moga byc bogaci co obala popularyzowany mit psudoliberalow balcerowiczowskich o nierozerwalnym
        zwiazku bogactwa z wyksztalceniem i pracowitoscia

        czy normalny czlowiek w wiekach przeszlych na glownym placu
        miasta wykrzykiwal do swego bankiera o swoich zasobach pienieznych
        i gdzie ma schowany skarbczyk domowy?
    • stalowy_szczur1 Re: Internetowi złodzieje zaatakowali Citibank Ha 05.02.04, 09:35
      To ja może podrzucę ciekawostkę. Otóż w papierowym wydaniu Gazwyba wypowiada
      się Jacek Balcer z BPH- PBK (w elektronicznym też, ale nieco inaczej):
      "Najbezpieczniejsze są systemy, które proszą o podanie tylko niektórych cyfr z
      hasła dostępu. Poziom bezpieczeństwa klienta zwiększa też drugie
      zabezpieczenie, np. zatwierdzenie każdej transakcji przez token". Po pierwsze-
      w starej wersji Sez@mu podawano niektóre znaki (dlaczego cyfry ???)- teraz
      walimy z beki całe hasło. Po drugie- BPH- PBK NIE STOSUJE TOKENÓW !!!!!
      Balcerek stwierdza za tym- mój bank to shit, i idzcie do konkurencji.
      Pzdr !
      Szyba
    • Gość: byłyklient Ludzie co wy w tym banku jeszcze robicie !!! IP: *.piekary.net / *.piekary.net 05.02.04, 09:38
      Skąd złodzieje znali emaile uzytkowników?
      Dlaczego podajecie im numer karty kredytowej jak na tacy?
      powyższe wasze dane mają tysiace hakerów na całym świecie i tylko czekają na
      błędy w w oprogramowaniu żeby uzyskać wasz pin, a może już go mają ?
      Jest tysiące banków na świecie dlaczego wybraliście najgorszy (chociaż błędy
      popełnia każdy)
      czyżby reklama robiła wam wodę z mózgu?
      nie czekaj do jutra ratuj sie człowieku !!!
      • penelopa.pitstop Re: Ludzie co wy w tym banku jeszcze robicie !!! 05.02.04, 09:49
        Niektorzy nie zalozyli konta w Citibanku tylko Handlobanku, zeby nie bylo
        watpliwosci.
        Po drugie juz w zeszlym tygodniu na stronie Citibanku byla informacja o tej
        falszywej stronie i ostrzezenie wiec dziwi mnie czemu nagle gazety rozpisaly
        sie na ten temat dzis a nie pare dni temu?
        Co do zabezpieczen to tez uwazam, ze to co oferuje Citibank to dno. Jak sie
        zablokuje konto dostepowe, to trzeba podac numer karty i pin a potem zmienic
        dopiero haslo.

        Penelopa.
    • thebestman Też potrafię tak hasła wykradać 05.02.04, 09:38
      Wykradanie haseł w ten sposób, to żadna sztuka. Winowajcą jest Internet
      Explorer, który jest dziurawy jak ser szwajcarski. Rozwiązanie problemu:
      ściągnij bezpieczne oprogramowanie stąd:
      www.mozillapl.org/index.php?name=MozillaPLMirrors (Mozilla 1.6 PL,
      ewentualnie Firebird 0.7 PL)
      i zapomnij o IE :-)
    • Gość: Vigo smiech na sali IP: 80.227.98.* 05.02.04, 09:44
      istnieje bardzo prosty sposób sprawdzenia, czy jesteśmy faktycznie na stronie
      internetowej naszego banku. Każda strona transakcyjna jest szyfrowana, a to
      oznacza, że w dolnym prawym rogu monitora pojawia się mały symbol kłódki

      ROTFL, no po prostu smiech na sali, a co za problem taka klodke na monitorze
      wrzucic ?

    • jkwt Użytkownicy Internetu 05.02.04, 09:53
      W tym przypadku jak i w przypadku większości wirusów główną przyczyną problemów
      są sami użytkownicy Internetu. Używany OS, przeglądarka, program pocztowy to
      kwestie drugorzędne. Najważniejsze by samemu odpowiednio zabezpieczyć komputer,
      oraz stosować zasadę ograniczonego zaufania do poczty i stron z Internetu. W
      końcu regularnie należy sprawdzać czy nie pojawiły się informacje o dziurach
      lub łatach na używany soft.
      Minimum zabezpieczenia komputera to firewall, wyłączenie zbędnych serwisów (np.
      udostępniane plików w Windows, NFS w Linux'ie) i program antywirusowy. No i
      praca bez uprawnien administratora.
      Ze swojej strony dodałbym okresowe sprawdzenie otwartych portów na komputerze.
      Ograniczone zaufanie to nie zaglądanie do podejrzanych maili oraz nie
      uruchamianie żadnych podejrzanych programów ściągnietych z Internetu czy
      proponujących instalacje po otwarciu jakiejś strony, zwłaszcza jeśli jest to
      strona z golizną. Do tego jeszcze świadomość, że adres w e-mailu lub w
      przeglądarce można sfałszować. Nawet podając adres IP nie jesteśmy 100%
      bezpieczni, gdyż taką transmisję można przechwycić. Może jest o tyle trudniej,
      że trzeba się podłączyć po drodze między komputerem a serwerem. Więc jeśli
      łączymy się ze stroną HTTPS to lepiej zawsze samemu rzucić okiem na certyfikat.
      A jeśli to wszystko jest dla kogoś zbyt trudne to może lepiej niech odłączy
      swój komputer od Internetu i o nim zapomni.
      • Gość: Vigo jkwt-no ktos cos ciekawego napisal przemyslanego IP: 80.227.98.* 05.02.04, 09:59
        jak juz wejdzie moj wirus do kompa to juz po ptokach, moge symulowac wszystko -
        polaczenie, zabezpieczenie, certyfikaty - nawet rozmowe z papiezem - bez
        znaczenia z czego user korzysta - moge dowolna przegladarke tak przebudowac ze
        bedzie tanczyla jak wlasciciel wirusa zagra, rozsylanie emaili bez sensu,
        zrywanie strony po otrzymaniu hasel tez - lepiej niech user do konca mysli ze
        dokonal transakcji na swojej ulubionej stronce banku, co za problem trzymac go
        w pewnosci ze wszystko jest ok? Mozna mu nawet podawac (jak juz ma sie haslo)
        ilosc kasy na koncie przez swoja stronke....
      • Gość: daniel p Re: Użytkownicy Internetu IP: 62.233.129.* 11.02.04, 10:58
        >W
        >końcu regularnie należy sprawdzać czy nie pojawiły się informacje o dziurach
        >lub łatach na używany soft.

        bleblebleble...wszystko pieknie, ty jesteś fachowcem, ale nie internet to nie
        getto przeznaczone wyłącznie dla informatyków, myslisz że powiedzmy "zwykły"
        użytkownik internetu wie co to są "dziury w sofcie", albo skąd ma ściągnąć
        "łatki" ? Nie lepiej byłoby np. napiać - poprawki dla Windows można przejżeć i w
        miarę prosto zainstalować wchodząc na stronę .windowsupdate.microsoft.com/ ?

        >Minimum zabezpieczenia komputera to firewall, wyłączenie zbędnych serwisów (np.
        >udostępniane plików w Windows, NFS w Linux'ie) i program antywirusowy. No i
        >praca bez uprawnien administratora.
        >Ze swojej strony dodałbym okresowe sprawdzenie otwartych portów na komputerze.

        Tia...informatyczny bełkot - zastanawiałeś się jaki procent użytkowników
        internetu wie co to znaczy np. "sprawdzenie otwartych portów ?

        >Więc jeśli
        >łączymy się ze stroną HTTPS to lepiej zawsze samemu rzucić okiem na certyfikat.

        rzucić okiem powiadasz ? napewno każdy wie jak "rzucić okiem" na certyfikat

        >A jeśli to wszystko jest dla kogoś zbyt trudne to może lepiej niech odłączy
        >swój komputer od Internetu i o nim zapomni.

        Naturalnie - a zakupy w mięsnym powinni robić tylko i wyłącznie rzeźnicy,
        samochodu powinni używać inżynierowie mechanicy...etc. ,etc.
      • jkwt Re: Internetowi złodzieje zaatakowali Citibank Ha 05.02.04, 10:21
        Myślę, że przesadzasz i popadasz w paranoję.
        Nie ma na świecie rzeczy i miejsca na 100% bezpiecznego.
        Pieniądze z tradycyjnego banku można wybrać na skradziony dowód i sfałszowany
        podpis. Do każdego domu w gruncie rzeczy łatwo się włamać, a alarm odłączyć.
        Podobnie z samochodem.
        I co z tym zrobić?
        Tak i w każdym innym przypadku należy minimalizować ryzyko i nauczyć się z tym
        żyć.
Inne wątki na temat:

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka