Próba ataku internetowego na klientów PKO BP

[Gość: Wacuś]

Krytykantom Microsoftu - etatowym i dorywczym - przypominam, że
FlashPlayer jest produktem firmy Adobe.
O ile dobrze zrozumiałem treść informacji, zagrożenie dotyczy
wszystkich uzytkowników; także korzystających z FlashPlayera w
innych przeglądarkach i systemach operacyjnych. Pod warunkiem,
że "lipny" player został opracowany w kilku odmianach.
Niestety, autor nie tłumaczy w jaki sposób dochodzi do inwokowania
kodu, który odpowiada za aktualizacje i jak realizowane jest
przekierowanie. Coś musi się dziać między serwerami banku a
przeglądarką użytkownika.
Poza tym autor nic nie wspomina o głupocie klientów banku. Naprawdę,
trzeba mieć niski poziom spostrzegawczości i rozgarnięcia ogólnego,
by dać się w coś takiego wrobić.

Próba ataku internetowego na klientów PKO BP

[Gość: sigma_pi]

No cóż, trzeba być naprawdę bardzo lekkomyślnym, żeby podawać 5
kolejnych haseł i nie nabrać podejrzeń.
Poza tym, nawet zakładając znajomość tych 5 haseł jednorazowych
przez złodzieja, możliwość całkowitego "wyczyszczenia" rachunku
zależy m.in. od wysokości limitu dziennego. Przy niewielkim limicie
szanse na opróżnienie konta maleją.

[Gość: kszychu]

> Poza tym, nawet zakładając znajomość tych 5 haseł jednorazowych
> przez złodzieja, możliwość całkowitego "wyczyszczenia" rachunku
> zależy m.in. od wysokości limitu dziennego. Przy niewielkim limicie
> szanse na opróżnienie konta maleją.
Daj mi jedno hasło jednorazowe, a sobie poradzę. Za pomocą tego hasła robię
przelew zdefiniowany i wypłacam sobie nim po 24999zł. I robię tak, dopóki się
nie spostrzeżesz, a bank nie zadzwoni z prośbą o autoryzację, bo dzwonią od
kwoty 25000zł.

Potwierdzam, że trzeba być kompletnie bezmyślnym i bez wyobraźni, by podawać
hasła jednorazowe "ot tak", ale niestety tacy ludzie się zdarzają.

[Gość: Kangoor]

Myślę, że trzeba być "kompletnie bezmyślnym i bez wyobraźni" żeby trzymać pieniądze w tak słabym banku jak PKO BP, gdzie jeszcze nie zauważyli, że skończył się komunizm i "klient" nie znaczy już "petent".

[Gość: Kangoor]

A poważnie: żal mi ludzi, którzy trzymają tam pieniądze i nie rozumiem dlaczego to robią (pewnie nie wiedzą jaką mają alternatywę). Sam zaś realizuję swoją misję, jaką sobie założyłem 4 lata temu gdy likwidowałem tam konto studenckie i serdecznie wszystkim odradzam powierzanie swoich pieniędzy temu bankowi.

[Gość: he he]

A ja właśnie zachęcam wszystkich do zakładania ekont bankowych. Miałem konta elektroniczne w różnych bankach i nie widzę większej różnicy pomiędzy nimi. W chwili obecnej jestem zadowolony z iPKO, bo wyczerpują moje potrzeby (a nie są one małe).

[Gość: heh]

Pracownikom PKO dziękujemy! ;)

[Gość: sima_pi]

Gość portalu: kszychu napisał(a):
> Daj mi jedno hasło jednorazowe, a sobie poradzę. Za pomocą tego
hasła robię
> przelew zdefiniowany i wypłacam sobie nim po 24999zł. I robię tak,
dopóki się
> nie spostrzeżesz, a bank nie zadzwoni z prośbą o autoryzację, bo
dzwonią od
> kwoty 25000zł.

Problem w tym, że w iPKO nie ma czegoś takiego, jak przelew
zdefiniowany. Jest przelew jednorazowy oraz przelew między własnymi
rachunkami. Możesz jedynie zdefiniować odbiorcę, ale w tym przypadku
przy każdym przelewie system pyta się o hasło jednorazowe.

Chyba że wiesz coś, o czym ja nie wiem. Lub po prostu Cię nie
zrozumiałem.

[Gość: karol]

Gość portalu: sima_pi napisał(a):

> Gość portalu: kszychu napisał(a):
> > Daj mi jedno hasło jednorazowe, a sobie poradzę. Za pomocą tego
> hasła robię
> > przelew zdefiniowany i wypłacam sobie nim po 24999zł. I robię
tak,
> dopóki się
> > nie spostrzeżesz, a bank nie zadzwoni z prośbą o autoryzację,
bo
> dzwonią od
> > kwoty 25000zł.
>
> Problem w tym, że w iPKO nie ma czegoś takiego, jak przelew
> zdefiniowany. Jest przelew jednorazowy oraz przelew między
własnymi
> rachunkami. Możesz jedynie zdefiniować odbiorcę, ale w tym
przypadku
> przy każdym przelewie system pyta się o hasło jednorazowe.
>
> Chyba że wiesz coś, o czym ja nie wiem. Lub po prostu Cię nie
> zrozumiałem.

Laluchna chyba nie zrozumiałaś jak działą iPKO i jakie są
możliwości. Jeżeli zdefiniujesz płatności top możesz je do upojenia
realizować bez haseł jednortazowych

[Gość: sigma_pi]

Gość portalu: karol napisał(a):
> Laluchna chyba nie zrozumiałaś jak działą iPKO i jakie są
> możliwości. Jeżeli zdefiniujesz płatności top możesz je do
upojenia
> realizować bez haseł jednortazowych

Po pierwsze, mowa była o przelewach zdefiniowanych, nie zaś o
płatnościach.
Po drugie, sigma oraz pi to litery alfabetu greckiego, zaś ze mnie
jest taka laluchna, jak z Ciebie królik z okładki Playboya.

Natomiast wracając do meritum, trudno się nie zgodzić, że brak
konieczności potwierdzenia każdej płatności hasłem jednorazowym jest
sporą luką w bezpieczeństwie tego systemu.

[Gość: zPiotrW]

to juz bezpieczniej chyba przejść na hasła jednorazowe których nie mamy pod ręką na papierze, ale które sa wysyłane na komórke (jedna z opcji w mBanku)..i dopiero kiedy musimy potwierdzić zdefiniowanie/zmodyfikowanie jakiegoś zlecenia ;-)

[Gość: tomeczek]

Gość portalu: sigma_pi napisał(a):

> nawet zakładając znajomość tych 5 haseł jednorazowych
> przez złodzieja, możliwość całkowitego "wyczyszczenia" rachunku
> zależy m.in. od wysokości limitu dziennego. Przy niewielkim limicie
> szanse na opróżnienie konta maleją.

Wystarczy, że złodziej "zużyje" pierwsze ukradzione hasło na zmianę w/w limitu
dziennego na o wiele większy

[Gość: sigma_pi]

Gość portalu: tomeczek napisał(a):
> Wystarczy, że złodziej "zużyje" pierwsze ukradzione hasło na
zmianę w/w limitu
> dziennego na o wiele większy

Taka zmiana limitu jest niemożliwa do zrealizowania poprzez
Internet. Limit dzienny można zmienić jedynie w serwisie
telefonicznym, do którego jest osobne hasło dostępu, po
uwiarygodnieniu w rozmowie z konsultantem i podaniu hasła
jednorazowego.

Próba ataku internetowego na klientów PKO BP

[Gość: Marcin]

Mozna się przynajmniej częściowo zabezpieczyć przed takimi atakami,
stosując hasła jednorazowe wysyłane przez bank SMS-em. Są one
generowane do konkretnej transakcji, więc nie da się ich otrzymać
więcej, na zapas. Hacker w takim wypadku musiałby wejść w posiadanie
komórki posiadacza rachunku.

[Gość: Kangoor]

Wątpię, czy "fachowcy" z PKO BP zauważyli, że mamy na rynku taki produkt jak telefon komórkowy.

[Gość: Bezkomorkowiec]

Niestety jest w tym jeden problem. Zeby korzystac z tego
zabezpieczenia trzeba miec komorke.

[Gość: Marcin]

Telefon komórkowy jest dziś dobrem tak powszechnym jak telewizor.
Oczywiście, nie ma obowiązku korzystania z telefonu komórkowego, ale
nie ma też obowiązku korzystania z bankowości elektronicznej.

Próba ataku internetowego na klientów PKO BP

[Gość: ff]

Lepszym rozwiązaniem jest autoryzacja przelewów i innych dyspozycji przez sms na komórkę ,a nie jakieś śmieszne zdrapki .

[Gość: LMPogoda]

A jak Ci ktoś ukradnie komórkę, to jesteś bez pieniędzy? :)

Tylko token zabiezpiecza w sposób pewny (o ile oczywiście komuś nie
damy hasła i numeru swojego konta).

[Gość: karol]

Gość portalu: LMPogoda napisał(a):

> A jak Ci ktoś ukradnie komórkę, to jesteś bez pieniędzy? :)
>
> Tylko token zabiezpiecza w sposób pewny (o ile oczywiście komuś
nie
> damy hasła i numeru swojego konta).


Jak ukradną Ci komórkę to w najbliższym salonie za ok 25 zł masz
nową kartę sim i a więc i dostęp do swoich pieniędzy.
Gorzej jak Co rąbną, albo sam zgubisz token - wtedy na pewno jesteś
bez kasy

Próba ataku internetowego na klientów PKO BP

[Gość: x]

faktycznie, i mnie próbowano wziskać aktualizację flesza.

Aktualizujcie tylko z ze strony domowej Adobe!

[mreck]

miałem takiego lipnego aktualizatora flash playera. smierdział
podróbką na milę.
do wacusia:
to nie wina adobe, nikt nie dołączył złosliwego oprogramowania,
jedynie wykorzystał popularność tej aplikacji.

Data wydechu i procesowanie wniosku

[Gość: Wacuś]

Oczywiście, że wykorzystał popularność. Nie jest to jednak problem
software'owy lecz raczej mentalny. Najłatwiej opluć producenta;
najwygodniej Microsoft ;-)
Analizując mechanizm aktualizacji Adobe FP wydaje się, że sytuacja
została opisana nieprecyzyjnie. FP ma luki (znane od dość dawna),
które umożliwiają nieutoryzowane uruchomienie kodu ale aby to miało
sens w odniesieniu do banku PKO, musi być spełnionych kilka
warunków.
Podejrzewam, że jest to klasyczny phishing. Albo wcześniej coś
musiało być zainstalowane na komputerach, albo jest tzw. włam do
serwera banku i umieszczenie w kodzie strony witryny bankowej
przekierowania. Nie jest instalowana żadna aktualizacja,
tylko "odpalany" jest flash z formularzem.
Kilka tygodni temu z mojego banku otrzymałem link do formularza
aktualizacyjnego karty płatniczej. W tym formularzu jakiś kretyn
przetłumaczył "Expiry date" jako "Datę wydechu". Oczywiście w FF i
MSIE zaraz wyświetlaly się ostrzeżenia (brak certyfikatu, phishing,
itd.). To oraz oczywisty surrealizm takiej procedury bankowej nie
przeszkadzały innemu kretynowi (mojemu koledze) w wypełnieniu i
wysłaniu formularza. Niby inteligentny gość a dał się podejść w tak
prymitywny sposób. "Data wydechu" nawet go rozsmieszyła ale - jak
tłumaczył - widywał większe bzdury i koszmarki językowe w tekstach
bankowych. Na przykład w mBanku jakiś niedouk wymyśłił
termin "procesowanie wniosku".

[Gość: Mariusz]

Akurat w tym przypadku wina MS jest ewidentna... pozwala zainstalować trojana
pod pozorem aktualizacji oprogramowania. Równie dobrze autorzy trojana i
fałszywej witryny mogli sugerować aktualizację MS Office lub samego windowsa.
W innych platformach ten trojan nie stanowi problemu, po nie jest to żadna
aktualizacja Adobe FP tylko aplikacja pod MS Windows. Trzeba uważnie czytać
artykuły a nie od razu zakładać, że autor nie ma pojęcia o czym pisze.

[Gość: sigma_pi]

Gość portalu: Wacuś napisał(a):

> Krytykantom Microsoftu - etatowym i dorywczym - przypominam, że
> FlashPlayer jest produktem firmy Adobe.

Obecnie już tak można powiedzieć. Parę lat temu był to jednak
produkt Macromedii, który Adobe przejęło.

> O ile dobrze zrozumiałem treść informacji, zagrożenie dotyczy
> wszystkich uzytkowników; także korzystających z FlashPlayera w
> innych przeglądarkach i systemach operacyjnych.

Co do tych wszystkich systemów, to byłbym ostrożny w stawianiu
hipotez.

byłbym ostrożny w stawianiu

[Gość: Wacuś]

Skoro to spreparowana strona z osadzonym formularzem we flashu -
wyswietli się tak samo skutecznie np. w FF3 pod Linuxem. Reszta
zależy wyłącznie od rozsądku użytkownika.

[Gość: zumek]

Tu chodzi o sciaganie aktualizacji do niby nieaktualnego flasha. Kiedys mialem
taka sytuacje. Gdzies wszedlem na jakas strone i cos mialobyc we flashu ale
wyskoczyl komunikat ze nie mozna wyswietlic bo nie ma aktualnego flasha
zainstalowanego i czy chce zainstalowac. Po wcisnieciu tak rozpoczyna sie
sciaganie pliku .exe. Na szczescie na lunuxie slabo pojdzie jego uruchomienie
ale na windowsie i owszem. Ktos niezorientowany wlasnie zinstalowalby sobie
trojana :)

[pozdrowienia_z_peru]

dokładnie, hakier ma w doopie użytkowników Linuksa
i nie będzie robił 3 wersji Flasha tylko jedną
zgadnij jaką?

Tą którą używa 99% użytkowników w której
to grupie znajdzie 99,99% matołów do ewentualnego
przekrętu....

Niestety nawet i tym razem Linux rulez...

[Gość: sigma_pi]

Gość portalu: Wacuś napisał(a):

> Skoro to spreparowana strona z osadzonym formularzem we flashu -
> wyswietli się tak samo skutecznie np. w FF3 pod Linuxem. Reszta
> zależy wyłącznie od rozsądku użytkownika.

Wydaje mi się, że błędnie założyłeś, iż proces pozyskania danych od
użytkownika opiera się - od strony technicznej - na wykorzystaniu
jakiegoś "zainfekowanego" flasha. Tymczasem flash - a konkretnie
aktualizacja wtyczki - jest tutaj tylko psychologiczną wędką, zaś
cały mechanizm kradzieży przebiega w sposób opisany powyżej przez
Zumka.
Właśnie dlatego pytam o system - przypuszczam, że są małe szanse,
żeby taki trojan zadziałał np. na Leopardzie.

[Gość: alskdj]

Obstawiałbym, że szansa, że działa to pod nie-Windows (XP | Vista) jest znikoma.

Ale problem tyka jedynie idiotów.

[naprawdetrzezwy]

Nikt normalny nie poda 5 haseł.

Próba ataku internetowego na klientów PKO BP

[Gość: Bucefal]

Proszę ZAWSZE klikać w liknk autoryzujący strone www (VeriSign)!

[Gość: zbig]

Podstawiona strona posiada podrobiony certyfikat . Nic nie pomaga

[Gość: aiusd]

Generalnie mało wiecie na ten temat.

Jednak faktem jest, że są to zabawy przez cienkich hakerów dla użytkowników idiotów.

Może ktoś wytłumaczy dlaczego po wklejeniu tego linka:
gооgle.com
nie otwiera się google tylko jakiś syf (trzeba skopiować i wkleić, nie przepisywać)?

[badjuk]

w tym linku nie ma literki "l" tylko "|" ???

[Gość: sigma_pi]

IDN? &#1086 to mała litera o w cyrylicy.
Nie jestem informatykiem, ani nawet nie znam HTML, ale jeśli to, co
napisałem powyżej ma sens, to zagadka jest banalna.

[Gość: zumek]

obie literki 'o' w slowie google sa innymi znakami niz zwyczajne 'o'.

BTW. Widac wyzszosc FF3 nad IE

[Gość: zumek]

Jak najedziesz na link w IE na dole pojawia sie google.com
Jak najedziesz na link w FF3 na dole pojawia sie xn--ggle-
55da.com/

Pozdro!

Bajdurzysz. MSIE7 wyświetla rzeczywisty URL

[Gość: Wacuś]

Poza tym lamerstwo i tak nie zwraca uwagi. Nawet gdyby dodatkowo
wyświetląło się ostrzeżenie - i tak zignorują, wyłączą lub znajdzie
się jakiś "usprawnicz", który napisze dodatek blokujacy taki
komunikat.
To tak jak z autem - ABS, poduszki i napinacze nie zastąpią
pojemności skokowej mózgownicy.

Pozdro!

[Gość: sigma_pi]

Gość portalu: zumek napisał(a):

> Jak najedziesz na link w IE na dole pojawia sie google.com
> Jak najedziesz na link w FF3 na dole pojawia sie xn--ggle-
> 55da.com/

To ciekawe, bo u mnie w IE7 pojawia się dokladnie to, co u Ciebie
pojawia się jedynie w FF3, czyli adres xn--ggle-55da.com/

Coś chyba nie tak z tą wyższością, przynajmniej pod tym względem.

[Gość: zumek]

O to przepraszam. W IE6 tak wyswietla. No ale nam w pracy nie chca zainstalowac
IE7 bo jak mowia nie ze wszystkim poprawnie dziala. (A FF nie zainstaluja bo nie
moga - podpisane umowy z Microsoftem).

[Gość: zumek]

Tu nie chodzi o to ze flash jest dziurawy. Chodzi o to ze wchodzac na strone
widac obrazek ktory widnieje gdy nie ma wtyczki i wyskakuje okienko czy chcesz
sciagnac/zaktualizowac flasha. Glupi kliknie na tak (kurde, a na innych stronach
mi dziala... ?) i sciagnie mu sie exec ktory nie musi byc nawet zmieniona wersja
flasha. To jest czysty trojan, wysle info do strony i obrazek zniknie (i pojawi
sie animacja flashowa). Ot cala filozofia.

Nie ma tu winy ani microsoftu, ani adobe ani przegladarki (FF, Opera, IE).
Jedynie User Error :)

Próba ataku internetowego na klientów PKO BP

[Gość: majka]

a co za idiota poda 5 kolejnych haseł !!!

[grogreg]

Nie sposob odmowic Ci racji.
W 99% przypadkow tzw wlamy to nie wlamy, ale podanie danych potrzebnych
zloczyncy przez sama ofiare.

Ostatnio robie przy sieciach domowych i widze jak beztrosko ludzie podchodza do
kwestii bezpieczenstwa. Sieci bezprzewodowe pootrwierane....bez zadnej formy
autoryzacji....firewalle powylaczane (bo przez to grac online nie mozna),
zadnych - nawet darmowych - pakietow antywirusowych (bo spowalniaja), zadnych
programow do wykrywania i usuwania trojanow..... a jak sie pytam czy korzystaja
z bankowosci internetowej to jasne, ze tak...JEZU!!!!!

Glupota, glupota i jeszcze raz glupota.

[...]

[dalton78]

Wiadomość została usunięta ze względu na złamanie prawa lub regulaminu.

[pozdrowienia_z_peru]

> Krytykantom Microsoftu - etatowym i dorywczym - przypominam, że
> FlashPlayer jest produktem firmy Adobe.

o widziarz = zwykle osoba o małym rozumku

1) toż chodzi o zainstalowanie trojana, co za różnica jakiej
firmy?

2) idą o zakład że ten trojan będzie w formacie .exe bo
po co robić inne wersje? 100% matołów,
którzy się nabiorą używa Windows - inne formaty niepotrzebne

mylę się?

Próba ataku internetowego na klientów PKO BP

[Gość: ja]

pozatym te ataki byly w zeszlym roku....a im sie teraz przypomnialo.. :D

Próba ataku internetowego na klientów PKO BP

[Gość: Flauberdasz]

Właściwie to PKO samo zawaliło sprawę. Pod Operą sprawdzenie wiarygodności strony kończy sie komunikatem o braku możliwości weryfikacji. Zamiast "kłódeczki" wyświetla się znak zapytania, w związku z czym uzytkownicy Opery ( a przynajmniej nowszych jej wersji) na dobrą sprawę nie bardzo wiedzą czy strona ipko.pl jest zabezpieczona czy nie.

[Gość: sigma_pi]

Gość portalu: Flauberdasz napisał(a):

> Właściwie to PKO samo zawaliło sprawę. Pod Operą sprawdzenie
wiarygodności stro
> ny kończy sie komunikatem o braku możliwości weryfikacji. Zamiast
"kłódeczki" w
> yświetla się znak zapytania, w związku z czym uzytkownicy Opery (
a przynajmnie
> j nowszych jej wersji) na dobrą sprawę nie bardzo wiedzą czy
strona ipko.pl jes
> t zabezpieczona czy nie.

To dziwne. Sprawdziłem przed chwilą w Operze 9.5 i brak jest
objawów, o których piszesz. Wyświetla się zielone pole z zamkniętą
kłódką w pasku adresu, po kliknięciu otwiera się zaś pop-up
"Informacje o zabezpieczeniach serwera www.ipko.pl".

Czyżby artykuł sponsorowany?

[Gość: Arek]

Czyżby artykuł sponsorowany przez producenta programu antywirusowego?
Na jakiej stronie można się zarazić (na stronie G DAty czy jakiejś stronie XXX)?

[damianbsc]

Najprostsze sposoby sa czasem najskuteczniejsze.

Próba ataku internetowego na klientów PKO BP

[ania-f]

Ja miałam dokładnie taki przypadek tzn. gdy logowałam się na stronę
PKO BP pojawiał się monit o 5 kodów jednorazowych. Oczywiście
żadnych kodów nie podawałam i napisałam maila do banku.Trwało to
kilka dni, od jakiegoś czasu jest ok.Nie wiem z czego wynika to, że
teraz jest normalnie.

[Gość: zbig]

Mnie bank kompletnie olał i tylko dlatego, ze mam tam dług, na razie jeszcze sie tam męczę