Cyberprzestępcy atakują konta bankowe

[Gość: kriss]

przelew autoryzuje sie nowym kodem otrzymanym przez SMS - tam tez jest
trojan??
zróbcie wywiad z kims kto stracil pieniądze to może uwierze

[Gość: joe]

w tej chwili nie ma możliwości żeby ktoś niepowołany zrobił przelew z konta w BPH. Nawet jeśli ktoś wpisze hasło na tej podstawionej stronie to ma tylko wgląd w rachunek. Przelew jest chroniony jednorazowymi hasłami sms wysyłanymi na bieżąco i hasłem do klucza. BPH jest w tej chwili najbardziej chronionym bankiem przez internet.

[tetlian]

Jak hackerzy będą chcieli, to i przechwycą kody smsowe. Niestety taka jest
prawda. Wszystko da się złamać.

[zbigniew1000]

Polecam ING, tam podaje się co logowanie inne litery z hasła.

Pewnie do obejścia przez uruchomienie monitoringu w ciągu miesiąca, ale jednak
nie wydaje mi się proste...



.........................................
CSN wycieraczki z klasą
wycieraczki i maty sklep internetowy

[Gość: Andrzej]

zbigniew1000 napisał:

> Polecam ING, tam podaje się co logowanie inne litery z hasła.
>

BPH też ma hasło maskowane. Dodatkowo każdu przelew potwierdzany jest kluczem z
hasłem i hasłem jednorazowym wysyłanym SMS-em.

kradzież pieniędzy z konta BPH jest niemożliwa

[tequila57]

nawet jeżeli ktoś zdobędzie hasło
1. można sprawdzić logowania
2. odbiorców dzielimy na zaufanych i nie zaufanych
3. odbiorca zaufany to np tpsa, era, spółdzielnia mieszkaniowa, elektrownia, gazownia - więc przelew dokonany przez kogoś obcego może być anulowany
4. odbiorca nie zaufany wymaga WERYFIKACJI poprzez wysłanie SMS-a na twój telefon komórkowy z kodem ważnym przez następne 30 minut i każdy przelew weryfikujesz DODATKOWO tym kodem
Na marginesie, system banku BPH oceniam jako najlepszy na polskim rynku, jest prosty a jednocześnie pewny.

[Gość: grey123]

Do tego dochodzi klucz, który można przechowywać w banku lub na komputerze
stacjonarnym. W drugim przypadku dokonanie przelewu z miejsca innego niż nasz
komputer jest "niemożliwe".

[Gość: ppp]

Ale ten klucz to plik na dysku, do którego trojan ma taki sam dostęp jak
właściciel komputera. Można go trzymać na pendriv-ie, ale trojan zobaczy ścieżkę
dostępu i może ten plik wysłać na komputer hackera.

[Gość: eter]

misiu, widać że napisałeś jakiś program w życiu, chyba do obsługi pralki.Możliwe, ale to wszytsko wiąże sie z kolejnym omijaniem zabezpieczeń, czyli ilość pracy X2

Ja napisałem kiedyś program do pralki.

[Gość: Spider]

Ale to było ponad 15 lat temu.

[Gość: ppp]

A czy ja pisałem, że będzie lekko? Pisałem o samej możliwości, a nakład pracy
może być duży - niektórzy liczą, że się zwróci. Z tą pralką to trochę zgadłeś bo
pisałem w życiu także programy na mikroprocesory, które są w różnych
urządzeniach. Nie rozumiem jednak w czym jest gorszy program do obsługi pralki
od trojana komputerowego, a odnoszę wrażenie, że trochę gardzisz programistami
"od pralek".

[leszlong]

jak zabezpieczona jest zmiana numeru telefonu komórkowego na który wysyłane są
hasła jednorazowe SMSem? Jeśli hasłem ogólnym wejściowym, to wtedy znając to
hasło, można zmienić spokojnie numer komórki na przestępczą. Mogę się mylić
(dlatego użyłem słowa "jeśli")

[Gość: m?]

Numer telefonu na który wysyłany jest kod SMS mozna zmienić tylko w oddziale banku.

[Gość: Dziodzio]

A nie do końca prawda. Aktywowanie tej usługi smsowej trzeba przeprowadzić w
oddziale, ale zmianę numeru komórki można dokonać samodzielnie przez internet
(ja tak zrobiłem).
Może nie użyłem fachowego słownictwa, ale chyba wiadomo o co chodzi.

[Gość: m?]

Ja dokonywałem zmiany numeru w banku gdzie zapytałem czy da się to zrobić
samodzielnie (bo próbowałem zrobić to w domu ale nie bardzo widziałem taką
możliwość)i dowiedziałem się, że można to zrobić tylko w banku gdzie okazujesz
swój dowód, podajesz nowy numer a następnie podpisujesz jeszcze jakieś papiery,
że dokonałeś zmiany.

[Gość: olaf]

Ale, ale! W serialu Sfora II bohaterom udało się przekierować wszystkie SMSy i
telefony na inny numer. Włamali się na konto i zrobili przelew. I co Ty na to??????

[Gość: kuba]

> Ale, ale! W serialu Sfora II bohaterom udało się przekierować wszystkie SMSy i
> telefony na inny numer. Włamali się na konto i zrobili przelew. I co Ty na to??
> ????

Emacsem przez Sendmaila!

[Gość: e]

Emacsem przez Sendmaila!!! To haslo absolutnie rzadzi. Slyszalem je w formie:
Vi'em przez Sendmaila! ;-)

[szurum-burum1]

No jacha, bo emacs to jest świetny system operacyjny, tylko nie
ma w nim edytora :)

[Gość: ppp]

hehe - w serialu tak :-)

[Gość: golem_t]

Mniej telewizji więcej życia, albo uważniej oglądaj. W serialu przekierowanie
zrobił zaszantażowany pracownik operatora.
W życiu prościej jest zbajerować "panienkę z okienka" w banku aby wyczyściła Ci
konto. Oglądaj programy informacyjne w dowolnej TV a będziesz wiedział, że od
czasu do czasu tak się dzieje.

[Gość: minister]

> Na marginesie, system banku BPH oceniam jako najlepszy na polskim rynku,

hmm, a masz jakies inne konta bankowe ze oceniasz go jako najlepszy?

[Gość: grey123]

BPH ma takie zabezpieczenie już od dawana hackerze! zresztą BPH ma najlepsze
zabezpieczenia o czym mówią nawet rankingi w gazetach.

[Gość: eter]

zbigniew, to samo jest w bph, pózniej trzea wpisac 2 hasło a pozniej kod z sms ktory jest wazny z pol godziny....

Polecam moją babcie

[Gość: es]

Wypłata środków odbywa sie po wnikniwej analizie fizjonomii i siatkówki oka.

[Gość: eter]

buahahah.tak misiu.Nie żeby to było absolutnie niemożliwe,ale to jest prawie jak wygrana w totka.Powodzenia.
P.S.Rodzice kupili komputer w tym roku na komunię?

[Gość: mietek]

wcale nie jest najbardziej chronionym, tę same metody autoryzacji stosują
conajmniej mBank oraz BZWBK, stosowane przez szereg innych banków jednorazowe
kody są równie skuteczne jak smskody - tak więc BPH dołaczył jedynie do grupy
banków dbających o bezpieczeństwo ale z pewnością nie jest w tym zakresie liderem

[Gość: grey123]

jest - tak mówią rankingi!!!

[Gość: mietek]

nie wierz tak ślepo rankingom, gdyż w nich uwzględnia się średnie bezpieczeństwo
wszystkich kanałów dostępu, a nie tylko dostęp przez internet
Radze dokłądnie poczytać komentarz przy rankingach oraz co i z jaką punktacją
było do wyniku uwzględniane.
Przykładem tu może być BZWBK który mimo że ma najlepsze zabezpieczenia dostępu
internetowego (tzn może mieć gdyż wyboru poziomu zabezpieczeń dokonuje klient
banku na włąsną odpowiedzialność) - przegrywa przez kanały telefoniczne.

[Gość: grey123]

Mówimy chyb o internecie?

Wierzę rankingom i sobie - bo korzystam! Ty nie, więc Ci uświadamiam, że nie
masz racji. BPH jest najlepsze pod względem zabezpieczeń.

[Gość: miekkglowy]

moja racja jest najmojsza
ty glupi - ja madry ;]

[Gość: grey123]

takich powinno się razem z postami kasować

[Gość: mietek]

ok, nie korzystam z BPH więc nie mogę dalej dyskutować ale chętnie poznam ten
ranking na który się powołujesz - może możesz wskazać link

[Gość: grey123]

Był kiedyś na wyborczej. Pewnie jest w archiwum - poszukaj jeżeli Cię to interesuje.

[Gość: mietek]

Tak myslałem, powołujesz się nie na to co bylo w rankingu tylko na to co z niego
zapamiętałeś, a niestety ranking był jeden jako średni poziom bezpieczeństwa dla
wszystkich kanałów dostępu. Nie był robiony osobno dla każdego kanału.

I jeszcze uwaga (ale to już nie do Ciebie personalnie tylko ogólnie) -
zauważyłęm że chyba każdy na forum najbardziej chwali bank w którym ma konto.
Dobrze jest mieć przekonanie że ma się konto w najbezpieczniejszym banku :-)

[Gość: mietek]

jak mówiłem: gospodarka.gazeta.pl/gospodarka/51,52981,3744366.html?i=1
nie dość że bph jest trzeci w rankingu to oczywiście ranking jest wypadkową
bezpieczeństwa dla wszystkich kanałów dostępu
Od razu zaznaczam ze w rankingu są błędy (akurat zauważyłem przy "swoim" banku -
nazwy nie podaję aby nie podgrzewać dyskusji)

Mietek, gratuluję opanowania i merytorycznego

[Gość: Zainteresowany]

triumfu. Cieszę się, że chciało Ci się elegancko dowieść racji, mimo iż
rozmawiałeś z kimś bez klasy.

[Gość: bezedura]

> wcale nie jest najbardziej chronionym, tę same metody autoryzacji stosują
> conajmniej mBank oraz BZWBK, stosowane przez szereg innych banków jednorazowe
> kody są równie skuteczne jak smskody

Bzdura kolego.
W BPH autoryzacja przelewów jest oparta na podpisie elektronicznym (klucz).
SMS kod to tylko zabezpieczenie dla kogoś, kto chce przechowywać swój klucz na
serwerze bankowym.
Jeżeli masz klucz, albo podpis kwalifikowany (ja mam z Certum) na karcie
czipowej - SMS kod nie jest wcale potrzebny.

BPH ma obecnie najbardziej rozbudowane zabezpieczenia na rynku i trudno się
dziwić, że prosty trojan im nie zagroził.
Co innego inne banki - poszukajcie w archiwum.

[Gość: darek_w1]

> BPH ma obecnie najbardziej rozbudowane zabezpieczenia na rynku i trudno się
> dziwić, że prosty trojan im nie zagroził.

W BZWBK nawet logowanie na konto mam zabezpieczone hasłem maskowanym plus 8-
cyfrowym hasłem z tokena. Każda operacja, włącznie ze zmianami na liście
odbiorców przelewów np. ich numerów kont (ważne!), także wymaga hasła z tokena.

Lukas Bank chyba jest trochę bardziej z przodu

[Gość: Thorne]

Znam przymajnmiej jeden bank jeszcze lepiej zabezpieczony -
identyfikator+hasło+token - wszystko to musisz podać żeby zalogować się, przelać
kasę czy dokonać innych zmian. Numery w tokenie zmieniają się co 60 sekund, i są
jednorazowe - nie ma szans ich wyśledzenia czy ponownego użycia - kodowanie 128
bitowe też swoje robi.

[Gość: kosa]

tez mi sie ten system podoba, jednak przydaloby sie maskowanie hasla a juz
najlepiej by bylo, jakby dodawali klucz (np. na usb) umozliwiajacy wykonywanie
przelewow tylko z okreslonego komputera. przy okazji, kodowanie 128 bit moznaby
w ciagu najblizszych 2-3 lat wymienic na 2048 bitowe, bo ostatnio 1024 zlamano
(trwalo to 11 miesiecy)

[Gość: R]

Nie przesadzajmy, że BPH jest najbardziej chroniony. W Lukasie bez hasła
jednorazowego nie można się zalogować, więc nawet zobaczyć stanu konta.

[Gość: MBANK]

Sponsorem tego artykulu jest MBANK

[Gość: terefere]

który ma dokładnie takie same zabezpieczenia? bzdury pleciesz.

[Gość: grey123]

nie takie same tylko GORSZE!

[Gość: filut]

Te koleś co ty się tak podniecasz? Robiłeś te zabezpieczenia że tak ich bronisz?
Gadasz o "jakimś" rankingu, hehe z wybiórczej i nie potrafisz nawet źródła
informacji na które się powowłujesz podać - " a gdzieś w archiwum powinien być"
a kiedyś coś gdzieś tam pisali, może w wybiórczej a może w fakcie, a może w
filipince?

[Gość: bankomat]

O a to ci dopiero!

Rozwin swoja wypowiedz, baaaardzo chetnie zobacze jak sie pocisz probujac
napisac cos konkretnie, zamiast rzucac haslami.

[Gość: filut]

do mnie pijesz ?

[Gość: kiszka]

ZTCW trojan oprócz haseł maskowanych wyciągał od użytkowników kody jednorazowe
ze zdrapek czy karteczek.
Najwięcej stracili klienci banków które mają listy haseł do transakcji.
Oczywiście Ci, którzy dali się nabrać na trojana.
BPH tym razem był odporny.

Cyberprzestępcy atakują konta bankowe

[Gość: moonwalker]

"Po tamtych doświadczeniach bank zwiększył zabezpieczenia kont internetowych,
wprowadzając m.in. tzw. maskowanie hasła dostępu." Zapewne autor miał na myśli
gwiazdki w polu, gdzie wpisuje się hasło - ******** Doskonałe i jakże
przemyślane zabezpieczenie ;-) A może bank daje klientom specjalne nakładki na
klawiatury, że nie widać z boku co piszą? :-)

[Gość: jaras]

oczywiście nie każdy przelew wychodzi po kodzie SMS bo jak sobie dodasz odbiorcę
jako zaufanego to zawsze tam kasa wyjdzie bez kodu sms. a co jak ktoś tą kasę
dostanie na konto bo sobie haker zrobił jaja i za nas przelał na odbiorcę
zaufanego a tam się okazuje że jest komornik i kasy i nie odda? przykład może
wydumany ale prawdziwy...

[Gość: misia]

a to jest proste. Zeby dodać odbiorcę jako zaufanego, trzeba to zatwierdzić
zmiennym hasłem np. wysyłanym sms lub z tokena. Oczywiście, że nie ma 100%
zabezpieczeń. Każde można wcześniej czy później złamać. Można zrezygnować z
dostępu do rachunku przez internet, ale to wcale nie gwarantuje większego
bezpieczeństwa pieniędzy. Ja tam wolę nie latać z każdym przelewem do oddziału
i bulić kasę za realizację. Ale jak ktoś ma dużo czasu i dużo pieniędzy, to
jego wybór.

[Gość: dupa]

> oczywiście nie każdy przelew wychodzi po kodzie SMS bo jak sobie dodasz odbiorc
> ę
> jako zaufanego to zawsze tam kasa wyjdzie bez kodu sms. a co jak ktoś tą kasę
> dostanie na konto bo sobie haker zrobił jaja i za nas przelał na odbiorcę
> zaufanego a tam się okazuje że jest komornik i kasy i nie odda? przykład może
> wydumany ale prawdziwy...

tylko ze w bph masz jeszcze podpis kluczem nawet tych zaufanych
nie zadziala ;-)

[Gość: mietek]

Nie chodzi o maskowane hasła dostępu bo to określenie jest rzeczywiście
niejednoznaczne ale o maskowanie hasła dostępu przy logowaniu.
W takim przypadku hasłą są dość długie (np 10 znaków) z których przy każdym
logowaniu wpisujesz nie całe hasło a jednie wskazane znaki z tego hasła w ilości
np 4 lub 6, i za każdym razem są to inne znaki (co do kolejności występowania w
haśle) - na tym polega jego maskowanie

[Gość: mada]

W PKO SA jest podobnie - wpisujesz tylko losowo wskazane znaki z hasła. Przewaga
nad innymi bankami jest taka, że możesz wskazać myszką z klawiatury na ekranie,
bez stukania w prawdziwą klawiaturę i keylogger może się pocałować..

Są też hasła jednorazowe, ale tylko przy transakcjach "nowych" tzn. do odbiorców
niezdefiniowanych wcześniej. Nawet jeśli uda się komuś włamać to najwyżej zrobi
przelew do np. tepsy lub cioci Stasi (bo ich wcześniej wpisaliśmy na listę), a
nie przeleje pieniędzy na obce konto.

Mimo, że PKO SA to najdroższy bank na świecie to zabezpieczenia ma 1 klasa!

[Gość: grey123]

BPH też to ma plus SMSy :)

[Gość: arek]

> Są też hasła jednorazowe, ale tylko przy transakcjach "nowych" tzn. do
> odbiorców niezdefiniowanych wcześniej.

takie zabezpieczenie jest nieskuteczne
trojany umieja podmienic numer przelewu ktory wysyla przegladarka
co z tego ze masz haslo jednorazowe np. z tokena albo z kartki skoro bank
dostanie do realizajcji przelew z podniemionym numerem (:
a jest taki trojan ktory po zalogowaniu do banku podstawia strone i prosi o
podanie piec dodatkowych hasel jednorazowych
jak jakis frajer je wpisze to zaraz ma puste konto (:
najlepsze sa podpisy cyfrowe a nie zadne hasla jednorazowe

a najlepsze zabezpieczenia to podobno maja banki w estonii

[szurum-burum1]

E tam, keylogger to dla cieniasów. Masz komputer
odporny na ataki tempest?

[Gość: Ania]

a ja nie mam konta w internecie i śpię spokojnie.

[Gość: misia]

oj naiwna, naiwna :-)

a czy token+4 cyfry jest dobrym zabezpieczeniem?

[Gość: m]

[Gość: misia]

BPH ma rzeczywiście bycze zabezpieczenia, co mnie jako klienta początkowo
doprowadzało do wściekłości, maskowane hasła, klucze, kody sms. Ale
przyzwyczaiłam się. Hasło lub token to też jest dobre zabezpieczenie. Token
wyświetla zmienny ciąg cyfr, więc twoje hasło jest za każdym razem inne, no i
oczywiście dodatkowo masz swoją "stałą" część, którą też jest dobrze od czasu
do czasu zmieniać. Jednak nie ma zabezpieczenia, które chroni klienta, przed
jego własną niefrasobliwością.

[Gość: Marek]

Luudzie.. Tylko Mac OS X :)

Jakie trojany? Jakie wirusy? Spokojnie sobie wplacam i wyplacam pieniazki bez
strachu :)

A dzieki temu, ze najnowsze makowki dzialaja pod intelami, mozna spokojnie
(dzieki odpowiedniej aplikacji) odpalic te kilka programow windows-only, ktorych
brakuje..

Polecam :)

[szurum-burum1]

MacOS MacOSem, ale skompiluj sobie Gentoo z kernelem hardened, twardzielu ;)

[Gość: grey123]

Konkretniej rzecz ujmując, to nie są ataki na konta tylko na właścicieli tych
kont w celu uzyskania dostępu. BPH ma bardzo dobre zabezpieczenia, a
instalowanie podejrzanych programów lub wpisywanie hasła na "podstawionej"
stronie to nie wina kiepskich zabezpieczeń.

Od lat wiadomo jest, że w zabezpieczeniach najsłabszym ogniwem jest człowiek...

Cyberprzestępcy atakują konta bankowe

[Gość: ogoneq]

Niesamowite! "Po tamtych doświadczeniach... wprowadzili maskowanie hasła" -
rozbawił mnie ten tekst... Polak mądry po szkodzie... Ja i tak polecam
Inteligo... Pozdrawiam!

[Gość: grey123]

Jedni z pierwszych je wprowadzili. Współczuję z miernym inteligo.

[Gość: ogon]

ty grey123 wez zajmij sie moze obsluga klientow w tym swoim bph zamiast
spamowac, co? no chyba ze ci placa za reklamowanie swojego pracodawcy...

do ignoranta krissa:pewnie nie jesteś świadom tego

[el_bigos]

że nie wszyscy mają swoje konta w mbanku

[Gość: kriss]

nie wszyscy, no i co???

[olek_01]

***Kriss - w SMSie nie ma wirusa,bo dostajesz kod na zarejestrowany nr telefonu
a do tego nie ma dostępu jak nie zmienisz - w mbanku jest tak ,że trzeba podać
kod przy modyfikacji przelewu -więc teoretycznie trzeba uważac - ja zawsze po
wszystkim ustawiam przelew na 0,01 pln:-) i niech sobie przeleją jak wogóle uda
im się do mbanku dostac:]

[Gość: M]

A sprawdzasz czy treść sms'a zgadza sie z tym co podałeś na stronie banku? Takie
ataki opieraja się na głupocie/nieuwadze użytkownika. Natomiast wyświetlenie
Tobie jednego, a wysłanie do banku 2 jest dość proste...

btw: mbank pozwalał prawie dowolnie manipulować treścią wyświetlaną
użytkownikowi za pomocą pojedynczego przelewu - wchodzisz do banku zrobić
przelew. Hmmm dostałeś pieniadze od kogoś nieznajomego.... O co chodzi? A kit,
zobaczymy co z tego wyjdzie, teraz trzeba zapłacić. Kod przychodzi. Wysłany... A
po drodze duzo sie mogło stać... np menu zamienić:
Info o przelewie (ramka jest po to, zeby lepiej było widać):
img255.imageshack.us/my.php?image=i2te0.png
Nowe menu:
img255.imageshack.us/my.php?image=i3fo5.png

[Gość: kriss]

:) wiem ze nie ma
przelew w BPHu autoryzuje sie kodem z smsa otrzymanym z banku - sam mam konto

denerwują mnie takie artykuly, i to jeszcze podawane jako news dnia,
nikt jak narazie pieniędzy nie stracil, a gazeta straszy niepotrzebnie ludzi

[przejazd14]

Gość portalu: kriss napisał(a):

> przelew autoryzuje sie nowym kodem otrzymanym przez SMS - tam tez jest
> trojan??
> zróbcie wywiad z kims kto stracil pieniądze to może uwierze


no to swietne maja zabezpieczenia jak po wejsciu na domenę otwiera sie hakerska
witryna buhahaha

[Gość: grey123]

hehe, widać, że o życiu wiesz niewiele. jak zainstalują Ci trojana to i mogą
udawać przeglądarkę, która nigdzie wchodzić nie musi. Wyświetli i wyśle co i
gdzie trzeba.

[przejazd14]

Gość portalu: grey123 napisał(a):

> hehe, widać, że o życiu wiesz niewiele. jak zainstalują Ci trojana to i mogą
> udawać przeglądarkę, która nigdzie wchodzić nie musi. Wyświetli i wyśle co i
> gdzie trzeba.

Sugerujesz że ktoś sobie zadał trud wymiany połowy windowsa na prywatnym pccie
użytkownika bph żeby mu w chwili uruchomienia eksplorera lądował sie program
imitujący przeglądarkę ? To nie łatwiej stanąc za nim przy bankomacie z ceglą?
Gdyby to było łatwe nie oglądałbyś nic innego w Internecie tylko porno

Trojan to trojan, otwiera porty i tyle, w tym przypadku po wejściu na stronę
bph otwierał sie jakiś syf, czyli przejęli domenę tego bezpiecznego banku i
dołożyli jakiś skrypcik

[szurum-burum1]

Słabo mi. Tu nie chodziło o udawanie przeglądarki, tylko
o to, że możesz sobie w aplikacji zrobić okienko z kontrolką
Internet Explorer, albo wręcz wywołać go z dowolną treścią,
która przyjdzie Ci do głowy.
A co to znaczy "Trojan to trojan, otwiera porty i tyle" ?
Aplikacja może otworzyć port (popularnie mówiąc może na nim
"nasłuchiwać") ale co z tego wynika? Masz firewalla? Ja się
bardziej przejmuję tym, że WinXP ma zaimplementowane UnixSockets.
Wiesz, że kernel (i w drugą stronę, do serwisu chodzącego w pierścieniu zerowym
trybu chronionego) może zestawić połączenie, którego żaden firewall
nie zauważy? To powinno Cię niepokoić, a nie jakieś tam prymitywne
próby przechwycenia haseł jednorazowych.
A co to znaczy, że "przejęli domenę tego bezpiecznego banku"? Zmienili
wpisy w root DNS? No gratuluję gumisiom :)

Cyberprzestępcy atakują konta bankowe

[Gość: guest]

Roznica jest tylko taka, ze jedni kradna w majestacie prawa, inni zas wbrew.

Cyberprzestępcy atakują konta bankowe

[Gość: gość]

Gazeta Nasza Kochana :) Znowu coś w trawie piszczy, ale piszemy bzdurki... Aby
dokonać przelewu przez Internet w BPH trzeba nie tylko podać login i hasło
(maskowane, fakt) ale również podpisać kluczem wykonywaną operację (klucz może
być na serwerze banku lub lokalnie) - w przypadku składowania klucza na serwerze
banku, do użytkowników wysyłane są hasła jednorazowe SMS. Drogi Dziennikarzu -
jak zatem można wysłać kasę mając tylko login i hasło dostępu do konta????
(można zobaczyć historię rachunku, odbiorców itd; ale NIE wykonać przelew).
Media fajne są... niby coś mądrego napiszą, ale jakby nie do końca sprawdzą o
czym piszą.
Mój ulubiony przebój "hot news" z Ukochanych Mediów - "W tym roku wystąpiły
poważne powodzie - wylała AMAZONKA" :))) oryginał, tak kiedyś media podały - i
jak w przypadku powyższego przykładu (wykradania pieniędzy z kont BPH)
oczywiście coś w trawie piszczało... ale nikt z SZ Dzienikarzy nie pofatygował
się sprawdzić, że Amazonka wylewa CO ROKU od TYSIĘCY lat.
==
Dla jasności - nie jestem pracownikiem BPH a mam tam jedynie konto i uważam, że
w porównaniu do innych banków mają je całkiem nieźle zabezpieczone.
===
Mniej chały Panowie, więcej rzetelności i wiedzy! Please.

BPH a Linux

[danz]

Nie wiem o jakich mówicie sms w BPH.

Jeśli zaś chodzi o używanie windows do korzystania z kont bankowych to nigdy bym
na to nie wpadł. Do obsługi konta bankowego korzystam z Linuksa, oczywiście był
wielki problem przy pierwszym wejściu na konto w BPH, otrzymałem z help desku
BPH następujący mail.

"Szanowny Panie

Uprzejmie informuję, iż błąd jest spowodowany błędnie ustawioną stroną
kodową w systemie operacyjnym Linux (domyślenie UTF nawet dla dystrybucji z
polską wersją językową, powinno być ISO_8859_2). Rozwiązaniem problemu jest
modyfikacja pliku /etc/sysconfig/i18n. W pliku powinny się znajdować tylko
następujące linie:

LANG="pl_PL"
SYSFONT="lat2-16"
Po restarcie strona kodowa powinna być już ustawiona poprawnie.
W przypadku pytań zapraszam ponownie.
Z poważaniem
Wojciech Bęczyński
COK BPH
0801 801 401
(12) 298 74 01"
Musze powiedzieć że błyskawicznie napisali odpowiedź (mieli widać gotowca), po
zmianie w pliku konfiguracyjnym rzeczywiście dało się korzystać z ich usług.
Inna sprawa że UTF-8 nie jest błędem, a zmiana na iso jest bezsensu i ich system
powinien działaś także z UTF-8 ale to już inna historia.
Tym wpisem nie chcę rozpętać burzy porównań windows kontra linux, chcę tylko
powiedzieć że z różnych względów bardziej na ataki póki co są narażeni
użytkownicy windowsa, jeśli zaś chodzi o usługę BHP to muszę powiedzieć że jak
na polski rynek jest dobrze zabezpieczona.

[Gość: koryt]

Masz konto i nie wiesz o jakie SMSy chodzi? Dziwne. A chodzi o to, że jeśli
chcesz dokonać przelewu, to musisz oprócz hasła podać kod, który przysyła do
ciebie bank właśnie SMSem. Kod jest jednorazowy i ważny 30 min.

[danz]

Tak, jak masz klucz na serwerze banku, ale jak go masz na swoim kompie, to w
żadne smsy się nie bawisz, tylko już sam musisz się martwić o bezpieczeństwo
klucza, ale to zupełnie inna bajka.

To prawdopodobnie wypłaszanie klientów z BPH

[ukos]

Zgadnijcie kto jest zainteresowany w zniechęceniu ewentualnych klientów mini-
BPH, jeśli nie inne banki chcące przejąć tych klientów, zwłaszcza niektóre.

Cyberprzestępcy atakują konta bankowe

[polsek]

australijczycy wpadli na ciekawy pomysl, ich bank rozsyla specjalna
wersje knoppix'a (linux uruchamiajacy sie z plytki) ktora sluzy tylko
do polaczenia sie z ich bankiem. Rozwiazanie pewne i bezpieczne.

[danz]

polsek napisał:

> australijczycy wpadli na ciekawy pomysl, ich bank rozsyla specjalna
> wersje knoppix'a (linux uruchamiajacy sie z plytki) ktora sluzy tylko
> do polaczenia sie z ich bankiem. Rozwiazanie pewne i bezpieczne.

Polsek, zapewniam Cię że taki pomysł nie jest nowy, i był już analizowany
wcześniej, także w Polsce. Sprawa jednak się rozbija o pieniądze i zarządzanie
zmianą. W przypadku wykrycia dziur, lub obowiązku aktualizacji, niestety nie
wgrasz nowej maszyny java, nie zmienisz kernela. Musisz rozprowadzić nową
płytkę. A do czasu rozdystrybuowania nowych płytek trzeba podjąć decyzję czy
wyłączyć usługę. Płytki się wysyła by użytkownik nie musiał jej sam wypalać, bo
nie musi się na tym znać, więc udostępnienie obrazu na serwerze tez nie zawsze
zdaje egzamin. Po za tym ważna rzecz, i tu się odwołam do genetyki, różnorodność
gatunkowa :-). Jeśli wiesz że by się łączyć z tym bankiem trzeba to robić tak
i tak, bo np. zdobędziesz płytkę, to znajdzie się sposób by to wykorzystać. Jak
w grę wchodzą miliony dolarów to nie ma "bezpiecznych systemów" czy
"bezpiecznych kanałów", jest tylko rachunek kosztów i prognoza zysków.

Cyberprzestępcy atakują konta bankowe

[Gość: a]

to zwykla dziecinada

[Gość: Opinie i komentar]

Alllleeez wielcy hakerzy, prawie podmienili tylko im sie kolorki nie zgadzaly.
To przeciez jakas partanina haniebna.... Faktem jest ze udalo sie im podmienic
logowanie, na jakie to juz inna rzecz. Maja umiejetnosci niestety (badz stety)
przygotowania nie mieli.

[Gość: zenex]

'sczytywał' ???

a nie lepiej token?

[Gość: user]

mój bank udostępnił mi token do mojego konta internetowego. Do każdej operacji
mam generowany klucz, którego czas ważności jest bardzo ograniczony. Poza tym -
juz we własnym zakresie - przed każdą operacj sprawdzam adres IP serwera, z
którym jestem połaczony. Oczywiście. lepszy byłby token z klawiaturą, ale to
podniosłoby koszty, a i tak - jak ktoś się uprze - istnieje ryzyko obejścia
takiego zabezpieczenia.

To jakaś bzdura

[cozy]

"Gdyby ktoś się nabrał i wpisał hasło, program przeczytałby je i wysyłał złodziejom"

Przecież przy logowaniu do BPH nie podaje się całego hasła a tylko losowo
wybrane z niego znaki, wskazywane przez system. Przechwytywanie tego niczego nie
daje.

Malo tego - wszedzie sa hasla jednorazowe

[r306]

, tokeny lub jeszcze inne zabezpieczenia "jednorazowego uzytku".
Nie da sie przelac nigdzie pieniedzy nie dysponujac tym jednorazowkami, a one
nie sa zgromadzone na stronie po zalogowaniu na konto wlasciciela....
Co najwyzej mozna sobie te strone poogladac, ewentualnie usunac jakis wczesniej
zdefiniowany przelew... Ale pieniadze nie wyciekna....

[Gość: echo]

Daje. wystarczy kilka przechwycen a w koncu uzbiera sie wszystkie znaki.
Zadne z tych zabezpieczen nie daje 100% gwarancji. Do naszych pieniedzy moze
sie dostac np informatyk z banku.
Ale to i tak mniej prawdopodobne niz zwykly napad na bank i ucieczka z kasa.
Ogolnie najlepiej stosowac kilka zabezpieczen tj haslo+haslo jednorazowe+klucz
publiczny albo token albo karta chip z haslem/odciskiem palca

[cozy]

Gość portalu: echo napisał(a):

> Daje. wystarczy kilka przechwycen a w koncu uzbiera sie wszystkie znaki.

1.Ale nie wie się czy ma się je wszystkie. To można co najwyżej założyć
2.Aby ze zbieranych po trochu łańcuchów znaków o zmiennej długości wywnioskować
jakie jest hasło trzeba te łańcuchy analizować i mieć ich odpowiednio dużo.
3.System blokuje dostęp do konta po trzech nieudanych próbach logowania.

Zdecydowanie sensowniej zakładać opisanego w artykule trojana np. w mBanku niż w
BPH. Tam sczyta sie od razu całe hasło. Cuchnie to na kilometr.

[szurum-burum1]

Daj spokój, dobrze napisany program nic widocznego by nie robił,
tylko spokojnie gromadził dane, a po miesiącu, góra dwóch - miałby
całe Twoje hasło. Tylko po co? :)

Cyberprzestępcy atakują konta bankowe

[Gość: klient]

nieprawda tam wpisuje sie tylko kilka zawsze roznych liter z hasłą. trzeba by
kilkunastu wejsc aby poznac haslo jednego konta

[Gość: Fungus]

kod sms otrzymujesz tylko jezeli odbiorca nie jest na liscie zaufanych, telefon
do trzymywania kodów można zmienić przez internet. Po prostu trzeba przyglądać
się stronie, sprawdzać ścieżkę dostępu certifikatu.

Cyberprzestępcy atakują konta bankowe

[Gość: gość]

ble, ble, ble...
jak zwykle w gazecie...

Cyberprzestępcy atakują konta bankowe

[allspice]

Ale mozna i tradycyjnie dostać się do 'fortuny'. We Wrocławiu, z bankomatu
należącego do BPH zginęło kilkaset tysięcy i nie ma śladów włamania.

[Gość: swoj]

A dlaczego Bank BPH SPAMUJE konta klientow.
Po zalogownia wyskakuje SPAM!!!!!! Kiosku !!!!!!
To byla zemsta.............

[Gość: equino]

Wszystko fajnie. Dostajecie się na konto i chcecie zmienić numer komórki na
który przychodzą kody z smsami do zakończenia, np. przelewów - ale by to zrobić
trzeba znać podpis - a to jest hasło o odpowiedniej długości znaku - co
niekoniecznie jest proste do rozszyfrowania...
A co do odbiorców zaufanych .... zawsze można zostawić, że wszyscy odbiorcy nie
są zaufani no nie będzie problemów z wyciekiem pieniędzy. Oczywiście podstawą
jest to by wszelkie przelewy robić z 'głową' i uważać na to co się nam wyświetla.

[Gość: aid]

Co wy ludzie z tym "maskowaniem haseł"?
To największe gó.., jakie wymyślili marketingowcy (bo nie podejrzewam speców
od bezpieczeństwa). Jakie znaczenie ma czy wpisujesz całe hasło, czy tylko dwa
wybrane znaki z niego? Millenium posiada dodatkowo dwa znaki z PESELU. Nie wiem
co za osioł to wymyślił, ale zastanówcie się: jesteś włamywaczem i podsłuchujesz
dwa znaki z hasła. Ile musisz zrobić prób logowania, żeby system poprosił o ten
sam zestaw dwóch znaków? Jakie musiałoby być długie hasło, żeby tych prób było
trochę więcej.

Niestety taniej bankom jest zatuszować sprawę i zapłacić odszkodowania niż
zainwestować w bezpieczeństwo. To są fakty. Stan bezpieczeństwa
teleinformatycznego w bankach w naszym kraju? Śmiech na sali.

[Gość: hehehehe dude]

durny jestes koles i tyle.

Niski poziom....moze i tak ale w byle jakich bankach a nie w BPH-u.
System jest najlepszym na rynku w tej branży zarówno jeśli chodzi o klienta
indywidualnego jak i korporacje.


Sprawdz ,poczytaj a potem oceń.

[Gość: mz]

A ja mam w BPH z rachunkiem gotówkowym zintegrowany rachunek maklerski.
Jeżeli taki cwaniaczek wejdzie na mój rachunek to rzeczywiście na rachunku finansowym niewiele jest w stanie zrobić ale za to na maklerskim to ... hulaj dusza czyli sprzedaż akcji na górce a kupowanie na dołku :).
Oczywiście korzyść dla cwaniaczka żadna ale dla mnie poważna strata czyli .. wilk nie syty ale i owca nie cała.

[Gość: Makler]

Mistrzu proponuje sobie właczyć podpisywanie dyspozycji w M@klerze. System
zapewnia bezpieczeństwo jak ty z niego rezygnujesz to juz twój wybór.

[jerzy_gw]

Gość portalu: mz napisał(a):

> Jeżeli taki cwaniaczek wejdzie na mój rachunek to rzeczywiście na rachunku fina
> nsowym niewiele jest w stanie zrobić ale za to na maklerskim to ... hulaj dusza
> czyli sprzedaż akcji na górce a kupowanie na dołku :).
> Oczywiście korzyść dla cwaniaczka żadna ale dla mnie poważna strata czyli .. wi
> lk nie syty ale i owca nie cała.

Hehe. Jeśli kupuje na dołku a sprzedaje na górce jak piszesz, to ja bym chciał,
żeby ciągle mi się taki włamywacz włamywał :-)