Forum: mKlienci

Atak na PKOBP

Doszło do rozpowszechnienia informacji drogą email, w której autor prosi o aktywowanie dostępu do kanału IPKO ponieważ został zablokowany.
Klikając na podany przez niego link otwiera się podrobiona strona IPKO.
Chodzi o wyłudzenie danych. Portale internetowe informują, że emaile otrzymują również osoby, które nie posiadają konta w PKOBP.


Ten BANK to jakaś nieodpowiedzialna instytucja. Tego typu ataki, skierowane są przede wszystkim na PKOBP i to wielokrotnie!
Najgorzej zabezpieczony bank w Polsce (liczące się banki) POWÓD ? BRAK HASEŁ SMS!


Odpowiedzi

Zmień widok

59

> Ten BANK to jakaś nieodpowiedzialna instytucja. Tego typu
> ataki, skierowane są przede wszystkim na PKOBP i to
> wielokrotnie!
> Najgorzej zabezpieczony bank w Polsce (liczące się banki)
> POWÓD ? BRAK HASEŁ SMS!

Przede wszystkim hasła SMS nie są idealną metodą i najlepszym
zabezpieczeniem. Poza tym prawdę mówiąc myślę, że PKOBP
ma akurat dość dobrze zabezpieczony dostęp (karta kodów
jednorazowych typu zdrapka). Znam kilka innych, również
liczących się banków, gdzie poziom zabezpieczeń jest znacznie
mniejszy :(

Poza tym nie rozumiem dlaczego fakt pojawienia się takiego
fałszywego maila oznacza, że bank jest nieodpowiedzialny?

Jest chyba oczywiste, że tego typu ataki są głównie
skierowane "pod adresem" tych banków, które mają
najwięcej klientów - większe jest prawdopodobieństwo, że
taki mail trafi właśnie do osoby będącej klientem takiego banku.


Nieprawda BO: Oszust prosi o zatwierdzenie całej procedury hasłem jednorazowym. Osoba nic niewiedząca podaje hasło z karty kodów. System informuje, że transakcja została ukończona pomyślnie. Jednak tak naprawdę przez dobrze odwzorowaną stronę www. wypełniliśmy tylko formularz z takimi jak dane osobowe, i hasło z karty kodów. Następnie złodziej wykorzystuje zebrane dane i wypłaca pieniądze. W przyadku haseł sms do takich sytuacji nie dojdzie, ponieważ przestęca nie ma możliwości wygenerowania kodu SMS i dodatkowo, kod sms jest ważny przez kilka minut a hasła z karty kodów do czasu jego wykorzystania.

Z dużych banków czyli bank w którym liczba klientów przekracza milion to tylko PKOBP nie korzysta z kodów SMS.

Dlatego w innych bankach nie ma tego typu przypadków. W mBanku dochodzilo do potencjalnych kradzieży danych, ale to było w czasach kiedy hasła sms nie były tak popularne.

Inna sprawa to kradzież danych z kart kredytowych. Z tego co można wyczytać to własnie ten atak temu służył.


A w PKO to nie jest tak że zdrapuje się dwa okienka i są to kody jednorazowe?(w przeciwieństwie np. do getinu?). Trudno w ten sposób wyłudzić przydatne kody.


nabank napisał(a):

> Jednak tak naprawdę przez dobrze
> odwzorowaną stronę www.

Strona jest tak samo dobrze zrobiona jak ten mail prosto z chińskiego translatora?

> Z dużych banków czyli bank w którym liczba klientów
> przekracza milion to tylko PKOBP nie korzysta z kodów SMS.

Dla ŚWIADOMEGO klienta lepsze takie zdrapki z PKO, niż np. kody SMS w ING.


plamer napisał(a):

> A w PKO to nie jest tak że zdrapuje się dwa okienka i są to
> kody jednorazowe?(w przeciwieństwie np. do getinu?). Trudno w
> ten sposób wyłudzić przydatne kody.

Zawsze można zrobić akcję w stylu "proszę podać 5 kolejnych haseł ze zdrapki" jak to już skutecznie przeprowadzano.


Jak pomagałem swego czasu rodzicom obsługiwać iPKO to jest tylko jedno pole podczas jednej transakcji, po kolei są odkrywane.
Dwa różne niekolejne (podają współrzędne dwóch okienek )okienka są w DBnet.


Witam,
O zabezpieczeniach już gdzieś pisałem. Podoba mi się rozwiązanie Banku BPH (któremu kiedyś Klientom z Krakowa "wypłacono" autoryzując hasłem transakcje przelewów około 800.000 PLN, więc poprawili zabezpieczenia), w którym logowanie do systemu odbywa się za pomocą hasła maskowanego wpisywanego z "wirtualnej" klawiatury (w mBanku niestety brak maskowania, a i "wirtualnej" klawiatury nie uświadczysz), a przelewy do niezaufanych odbiorców potwierdza się SMS'em i hasłem stałym (tzw. odcisk klucza). Ten system zabezpieczeń jest o wiele lepszy od systemu mBanku, do którego nie mam pełnego zaufania. Są programy "czytające" kolejność naciskanych klawiszy, co daje możliwość zalogowania się na cudze konto, a dalej to już raczej z górki. Oczywiście jak ktoś nie korzysta z przypadkowych komputerów, np. w kafejkach internetowych to ryzyko jest minimalne. Ale jak pokazują doświadczenia wprawni hackerzy włamali się na google przez luki w IE, czyli ryzyko istnieje.
Pozdrawiam


domlan napisał(a):

> Witam,
> O zabezpieczeniach już gdzieś pisałem. Podoba mi się


Pamiętaj, że ideały w świecie realnym nie istnieją. Jeśli system miałby być w pełni bezpieczny, to jego funkcjonalność byłaby śladowa. Z jednej strony bezpieczeństwo jest oczywiście bardzo ważne, ale z drugiej nie można dać się zwariować. Jedna zdrapka, do tego jakiś odcisk klucza i może jeszcze skan tęczówki, wtedy pewnie byłoby najbezpieczniej. Moim zdaniem zabezpieczenia stsowane przez mBank przy zatwierdzaniu transakcji (stosowane nota bene przez wiele innych banków, nie tylko w Polsce, z powodzeniem) są całkiem rozsądnym kompromisem między pełnią bezpieczeństwa i wygodą. A jeśli ktoś ma problem z dostępem internetowym zawsze może założyć konto "zwykłe" w innym banku bez aktywowania kanału internetowego i z każdą głupotą latać do oddziału, jak to drzewiej bywało. Ale ja osobiście nie chciałbym do tamtych czasów wracać... :)


Ssak,
Ja też nie chciałbym. Z bankowości elektronicznej korzystam od jesieni 2001 o ile dobrze pamiętam i bardzo jestem z niej zadowolony. Napisałem, że podoba mi się system zabezpieczeń w BPH, który posiada cechy, o których mówisz powyżej. Jest wygodny i bezpieczny. Z mojego punktu widzenia jest mi wszystko jedno, czy wstukuję pełne hasło z klawiatury (mBank), czy też tylko niektóre litery z hasła klikając myszą (BPH). Nakład czasu ten sam, ale bezpieczeństwo po stronie BPH większe. Takie są fakty. Duży plus dla BPH w punkcie bezpieczeństwo.
Pozdrawiam


domlan napisał(a):
> Są
> programy "czytające" kolejność naciskanych
> klawiszy, co daje możliwość zalogowania się na cudze konto,
> a dalej to już raczej z górki.

Tak samo jak są programy robiące zrzut ekranu okolic kursora po naciśnięciu myszki, albo wyciągające z przeglądarki zawartość wszystkich pól formularza (zwłaszcza pola z hasłem) bez względu na to czy hasło tam wpisaliśmy tradycyjnie czy przy użyciu klawiatury "wirtualnej" - większy poziom bezpieczeństwa "wirtualnej" klawiatury w porównaniu do normalnej jest tylko iluzoryczny.


Komentuj z innymi