mboost-dp1
remora.ca
#50, det er pointen i phishing. Du har A-banken. Du får en mail fra A-banken der beder dig om at logge ind på A-bankens netbank. Det gør du. Succes for de onde. Hvis du nu havde B-banken, så ville du straks se det som phishing. Det gælder om at ramme så mange som muligt med phishing; jo flere du rammer, des flere har den bank som du sigter efter.
#50
Der er vel intet til hinder for at man ikke nødvendigvis laver nummeret første gang netbanken bruges efter maskinen er blevet inficeret? Man kunne jo bruge første gang til at finde ud af hvilken netbank der er tale om og hvorvidt det kan betale sig overhovedet at tømme konti for den bruger.
Der er vel intet til hinder for at man ikke nødvendigvis laver nummeret første gang netbanken bruges efter maskinen er blevet inficeret? Man kunne jo bruge første gang til at finde ud af hvilken netbank der er tale om og hvorvidt det kan betale sig overhovedet at tømme konti for den bruger.
zacho (50) skrev:Men kan du fortælle mig, hvordan din egen NemID serverfidus ved hvilken bank en given NemID bruger har?
Det kommer lidt an på hvilken metode du vil phishe kunderne.
1) den meget lette, lav en fake side
fx danskabank.dk eller lign, og så ved du precist hvilken netbank du spoofer.
2) den lette, hack af fx hosts fil.
Der ved du det, fordi hver netbank sender en unik nøgle med i det kald de laver til applet.danid.dk, så når du har sat danid.dk til at peje på haxor.server.nu så får din program en unik nøgle der identificere kaldssystemet :-)
3) Den "svære" som jeg ikke lige har checket om stadig dur.
Men i starten kunne du bare forsøge at logge ind i en bank hvor du ikke var kunde, og så blev du allerede efter username/password rejected med at du ikke var kunde i banken.
Dvs. har du en liste med alle netbanker i dk, kan du bare prøve dem en ad gangen.
Læg mærke til kravene til infiltrering:
Case 1 kræver: Send en email med fake url i til en netbank.
Case 2 kræver: kortvarigt adgang til hosts fil, altså ingen permanent viral infection påkrævet. Samt brugeren laver login i netbank
Case 3 kræver: kortvarigt adgang til hosts fil, altså ingen permanent viral infection påkrævet. Samt brugeren laver login på en arbitrær side der bruger nemID, fx QXL.dk, eller skat.dk
Godt malware går ikke i gang med at lave alt muligt ravage med det samme. Det holder sin aktivitet til et minimum af spredning og dataindsamling i en periode, og først herefter begynder ravagen.
Den periode med at sprede sig selv stille og roligt og samle information kunne fint identificere hvilken netbank(e) folk bruger, hvor mange penge de har etc...
Den periode med at sprede sig selv stille og roligt og samle information kunne fint identificere hvilken netbank(e) folk bruger, hvor mange penge de har etc...
#55, du får det næsten til at lyde som om, at alle kan lave sådan et phish :-)
Men skulle man ikke tro, at der var en eller anden form for sikkerhed mellem kontakten til DanID's servere? - Også inden Netbanken oplyser information, som evt. kunne bruges af andre?
Derudover synes jeg stadig at nøglekort delen gør processen lidt tricky. Metoden som du beskrev tidligere, vil jo kun bruges hvis bagmændende sidder ved deres computer sammentidlig, og logger ind på den rigtige netbank med det pågældende NemID? Sammentidligt skal man også huske, at der er tidsbegrænsning på.
Derudover så de fleste banker også kræve mere end en kode fra nøglekortet. Hvilket vil kræve at brugeres ikke fatter mistanke. Hvilket også vil betyde, at efter hans falske login forsøg, helst skulle blive fastholdt på den falske side. Og da han ikke kan blive logget ind på en falsk bankside, uden at selvebanken er hacket (ellers ville han nok hurtigt opdage uoverensstemmelser med konti osv.), hvordan ville du så skaffe flere koder fra nøglekortet?
Men okay - brugerne er så dumme, at en venteboks hvor der stod "VENT! - Hilsen Hacker Flemming", sikkert ikke ville skræmme dem fra at vente til du bad om en ny kode... (:
Men skulle man ikke tro, at der var en eller anden form for sikkerhed mellem kontakten til DanID's servere? - Også inden Netbanken oplyser information, som evt. kunne bruges af andre?
Derudover synes jeg stadig at nøglekort delen gør processen lidt tricky. Metoden som du beskrev tidligere, vil jo kun bruges hvis bagmændende sidder ved deres computer sammentidlig, og logger ind på den rigtige netbank med det pågældende NemID? Sammentidligt skal man også huske, at der er tidsbegrænsning på.
Derudover så de fleste banker også kræve mere end en kode fra nøglekortet. Hvilket vil kræve at brugeres ikke fatter mistanke. Hvilket også vil betyde, at efter hans falske login forsøg, helst skulle blive fastholdt på den falske side. Og da han ikke kan blive logget ind på en falsk bankside, uden at selvebanken er hacket (ellers ville han nok hurtigt opdage uoverensstemmelser med konti osv.), hvordan ville du så skaffe flere koder fra nøglekortet?
Men okay - brugerne er så dumme, at en venteboks hvor der stod "VENT! - Hilsen Hacker Flemming", sikkert ikke ville skræmme dem fra at vente til du bad om en ny kode... (:
zacho (57) skrev:du får det næsten til at lyde som om, at alle kan lave sådan et phish :-)
Ikke alle, men de fleste med nogle års studier/interesse i webudvikling/java/lign kan.
zacho (57) skrev:Men skulle man ikke tro, at der var en eller anden form for sikkerhed mellem kontakten til DanID's servere? - Også inden Netbanken oplyser information, som evt. kunne bruges af andre?
Gå ind på din netbank login side, og vis kilde, evt. sæt fiddler eller lign op til at fange alt (inkl. https trafik) og du kan se at alle identifications tingene ligger til offentligt skue
Jeg har ikke en antagelse om der sidder en person bag, men tænk over hvor let det er at lave sceengraps/captcha analyse - NemIDs kontrol er meget let at lave det på, da der er ingen forvridning eller lign på deres tal - korrekt, det ligger ikke som et billede, men det er nu stadig ikke en hindring.zacho (57) skrev:Derudover synes jeg stadig at nøglekort delen gør processen lidt tricky. Metoden som du beskrev tidligere, vil jo kun bruges hvis bagmændende sidder ved deres computer sammentidlig, og logger ind på den rigtige netbank med det pågældende NemID
Og tidsbegrænsningen er ganske ligegyldigt, når vi snakker det som dit program skal, er at loade et par sider, laver et screendump, lave en analyse af 4 meget klare tal, og lign. stuff. Det kan alt sammen ske meget hurtigt (vi snakker få sekunder her).
Jeg har endnu ikke oplevet at blive bedt om mere end én kode (login), men du har ret i at, der er sikkert nogle netbanker der skal have ny kode hvis overførsler overstiger X kr per transaktion eller per dag. Men tænk over det, hvis du logger ind og den siger forkert kode, og viser dig et nyt nummer, tæller dine "ubrugte nøgler" 1 ned.. vil du så tænke.. "Hey, jeg er hacket" eller "Fik jeg tastet 2 istedet for 3 i koden - dumme papkort?".zacho (57) skrev:Derudover så de fleste banker også kræve mere end en kode fra nøglekortet.
Jeg tror de fleste falder i den sidste gruppe.
Evt. kan man efter 2 eller 3 fejlet login smide en fejlboks om at "Der er i øjeblikket login problemer på NemID, prøv igen senere. Mvh. netbanken".
Angelenglen skrev:Og du har naturligvis sikret dig imod at man ikke kan oprette en planlagt overførsel, der ligger og venter på at får løn/dagpenge/bistand næste gang?
Ja det har jeg da. På den måde at jeg ofte er på netbank. Så jeg ville lægge mærke til hvis der lå en overførsel og ventede som jeg ikke kendte til, samt jeg ikke selv har adgang til min budgetkonto.
Så med mindre en uber l33t h4x0r får adgang til bankens systemer også, overtager min rådgivers pc og laver et lån i mit navn, er jeg sikker. Og det virker ret usandsynligt de vil gå så langt for næsten ingenting :)
Den eneste måde ikke at miste penge på er ved ikke at have nogen penge... Sådan ser jeg i hvert fald på det.
De rige har mange glæder. Har man mange penge i banken, får man endda flere penge ganske gratis. Awesome!
Statistisk set, er chancerne for at ramme en rigtig nøgle, på et fysisk kort, forudsat ingen af de 148 nøgler er brugt, første gang 1:67~, og jo flere nøgler der er brugt på et kort, desto mindre bliver chancerne for at ramme rigtigt.
Dog, hvis man ikke er helt idiot, bør man jo undre sig over at der spørges om en kode på en nøgle man slet ikke har, med mindre spywaren er heldig.
ELLER LAD VÆRE MED AT SURFE PORNO!!!
Dog, hvis man ikke er helt idiot, bør man jo undre sig over at der spørges om en kode på en nøgle man slet ikke har, med mindre spywaren er heldig.
ELLER LAD VÆRE MED AT SURFE PORNO!!!
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund