Indeez

Украли деньги с пластиковой карточки

Recommended Posts

Так вот они даже не просят подписывать ничего. Не то чтоб сверять.

Интересно, у них молча при таком механизме деньги забирают в случае жалобы, или хоть что-то спрашивают для приличия :)

 

Но вообще учитывая наличие чипов во многих картах, лайабилити банки/плат.система(не знаю чья это юристдикция) получили возможность смещать в сторону юзера, и мерчанты все как ни крути а перебечь должны все на чипы. Как следствие пины в магазинах просить все больше будут.

Оно в перспективе то прогресс, т.к. без физического чипа якобы транзакцию не сделать, но пока есть еще и магнитная лента - картина выглядит как железная дверь на прогнившем заборе :)

Плохо то, что эти чиповые стандарты, которые EMV, разработчики даже если захотят - по нормальному не сделают, ибо вынуждены делать крайне общими. И я уверен что будут еще долго тыщщи дырявых переходных имплементаций.

Ну и понятно совсем долго еще карточка не сможет показать, для чего пин человек вводит. Сколько же реально собираются с нее снять. А про выпуск девайсов с чипом и дисплеем, то что реально может фрод уменьшить на порядки, как-то пока молчат..

А вот пин уже хотят спрашивать, и ответственность класть на пользователя.

 

PS И разве это не заговор? :D

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
- никогда не платил картой через интернет!
Но бывает нужно. Вот и говорят нужен второй почти нулевой счёт пополняемый непосредственно перед платежём через интернет.
- при снятии денег с банкомата всегда прикрываю введение ПИН кода рукой!
Желательно ещё клаву протереть. Перед работой и после. Чтобы если напылили флуоресцируюшим лаком то всё размазать.

Но опять же от накладки не спасает. Если накладку сделают грамотно.

- в ресторанах и прочих сомнительных заведениях "карты из рук не выпускаю"!
Не эмбосованую карту и опять же две тыщи крон на счету привязанной к этой карте.

- проблем за все время не возникало, ну, пожалуй, за исключением того, что какой-нибудь контрагент (раза два-три за 13 лет) снял одну и ту же сумму два раза. Данная сумма всегда была мной рекламована и в течение макс. двух месяцев возвращена на счет,
Аналогично. :)

- интернет банкингом пользуюсь практически каждый день с 2000 года, пользовался и различных инет кафе за границей, проблема с уводом денег со счета не возникла,

- не пользуюсь цифровыми сертификатами, только системой одноразовых паролей или диги пасом!

Значит везёт. Накладка бывает не только пластиковая, но и программная, разумеется заточенная специально под каждый отдельный банк.

 

Более того еще и на карту напишут, чтобы не забыть...
Это нормально :) Только нужно головой думать, когда писать и читать. К каждой цифре прибавить или отнять какое-то число от 0 до 9 без переноса разряда. Можно переставить, можно сдвинуть. Комбинаций хватает. Можно записать в двоичном или троичном коде. Дополнительное число с которым оперировать может быть частью номера телефона и т д...

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Кредитками пользуюсь с 1999 года (помню что был первым клиентом отделения Сбера, который завел карту). Через Интернет плачу очень часто - всегда по карте покупаю авиабилеты, оплачиваю гостиницы, покупаю софт и так далее. В ресторанах плачу только картой. И в более злачных местах (ночные клубы, казино, стриптизы) - тоже :) К большинству карт пин-код просто не знаю - даже не вскрываю конверт.

 

За всю историю была одна попытка фрода. Из банка позвонили и спросили находитесь ли вы сейчас в Японии :) Ну и плюс несколько раз торговые точки снимали деньги два раза, но это решалось либо на автомате (банк просекал двойную транзакцию и сам ее отменял) либо заявление в банк и через месяц деньги возвращаются.

 

Для снятия кеша есть карта, которой я больше нигде не пользуюсь. Кеш снимаю только в одном банкомате - в отделении банка.

 

Вот чиповые карты меня больше всего беспокоят, т.к. для покупок придется узнать пин-код и вводить его в магазинах. Любая транзакция "под подпись" или без подписи (через Интернет) оспаривается без проблем. Хорошо что российские банки пока чиповые карты не выпускают в основной массе.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Эх, накатаю ка поэмму...

Если с картами здесь уже описали все особенности, то пользователей интернет-банкинга запугали тут еще не очень :)

Позволю себе описать мое мнение в вопросах пользования данной услугой более детально.

Ничего нового и уникального, просто может кто не знает.

 

Если посмотреть на современные интернет-банкинги, то очень быстро можно найти по нескольку предупреждений от них про опасности, предупреждения и рекомендации. В новостях банка, на главных страницах в виде банеров, разъясняющие статьи по email-у и в журналах появляются не просто так. Конечно же от проблем банкинга страдают обе стороны, однако провайдеру услуги не очень выгодно информировать пользователя о том, что он должен должен быть в напряжении,

когда ею пользуется. Простота, спокойствие и уверенность - это тот сильный и вкусный лозунг, который используется почти всеми, тогда как подобные предупреждения его рушат.

Тем не менее это делается, очевидно что уже по факту пойманных на разные уловки пользователей, причем в значительном масштабе.

 

По методу доступа.

 

1. Самый безболезненный, это доступ только на чтение по логин-паролю. Единожды введя пароль на машине с установленным вирусом (точнее трояном), введя его не на том сайте, будучи подсмотренным при вводе, либо списан с бумажки, находящейся как всегда у монитора, злодей получает возможность смотреть все операции до следующей смены пароля. Для европы это мало чем чревато, посему метод доступа можно отнести к весьма безопасным.

И бесполезным, ибо перевод не сделать.

 

Значительно уменьшить вероятность подлога в первую очередь можно открывая банкинг только из списка favorites (избранное) браузера, не вводя адрес руками. Опечатавшись во вводе легко

угодить в руки вредителя. Естественно еще при этом хорошо бы пользовать антивирусов и не ставить всякого непонятного софта на машину, откуда ходим в банк. И не открывать файлы приходящие по почте. Но повторять это в 3869-ый раз уже как-то и неудобно.

 

2. Самый опасный - это метод с использованием напечатанных таблиц одноразовых кодов, брелков-генераторов кодов и смс-ок, содержащих лишь код подтверждения. Все они имеют одинаковый уровень безопасности.

В случае наличия на машине трояна, либо перехвата канала общения с банком, либо перехода на сайт с похожим адресом пользователь видит свою привычную страницу перевода денег и вводит код для подтверждения своей операции, однако этот код перехватывается и используется для

подтверждения совсем другой операции. Какой? Да любой. Т.е. в пределах лимита операций интернет-банкинга перевод уходит куда-то весьма далеко. Историю операций и актуальный балланс даже после совершения такой сделки пользователь не видит, т.к. все что ему показывается формируется злодеем, а никак не банком.

 

Перехват канала общения элементарно производится в общественных местах, при использовании wifi (в некоторых случаях - любым человеком, находящимся в области действия сети, т.е. даже не связанным с местным провайдером), интернет-кафе либо , мелким интернет-провайдером.

Т.е. вопрос того, что с такого банкинга снесут средства лишь случая - будет ли кто-то фишить в это время в этой сети или нет. А никак не секьюрности технологии.

Куда реже каналы слушают у стандартных интернет-провайдеров, т.к. чем он крупней, тем больше железа участвует в процессе передачи пакетов и меньше трафика проходит через легко меняемый софт.

Для крупных атак периодически встречаются атаки на DNS сервера хостеров как банков, так и местных провайдеров, дабы, выведя его из жизни, подменить IP-адрес хоста банкинга, и пользователи

благополучно ничего не подозревая пойдут на требуемый сервер вместо реального. Слышал про такие успешные акции.

Использование банком https-канала весьма слабо помогает ситуации, поскольку https-сертификат сайта подделывается за небольшие деньги, а в случае с трояном и этого не надо.

 

Т.е. даже осторожная работа с такой системой не гарантирует спокойствия. А поверит ли потом банк, что код был введен для другой операции - под большим вопросом.

 

3. Следующий, это когда одноразовый код присылается смс-кой, защищенной пином.

При этом в смс-ке написано для какой операции этот конкретно код предназначен, с указанием суммы перевода и реквизитов. Очень хорошее решение, т.к. он позволяет работать на компе как без уверенности в его чистоте, так и без уверенности в канале. Нужно только проверять каждый раз что код присылается именно к той операции, которую заказывал. Для декодирования смс-ки нужно подслушать количество передач достаточно большое для того, чтобы можно было спокойно пользоваться этим делом.

Минусом является теоретическая возможность подбора пина, воздейсвием на чип. Т.к. проверка пина происходит исключительно оффлайн, то при наличии метода копирования чипа - подобрать его

становиться возможным.

Но т.к. для этого телефон украсть надо бы, да и само копирование под вопросом - то главное чтобы пин банально не подсмотрели при его вводе, что выполнить реально.

Так что метод можно посоветовать как самый народный.

 

4. И про подпись сертификатом.

Для его использования, не зависимо храниться ли он файлом, либо на отдельном RSA-брелке, необходимо иметь чистый от троянов компутер. Иначе как и выше - покажут одно, а подпишут другое.

И здесь возникает противоречие, ибо для его использования всегда нужен софт.

Только-браузера недостаточно. Софт частенько делают в виде java-аплета, который загружается браузером. При этом пользователь не очень то знает, что реально он скачивает.

Аплет подписывается разными красивыми словами и названиями фирмы-производителя, но на деле защита подписи там не очень сильная, да и кому знать, что эта фирма реально то произвела что надо.

Посему если и пользоваться сертификатом - то лишь когда банк дает на физическом носителе свой софт.

Зато канал общения может быть любым - хоть на бумажке распечатывай пакеты и посылай открыткой в банк.

А теперь про плюс. Особенностью сертификата является то, что принимающая сторона не имеет всего ключа, а лишь его часть. Соответственно никто, кроме отправителя не может подписать своей просьбы что-то сделать (перевод нас интересует).

Это все знают, но. Из этого свойства возникает немаловажная деталь.

Сотрудник банка, либо лицо как-то на него воздействующее, при всем желании не может сфальсифицировать действия пользователя (в остальных - может).

При первой же жалобе прийдется показать подпись сертификатом, которую сделать действительно тяжко.

Т.е. этот метод хорош для серьезного интернет-банкинга, когда вопросы социальной инженерии имеют место быть. Сюда входят не только обиженные на жизнь сис-админы, но и случаи ошибок в программных системах банков, какие-то ошибки с раздачей прав, случайного постороннего доступа к банк-системе, шантаж персонала и неудачный подбор людей.

Я думаю что и банку хорошо знать в таких случаях, что это не пользователь дурак. Ну смысл такой.

 

 

Фуф :) Уж простите что так многа букофф :)

Вобщем дайджест:

таблицы кодов, брелки - сакс

смс-ка на телефон, защищенная пином - рулёз

сертификаты - для крутых перцов, простым смертным больше как пятая нога.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Эх, накатаю ка поэмму...

............................................ф :)

Вобщем дайджест:

таблицы кодов, брелки - сакс

смс-ка на телефон, защищенная пином - рулёз

сертификаты - для крутых перцов, простым смертным больше как пятая нога.

букофф, да, многа, но осилил..... интересно, сгруппировано и классифицировано...

+1111

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Мне вот это очень интересно:

 

Использование банком https-канала весьма слабо помогает ситуации, поскольку https-сертификат сайта подделывается за небольшие деньги

 

Не подскажете способ "подделки сертификата" ? Брутфорс RSA-1024 ? :)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Не :) Такие вещи в лоб не решаются, вот чтоб конкретно взятый сертификат, и к нему ключ угадать.

Для фишинга подделывется не конкретно взятый сертификат, а вообще имя для хттпс-серта.

Tools->internet options->content->certificates->Trusted Root CA

там будет мноооого компаний. если обдурить хоть одну из них (или одного из их агента) и убедить их что ты - это та компания, то дело уже сделано. Никакого знания криптографии не надо :)

 

Дядя Райвест умный мужик, и за 40 лет у его алгоритму отмычки еще не нашли, ибо базируется на очень фундаментальных вещах.

Все взломы, которые я изучал чтобы нормально имплементировать свои системы, основывались на недостатках других вещей, нежели сам алгоритм RSA. Хотя тонкостей много.

 

Но там, в списке trusted cert-ов браузера, есть такие кто уже 10 лет активен, и при этом всего 1024 бита. На глаз выглядит что такие и реально было б уже подобрать, но считать лень. Сейчас трояновые сети существуют в десятки миллионов компьютеров добрых юзеров, вычислительная мощность бешеная.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

RSA-1024 не факторизуется за приемлемое время даже на 10 млн компьютерах. Это уже считали.

 

Если речь об Интернет-кафе, то здесь еще проще - легко делается система "man in the middle", при которой в trusted прописывается собственный сертификат, а потом другая машина (или сервис на той же машине) связывается с сайтом банка, используя нормальный сертификат. Все передаваемые данные нам доступны.

 

Но не надо забывать, что такие действия являются уголовным преступлением и вряд-ли публичное Интернет-кафе на такое пойдет. А вот "бесплатные" wifi сетки иногда именно для этого и создаются.

 

Вобщем в статье все правильно написано, это я так, к мелочам придираюсь :)

 

Еще не рассмотрен тип защиты при помощи USB-токенов. Если реализовать ее правильно, то без токена вообще ничего сделать невозможно, даже если весь траффик перехватить и проанализировать.

 

Защита с помощью генератора кодов действительно жутко слабая. Там можно даже ничего не анализировать, просто перехватить 2 HTTP-запроса, выдрать оттуда код и в ответ выдать ошибку. Этих двух кодов будет достаточно чтобы войти в систему и провести любую транзакцию.

 

Вообще пользоваться Интернет-банкингом с чужого компьютера всегда стремно, лучше этого не делать. Со своего ноутбука все значительный секьюрно.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Там просто само rsa писало что машина убивающая ключ 1024 за день стоит около 100 милиардов долларов. Если посчитать цену средних процессоров 10М машин то получится 0.5-1 милиард долларов.

Учитывая что за день ломать и не надо, цифры уже очень близки по порядкам. А реально считать мипсы и лень, да и не надо это никому :)

Это основная проблема практических секурити-специалистов, оценивать сложность слома чего-то ими сделанного по самым сильным параметрам. И потом этим громко гордиться.

Ни один нормальный вредитель не будет стучать в железную дверь, а просто найдет окно рядом. Оно всегда есть.

 

ЮСБ-токены да, ну я их в пункт 4 описал там, "..отдельном RSA-брелке..".

трояна они боятся (на экране покажет одно, брелку сунет другое), а так гут. ну ужо описано.

 

 

Я вот еще вспомнил про ING KONTO.

Дают накопительный счет, и якобы 3.4% плотют.

Можно по идее его использовать вместо второго счета, где деньги лежат. Чтобы на счете, привязанном к карточке не валялось много. И процент большой (кхе..), и денег не берут за ведение счета, и снимать можно когда угодно.

Может кто пользует? есть ли там какая засада?

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Я вот еще вспомнил про ING KONTO.

Дают накопительный счет, и якобы 3.4% плотют.

Можно по идее его использовать вместо второго счета, где деньги лежат. Чтобы на счете, привязанном к карточке не валялось много. И процент большой (кхе..), и денег не берут за ведение счета, и снимать можно когда угодно.

Может кто пользует? есть ли там какая засада?

я начал юзать аналогичный счет в Е-банке.... там интернет банк через СМС на моб. тел..

как обещают, что всё бесплатно - неправда... бесплатно тока сыр в мышеловке... там перевод между счетами - текущим и сберегательным, по интернет-банку стоит 3.90 кроны, так что за месяц 30-50 крон расходов - всё равно на пустом месте набегает... хотя всё как и обещали работает молниеносно... пока(!?)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Это основная проблема практических секурити-специалистов, оценивать сложность слома чего-то ими сделанного по самым сильным параметрам. И потом этим громко гордиться.

Ни один нормальный вредитель не будет стучать в железную дверь, а просто найдет окно рядом. Оно всегда есть.

Это как раз не проблема, а общее устройство жизни.

Крепкость и себестоимость железной двери должны быть ровно такими, чтобы стало проще ломиться в рядом стоящее окно.

Дальнейшее укрепление не имеет экономического смысла, т.к. это будут деньги, выброшенные на воздух :)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Если тут есть еще поклонники ситибанка, то им посвящается

тычка

 

Если кратко - опять натырили денег с их банкоматов через внедрение в банкоматную сеть. Причем увели все вплоть до пинов. И как бы случайно и очень даже вдруг эти банкоматы оказались ситибанка.

постскриптум: Конечно же они не сити-, а совсем другой фирмы, и во всем виновата на деле она, та подлая фирма :)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Да там прямо написано, кто виноват (точнее, пока обвиняется): Юрий Ракушинец, Иван Бильце и Ангелина Китаева :^)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
здесь еще проще - легко делается система "man in the middle", при которой в trusted прописывается собственный сертификат, а потом другая машина (или сервис на той же машине) связывается с сайтом банка, используя нормальный сертификат. Все передаваемые данные нам доступны.

...

"бесплатные" wifi сетки иногда именно для этого и создаются.

И как же предполагается осуществить подмену сертификатов на компьютерах, подключившихся к бесплатному вайфаю?

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Я тоже не до конца понял, что имел в виду Dimka с WiFi, но как мне кажется идея проведения MITM-attack была в следующем:

- жертве представляется самоподписанный сертификат с поддельным доменом, при этом dns настраивается соответствующим образом

- сам атакующий использует нормальный сертификат для связи с банком и дублирует все транзакции клиента, которые он теперь может расшифровать так как сертификат его + добавляет каких-то своих транзакций :)

 

Конечно самый сомнительный момент - жертва должна нажать Yes, на диалоге на котором будет написано что сертификат хоть и валидный и для правильного домена, но не подписан Trusted CA.

 

Если речь шла об этой атаке, то это скорее, социальная инженерия, чем проблема с интернет-банкингом.

 

P.S.: Стоить заметить, что в силу сложности реализации, в реальном мире MITM-аттаки встречаются крайне редко, это больше теория. Но одна действительно удачная атака, которая привела к плачевным последствиям известна (tor exit nodes). Если кому интересно, подробности проскакивали в Wired и у Bruce Schneier.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Odpovědět na toto téma...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.




  • Kdo si právě prohlíží tuto stránku

    Žádný registrovaný uživatel si neprohlíží tuto stránku