Украли деньги с пластиковой карточки

[Yevgen35 0]

Конечно самый сомнительный момент - жертва должна нажать Yes, на диалоге на котором будет написано что сертификат хоть и валидный и для правильного домена, но не подписан Trusted CA.

Даже очень уважаемые конторы позволяют себе использовать само подписанные сертификаты, так что с этой стороны все в порядке.

[Dimka 0]

ITGuy уже ответил, немного добавлю:

 

Необязательно использовать самоподписанный сертификат. Достаточно открыть какую-нибудь левую фирму и получить сертификат на нее. И домен сделать какой-нибудь правдоподобный. Например когда еще жива была Живностенска Банка - у нее домен для Интернет-банкинга был netbanka.cz, т.е. отдельный. И никто этого особенно не замечал.

 

Для получения сертификата достаточно внести фирму в базу D&B (делается очень быстро и бесплатно) и иметь работающий телефонный номер для подтверждения. Это если делать сертификат через Verisign. Говорят у Thawte еще проще. Т.е. для мошенников, которые хотят украсть значительную сумму денег, это не представляет труда.

 

Ну а дальше все как ITGuy расписал - сами коннектимся к реальному серверу банка и дублируем весь траффик. И вот тут вообще нет проблем сделать любую свою транзакцию если для авторизации используется "калькулятор". Клиент вводит очередной номер - перехватываем его, клиенту выдаем какую-нибудь ошибку, например "таймаут", номер сохраняем. Ну а дальше просто сами заходим под логином клиента, вводим перехваченные номера и делаем все что угодно.

 

Yevgen35 - кстати да, уже привыкли к тому что сертификаты могут быть самоподписанные или заэкспайренные. Например у российского Diners Club полгода назад сертификат заэкспайрился и обновили они его только недавно. Сегодня заходил в Интернет-банкинг российского Юникредита - тоже заэкспайренный сертификат. Никто за этим особо не следит...

[Yevgen35 0]

Yevgen35 - кстати да, уже привыкли к тому что сертификаты могут быть самоподписанные или заэкспайренные. Например у российского Diners Club полгода назад сертификат заэкспайрился и обновили они его только недавно. Сегодня заходил в Интернет-банкинг российского Юникредита - тоже заэкспайренный сертификат. Никто за этим особо не следит...

Просто я работал в одной телекоммуникационной компании, где с этим было серьезно.

О себя скажу, что обновление таких сертификатов это такая геморойная бюрократическая процедура.

Правда сильно зависит от конторы.

Некоторые даже автоматом присылали новые сертификаты, а некоторые......

[maxicus 0]

Во, дело Dimka пишет.

Более того, используя широту взглядов всех браузеров, можно создать и сертификат под то же доменное имя (и он пройдет валидацию в браузере), но уже при несколько большем желании. Далее схватив трафик, будучи wifi-провайдером, отдать свой контент для истинного, а не похожего, домена.

 

и 2 уточнения

1. Здесь нигде не говориться что это происходит часто и на каждом шагу. Проблема эта имеется для инет-банкинга не потому, что на каждом углу фишат, а потому - что цена ошибки велика. Унесенные деньги с карточки будут вспоминаться радостно и розово по сравнению с уносом денег с инет-банкинга.

2. уже два раза была попытка перевести тему в техническую часть. Повторю - проблема подмены сертификатов _не_лежит_ в технической части вопроса. Не достаточно четко сформированы организационные моменты их обслуживания, особенно при общении с браузерами. И в первую очередь это не потому что все ослы, а потому что сертификаты в браузерной среде не создавались для денежных операций, а процессы оптимизировались для других вещей. Тогда как некоторые инет-банкинги используют их для денежных.

Если говорить в метафорах двери с окном - то никто не позаботился о размере окна, решетках и сигнализации на нем, размышляя лишь о толщине брони двери.

 

Ну а самоподписанные, экспирнутые серты, ну.. по всякому бывает когда p2p или связь ограниченного кол-ва участников - то это нормально. можно например просто верить ключу в серте, обменявшись им до этого. при этом что там в серте написано кроме собственно ключа - до лампочки. но эти примеры скорей были не для инет-банкингов для физиков, ведь так, Yevgen35?

[SergeN 0]

Я вот еще вспомнил про ING KONTO.

Дают накопительный счет, и якобы 3.4% плотют.

Можно по идее его использовать вместо второго счета, где деньги лежат. Чтобы на счете, привязанном к карточке не валялось много. И процент большой (кхе..), и денег не берут за ведение счета, и снимать можно когда угодно.

Может кто пользует? есть ли там какая засада?

 

Все правда, только 3,25%, все бесплатно, более того счет на который можно перевести указан в договоре, т.е. даже если пароль украдут то могут с ING только на ваш счет послать.

Но тут появился mbank.cz, где тоже все бесплатно но 3,5% и при этом этим можно пользоваться как полноценным счетом.

[Yevgen35 0]

Я тут недавно проходил мимо витрины одной из побочек то ли mBank-a то ли ING.

Все же мне кажется это была побочка mBank-a.

Не в этом суть.

 

Так вот на витрине мелким шрифтом было написано, что типа акционер у него Райф.

То есть по сути деньги сливаются в одни и те же руки.

 

Вот такая вот песня.

[maxicus 0]

Скорей про инг-а нежели мбанка. последний им всю малину портит своими фришными счетами.

Если я не ошибаюсь - именно с его появления многие банки почесались и начали выдавать псевдо-бесплатные-в-обслуживании счета.

Где же еще тот банк, который предложит нулевую комиссию за входящий некроновый платеж SHA...

 

еще у bawag-а счет на 3.5% подобный. только у него есть реальные побочки, тогда как про мбанк в этом плане чехи ругались. что-то там толи редко, толи плохо работает(-ло).

Просто лично у меня банки уже смогли попутать просто вот все, что было возможно. Работают вообще без головы товарищи. Если у него побочек нет, куда можно пойти и лично дать в лоб напрячь конкретного человека для исправления конкретной проблемы и сейчас (а не через год) - то это грустно.

[Mgr.Jodd 0]

Банкам верить нельзя , это исторически узаконенное мошенничество...и это

[Gleb 0]

Если кому интересно úrokové sazby различных банков можно посмотреть здесь.

[Galina 0]

тогда как про мбанк в этом плане чехи ругались. что-то там толи редко, толи плохо работает(-ло).

Чехи ругались на Мбанк, наверное потому, что не могли жить без SIPO и инкасо , сейчас там все это есть. И счет на кототорм 3,5% дают, положить и взять деньги можно в любой момент с него, и обычный счет. Правда там нет валютных счетов, нет возможности пока посылать за границу и получать деньги, но это можно решить пользуя всякие paypal и paypay и т.д. Средний ИБ, но зато žadné poplatky.

 

Иностранцам надо иметь rodné číslo.

[maxicus 0]

Боюсь показаться занудным, но опять натырили денюх русско-украинско-китайские поделкины.

Опять много.

http://arstechnica.com/news.ars/post/20080...11-hackers.html

[Rider 0]

А где конкретно про русских написано?

[Yevgen35 0]

Тоже самое но по-русски

 

Вообщем ничего нового.

Вероятно, как обычно, в банке бардак с безопастностью, что не новость.

 

Если удалось использовать анализатор трафика, то это как минимуи значит,

что как и ранее трафик между банкоматом и банкоматным сервером не шифруется.

То есть просто проблема безопастности замалчивается самими же банками.

Ну и кто им доктор?

[StYlus. 1]

То же самое, официально (официальнее некуда), англ. яз.

[Rider 0]

Выходит поделкины были в основном американо-украинскими, а также немного китайскими и совсем чуть-чуть белорусско-эстонскими.