@chrisx: problem w tym że dla banku wszystko się zgadzało. To użytkownik powinien był zweryfikować po dostaniu SMSa czy to poprawny numer i ten który wpisywał
Najlepsze że mBank stracił przez tą akcie mnóstwo kasy, wielokrotnie więcej niż te 40000, teraz wszyscy co mniej się znają pewnie mówią że trzeba zmienić konto na inny bezpieczniejszy bank.
@bacteria: Wczoraj było znalezisko typu "okradli nas, mBank nie przyznaje się do winy!". Dzisiaj masz artykuł o tym, że mBank nie jest niczemu winien i należy używać mózgu. W artykule na niebezpieczniku masz też odnośniki do wykopowych komentarzy z wczorajszego znaleziska.
Lepiej nie robić przelewów bankowych z komputera z którego korzysta się na co dzień (oczywiście chodzi Windows). Jak już nie ma możliwości wykonania przelewu z innego komputera to można uruchomić komputer np. z płyty instalacyjnej jakiejś wersji Linuxa (np. Ubuntu), kliknąć wypróbuj system, a następnie wykonać operacje na koncie bankowym z tak uruchomionego systemu.
@KsiegaRekordowSzutki: To panie wytłumacz jak programista mbanku może się zabezpieczyć przed takim atakiem, słuchamy Panie nie wiem jak działa komputer i przeglądarka internetowa.
Zatwierdzenie wymagałoby odczytania kodu QR (który generowałby się z danych do przelewu, jakiś hash itp.) z komputera przez aplikacje mobilną. Jeżeli kod QR ze komputera się zgadza to można zatwierdzić, jeżeli nie zgadza to był atak man in the middle.
@lobo: Jeśli kod QR miałby się generował po stronie klienta, to bardzo łatwo można by go złamać. Po stronie banku - nie ma sensu, bo wygeneruje się poprawny, tylko dla innego
czy nie da sie naprawde zabezpieczyc strony? Np dynamicznie zmienianymi wartosciami i nazwami formularzy? Przeciez taki wirus dziala wg pewnego schematu... Lub dodac dodatkowe pole do wpisania z losowa liczba cyfr pochodzacych z numeru wpisanego konta... Albo inne rzeczy... Lub banki zaczna w koncu weryfikowac adresy i nazwy na ktore konta sa zarejestrowane i na ktore sie wysyla. Tutaj jest winda banku, jak najbardziej - system ma dziury i to wiadomo nie
@mrsomeone: Jeśli zaczną weryfikować adresy i nazwy, to w przypadku tego konkretnie ataku - wirus będzie podmieniał oprócz numeru konta również adres i nazwę. Losową liczbę cyfr pochodzących z numeru konta również podmieni na losową liczbę cyfr z konta podmienionego.
@mrsomeone: "Nie chcesz" czy "nie wiesz"? :P Nie ma możliwości zabezpieczenia się przed wirusem, który ma pełną kontrolę nad komputerem. Wszystko, co proponujesz to "security by obscurity" i jest jedynie utrudnieniem. Kwestią czasu pozostaje napisanie kolejnego wirusa, który takie zabezpieczenie złamie. Dlatego potrzebny jest drugi czynnik potwierdzający przelew i jest nim np. SMS, na którym masz najważniejsze dane przelewu, m.in. numer konta. Gwoli ścisłości każdy kolejny kanał komunikacji też nie uniemożliwia
Niby klient popełnił błąd, ale niesmak pozostał ( ͡°͜ʖ͡°) @niebezpiecznik-pl Nie mierzcie wszystkich własną miarą. To, że siedzicie non stop w sprawach bezpieczeństwa komputerowego nie oznacza, że inni też to robią, że mają w końcu na to czas i śledzą/nadążają za dynamicznie zmieniającą się technologią. Jeszcze nie tak dawno było wszędzie w mediach bębnione, że tylko połączenie szyfrowane (z ikoną zielonej kłódeczki) jest bezpieczne i należy
@KsiegaRekordowSzutki: W banku nie dzieje się nic nieprawidłowego. Na zainfekowanym komputerze wirus włamuje się do przeglądarki i podmienia numer konta.
Komentarze (394)
najlepsze
zakop.
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
@lobo: Jeśli kod QR miałby się generował po stronie klienta, to bardzo łatwo można by go złamać. Po stronie banku - nie ma sensu, bo wygeneruje się poprawny, tylko dla innego
@niebezpiecznik-pl
Nie mierzcie wszystkich własną miarą. To, że siedzicie non stop w sprawach bezpieczeństwa komputerowego nie oznacza, że inni też to robią, że mają w końcu na to czas i śledzą/nadążają za dynamicznie zmieniającą się technologią.
Jeszcze nie tak dawno było wszędzie w mediach bębnione, że tylko połączenie szyfrowane (z ikoną zielonej kłódeczki) jest bezpieczne i należy