to wszystko pryszcz, załóżcie sobie konto w walucie, jeśli osiągacie dochody w walucie - jak chcecie zapłacić z konta w walucie która posiadacie, najpierw musicie sprzedać bankowi walutę, a potem ja ponownie kupić - to jest prawdziwe złodziejstwo. złodziejstwo narzucone przez ustawę.
u mnie sparkassa zablokowała dostęp online dopuki nie sformatuje dysku :-)
Poprawka: LuckySploit to fuzzer, nie malware :) Tak samo jak oprogramowanie MetaSploit, nmap, nessus itp. nie są malwarami.
Ciekawe.
Ludzie SPOKO!! !! Tak się składa, że polska bankowość elektroniczna jest jedną z lepszych i to nie tylko w Europie. Czyżby więc byłoby to dziennikarskie poszukiwanie sensacji? Chyba TAK. ;)
Niestety, tokeny nie są tu wystarczającym zabezpieczeniem. Karty kodów jednorazowych – zwykle tak, chociaż zależy to od implementacji. Problem nieskuteczności tokenów jest znany od kilku lat i ciągle się dziwię, że tak rzadko jest przez trojany wykorzystywany. Dziwię się, że w różnych rankingach zabezpieczeń kont internetowych, traktuje się tokeny jako świetne zabezpieczenie. Chociaż może się mylę? Nie śledziłem tematu ostatnio i może się coś poprawiło… W zarysie chodzi o to, że jednorazowe potwierdzenie tokenem, pozwala na wykonanie większej ilości transakcji w zadanym czasie. Fajne, prawda? Dodam jeszcze, że sposób opisany przez max-a został już z powodzeniem wykorzystany, jakieś dwa lata temu. (Niespecjalnie wierzę w potwierdzanie sms-em, może użytkownicy tego forum sprawdzą nr konta, ale większości się nie będzie chciało).
re zal: a lynx też?;)
@szefo co do tego ma wersja 64bit? Chcesz sie pochwalic ze masz win7x64 to poprostu napisz bo dla takiego robaczka Twoje win7 i w dodatku ie8 nic nie poradzi. Autorzy pisali ze korzysta z luk w przegladarkach internetowych... Daj mi przyklad jednej przegladarki ktora owych luk nie ma, a bede z niej korzystac a Tobie na konto przeleje odpowiednia kwote :) ...co za niechlujstwo, pisac takie bzdury bez odpowiedniej wiedzy... PS. Linuksiarze :D Links tez ma luki :D
Nauczcie się wszyscy czytać ze zrozumieniem! TOKENY, i KODY jednorazowe na przygotowanych wcześniej zdrapkach czy czymś tam innym nic wam nie dadzą. Nie sprawdzi się absolutnie żadne zabezpieczenie, dopóki numer konta bankowego, na który robicie przelew, będzie się wyświetlał tylko na ekranie monitora - trojan będzie go podmieniał, a przelew ostatecznie pójdzie na inne konto. Jedyne zabezpieczenie, to jednorazowy kod w smsie, w którym też zawarte jest adresat przelewu - trzeba wtędy po prostu sprawdzić, czy numer się zgadza z tym, który wpisywaliśmy. Tego numeru trojan nie podmieni.
Do ttt. Hasło sms jest potrzebne do każdego przelewu, czy to 1 grosz, czy 1 milion zł. Przynajmniej w moim banku tak jest. Dodatkowo każda próba logowania do konta jest rejestrowana.
ja po jakimkolwiek przelewie na/z konta mam info o zmianie salda smsem na tel, więc nie ma mowy o braku informacji użytkownika.
Nie wiem gdzie sa takie banki i tacy klienci,w moim banku można znać numer klienta,hasło a i tak aby dokonać przelewu trzeba posiadać specialną kartę numerową,bez tego nawet właściciel nic nie przetransferuje więc chyba ten trojan jest przereklamowany albo działa w innych systemach bankowych.
@Mariusz ale nie w przypadku kiedy dany kod jest przypisany tylko do danej operacji. Poza tym to nie w mojej kwestii jest zabezpieczenie transakcji, a w kwestii banku.
re zen: no właśnie, że do pokonania. Jeśli trojan rezyduje na Twoim systemie, to jedyne co mu potrzeba, to okazja. Podmieni Ci wysyłany numer konta w locie i nic nie zauważysz.
w eurobanku potrzebny jest nick (cyferki) + hasło (cyferki+litery)+odczyt z tokena-razem nie do pokonania
Kod jednorazowy nic nie da na takiego trojana! Przecież taki trojan działa w tle, kiedy klient zleca przelew. Może wtedy "podebrać" wpisywany kod jednorazowy, użyć go do wykonania własnego przelewu i podrobić odpowiedź z serwera prezentując odpowiedź, że zlecony przez klienta przelew udał się.
@~Gość * IP: 89.78.78.21 * 30-09-2009, 22:00 "czytając opis wywnoskowałem że te banki to kompletne dno....mi sie wyświetli prośba o kod...i co dalej?kod dostaję smsem albo unikalna karta......w dodatku panie ttt do KAŻDEJ kwoty" czy ja napisałem, że w Pana banku dopiero od pewnej kwoty wymaga potwierdzenia? nie wydaje mi się. Wyraźnie podałem, że w WBK tak mam, i owszem, do KAŻDEJ kwoty, ale powyżej 25 zł ;]
re skillz: scenariusz mógłby być taki: w systemie siedzi szkodnik i czeka na pojawienie się triggera startowego (czyli Twoje wejście na stronę banku i próbę przelania pieniędzy). Potem wyświetla Ci całą stronę banku i pozwala wykonać przelew, ale do serwera banku wysyła inny numer konta i inną kwotę, niż to, co wpisałeś. Ty potwierdzasz i Twoja czujność pozostaje uśpiona. To oczywiście nie zadziała, jeśli bank wysyła informację zwrotną kanałem pozainternetowym, tak jak np. mbank. Dostajesz esemesa z kwotą i końcówką numeru konta.
Cały czas czytając ten artykuł i wiele innych zastawiałem się co z tymi kodami SMS, lub tokenami przysyłanymi na kartce z banku itd. W sumie nie wiemy jak jest z bankowością na świecie ogólnie, tak? Czyli jaki procent banków i userów e-kont posiada konieczność wprowadzenia tokenu podczas logowania/robienia przelewów. Gdzieś tam wpadł mi do głowy taki pomysł, że może mają generatory tokenów, TokenGen''y xD U mnie trzeba wszystko potwierdzać, zatem nie wiem jak mogliby coś ukraść.
Macie rację, panowie. I dzięki temu banki, które są żywcem przeniesione z obcego rynku, bywają wręcz śmiesznie niezabezpieczone. Np. w citybanku kilka lat temu, jedyne co było potrzebne do wyczyszczenia konta to znajomość numeru klienta i hasła. Do tego certyfikat mieli często nieaktualny.
@gemini masz racje.. w stanach np. jest mozliwe wyplacenie calej kwoty z bankomatu, a nastepnie pojscie do oddzialu i zlikwidowanie konta wyplacajac ponownie ta sume (czyli masz 2 razy ta sama kwote).. wszystko przez to ze przeplyw informacji nie jest taki szybki jak w Polsce. Tyle, ze tam nie kazdy oszukuje jak sie da i jak tylko nadazy sie okazja. Wyobrazcie sobie u nas zamiast kasjera/kasjerki automat do przeciagania produktow i placenia... kazdy by conajmniej jeden produkt pominal.. o tak, dla zasady :D
Ta Sonda: "Czy boisz się e-bankowości?" to jakiś absurd. Sugeruje, że jeśli ktoś się nie boi e-bankowości to jest idiotą. PC World - co się z tobą dzieje? Kiedyś artykuły były normalne. Teraz się robią z tego szmatławce...
To ze polskie banki wymagaja potwierdzenia kodami jednorazowymi to nie znaczy ze wszystkie banki tak robia. U nas dzieki zlodziejstwu i cwaniactwu rodakow mamy jedne z bezpieczniejszych platform internetowych bankow. Wiele a bym nawet zaryzykowal stwierdzenie ze wiekszosc zagranicznych duzych bankow nie ma czegos takiego jak kody jednorazowo. Jak sie czlowiek zaloguje to moze robic wszystko co zechce. I tyle.
Jak niektórzy żucają się na każdą wiadomość o problemach pod Windows jak byłyby ona im niezbędne do życia. Całość wygląda żenująco dla zakompleksionych zwolenników linuksów - skupiają się na powielaniu starych zabobonów czy cytaów i myślą, że tym sposobem (ich wiara w magię?) zrobią ze współczesnego Windows coś gorszego a z linuksa coś costatecznego poza niszami?
ps.każda zmiana ustawień czy definiowania czegokolwiek wyaga potwierdzenia unikatowym kodem.....więc?może Polska to dziura ale takie zabezpieczenia u nas są..chyba że płatnośc kartą za pomoca VIN która jest w mig do wykrycia...albo lipa z bułgarami
fffattaman obawiam sie ze niestety, znow nikt nie pomyslal o mniejszosci linuksowej, i znow nie bedziemy mieli szansy na uruchomienie tego oprogramowania :(
czytając opis wywnoskowałem że te banki to kompletne dno....mi sie wyświetli prośba o kod...i co dalej?kod dostaję smsem albo unikalna karta......w dodatku panie ttt do KAŻDEJ kwoty
omg czy ludzie nie znaja firewalla ? przeciez to najprostsze i zarazem podstawowe zabezpieczenie przed trojanem. i nie mam tu na mysli FW z windows.
linux+opera no i to że mieszkam w banku super zabezpieczenie.
Podaj mi Swojego maila a wy¶lę Ci zaproszenie do zdobycia darmowego ipoda, macbooka air lub ps3
Ja bym chciał mieć takiego trojana co by za mnie kreślił jakiś Rosjanin na pewno to wymyśli.
"xxx: w moim banku kod jest wymagany przy każdej operacji nawet jak chcę przelać 1 grosz. nie wiem skąd ttt wytrzasnął te 20 zł" W WBK na przelewy do 25zł nie musze miec potwierdzenia, moze to tylko taka opcja, z mozliwoscia konfiguracji, ale tak jest
Tylko ok. 7% pecetów za pośrednictwem których odwiedzono strony zarażające tym LuckySpoilt i URLzone zostało zainfekowanych. Pytanie dlaczego tak mało? Czyżby użytkownicy jednak masowo dbali o aktualizacje, łatanie dziur i używanie pakietów bezpieczeństwa? A może to ów URLzone ma specyficzne wymagania co do systemów operacyjnych i przeglądarek, pod którymi ma działać?
Dlatego wnerwia mnie obsługa Polbanku. W mbanku wszytko muszę potwierdzać kodem jednorazowym.
w moim banku kod jest wymagany przy każdej operacji nawet jak chcę przelać 1 grosz. nie wiem skąd ttt wytrzasnął te 20 zł
Jak z wersją na nieprofesjonalne systemy uniksowe?
No proszę. Znów się okazuje, że tworzenie oprogramowania dla "systemów optymalnych za całokształt" jest opłacalne, jak to wielokrotnie udowadniał Tadziu :)
token czy kod jest najczesciej wymagany od pewnej kwoty przelewu np. 20zł w wzwyż, wiec trojan bedzie kradł po złotówce i nie potrzebuje do tego potwierdzenia
jednak trzeba zauwazyc ze np. przelewy stale nie wymagaja podania kodu czy to z karty czy wyslanego na sms. Ale takie przelewy raczej nie ''pojda'' w niepowolane rece.
"Strony rozpowszechniające malware zostały" A co to znowu jest "malware"? Piszcie po polsku a angielskim sie posilkujcie jak nie ma odpowiednika w jezyku polskim. "malware" = "malicious software" = "szkodliwe oprogramowanie". A moze po prostu piszmy tylko po angielsku... Zaraz zaraz, wtedy w sumie lepiej juz by bylo uzywac [[pcworld.com]] i nie ma potrzeby trzymania tego polpolskiego odpowiednika.
tyle, że jest dodatkowe zabezpieczenie takie jak token czy karta kodów dla przelewów jednorazowych. Tego sobie żaden robak nie ukradnie.
Tak na pewno ten trojan ma szansę z win 7 x64 i ie 8 + transfer na hasło z sms...
