Podmiana numerów kont w banku - nie daj się okraść

Post autor: **Citizen Kane** » 2015-12-16, 15:09

Być może ktoś o tym słyszał, a jak nie, to tym bardziej obejrzeć materiał i mieć się na baczności.

<iframe width="640" height="360" src="https://www.youtube.com/embed/nUX1PZsmW-g" frameborder="0" allowfullscreen></iframe>

Post autor: **Legion** » 2015-12-16, 16:43

Masakra, o tym jeszcze nie słyszałem.
Przy kopiowaniu to tak ale przy wpisywaniu z ręki

Post autor: **Pirat** » 2015-12-16, 17:51

TUTAJ autor opisuje sprawę.

drgranatt · Post autor: **drgranatt** » 2015-12-16, 18:14

Ja pierdziele, już niedługo to nie będzie można spokojnie

aby nie być śledzonym. Sposoby są tak różne, że czasami przez nieuwagę można sobie zafajdać całego kompa. Dziś np. dostałem maila niby od mojej córki (adres zgadzał się) aby wejść na stronkę. Skąd kuźwa oni to wszystko biorą

bwie. · Post autor: **bwie.** » 2015-12-16, 18:35

Pirat pisze:TUTAJ autor opisuje sprawę.

Nie jesteś zalogowany lub nie masz dostępu do tej strony. Nie chce mi się tam logować.
Tu info z certu.
http://www.cert.pl/news/8999

spamik112 · Post autor: **spamik112** » 2015-12-16, 19:05

http://niebezpiecznik.pl/post/to-nie-wi ... 0-000-pln/

Jak ktoś się nie zna to tam jest wszystko wyjaśnione.

nautes · Post autor: **nautes** » 2015-12-16, 20:10

A, bo dają wodotryski, jakieś niewiadomo co.

Zamiast postawić na prostotę i funkcjonalność wymyślają pseudo-udogodnienia.
Mbank kiedyś był prosty, elegacki. Teraz Javascriptu i grafik nawalone po uszy.
Na szczęście powoli odchodzi się od flasha...

Podejrzewam, że tzw. ajax, czyli m.in. javascript odpowiada za wyświetlanie strony. Łatwo treść po stronie klienta podmienić i voila.

Statyczna strona tworzy się po stronie serwera i podrobienie jej jest znacznie trudniejsze. A przynajmniej można łatwiej zaimplementować ochronę przed fałszerstwami.

A szyfrowanie i certyfikaty nie mogą dotyczyć renderowania po stronie klienta, bo niby jak i po co. Szyfrujemy tylko transmisję.

Wot nowoczesność...

KS2507 · Post autor: **KS2507** » 2015-12-16, 20:17

Ja się nie znam, ale temat [ film ] przydatny nigdy nie zwracałem uwagi na nr konta w SMS z kodem.

Post autor: **Citizen Kane** » 2015-12-16, 20:20

Właśnie miałem napisać, że bank tu nie zawinił. Problem jest niestety całkowicie po stronie klienta. Choć nieświadomego, ale klienta.

drgranatt · Post autor: **drgranatt** » 2015-12-16, 20:21

Podejrzewam, że jeżeli ma się robala to może uaktywniać się tylko przy przelewach większych kwot bo przy 100, 200 czy 300 zł. nie będą se d... zawracać.

Post autor: **Citizen Kane** » 2015-12-16, 20:40

Możliwe, ale w komentarzach są też wpisy o 40 złotych (w innych przypadkach).

nautes · Post autor: **nautes** » 2015-12-17, 00:41

Jeśli podmienia numer konta, to może i kwotę.
Często robaki/wirusy działają na pałę. A nuż się uda.

Wina jest najprawdopodobniej po stronie klienta, który to nie sprawdził numeru rachunku w sms-ie.
Wydaje się człowiekowi, że bank jest tu profesjonalistą i jego nadrzędnym celem jest bezpieczeństwo gromadzonych środków, a nie nie powinien gonić na złamanie karku za niby-pięknymi efektami i pseudo-wygodą. A tu klops.

Bank jednak powinen udowodnić, że płatnik umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia obowiązku wynikającego z umowy.

Być może możnaby podnieść zarzut niedopełnienia obowiązku przeciwdziałania wykorzystania działalności banku do celów przestępczych. Ale jest to bardzo wątpliwe. Powołać się też możnaby na przepis, że bank powinien działać w sposób odpowiadający jego celowi społeczno-gospodarczemu oraz zasadom współżycia gospodarczego.

Ale to raczej w przypadku klienta nieistytucjonalnego.
I wszystko to wymaga cierpliwości. I wygrana niewiadoma.

Cholera mnie bierze, jak widzę takie niedbalstwo. Wystarczyło przesłać stronę z potwierdzeniem operacji nie przez wodotryski, tylko statycznie i nie byłoby problemu.
Informatyk często wybałusza oczy na innych i vice versa. Brak uzgodnienia szczegółów algorytmu. Albo kiepscy testerzy. Nie jestem od kilku lat w temacie www, ale tak mi to wygląda.

W prawie każdym banku wdrażają nowy design. Co za głupia moda...

spamik112 · Post autor: **spamik112** » 2015-12-17, 01:04

Niezależnie od technologii, czy stara czy nowa, czy nowy system czy stary, podmiany numeru rachunku jest bardzo łatwa.

To, że numer rachunku nie jest podmieniony w potwierdzeniu pdf to tylko lenistwo projektanta

Post autor: **Citizen Kane** » 2015-12-17, 01:13

Tiaaaa, bardzo łatwa. Przecież dziewięć na dziesięć zapytanych osób zrobi to zawiązanymi oczami.

Nie wiem czy zdecydowanym poprawieniem bezpieczeństwa nie byłoby powiązanie numeru z np. nazwiskiem właściciela. Chociaż jak wstawiają numer, tak i mogą wstawić swoje dane

nautes · Post autor: **nautes** » 2015-12-17, 08:02

Podmiana treści ssl nie jest łatwa. Certyfikat jest po to, żeby uwierzytelnić treść strony. Podmiana treści nieszyfrowanej jest dużo łatwiejsza.

A podmiana pdf-u, to już dużo więcej roboty. Pdf-y generują się po stronie serwera. Zrobienie tego po stronie klienta byloby duuużo bardziej skomplikowane...

Kilka lat temu banki miały obowiązek sprawdzania zgodności danych z numerem rachunku. Teraz nie mają. Możemy nawet wpisać w polu odbiorcy święty Mikołaj, i i tak przelew dojdzie.
Szkoda, że się od tego odeszło.

Podmiana numerów kont w banku - nie daj się okraść

Podmiana numerów kont w banku - nie daj się okraść

Kto jest online