ΣΩΚΡΑΤΗΣ Τ.
Μέλος Σωματείου
Όπως και όλα τα e-shop's και ότι άλλο έχει το e μπροστά.
Όσο για το link,οι γενικοί όροι συναλλαγών δεν είναι τιμοκατάλογος.
Όσο για το link,οι γενικοί όροι συναλλαγών δεν είναι τιμοκατάλογος.
ΠΡΟΣΟΧΗ! Κίνδυνος υποκλοπής στοιχείων σας στην Εθνική Τράπεζα
- Thread starter Παναγιώτης Μελάς
- Start date
Συνηθισμένο φαινόμενο αυτό με τα email. Δουλεύω σε call center τράπεζας, στην εξυπηρέτηση πιστωτικών καρτών και το πρόβλημα με τα phishing mail το ζω κάθε μέρα. Είναι εύκολο να παρασυρθείς και να δώσεις τα στοιχεία σου, συμβαίνει κυρίως σε άτομα κάποιας ηλικίας με μικρή εξοικείωση με το Internet, αλλά και σε νεότερους ανθρώπους που θα περίμενε κανείς να γνωρίζουν περισσότερα. Δεν είναι ντροπή, μπορεί να συμβεί στον καθένα σε μιά στιγμή απροσεξίας ή βιασύνης.
Αυτό για την ενημέρωση του πελάτη που λέει ο Finix έχει μεν κάποιο δίκιο, από την άλλη δεν είναι δυνατό η τράπεζα να ενημερώσει όλους τους πελάτες για όλους τους κινδύνους. Γιατί πολύ απλά οι πελάτες αγνοούν συστηματικά τα ενημερωτικά email και φυλλάδια, τα περνάνε για διαφήμιση (όχι άδικα, έτσι που τους βομβαρδίζουμε).
Επίσης γιατί οι απατεώνες σκέφτονται συνεχώς νέα κόλπα και καμιά υπηρεσία καμιάς τράπεζας δεν τους προλαβαίνει. Μόνο κάποιες στοιχειώδεις γενικές αρχές μπορείς να τους μεταδώσεις. Και οι περισσότεροι από τους ενημερωμένους έχουν ενημερωθεί μόνοι τους, από το internet, την τηλεόραση ή τις εφημερίδες.
Αυτό για την ενημέρωση του πελάτη που λέει ο Finix έχει μεν κάποιο δίκιο, από την άλλη δεν είναι δυνατό η τράπεζα να ενημερώσει όλους τους πελάτες για όλους τους κινδύνους. Γιατί πολύ απλά οι πελάτες αγνοούν συστηματικά τα ενημερωτικά email και φυλλάδια, τα περνάνε για διαφήμιση (όχι άδικα, έτσι που τους βομβαρδίζουμε).
Επίσης γιατί οι απατεώνες σκέφτονται συνεχώς νέα κόλπα και καμιά υπηρεσία καμιάς τράπεζας δεν τους προλαβαίνει. Μόνο κάποιες στοιχειώδεις γενικές αρχές μπορείς να τους μεταδώσεις. Και οι περισσότεροι από τους ενημερωμένους έχουν ενημερωθεί μόνοι τους, από το internet, την τηλεόραση ή τις εφημερίδες.
FINIX
AVClub Fanatic
- 22 November 2010
- 11,889
Μιας και μιλας εκ των εσω σιγουρα τα ξερεις καλυτερα,προσωπικα πιστευω η καλυτερη πληροφορηση ειναι με το στομα οταν πας να κανεις εγγραφη γι αυτο τον σκοπο και με ενημερωτικο φυλλαδιο παλι οταν κανεις εγγραφη με εξωφυλλο κατι σαν οδηγιες χρησης,και τα update παλι τηλεφωνικα,οταν μοιραζαν δανεια εκαναν αυτες τις τηλεφωνικες δαπανες ,ας τις κανουν και τωρα που εξοικονομουν χρημα μεσω του νετ.
Η κακια στιγμη η στιγμη της βιασυνης παντα θα υπαρχει,η γυναικα μου ενημερωθηκε απο υπαλληλο γι το συγκεκριμενο "ψαρεμα" εδω και καιρο, μικροκαταθετρια ειναι,φανταζομαι οτι δεν εχουν ενημερωθει ολοι ετσι,γι αυτο γκρινιαζω..
Η κακια στιγμη η στιγμη της βιασυνης παντα θα υπαρχει,η γυναικα μου ενημερωθηκε απο υπαλληλο γι το συγκεκριμενο "ψαρεμα" εδω και καιρο, μικροκαταθετρια ειναι,φανταζομαι οτι δεν εχουν ενημερωθει ολοι ετσι,γι αυτο γκρινιαζω..
K.ROMPOTIS
AVClub Fanatic
Καλώς ή κακώς με όλα αυτά που ακούμε προσωπικά έχω τέτοια καχυποψία που όταν μου στέλνουν τέτοια mail τα σβήνω αμέσως κι αν έχω κάποιο πρόβλημα κι ήταν πράγματι απ την τράπεζα θα επικοινωνήσω και θα λυθεί οπότε συνιστώ και το αυτό. Βέβαια αυτό με το https και το λουκετάκι το ήξερα αλλά απ την άλλη δεν μπορούν άμα θέλουν κι αυτό να το αντιγράψουν; Οπως και να χει η πληροφόρηση είναι ελλιπής σ αυτή τη χώρα και μόνο το πάθημα γίνεται μάθημα όταν είναι πλέον αργά.
Μου έχει τύχει να είμαι σε μηχανογράφηση μεγάλης Ελληνικής τράπεζας, όταν δεχόταν "επίθεση" DoS από μερικές χιλιάδες μολυσμένα PCια. Δεν μπορώ να περιγράψω το τι ακριβώς συνέβαινε και σε τι ένταση δούλευαν οι άνθρωποι.
Η ασφάλεια στο internet είναι ενα συνεχές κυνηγητό.
Κι αυτά τα παραπλανητικά emails είναι τελείως αθώα σε σχέση με προχωρημένες τεχνικές "man in the middle" .
Πάντως η μεγάλη πλειοψηφία κλοπής κωδικών γίνεται με κλασσικές τεχνικές. Τηλέφωνο δήθεν απο τη τράπεζα, το call center της, email κοκ.
Αυτό που μου κανει εντύπωση είναι οτι ακόμα και άνθρωποι που ξέρουν (γνωστός μου που είχε συμμετέχει στο σχεδιασμό της ασφάλειας συστήματος ebanking άνοιξε τέτοιο email και έκανε κλικ στο link) την πατάνε σαν πρωτάρηδες.
Η ασφάλεια στο internet είναι ενα συνεχές κυνηγητό.
Κι αυτά τα παραπλανητικά emails είναι τελείως αθώα σε σχέση με προχωρημένες τεχνικές "man in the middle" .
Πάντως η μεγάλη πλειοψηφία κλοπής κωδικών γίνεται με κλασσικές τεχνικές. Τηλέφωνο δήθεν απο τη τράπεζα, το call center της, email κοκ.
Αυτό που μου κανει εντύπωση είναι οτι ακόμα και άνθρωποι που ξέρουν (γνωστός μου που είχε συμμετέχει στο σχεδιασμό της ασφάλειας συστήματος ebanking άνοιξε τέτοιο email και έκανε κλικ στο link) την πατάνε σαν πρωτάρηδες.
Re: Απάντηση: ΠΡΟΣΟΧΗ! Κίνδυνος υποκλοπής στοιχείων σας στην Εθνική Τράπεζα
Κανένα σύστημα δεν μπορεί να εξασφαλίσει 100% τίποτα εφ' όσον υπάρχει ο παράγοντας "άνθρωπος".
Τη θωράκιση του Fort Knox να βάλεις στο σπίτι σου, αν ανοίξεις ο ίδιος την πόρτα στον κλέφτη δεν θα σε βοηθήσει ιδιαίτερα. :smile:
Τα e-shops λοιπόν είναι τόσο ασφαλή όσο ο χρήστης έχει την "κοινή λογική" ως προσόν.
Γιατί έχει καταλήξει να είναι προσόν και όχι τόσο "κοινή"...
"Δίνω τα στοιχεία μου σε περιβάλλον της τράπεζας;"
"Είναι ασφαλής η σελίδα που με έστειλε το e-shop για να βάλω τα στοιχεία μου;"
ή απλά "μία σελίδα με ρωτάει πως θα τραβήξει λεφτά από τη κάρτα/λογαριασμό μου;"
Κάποια "κόλπα" απαιτούν τη συμμετοχή του θύματος, όπως π.χ. το συγκεκριμένο.
Άλλο CSRF (cross site request forgery) μπορεί να γίνει επειδή ξέρει ο θύτης ότι το θύμα έχει λεφτά στην τάδε τράπεζα.
Δημιουργεί ένα link όπου μεταφέρεται ένα x ποσό από τον λογαριασμό α (του θύματος) στο λογαριασμό β (του θύτη).
Βάζει το θύμα να κάνει login στη πραγματική σελίδα της τράπεζας, και μετά να πατήσει στο link. :smile:
"Κάποιο πρόβλημα έχει δημιουργηθεί στο λογαριασμό σας. Παρακαλώ πηγαίνετε στο site της Εθνικής Τράπεζας και πατήστε το link 'Τικι τικι' για να ελέγξετε τα στοιχεία σας".
Το 'Τίκι τίκι' είναι κάτι που δεν το βρίσκεις στη σελίδα σαν λεκτικό, οπότε πατάς το link από το email για να μην το ψάχνεις και πολύ και... μπουμ!
Τέτοια πράγματα συμβαίνουν κάθε μέρα.
Και οι τράπεζες, τα χρηματιστήρια και τα (σοβαρά) e-shop πληρώνουν έμμεσα ή άμεσα αρκετά μεγάλα ποσά για να τα αποφεύγουν.
Είτε σαν ποσοστό επί του ποσού που θα μεταφερθεί είτε πληρώνοντας εταιρίες για τη θωράκισή τους.
Κανένα σύστημα δεν μπορεί να εξασφαλίσει 100% τίποτα εφ' όσον υπάρχει ο παράγοντας "άνθρωπος".
Τη θωράκιση του Fort Knox να βάλεις στο σπίτι σου, αν ανοίξεις ο ίδιος την πόρτα στον κλέφτη δεν θα σε βοηθήσει ιδιαίτερα. :smile:
Τα e-shops λοιπόν είναι τόσο ασφαλή όσο ο χρήστης έχει την "κοινή λογική" ως προσόν.
Γιατί έχει καταλήξει να είναι προσόν και όχι τόσο "κοινή"...
"Δίνω τα στοιχεία μου σε περιβάλλον της τράπεζας;"
"Είναι ασφαλής η σελίδα που με έστειλε το e-shop για να βάλω τα στοιχεία μου;"
ή απλά "μία σελίδα με ρωτάει πως θα τραβήξει λεφτά από τη κάρτα/λογαριασμό μου;"
Κάποια "κόλπα" απαιτούν τη συμμετοχή του θύματος, όπως π.χ. το συγκεκριμένο.
Άλλο CSRF (cross site request forgery) μπορεί να γίνει επειδή ξέρει ο θύτης ότι το θύμα έχει λεφτά στην τάδε τράπεζα.
Δημιουργεί ένα link όπου μεταφέρεται ένα x ποσό από τον λογαριασμό α (του θύματος) στο λογαριασμό β (του θύτη).
Βάζει το θύμα να κάνει login στη πραγματική σελίδα της τράπεζας, και μετά να πατήσει στο link. :smile:
"Κάποιο πρόβλημα έχει δημιουργηθεί στο λογαριασμό σας. Παρακαλώ πηγαίνετε στο site της Εθνικής Τράπεζας και πατήστε το link 'Τικι τικι' για να ελέγξετε τα στοιχεία σας".
Το 'Τίκι τίκι' είναι κάτι που δεν το βρίσκεις στη σελίδα σαν λεκτικό, οπότε πατάς το link από το email για να μην το ψάχνεις και πολύ και... μπουμ!
Τέτοια πράγματα συμβαίνουν κάθε μέρα.
Και οι τράπεζες, τα χρηματιστήρια και τα (σοβαρά) e-shop πληρώνουν έμμεσα ή άμεσα αρκετά μεγάλα ποσά για να τα αποφεύγουν.
Είτε σαν ποσοστό επί του ποσού που θα μεταφερθεί είτε πληρώνοντας εταιρίες για τη θωράκισή τους.
supersonic
Μέλος Σωματείου
- 17 June 2006
- 49,365
Εγω θεωρώ μεγαλη πατάτα οτι το συστημα δέχεται πολλες φορες κωδικούς. Μου εχει τύχει να μπερδεψω κωδικους κσι να τους βάλω και 5 φορές χωρίς να δυσανασχετεί το σύστημα. Έπρεπε να σε μπλοκάρει όπως μπλοκάρει τις κάρτες ανάληψης.
Κανονικά το σύστημα πρέπει να δέχεται μέχρι τρεις δοκιμές και μετά να σε μπλοκάρει.
Το να μην μπλοκάρει το κάνει ευαίσθητο σε brute force password cracking.
Η Eurobank το μπλοκάρει στα τρία λάθη. Ξέρετε πόσες φορές έχω κλειδωθεί έξω; Και δεν παίζει "ξαναδοκιμάζω σε μια ώρα" γιατί το counter δεν σβήνει τόσο γρήγορα.
Με την Eurobank έχω κι άλλο ένα πρόβλημα. Όταν αναβαθμίζω την Java παύει να δουλεύει το πιστοποιητικό ασφαλείας. Στο τέλος τα παράτησα, και δεν κάνω μεταφορές σε λογαριασμούς τρίτων με το ebanking. Ευτυχώς το χρειάζομαι σπάνια.
Με την Eurobank έχω κι άλλο ένα πρόβλημα. Όταν αναβαθμίζω την Java παύει να δουλεύει το πιστοποιητικό ασφαλείας. Στο τέλος τα παράτησα, και δεν κάνω μεταφορές σε λογαριασμούς τρίτων με το ebanking. Ευτυχώς το χρειάζομαι σπάνια.
ΣΩΚΡΑΤΗΣ Τ.
Μέλος Σωματείου
Απάντηση: Re: ΠΡΟΣΟΧΗ! Κίνδυνος υποκλοπής στοιχείων σας στην Εθνική Τράπεζα
Το Certificate ειναι οτι πιο σπαστικό υπάρχει.
Κάνε το με πιστοποίηση του κινητού σου.Όταν θες να κανεις μεταφορα σε τριτο,σου στελνουν με sms εναν κωδικο που διαρκει 2 λεπτά.
Το Certificate ειναι οτι πιο σπαστικό υπάρχει.
dimitris__
AVClub Addicted Member
Όχι, αυτό με το λουκετάκι δεν αντιγράφεται και είναι η βάση των ασφαλών συναλλαγών στο internet. Αν ήταν πιθανό να αντιγραφεί, θα είχαν καταργηθεί οι συναλλαγές μέσω internet.
Επίσης αυτό που είπε ένας άλλος φίλος, ότι νιώθει ασφαλής όταν γράφει τη διεύθυνση με το χέρι, είναι λάθος, μπορεί εύκολα να κανείς να την πατήσει έτσι. Η μόνη εγγύηση είναι το "λουκετάκι".
BIOS
AVClub Fanatic
- 19 June 2006
- 15,781
Απάντηση: Re: ΠΡΟΣΟΧΗ! Κίνδυνος υποκλοπής στοιχείων σας στην Εθνική Τράπεζα
Και όσο γίνεται, copy/paste των στοιχείων, αντί να πληκτρολογούνται.
Και όσο γίνεται, copy/paste των στοιχείων, αντί να πληκτρολογούνται.
Re: Απάντηση: Re: ΠΡΟΣΟΧΗ! Κίνδυνος υποκλοπής στοιχείων σας στην Εθνική Τράπεζα
Eνημερωνω οτι η Εθνικη απο σημερα δεν σε αφηνει να μπεις στο internet banking αν δεν ενημερωθεις για τους κανονες ασφαλειας συναλλαγων λογω αυξησης κρουσματων εξαπατησης,αρα ειναι γενικο το φαινομενο και δεν ετυχε μονο στον φιλο που ξεκινησε το θεμα.
Eνημερωνω οτι η Εθνικη απο σημερα δεν σε αφηνει να μπεις στο internet banking αν δεν ενημερωθεις για τους κανονες ασφαλειας συναλλαγων λογω αυξησης κρουσματων εξαπατησης,αρα ειναι γενικο το φαινομενο και δεν ετυχε μονο στον φιλο που ξεκινησε το θεμα.
gPaska
AVClub Addicted Member
- 23 November 2010
- 1,699
Οποιαδηποτε επιθεση που δεν αφορά pure hacking (όπως αυτή) βασιζεται στην αφέλεια του χρήστη, όσο υπάρχουν αφελείς χρήστες πάντα θα υπάρχουν τέτοια φαινόμενα.
Και μην παρεξηγηθεί κανείς με το αφελής, γιατί ενώ δεν είσαi υποχρεωμένος να ξέρεις ότι πολύ εύκολα μπορείς να καταλάβεις ένα valid link απο ένα fake αφέλεια είναι το να νομίζεις ότι οποιοσδήποτε οργανισμός (πόσο μάλλον μια τράπεζα) θα σου ζήτησει μεσω email απρόσωπη πιστοποίηση των στοιχείων σου ζητώντας μάλιστα και το authenticator key.
Ξερετε ποσοι θα εβαζαν τα στοιχεία τους στο παρακατω?
Και μην παρεξηγηθεί κανείς με το αφελής, γιατί ενώ δεν είσαi υποχρεωμένος να ξέρεις ότι πολύ εύκολα μπορείς να καταλάβεις ένα valid link απο ένα fake αφέλεια είναι το να νομίζεις ότι οποιοσδήποτε οργανισμός (πόσο μάλλον μια τράπεζα) θα σου ζήτησει μεσω email απρόσωπη πιστοποίηση των στοιχείων σου ζητώντας μάλιστα και το authenticator key.
Ξερετε ποσοι θα εβαζαν τα στοιχεία τους στο παρακατω?
είπα ότι γράφω την διεύθυνση με το χέρι ή την έχω bookmark, και ΕΠΙΣΗΣ τσεκάρω ότι δεν πάω κάπου αλλού, απλά σαν ένα επιπλέον μέτρο
όσον αφορά το "λουκετάκι", δεν είμαστε πάντα ασφαλείς, εκτός από τις τελευταίες εκδόσεις του Firefox και του Chrome, που υποστηρίζουν Extended Validation certificates,
όποιος έχει όρεξη για μελέτη :
https://www.grc.com/fingerprints.htm
https://www.grc.com/ssl/ev.htm
Re: Απάντηση: ΠΡΟΣΟΧΗ! Κίνδυνος υποκλοπής στοιχείων σας στην Εθνική Τράπεζα
Δεν αρκεί το κλειδωμένο λουκέτο. Πρέπει να τσεκάρεις και το πιστοποιητικό ασφαλείας. Και δεν είναι ότι μπορεί να έχει ιό, μπορεί απλά να έχεις βάλει antivirus που για την "προστασία σου" αναλύει "ασφαλείς" συνδέσεις, ή να αγόρασες οθόνη LG, ή να αγόρασες lenovo. Στις μέρες μας, δεν ξέρεις από που μπορεί να σου έρθει.
Δεν αρκεί το κλειδωμένο λουκέτο. Πρέπει να τσεκάρεις και το πιστοποιητικό ασφαλείας. Και δεν είναι ότι μπορεί να έχει ιό, μπορεί απλά να έχεις βάλει antivirus που για την "προστασία σου" αναλύει "ασφαλείς" συνδέσεις, ή να αγόρασες οθόνη LG, ή να αγόρασες lenovo. Στις μέρες μας, δεν ξέρεις από που μπορεί να σου έρθει.
supersonic
Μέλος Σωματείου
- 17 June 2006
- 49,365
νέο φρούτο σήμερα για υποψήφια θύματα από alpha....
Αγαπητέ πελάτη,
Παρακαλουμε να συγχρονισετε προσθετος κωδικος ασφαλειας σας.
Καντε κλικ εδω [...] για να προχωρησετε
από αποστολέα που "μοιάζει" με alpha...
Alpha e-Banking <[email protected]>
Αγαπητέ πελάτη,
Παρακαλουμε να συγχρονισετε προσθετος κωδικος ασφαλειας σας.
Καντε κλικ εδω [...] για να προχωρησετε
από αποστολέα που "μοιάζει" με alpha...
Alpha e-Banking <[email protected]>
send
AVClub Fanatic
Ευτυχώς η δύσκολη γλώσσα μας αποτελεί εν προκειμένω ένα ...πρόσθετος μέτρο προστασίας μας από παρόμοιους αετονύχηδες.
Λάκης
AVClub Fanatic
Ότι και να γράφει μέσα, σας έχει στείλει ποτέ η (κάθε) τράπεζα mail σχετικό με τον λογαριασμό; Μάλλον όχι. Εμένα η πειραιώς και η άλφα ποτέ.