Ech, pit... jeśli chcesz wierzyć że token (w dodatku nie zabezpieczony pinem) Cię uchroni od ataku to współczuję :) Kiepsko z Twoją świadomością co do potencjalnych zagrożeń...

To nie złodziej ma mniej niż minutę na zrobienie operacji, tylko PROGRAM zainstalowany na komputerze ofiary. Sugerujesz że za wolno będzie przesyłał dane?
A co do "nieprawdopodobne" - wyobraź sobie, że programy służące do ataku na klientów konkretnych banków już od dawna istnieją (choćby ten który na stronę mbanku nakłada layer i żąda podania 5 haseł jednorazowych)

Nie jedynym, w tokenie otrzymanym SMSem w mBanku masz też numer konta i kwotę przelewu który wykonujesz...

kwesoly: przecież napisałem że potwierdzenie przelewów SMSem zabezpiecza przed tą metodą (pod warunkiem że ktoś czyta całą treść SMSa a nie tylko kod ;)

Ja jestem zadowolony z usług ING. Czasami wyśle smsa, nie, bardzo usprawnia to robienie przelewów ponieważ chyba bym się zajechał jak bym miał przy każdym przelewie odbierać smsa.
Chciał bym też zauważyć że widząc panele konta nie jednego banku myślę że ing ma jeden z najbardziej funkcjonalnych.

Uważam, że rozpoznaje swoje imię i nazwisko, stan konta, listę odbiorców, krty itd. itp, którzy widnoczni są na moim koncie. Wytłumacz mi jak phisher może mi podłożyć TAKĄ stonę, a nie ogólną stronę logowania.

@pit
To co opisał Pengos da się zrobić w każdym banku, który nie przesyła jakiejś informacji zwrotnej jaki przelew potwierdzamy (W praktyce chyba tylko hasła+informacje co to za przelew wysyłane przez sieć GSM są dobrym zabezpieczeniem - dostępne wlaściweie dla wszystkich i trudne do przerobienia.) Ale sama metoda wymaga sporo zabawy - podmienianie tylko odpowiednich informacji, przepuszczanie reszty.


W przypadku Lucasbanku problem jest znacznie prostszy:
1. Wchodzisz na stronę logowania(podmienioną przez jakiegoś trojana u Cibie na kompie), wprowadzasz login+hasło+token.
2. dostajesz info o błędnych danych "pewnie się pomylilem" myśliszm, a w tym czasie pewien serwer w Chinach loguje się tymi danymi do banku
3. wprowadzasz login+hasło+kolejny token, dostajesz znowu info o błędnych danych, tym razem dla odmiany już od prawdziwej strony banku, w tym czasie serwer w Chinach za pomocą podanych przed chwilą danych potwierdza przelew.

Nie trzeba obsługiwać wszystkich możliwych kombinacji, wyświetlać poprawnych informacji o stanie konta, etc. Jedynie 2 razy podać fałszywą stronę logowania.

[Swoją drogą ten kto wymyślil taką politykę bezpieczeństwa jest skrajnym kretynem...]

"Użytkowanie e-konta stało się możliwe pod Linuksem, a nawet pod Windowsem z Firefoksem, dopiero kilka miesięcy temu."
Nie zgadzam się z tym, mam konto od kilku lat i zawsze mogłem dokonywać przelewów z poziomu Linuksa

Mam też konto w Lukasie. I moim zdaniem, jeżeli ktoś będzie chciał włamać się na konto przy pomocy lewej strony, to nic mu to nie da. Sprawa jest prosta. Podajesz pierwsze hasło. Ktoś je przechwytuje, tylko że na przechwycenie ma 1 minutę na to żeby się zalogować. Czyli musi nonstop siedzieć przy kompie. Nie może zapisać sobie tego hasła na później. Czyli szanse na to że akurat pisher odkryje że mam konto w Lukasie, oraz to że akurat teraz loguje się na to konto i on będzie przy kompie są raczej znikome.
Dlatego najlepiej logować się na ostatnich 10 sekundach ważności tokena (na wyświetlaczu jest zaznaczony upływ czasu) Wtedy nawet przechwycenie tokena nic nie da.

@szymarek
Nikt nie będzie tego robił "ręcznie" tylko automatycznie. A automat potrzebuje kilkadziesiąt milisekund.

Ja tez mam konto w ING od dlugiego czasu i jestem bardzo zadowolony. Moze smsy nie przychodza zbyt czesto, ale przy wiekszyc transakcjach zawsze. Poza tym, tak jak napisano w newsie. Bankowi tez zalezy na bezpieczenstwie i w razie reklamacji interweniuje. Poza tym caly system on-line jest bardzo czytelny i wygodny.

Do ing moznabylo sie logować z alternatywnego systemu juz 4 lata temu. A ing coraz mniej mi sie podoba. Jest drogi a nie daje nic takiego szczegolnego w zamian. ING zaczyna szybowac w dol... niestety...

1. Wchodzisz na stronę logowania(podmienioną przez jakiegoś trojana u Cibie na kompie), wprowadzasz login+hasło+token.

OK. Zrobiłem to...

2. dostajesz info o błędnych danych "pewnie się pomylilem" myśliszm, a w tym czasie pewien serwer w Chinach loguje się tymi danymi do banku

OK... mylę się wpisuje jeszcze taz ten sam klucz

3. wprowadzasz login+hasło+kolejny token,
no i tutaj zaczyna sie problem... jak myslisz ile razy w ciagu minuty jestes sie w stanie zalogowac? I po ilu próbach przestajesz?? Ja po 2 zastanowiłbym się co mam z kompem nie tak..
ale brniemy

dostajesz znowu info o błędnych danych, tym razem dla odmiany już od prawdziwej strony banku, w tym czasie serwer w Chinach za pomocą podanych przed chwilą danych potwierdza przelew.

PO zalogowaniu moim tokenem z pkt. 2 token stał się bezużyteczny!!! Aby wykonać przelew musisz odczekać do pojawienia się nowego ciągu!!!

System wydaje się być na tyle bezpieczny, że nie słyszałem o próbie phisingowej w LB...

Jakość tego typu zabezpieczeń zależy głównie od tego ile dali wzorców ciągu uczącego i jaką wartość błędu tolerują. O ile tego pierwszego można wrzucić całą bazę jaką sie ma, o tyle juz nie tak łatwo określić optymalny błąd. Jak dadzą za małą wartość błędu to system "wyryje na pamięć" określone kombinacje i dla wszystkich innych (mało podobnych) będzie wysyłał sms (duże koszty których bank chce uniknąć). Jak znów dadzą za dużą wartość błędu, to system nie będzie wysyłał sms'a co może skutkować ulotnieniem się środków z konta. Generalnie chodzi o to co im się bardziej opłaca: czy zwrot kasiory okradzionym klientom plus odpływy klientów wystraszonych taką sytuacją, czy oszczędność na sms'ach. Miejmy nadzieję, że odpowiednio długo testowali ten system i aktualizują bazę i wzorce uczące co jakiś czas. W tej chwili może to być dosyć drogie przedsięwzięcie, ale za pare lat jak system będzie dobrze "wyuczony", taki "patent" może przynieść ogromne oszczędności bankom.

Nie słyszałeś bo:
1. Lukasowi zależy na tym abyś nie słyszał (w senie płaci za ciszę)
2. Jest za mało klientów LB żeby stanowili łakomy kąsek dla pisherów

I jeszcze jedna sprawa- Lukas po wykonaniu przelewu wysyła smsa (usługa płatna) Tylko czy taki przelew można reklamować?
Pozatym wchodząc na stronę Lukasa zawsze sprawdzam czy widnieje pole z żółtą kłódką w pasku adresu. W sumie to niby też można podrobić, ale wszystko to powoduje że przeprowadzenie takiego ataku mija się z celem.

@pit
Pogorszyło im się na tyle, że przy błędzie możesz próbować ponownego logowania? Oidp to jak testowałem, wpisanie błednego tokena sprawiało, że mozna się bylo zalogować dopiero następnym...