Komentarze
do: Phishing z użyciem autentycznych certyfikatów SSL
Komentarze:
Pisałem już o tym jakiś rok temu.
W największym skrócie:
I) przygotowanie
1) zdobycie certyfikatu - najlepiej "legalnie"
2) postawienie dokładnej kopii strony banku z "dodatkowym" oprogramowaniem
3) zaatakowanie DNS (czy to na stacji roboczej lub nawet na serwerach DNS)
II) atak
Ofiara wpisuje adres strony banku. Otwiera jej się strona podstawiona (identyczna), prawidłowy adres, https i kłódeczka, jest certyfikat (w tej chwili JEDYNYM sposobem ujawnienia ataku jest sprawdzenie szczegółów certyfikatu strony).
Zazwyczaj ludzie nie sprawdzają tego. Zatem niby OK. Logowanie. Skrypt loguje się danymi ofiary na stronie banku. Wyświetla ofierze autentyczny stan konta. Ofiara wykonuje operację z potwierdzeniem (sms, karta kodów, token). Skrypt zleca przelew. Bank wysyła kod do klienta (dla opcji sms). Skrypt wie o co zapytać ofiarę (np. numer kodu / jakie znaki etc - bo to przecież skrypt jest zalogowany na prawdziwej stronie). Klient wpisuje kod (sms, karta kodów, token). Skrypt przepisuje kod. Przelew poszedł. Oczywiście klient dostaje potwierdzenie od skryptu, że zlecona przez niego operacja się udała. Klient wykonuje następną operację na podstawionej stronie. Skrypt ma następny kod.
Proste... Dziki zachód :-)26-08-2009, 09:35
odpowiedz
mówisz o zwykłym nabyciu certyfikatu przez przestępców, no chyba to jakoś sprawdzają i gdzie tu techniczna ułomność SSL.
to chyba nie to, trzeba znaleźć dokładne info24-08-2009, 11:07
odpowiedzChodzi o to, że zakładasz sobie "lewą stronę bankową". Następnie zakładasz sobie certyfikat SSL na serwerku. Później wykupujesz za kilka stówek "autentyczność certyfikatu" w jakiejś organizacji zajmującej się tym i w przeglądarce będziesz miał pokazane na zielono (w FireFox), że certyfikat jest ok. To tak na polski :-)
24-08-2009, 09:16
odpowiedz-
dokladnie. troche wstyd drodzy redaktorzy. artykul jest kompletnie niezrozumialy (przynajmniej dla mnie - zawodowego informatyka). wypadalo by wiecej szczegolow z perspektywy zwyklego uzytkownika
24-08-2009, 01:33
odpowiedz 
Problem taki jak zawsze, głąby wejdą na bzwbk.com, czy coś i będą się cieszyć ze "zabezpieczone" bo kłódeczka jest.
23-08-2009, 19:06
odpowiedz
- Gdzie wykorzystuje się paliki geodezyjne?
- Klamka na kod - jak działa i jakie są korzyści z jej instalacji w drzwiach?
- Jak zabezpieczyć komórkę lokatorską?
- Technologie, które podnoszą jakość doświadczeń przy zakupach online
- AI w diagnostyce gastroenterologicznej. Jak sztuczna inteligencja zmienia kolonoskopię i ile to znaczy dla pacjenta
- Jakie są najczęstsze choroby przenoszone drogą płciową i kiedy wykonać badania?
- Na czym polega odtrucie alkoholowe?
- Po czym poznać, że moje okulary na słońce są bezpieczne?
- Radca prawny czy adwokat - kogo wybrać do swojej sprawy?
- Umywalki konglomeratowe - dlaczego są tak często wybierane do nowoczesnych łazienek?
- Badania testosteronu u mężczyzn - kiedy je zrobić, ile kosztują i jak przygotować się do diagnostyki?
- Jak znaleźć idealne mieszkania na wynajem w abonamencie?
- Rola nawyków finansowych w zapewnieniu długoterminowej stabilności
- Dlaczego świadomość finansowa ma większe znaczenie niż wysokość dochodów
- Najczęstsze błędy podczas cięcia gresu i jak ich uniknąć
- Filtracja powietrza w laboratoriach i przemyśle chemicznym
- Gdzie szukać tanich lotów? Najpopularniejsze sposoby na tanie latanie
- Dlaczego warto wybrać sklep ekologiczny a nie zwykły?
- Wybór rozdzielacza hydraulicznego - o czym musisz pamiętać
- Kiedy warto zainwestować w kampanie wizerunkowe?
Pobieranie danych...
Stopka
- O nas | Redakcja
- Wywiady | Porady
- Prywatność & cookies
- Mapa serwisu | RSS
© 1998-2026 Dziennik Internautów Sp. z o.o.
