Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Internet skrývá nové nebezpečí nejen pro vaše bankovní účty

Ještě jsme se ani pořádně nenaučili bojovat proti tzv. phishingu a již nás agentury zabývající se počítačovou bezpečností varují před novým nebezpečím. Nový typ útoky se nazývá pharming a funguje tak, že se přihlásíte na naprosto normální stránku banky, vydáte své přístupové kódy k vašim účtům a nemáte možnost si všimnout, že jde o podvodnou stránku.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

John.Major

McAfee SiteAdvisor

Myslim, ze krome "odbornych" clanku, by slavna iDNES mohla treba doporucit plugin do Firefoxu McAfee SiteAdvisor...

http://www.siteadvisor.com/?ref=safe&client_ver=FF_26.5_6258&locale=cs-CZ&premium=false&client_type=FF&aff_id=0

0/0
20.3.2008 23:26

jirasek

cestina

 autor by se měl nejprve vratit do 3. obecny, a naučit se česky. od "kdy útočníci přesměrovaly návštěvníky". no a pak se mužeme věnovat faktičnosti článku.

0/0
20.3.2008 19:48

pavel

format IP
Co takhle zadavat IP banky v ciselnem formatu a ne slovne.. napr. misto www.ebanka.cz zadat 212.67.66.162 a pak se proklikat az na login k uctu
0/0
15.1.2006 3:33

Pajas

Bezpečnost dat
Chcete vědět, jak jste na tom s informacemi o zabezpečení nejen svého PC a připojení k internetu? Doplňte si malý dotazník a dozvíte se, jak na tom jste a možná budete překvapeni.
resp. beta verze pro FireFox: http://www.snajdr.info/snajdr/ff/
(hlasovat je možné do této soboty - 23.4.2005, poté budou zveřejněny statistiky)
0/0
19.4.2005 20:07

michawel

U bank se to asi nepovede
Osobně si myslím, že spíš než u bank je tohle nebezpečné u služeb typu EBAY. Tam autentizace probíhá čistě formou username, password. A tam by se tahle věc mohla klidně podařit.  Případně u emailových kont atd. U bank to riziko řekl bych příliš velké nepředstavuje.  Je to blbý pocit, člověk je ve velkým shonu, vleze na stránku, kam chodí denně, nevšimne si neplatnýho certifikátu a nic zlého netuše se přihlásí. Je fakt, že podobný případ bude asi dost vzácný.
Ta IP byla super -:)
0/0
7.4.2005 8:35

Petr

Formát IP 1234.1234.1234.1234
Je vidět, že autor je odborník. Formát IP adresy 1234.1234.1234.1234 jsem ještě skutečně neviděl. Pane autore, kolikabitový je jeden "oktet"?
0/0
3.4.2005 19:13

padodo

Re: Formát IP 1234.1234.1234.1234

Tak napsal tu adresu v osmickovy soustatave no... A to ze zapomel na prefix, to se muze stat kazdymu;-D

0/0
21.3.2008 10:26

padodo

Re: Formát IP 1234.1234.1234.1234

sorry, tak ta ip by sla jen v 5-kove soustave

0/0
21.3.2008 10:29

Gofry

rhybareni
Mna by zaujimalo, komu napadlo pouzivat slovo rhybareni. Zjavne asi nepochopil, preco sa v anglictine hovori phishing. Som zvedavy, ako prelozia pharming - asi ako rholnictvo.
0/0
31.3.2005 23:25

Zlej

Re: rhybareni
třeba ten, kdo to slovo vymyslel, byl phitomec. 
0/0
4.4.2005 12:18

nixxonvaldez

Re: rhybareni
Co je spatne na "rhybareni"? Pripada mi to jako docela vtipny preklad; "rholnictvi" taky. Sice to neni uplne #4RcIC0R3 l337, ale jde to.
0/0
28.3.2006 6:33

amater

o co go???
občas mi některé články připadají jako psani pro psaní. nechci podceńovat nebezpečí na netu. na druhou stranu používám-li internetové bankovnictví musím si k tomu pořídit odpovíající zabezpečení, osobně jsem asi paranoik neboť mám autentizační kalkulátor a limit transakcí nastaven na 0, čili jakákoliv transakce podléhá "podpisu" pomocí kalkulátoru. takže i kdybych náhodou naletěl na podobnou udičku jaká je článku popsána, tak jsou veškeré údaje k ničemu. každý svého stůjce štěstí jest.
0/0
30.3.2005 19:57

Pavel

Re: o co go???
co je to ten autentizacni kalkulator 
0/0
1.6.2005 14:34

padodo

Re: o co go???

soucasne s vasim pristupem na felesne stranky muze dochazet k falesnemu pristupu na prave stranky a data, ktera vam budou zobrazena muzou vypadat verohodne. nevim jestli pomoci kalkulatoru poznate cislo uctu na ktery se penize posilaji. Jestli ne, tak vam nepomuze

0/0
21.3.2008 10:32

mako

bolí
bolí, bolí, moc moc moc... když už autor nemá jsno ani v základní problematice internetu (viz jeho slavný příklad IP), mohl by si alespoň udělat jasno v tom, jak bude psát přejatý anglický termín - jednou je to phishing, jednou phising, potom pro jistotu phisin... zbytek už byl řečen ostatními komentujícími v krátkosti - je to bída, děs a ještě špatně přeložené...
0/0
30.3.2005 12:26

Step

Re: bolí
hlavně že to není PISSING :-D
0/0
30.3.2005 16:15

Caradoc

Re: Re: bolí
(o: (o: (o: (o:
0/0
11.4.2005 20:10

udiveny

uplne blba holka :o)
No to je sila.jakmile si tento clanek precte clovek,nehovici IP v..asi..5 ???? :-)))) s ponekud paranoidnimi  sklony tak proda pocitac a bude chodit do banky vypisovat lejstra jako za Marie Terezie.Tehdy se vlastne chodilo s mesci u pasu :))))) Autor clanku by se mel nad sebou zamyslet a rozhodne prestat psat nejen do tohoto periodika.Zbytecne mate neodbornou verejnost a odbornou ... no skoda mluvit.
0/0
30.3.2005 10:32

hicx

Re: Re: Měl autor článku někdy účet v bance?
prave americke banky maji pristup delanej jen pomoci jmena klienta a hesla , ale zase pokud se prokaze, ze ty prachy nekdo ukrad, tak bez kecu vratej prachy - ne jako cesky banky :(
0/0
30.3.2005 2:44

cih

Re: Re: Re: Měl autor článku někdy účet v bance?
No jo, ale to by třeba KB neměla těch 8mld kačenek z poplatků
0/0
31.3.2005 0:38

Vaclav Stepan

Uff
Tedy docela dlouho mi trvalo, nez mi doslo, ze placate o DNS spoofingu :-) To je ale vazne drsna novinka... Kdybyste alespon uvedl prameny a ne JPP...
0/0
30.3.2005 0:53

honzajaka

nechápu
jaký může být důvod pro elektronické bankovnictví, pro těch pár šestáků se vždycky dá dojít a vždycky se najde nějaký blbec, co se chce někam nabourat
0/0
30.3.2005 0:31

wolverineCZ

Re: nechápu
A vždycky se najde nějaký hovado co tyhle faky vyplní :)
0/0
11.4.2005 9:59

lucius longen

ani novy ani zajimavy
casova ztrata je porad tak rok
0/0
29.3.2005 22:26

Geno

jj...
na falešné stránce by ještě mohl být obohacen formulář o upload souboru - uživatel nalistuje certifikát a ten potom odešle spolu se svým jménem a heslem. finální obrazovka by mohla nést informaci o chybně zadaném uživatelském jméně a nabídnout odkaz na originální stránku banky. BTW je zajímavé, kolik lidí si tady namlouvá, že je vše OK 
0/0
29.3.2005 20:48

crw

ugh
jsem rad ze jsem si technet odebral pred pul rokem z bookmarku, kdyz sem nekdy nahodou zavitam tak si vzdy reknu - udelal jsem dobre ;) diky panu Vseteckovi za uzasne odbornej clanek jestli to ma z vlastni hlavy tak snad jen ze neni zdrave psat o necem o cem vim absolutni kulove, jestli je to preklad tak snad jen ze by asi bylo na miste a) prelozit to dobre, b) overit si nektera zakladni fakta :)
0/0
29.3.2005 18:34

Jaj

haha
srandovni clanek a nejvic me dostal ten "bankovni urad" - to je tak kdyz se doslova preklada ukradeny clanek z anglictiny......
0/0
29.3.2005 17:21

dědek

Re: haha
0/0
29.3.2005 21:48

lama

Re: haha
Asi to bude tim, že na www.wired.com vyšel 14.3 članek na tohle tema. ;o))
0/0
31.3.2005 23:38

Troglodyt

Certifikat serveru
On take certifikat serveru, ktery pouzivaji vsechny banky bez rozdilu, urcite neni na tom serveru pro srandu kralikum, ze... Takovy certifikat byva podepsan certifikacni autoritou, takze uzivatel - pokud vubec tusi, ze tam cosi takoveho je - muze snadno overit, zda se nenachazi na podvrzenem serveru ! Nekteri lide jsou proste nesvepravni a veci jako elektronicke bankovnictvi jim nepatri do rukou...
0/0
29.3.2005 16:24

Step

Re: Certifikat serveru
Smutne je, ze vetsina tzv. BFU vubec netusi co to jsou certifikaty a kdyz jim vybehne nejake bezpecnostni varovani, tak to proste odkliknou.
Priklad ze zivota: moje pritelkyne ma ucet myslim u Postovni banky. Sla se podivat na ucet a v MSIE vybehlo bezpecnostni varovani, ze certifikat serveru neni v poradku, konkretne nesouhlasilo jmeno serveru v URL se jmenem v certifikatu. Co myslite, ze udelala?
... Kdyz jsem ji zarazil a zacal ji vysvetlovat co prave udelala, tak se malem urazila, jestli si pry myslim ze ONA nedovede pouzivat nejake pitome internetove bankovnictvi. Zjevne nedovede
0/0
30.3.2005 16:18

Troglodyt

hosts
Coze ??!?!?!?? Od kdy hosts obsahuje URL ???? Jezismarja, to jsou pisalci . Paneboze....
0/0
29.3.2005 16:09

venomacek

cože?
Každý web má totiž svou IP adresu ve formátu 1234.1234.1234.1234 hmm, paráda, fundovaný autor zřejmě?
0/0
29.3.2005 14:50

DarkLogic

Re: cože?
Ano, ano, autor je naprosty profesional. I vlastni IP format si vymysli. Vedci si lamou hlavu na IPv6 a na iDnesu to uz vyresili :)))
0/0
29.3.2005 15:08

Troglodyt

Re: cože?
Jo tak to je taky bomba. Ja nechapu, kde tyhle autory berou. Mozna v pomocne skole ?
0/0
29.3.2005 16:17

MarvinX

Re: Re: cože?
Asi ano ... Odpovídalo by tomu i "útočníci přesměrovaly" :o)))
0/0
31.3.2005 10:32

funTomas

NO FEAR
Jsem v klidu. Pokud mi někdo podvrhne falešnou URL (phishingem) přes mail, můj TB 1.02 mi ji zobrazí v plný parádě. No a kdybych byl takovej paicent a fakt, ale fakt na to kliknul, tak to autorovi bude k ničemu, mám klíč na čipovce, protože nejsem žádný béčko. Pokud bych byl napíchnutej na net přes nezabezpečenou DNS, anebo by se mi někdo vloupal do PC a překládal URL na něm, tak, stejně jako v předchozím případě, mu to bude k ničemu. Tak mám pocit, že, podobně jako u "Kalouskovi aféry", jde o uměle vykonstruovaný případ, majíc za úkol navyknout uživatele na paranoidní chování, které bude podporovat IE7. Jinak by totiž PR oddělení redmondský bestie ten aušus neprodalo.
0/0
29.3.2005 11:43

Joker

obrana
"Proti úpravě IP adresy na DNS serveru se příliš bránit nemůžete" No, a co když to udělám takhle: Jde o tu první stránku s loginem, že... a tu má většina lidí uloženou v záložkách; takže si do záložek uložím odkaz na tu login stránku přímo jako IP adresu - tj. místo např. http://servis24.cz/*neco* si tam dám http://194.50.240.71/*neco* (to *neco* se mi teď nechce hledat ;) ) no a pak se přihlásím kliknutím na ten odkaz v záložkách. Sice to není úplně jednoduché, ale myslím že je to fungující způsob obrany.
0/0
29.3.2005 10:26

Gofry

Re: obrana
Pre teba mozno ano, ale skus sa spytat beznych uzivatelov Internetu v tvojom okoli, co je to IP Adresa. Vcelku by ma zaujimalo percento ludi, ktori to vedeli.
0/0
31.3.2005 23:19

MarSik

Re: obrana
No tohle nejenze neni fungujici zpusob ochrany, ale navic jeste muze zpusobit vic problemu nez dobra. Napriklad: 1) neodejde Host: hlavicka v http dotazu 2) nebude souhlasit url v certifikatu 3) bezpecnostni proxy po ceste to nemusi akceptovat
0/0
2.4.2005 14:10

Postovni sporitelna

Postovni sporitelna
No ja myslim ,ze docela dobre to ma Postovni sporitelna.Pro kazdou operaci kterou chcete provest,tak Vam banka posle na mobil kod /pokazde jiny/,ktery pak zadate a banka provede transakci.Nebo to jde taky nejak zneuzit??
0/0
29.3.2005 10:04

Shadow

Re: Postovni sporitelna
Nejenom Poštovní spořitelna, e-banka mj. také, ale ani to není ideální ochrana. Není sice možné zadávat transakce bez vašeho vědomí, ale je možné modifikovat transakci "na cestě", takže vy sice vidíte, že posíláte 10Kč na učet 123, ale útočník tyto údaje podvrhne a místo 10Kč na účet 123 zadá transakci na přesun 2000Kč na účet 321, který vlastní on. Vám pošle banka na mobil certifikační kód, kterým celou operaci shválíte, aniž byste cokoliv tušili. Leda by vám ta banka poslala na mobil veškeré údaje o transakci, tj. výše platby a číslo účtu, na který mají být peníze odeslány. Pak, pokud byste to při každé transakci důsledně kontrolovali, mohli byste být relativně chráněni i před tímto typem útoku.
0/0
29.3.2005 11:42

mike

Re: Re: Postovni sporitelna
To je tak jednoduché nabourat se do šifrované komunikace mezi mnou a bankou?
0/0
29.3.2005 13:32

redwasp

Re: Re: Postovni sporitelna
ale ano, ebanka spolus s cert. kodem posila i udaje o transakci, hlavne o jeji vysi a mene... Kromtoho nabourat jiz existujici SSL spojeni je dost obtizne. Myslim ze clanek je ponekud paranoidni. Kdybyste videli jak probiha zabezpeceni bankovnich transakci u internetbankingu treba tady ve Finsku... V tom lepsim pripade dostanete na papire napsany seznam 100 certifikacnich kodu, ktery postupne pouzivate, v tom horsim to probiha pouze na zaklade login/heslo, ktery jsou navic vygenerovany a tudiz nezapamatovatelny, takze uzivatele si je lepi na paircich na monitor...
0/0
29.3.2005 13:49

Zenon

Re: Re: Postovni sporitelna
Plácáš nesmysly. Certifikační kód je u eBanky závislý i na částce kterou příkazem posíláš, čísle protiúčtu, variabilním a konstatním symbolu. Takže pokud zadáš jiný údaj než jaký jsi certifikoval, banka úhradu neprovede. Na druhou stranu ti s certifikačním kódem přijdou i údaje, které jsi certifikoval: částka, protiúčet ... Není problém si to kontrolovat
0/0
29.3.2005 14:05

Shadow

Re: Re: Re: Postovni sporitelna
Myslím, že jste mě nepochopil. Já jsem hovořil o útoku man in the middle. Mezi vámi a bankou prostě bude nějaký router, který bude pod kontrolou útočníka. Pokud se mu podaří podvrhnout certifikát, který je použit k otevření SSL spojení s bankou ve vašem prohlížeči, může celkem snadno podvrhnout transakci. Jde o to, že vy zadáte ve svém prohlížeči "certifikovat", ovšem ta data proudí přes útočníkův router. Takže on je zablokuje, zadá si jiné údaje a banku požádá o certifikaci. Na mobil vám pak přijde certifikační kód už _podvržené_ transakce. Tím, že poslušně opíšete to číslo do příslušného políčka a zadáte odeslat, sdělíte útočníkovi certifikační kód, který má použít, aby transakci autorizoval. Jedinou obranou je to poslední, co jste říkal, u každé certifikace si důsledně překontrolovat údaje. Ovšem kolik lidí si ty údaje ve spěchu důsledně překontroluje u každé transakce?
0/0
30.3.2005 10:22

JajajaPaja

Re: Re: Re: Re: Postovni sporitelna
třeba já, stejně to na mobilu musím posunout až na konec zprávy tak proč si to nepřečíst?
0/0
30.3.2005 16:20

minigolf

Re: Re: Re: Re: Postovni sporitelna
Myslím si, že rozlousknout 1024b SSL privátní klíč by trvalo několik desítek let
0/0
30.3.2005 18:18

krumlik

Re: Re: Re: Re: Postovni sporitelna
No - to holt chce ten kalkulator, kde si prislusny kod rovnou spocitate a ne si nechat neco posilat mobilem.
0/0
31.3.2005 11:15

Marek Staněk

Re: Re: Postovni sporitelna
Jasně, ono se to vůbec nekontroluje, nepáruje, a posílá se to na účet který přijde zákazníkovi SMSkou na mobil :-)
0/0
1.4.2005 10:17



Najdete na iDNES.cz