Ámokfutás Rafi módra

 2008.11.12. 09:38

A hónapokkal ezelőtti adathalász támadássorozat után rengeteg olyan honlap maradhatott a neten, amit csalók hoztak létre, hogy megszerezzék az ügyfelek banki adatait. Ha már egy bank úgy dönt, hogy az ő ügyfélkörét célzó klón-oldalakat megveszi, akkor talán nem ártana ezeket rendesen megcsinálni, mivel így nagyobb veszélyt jelentenek, mintha egyszerűen eltávolították volna őket a világhálóról. Arról nem is beszélve, hogy néhány ilyen elhibázott akció után ki mer majd belépni még a netbankjába? A Raiffeisen persze azóta bevezette az SMS-azonosítást is, a biztonság fokozása érdekében, ez azonban nem mentség arra, amit Olvasónk észrevétele szerint "oldalátalakítás" címszó alatt műveltek.

 
Kedves Szivatósblog!
 
A nyáron történt hamis banki weboldalak és adatlenyúlós mutatványok után a Raiffeisen bank úgy döntött, hogy felvásárolja a "hamisnak tűnű" domaineket. Állításuk szerint ha egy ilyen oldalra mész, akkor átirányítanak a bank hivatalos weboldalára. Na ez nem igaz!
 
Nézzétek a mellékelt képet! Ez történik, ha a www nélküli raiffeisen.hu-t látogatod meg és be akarsz lépni a DirektNetre.
 
KÉP:  
http://indafoto.hu/penzcentrum/image/2263343-fc6d19da
 
Szép mi?
Te be mernél lépni egy ilyen netbankba?
 
Ha megnézed a weboldalon szereplő linkeket, akkor láthatod, hogy némelyik link átvisz a www-s verzióra, némelyik nem. Elég trehány munka...
 
 
Üdv:
SAti
 
A történeteket, észrevételeket a blog@penzcentrum.hu címre várjuk.
Facebook Tumblr Tweet Pinterest Tetszik
0
Pénzcentrum | 46 komment

Címkék: raiffeisen netbank adathalászat

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://szivatos.blog.hu/api/trackback/id/tr59764746

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

csenty · http://www.filmkviz.hu 2008.11.12. 11:30:10

felvásárolja a "hamisnak tűnű" domaineket ???
Ezt nem tudom értelmezni...
Ha hamis vagy annak tűnik, akkor az kapásból illegális és meg kell szüntetni. Mi az hogy még felvásárolja a bank? Ilyen alapon bárki elkezd klónozni bankoldalakat és eladja nekik???
Válasz erre 

Jaffar 2008.11.12. 11:36:49

Mondjuk aki netbankol, annak illene tudnia néhány alapvetö szabályt a biztonságos netezésröl.

Gondolok pl elsösorban a https:/
protokollra. A dolgok nem ismerete nem jelenti azt, hogy a bank a hibás. Persze ez csak oda-vissza alapon müxik. A "használati utmutatok" általában mindenhol megtalálhatoak. Biztos vagyok benne, hogy az adott bankban is kapsz felvilágositást a biztonságos használatrol. Nem vagyok banki szakember, szal nem áll érdekemben a bankok védelme, de hadd irjak 1 pédát (lehet, hogy nem a legjobb).

Ha bérelsz 1 autót, de nincs jogsid (tehát gözöd nincs róla hogy kell vezetni) és összetöröd, az akkor a TE felelösséged.
Válasz erre 

Csillagszem 2008.11.12. 11:37:07

Az SMS azonosítás nem új találmány. 2002 óta használom az Erste-nél és a K&H nál is nagyon régóta van. Azt már kicsivel bonyolultabb "feltörni", mivel ahhoz kellene a tulaj sim kártyája is, vagy a Bank SMS küldő rendszerébe kellene bejutni. Tudomásom szerint ilyen jellegű visszaélés még nem történt (nem véletlen)
Nem értem mi ez a pánik ez körül, biztonságosabb a rendes (SMS-es azonosítással működő) netbank, mint a készpénz. (A bankkártyáról meg ne is beszéljünk, mert az röhej!!!). Ezenkívül gyorsabb, és rugalmasabb is. Utalhatok bármikor, bárhonnan (ahol van net és térerő) és nem kell az "eredményre" sem 1 napnál többet várni.
Szóval tessék rendes Netbankot csinálni és tessék nyugodtan használni...
Válasz erre 

Semper Augustus 2008.11.12. 11:42:19

:)) mekkora marhaság... ugyanazon a két IP-n van a www-s oldal is, csak a programozásnál nem mindenhol figyeltek rá, hogy ugyanazaz legyen a link... :)
Válasz erre 

BB · http://bbblogja.blogspot.com 2008.11.12. 11:45:42

Khm... Mi is a problémád ezzel az egésszel...?
A böngésződ arra panaszkodik, hogy az egyébként érvényes Netlock tanústvány a www.raiffeisen.hu oldalhoz tartozik (issued to: www.raiffeisen.hu) , te pedig a raiffeisen.hu oldalt nyitottad meg, tehát figyelj oda, mert a tanúsítvány nem ehhez az oldalhoz tartozik.(A bekeretezett hibaüzenet magyarul kb ennyi: "A weboldal által használt biztonsági tanúsítvány más weboldalhoz lett kiállítva")
Ettől még a tanúsítvány ok, az oldal oké, pusztán a raiffeisen.hu domain-hez tartozó default web site rá van irányítva a www-s oldalra.
Válasz erre 

feed 2008.11.12. 11:47:13

hehe meghogy felvasarolja a hamis oldalakat .... hat ekkora hulyesseget en mar reg hallottam .... mokas
Válasz erre 

Art Mooney 2008.11.12. 11:47:36

bb, pont az a problema, h a tanusitvanyok ezen viselkedese miatt egy igenyes szakember megoldja, h a https-es linkek olyan url-re vezessenek, ahol a hostname mindenkeppen a tanusitvanyban szereplo, akar www-vel nezi a user a publikusat, akar nem.
Válasz erre 

Sir Nyű 2008.11.12. 11:48:12

Nem beszelve arrol, hogy a raiffeisen.hu-t lehet regisztralni es abba tartozik minden, ami arra vegzodik, igy a www is. Egyszeruen nem tartozhat mashoz az xyz.hu meg a www.xyz.hu. Itt szerintem sima pancsersegrol van szo a Raiffeisen reszerol, ami mar egyaltalan nem lep meg.
Válasz erre 

Kúrcsány Ferenc 2008.11.12. 11:52:03

LOL ez a SAti egy szerencsétlen balfasz, ez a Raiffeisen saját szervere csak www nélkül, nem megvett "hamisnak tűnő" domain... Mondjuk a balfaszság már a Windows/Explorer használaából is jól látszik...
Válasz erre 

hulladék kezelő droid 2008.11.12. 11:56:22

aki hulladék explorert használ az meg is érdemli, hogy lenyúlják a pénzét...
Válasz erre 

Brindizi 2008.11.12. 12:01:01

Az sms nem véd a man in the middle támadás ellen...
A leggyengébb láncszem itt is az emberi butaság, az előlhagyott jelszó, mobil, kártya stb.
Válasz erre 

milon 2008.11.12. 12:01:22

Csak szólok, hogy a www ugyanúgy egy aldomain, mint bármi más, ami az adott akármi.hu előtt van.
Tehát a www.raiffeisen.hu és a sima raiffeisen.hu domainek egy regisztráció alá tartoznak, ergo nem kell kétszer megvenni.
Aztán, hogy az aldomainek hova mutatnak, az már beállítás kérdése.
Válasz erre 

hihohuy 2008.11.12. 12:03:57

Te hulladék droid, mi köze ehhez az Explorernek, te nagyon hülye.
Válasz erre 

Desert 2008.11.12. 12:06:18

Sir Nyű-nél a pont. Aki egy picit is képben van a témában, az tudja, hogy aldomainen nemigen lehet phising oldal, mivel az ugyanúgy a fődomain tulajdonosához tartozik. A "kamu" oldalak mindig a fődomainhez hasonló domainen vannak, a www a aldomainnek ehhez semmi köze.
Válasz erre 

Hack Ervin 2008.11.12. 12:13:52

2003-ban 2 óra alatt felnyomtam a fenti bank rendszerét.
Utána 4 órán keresztül kerestem az illetékest, hogy közöljem a kiskaput. Köszönték, és felajánlották hálájuk jeléül, hogy nem jelentenek fel.Ennyiben maradtunk.
Utána találtam másik kettő bejáratot, azt inkább el sem mondtam nekik, ha ennyire együttműködőek.
Válasz erre 

buherator · http://buhera.blog.hu 2008.11.12. 12:15:36

Hamisnak tűnő domain ebben az esetben: raifeisen.hu, raifffeisen.hu, raiffiesen.hu stb. Az ilyen domainek adathalászathoz kiválóak, ezért jó ötlet begyűjteni őket, mielőtt valaki más teszi rájuk a kezét. További infó:

en.wikipedia.org/wiki/Typosquatting

A bank egyébként tényleg béna volt, de ez önmagában nem befolyásolja a biztonságot, a kommunikáció titkosított marad. Csak arra kell figyelni, hogy ne ész nélkül hozzunk létre kivételeket, hanem nézzük meg a tanusítványt, és utána döntsünk okosan.
Válasz erre 

Drout 2008.11.12. 12:18:40

ha téged ez zavar, akkor írd be a kurva www-t a cím elejére. annyiban hibáztak a webmesterek, hogy nem irányít át automatikusan a szerver a www-s aldomainre, de amekkora húhót csaptatok a téma körül az szánalmas. Ettől még be lehet lépni egy netbankba.

a blogíró is, meg aki beküldte a képet a sötétség mintapéldája, kicsit jobban tájékozódhatnának a témában.
Válasz erre 

ravens01 2008.11.12. 12:21:03

én a banki átutalásaimat csak online végzem - de egy olyan (nem Mo.-i) banknál, amelyikben megbízom, és ahol több olyan biztonsági szint van beépítve, amit nem egykönnyű kijátszani (pl. átutalást csak az tudna aszközölni, aki kvázi mellettem ül és tudja, hová kell nyúlni...
Válasz erre 

Bummer 2008.11.12. 12:25:53

Az az igazi probléma, hogy ha csinálok egy honlapot, ami titkosított, de nem költök évente sok ezer Ft-ot az SSL tanúsítványra, akkor egyfolytában rinyálnak a böngészők, de ha szépen titkosítatlanul bekérem a bankkártyaadatokat, senki nem szól egy szót se.
Válasz erre 

Betti · http://blog.forrascentrum.hu 2008.11.12. 12:34:09

Nem igazán értem ezt az egészet. Kitől vette meg a domaineket? Online bűnözőktől? Nem inkább feljelenteni kellett volna őket?

Ezzel a felvásárlással nem követett el bűncslekményt a Bank?
Válasz erre 

zsoltikam · http://catapult.blog.hu 2008.11.12. 12:35:08

Raiffeisen az egyik legkorrektebb bank (mint otps, citibankos, raiffeisenes ugyfel, szoval akad tapasztalat). A bank neve tenyleg szar, legalabb 10 helyen felre lehet irni, alap hogy azokat a domaineket meg kell vasarolni.

Válasz erre 

asdfdsgfs 2008.11.12. 12:44:26

reiffeisen.hu (NEM RAIFF, REIFF) is ugyanigy mukodik, ugyhogy ott nem csak a www hibadzik. szerintem egy oriasi nagy warning oldalt kellett volna csinalni, hogy EZ NEM A MI OLDALUNK, FIGYELJ A CSALOKRA, egyebkent meg klikk ide a valos oldalhoz.
nagyon nem jo gyakorlat, hogy csendben javitjuk a felhasznalok ilyen hibait anelkul, hogy figyelmeztetnenk oket
Válasz erre 

Ronald 2008.11.12. 12:48:49


Brindizi kollega! Mi az a "man in the middle" támadás?

Az azért kevéssé sanszos, hogy a rabló urak kezébe egyszerre kerüljön a ki-fisherkedett userem, pass-om...de még a SIM-kártyám is.

Vagy mégis van ilyen? Mert ha egy fegyverrel a halántékomon kérik el mindezt - az már nem biztos, hogy az a Net-Banking biztonsági hiányossága lenne.
.
Válasz erre 

toff 2008.11.12. 12:50:18

de most tényleg... mi a fenének tesznek ilyen marhaságokat linknek az index címlapjára?
ja most látom, nincs előtte www, biztos kamuoldal ez is
Válasz erre 

andrejevna 2008.11.12. 12:54:18

Én ezt nem értem.
Először beírtam, hogy raiffaisen.hu, aztán, hogy raiffeisen.hu

És lőn. Mindkét alkalommal a bank oldala jött be (Mozillás vagyok)

Akkor most mi a gond?
Válasz erre 

gere 2008.11.12. 12:55:26

SAti!

Tudol te angolul? Akkor olvass, értelmezz, aztán írogass mindenfélét. BB-nek 100%-osan igaza van. Ez egy nagyon egyszerű dolog, persze nem annak aki laikus a témában.

De aki laikus, az miért csinál hangulatot?
Válasz erre 

xds 2008.11.12. 13:01:24

Úristen ekkora hülyeséget is régen olvastam. És még blogol is a marhaságával...
Válasz erre 

atleta.hu · http://www.atleta.hu 2008.11.12. 13:02:30

Konkretan melyik domaint vette meg? Vagy tenyleg arrol van szo, hogy nem esett le, hogy a www es a www nelkuli valtozat is a cege? Ettol meg trehanyak, ha a certificate a www-re szol, akkor a www nelkuli valtozatrol redirectelni kell. Vagyis, ha beirod, hogy raiffesisen.hu, akkor at kell dobnia www.raiffeisen.hu-ra. Mondjuk ez tobbeknek is megoldhatatlan problemanak tunik, mert ugyan kevesbe fontos, de a wiw is keptelen ezt megcsinalni evek ota.
Válasz erre 

buherator · http://buhera.blog.hu 2008.11.12. 13:02:47

@Bummer
Saját magad is aláírhatod a tanúsítványodat egyrészt (persze egy banknál ez nem játszik), másrész meg aki HTTP-n adja meg a banki adatait az egész egyszerűen hülye, erről nem te tehetsz.

Én egyébként alapjáraton paranoiás vagyok, de az SMS-es beléptetés még nekem is megfelel. Ez egyébként a két lépéses hitelesítés (tudsz valamit(jelszó) és birtokolsz valamit(SIM)) egy nagyszerű példája, amit jobb helyeken meg is követelnek
Válasz erre 

Gyagilev (törölt) · http://lattam.blog.hu 2008.11.12. 13:11:31

Baromi nagy informatikai szakértő zseniális és megalapozott cikket ír, ezzel ok nélkül pánikot kelt és ráadásul rosszhírét a banknak.

Az index meg kiteszi a főoldalra. Mindenkinek gratulálok.
Válasz erre 

dark future · http://www.andocsek.hu 2008.11.12. 13:16:09

A magyar https portáloknak (szerintem) legalább a fele zűrös (lejárt, önaláírt) SSL-tanúsítványt használ. Pl. sok közigazgatási, önkormányzati, közszolgálati oldal is. A bankokra ez nem jellemző, itt is csak arról van szó, hogy az adott aldomainre nem érvényes a másik aldomainre szóló tanúsítvány.

Az IE7 viszont jól beparáztatja a népeket. Pedig ha valaki csalni akarna, akkor nem így próbálna. Hanem pl. bejegyeztetné a raiffaisen.hu-t, utána valamelyik külföldi oldalon (ahol az ellenőrzés csak annyi, hogy a domainregisztrátor e-mail címére küldenek egy kódot) venne hozzá 20 dollárért egy tanúsítványt, aztán szabad a pálya. Ezt a trükköt lehet, hogy én is becumiznám.

Válasz erre 

Eleg_Volt_a_hazaarulasbol! · http://ciganybunozes.blog.hu 2008.11.12. 13:20:20

ekkora egy lama irast regen lattam.
Miert nem informalodsz mielott hulyesegeket terjesztesz?

Idiota....

Válasz erre 

pelydzs 2008.11.12. 13:24:48

Sziasztok!

Az eddigi szerintem legjobb megoldás: KÜLSŐ TOKEN.
Az Unicredit (volt HVB) használja évek óta.
Mindentől elkülönül, ha jól tudom akkor az 'egyszerű' véletlenszám generáláson alapulú kódolást használja, nincs kapcsolata más rendszerrel.
4 jegyű PIN kóddal működik, 3 próbálkozás után letilt maga a hardwer, utána csak banki azonosítás után kapsz újat. Mindig eltérő a kód, így ha be is hatolnak a gépedbe, akkor sem szerzik meg a hozzáférést, csak max. az adott időpontban érvényes kódot. Ha a kódot generáltál, azt max. 2 perc után elévül, és nem tudsz kapcsolatot létrehozni.

Az emberi hülyeség faktor persze itt is megvan, de talán itt a legkisebb.
Válasz erre 

insert_click · http://www.kutyapoint.hu/ 2008.11.12. 13:26:44

atléta: szokásos nyugodt stílusodban megírt kommentednek teljesen igazat adok.

Műbalhé, index támogatással.
Válasz erre 

SereG 2008.11.12. 13:32:21

Te SAti... sürgőssen képezd magad kicsit tovább, mielőtt ilyen masszív baromsággal jössz elő, értem ezalatt a TLD/SLD és a subdomainek közötti viszonyt. Másrészről:
'A nyáron történt hamis banki weboldalak és adatlenyúlós mutatványok után a Raiffeisen bank úgy döntött, hogy felvásárolja a "hamisnak tűnű" domaineket.' -> ez tűnik konkrétan spamnak, hamis infónak, és egy lehúzási rendszer alapkövének. Egy velős pénzügyi szervezet nem tesz ilyet, ez egy debil megoldás lenne, ellenben egy ilyen infó elhintése pontosan kedvez azoknak a csalóknak, akik el akarják hitetni veled, hogy jó oldalon jársz akkor is, ha a weboldal "hamisnak tűnik", kvázi ha negyvenhárom effel írod le (véletlen) a Raiffeisen
Válasz erre 

dOMiNiS · http://dekad.hu 2008.11.12. 13:33:06

SMS-rol ket dolog: tenyleg nem ved a man in the middle tipusu tamadasok ellen, a masik, hogy kulfoldon elek, es ha otthoni penzugyeimet akarom intezni, akkor ugye van 1sms belepesnel es utan minden utalasnal +1 ami azert latszik az otthoni mobilszamlamon, mert persze kulfoldi szamra nem kuldi az erste az sms-t.

ja es egy harmadik ez erste related, olyan vicces, hogy erste megvette netlocktol a tanusitvanyt, de en mint opera hasznalo kapom az errorokat, de ez mar vegkepp az en nyomorom.
Válasz erre 

SereG 2008.11.12. 13:33:48

+t, akkor se gyanakodj. (Sajnos lemaradt egy rész :)
Válasz erre 

dark future · http://www.andocsek.hu 2008.11.12. 13:41:42

Szóval módszerem a következő lenne, ha én lennék a rosszfiú (bár határozottan nem vagyok az):

Az előzőek szerint enyém lenne a raiffaisen.hu (vagy bármi hasonló), szabványos SSL tanúsítvánnyal. Ezután valahogy odacsalnám a gyanútlant a szokásos trükkökkel (lejárt a jelszava, fogadja el az új üzletszabályzatot stb.). Ha hozzáférek valami módon a gépéhez, akkor a host file átírásával egyszerűen vakvágányra is vihetem, akkor még átverő email sem kell, elég megvárni, hogy magától be akarjon lépni.

Eddig gondolom követhető. Na most jön a trükk:

1. Szépen beírja az én oldalamra az azonosító/jelszót.
2. A szerverem ezzel a két adattal bejelentkezik a valódi banki oldalra.
3. A lúzer megkapja az sms-ét, majd beírja az én oldalamra.
4. Én szépen továbbadom a banknak, majd belépés után lefejem a kuncsaft számláját.
5. Neki meg generálok valami netes hibát, hogy sorry, próbálkozz később.

Ugyanez működne tokennel is.


Szerintetek?

Válasz erre 

dark future · http://www.andocsek.hu 2008.11.12. 13:45:05

"SMS-rol ket dolog: tenyleg nem ved a man in the middle tipusu tamadasok ellen"

Ezt részleteztem ki az előző kommentben, a kevésbé járatosak számára. Pontosabban a PC in the middle változatát :-)

Mielőtt még valaki vakon megbízna az SMS aláírásban vagy a tokenben.

Válasz erre 

dOMiNiS · http://dekad.hu 2008.11.12. 13:46:38

jo hat mas kommentjet en nem olvasom, csak beugatom a sajat mondokamat... :D
Válasz erre 

PioDVD 2008.11.12. 13:54:11

Aki az sms-re esküszik:

1. Megcsinálom a klón oldalt.
2. Ha a madár megadta az adatokat, ezekkel az adatokkal belépek a valódi oldalon.
3. A rendszer kiküldi az sms-t.
4. A klón oldalon feldobom az sms bekérő ablakot.
5. A megadott sms-kódot begépelem a valódi oldalon.
6. Kurva gyorsan utalok máshová.

És kész is vagyunk.

Az sms küldés arra jó, hogy ha valaki megszerez 2 adatot a belépéshez, ne boldoguljon, de a bejegyzés témakörében (klón oldal) éppen semmit nem ér.
Válasz erre 

pelydzs 2008.11.12. 13:56:20

"Ezután valahogy odacsalnám a gyanútlant a szokásos trükkökkel (lejárt a jelszava, fogadja el az új üzletszabályzatot stb.)."

Ezt szerinted hány (épeszű!) emberrel tudnád eljátszani, akinek mondjuk van annyi pénze, hogy megéri megpróbálni átverni?

Nem mondom, hogy nem működne, és bár az emberek tényleg nagyon hülyék tudnak lenni, de ez egy kicsit bonyolult és a károsult közvetlen közreműködését igényli.
Válasz erre 

buherator · http://buhera.blog.hu 2008.11.12. 13:56:46

@dark future
- Az SMS küldének nem az a célja, hogy a MitM ellen védjen, hanem hogy még egy ellenőrzési pontot iktasson be.
- Az SMS küldés pénzbe kerül. Gyanút fogok, és kiküldetek veled hirtelen pár ezer darabot egy mozambiki számra, nem fogsz neki örülni...
- A bankban sem néznék jó szemmel, ha egy IPről hirtelen 100 helyre akarnak bejelentkezni.

Válasz erre 

dark future · http://www.andocsek.hu 2008.11.12. 16:15:40

RE: buherator · buhera.blog.hu 2008.11.12. 13:56:46

Persze, csak mint elvi lehetőséget írtam.
MitM ellen egyébként létezik megfelelő védelem? (Ha az emberi hülyeségfaktort elfogadjuk létező dolognak?)

Válasz erre 

W. Tamás 2008.11.14. 23:24:04

Megnézném azt a regisztrátort, aki egy "gyanús" .hu végződést beregisztrál.
A MiM ellen a kliensoldali certifikát védene (lehetőleg BALE eszközzel)
Válasz erre 

TexMex 2008.11.17. 14:30:08

PioDVD!
Hiába szerezted meg sz SMS-t is, jobb helyeken átutalás előtt kér még egy megerősítést (sms értesítő + kóddal...)

Egyszer épp külfóldön tartózkodtam mikor kaptam egy belépős sms-t a banktól. Néztem is ki a fejemből.
Később nagy nehezen nethez jutottam, belépés, sms, nézem a history-t semmi, kód megváltoztat. Itthon kód újramegváltoztat. Azóta nem volt hasonló kísérlet...
Mondjuk nálam max. annyit tudnak csinálni, hogy lekötik betétként a fszla-n lévő összeget...
Válasz erre 

Hitel? Betét? Munkahelyi gondok? Adó? Gyes? Nyugdíj? Mindent olvashatsz, ami napi pénzügy itt a Pénzcentrum.hu Szívatós Blogján.

Pénzcentrum.hu

Keresés

Hírbox

Portfolio Blogger

Linkblog

Archívum

Blogajánló

süti beállítások módosítása