Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Tanel
HV Guru
liitunud: 01.10.2001
|
04.10.2020 18:54:33
Rumeenia pätid said Smart-ID turvanõrkust kasutades ligipääsu 400-le pangakontole |
|
|
Keskkriminaalpolitsei (KKP) poolt sel nädalal avalikustatud info tõi päevavalgele, et kaugetel Rumeenia kurjategijatel oli õnnestunud Eesti e-riigi nõrkusi ära kasutades pääseda ligi kümneid kordi rohkemate eestlaste pangakontodele, kui Riigi Infosüsteemi Amet (RIA) seni oli tihanud tunnistada.
„Ligi õnnestus pääseda 400 inimese pangakontodele," ütles reedel Fortele keskkriminaalpolitsei küberkuritegude büroo juht Oskar Gross. SK ID Solutions muutis juhtumi järel Smart-ID turvaprotokolli, millega takistati edaspidi võltskontode loomist.
Loe edasi: https://forte.delfi.ee/news/varia/rumeenia-patid-kandsid-eesti-e-riigi-norkused-kandikul-ette-video-vahistamisest?id=91250657
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
pwn13
HV veteran
liitunud: 04.10.2011
|
04.10.2020 19:04:33
|
|
|
Reaalselt keegi jäi siis rahast ilma ka v?
_________________ pWn |
|
Kommentaarid: 72 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
67 |
|
tagasi üles |
|
|
jägaja
HV Guru
liitunud: 06.08.2004
|
04.10.2020 19:34:44
|
|
|
pwn13 kirjutas: |
Reaalselt keegi jäi siis rahast ilma ka v? |
Mis sa arvad, mileks kurikaelad üldse sellega tegelesid?
_________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine." |
|
Kommentaarid: 133 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
120 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
04.10.2020 19:40:24
|
|
|
tsitaat: |
Eestis jõudsid õngitsuskirjad hinnanguliselt kuni 100 000 inimeseni, kellest vähemalt 400 kontole õnnestus kurjategijatel ligi pääseda. Kokku üritati kannatanute kontodelt ära kanda ligi 150 000 eurot, mis erinevatel põhjustel ei õnnestunud. Näiteks said inimesed ise aru, et tegemist on kelmusega ega kinnitanud tehingut PIN2 parooliga. Mitmel juhul blokeerisid kahtlase makse pangad. Politseile teadaolevalt õnnestus kurjategijatel raha varastada ligi 40 inimese kontolt ning kahjusumma moodustas üle 100 000 euro. |
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
pwn13
HV veteran
liitunud: 04.10.2011
|
04.10.2020 20:25:17
|
|
|
Eitea, kes seda kahju siis lõpuks kannab?
_________________ pWn |
|
Kommentaarid: 72 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
67 |
|
tagasi üles |
|
|
Outenter
HV kasutaja
liitunud: 06.11.2001
|
05.10.2020 07:35:12
|
|
|
Seda nimetatakse koolirahaks.
|
|
Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
8 |
|
tagasi üles |
|
|
Mnator
HV Guru
liitunud: 18.10.2007
|
05.10.2020 08:19:43
|
|
|
Outenter kirjutas: |
Seda nimetatakse koolirahaks. |
...mida maksavad põhisüüdlaste (kes seda ebaturvalist toodet kõigile iga mõeldava kanali kaudu peale on surunud) poolt kotti tõmmatud kliendid
väide, et nüüd on turvaliseks tehtud, vajab ilmselt järgmise kurikaelte grupi poolt põhjalikku testimist...
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
05.10.2020 14:22:24
|
|
|
Kuna mul smart id eelmine nädal läbi sai ja pidin uuendama, siis niipalju on nad muutnud, et peale smart id loomist tuleb kohe sms selle kohta ja seal on ka number kuhu helistada, kui sa ise ei loonud endale smart id-d.
Aga noh, smart id ja mobiili id puhul see nõrkus on ja jääb, et mingi libaleht võib meelitada kasutajat pin koodi sisestama. Ega selle vastu ei aitagi muu kui tihend ehk peab jälgima kuhu klikid. Alternatiiv oleks ainult mobiili id ja smart id üldse kinni panna ja jääks ainult id kaart. Mina smart id-d ja mobili id-d koti pähe tõmbamiseks ei nimetaks. Lihtsalt mugavusel on oma hind ehk selle võrra pead ise tähelepanelikum olema
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Admiral
HV kasutaja
liitunud: 16.06.2009
|
05.10.2020 16:11:15
|
|
|
Mnator kirjutas: |
Outenter kirjutas: |
Seda nimetatakse koolirahaks. |
...mida maksavad põhisüüdlaste (kes seda ebaturvalist toodet kõigile iga mõeldava kanali kaudu peale on surunud) poolt kotti tõmmatud kliendid
väide, et nüüd on turvaliseks tehtud, vajab ilmselt järgmise kurikaelte grupi poolt põhjalikku testimist... |
Öelda, et siinkohal oli peamine süüdlane ebaturvaline toode on jäme liialdus. Kui saad aru selle skeemi olemusest siis nõrk ots on siiski jätkuvalt kasutaja. Seda tüüpi rünnakutest, kus kasutaja oma paroolid või kinnituskoodid sisuliselt ise ründajale kandikul ette annab on äärmiselt keeruline kaitsta. Seda tüüpi rünnak oleks väga edukalt toiminud ka vanakooli paroolikaardi puhul.
_________________ Our comforting conviction that the world makes sense rests on a secure foundation:
our almost unlimited ability to ignore our ignorance. |
|
Kommentaarid: 26 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
26 |
|
tagasi üles |
|
|
Mnator
HV Guru
liitunud: 18.10.2007
|
05.10.2020 16:29:16
|
|
|
Admiral kirjutas: |
Mnator kirjutas: |
Outenter kirjutas: |
Seda nimetatakse koolirahaks. |
...mida maksavad põhisüüdlaste (kes seda ebaturvalist toodet kõigile iga mõeldava kanali kaudu peale on surunud) poolt kotti tõmmatud kliendid
väide, et nüüd on turvaliseks tehtud, vajab ilmselt järgmise kurikaelte grupi poolt põhjalikku testimist... |
Öelda, et siinkohal oli peamine süüdlane ebaturvaline toode on jäme liialdus. Kui saad aru selle skeemi olemusest siis nõrk ots on siiski jätkuvalt kasutaja. Seda tüüpi rünnakutest, kus kasutaja oma paroolid või kinnituskoodid sisuliselt ise ründajale kandikul ette annab on äärmiselt keeruline kaitsta. Seda tüüpi rünnak oleks väga edukalt toiminud ka vanakooli paroolikaardi puhul. |
su tekstis olevast lausejupist on võimalik loogiliselt edasi mõeldes järeldada, et ka peale lisameetmeid, mida rakendati, pole turvatase kardinaalselt muutunud
ja vanasti paroolikaarte ei uhatud nii hoolega kaela määrida nagu mId ja sId reklaam käib + veel olid ühekordased paroolilehed olemas (mis võiksid vabalt praegugi oma turvatasemelt muude võimaluste kõrval edasi toimida)
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
05.10.2020 16:38:33
|
|
|
Ma paywall taha ei näe, ehk viitsib keegi paari lausega kirjeldada, mida seal turvaprotokollis siis täpselt muudeti?
Btw, ühekordsed paroolilehed aitavad keyloggeri vastu, aga see nõrkus on neil ikka, et neid on võimalik kopeerida. Smart id ja mobiili id puhul peab vähemalt mingi füüsiline seade olemas olema.
PS. mina näiteks ei mäleta, et keegi mulle väga agressiivselt smart id-d või mobiili id-d kaela oleks määrinud. Võtsin need täiesti oma algatusel ja puhtalt mugavuse pärast kuna see idioodikaart võib ju turvaline olla, aga selle kasutamine on algusest peale paras PITA olnud.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Mnator
HV Guru
liitunud: 18.10.2007
|
05.10.2020 16:51:26
|
|
|
ju ma olen siis liiga tundlik reklaami suhtes, tõmbun kohe kaitsesse
ja moblaga need mõlemad värgid - tuleb jälitada kasutajat, püsikoodid ära tabada ja siis mobla pihta panna vaikselt ja enne kui omanik kadumist märkab üht-teist toime panna ja kui veel õnnestub mobla vaikselt tagasigi panna, siis pankade ja politsei silmis on omanik ise suli
nii palju inimesi ringi liikudes muudkui liputavad oma moblat ja tegutsevad ümbrusele tähelepanu pööramata ja kui pausi peavad, siis mobla ülikergelt ligipääsetavas kohas
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
05.10.2020 17:08:04
|
|
|
Mnator, sa vist ei hammustanud läbi, mis skeemi kasutati. Ei olnud neil rumeenlastel vaja midagi pihta panna. Põmst oli mobiili id ja smart id puhul suht sama skeem kasutusel.
Kasutajale saadetakse libakiri, mis oleks nagu pangast lingiga mingile libalehele mis näeb välja nagu netipank. Kui sinna oma kasutaja sisse toksisid, siis samal ajal avas pahalane päris panga lehe kuhu sinu kasutaja pani ja kes piisavalt tähelepanelik polnud, sisestaski rõõmsalt smart id/mobiili id PIN koodi.
Ma korra olen seda skeemi suht legitiimsel eesmärgil isegi kasutanud välja arvatud siis petukiri. Oli vaja miskit seadistada(vist zone lehel) ja inimene sellega ise hakkama ei saanud. Sai siis kokku lepitud, et sisestan sinna tema isikukoodi ja kui smart ID pini küsib, siis paneb oma PINi kuna füüsiliselt asusime eri kohtades. Võõrastega muidugi ei julgeks sellist asja teha, aga kui oled juba inimesega aastaid koostööd teinud ja kui ta tahaks sulle kangesti käkki keerata, on tal selleks nagunii ka n+1 muud võimalust, siis mõningate mööndustega võib.
Edit:
Tanel kirjutas: |
napoleon, detailselt pole kirjutatud ja ilmselt ei kirjutataks ka |
Tegelikult võiks. Selliste lahenduste juures pole security by obscurity kõige parem meede turvalisuse tagamiseks.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Mnator
HV Guru
liitunud: 18.10.2007
|
05.10.2020 17:10:21
|
|
|
napoleon, ma tean, olen lugenud sellest rumeenlaste tegutsemisest
mu fantaasiastsenaarium oli vastus sinu jutule, mida annab kurikaeltel teha ühekordsete paroolilehtede korral
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
degreal
HV veteran
liitunud: 07.01.2002
|
05.10.2020 17:31:24
|
|
|
napoleon kirjutas: |
Tanel kirjutas: |
napoleon, detailselt pole kirjutatud ja ilmselt ei kirjutataks ka |
Tegelikult võiks. Selliste lahenduste juures pole security by obscurity kõige parem meede turvalisuse tagamiseks. |
Või siis turvaauk on veel lahti ja lõplikku parandust pole veel välja mõeldud. Sellisel juhul ei tasu detaile avaldada jah.
|
|
Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
23 |
|
tagasi üles |
|
|
heretic666
HV Guru
liitunud: 13.02.2006
|
07.10.2020 21:35:17
|
|
|
Smart-ID turvanõrkus on see et arvutivõhik ei tunne õngitsuskirja ära?
|
|
Kommentaarid: 70 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
68 |
|
tagasi üles |
|
|
Mnator
HV Guru
liitunud: 18.10.2007
|
15.10.2020 11:32:35
|
|
|
Ma siin vahepeal pakkusin välja fantaasistsenaariumi moblade nõrkade külgede suhtes ja täna oli foorumis midagi sinna kanti reaalelust välja pakutud
https://foorum.hinnavaatlus.ee/viewtopic.php?p=10559507#10559507
väidetavalt just inimese ja ta mobla jälgimise teel saadud infot kasutati kurjasti ära
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
jägaja
HV Guru
liitunud: 06.08.2004
|
15.10.2020 11:41:22
|
|
|
heretic666 kirjutas: |
Smart-ID turvanõrkus on see et arvutivõhik ei tunne õngitsuskirja ära? |
selleks ei pea arvutivõhik olema, et kurjameid ära tunda või mitte ära tunda. Kurjamid on üsna intelligentsed selles osas, kuidas inimeste nõrkusi ära tabada ning kasutada.
See, et siin arvatakse, minuga nii ei juhtu, on lihtsalt pime eneseusk endasse. Kelmid on ikka väga osavad igasugu pettuste korraldamisel.
Smart ID kontosid võib ju endale ka mitu tükki teha, tuleb sulle ainult teavitus e-mailile, et sul on mitu aktiivset kontot.
Äkki ma tahangi oma tahvelarvutis ja mobiilis eraldi neid kontosid hoida. Mugav ju, eks ole.
Kui aga uut kontot ei saaks enne teha, kui vana konto on kinni pandud, oleks turvalisus tagatud? Kinni saaks ainult ID-kaardi või Mobiil-IDga panna.
_________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine." |
|
Kommentaarid: 133 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
120 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
15.10.2020 12:19:54
|
|
|
Noh, seda võiks vast ikka teada, et kui pank reaalselt tuvastab, et kontol midagi kahtlast toimub, siis ei nõuta kliendilt konto sulgemiseks pin2-e.
Ja noh, seda võiks ka teada, et pangad nõuavad klienditeenindajalt eesti keele oskust ehk kui keegi mõnes muus keeles räägib ja väidab et on pangast, siis on asi juba ülimalt kahtlane.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
15.10.2020 12:28:05
|
|
|
Siinkohal paslik tsiteerida Einsteini
tsitaat: |
"On olemas kaks lõpmatust: maailmaruum ja rumalus. Kuigi maailmaruumi osas pole ma päris kindel."
Albert Einstein |
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
jägaja
HV Guru
liitunud: 06.08.2004
|
15.10.2020 12:29:42
|
|
|
napoleon kirjutas: |
Noh, seda võiks vast ikka teada, et kui pank reaalselt tuvastab, et kontol midagi kahtlast toimub, siis ei nõuta kliendilt konto sulgemiseks pin2-e. |
aga mina ei tea, ma isegi ei mõtle sellisele asjale.
Üldiselt pangad panevad su kahtlase ärikonto kinni, isegi ei teavita sind.
_________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine." |
|
Kommentaarid: 133 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
120 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
15.10.2020 12:39:38
|
|
|
Aga kasutame natuke loogikat. Smart ID ega mobiili ID omamine ei ole kohustuslik. Kui vastaks, et mul ongi ainult ID kaart ja selle PIN koodid on ka kodus šeifis ja neid peast ei tea ning ise olen praegu hoopis sõbra juures, siis peaks ikka mingi protseduur olema kuidas konto kinni panna kui asi tõesti kahtlane on.
Kontot pole ma proovinud ise kinni panna, aga pangakaardi sulgemiseks piisab küll kui ütled telefonis nime, isikukoodi ja kirjeldad mingil moel, millist kaarti sulgeda soovid kui neid kaarte rohkem kui üks peaks olema.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
15.10.2020 13:45:36
|
|
|
Kui vaja kaart kinni panna.
Esiteks, räägitakse eesti keeles.
Teiseks, kas mitte ei pidanud salaküsimus olema? Kui salaküsimust polnud või on see selle vastus ununenud, küsitakse täiendavaid küsimusi.
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
15.10.2020 13:50:29
|
|
|
Mul pole ei swedis, SEB-s ega LHV-s mingit salaküsimust. Võibolla on mingi ärikliendi teema see salaküsimus siis.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
|