Троян меняет цифры в онлайн-банкинге

[FoGR]

Странно, что комментарии в украинскому коду немцы оставили на английском.

[pxx]

Вы всерьез считаете, что комментарии украинских программистов выглядят следующим образом?

// встановлюємо SUMM за мінімальне серед поточної підрахованої суми та встановленої заздалегідь максимальної суми пограбування

[lesha_penguin]

Приличный и высококачественный код с неанглийскими комментариями конечно бывает. Причем, такого кода высокого качества более чем достаточно.
Правда об этом мало кто знает. А тот, кто знает, тот об этом не говорит, потому что NDA.

[Mushtat]

Приведённый исходник трояна URL Zone Trojan 2009 года, а не украинских писателей.

[baidin]

Аналогичный троян под WebMoney был кучу лет назад ещё.

[Ackrite]

Да и не только под webmoney. Помню, года 4 назад был бум js-скриптов под онлайн банки, встраивались в интернет-банк обычным zeus-ом. При переводе денег подменялись сумма и получатель, пользователю показывалось то, что вводил он. Прибыльное занятие было :).

[LMaster]

Zeus/SpyEye с вебинжектами популярны до сих пор.

[A1lfeG]

Если троян уже заполнил страницу, что мешало ему отправить запрос?

[tucnak]

> Поскольку пользователь самостоятельно совершает перевод, стандартные средства защиты от мошенничества тут не срабатывают.

А вот с этим, хорошо придумали.

[baidin]

Поэтому, тот же Альфа-банк, при подтверждении платежа по СМС, посылает ещё и данные этого платежа: номер счёта, назначение платежа, для того, чтобы пользователь мог увидеть истинного получателя платежа, сумму, даже если компьютер протроянен.

[mholub]

и это тут тоже не сработает, социальная инженерия в чистом виде

[mkdotam]

Вот мой банк по смс-у сообщает мне все входы и выходы на счету. Это сработает. Если бы мне был вход на большую сумму он будет виден не только на сайте но и по смс-у (о;

[Zabatov]

я думаю опытный пользователь вообще вряд ли поведется на такого рода сообщения. Как и на сообщения, якобы от администраторов сайта, прислать им пароль от твоего аккаунта.
Надо будет — сделают что хотят. В том числе отменят операцию по переводу денег

[grokinn]

да но тут троян предлагает вернуть деньги на счет того кто их по ошибке вам якобы перевел, соответственно в смс вы получите тот самый счет на который планируете вернуть деньги и смело введете пароль (если конечно ничего не заподозрите, лично я бы позвонил в банк для начала, потому что блокировать мой счет из за чужой ошибки это в любом случае хамство:)

[DEHiCKA]

достаточно включить в смс текущий баланс

[ArjLover]

Да, это будет следующий ход. Но пока троян впереди и выигрывает. А эта смс и так уже распухла — читаешь ее как поэму — кому, откуда, сколько, а теперь еще надо будет сверять текущий баланс. Короче в эту смс плавно мигрирует весь интернет-банк. :)

[FIZIK]

Законопослушность и честность бюргеров сыграла с ними злую шутку.

[JokerOfGod]

Ну что за идиоты… это обычный zbot или спай…

[Sardar]

А как в 2011 году можно заразиться подобным без ведома пользователя? При условии, что он не скачивает неизвестный софт из сети, не ставит левые плагины в браузер (только «проверенные временем» вещи AdBlock, Firebug etc) и вообще с недоверием относится ко всему в сети.

Конечно возможен сценарий, где репозиторий популярного плагина взломали, дописали вредного кода и тихо позволили разработчикам это все опубликовать. Но это надеюсь когда-нибудь пофиксят в браузере, задавая определенным адресам возможность отключать все плагины.

Просто как обычный пользователь чувствуешь себя в поле окруженном граблями, следишь за каждым своим шагом и начинаешь думать «ну почему все так через ж*пу...?»

[make_luv]

Знакомая девочка с высшим айтишным образованием в сфере защиты информации хотела гостей странички в контактике посмотреть, потом присылала мне в ворде скриншоты в того, что вышло из этой затеи. Хотел ее задушить. Да и сейчас хочу.

[fluxion]

Видимо, высшее образование «в сфере защиты информации» не пошло впрок.

[trb]

про drive-by download атаки слышали?

[diamant]

>>Поскольку пользователь самостоятельно совершает перевод, стандартные средства защиты от мошенничества тут не срабатывают.
Банковские переводы не анонимны — получатель известен. В чём фишка?

[Kudze]

В том, что счет открыт на абсолютно «левого» человека.

[Clouded]

А вы не видели никогда объявления «заработай 10000$ за лето!»?
Человеку предлагаются такие условия — ему переводят на счет крупную сумму, он идет и снимает ее, 10% оставляет себе, а все остальное отдает его «работодателям».

[mkdotam]

predefined maximum money to steal

Совесть?

[sklazer]

Своя же собственная безопасность. По крупным суммам есть шанс быстрого вычисления.

[MrPrayer]

А каким образом идет инъекция в HTTPS траффик?

[MaximKat]

HTTPS не поможет, если заражен конечный компьютер

[MrPrayer]

Ну мне чисто технически интересно.
При условии, что я могу нажать на кнопку проверки сертификата, даже импорт левого сертификата в CA хранилище не пройдет незамеченным.

Я уже молчу, о применении спец-средств, а-ля Certificate Patrol.

[komarov]

например, плагин к браузеру а-ля GreaseMonkey, который переписывает страничку уже на компьютере пользователя

[MrPrayer]

Хм… А перспективы защиты у производителей браузеров от такого локального беспредела есть?
Подписывать конфиги например?

[Rational_Yurij]

Вывод: клиент-банк должен быть десктопным приложением, а не дырявым (по определению) утлым веб-портальчиком.

[trb]

ваш вывод не понравится банкирам, которые из-за перехода на десктопные приложения начнут терять клиентов, а по существующим клиентам — терять объемы денежных переводов.

[Rational_Yurij]

Конечно. Банкиров совершенно не интересуют комфорт и безопасность их клиентов. Они и сами не прочь их нарушить ради своего интереса. Большая часть потребителей банковских услуг ставят безопасность на последнее место, если вообще на какое-то ставят.

[komarov]

экономически выгоднее поддерживать высокий оборот, а возможные убытки от взлома застраховать

[Mear]

Хех, можно подумать, что десктопное приложение труднее сломать.

[Rational_Yurij]

Уж смотря как написать. В отличие от веб-технологий, в основу которых заложена максимальная гибкость и открытость к взаимодействиям, десктопное приложение может быть защищено в значительно бОльшей мере.

[dozent]

да ну нафиг, все это также дисассамблируется, вскрывается и ломается. если пользователь дурак, то здесь уже ничто не поможет

[Rational_Yurij]

>>> дисассамблируется, вскрывается и ломается.
Оцените сложность и стоимость этих работ и сравните со сложностью и стоимостью разработки вируса-надстройки для браузера.

[borisko]

Ещё пару лет назад был вирус, который мониторил буфер обмена, и если там было что-то похожее на WebMoney кошелек, заменял его кошельком разработчика.

[zyaleniyeg]

Шикарная идея

[kyrie]

Они (вероятно украинцы) подняли пол-миллиона меньше чем за месяц и уже попали в новостные ленты… Увы, бизнес, наверное, не задался.

[rondob]

В Германии можно отозвать назад сделанный со своего счёта платеж. Правда это работает когда фирма сама сняла с клиента деньги, а вот если сам перевел, тогда нет такой возможности.

[Gangsta]

$438K за 22 дня? Пошел писать троян

[harriettlaur]

А что вообще можно сделать в таком случае?

[stroncium]

Не покупаться на левую херотень?