απάτη μεσω ebanking

[vs_skg]

3 hours ago, Hacker?pcs said:

Είναι μεγάλη βλακεία αυτό που κάνουν που ζητάνε ψηφία της κάρτας. Να σταματήσουν να είναι ηλίθιοι και να βάλουν τουλάχιστον κανονικό OTP με SMS ή Viber. Κανονικά θα έπρεπε οι τράπεζες να υποστηρίζουν και TOTP (Google Authenticator) αλλά νταξ μιλάμε ότι 2022 και υπάρχει καρναβαλοτράπεζα σαν τη Eurobank που μπορείς να βάλεις μέχρι 12 χαρακτήρες κωδικό, τι να περιμένει κανείς

Πάντως το ενδιαφέρον είναι αν πήραν πρόσβαση στο Viber που λέει στο 1ο ποστ ή απλά χρησιμοποιήσαμε τα ψηφία της κάρτας και το άθλιο "OTP" αυτό

Αυτό που λες με τους 12 χαρακτήρες μάλλον δεν το σκέφτηκες πολύ 

[Hacker?pcs]

2 hours ago, poulinos said:

ειτε 12 ειτε 20 δεν αλλαζει κατι.ο αλλος δεν κανει brute force.και 200 να ειναι ο αλλος θα τα δωσει ολα

Είναι λογική αυτή; Το ότι το social engineering πιάνει σημαίνει ότι δεν θα κρίνουμε κακές πρακτικές ασφαλείας; Το US NIST και όλοι οι οργανισμοί που βγάζουν οδηγίες είναι χαζοί;

  

1 minute ago, vs_skg said:

Αυτό που λες με τους 12 χαρακτήρες μάλλον δεν το σκέφτηκες πολύ 

Για πες μου που είναι το λάθος

Επεξ/σία 16 Ιανουαρίου 2022 από Hacker?pcs

[vs_skg]

3 hours ago, Hacker?pcs said:

ΝΑ ΜΗΝ ζητάνε κανένα στοιχείο της κάρτας, είναι πολύ απλό, το OTP με SMS αρκεί

η χαρα του απατεωνα, ειδικα σε χωρα οπως η Ελλαδα που τα κινητα τα κραταμε χρονια και ειναι συνδεδεμενα με το ονομα μας

[Bitbit]

2 hours ago, Hacker?pcs said:

Και τι σημαίνει ρε φιλαράκο ότι ο άλλος είναι άσχετος ή φελλός και τα έδωσε τα στοιχεία του, να μην επισημαίνουμε λάθος πρακτικές; Μήπως να πούμε μπράβο και στους κλόουν της Eurobank που αφήνουν μέχρι 12 χαρακτήρες κωδικό;

έχεις δίκιο φίλε. Αυτός που από μόνος του δίνει τον κωδικό του, τον 12 ψήφιο, θα κολλήσει να τον δώσει αν είναι 100ψήφιος.

Δεν έχετε πάρει χαμπάρι ότι όσα περιστατικά έχουν αναφερθεί (είναι αρκετά εδώ στο φορουμ, για να απαντήσουμε και στο ερώτημα του ts) αφορούν περιπτώσεις όπου ο χρήστης από μόνος του δίνει τα στοιχεία του; και 1,000,000 ψηφία να έχει ο κωδικός δε θα αλλάξει τίποτα. Πάλι θα την κάνει την βλακεία.

Για να λύσεις ένα πρόβλημα πρέπει να στοχεύσεις στη ρίζα του. Το να μην έχεις νερό στο σπίτι και να βρίζεις τα ΕΛΤΑ δε θα αλλάξει την κατάσταση στο παραμικρό. Αλλά αν σας κάνει να αισθάνεστε καλύτερα οκ. Βρίστε και κατηγορήστε όποιον θέλετε.

γράφω τα ίδια πράγματα σε όλα τα παρόμοια θέματα, έχω καταντήσει γραφικός. Οι τράπεζες έχουν πάρει ένα σωρό μέτρα, κωδικοί, κινητά, επιβεβαίωση μέσω εφαρμογής... δηλαδή τι άλλο πρέπει να κάνουν; Να βάλουν και 2ο κωδικό; και 3ο; και 4ο; Τι θα αλλάξει όταν ο κάθε ... ..πάει και δίνει από μόνος του τα στοιχεία.

Ακόμα και να ζητάνε για να ολοκληρωθεί μια συναλλαγή να παρουσιαστεί ο κάτοχος της κάρτας/λογαριασμού στην τράπεζα, πάλι ο βλάκας θα κάνει βλακεία.

σορυ για το ύφος μου, κάποιοι θα νευριάσουν με αυτά αλλά αυτή είναι η πραγματικότητα

 

Είπαμε είναι ανίκητη......

 

[Hacker?pcs]

3 minutes ago, vs_skg said:

η χαρα του απατεωνα, ειδικα σε χωρα οπως η Ελλαδα που τα κινητα τα κραταμε χρονια και ειναι συνδεδεμενα με το ονομα μας

Χαίρω πολύ, γι' αυτό είπα και για TOTP αλλά και καλύτερα ίσως και Webauthn με security key αλλά για ελληνικές τράπεζες μιλάμε

  

2 minutes ago, Bitbit said:

σορυ για το ύφος μου, κάποιοι θα νευριάσουν με αυτά αλλά αυτή είναι η πραγματικότητα

Είπαμε είναι ανίκητη......

Το point ποιο είναι δεν καταλαβαίνω; Αφού πιάνει το social engineering και με πολύπλοκα συστήματα δεν έχει νόημα να μιλάμε για θέματα ασφαλείας; Είναι λογική αυτή; Εγώ μπορώ να ζητάω από την τράπεζα μου να έχει τα ύψιστα μέτρα ασφαλείας διαθέσιμα ως επιλογή για μένα και να μην με νοιάζει το PEBKAC;

Επεξ/σία 16 Ιανουαρίου 2022 από Hacker?pcs

[vs_skg]

1 minute ago, Hacker?pcs said:

Είναι λογική αυτή; Το ότι το social engineering πιάνει σημαίνει ότι δεν θα κρίνουμε κακές πρακτικές ασφαλείας; Το US NIST και όλοι οι οργανισμοί που βγάζουν οδηγίες είναι χαζοί;

  

Για πες μου που είναι το λάθος

Στο ημερολογιο σου. Εχουμε 2022. Ενα brute force, ακομα και dictionary attack, ακομα και με παραπλευρες πληροφοριες πχ ημ. γεννησης, οικογενειακη κατασταση κλπ. θα αποτυχει λογω του αριθμου φορων που μπορεις να δοκιμασεις τον κωδικο...

Απλα μαθηματικα, 26 μικρα+26 κεφαλαια +10 ψηφια ,ασε τα συμβολα εκτος επειδη ειμαστε μερακληδες, 62^12 = 3*10^21.

 

[Hacker?pcs]

3 minutes ago, vs_skg said:

Στο ημερολογιο σου. Εχουμε 2022. Ενα brute force, ακομα και dictionary attack, ακομα και με παραπλευρες πληροφοριες πχ ημ. γεννησης, οικογενειακη κατασταση κλπ. θα αποτυχει λογω του αριθμου φορων που μπορεις να δοκιμασεις τον κωδικο...

Απλα μαθηματικα, 26 μικρα+26 κεφαλαια +10 ψηφια ,ασε τα συμβολα εκτος επειδη ειμαστε μερακληδες, 62^12 = 3*10^21.

 

Αφού παίζει lockout time ας το αφήσουμε και 10 χαρακτήρες. Πραγματικά δεν καταλαβαίνω τι πάτε να υπερασπιστείτε, dev ή μέτοχοι στην Eurobank είστε; Η Πειραιώς και η Εθνική πχ που δεν έχουν το γελοίο όριο είναι μήπως κορόιδα;

[NikosKallithea]

Να κάνω μια ερώτηση στον ts, τα λεφτα δεν γράφει σε ποιον λογαριασμό πήγαν;

[Bitbit]

2 minutes ago, vs_skg said:

Στο ημερολογιο σου. Εχουμε 2022. Ενα brute force, ακομα και dictionary attack, ακομα και με παραπλευρες πληροφοριες πχ ημ. γεννησης, οικογενειακη κατασταση κλπ. θα αποτυχει λογω του αριθμου φορων που μπορεις να δοκιμασεις τον κωδικο...

Απλα μαθηματικα, 26 μικρα+26 κεφαλαια +10 ψηφια ,ασε τα συμβολα εκτος επειδη ειμαστε μερακληδες, 62^12 = 3*10^21.

 

δε θέλει και πολλές προσπάθειες. ζήτημα να σε αφήσει να δοκιμάσεις 10 διαφορετικούς κωδικούς. Σου κλείδωσε το λογαριασμό.

 

8 minutes ago, Hacker?pcs said:

Χαίρω πολύ, γι' αυτό είπα και για TOTP αλλά και καλύτερα ίσως και Webauthn με security key αλλά για ελληνικές τράπεζες μιλάμε

  

Το point ποιο είναι δεν καταλαβαίνω; Αφού πιάνει το social engineering και με πολύπλοκα συστήματα δεν έχει νόημα να μιλάμε για θέματα ασφαλείας; Είναι λογική αυτή; Εγώ μπορώ να ζητάω από την τράπεζα μου να έχει τα ύψιστα μέτρα ασφαλείας διαθέσιμα ως επιλογή για μένα και να μην με νοιάζει το PEBKAC;

θεωρητικά ναι, στην πράξη δεν έχει νόημα αυτό που λες. σου απάντησε ο φίλος ήδη.

 

Just now, Hacker?pcs said:

Αφού παίζει lockout time ας το αφήσουμε και 10 χαρακτήρες. Πραγματικά δεν καταλαβαίνω τι πάτε να υπερασπιστείτε, dev ή μέτοχοι στην Eurobank είστε; Η Πειραιώς και η Εθνική πχ που δεν έχουν το γελοίο όριο είναι μήπως κορόιδα;

αν είναι να πιάσουμε κουβέντα και για μαγειρική. άλλο συζητάμε, άλλο λες. συνεννόηση μπουζούκι.

άντε και να βάλουμε 1000 ψηφία,. θα αλλάξει κάτι;

δε φρενάρει το αυτοκίνητο κι εσύ μας για το "χαλασμένο" a/c. Ε φτιάξε το ac και μη κοιτάς τα φρένα. Μάντεψε, πάλι δε θα φρενάρεις.

[Hacker?pcs]

1 minute ago, Bitbit said:

αν είναι να πιάσουμε κουβέντα και για μαγειρική. άλλο συζητάμε, άλλο λες. συνεννόηση μπουζούκι.

άντε και να βάλουμε 1000 ψηφία,. θα αλλάξει κάτι;

δε φρενάρει το αυτοκίνητο κι εσύ μας για το "χαλασμένο" a/c. Ε φτιάξε το ac και μη κοιτάς τα φρένα. Μάντεψε, πάλι δε θα φρενάρεις.

Εάν υπάρξει ευπάθεια στο app και υπάρχει τρόπος να παρακαμφθεί το lockout εσύ ξέρεις το μέλλον ότι δεν θα γίνει; ΟΛΟΣ ο κόσμος που προτείνει μεγάλους κωδικούς ΚΑΙ οι υπόλοιπες ελληνικές τράπεζες είναι τα κορόιδα και η Eurobank οι έξυπνοι;

[vs_skg]

9 minutes ago, Hacker?pcs said:

Αφού παίζει lockout time ας το αφήσουμε και 10 χαρακτήρες. Πραγματικά δεν καταλαβαίνω τι πάτε να υπερασπιστείτε, dev ή μέτοχοι στην Eurobank είστε; Η Πειραιώς και η Εθνική πχ που δεν έχουν το γελοίο όριο είναι μήπως κορόιδα;

Το αστειο ειναι με ποση σιγουρια τις πετας... 

Για τσεκαρε λιγο τις συστάσεις για μηκος password απο ISO και NIST, γιατι με τα δικα σου μετρα ειναι σκουπιδια και μαλλον πρεπει να προσλαβουν εσενα. 

Εχεις και Hacker στο username, σιγουρα το κρακαρισμα 12 χαρακτηρων το χεις με ευκολια

[Hacker?pcs]

2 minutes ago, vs_skg said:

Για τσεκαρε λιγο τις συστάσεις για μηκος password απο ISO και NIST, γιατι με τα δικα σου μετρα ειναι σκουπιδια και μαλλον πρεπει να προσλαβουν εσενα.

https://pages.nist.gov/800-63-3/sp800-63b.html#sec5

Quote

5.1.1.2 Memorized Secret Verifiers

Verifiers SHALL require subscriber-chosen memorized secrets to be at least 8 characters in length. Verifiers SHOULD permit subscriber-chosen memorized secrets at least 64 characters in length.

 

Επεξ/σία 16 Ιανουαρίου 2022 από Hacker?pcs

[filip123go]

17 minutes ago, vs_skg said:

Στο ημερολογιο σου. Εχουμε 2022. Ενα brute force, ακομα και dictionary attack, ακομα και με παραπλευρες πληροφοριες πχ ημ. γεννησης, οικογενειακη κατασταση κλπ. θα αποτυχει λογω του αριθμου φορων που μπορεις να δοκιμασεις τον κωδικο...

Απλα μαθηματικα, 26 μικρα+26 κεφαλαια +10 ψηφια ,ασε τα συμβολα εκτος επειδη ειμαστε μερακληδες, 62^12 = 3*10^21.

Spoiler

Τι προσπαθείς να εξηγήσεις και εσύ τώρα.... Αφού δεν είσαι dev και δεν ξέρεις. Τι και αν το 99,9% έχει κωδικό κάτω απο 10 ψηφία και όλες οι παρόμοιες περιπτώσεις έχουν γίνει από λάθος του user. Θα βάλει αυτός Hydra το 2022 και θα σου κάνει brute force. 

Ts είναι πολλά τα λεφτά. Δικηγόρο, και μήνυση. Αν δώσει το οκ ο εισαγγελέας  στη δίωξη, υπάρχει μια μικρή περίπτωση να τους βρούνε.

13 minutes ago, Hacker?pcs said:

Εάν υπάρξει ευπάθεια στο app και υπάρχει τρόπος να παρακαμφθεί το lockout εσύ ξέρεις το μέλλον ότι δεν θα γίνει;

To check γίνεται server site όχι client site.

[papapontikas]

4 hours ago, pantelis_87 said:

Δεν τους τα εδωσε!! Εδωσε μονο τα 2 ψηφια του pin. πριν 2  ωρες περιπου ηρθε το παρακατω email  απο την alpha

Ερωτηση: Αυτός γιατί τους τα έδωσε? Του ζητήσανε τα 2 ψηφία του πιν. Και αυτός τα δίνει έτσι απλά; Συν τον αριθμό της κάρτας.

Άντε οποίος μας παίρνει τηλέφωνο και μας ζητάει κάρτες και πιν και εμείς τα δίνουμε έτσι απλά.

Σορρυ αλλά αν έγινε έτσι η φάση...ΚΑΛΑ ΝΑ ΠΑΘΕΙ...(α και δωσμου το τηλέφωνο του να τον πάρω και εγώ μετά από κάνα εξάμηνο που θα έχει μαζέψει το κατιτις)

Άμα σας παίρνουν από τράπεζα πείτε τους κλειστό και θα σε πάρω εγώ. Και μετά καλέστε στο τηλεφωνικό κέντρο τους

[vs_skg]

14 minutes ago, Hacker?pcs said:

https://pages.nist.gov/800-63-3/sp800-63b.html#sec5

 

παμε μαθηματακια αγγλικων λοιπόν:

ελαχιστο ελαχιστο (ναι επιτηδες το γραψα δυο φορες) μηκος 8. Εγω 12 διαβασα, να σαι καλα που κατερριψες κι αλλο το επιχείρημα σου. 

ελαχιστο μεγιστο μηκος 64.

Απλα λιτα κι ωραια. 

Και επειδη δω ναι Ευρώπη και χουμε ISO, και ο ISO 8 λεει στις προδιαγραφες του GDPR. 

Να ακουσω τι θα πεις τωρα.