Anúncio

**Jbranco** · 08 November 2011, 13:41

Originalmente Colocado por Nuno156 Ver Post

Nota bem:
O utilizador faz todas as autenticações.
O computador está por conta do PIRATA.
Ou seja, o pirata acede à conta ATRAVÉS da ligação que a vítima fez.

Por exemplo:
1- a vítima faz login na página genuína
2- o pirata usa o computador e ligação da vítima no acesso ao banco
3- o pirata manda efectuar a transacção que lhe interessa
4- no caso de envio de código para o telemóvel, o banco envia o código para
a operação que o pirata pediu
5- mostra uma mensagem falsa (do tipo da imagem)
6- pede para entrar o código de validação (do cartão matriz ou telemóvel)
7- a vítima deixa-se enganar (o site é legítimo), e introduz o código
8- o pirata usa o código para validar a operação que lhe interessa

O ponto 4 faz-me confusão. Então a pessoa recebe no telemóvel um código para uma operação que não pediu e dá-se ao trabalho de ir à pagina inserir esse código?!

Edit: Às vezes também me parece excessiva a facilidade com que as pessoas se deixam enganar.

**Nuno156** · 08 November 2011, 13:42

Imagino que...

Estamos a verificar as suas definições de segurança. Cada passo poderá levar entre 1 a 10 minutos. Por favor tenha paciência e não feche nem recarregue a página enquanto estamos a verificar a informação. Este é um procedimento único. Deverá completar a verificação até ao fim ou irá recomeçar de novo.

Seja a mensagem mostrada enquanto o pirata vê a conta e faz a operação que
lhe interessa.
Depois deve fazer um pedido de "verificação" (pedindo o código para aprovar a
operação que fez).
Findo isto, deve mostrar:

Obrigado pela verificação. A actividade bancária online está atualmente sob manutenção prevista. Por favor verifique novamente dentro de 24 horas.

Nesta altura já o dinheiro se deve ter ido...

**Nuno156** · 08 November 2011, 13:44

Originalmente Colocado por Jbranco Ver Post

O ponto 4 faz-me confusão. Então a pessoa recebe no telemóvel um código para uma operação que não pediu e dá-se ao trabalho de ir à pagina inserir esse código?!

Vê os meus posts anteriores.
Tudo depende da credibilidade das mensagens que apresentar ao utilizador.
A maioria das pessoas não tem muitas razões para desconfiar. Afinal, os bancos
até ensinam a verificar se a página está com o HTTPS ou não. E está. O URL até
pode ter sido digitado manualmente, o que aumenta a credibilidade.

**Cessna** · 08 November 2011, 13:48

Obrigado pelo aviso Nuno.

**Nuno156** · 08 November 2011, 13:48

Originalmente Colocado por Jacare Ver Post

Uma pergunta um bocado noob... se correr o IE ou outro browser qq a partir de uma sandbox ou de uma "virtual machine" (qual?) para aceder a bancos e instituições onde a segurança é importante não será muitíssimo mais seguro?

1. Nada te impede de ter esse "sistema" também infectado.
2. Se o sistema base estiver infectado, nada de assegura a veracidade do que fazes
no sistema virtual.

É preferível fazer ao contrário.
O sistema base ser uma instalação segura, só SO de base, sem software adicional
nem ligação à NET.
E ter um sistema virtual apenas para ligar de modo inseguro à NET, e ter outro
para ligar de modo seguro.

**Cessna** · 08 November 2011, 13:50

Originalmente Colocado por Nuno156 Ver Post

Vê os meus posts anteriores.
Tudo depende da credibilidade das mensagens que apresentar ao utilizador.
A maioria das pessoas não tem muitas razões para desconfiar. Afinal, os bancos
até ensinam a verificar se a página está com o HTTPS ou não. E está. O URL até
pode ter sido digitado manualmente, o que aumenta a credibilidade.

E o próprio banco avisa que nunca pede os códigos à toa nos "disclaimers". Só há necessidade de códigos para aceder ao Homebanking ou quando estamos a realizar uma operação.

**ciber007** · 08 November 2011, 13:50

Já conheço esse Trojan há meses e o BPI foi alertado na altura. Parece que nada conseguiram fazer entretanto. (ou nada fizeram)

Mais do que o código de utilizador e password é desconfiar logo.

Cumprimentos.

eu · 08 November 2011, 13:52

Aparentemente o malware deixa o utilizador fazer a ligação normal ao banco mas consegue manipular o IE para apresentar uma página falsa. Pode até ser uma aplicação "always on top" que se coloca à frente do IE, tapando a página original...

Muito engenhoso e muito perigoso...

**Jbranco** · 08 November 2011, 13:52

Originalmente Colocado por Nuno156 Ver Post

Vê os meus posts anteriores.
Tudo depende da credibilidade das mensagens que apresentar ao utilizador.
A maioria das pessoas não tem muitas razões para desconfiar. Afinal, os bancos
até ensinam a verificar se a página está com o HTTPS ou não. E está. O URL até
pode ter sido digitado manualmente, o que aumenta a credibilidade.

Repara que, por exemplo, no caso do santander o sms até diz a operação que está a ser efetuada com aquele código, pode ser "Pagamento ao Estado", Pagamento Vodafone", etc... coisas desse género. Parece-me um sistema bastante seguro porque não estou a ver o pirata a conseguir alterar a mensagem enviada por SMS. Agora se uma pessoa recebe um SMS a pedir um código para efetuar uma transferência que não solicitou e, ainda assim, vai à página e insere esse código... Enfim... Parece-me uma enorme "distração".

Edit: Isto para dizer que o sistema por SMS do santander, millennium, etc... Parece-me ser bastante seguro. Pelo contrário o de outros bancos parece-me bastante frágil.

eu · 08 November 2011, 13:56

Originalmente Colocado por Nuno156 Ver Post

1. Nada te impede de ter esse "sistema" também infectado.
2. Se o sistema base estiver infectado, nada de assegura a veracidade do que fazes
no sistema virtual.

Do ponto de vista do atacante, dá muito mais trabalho infectar um ficheiro de uma máquina virtual do que o sistema nativo, até porque os cenários são muito variados. Por outro lado o universo de potenciais vítimas é muito reduzido.

**Nuno156** · 08 November 2011, 14:00

Originalmente Colocado por Cessna Ver Post

Obrigado pelo aviso Nuno.

O aviso é:

CUIDADO COM OS VÍRUS!!!

Que é como quem diz, cuidado com a pirataria.

(Devo confessar que este meu colega tem o hábito de descarregar algumas
coisas que não deveria...)

Basicamente:
O MALWARE já está a ser usado para atacar as contas bancárias das vítimas,
pelo que apanhar uma virose no PC já deixou de ser apenas um "inconveniente"
que obriga a formatar o PC.

XO · 08 November 2011, 14:03

Não conhecendo o problema a fundo (mas obrigado Nuno por partilhares) até pode não ser página falsa (ou completamente vá).
Pode ser simplesmente injecção de código na página original (client side). Com o computador comprometido facilmente o "romeno" consegue fazer qualquer POST com os dados que quiser. O utilizador até podia fazer uma operação simples tipo carregamento multibanco mas o pedido enviado para o servidor é na realidade uma transferência entre contas. Ao receber a SMS de confirmação (julgando ser o carregamento) poderá estar a autorizar sim a transferência.
Depois de ter o pc minado as possibilidades são gigantescas (e preocupantes).

Posso ter dito uma barbaridade e esta situação não se aplicar à situação do amigo do Nuno, mas é sempre uma hipótese.

Abraços
XO

**Cessna** · 08 November 2011, 14:05

Originalmente Colocado por Nuno156 Ver Post

O aviso é:

CUIDADO COM OS VÍRUS!!!

Que é como quem diz, cuidado com a pirataria.

(Devo confessar que este meu colega tem o hábito de descarregar algumas
coisas que não deveria...)

Basicamente:
O MALWARE já está a ser usado para atacar as contas bancárias das vítimas,
pelo que apanhar uma virose no PC já deixou de ser apenas um "inconveniente"
que obriga a formatar o PC.

Caso para dizer que a pornografia saíu cara ao teu colega.

**Nuno156** · 08 November 2011, 14:12

Originalmente Colocado por eu Ver Post

Do ponto de vista do atacante, dá muito mais trabalho infectar um ficheiro de uma máquina virtual do que o sistema nativo, até porque os cenários são muito variados. Por outro lado o universo de potenciais vítimas é muito reduzido.

Estás a pensar do ponto de vista errado...

Para o atacante não há sistema virtual nem nativo. Há uma máquina onde foi
instalado um troiano. Essa máquina poderá ou não estar numa rede privada, mas
estando numa rede privada (e um sistema com uma máquina virtual é como uma
rede privada), todas as máquinas dessa rede estão em perigo devido ao acesso
privilegiado (acesso interno).

O problema adicional de uma máquina virtual é que não é necessário conseguir
comprometer outras máquinas de uma rede. No caso da máquina virtual, se o
sistema anfitrião estiver comprometido, TODAS AS COMUNICAÇÕES da máquina
virtual com o exterior ESTÃO COMPROMETIDAS. Ou seja, é o mesmo que voltar
ao tempo dos HUB (em lugar dos SWITCH) onde todos os computadores recebiam
todos os pacotes que circulassem na rede.

**Jbranco** · 08 November 2011, 14:13

Originalmente Colocado por XO Ver Post

Não conhecendo o problema a fundo (mas obrigado Nuno por partilhares) até pode não ser página falsa (ou completamente vá).
Pode ser simplesmente injecção de código na página original (client side). Com o computador comprometido facilmente o "romeno" consegue fazer qualquer POST com os dados que quiser. O utilizador até podia fazer uma operação simples tipo carregamento multibanco mas o pedido enviado para o servidor é na realidade uma transferência entre contas. Ao receber a SMS de confirmação (julgando ser o carregamento) poderá estar a autorizar sim a transferência.
Depois de ter o pc minado as possibilidades são gigantescas (e preocupantes).

Posso ter dito uma barbaridade e esta situação não se aplicar à situação do amigo do Nuno, mas é sempre uma hipótese.

Abraços
XO

Mas como antes escrevi, o utilizador tem de estar muito distraído e não ler a totalidade do SMS. É que se o SMS é para um pagamento de serviços, vem lá a entidade e a referência; se é para uma transferência vem lá o número de conta; se é um carregamento de telemóvel vem lá o operador e nº de telemóvel; etc... Para a trafulhice funcionar é preciso que o utilizador ignore todo o SMS com a exceção do código.

Repito, o SMS descreve em detalhe a operação e apresenta o valor da mesma. Como é que uma pessoa pode ignorar tudo isso?

**Nuno156** · 08 November 2011, 14:13

Originalmente Colocado por Cessna Ver Post

Caso para dizer que a pornografia saíu cara ao teu colega.

Não é desse tipo de conteúdos.
É mais conteúdos piratas...

**Nuno156** · 08 November 2011, 14:15

Originalmente Colocado por XO Ver Post

Não conhecendo o problema a fundo (mas obrigado Nuno por partilhares) até pode não ser página falsa (ou completamente vá).
Pode ser simplesmente injecção de código na página original (client side). Com o computador comprometido facilmente o "romeno" consegue fazer qualquer POST com os dados que quiser. O utilizador até podia fazer uma operação simples tipo carregamento multibanco mas o pedido enviado para o servidor é na realidade uma transferência entre contas. Ao receber a SMS de confirmação (julgando ser o carregamento) poderá estar a autorizar sim a transferência.
Depois de ter o pc minado as possibilidades são gigantescas (e preocupantes).

Posso ter dito uma barbaridade e esta situação não se aplicar à situação do amigo do Nuno, mas é sempre uma hipótese.

Abraços
XO

Posso não me ter explicado bem, mas foi isso que eu disse (ou quis dizer).

**Nefas** · 08 November 2011, 14:15

Originalmente Colocado por paulofer Ver Post

À partida isto não traz problema nenhum para o cliente, a não ser o inconveniente de ter que pedir uma nova chave para entrar no homebanking(e neste caso limpar o virus). Eles não conseguem fazer nada sem os cartões matriz e em alguns bancos o telemovel.
Isto caso o cliente não caia na ideia de passar os números do cartão matriz... ainda não percebi como alguns ainda fazem isso depois de tantos avisos!

Ha operações que nao necessita dos cartões Matriz.

XO · 08 November 2011, 14:15

Originalmente Colocado por Jbranco Ver Post

Mas como antes escrevi, o utilizador tem de estar muito distraído e não ler a totalidade do SMS. É que se o SMS é para um pagamento de serviços, vem lá a entidade e a referência; se é para uma transferência vem lá o número de conta. Para a trafulhice funcionar é preciso que a pessoa ignore todo o SMS com a exeção do código.

Engenharia social... Credibilizando a coisa mais facilmente ficas "relaxado". Mas mais simples seria com o cartão matriz... Em todo o caso é sempre bom 4 olhos nestas situações.

Abraços
XO

**Nuno156** · 08 November 2011, 14:16

Originalmente Colocado por Jbranco Ver Post

Mas como antes escrevi, o utilizador tem de estar muito distraído e não ler a totalidade do SMS. É que se o SMS é para um pagamento de serviços, vem lá a entidade e a referência; se é para uma transferência vem lá o número de conta. Para a trafulhice funcionar é preciso que a pessoa ignore todo o SMS com a exeção do código.

A maior parte das pessoas (que usem regularmente o sistema) já só olham
para o código que está no SMS.

XO · 08 November 2011, 14:18

Originalmente Colocado por Nuno156 Ver Post

Posso não me ter explicado bem, mas foi isso que eu disse (ou quis dizer).

Explicaste sim, por isso o deduzi, mas era mais uma resposta ao "eu". Que não é necessário uma página falsa, basta injectar código na verdadeira. Era mais um esclarecimento da hipótese

Abraços
XO

**Pastis** · 08 November 2011, 14:18

apagar

**Jacare** · 08 November 2011, 14:18

bom... de qualquer maneira nos SMS costuma vir a identificação da operação... se for uma transferência irá aparecer qq do tipo:

"Tranferência Nacional NIB: 123456677890 - Montante: 1000 Eur - Autorização 12345"

**Jacare** · 08 November 2011, 14:19

Originalmente Colocado por Pastis Ver Post

Falha no ponto 4.
O SMS diz sempre qual é a quantia.

Não só a quantia como costuma dizer do que se trata (movimento ou pagamento, entidade, nib destino, Nacional ou Internacional etc etc)

**Nuno156** · 08 November 2011, 14:19

Originalmente Colocado por ciber007 Ver Post

Já conheço esse Trojan há meses e o BPI foi alertado na altura. Parece que nada conseguiram fazer entretanto. (ou nada fizeram)

Mais do que o código de utilizador e password é desconfiar logo.

Cumprimentos.

Originalmente Colocado por eu Ver Post

Aparentemente o malware deixa o utilizador fazer a ligação normal ao banco mas consegue manipular o IE para apresentar uma página falsa. Pode até ser uma aplicação "always on top" que se coloca à frente do IE, tapando a página original...

Muito engenhoso e muito perigoso...

Sim, é praticamente isso.

**SilverArrow** · 08 November 2011, 14:22

No meio disto tudo como é que descobriste e/ou resolveste?

Correr um Anti-Malware?
Correr o Anti-Virus?

**Nuno156** · 08 November 2011, 14:23

Originalmente Colocado por Jacare Ver Post

bom... de qualquer maneira nos SMS costuma vir a identificação da operação... se for uma transferência irá aparecer qq do tipo:

"Tranferência Nacional NIB: 123456677890 - Montante: 1000 Eur - Autorização 12345"

O problema é que nem todos os bancos usam o sistema dos SMS.
E mesmo os que usam podem ser atacados, porque nem toda a gente olha para o
texto todo, muitas vezes já só olham para o código.

De qualquer modo, fica mais essa dica:
OLHAR SEMPRE PARA O TEXTO TODO DO SMS (nos bancos que os enviam)

**Valium** · 08 November 2011, 14:24

Originalmente Colocado por Audigy Ver Post

Então a culpa está no utilizador... só se introduz dados da matriz/SMS Token quando este acaba de fazer uma operação.

Pedir sequencias da matriz assim do nada não é normal pois estas não fazem parte do mecanismo de login, só de autenticação de operações efectuadas no momento pelo mesmo.

Geralmente os bancos tem aviso a dizer isso mesmo, que os códigos/sms apenas são enviados no momento de alguma operação.
Mesmo pelo Bpidirecto, nunca pedem o código de acesso todo.

Originalmente Colocado por Jbranco Ver Post

O ponto 4 faz-me confusão. Então a pessoa recebe no telemóvel um código para uma operação que não pediu e dá-se ao trabalho de ir à pagina inserir esse código?!

Edit: Às vezes também me parece excessiva a facilidade com que as pessoas se deixam enganar.

Tens razão, infelizmente há pessoas mais alertas que outras para estas situações.

Originalmente Colocado por Jbranco Ver Post

...

Edit: Isto para dizer que o sistema por SMS do santander, millennium, etc... Parece-me ser bastante seguro. Pelo contrário o de outros bancos parece-me bastante frágil.

Verdade, mas também o podes fazer por código. É opcional.
No Bpi comigo é quase sempre via matriz.

**Jacare** · 08 November 2011, 14:26

Originalmente Colocado por Nuno156 Ver Post

O problema é que nem todos os bancos usam o sistema dos SMS.
E mesmo os que usam podem ser atacados, porque nem toda a gente olha para o
texto todo, muitas vezes já só olham para o código.

De qualquer modo, fica mais essa dica:
OLHAR SEMPRE PARA O TEXTO TODO DO SMS (nos bancos que os enviam)

Pois... Em vez de SMS podiam recorrer a chamadas automáticas.... pelo menos obrigavam a pessoa a ouvir tudo...

**Nuno156** · 08 November 2011, 14:29

Originalmente Colocado por SilverArrow Ver Post

No meio disto tudo como é que descobriste e/ou resolveste?

Correr um Anti-Malware?
Correr o Anti-Virus?

Nopes.
Foi o meu colega que desconfiou da mensagem.

O antivírus (F-SECURE) não detectou nada.

Ele fez o printscreen e gravou uma cópia do source code da página.
Foi esse código que eu estive a analisar, e que tem lá as tais referências
para um IP na Roménia.

Anúncio

Man-in-the-browser: Cuidado com o HOME BANKING

Ads nos topicos Mobile

Ads Nos topicos Desktop

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

Comentário

AD fim dos posts Desktop

Ad Fim dos Posts Mobile

SECÇÕES