Anúncio
Collapse
No announcement yet.
Man-in-the-browser: Cuidado com o HOME BANKING
Collapse
Ads nos topicos Mobile
Collapse
Ads Nos topicos Desktop
Collapse
X
-
Usei/o o Malwarebytes.
De momento não tenho código de acesso mas colocando um número aleatório de contrato já vou para a página habitual de inserção do código.Editado pela última vez por KeyserSoze; 11 November 2011, 17:12.
Comentário
-
Interessante, mas para instalarem software no telemovel teriam que saber que OS usa.
Mas é sempre bom ter o mínimo de cuidados.
Mas ainda bem que a microsoft Bloqueou o envio de SMS através de aplicações. Como as App correm numa sandbox não é possível em WP7 uma app enviar um sms.Editado pela última vez por edias; 30 December 2011, 13:12.
Comentário
-
Originalmente Colocado por edias Ver PostInteressante, mas para instalarem software no telemovel teriam que saber que OS usa.
(...)
Se for uma instalação através de um link para um WEB SITE, o site consegue saber
qual o SO usado pelo telemóvel (HTTP_AGENT), e dar o link correcto para o programa
correcto para o SO do telemóvel.
Quanto ao WP da MICROSOFT...
O facto de impedir uma aplicação de enviar SMS sem confirmação do utilizador, não
impede que o programa faça de conta que é o utilizador a confirmar, ou impede?
A pior falha de segurança é a falsa sensação de segurança.
Se partes do princípio que nenhum SMS sai de um WP sem a tua confirmação, estás
já com uma falha de segurança no teu sistema: tu.
No momento em que um sistema estiver comprometido, qualquer que ele seja (WINDOWS,
LINUX, ANDROID, WINDOWS PHONE, etc.), não tens garantias NENHUMAS de que o
sistema possa impedir o que quer que seja que tu não queres que ele faça.
Esta é a realidade.
Quem diz o contrário, ou mente, ou não tem a noção da realidade.
Comentário
-
Originalmente Colocado por Nuno156 Ver PostNão necessariamente.
Se for uma instalação através de um link para um WEB SITE, o site consegue saber
qual o SO usado pelo telemóvel (HTTP_AGENT), e dar o link correcto para o programa
correcto para o SO do telemóvel.
Quanto ao WP da MICROSOFT...
O facto de impedir uma aplicação de enviar SMS sem confirmação do utilizador, não
impede que o programa faça de conta que é o utilizador a confirmar, ou impede?
A pior falha de segurança é a falsa sensação de segurança.
Se partes do princípio que nenhum SMS sai de um WP sem a tua confirmação, estás
já com uma falha de segurança no teu sistema: tu.
No momento em que um sistema estiver comprometido, qualquer que ele seja (WINDOWS,
LINUX, ANDROID, WINDOWS PHONE, etc.), não tens garantias NENHUMAS de que o
sistema possa impedir o que quer que seja que tu não queres que ele faça.Editado pela última vez por edias; 30 December 2011, 14:13.
Comentário
-
Não vamos fazer futurologia! Estou a falar hoje em dia. Neste momento. Que o futuro ainda não cheguei lá para me preocupar com ele!
Continuas com isso do digo eu e a microsoft! eu eu respondo-te outra vez: Prova-me que instala apps sem ser do market! (não vale usar jailbreaks e sideload em developer unlocks e interop-unlock, que supostamente quem tem um telefone nessas condições tem que ter noção dos riscos que corre)
Estou a falar do utilizador normal!
Comentário
-
Originalmente Colocado por edias Ver PostNão vamos fazer futurologia! Estou a falar hoje em dia. Neste momento. Que o futuro ainda não cheguei lá para me preocupar com ele!
Continuas com isso do digo eu e a microsoft! eu eu respondo-te outra vez: Prova-me que instala apps sem ser do market! (não vale usar jailbreaks e sideload em developer unlocks e interop-unlock, que supostamente quem tem um telefone nessas condições tem que ter noção dos riscos que corre)
Estou a falar do utilizador normal!
2. O utilizador normal é precisamente o alvo dos burlões. É o elo mais fraco.
3. Estás a querer dizer que não há nenhum modo de um burlão fazer jailbreak/sideload/unlock
de um WP7 de um utilizador normal?
Comentário
-
Originalmente Colocado por Nuno156 Ver Post1. Segurança é pensar no futuro. Pensar no que já aconteceu é investigação. Ou correcção
2. O utilizador normal é precisamente o alvo dos burlões. É o elo mais fraco. Certo
3. Estás a querer dizer que não há nenhum modo de um burlão fazer jailbreak/sideload/unlock
de um WP7 de um utilizador normal? Voltamos à conversa de sistema seguro é o desligado, se descobrirem um exploit é claro que o poderão fazer. Mas não estou a ver o burlão a fazer sideload, visto ser necessário ter acesso físico ao telefone para poder fazer deploy à app
Onde estou não vejo vídeos, por isso não faço ideia o que colocaste.
Onde quero chegar é que no android se eu enviar um apk para o mail e o abrir no telemovel consigo instalá-lo, no WP7 podes enviar o xap que não o irás conseguir instalar.
Utilizador normal com telefones normais.
Certo, ou também não vais concordar?Editado pela última vez por edias; 30 December 2011, 15:19.
Comentário
-
E cuidado com o roubo de identidade (razão pela qual eu digo que o Cartão do Cidadão é um
atentado à segurança das pessoas, e já o disse neste fórum várias vezes quando o CC apareceu).
E por favor, não confundam roubo de identidade com falsificação de documentos de identificação,
ou outras coisas do género.
Comentário
-
Originalmente Colocado por edias Ver PostIf it was done it can be "undone" como tão bem deves saber.
Onde estou não vejo vídeos, por isso não faço ideia o que colocaste.
Onde quero chegar é que no android se eu enviar um apk para o mail e o abrir no telemovel consigo instalá-lo, no WP7 podes enviar o xap que não o irás conseguir instalar.
Utilizador normal com telefones normais.
Certo, ou também não vais concordar?
MARKET. É uma opção de configuração, ou seja, é ao critério do utilizador.
Quanto ao deploy com acesso físico... até parece que não há computadores
infectados... Ou seja, se tiveres um computador infectado, e por acaso até ligas
fisicamente o telemóvel ao computador (para fazer update do WP7 para o 7.5,
por exemplo), quem te garante que o WP não ficou ZOMBIE?
Comentário
-
Originalmente Colocado por Nuno156 Ver PostO ANDROID também pode não permitir instalações de programas sem virem do
MARKET. É uma opção de configuração, ou seja, é ao critério do utilizador.
Quanto ao deploy com acesso físico... até parece que não há computadores
infectados... Ou seja, se tiveres um computador infectado, e por acaso até ligas
fisicamente o telemóvel ao computador (para fazer update do WP7 para o 7.5,
por exemplo), quem te garante que o WP não ficou ZOMBIE?
Sim, mas no android ele pergunta se queres activar a opção e até te leva logo ao menu, que é um grande risco e tentação para o utilizador normal. no 7 não tens isso.
E sim, pode ser infectado o 7 de várias formas, não é infalível, como qualquer sistema, só digo que os obstáculos são maiores (para o utilizador normal) que no android.
Por enquanto ;)
e talvez por ser um os com quota de mercado residual e pouco apetecível, ao contrário do droid.
Comentário
-
Originalmente Colocado por edias Ver PostSim, mas no android ele pergunta se queres activar a opção e até te leva logo ao menu, que é um grande risco e tentação para o utilizador normal. no 7 não tens isso.
E sim, pode ser infectado o 7 de várias formas, não é infalível, como qualquer sistema, só digo que os obstáculos são maiores (para o utilizador normal) que no android.
Por enquanto ;)
e talvez por ser um os com quota de mercado residual e pouco apetecível, ao contrário do droid.
Comentário
-
Só para actualizar este tópico, de modo a usá-lo como referência sobre o MAN IN THE BROWSER,
e assim condensar aqui toda a informação sobre o assunto.
http://forum.autohoje.com/off-topic/...ia-ajudas.html
Comentário
-
Originalmente Colocado por Nuno156 Ver PostNota bem:
O utilizador faz todas as autenticações.
O computador está por conta do PIRATA.
Ou seja, o pirata acede à conta ATRAVÉS da ligação que a vítima fez.
Por exemplo:
1- a vítima faz login na página genuína
2- o pirata usa o computador e ligação da vítima no acesso ao banco
3- o pirata manda efectuar a transacção que lhe interessa
4- no caso de envio de código para o telemóvel, o banco envia o código para
a operação que o pirata pediu
5- mostra uma mensagem falsa (do tipo da imagem)
6- pede para entrar o código de validação (do cartão matriz ou telemóvel)
7- a vítima deixa-se enganar (o site é legítimo), e introduz o código
8- o pirata usa o código para validar a operação que lhe interessa
Bom, mas isso é um trojan e peras!
implica que, mais ou menos em tempo real, o pirata tenha acesso visual ao que a vitima esta a fazer.
Teria que ser tipo um remote desktop.
Comentário
-
Originalmente Colocado por trovial Ver PostBom, mas isso é um trojan e peras!
implica que, mais ou menos em tempo real, o pirata tenha acesso visual ao que a vitima esta a fazer.
Teria que ser tipo um remote desktop.
Aquilo que o browser recebe do banco é HTML... basta passar o HTML recebido ao pirata,
e do pirata vai um HTML diferente para o browser da vítima.
A largura de banda usada é ínfima.
E não é mais ou menos em tempo real... é mesmo em tempo real, e só funciona se for
em tempo real. Porque, o acesso ao banco pelo pirata, apenas funciona enquanto a vítima
estiver a usar o site do banco.
Comentário
AD fim dos posts Desktop
Collapse
Ad Fim dos Posts Mobile
Collapse
SECÇÕES
Collapse
Comentário