Anúncio

Collapse
No announcement yet.

Man-in-the-browser: Cuidado com o HOME BANKING

Collapse

Ads nos topicos Mobile

Collapse

Ads Nos topicos Desktop

Collapse
X
Collapse
Primeira Anterior Próxima Última
 
  • Filtrar
  • Tempo
  • Show
Clear All
new posts

    [Crime] Man-in-the-browser: Cuidado com o HOME BANKING

    Parece que o PHISHING já não está a dar...
    Agora a técnica é outra.

    Um colega meu foi vítima deste outro tipo de ataque.

    Em lugar de fazerem PHISHING, onde enviam um e-mail com um link para uma página
    semelhante, usam troianos para mudarem a página no computador da vítima.

    Estive a analisar o código da página no computador do meu colega, e parece que
    este ataque contacta um servidor na Roménia.

    Embora este ataque em particular tenha sido detectado num acesso ao BPINET,
    o código aparenta estar preparado para funcionar com qualquer banco.

    O sistema operativo onde o ataque ocorreu é WINDOWS, e o BROWSER foi o IE.

    Algumas mensagens que podem aparecer:
    Obrigado pela verificação. A actividade bancária online está atualmente sob manutenção prevista. Por favor verifique novamente dentro de 24 horas.
    Estamos a verificar as suas definições de segurança. Cada passo poderá levar entre 1 a 10 minutos. Por favor tenha paciência e não feche nem recarregue a página enquanto estamos a verificar a informação. Este é um procedimento único. Deverá completar a verificação até ao fim ou irá recomeçar de novo.
    PS: Isto aconteceu este fim-de-semana (5-6/11/2011)
    Editado pela última vez por Nuno156; 09 October 2013, 00:51. Razão: Mudança do título para incluir MAN IN THE BROWSER

    #2
    Obrigado pelo aviso, apesar de usar a Caixadirect

    Comentário


      #3
      Originalmente Colocado por Elemnt Ver Post
      Obrigado pelo aviso, apesar de usar a Caixadirect
      Eu imagino que também possam atacar a CGD.
      É que o código tem uma parte que diz:
      bank: "bpinet.pt"
      Se o código fosse específico apenas para o BPI, não seria necessário ter este
      parâmetro.

      Comentário


        #4
        Obrigado pelo heads-up!
        Não será bom avisar também o proprio BPI??

        Comentário


          #5
          Originalmente Colocado por BSG75 Ver Post
          Obrigado pelo heads-up!
          Não será bom avisar também o proprio BPI??
          Isso o meu colega já fez.
          Pediu para cancelar o acesso via HOME BANKING à conta dele.

          O problema é que não há muito que o banco possa fazer (para além de alertar
          os clientes). É que, pelo que eu pude ver, o código é injectado na página do
          lado do cliente (no BROWSER), e não do lado do servidor.

          Ou seja, é o computador da pessoa que está infectado.

          Comentário


            #6
            Vou estar atento a alguma alteração na entrada do site.

            De certeza já passaram essa info ao site, até por causa do acesso à conta.

            Comentário


              #7
              Pergunta de leigo: Com esse processo eles conseguem disfarçar o link?

              Comentário


                #8
                Se isso se está a passar, o preferível seria avisar directamente o Banco de Portugal, para que este comunique todas as instituições bancárias, do sucedido destas ocorrências.

                Comentário


                  #9
                  Originalmente Colocado por Valium Ver Post
                  Vou estar atento a alguma alteração na entrada do site.

                  De certeza já passaram essa info ao site, até por causa do acesso à conta.
                  O problema não parece estar no site.
                  O meu colega tem dois computadores em casa, e apenas num tem esse código
                  injectado na página.

                  Curiosamente, a página continua a mostrar HTTPS, mas não aparece o cadeado,
                  e o HTTPS aparece a cinzento e não a preto.


                  ScreenShot001.jpg

                  Comentário


                    #10
                    Originalmente Colocado por Jbranco Ver Post
                    Pergunta de leigo: Com esse processo eles conseguem disfarçar o link?
                    Está respondido. Ver imagem acima.

                    Comentário


                      #11
                      Originalmente Colocado por Nuno156 Ver Post
                      O problema não parece estar no site.
                      O meu colega tem dois computadores em casa, e apenas num tem esse código
                      injectado na página.

                      Curiosamente, a página continua a mostrar HTTPS, mas não aparece o cadeado,
                      e o HTTPS aparece a cinzento e não a preto.


                      [ATTACH]103836[/ATTACH]
                      Lá está acutalmente a imagem do site está um pouco diferente

                      Tentaram entrar nesse pc por outro browser? Faz o mesmo?

                      Comentário


                        #12
                        Originalmente Colocado por nto Ver Post
                        Se isso se está a passar, o preferível seria avisar directamente o Banco de Portugal, para que este comunique todas as instituições bancárias, do sucedido destas ocorrências.
                        E o que é que os bancos podem fazer?
                        Isto é como um KEY LOGGER do lado do cliente.
                        A única coisa que os bancos podem fazer é avisar os clientes.
                        Os clientes é que têm de garantir que têm os computadores livres de viroses.

                        Comentário


                          #13
                          Não sei o que é que acontece no caso do BPI mas na CGD sem o cartão matriz ou o telemóvel associado à conta não é possível fazer grande coisa mesmo que entrem no teu home banking.


                          EDIT: o que não invalida que sempre se tenha cuidados acrescidos neste tipo de situações!

                          Comentário


                            #14
                            Originalmente Colocado por Valium Ver Post
                            Lá está acutalmente a imagem do site está um pouco diferente

                            Tentaram entrar nesse pc por outro browser? Faz o mesmo?
                            Ele só usa IE.
                            Disse-lhe para tentar com o CHROME, mas não sei se já o fez. Tenho de
                            perguntar.

                            Quanto a dizeres que a página está diferente... não está.
                            A mensagem que mostro é dada DEPOIS (!!!) de fazer LOGIN.

                            Comentário


                              #15
                              Desculpa a minha ignorância mas como é que se dá o phising, depois pedem dados completos ? que dados ? ...

                              Comentário


                                #16
                                Originalmente Colocado por Rasec Ver Post
                                Não sei o que é que acontece no caso do BPI mas na CGD sem o cartão matriz ou o telemóvel associado à conta não é possível fazer grande coisa mesmo que entrem no teu home banking.


                                EDIT: o que não invalida que sempre se tenha cuidados acrescidos neste tipo de situações!
                                É semelhante.

                                Comentário


                                  #17
                                  Originalmente Colocado por Nuno156 Ver Post
                                  O problema não parece estar no site.
                                  O meu colega tem dois computadores em casa, e apenas num tem esse código
                                  injectado na página.

                                  Curiosamente, a página continua a mostrar HTTPS, mas não aparece o cadeado,
                                  e o HTTPS aparece a cinzento e não a preto.
                                  Por isso deve-se sempre verificar se a fonte da página está certificada.

                                  Comentário


                                    #18
                                    Originalmente Colocado por Nuno156 Ver Post
                                    E o que é que os bancos podem fazer?
                                    Isto é como um KEY LOGGER do lado do cliente.
                                    A única coisa que os bancos podem fazer é avisar os clientes.
                                    Os clientes é que têm de garantir que têm os computadores livres de viroses.
                                    Mas a questão é mesmo essa, que os bancos avisem os seus clientes.

                                    Comentário


                                      #19
                                      Originalmente Colocado por Nuno156 Ver Post
                                      Ele só usa IE.
                                      Disse-lhe para tentar com o CHROME, mas não sei se já o fez. Tenho de
                                      perguntar.

                                      Quanto a dizeres que a página está diferente... não está.
                                      A mensagem que mostro é dada DEPOIS (!!!) de fazer LOGIN.
                                      Ok, não tinha apercebido que era depois de login, que aparecia essa página.

                                      Comentário


                                        #20
                                        Originalmente Colocado por Nuno156 Ver Post
                                        Curiosamente, a página continua a mostrar HTTPS, mas não aparece o cadeado,
                                        e o HTTPS aparece a cinzento e não a preto.
                                        Eu entro pelo FF e o https também me aparece a cinzento, sem cadeado. Acho q sempre apareceu no bpinet, tanto quanto me lembro...

                                        Comentário


                                          #21
                                          Originalmente Colocado por Edge Ver Post
                                          Eu entro pelo FF e o https também me aparece a cinzento, sem cadeado. Acho q sempre apareceu no bpinet, tanto quanto me lembro...
                                          Culpa do banco portando... os certificados são invalidos e devem ser renovados.

                                          Comentário


                                            #22
                                            Originalmente Colocado por Rasec Ver Post
                                            Não sei o que é que acontece no caso do BPI mas na CGD sem o cartão matriz ou o telemóvel associado à conta não é possível fazer grande coisa mesmo que entrem no teu home banking.


                                            EDIT: o que não invalida que sempre se tenha cuidados acrescidos neste tipo de situações!
                                            Nota bem:
                                            O utilizador faz todas as autenticações.
                                            O computador está por conta do PIRATA.
                                            Ou seja, o pirata acede à conta ATRAVÉS da ligação que a vítima fez.

                                            Por exemplo:
                                            1- a vítima faz login na página genuína
                                            2- o pirata usa o computador e ligação da vítima no acesso ao banco
                                            3- o pirata manda efectuar a transacção que lhe interessa
                                            4- no caso de envio de código para o telemóvel, o banco envia o código para
                                            a operação que o pirata pediu
                                            5- mostra uma mensagem falsa (do tipo da imagem)
                                            6- pede para entrar o código de validação (do cartão matriz ou telemóvel)
                                            7- a vítima deixa-se enganar (o site é legítimo), e introduz o código
                                            8- o pirata usa o código para validar a operação que lhe interessa

                                            Comentário


                                              #23
                                              Originalmente Colocado por Audigy Ver Post
                                              Por isso deve-se sempre verificar se a fonte da página está certificada.

                                              Mas ESTÁ certificada.
                                              O acesso ao site É GENUÍNO!!!

                                              Não se trata de um site de PHISHING.
                                              É essa a diferença neste ataque.

                                              Comentário


                                                #24
                                                À partida isto não traz problema nenhum para o cliente, a não ser o inconveniente de ter que pedir uma nova chave para entrar no homebanking(e neste caso limpar o virus). Eles não conseguem fazer nada sem os cartões matriz e em alguns bancos o telemovel.
                                                Isto caso o cliente não caia na ideia de passar os números do cartão matriz... ainda não percebi como alguns ainda fazem isso depois de tantos avisos!

                                                Comentário


                                                  #25
                                                  Originalmente Colocado por Nuno156 Ver Post
                                                  Nota bem:
                                                  O utilizador faz todas as autenticações.
                                                  O computador está por conta do PIRATA.
                                                  Ou seja, o pirata acede à conta ATRAVÉS da ligação que a vítima fez.

                                                  Por exemplo:
                                                  1- a vítima faz login na página genuína
                                                  2- o pirata usa o computador e ligação da vítima no acesso ao banco
                                                  3- o pirata manda efectuar a transacção que lhe interessa
                                                  4- no caso de envio de código para o telemóvel, o banco envia o código para
                                                  a operação que o pirata pediu
                                                  5- mostra uma mensagem falsa (do tipo da imagem)
                                                  6- pede para entrar o código de validação (do cartão matriz ou telemóvel)
                                                  7- a vítima deixa-se enganar (o site é legítimo), e introduz o código
                                                  8- o pirata usa o código para validar a operação que lhe interessa


                                                  Got it, obrigado pela explicação.

                                                  De qualquer forma vou avisar os meus pais, peritos em usar o IE...

                                                  Comentário


                                                    #26
                                                    Originalmente Colocado por Nuno156 Ver Post
                                                    Mas ESTÁ certificada.
                                                    O acesso ao site É GENUÍNO!!!

                                                    Não se trata de um site de PHISHING.
                                                    É essa a diferença neste ataque.
                                                    Então a culpa está no utilizador... só se introduz dados da matriz/SMS Token quando este acaba de fazer uma operação.

                                                    Pedir sequencias da matriz assim do nada não é normal pois estas não fazem parte do mecanismo de login, só de autenticação de operações efectuadas no momento pelo mesmo.

                                                    Comentário


                                                      #27
                                                      Isto aconteceu exactamente igual aos meus pais.

                                                      Sem tirar nem pôr.

                                                      Ocorreu em março deste ano... portanto há 8 meses.


                                                      A ajuda do BPI foi 0 estrelas, que "actualizasse o anti-virus".

                                                      Acabou por ser reparado sem grandes problemas*


                                                      Como eles estão bem instruidos para que qualquer coisa estranha, ligar para o banco, nada de mal aconteceu.


                                                      Em ultima instância, estes ataques não provocam estragos se as pessoas cumprirem à risca as regras de usar home banking com segurança.





                                                      * O PC encontrava-se na empresa deles em modo renting, pelo que ligaram para empresa de renting e o PC foi trocado.

                                                      Comentário


                                                        #28
                                                        Originalmente Colocado por Audigy Ver Post
                                                        Então a culpa está no utilizador... só se introduz dados da matriz/SMS Token quando este acaba de fazer uma operação.

                                                        Pedir sequencias da matriz assim do nada não é normal pois estas não fazem parte do mecanismo de login, só de autenticação de operações efectuadas no momento pelo mesmo.
                                                        Oh pá... estás no site, verificas que até tem lá HTTPS, dizem que estão a fazer
                                                        uma verificação de segurança... tu até podes não cair, mas há muita gente que
                                                        vai cair, porque é INFINITAMENTE mais credível que o PHISHING.

                                                        Comentário


                                                          #29
                                                          Originalmente Colocado por paulofer Ver Post
                                                          À partida isto não traz problema nenhum para o cliente, a não ser o inconveniente de ter que pedir uma nova chave para entrar no homebanking(e neste caso limpar o virus). Eles não conseguem fazer nada sem os cartões matriz e em alguns bancos o telemovel.
                                                          Isto caso o cliente não caia na ideia de passar os números do cartão matriz... ainda não percebi como alguns ainda fazem isso depois de tantos avisos!
                                                          Não deves ter visto a explicação que eu deixei...

                                                          Comentário


                                                            #30
                                                            Uma pergunta um bocado noob... se correr o IE ou outro browser qq a partir de uma sandbox ou de uma "virtual machine" (qual?) para aceder a bancos e instituições onde a segurança é importante não será muitíssimo mais seguro?

                                                            Comentário

                                                            AD fim dos posts Desktop

                                                            Collapse

                                                            Ad Fim dos Posts Mobile

                                                            Collapse
                                                            Working...
                                                            X