Wifi + banki ügyintézés online

Security-all

Sziasztok.

Szeretném most az elején leszögezni, hogy nem valamiféle how to-t akarok létrehozni, csak nem megy ki a fejemből a dolog.

Ugyanis nemrégiben láttam a Lopják az életem című dokumentumfilmet, ami az "identitástolvajokról" szól. Azaz lényegében arról, hogy hogyan lopják el a bűnözők a bankszámlákról a pénzt. És van benne egy rész, amikor az etikus hackerek beszállnak egy autóba és találomra járják az utcákat. A náluk lévő laptopon pedig a netstumbler segítségével azt mutatják, hogy milyen sok levédetlen wifi hálózat van egy átlagos nagyvárosi utcában. És azt mondja az egyik hacker, hogy most akár el is tudná lopni a védtelen hálózatokon áthaladó banki jelszavakat és felvenni a számlákon lévő pénzt.

Arra lennék kíváncsi, hogy ezt mégis hogy?
Nyílván letudja hallgatni a hálózatot, sőt valószínűleg be is tudna törni a gépekre és trójait telepíteni rá, így megszerezhetné a jelszavakat, amikor az áldozat online intézi a banki ügyeit, vagy mondjuk, amikor éppen a neten vásárol valamit.
De szöget ütött a fejemben a kérdés, hogy mégis hogyan csinál ebből pénzt? Ugyanis ha átutal az áldozat számlájáról a saját számlájára, akkor azt simán letudja nyomozni a rendőrség, nem? Vagy ha a neten vásárol valamit a másik kontójára, akkor a rendőrök kikérik az adatokat az online bolttól és egyszerűen elmennek a házhoz, ahova a termékeket megrendelték, nem?

  • 2632 megtekintés

( Husky | 2010. 04. 11., v – 11:38 )

Lásd - tolvajok kézikönyve 227 oldal: bankszámlanyitás lopott vagy hamisított személyi adatokkal.

( dj | 2010. 04. 11., v – 12:56 )

Legtöbb banknál van valamilyen ellenőrző mechanizmus, pl. sms kód. Azt, hogy lopja el? Bankkártya adatok eltulajdonítását és ezekkel való visszaéléseket elfogadom, de erre pedig van ugye a vásárlási és pénzfelvételi limit, amellyel minimalizálni lehet a veszteségeket. Ha ezek nincsenek valamelyik banknál, akkor sűrgősen váltani kell.

"Legtöbb banknál van valamilyen ellenőrző mechanizmus, pl. sms kód. Azt, hogy lopja el?"

Pl. megtori magat a telefont (egy smartphone siman van annyira komplex, mint egy szamitogep, cserebe joval kevesebbet torodnek a biztonsagaval - gyonyoru pelda a touchflo-s format string bug), vagy leparkolnak a haz ele, es mitm-et jatszanak a gsm halozaton (lasd meg: imsi-catcher).

Nem annyira gyakori, mint a google translate-el osszetakolt phishing-mail, de meg lehet csinalni. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Megtöri a telefont... elképzelem ahogy az utcán megy lapronggyal majd egyszer csak az mondja "és most a telefonját bemérem és feltöröm..." :D Kicsit fantasztikus film a dolog. Azzal egyetértek ha koncentráltan, előre tervezett rablás áldozataként, sok sok munkával ellopnak mindent ahhoz, hogy megszerezzék a banki dolgaidat. De ehhez nagy kutyának kell lenni, bőséges számlával. No ha meg már nem privát számla hanem céges, akkor rögtön TOKEN-ra van szükség. :)

Szerintem nem kell félni, hogy így rabolnak ki, ha mégis a bank kártalanít. :)

"Megtöri a telefont... elképzelem ahogy az utcán megy lapronggyal majd egyszer csak az mondja "és most a telefonját bemérem és feltöröm...""

Rosszul kepzeled el. :)
Inkabb ugy erdemes, hogy a T. Juzer menetrendszeruen beszerzi az epp divatos malwaret, majd radugja a telefonjat, hogy szinkronizalja a todo listajat/atpakolja a frissen warazsolt zeneit, ennek soran pedig felkerul az adott malware mobilra optimalizalt verzioja is. Ezutan mar csak ossze kell dolgozniuk.
Ebbol siman elkepzelheto egy sokmillio gepes fertozest okozo verzio, amiert megsincs, az leginkabb azert van, mert ez az sms auth cucc Mo-n kivul ennyire nem altalanos dolog.

A masik modszer viszont realisan tenyleg csak celzott tamadaskent kivitelezheto.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

NEM az sms-t kell megfogni, hanem az adott tranzakció adataiba kell belenyúlni - azaz az üf. azt kell lássa, hogy ő biza' a nagyinak küldött 10 petákot, és arra kapott sms-t, miközben a banknál egy teljesen más tranzakció kerül rögzítésre. Ezért kerülnek bele az sms-be a tranzakció főbb adatai - amit az emberek egy része (ugyanúgy, mint a POS-on a kiírt összeget az "OK." megnyomása előtt) nem olvas el.

( honorshark | 2010. 04. 11., v – 13:00 )

"Nyílván letudja hallgatni a hálózatot, sőt valószínűleg be is tudna törni a gépekre és trójait telepíteni rá, így megszerezhetné a jelszavakat, amikor az áldozat online intézi a banki ügyeit, vagy mondjuk, amikor éppen a neten vásárol valamit."

S azt hogy? Belehallgat a WEP2-es MAC vedett halozatba. oke, tegyuk fel itt rohadnak mar hetek ota, megteszik. Utana bejut a tartomanyba es feltori a teljesen friss Windows 7 x64-eseket. (Amiken biztonsagi szoftver van ami figyeli a halozatokat, tehat uj belepoket kizarja, DE ezen is atjut tamadonk hiszen mi az neki)) Ezt is feltetelezzuk. Utana az SSL-es adatcsatornabol kinyeri az adatokat (3. WTF) es az SMS kodomat is lehallgatja gondolom a radiohullamokon keresztul.. MIVAN?

Most komolyan.. ez inkabb egy viccre hasonlit. Ilyesmi filmekben van.

"Belehallgat a WEP2-es MAC vedett halozatba" "feltori a teljesen friss Windows 7 x64-eseket"

Abból indultunk ki, hogy hogy tudják felhasználni a biztonságra nem figyelő felhasználók adatait.

"Utana az SSL-es adatcsatornabol kinyeri az adatokat"

Ha feltörte a gépet, lementi a jelszót, amikor begépeled. Más kérdés, hogy ha nem csak lehallgat, hanem feltöri a gépet, annál már jóval valószínűbb, hogy más irányból, pl. rosszindulatú weblappal próbál bejutni.

"az SMS kodomat is lehallgatja gondolom a radiohullamokon keresztul"

Ez lesz az, ami normális esetben megállítja a dolgot. Viszont pl. UniCredit-nél van SMS ellenőrzés, de az SMS-ben csak kódot küldenek, számlaszámot és összeget nem, tehát ha a netbanki megbízásnál módosítják az adatokat, amikor elküldöd, azt nem veszed észre.

Úgy tudom, hogy sem a WEP2-es, sem a MAC filtering nem nyújt vezeték nélküli hálózaton megfelelő védelmet a lehallgatás ellen.
Előbbi azért, mert csupán a WEP (ami alapjaiban is hiányos) "ráncfelvarrása", utóbbi pedig azért, mert pl: WireShark-al kideríthető, hogy a gépeknek, melyek a hálózathoz csatlakoznak mi a MAC címük. Amikor valamelyik gép lecsatlakozik, a támadó lecseréli a saját MAC címét az övére és máris netezhet.

http://hu.wikipedia.org/wiki/WEP#WEP2

Viszont ezt a "biztonsagi szoftver van ami figyeli a halozatokat, tehat uj belepoket kizarja" részt kifejthetnéd kicsit bővebben, ugyanis nem teljesen értem, hogy mire gondolsz. Úgy értsem, hogy kizárja őket, ha ismeretlen a MAC címük? (Az előbb már tárgyaltam, hogy ezt hogyan lehet megkerülni.) Vagy úgy, hogy alapból kidob mindenkit, aki a hálózat felállása után, megadott időben nem csatlakozik a hálózatra?

SMS kódot pedig sajnos nem mindenki használ. Ha pedig már átutalták a számláról a pénzt, akkor feleslegesen jön az SMS értesítő. Bár nyugodtan javíts ki, mert ezt az SMS küldős rendszert nem ismerem, -lévén, hogy nem szoktam online bankügyeket intézni- talán úgy értetted, hogy még a tranzakció előtt kap az áldozat SMS-t, hogy jóváhagyhassa, vagy "visszamondhassa" az átutalást?

Komolyan. Ki nevelt / mi tett teged _ennyire_ paranoidda? :))
Amugy a biztonsagi szoftver az peldaul ... (ha jol lattam) Avast, BitDefender. De FIXME. Lenyegeben annyi hogy figyelmeztet, kizarhatod oket, etc. Bar oszinten belegondolva foggalmam sincs hogy mukodhet. (En is csak olvastam mikor kerestem szoftver utan).
Wireshark-al lehet belehallgat. De mibe? A titkositott adatfolyamba? Oh noes. Lementi a semmit. De most komolyan. Ennyibol dobd ki a gepet, a netet, nem ugy nezem hogy szamodra ez jo dolog. :/ Olyan biztonsagi szint nincs amit te akarsz.
Esetleg epits sajat routert, folyamatosan nezd a probalkozasokat. Vagy mar foggalmam sincs.. (Ha pl rejtve van egy halozat akkor megis hogy hallgat bele? Mar elakadtam..)

(Biztos van amugy valami hardveres encoder/decoder a feladatra. De ez mar felsobb dolog, nem hinnem civilszferaban alkalmazva lenne. Ha csak nem vagy a wifi hasznalatara kotelezve, hasznalj inkabb lant. :))

Nos, ez nem paranoia kérdése, ugyanis hál' Istennek nem kell tartanom ilyen jellegű próbálkozásoktól, csak gondoltam feldobom a témát, mert valahogyan megoldható, hogy kézhez kapják a pénzt (hiszen már sokan voltak akiknek sikerült), csak nem hagy nyugodni a kérdés, hogy hogyan.:)

Viszont már több éve a hobbim az IT biztonság, így már sikerült valamicskét elsajátítanom a szakmából.
Nem ismerem részletesen a lehallgatás és visszafejtés folyamatát (bár vannak tippjeim), de valahogy úgy működik, hogy a megfelelő programmal lehallgatják az -ekkor még titkosított- adatfolyamot (megtehetik, hiszen a rádió hullámokat nem csak azok kapják meg, akiknek küldték, hanem mindenki, akinek van megfelelő felszerelése (értsd ezalatt megfelelő érzékenységű, méretű antennát + sz.gép stb)), majd amikor megfelelő mennyiségű adatot gyűjtöttek, elkezdik a visszafejtést, az erre a célra kifejlesztett programmal. Ha a program a titkosított adatok összevisszaságából értelmes jelet kap vissza, az azt jelenti, hogy megvan a jelszó, amivel titkosították a kapcsolatot és elkezdődhet a garázdálkodás.

A rejtett hálózatba is bele lehet hallgatni, nem kell hozzá spéci hardver, csak pár szoftver meg egy kis jártasság a témában. Nem tudom már megmondani, hogy hogyan, de ebben a videóban tárgyalja Nemes Dániel:
http://donthackme.dnm-consulting.eu/wmv/0919_A_05.wmv

Na alljon meg a menet. A titkositott Wifi halozatra tudna bejutni. DE. Csak akkor ha nem vagyok rajt. Viszont. Ha bejut es nem vagyok rajt, nem er semmit. Ha fennt vagyok es nem tud racsatlakozni... remelem erted.

Wireshark-al max wep-est tudsz te elkapni. A WPA2 viszont kicsit erosebb, NAGYON sokaig kell ahhoz hallgatni es crackelni. Mint mar mondtam aki erre szakosodik az nem a te kis halozatod (vagy nagy) fogja feltorogetni.

Az elkapott adatokbol pedig sok ertelmest nem tudnak osszerakni. Foleg ha ssl-el dolgozol ami meg alap.

"Na alljon meg a menet. A titkositott Wifi halozatra tudna bejutni. DE. Csak akkor ha nem vagyok rajt. Viszont. Ha bejut es nem vagyok rajt, nem er semmit. Ha fennt vagyok es nem tud racsatlakozni... remelem erted."

Azt hiszem értem. Viszont a megállapításodban van egy hiba. Feltételezed, hogy csak egy gép van a hálózaton, a sajátod. De tegyük fel, hogy mondjuk te egy családnak, vagy mondjuk egy háztömbnek szolgáltatsz netet. A lényeg, hogy van legalább 1 ember, akiről nem tudod, hogy mikor fog fel- lecsatlakozni a WLAN-ra/ról. Így a betörőnek már könnyű dolga lesz a fentiek alapján végrehajtani egy támadást.

"Wireshark-al max wep-est tudsz te elkapni."

Tudtommal minden hálózati csomagot logol, amit megkap a géped, függetlenül attól, hogy titkosított-e vagy sem.

"A WPA2 viszont kicsit erosebb, NAGYON sokaig kell ahhoz hallgatni es crackelni."

Ebben egyet értünk, bár a hallgatáshoz nem kell több idő, a crackelés ideje pedig a kiválaszott jelszón múlik. Ha például egy szótárban megtalálható kifejezés a jelszó, akkor az hamar megvan. Ha pedig nem, akkor marad a nyers erő. (És ez alatt nem azt értem, hogy addig ütjük a rendszergazdát, amíg el nem árulja a jelszót.)

De erted. Ha most tobb gep is van, bejut. Es ? Tovabb nem jut, halozaton sem tud bovebben belehallgatni, a gepek pedig alapbol vedettek. (Igen most ez pl Windows/Linux kliensekre etrtem).

A csomagokat loggolja, de probald ki. Rakj belole ossze valami ertelmeset, sok sikert.

A jelszo pedig termeszetesen a max limitet elero, teljes lehetosegeket kihasznalo generalt jelszo. Ugy is te beallitod, ok meg hasznalja. Nekik nem kell tudniuk.

(Hidd el a nyers ero ahogy irtad, a pufoles, sokkalta celravezetobb mint ilyennel pocsolni.)
(De amugy en is lattam egy tv musort, a svindlerekben volt ugye hogy felcsatlakoztak egy vedetlen wifi-re, lementettek par screent ahogy az illeto netezett a macbookrol, etc. Na most ezt hogyan? Valami exploit es utana ramegy? Mert hiaba is kapok el csomagokat, nem igazan tudnak osszerakni belole egy uj teljes honlapot.)

Tapasztalatom az, hogy tűzfal mögött leledző home pécéken első dolog a beépített tűzfal kikapcsolása "minek, ott van a doboz" felkiáltással. Ez egészen addig jó is lehet (bár azt, hogy ki mehet ki és hova tcp/25-re, azt azért jó kordában tartani...), ameddig a LAN-oldal csak és kizárólag azt az egy pécét tartalmazza. Ha már van wifi, akkor rá kell döbbenni, hogy a határvédelem, amit a router megvalósít az internet és a belső hálózat határán nem elég, hiszen a wifi-t teljes mértékben nem lehet lezárni, illetve korlátozni, nem mondható ki, hogy gyakorlatilag teljes egészében az adott gép gazdájának a felügyelete alatt áll. Márpedig ha valami nincs a felügyeletem alatt, azt -ha kellőképp paranoid vagyok- nem tekinthetem megbízhatónak, azaz oda valamilyen határvonalat kell húznom, és a határon történő átjárást kell ellenőriznem, illetve szabályoznom. A wifi esetén maga az átviteli út a megbízhatatlan, ergo minden, ami a fizikai interfészen "túl" van, megbízhatatlan, azaz magán az interfészen kell csücsülnie egy olyan szűrésnek, mint ami a belső hálózatot elválasztja az internettől.

A Windows 7-et ilyen szempontból nem ismerem, de logikusan a géppel azonos subnet-ben lévő hostok felől a default beállításokkal elérhetőek bizonyos szolgáltatások, amiken keresztül van esély a gép feletti irányítás átvételére, ez az egyik. A másik, hogy ha az adott gép teljes forgalmát, vagy legalább a 80-as portról visszafelé menő forgalmat sikerül eltéríteni, és beleinjektálni némi malicsúsz :) tartalmat...

Hiaba injektal barmit is ha RT nezi a vedelmi szoftver hogy mit netezik az ember, mi nyilodik meg. Ez a lehetoseg kilove.

Masreszrol.. ez mar nagyon horror szintu paranoia. OpenBSD-sek is megirigyelhetnek a dolgot. (Tobbet meg nem tudok hozzarakni a biztonsagi reszhez mivel nalam meg mindig fokepp LAN kapcsolat van otthon es el van keritve kulso zonaba a wlan-os router pont emiatt.)

HA van tartalomszűrés. Én épp azt mondtam, hogy általában ilyen nincs, sőt, a beépített tűzfalat is ki szoktál kapcsolni, ha soho router mögött van a gép, mert azon már van... Az, hogy nálad külön zóna a wifi, az helyes döntés, csak ezt nagyon kevesen teszik meg - a default beállítás meg pont nem ilyen szokott lenni...

Hat jo de ha valakit erdekel a dolog akkor jobb ha erosen vedekezik. Minden esetre a bankos dolog az SMS-el MINDENKEPP erositendo HA van ra lehetoseg. (Amugy itt irom hogy WPA2-re gondoltam mar az elejen. Rejtett wifi, WPA2, MAC, zona, vedelmi szoftver, s akar MS essentials... boven tobb mint eleg. De oszinten szolva itt aki Wifi-n van az nem is csinal ilyesmit. En meg nem szeretem a wifi-t mert szimplan lassabb is. :))

( Fisher v | 2010. 04. 11., v – 13:35 )

Túl sokat nézed a tévét.

Először is nyilván arról van szó, hogy minél kevesebb nyitott wifit szeretnének, hiszen egy filléres usb-s wifivel bárki anonim módon szerezhet net hozzáférést. Ez csak azért érdekes, mert így tud indítani bármi olyasmit, amivel komolyabb károkat okozhat.

Amit én tennék, ha a két rajzfilmegér lennék:

- bejutnék valaki "wifijébe", tökmindegy, hogy az nyitott-e vagy nem
- a valószínűleg lopott win és lopott nod32 mellett alighanem könnyen lehet a gépére trójait tenni(1)
- lenyúlnám a bankkártyaadatait
- ezzel az adattal bérelnék n darab hostingot valahol, előre kiszemelt, mérsékelten lelkiismeretes cégeknél
- az n darab hostingról vállalnám spam, vírus terjesztését, vagy (d)dos támadást vagy bármit, hisz ingyen van
- azért kell nem túl lelkiismeretes szolgáltató, hogy ne az első percben blokkolja pl. az smtp forgalmamat, hanem esetleg egy-két nap után

A rendőrség maximum a szegény előfizetőig jut vissza, és esetleg megtalálják a pár ezer forintos usb wifi mekadresszét. Ami usb kulcsot egyébként már hetek óta kukába dobtam volna. Vagy csak letettem volna magam mellé a padra, alighanem 3-4 perc után nem kellene fáradnom a kidobásával.

1) ez a gépet zombivá téve máris lehet csúfságokat csinálni, hosting se feltétlen kell

( nhw | 2010. 04. 11., v – 23:35 )

"Ugyanis ha átutal az áldozat számlájáról a saját számlájára, akkor azt simán letudja nyomozni a rendőrség, nem? " Nem lenyomozzam, mert ott van fehéren feketén a bizonylaton. Ezen nincs mit nyomozni sem. :D

Kb ez olyan mint, hogy lenyomozzák a kocsid rendszámát, nem kell mert ott ülsz benne...

És mi a helyzet akkor, ha először egy olyan bankszámlára utalnak, amelyet hamisított adatokkal hoztak létre?
Teszem azt például létrehoznak hamis adatokkal egy PayPal-os vagy E-gold-os (vagy akármilyen ehhez hasonló, interneten regisztrálható) számlát, és előbb arra utalnak, majd a saját számlájukra.

( eax | 2010. 04. 12., h – 00:01 )

"De szöget ütött a fejemben a kérdés, hogy mégis hogyan csinál ebből pénzt?"

Klasszikus penzmosasi technikakkal. Fantomcegek, hajlektalanok neven nyitott szamlak, nagyerteku fizikai dolgok (pl. ekszer) megutaztatasa, etc.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( gee v | 2010. 04. 13., k – 16:51 )

persze nem eszik olyan forrón a kását, mert hiába hallgat le egy wifit, ha https-en keresztül kommunikálsz a bankoddal.

Én láttam egy műsor egy részét, ugyanez lehetett, vagy valami hasonló.

Ott azt mutatták az embernek, hogy x oldalon járt, repülőjegyet vett. A vásárlás kártya adatai nem voltak meg, csak az, hogy mikor nem lesz otthon - így a ház kirabolható, vagy akármi.

Egyébként ha én akarnék valami pénzt nyom nélkül átutalni, a western union jelszavas utalását használnám - elméletileg van (vagy pár éve volt) nekik ilyesmi, amikor nem adott embernek küldöm, hanem bárkinek, aki ismeri a jelszót.
Ha ilyenkor is kérnék a papírokat, akkor meg egyszerűen lopott (hamis) papírral venné fel a bűntárs a zsetont.

G

Nem ilyenre gondoltam, hanem olyasmire, hogy pl. az ember zsarol, váltságdíjat kap, etc. A filmekben mindig ott buknak le a rosszfiúk, amikor át akarják venni a zsetont.

Erre jutott eszembe, hogy utalhatnák WU-val valami másik országba, ahová persze a zsaruk nem tudnák időben odaküldeni az elfogó csapatot.

Szerintem bankból nem lehet WU-s utalást indítani.

G