Como evitar a fraude bancária na Internet
- Autor do tópico DekkeR
- Data Início
The Zombie
Power Member
E que tal meter isto em STICKY 
DekkeR
Power Member
Há sites que mostram o cadeado em baixo e não estão a correr em SSL, iludindo muitas pessoas.
Olham para a barra e pensam que é seguro, até porque no URL aparece https.. mas esquecem-se de clicar mesmo no cadeado para confirmar. A intenção é chamar a atenção para esse pormenor
xupetas
Banido
Há sites que mostram o cadeado em baixo e não estão a correr em SSL, iludindo muitas pessoas.
Olham para a barra e pensam que é seguro, até porque no URL aparece https.. mas esquecem-se de clicar mesmo no cadeado para confirmar. A intenção é chamar a atenção para esse pormenor
Pf mostra-me um
com o cadeado fechado claro 
ShadeX
Power Member
O ponto 2 do post é parvoeira completa. Não apanhei até hoje um unico site de phishing que aceitasse a password. Por defeito eles dizem sempre que a password está mal, estando ou não. Sinceramente é daquelas coisa básicas. Á segunda tentativa já sofreram um redirect para o site do banco/entidade a sério e a pass funciona. Nesse momento, das duas uma, ou a primeira pass estava realmente errada, ou já a ofereceram aos amigos do alheio. Obviamente, visto que os rapazes da "engenharia social" não são burros, se o povo começar a meter sempre uma pass errada á primeira, basta-lhe redireccionar apenas á 3ª tentativa. Problema resolvido.
Quanto ao ponto 3...
Mais um pensamento errado. O meu webserver de testes tem SSL. Não importa muito que o Certificado seja feito por mim pois não? O Cadeado aparece á mesma... Logo, estares com uma ligação SSL significa muito pouco se não puderes realmente confiar na CA. E quantos são os bowsers que te obrigam a ver o path de certificação completo antes de aceitar o certificado? Pois, tambem pensei o mesmo...
Resumindo, enquanto o povo continuar a usar "receitas" e não quiser saber dos mecanismos em si, o phishing vai continuar de vento em popa. É só inventar coisas novas que não estejam na lista de receitas e os users embarcam todos outra vez.
De qualquer modo, há um método mais eficaz. Leiam esta news. Querem mais simplicidade? Compromete-se a máquina, dropa-se lá um ficheirinho e pronto, os users alegremente vão largando a info.
Na news a bronca é o FF/IE usarem as credenciais que têm guardadas sem checkarem o URL, mas isso é falho. Se o browser não o fizesse sozinho, fazia o user sem sequer pensar no assunto.
Obviamente, comprometer o sistema não é trivial, mas dá resultados muito melhores que os sites de phishing normais.
Quanto ao ponto 3...
Mais um pensamento errado. O meu webserver de testes tem SSL. Não importa muito que o Certificado seja feito por mim pois não? O Cadeado aparece á mesma... Logo, estares com uma ligação SSL significa muito pouco se não puderes realmente confiar na CA. E quantos são os bowsers que te obrigam a ver o path de certificação completo antes de aceitar o certificado? Pois, tambem pensei o mesmo...
Resumindo, enquanto o povo continuar a usar "receitas" e não quiser saber dos mecanismos em si, o phishing vai continuar de vento em popa. É só inventar coisas novas que não estejam na lista de receitas e os users embarcam todos outra vez.
De qualquer modo, há um método mais eficaz. Leiam esta news. Querem mais simplicidade? Compromete-se a máquina, dropa-se lá um ficheirinho e pronto, os users alegremente vão largando a info.
Na news a bronca é o FF/IE usarem as credenciais que têm guardadas sem checkarem o URL, mas isso é falho. Se o browser não o fizesse sozinho, fazia o user sem sequer pensar no assunto.
Obviamente, comprometer o sistema não é trivial, mas dá resultados muito melhores que os sites de phishing normais.
Bem, mas depende dos bancos...
O BCP tem um sistema de segurança quase a prova de bala, com validação via 2 nº do BI aleatório (que não é digitado) e quando se faz transferencias e pagamento, novamente tem que selecionar 2 nº aleatórios de uma chave que vem pelo correio...
O phising que já vi do BCP, mostra 1 janela que pede para digitar TODOS os 4 dados inteiros de uma forma discarada! Só cai quem quer...
Shadex, uma coisa, eu quando acedo ao banco, vou sempre pelo link que tenho guardados nos favoritos, em principio é seguro porque estou sempre a aceder ao site verdadeiro hum? O phising que conheço é os que vem via e-mail com um link fake que simula o site original e a url, mas no fundo está escondida...
mas pronto, como a informática é baseada em 0's e 1's há sempre alguem a tentar driblar os sistemas de segurança... É tudo atráz do dinheiro fácil.
O BCP tem um sistema de segurança quase a prova de bala, com validação via 2 nº do BI aleatório (que não é digitado) e quando se faz transferencias e pagamento, novamente tem que selecionar 2 nº aleatórios de uma chave que vem pelo correio...
O phising que já vi do BCP, mostra 1 janela que pede para digitar TODOS os 4 dados inteiros de uma forma discarada! Só cai quem quer...
Shadex, uma coisa, eu quando acedo ao banco, vou sempre pelo link que tenho guardados nos favoritos, em principio é seguro porque estou sempre a aceder ao site verdadeiro hum? O phising que conheço é os que vem via e-mail com um link fake que simula o site original e a url, mas no fundo está escondida...
mas pronto, como a informática é baseada em 0's e 1's há sempre alguem a tentar driblar os sistemas de segurança... É tudo atráz do dinheiro fácil.
Última edição:
ShadeX
Power Member
Si, concordo plenamente. Pelo menos até alguem "subverter" o DNS server que usas e te começar a mandar para páginas realmente bem esgalhadas e obviamente falsas. Não era a primeira ves, não vai ser a ultima. E antes que digas qualquer coisa, não reparaste num certo thread de um certo DNS server alternativo ao dos ISPs? Ninguem disse que tinham más intenções, mas de boas intenções está o Inferno cheio.
Citando um certo jogo, "Trust is a weakness". E lamentavelmente toda a segurança online assenta numa cadeia de trust fundamentalmente falha. E é assim apenas e somente porque "dá jeito". Por cada fraude tens milhões de transações legitimas. Os lucros compensam as percas. Os cartões de crédito são o melhor exemplo disso. Se fosses implementar uma coisa "á séria", ficavas sem 70% dos clientes, porque eles não tinham paciência.
Só gostava era que para os outros 30% houvesse essa alternativa séria de segurança. Há povo que não se importava de ter o trabalho extra se isso significasse que a eventual culpa ficasse estritamente entre o user e a entidade final.
xupetas
Banido
EU leio SEMPRE os certificados que aceito... tu não?
DekkeR
Power Member
Eu lembro-me do scam que houve com o Paypal há uns tempos atrás, onde o site apresentado tinha lá o cadeado (só não me lembro se estava fechado ou não) e o https:// no url. Atenção que eu não entrei no site, apenas vi um screenshot da página.Pf mostra-me um
spastikman
Banido
o ponto nº 1 e 2 não servem de grande coisa ...
O ponto nº 3 já é uma boa ajuda, mas mesmo assim...
Sinceramente acho que esse é daqueles aviso que não devia circular na internet. É apenas uma forma de dar ideias a pessoas mal intencionadas.
O ponto nº 3 já é uma boa ajuda, mas mesmo assim...
Sinceramente acho que esse é daqueles aviso que não devia circular na internet. É apenas uma forma de dar ideias a pessoas mal intencionadas.
ShadeX
Power Member
A questão não é se lês ou não, é se confias. E eu não confio.
Apenas a titulo de exemplo lembro-te a ocasiao em que alguem na Verisign (IIRC) "deu" um certificado que servia para assinar software, e que, só por acaso, dizia que o soft era Microsoft... Um search rápido leva-nos a Verisign.
Vá, diz lá que te sentes seguro quando dependes de uma 3rd party sob qual nem tu nem a end entity têm controle.
xupetas
Banido
Sabes como funcionam os certificados emitidos para bancos?
Sabes o conteudo de um certificado?
Para um hack desses funcionar, tinham q me fazer um dns poisoning para que o ip novo batesse certo com o novo certificado que tinha q ser exactamente igual ao antigo...
Mas espera se o ip mudasse em relação ao certificado já instalado... então até o IE apitava... para n falar do firefox...
Suponho que estejas a perceber onde estou querer ir...
Ps: e não... não uso sites bancários fora do meu pc de casa
logo n tenho problemas de certificados...
ShadeX
Power Member
Por acaso não sabia que tambem continha o ip da box em causa.
Sei. Estas a ir para o ponto onde não só tinha de subverter o teu DNS server como tambem o teu router. Como eu disse, não trivial e tambem não inédito
Obviamente, isto é académico, pq uma operação destas dava nas vistas em segundos, assumindo um ISP com um minimo de administradores com A. E dai...
Não percebi, se o DNS é configurado a nível da minha maquina e do router como que poderei ser direcionado para sites falsos? Para isso tb outro sites tb deviram não funcionar se estaria a ser direcionado para um site do banco falso