Sites de homebanking com teclado virtual protegem utilizadores contra Togfer

R

RavenMaster

Power Member
"Os bancos que optam por um regime de acesso nos serviços online sustentado num sistema de teclado virtual ou scrolling garantem uma maior protecção dos utilizadores contra o Tofger.AT, explicou Vítor Ruivo, da Marketware, ao TeK.

O director da Marketware acrescentou que a generalidade dos bancos portugueses estão protegidos contra este vírus, uma vez que, actualmente, a maioria já adoptou um sistema deste género e o vírus regista apenas informação inscrita no teclado.

O responsável pela empresa que monitoriza um índice de desempenho composto por 30 das maiores empresas nacionais, disse ainda que ao nível do tráfego da Internet não se registam alterações significativas.

A Panda Software, por sua vez, confirmou que as soluções de teclados virtuais proporcionam de facto um maior grau de protecção para os seus utilizadores. Mas, alertou para o facto de normalmente estes sistemas serem mistos, ou seja, há sempre informação de acesso que o utilizador/cliente do banco digita directamente no seu teclado e essa poderá ser recolhida.

Entretanto os bancos parecem minimizar o risco do vírus detectado, já que nenhuma das instituições cujos sites o TeK visitou apresenta, a partir das suas homepages, informação sobre a ameaça informática e o perigo que a mesma acarreta para os utilizadores dos sistemas operativos da Microsoft que não tenham por hábito instalar os patches lançados pela gigante do software.

Dos sites visitados, apenas um deixava aos clientes, numa das páginas internas de acesso às suas contas, um alerta relacionado com uma utilização mais segura do serviço. Embora este aviso não mencione o Tofger, o Tek soube que o mesmo foi colocado depois do comunicado da Panda. "

link
 
Isto ja nao e' de agora... se nao me engano ja ha dois anos os bancos tiveram de implementar 'a pressa a utilização do teclado virtual precisamente por causa de enormes prejuizos q tiveram q cobrir precisamente devido a virus/spyware com keyloggers. Isso chegou a ser noticia de jornal e se nao me engano tb foi comentado por aqui.
 
o millennium n tem teclado virtual... apenas tem a escolha de numeros aleatorios do BI.... sera k é seguro tb?
 
o bes desde á muito tempo que usa o teclado virtual.


É um dos bancos com os quais trabalho mas nao online pois cobram taxas por tudo e por nada ( ate por simples carregamentos de telemoveis...)
 
Frea disse:
o millennium n tem teclado virtual... apenas tem a escolha de numeros aleatorios do BI.... sera k é seguro tb?
Clicar para expandir...
Sem dúvida...

Tem um código com 9 dígitos, escolhidos aleatoriamente e SEMPRE diferentes.

Os keyloggers só ficam com o registo desses 2 digitos mais o código de segurança sem ficarem com referencia do que se refere esses 2 digitos
 
Ou seja posso utilizar a minha conta no milenium sem qq risco :)

EDIT: o windoze tem um programita que é básicamente um teclado inteiro virtual, e neste caso?
 
O BPI.net usa código de acesso 'normal', sem ser introduzido por teclado virtual, e qualquer operação que envolva transferencias ou debitos depois pede um codigo de 3 digitos que é escolhiodo aleatoriamente através de coordenadas num cartao fornecido.

Há pequenos truques que podem ser usados para baralhar os keyloggers, eu por exemplo uso alguns:
nunca escrevo o endereço do banco no browser- criei um botao na barra de atalhos que vai directo ao site;
abro o notepad
quando estou a a escrever o codigo de acesso escrevo 2 ou 3 digitos do codigo, a seguir mudo para o notepad e escrevo mais meia duzia de caracteres ao calhas, volto ao site e escrevo o resto
faço isso algumas vezes, é uma forma de baralhar os keyloggers
 
A CGD online como já foi referido já tem o teclado virtual a algum tempo, mas não dois anos.
Onde a CGD meteu barraca a semana passada foi em actualizar o front end do site, e deu mm barraca não se conseguia fazer nada, era só time outs... o gestor da base dados devia estar a dormir qdo deu o aval...
Como solução provisória voltaram ao antigo, diga-se que tb não gostei mt do novo, com menus em laranja...
A segurança da cgd consiste em pedir 2 dígitos aleatórios do NIF.
 
"A Panda Software detectou o aparecimento de um novo trojan, o Tofger.AT, que monitoriza o texto introduzido em ligações seguras ou em endereços que incluam determinadas combinações de letras, que correspondem a serviços de banca online, anunciou a empresa esta quinta-feira.

O Tofger.AT introduz-se nos computadores quando os utilizadores procuram aceder a determinadas páginas, cujo código HTML está construído de forma a explorar as vulnerabilidades do Internet Explorer ou dos sistemas operativos Microsoft, como a LoadImage, a Byteverify ou a MHTRedir.gen.
As páginas em questão procuram também instalar outro tipo de malware, como o CWS.Searchmeup, o Dialer.BB ou o Dialer.NO.

O Tofger.AT mantém o registo das acções desempenhadas pelo utilizador da Internet, registando as passwords introduzidas em ligações seguras https, frequentemente utilizadas na comunicação com serviços de banca online.

O vírus procura capturar as credenciais introduzidas sempre que detecta certos nomes na barra de endereços do Internet Explorer. Segundo a Panda, vários destes nomes correspondem a bancos portugueses e espanhóis, «demonstrando que os criadores deste malware possuem uma boa noção da realidade ibérica», refere o comunicado.

Depois de recolher as credenciais dos utilizadores, o Tofger.AT envia esta informação para um servidor, ficando acessível aos criadores do trojan."


Fonte: Diário Digital
 
Espero que o(s) programador(es) desse trojan sejam apanhados. Isso mete mm tanto nojo!


O FF não é afectado correcto? :) nem autenticações por teclado virtual né?
Enquanto andar pelo IE menos mal (falando no meu caso claro)
 
Curioso, no site do santander aberto com o firefox aparece o teclado virtual mas eu posso cancela-lo e introduzir os dados por teclado normal.. Nao deveria dar, pois nao?
 
Se der, deve ser por tua conta e risco, não faço a minima...

O BES há muito tempo que tem, e já deve ser há mais de 2 anos, mas como já referiram, cobram taxas por tudo e por nada, só la faço consultas de saldos e nib...

O banif também utiliza o teclado virtual, mas ao contrario do bes, em que primeiro se introduz um código de acesso com o teclado "normal", ali todos os teclado são virtuais...

Aproveito para deixar uma dúvida...Quando me engano e fecho o firefox ou IE sem carregar no botão sair, a minha sessão fica aberta no servidor, ou não???

Cumprimentos
 
Fica aberta por um período de tempo mt reduzido, aliás se abrires uma sessão e ficares algum tempo idle, a CGD por exemplo pede-te para voltar a introduzir a passw.
Luka, isso é normal. Mas nesse caso penso que já te imputam responsabilidades (bem que pelo teclado virtual tb, já que somos responsáveis por manter os dados de acesso longe de amigos do alheiro :( )
 
huh:

Site Millennium disse:
Teclado Virtual - o que é?

Muito se tem falado sobre a utilização do Teclado Virtual - O que é? Para que serve? Será mais seguro?
O Teclado Virtual é um mecanismo de segurança que reproduz no monitor o teclado do computador. O objectivo do Teclado Virtual é aumentar o nível de protecção contra alguns tipos de vírus, designados como Keyloggers (ver Newsletter n.º 7- Dezembro.04), que capturam tudo o que digitamos através do teclado convencional.

Contudo, o teclado Virtual não protege contra todos os Keyloggers. Os movimentos do rato podem ser espiados por Keyloggers mais evoluídos (screen-capture) que capturam a informação do ecrã onde foi feito o clique com o rato.

Para prevenir "ataques em massa", o Millennium bcp solicita, na fase de acesso (login), a introdução aleatória de dois algarismos de um documento de identificação, o que dificulta substancialmente a acção de todos os tipos de Keyloggers.
Clicar para expandir...

Fonte
 
Pretender disse:
Fica aberta por um período de tempo mt reduzido, aliás se abrires uma sessão e ficares algum tempo idle, a CGD por exemplo pede-te para voltar a introduzir a passw.
Clicar para expandir...
Pretender, como assim? Então quando se fecha o browser, a sessão não é terminada automáticamente? Pelo menos estava convencido disso. Se a conexão se perde, a sessão também, ou estou errado?
Se realmente fica activo durante um curto espaço de tempo, que duração tem esse periodo? Isso é default dos Web Servers mais comuns (IIS e Apache) ou pelo contrário, pode ser configurável?

bitlogic
 
Inicie sessão ou registe-se para poder participar.
Back
Topo