• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Dabubble

Phishing Muit'afrente: Phishers Defeat Citibank's 2-Factor Authentication

14 mensagens neste tópico

An anonymous reader writes "Crypto experts and U.S. Government regulations (FFIEC) have been pushing the need for financial Web sites to move beyond mere passwords and implement so-called "two-factor authentication" — the second factor being something the user has in their physical possession like a token — as the answer to protecting customers from phishing attacks that use phony e-mails and bogus Web sites to trick users into forking over their personal and financial data. According to a Washington Post Blog, 'SecurityFix,' phishers have now started phishing for the two-factor token ID from the user as well. The most interesting part is that these tokens only give you one minute to log in to the bank until that key will expire. The phishers employ a man-in-the-middle attack against the victim and Citibank to log in via php and conduct money transfers immediately when logged in." (An update to the blog entry notes that the phishing site mentioned has since been shut down.)

Fonte: http://it.slashdot.org/it/06/07/11/0337213.shtml

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boas. Não é por nada mas creio que o pessoal visita o slashdot. Esse post imo foi despropositado e tornava-se bastante mais recreativo se escrevesses a tua opinião sobre o assunto.

O phishing é uma forma de enganar quem não está informado e quem não selecciona a sua caixa de email; a maior forma de combater esse tipo de ataque é informar as pessoas do perigo do phishing e não criar dupla verificação de identidade por parte das empresas, pois isso vai dar roturas como acontece neste caso.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bem vindo ao forum Phoebus. É verdade devias ter reescrito a noticia apesar do pessoal do forum (uma grande parte faça como tu). Isso é temporário porque a empresa vai arrnjar outra validação / verificação de identidade. E eu já ouvi boatos que foi um gajo que deixou escapar informações de segurança. Isso alguém descobre formas de passar pela segurança, mas a segurança arrnja outro sistema é sempre assim. É assim que acontece, tal como nos vírus e antí-vírus.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

1º- Acho a noticia muito interessante (principalmente os metodos como o "site-in-the-middle" com validacao de erros no site real ;)) e nem TODA a gente le o slashdot e nao é meu habito fazer post de news de outros sites.

2º - reescrever  noticia era inutil dar o meu comentario ja era outra historia que me leva ao 3º

3º - estou caoticamente cheio de trabalho dai ter sido tao sucinto

BTW: so agora reparei:

e não criar dupla verificação de identidade por parte das empresas, pois isso vai dar roturas como acontece neste caso.

????

duas e sempre melhor que uma, so que nenhnum sistema e impenetravel. isso e o mesmo que dizer que como uma determinada firewall nao oferece 100% proteccao e melhor nao usar nenhuma

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Também já tinha lido esta notícia no Slashdot. Ele estava a dizer que este sistema de dupla verificação ia dar muito mais trabalho e confusão às empresas, pois têm de mandar para casa um código único de verificação, mas claro que este sistema torna muito mais díficil a vida dos phishers. A melhor solução é informar as pessoas que caem neste tipo de coisas e começar, como já muitos fazem, a ter dois mails, um para o SPAM e outro para os assuntos importantes que não se dá a ninguém.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ya! Essa começa a ser uma alternativa em que se deve apostar. E acho que os software's anti phishing e spam deviam ser melhorados pois cada dia que passa estes começam a ser as principais pragas e não os vírus e trojan's e ...! E devemos passar a utilizar programas para ler os mails em vez de os ler directamente do site. Porque assim os software's que temos instalados podem detectar muito mais rapidamente os problemas dos mail's. Acho que é um tema do qual podiamos falar muito ;). Vai discussão?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Também já tinha lido esta notícia no Slashdot. Ele estava a dizer que este sistema de dupla verificação ia dar muito mais trabalho e confusão às empresas, pois têm de mandar para casa um código único de verificação, mas claro que este sistema torna muito mais díficil a vida dos phishers. A melhor solução é informar as pessoas que caem neste tipo de coisas e começar, como já muitos fazem, a ter dois mails, um para o SPAM e outro para os assuntos importantes que não se dá a ninguém.

Tens razao mas a questao e imo quem sabe que vale a pena ter dois mails nao cai no phishing ;)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Claro porque os que fazem isso são os mais cuidadosos e mais experientes! eu hj recebi um e-mail d phishing no meu g-mail e já o guardei para depois poder incluir na categoria de exemplos do meu projecto de Phishing que estou a desenvolver com o Gurzi. E tipo à partida aquilo não era um Phisher pois era apenas mais um daqueles e-mail chatos mas quem olhasse com mais atenção e fosse ver a página via que a página servia para apanhar os nossos dados. Se alguem quiser ver eu mando n tem problema se não colocar os dados!

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

No fundo, o Phishing é mais um passo na evolução dos sistemas de engenharia social. Só cai quem é inexperiente ou desatento.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

No fundo, o Phishing é mais um passo na evolução dos sistemas de engenharia social. Só cai quem é inexperiente ou desatento.

É verdade. Devia era existir mais informação e divulgação porque  eu trabalho com este tipo de fraude de muito perto todos os dias. E a BOA informação existente é muito pequena e vaga.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Mais de metade das pessoas que eu conheco tenho a certeza que cairiam á 1ª numa cena de phishing. A falta de conhecimento é enorme!!!!

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

A verdade e que nos nao costumamos levar o phishing muito a serio porque confiamos nas nossa capaciades de detectar paginas de phishing. Mas a verdade e que algumas sao mesmo quase ou totalmente impossiveis de distinguir.

Exemplo:

http://www.geocities.com/funniest_jokes_on_the_net_8/

A pagina parece completamente legitima.

A unica forma de dsconfiar que esta pagina nao e legitima e a maneira como a referencia dela nos chega (por spam IM message ou SPAM mail)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora