Jump to content

Phishing Muit'afrente: Phishers Defeat Citibank's 2-Factor Authentication

Dabubble

By Dabubble
in Segurança e Redes

 Share

Recommended Posts

Dabubble boolean user

Dabubble

Posted
Posted

An anonymous reader writes "Crypto experts and U.S. Government regulations (FFIEC) have been pushing the need for financial Web sites to move beyond mere passwords and implement so-called "two-factor authentication" — the second factor being something the user has in their physical possession like a token — as the answer to protecting customers from phishing attacks that use phony e-mails and bogus Web sites to trick users into forking over their personal and financial data. According to a Washington Post Blog, 'SecurityFix,' phishers have now started phishing for the two-factor token ID from the user as well. The most interesting part is that these tokens only give you one minute to log in to the bank until that key will expire. The phishers employ a man-in-the-middle attack against the victim and Citibank to log in via php and conduct money transfers immediately when logged in." (An update to the blog entry notes that the phishing site mentioned has since been shut down.)

Fonte: http://it.slashdot.org/it/06/07/11/0337213.shtml

Phoebus void

Phoebus

Posted
Posted

Boas. Não é por nada mas creio que o pessoal visita o slashdot. Esse post imo foi despropositado e tornava-se bastante mais recreativo se escrevesses a tua opinião sobre o assunto.

O phishing é uma forma de enganar quem não está informado e quem não selecciona a sua caixa de email; a maior forma de combater esse tipo de ataque é informar as pessoas do perigo do phishing e não criar dupla verificação de identidade por parte das empresas, pois isso vai dar roturas como acontece neste caso.

skin void

skin

Posted
Posted

Bem vindo ao forum Phoebus. É verdade devias ter reescrito a noticia apesar do pessoal do forum (uma grande parte faça como tu). Isso é temporário porque a empresa vai arrnjar outra validação / verificação de identidade. E eu já ouvi boatos que foi um gajo que deixou escapar informações de segurança. Isso alguém descobre formas de passar pela segurança, mas a segurança arrnja outro sistema é sempre assim. É assim que acontece, tal como nos vírus e antí-vírus.

Our lives begin to end the day we become silent about things that matter - Martin Luther King

Dabubble boolean user

Dabubble

Posted
  • Author
Posted

1º- Acho a noticia muito interessante (principalmente os metodos como o "site-in-the-middle" com validacao de erros no site real 😉) e nem TODA a gente le o slashdot e nao é meu habito fazer post de news de outros sites.

2º - reescrever  noticia era inutil dar o meu comentario ja era outra historia que me leva ao 3º

3º - estou caoticamente cheio de trabalho dai ter sido tao sucinto

BTW: so agora reparei:

e não criar dupla verificação de identidade por parte das empresas, pois isso vai dar roturas como acontece neste caso.

????

duas e sempre melhor que uma, so que nenhnum sistema e impenetravel. isso e o mesmo que dizer que como uma determinada firewall nao oferece 100% proteccao e melhor nao usar nenhuma

Triton try-catch user

Triton

Posted
Posted

Também já tinha lido esta notícia no Slashdot. Ele estava a dizer que este sistema de dupla verificação ia dar muito mais trabalho e confusão às empresas, pois têm de mandar para casa um código único de verificação, mas claro que este sistema torna muito mais díficil a vida dos phishers. A melhor solução é informar as pessoas que caem neste tipo de coisas e começar, como já muitos fazem, a ter dois mails, um para o SPAM e outro para os assuntos importantes que não se dá a ninguém.

<3 life

skin void

skin

Posted
Posted

Ya! Essa começa a ser uma alternativa em que se deve apostar. E acho que os software's anti phishing e spam deviam ser melhorados pois cada dia que passa estes começam a ser as principais pragas e não os vírus e trojan's e ...! E devemos passar a utilizar programas para ler os mails em vez de os ler directamente do site. Porque assim os software's que temos instalados podem detectar muito mais rapidamente os problemas dos mail's. Acho que é um tema do qual podiamos falar muito 😉. Vai discussão?

Our lives begin to end the day we become silent about things that matter - Martin Luther King

Dabubble boolean user

Dabubble

Posted
  • Author
Posted

Também já tinha lido esta notícia no Slashdot. Ele estava a dizer que este sistema de dupla verificação ia dar muito mais trabalho e confusão às empresas, pois têm de mandar para casa um código único de verificação, mas claro que este sistema torna muito mais díficil a vida dos phishers. A melhor solução é informar as pessoas que caem neste tipo de coisas e começar, como já muitos fazem, a ter dois mails, um para o SPAM e outro para os assuntos importantes que não se dá a ninguém.

Tens razao mas a questao e imo quem sabe que vale a pena ter dois mails nao cai no phishing 😉

skin void

skin

Posted
Posted

Claro porque os que fazem isso são os mais cuidadosos e mais experientes! eu hj recebi um e-mail d phishing no meu g-mail e já o guardei para depois poder incluir na categoria de exemplos do meu projecto de Phishing que estou a desenvolver com o Gurzi. E tipo à partida aquilo não era um Phisher pois era apenas mais um daqueles e-mail chatos mas quem olhasse com mais atenção e fosse ver a página via que a página servia para apanhar os nossos dados. Se alguem quiser ver eu mando n tem problema se não colocar os dados!

Our lives begin to end the day we become silent about things that matter - Martin Luther King

skin void

skin

Posted
Posted

No fundo, o Phishing é mais um passo na evolução dos sistemas de engenharia social. Só cai quem é inexperiente ou desatento.

É verdade. Devia era existir mais informação e divulgação porque  eu trabalho com este tipo de fraude de muito perto todos os dias. E a BOA informação existente é muito pequena e vaga.

Our lives begin to end the day we become silent about things that matter - Martin Luther King

Dabubble boolean user

Dabubble

Posted
  • Author
Posted

A verdade e que nos nao costumamos levar o phishing muito a serio porque confiamos nas nossa capaciades de detectar paginas de phishing. Mas a verdade e que algumas sao mesmo quase ou totalmente impossiveis de distinguir.

Exemplo:

http://www.geocities.com/funniest_jokes_on_the_net_8/

A pagina parece completamente legitima.

A unica forma de dsconfiar que esta pagina nao e legitima e a maneira como a referencia dela nos chega (por spam IM message ou SPAM mail)

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.