Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 08 Dic 2004 00:00 Oggetto: Banche online tradite dai browser insicuri |
|
|
Commenti all'articolo Banche online tradite dai browser insicuri
Secunia.com pubblica una dimostrazione inquietante di come sia facile far comparire una pagina di un sito ostile all'interno di un sito fidato. Rischio phishing per quasi tutti i browser. |
|
Top |
|
|
Ospite
|
Inviato: 08 Dic 2004 17:50 Oggetto: Non tutti i browser si fanno infinocchiare |
|
|
Caro Paolo,
A proposito del test di Secunia (phishing del sito Citibank).
Ho fatto il test sia con Internet Explorer (e in questo caso confermo che si apre proprio la pagina di Secunia) sia con la nuova versione di Deepnet
Explorer che ha una funzione per bloccare il phishing. E infatti con questo browser si apre la pagina che si DEVE aprire:
http://www.citibank.com/domain/spoof/learn.htm
Se non conosci questo browser:
http://www.deepnetexplorer.com/default.asp
Grazie per tutto il tuo preziosissimo lavoro
Primo |
|
Top |
|
|
marco cavicchioli Ospite
|
Inviato: 08 Dic 2004 20:17 Oggetto: come funziona? |
|
|
come funziona questo codice javascript? la pagina visualizzata sta su www.citibank.com oppure no? l'url che appare nella location bar è quello corretto della pagina visualizzata oppure no? grazie. |
|
Top |
|
|
Marco Ospite
|
Inviato: 08 Dic 2004 20:25 Oggetto: Ciao a tutti |
|
|
" Per fortuna che c'é riccardo che alle norme ha sempre riguardo "....Scusate ma con questo non voglio offender nessuno.
Questa storia delle " fasulle " banche é vera .Personalmente mi é capitato la stessa cosa ma non per la banca , ma per la ricevuta Online della TeleKom Tedesca. La fortuna era che una settimana prima di questa " falsa " ricevuta mi é arrivata quella vera . Scaricando la posta vedo " Ricevuta di Novembre " , da Italiano ho tirato giú qualche Santo .....Ma se ho giá pagato , mi sono chiesto. Il testo era fatto a regola D´arte , come quella vera ,ma il LINK che dovevi cliccare per ricevere informazioni era Truccato. Come L´ho scoperto ,facile , Prima vedo sotto Google se ci sono notizie di " Bufale " poi ..Apro, facendomi il segno della croce :-) . Purtroppo da Italiano all`estero posso fare la differenza tra Italia e Germania . Apparte la Birra ;-) , qui quando appare una truffa come questa della HP della banca o della Telekom o qualche Virus, quasi Tutti i telegiornali al tardi pomeriggio informano dei vari pericoli di Internet. Comunque grazie a ZEUS che ci informa .
Chissá se qualche persona della RAI mi sta leggendo e prenda lapalla al balso facendo un minuto di informazione su Internet al telegiornale la sera. Apparte NEAPOLIS , che dura solo 15 minuti che se vuoi vedere la trasmissione , devi prendere mezza giornata di ferie .
Pace e Bene e Buon Natale a tutti.
Ich wünsche euch ein fröhes Weihnachts fest.
Marco |
|
Top |
|
|
Dario Ospite
|
Inviato: 08 Dic 2004 21:36 Oggetto: Provato con Safari... |
|
|
e si apre la pagina giusta. IE e Firefox portano al sito di Secunia.
Dario |
|
Top |
|
|
Claudio Ospite
|
Inviato: 08 Dic 2004 21:42 Oggetto: Infatti mi era arrivato proprio questa cosa.. |
|
|
con una banca online .. e mi ero accorto dell'inghippo. Ma non sono tutti cosi' attenti.. |
|
Top |
|
|
Pincopallino Ospite
|
Inviato: 08 Dic 2004 22:07 Oggetto: Opera 7.60 immune |
|
|
Opera7.60 (attualmente in beta) è immune da questa vulnerabilità.
http://my.opera.com/forums/showthread.php?s=&threadid=75005
La versione finale è attesa per l'inizio del 2005. |
|
Top |
|
|
Claudio Ospite
|
Inviato: 08 Dic 2004 22:26 Oggetto: Correzione |
|
|
Mi sembra che la correzione che per'altro non avete nemmeno evidenziato e addirittura messo in fondo alla pagina, sia di una rilevanza notevole e che vada mostrata molto meglio.
In quanto credo che ogni persona che acceda all'home banking non ci vada tramite un link della stessa banca trovato su un sito poco affidabile...
Mi sembra abbiate fatto del falso allarmismo. |
|
Top |
|
|
Paolo Attivissimo Ospite
|
Inviato: 08 Dic 2004 23:45 Oggetto: per Claudio |
|
|
>Mi sembra che la correzione che per'altro non avete nemmeno evidenziato e addirittura messo in fondo alla pagina, sia di una rilevanza notevole e che vada mostrata molto meglio.
Ho messo una nota a inizio testo.
>In quanto credo che ogni persona che acceda all'home banking non ci vada tramite un link della stessa banca trovato su un sito poco affidabile...
Mi sembra abbiate fatto del falso allarmismo.
Non credo. In fondo all'articolo ho aggiunto un esempio di scenario abbastanza normale in cui la falla viene sfruttata per carpire una password di Ebay.
Ciao da Paolo. |
|
Top |
|
|
Davide Ospite
|
Inviato: 09 Dic 2004 00:22 Oggetto: Falso allarmismo??? |
|
|
1. Mando 1 milione di email con una richiesta firmata Fineco di inserire codice utente e psw (per qualunque motivo)
2. Di questo milione di email il 99% finisce da utenti con browser vulnerabili
3. Di queste 990000, il 50% passa i filtri antispam.
4. Delle rimanenti 495000, lo 0.1% finisce a clienti Fineco.
5. Di queste 495 la metà finisce a utenti poco accorti (se non di più).
6. Mi ritrovo 247 codici utente e psw per fare bonifici sul mio conto corrente.
Ma forse sono un'allarmista...
Occhi aperti e grazie a Paolo per il suo lavoro |
|
Top |
|
|
Ginex Ospite
|
Inviato: 09 Dic 2004 08:34 Oggetto: Mah... |
|
|
Mozilla Firefox 1.0rc2 .... mi compare al pagina di Citibank...poi si apre una pagina "Learn about spoofs" di Citibank.... |
|
Top |
|
|
Ospite
|
Inviato: 09 Dic 2004 08:37 Oggetto: correzione bis: |
|
|
La falla esiste anche se si raggiunge il sito fidato digitantolo a mano o attraverso i propri segnalibri. Per attivare la falla, è sufficente/necessario che sia aperta, in un'altra videata del browser, la pagina con il codice maligno. Provare per credere: prima andate sul sito di Citibank http://www.citibank.com/us/index.htm e cliccate sul pulsante 'Consumer Alert': vi verrà fuori la pagina corretta. Ora attivate (in un'altra finestra) la pagina dimostrativa di Secunia, tornate sulla pagina di citibank e cliccate di nuovo sul pulsante 'Consumer Alert'... |
|
Top |
|
|
Alessandro Ospite
|
Inviato: 09 Dic 2004 09:40 Oggetto: Test su Firefox |
|
|
Non mi sembra che Firefox suia affetto da questo problema. Ho provato ed è andato direttamente su Citybank...e i miei javascript sono attivati... |
|
Top |
|
|
Ospite
|
Inviato: 09 Dic 2004 09:45 Oggetto: per me è una balla |
|
|
firefox + w98 : nessun problema |
|
Top |
|
|
Paolo Ospite
|
Inviato: 09 Dic 2004 09:59 Oggetto: Alcune banche sono sicure lo stesso... |
|
|
La mia banca, ad esempio, utilizza due certificati (uno lato client ed uno lato server) per mutua autenticazione. Solo in seguito sono chieste userid e password (che devono essere coerenti con il certificato client). In questo modo non è possibile l'hijacking o il man-in-the-middle.
Mi chiedo perchè la maggior parte delle banche non usi questo accorgimento (forse i costi di gestione...) |
|
Top |
|
|
S. Ospite
|
Inviato: 09 Dic 2004 10:19 Oggetto: Grazie Paolone Attivissimissimo! |
|
|
Per fortuna che Ci 6 Tu e la Comunità a mettermi in guardia!
Io sono cliente Banca Fineco, e da parte loro, a tutt'oggi sorvolano su questi problemi, non rilasciando nessuna particolare informazione... ma è un problema a loro danno, se non si danno una mossa: i clienti 'normali', non sanno nulla di sicurezza e di cultura della sicurezza dei dati
MA MI RENDO SEMPRE PIU' CONTO CHE 'A SON IN MAN DEA POJA' (= NON HO ALCUNA SALVAGUARDIA)
Grazie a Tutti.
I prossimi giorni, mi atrezzo meglio anche su questo
aspetto.
Spero di non passarci sopra le Ferie di Natale! |
|
Top |
|
|
Paolo Attivissimo Ospite
|
Inviato: 09 Dic 2004 10:53 Oggetto: Correzione bisRe: |
|
|
>La falla esiste anche se si raggiunge il sito fidato digitantolo a mano o attraverso i propri segnalibri.
Ho seguito le tue istruzioni con Firefox 1.0, ma non ha funzionato. E' possibile che altri browser siano maggiormente vulnerabili. Safari (Mac OS), fresco di patch, non e' affetto da questa falla.
Ciao da Paolo. |
|
Top |
|
|
Silvio Ospite
|
Inviato: 09 Dic 2004 11:17 Oggetto: Non hoben capito... |
|
|
Non ho ben capito se il link 'pericoloso' si trovi nel sito http/https della mia banca o se sia un link su sito esterno che punta al sito della mia banca. Comunque sia, è una bella strizza! |
|
Top |
|
|
Ospite
|
Inviato: 09 Dic 2004 11:45 Oggetto: |
|
|
Io ho diabilitato le javascripts e non ho nessun problema.
POtrebbe essere una soluzione? |
|
Top |
|
|
Ospite
|
Inviato: 09 Dic 2004 12:00 Oggetto: paolo ghiglia: che banca hai? |
|
|
perchè - dato che la tua banca è ok - non ci dici che banca è? è vantaggio di tutti |
|
Top |
|
|
|