Chat in the Middle

2009. szeptember 18. 17:41 - Csizmazia Darab István [Rambo]

Mindig van egy friss ötlet, vagy egy régebbi dolog tovább csavarintása, folyamatosan újabb típusú támadások elől húzodhatunk félre. A fősodor persze - az érdek a világ ura jegyében - mindig a pénzszerzés, ahogy most is. Ha Móra Ferenc ma élne, bizonnyal erről írná meg a Return of the Csili-csali Csalavári Csalavért ;-)

A banki ügyfelek adatainak megszerzése mindig is elől állt az összes számítógépes csalás vizsgálatánal a táplálkozási láncban. Kevéssé valószínű, hogy a bank személyzetise írjon nekünk. Ahogy előbb lesz shanghai táncosnő az öreganyánk és pucolja baltával az ablakot, mintsem egy bank e-mailen akarna minket adatfrissítésre kérni. Ezt jó lenne, ha mindenki már helyből tudná, de mivel nem tudja, ezért hát lehet próbálkozni. Egy fokkal már jobb ötlet telefonon a bank ügyintézőjeként jelentkezni, de aztán itt is lehet gyanakvóbb az ügyfél, és esetleg eléggé el nem ítélhető módon nem átallja orvul elhallgatni a PIN kódját a telefonáló elől :-) Aztán jött az autósokat megcélzó, és tilos parkolás/gyorshajtás miatti hamis linket tartalmazó ál-büntetéscetli a szélvő alá.

Most pedig itt a hybrid módszer banki remixe, melyre az RSA kutatói figyeltek fel. Online chat beszélgetésre hívják e-mailben a banki ügyfelet, ahol kap egy linket hozzá, és ez már elég. Látszólag a saját bankja oldalára jut, itt bekérnek néhány személyes adatot. Itt aztán további személyes információkat kérnek: cím, e-mail cím, telefonszám: ezekre már rögtön tudnak majd hivatkozni a későbbi chat beszélgetés esetén. Az RSA szakemberei több változatát is észlelték a csalásnak, a legviccesebb közülük az, amelyiknél éppen a csalások megelőzése miatt szólítja fel az ügyfelet azonosítóinak begépelésére. Naív ügyfél számlaszám-kód begépel; bűnöző hanyatt dől, hogy csak ilyen rövidke tőmondatokban fessük fel a szituációt. A Jabber IM modult alkalmazó chates módszer előnye, hogy valós időben, azonnal eljuttatja a begépelt adatokat a támadóknak. A Chat in the Middle (MITM-re hajazó neve alapján is) képes lehet a jövőben új babérokra törni.

Adathalászat volt, van, lesz. Nem tudjuk, létezik-e akkora Arial betűtipus, amivel mondjuk a Kínai Nagy Falra fel lehetne írni, hogy a banki weboldalak sosem kérdeznek például PIN kódot senkitől. A postai értesítési vagy lakcím adatot is felesleges az ügyfélszolgálatnak megkérdezni, hiszen egyrészt tudniuk kell, másrészt ennek változtatása csak és kizárólag személyes ügyintézés során végezhető el. Ám ahol nagy mennyiségű ügyfél sok pénzzel van jelen, ott aztán minden ilyen trükk ipari méretekben beindul, és a jó öreg 5% reményében tolják ezerrel a bűnözők. Ezek után máris világossá válhat, honnan is ez a sok cabrio Mercedes, ami az utakon szembejön ;-)

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása