Horgászok a banki oldalakon

2008. június 30. 13:15 - Csizmazia Darab István [Rambo]

Eddig sokan úgy vélték, elég egy hitelesített banki belépés előtt egy weboldal valódiságát a https kapcsolathoz tartozó kulcs/lakat ikon és a tanusítvány puszta meglétével ellenőrizni. Bár még ennyit sem tesz meg mindenki, úgy tűnik, néha még ez is lehet édes kevés.

A HSBC banki oldalak XSS támadhatóságáról adtak hírt nemrégiben. Ez nagyjából annyit tesz, hogy a biztonsági hibák miatt megfelelően kialakított XSS kódokkal átirányíthatók a bank DNS  adatai. Ilyenkor pedig az ügyfél úgy gépeli be az adatait, hogy szinte semmi esélye észrevenni, nem is az igazi oldalon jár. Korábban egyébként már előfordult a Barclays-nél, és Dancho Danchev szerint úgy tűnik, a biztonságért felelős szakemberek nem veszik elég komolyan az ilyen típusú támadásokat. Olasz bankok ellen már az év elején igyekeztek az XSS-t felhasználni. Bár ez az eset valószínűleg nem érint magyarországi ügyfeleket, dőreség lenne úgy gondolni, ez más bankkal és más országban a jövőben nem ismétlődik meg.

Amit a szakértők javasolnak: rendszeresen frissítsük operációs rendszerünket, mindenképpen használjunk antivírus és kémirtó programot, a tanúsítványnál ellenőrizzük le annak lejárati dátumát és a tanusítvány ellenőrző összegét is. Részesítsük előnyben a Firefox és Opera böngészőket, és támogassuk meg gépünk biztonságát egy komolyabb tűzfal programmal is. És léteznek külön XSS ellenőrző Firefox pluginek is, érdemes lehet őket kipróbálni.

Egyes vélemények szerint az is félő, hogy 1-2 betűs eltéréssel egyező  domén neveket fognak tömegesen lefoglalni, hogy ezzel is kihasználhassák a zavaros helyzetet. Mint ismeretes, a tavalyi évben Mikko Hypponen tett egy olyan javaslatot, amely többek közt a pénzintézetek domain neveire a .bank TLD végződést javasolta. Ezzel ha mindent nem is lehetne megoldani, de valószínűleg szintén használna az adathalász támadások elleni védekezésben.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.06. 06:46:41

Annak idején Mikko Hypponen javasolta. hogy legyen külön .bank domain az adathalász támadások ellen. Ha minden ellen nem is véd, a problémák nagy része ellen hasznos lehetne. Most úgy néz ki, lesz is belőle valami.
www.domainabc.hu/aktualis/domain-tld-newtld-ujvegzodes/1318/
süti beállítások módosítása