mrkorsnes Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 Hei, anta at jeg lager en web-tjeneste som lurer en bruker til å tro at han/hun logger inn med bankid. Tjenesten snapper opp person-nummer og koder og overlater dette til meg. Så kan jeg skynde meg å bruke dette til å logge inn på nettbaknen hans/hennes. OK, jeg er ikke kriminell, men hvordan sikrer jeg meg mot slik kriminalitet? Er bankid bare laget for å beskytte bankene - ikke oss vanlige naive brukere? Lenke til kommentar
Kiseijuu Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 Om du har Telenor og DnBNOR eller Skandiabanken kan du bruke bankid på mobil. Da fungerer det slik: * personnummer * mobilnummer * så får du en servicebeskjed med et ref nr på mobilen. Sjekk at det ref nr er likt på pcskjermen og mobilen * skriv din pin kode på mobilen. * etter 10 sek så blir du logget inn. Lenke til kommentar
schtrongl Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 Hei, anta at jeg lager en web-tjeneste som lurer en bruker til å tro at han/hun logger inn med bankid. Tjenesten snapper opp person-nummer og koder og overlater dette til meg. Så kan jeg skynde meg å bruke dette til å logge inn på nettbaknen hans/hennes. OK, jeg er ikke kriminell, men hvordan sikrer jeg meg mot slik kriminalitet? Er bankid bare laget for å beskytte bankene - ikke oss vanlige naive brukere? Det er nok ikke så lett. Det første signalet på at noe er galt er selvsagt web-adressen. Disse kan likevel være litt kronglete skrevet fra nettbanken sin side, som her: https://nettbank.spv.no/Logon/index.jsp?domain=3625&to_page=https://nettbank.spv.no/payment/transigo/logon/done&from_page=http://www.spv.no Klarer du å lure en e-post inn i mailboksen som ser overbevisende nok ut, samt at du klarer å gi de en god grunn til å logge seg inn, vil det sikkert være noen som ikke legger merke til om det står https, eller om adressen plutselig heter www.svp.no/nettbank/ eller noe i den dur. Den måten du selv kan sikre deg på, er som vanlig å huske at enhver mail du får med henvisning om å logge deg på nettbanken bør være en alarm i seg selv. Du kan også unngå slikt ved å skrive inn adressen manuelt hver gang du logger deg på. Du har også mulighet til å sjekke at adressen stemmer. Jeg vil tro hele poolen med http://nettbank.xxx.xx/ er reservert. Men er det folk som er dumme og uvitende nok, er det ingen problem å phishe etter informasjon på denne måten, men det kan nok være lurt å kjenne sitt offer, samt å være svært svært forsiktig med de evt. spor man legger etter seg ved oprettelse av e-post addresse, domene osv. Så selv om du får det til å høres lett ut, så er det ikke det. Dessuten ville det vert svært vanskelig skjule hvor evt. pengene tar veien når det skal overføres penger til en annen konto eller utenlandsk konto. Ved utenlandsoverføring kan kunden i teorien få dette stoppet i tide, om man er rask altså. Lenke til kommentar
Olaaaaa Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 Et veldig godt satt opp MITM-angrep kan være vanskelig å beskytte seg imot. Imidlertid kan du, om du er bekymret, sjekke at siden du logger deg inn på har et gyldig sertifikat, dette er veldig vanskelig å forfalske. For å få til dette med et MITM-angrep må man først klare å forfalske dette, sette opp en forbindelse til banken, sette opp en forbindelse til deg, tunnelere trafikken fra deg gjennom sin maskin og til nettbanken, for så å avbryte forsøket ditt og overta sesjonen din mot banken. Dessverre har BankID en del flaws i designen, for eksempel at man bruker samme kodemateriale for autentisering og autorisering, men inntil videre er svakhetene av akademisk art. Mange feil har visstnok blitt rettet opp de siste årene, slik at det regnes som trygt å bruke. Det viktigste du gjør for å sikre deg er å passe på at siden ser riktig ut og at den har korrekt sertifikat. Om du gjør dette, samt holder maskinen din fri for virus og sånt, vil du nok ikke få problemer med at noen kommer seg inn på kontoen din, og i fall uhellet er ute vil nok mesteparten om ikke alle pengene bli erstattet. Lenke til kommentar
mrkorsnes Skrevet 8. juli 2010 Forfatter Del Skrevet 8. juli 2010 (endret) Det er nå så mange nett-tjenester som bruke bankid for innlogging, at en lett kan bli lurt til å bruke sitt bankid kodekort ukontrollert. Her om dagen fant jeg f.eks. noe som heter "norskpensjon.no". Jeg ble nysgjerrig, men så krevde de innlogging med bankid, og så lurte jeg på om det bare var noen som var ute etter mitt personummer og bankid-koder for så å rane min nettbank :-) Hvorfor kan ikke bankid presentere seg selv bedre slik at en virkelig får klare indikasjoner på at det er virkelig bankid som en gir kodene til? F.eks. kunne bankid si ifra om når en brukte bankid sist - før en har gitt fra seg absolutt alle kodene? F.eks. gir enn inn personnummer + en kode - så burde bankid-tjenesten fortelle når en sist brukte bankid? Eller er dette også skummelt? Endret 8. juli 2010 av lulus Lenke til kommentar
mrkorsnes Skrevet 8. juli 2010 Forfatter Del Skrevet 8. juli 2010 Det viktigste du gjør for å sikre deg er å passe på at siden ser riktig ut og at den har korrekt sertifikat. Om du gjør dette, samt holder maskinen din fri for virus og sånt, vil du nok ikke få problemer med at noen kommer seg inn på kontoen din, og i fall uhellet er ute vil nok mesteparten om ikke alle pengene bli erstattet. Hvordan sjekker en (brukervennlig) om en side har korrekt sertifikat? Lenke til kommentar
Olaaaaa Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 Trykker på adresselinjen. I de fleste browsere (IE, Opera, FF, sikkert Chrome og Safari også) blir den grønn eller får et grønt felt om sertifikatet for siden er gyldig. Da skal du være trygg. Om du klikker på det grønne feltet får du mer informasjon. Ser at det er noen steder som ikke får grønt felt, men blått i IE og FF, og gult i Opera. Disse er beskyttet med et SSL-sertifikat som godkjenner dommenet, men ikke organisasjonen. Det varierer litt fra nettbank til nettbank hva de bruker, men begge deler skal være trygt. Unngå å bruk BankID om feltet er blangt (hvitt) eller rødt. Da er de enten ikke sikret, bruker falskt sertifikat eller et sertifikat som er utgått på dato eller er ugyldig av en annen grunn. Lenke til kommentar
Bolson Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 (endret) @lulus: BankID har lagt inn sikring mot slike forhold i betydelig grad allerede. For det første bruker BankID en tofaktor autensiering der ene faktoren er variabel - dvs kodenøkkel. For det andre krever en hver handling i systemet at minst den variable faktoren brukes på nytt. Dvs. at om jeg setter opp en "falsk side" (phising), så vil jeg få tak i din brukerident, ditt faste passord og den variable koden du brukte kan jeg faktisk bruke dette til svært lite. Jeg kan muligens (langt fra sikkert) logge meg inn i nettbanken (om jeg vet hvilken bank - BankID i seg selv gir ikke den infoen), men jeg kan ikke tømme kontoen - da jeg for det trenger en ny variabel kode. Til det siste trenger jeg kodebrikka. Grunnen til at dette ble innført var akkurat for å unngå det du er redd for. MITM (mann i midten) angrep kan fremdeles gjennomføres, men de fleste (om ikke alle banker) har innført systemer som skal hindre dette. Og hadde du tatt deg bryet med å lese informasjonen om hvem som står bak norskpensjon.no, ville du sett at dette er en trygg side. Innloggingsinfoen lagres faktisk ikke, men brukes til å sette sammen info. Man kan sammenligne med at nettbutikker ikke lagrer kortopplysninger. Om det ikke var en trygg side, så ville faktisk den informasjonen du ga ikke være til så mye hjelp for den som ønsket å svindle deg. Endret 8. juli 2010 av Bolson Lenke til kommentar
schtrongl Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 (endret) F.eks. kunne bankid si ifra om når en brukte bankid sist -før en har gitt fra seg absolutt alle kodene? EDIT: Glem det som står her. Leste litt mer nøye. Sorry. Dette gjør da vitterlig min BankID hos med? Jeg har brukt det flere steder, og når jeg logger meg inn neste gang kommer det opp etterpå at autentiseringen er gjennomført når og hvor jeg var logget inn sist. Jeg må trykke "OK" for å komme meg videre etter dette. Kanskje du skal sjekke en gang til? Endret 8. juli 2010 av schtrongl Lenke til kommentar
Sokkalf™ Skrevet 8. juli 2010 Del Skrevet 8. juli 2010 Trykker på adresselinjen. I de fleste browsere (IE, Opera, FF, sikkert Chrome og Safari også) blir den grønn eller får et grønt felt om sertifikatet for siden er gyldig. Da skal du være trygg. Om du klikker på det grønne feltet får du mer informasjon. Ser at det er noen steder som ikke får grønt felt, men blått i IE og FF, og gult i Opera. Disse er beskyttet med et SSL-sertifikat som godkjenner dommenet, men ikke organisasjonen. Det varierer litt fra nettbank til nettbank hva de bruker, men begge deler skal være trygt. Unngå å bruk BankID om feltet er blangt (hvitt) eller rødt. Da er de enten ikke sikret, bruker falskt sertifikat eller et sertifikat som er utgått på dato eller er ugyldig av en annen grunn. Det er ikke spesielt vanskelig å skaffe seg et sertifikat som blir "grønt", igrunn. Jeg har f.eks et sertifikat til webmailen min (hostet på egen server) som gir "grønt lys", som jeg ikke trengte å betale for engang. Det man kan gjøre hvis man er litt paranoid, er å se på detaljer om sertifikatet, og finne ut om det er utstedt til den organisasjonen man forventer. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå