Pokaż wyniki 1 do 10 z 10

Temat: Bezpieczny Paypal - pytanie

  1. #1
    Zarejestrowany
    Jun 2009
    Postów
    3

    Domyślnie Bezpieczny Paypal - pytanie

    Witam.

    Z uwagi na fakt, że czasem dokonuję zakupów przez internet a w niedalekiej przyszłości chciałbym również korzystać z zagranicznych serwisów aukcyjnych, postanowiłem założyć sobie polecane przez szerokie spektrum użytkowników komputerowych, konto paypal. Do tej pory byłem klientem dwóch różnych banków, brytyjskiego banku Natwest i polskiego Inteligo. (konta w tym pierwszym się pozbyłem) Już po kilku pierwszych minutach, zaraz po założeniu paypalowego konta przyszedł mi do główy pewien czarny scenariusz, który chciałbym przedstawić. W punktach będzie najlepiej.

    1. Załóżmy że jesteśmy typowym posiadaczem konta w inteligo, jak również karty visa electron.
    2. Podczas nieudolnego surfowania po internecie przyplątał się nam keylogger, który nie został wykryty przez nasz antywirus.
    3. Nie wiedząc, że mamy keyloggera logujemy się na stronie banku w panelu użytkownika.
    4. Keylogger przesyła do swojego właściciela dane niezbędne do zalogowania się na konto użytkownika banku inteligo.
    5. Właściciel keyloggera (nazwijmy go roboczo: hacker) loguje się za pomocą danych przechwyconych keyloggerem
    6. Daje mu to dostęp do danych jak:
    - imię i nazwisko
    - adres
    - numer telefonu
    - numer i seria dowodu osobistego
    - adres mailowy (jeżeli ofiara logowała się na mail to również hasło do niego)
    - numer rachunku bankowego
    - numer karty bankomatowej visa electron
    7. Za pomocą danych z konta, zakłada konto na paypal (bądź przechwytuje dane dostępowe za pomocą keyloggera, przy założeniu że się zalogujemy)
    8. Jeśli zakłada konto, to paypal poprosi go o trzycyfrowy numer znajdujący się na odwrocie karty.
    9. Z tego co się zorientowałem, ten numer to jakaś suma kontrolna. Paypal wywala czerwony napis jak się nawet jedną cyfrę numeru karty przekręci.
    10. Trzycyfrowy kod daje tylko 1000 kombinacji, przy czym można wykonać 1000 prób bez problemu. Paypal nie odbierze nam tej możliwości po kilku nieudanych próbach.
    11. Włamywacz autoryzuje kartę, za pomocą normalnej procedury
    12. Dokonuje zakupów przez paypal

    Trochę przykra sytuacja, szczególnie jeśli ma się w danym banku bardzo dużo pieniędzy. Czy macie może pomysł jak się przed czymś takim ustrzec? Powiem szczerze, że liczyłem na to że paypal pozwoli mi na doładowanie konta dowolną, wybraną przeze mnie kwotą za pomocą przelewu jednorazowego dokonanego w moim banku. Tutaj jest tylko opcja zgody na obciążanie karty, co z powodów bezpieczeństwa nie wydaje mi się najlepszym rozwiązaniem. Nawet jeśli nie mam konta w paypal, to włamywacz może takie konto założyć i dokonać autoryzacji karty. Przyznam szczerze, że do tej pory złudne poczucie bezpieczeństwa dawała mi karta kodów, bez której nie można dokonać przelewów. Cóż, paypal daje możliwości ominięcia tej karty...

    Proszę was o sugestie dotyczące zwiększenia poziomu bezpieczeństwa moich ciężko zarobionych pieniędzy

    Ps.
    Używam ZoneAlarm w wersji free jako firewall
    AVG 8 free jako antywirus
    Ad-Aware Free 8.2 jako antyspyware

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    keylogger to tam nic, zawsze mozesz wykryc; gorzej jak trafisz na dobry phishing
    polecam http://toolbar.netcraft.com/
    War, war never changes.

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    O ile pamietam paypal obciaza karte jak kazda inna platnosc on-line. Karta kodow to ok jak robisz przelewy ale caly swiat uzywa platnosci na zasadzie debit'u wiec to jest tak na prawde standard (a nie mikroplatnosci z kartami kodow).

    Jesli ktos bedzie probowal zalozyc konto i dodac karte to musi miec kod CVV, ktorego nie ma nigdzie na zadnej stronie itd. Jesli nie masz kodu CVV to nie uzyjesz karty na paypal'u - proste. Jesli teraz ktos w jakis sposob nawet zrobi przekret to jesli transakcja nie byla potwierdzona kodem PIN (karty) co jest standardem w UK albo haslem jednorazowym (w przypadku intelligo) to bank/merchant odpowiada za fraud i musi pokryc straty - przynajmniej w UK
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Jun 2009
    Postów
    3

    Domyślnie

    TQM

    Kod VCC jak już wcześniej napisałem jest trzypozycyjny. Przy czym wszystkie pozycje to cyfry od 0 do 9. Daje to 1000 kombinacji. Jak ktoś ma cierpliwość to i ręcznie to wystuka aż trafi. Zobacz, że jeśli źle wprowadzisz numer karty lub VCC to paypal krzyczy na czerwono, że zły numer karty lub kod VCC. (sprawdzałem) Na rękę włamywaczom jest to, że można ponownie próbować wprowadzić poprawny kod VCC nieograniczoną liczbę razy.

    Przy okazji jak włamywacz trafi na idiotę to może zadzwonić do posiadacza karty i przedstawiając się za pracownika banku wyciągnąć taką informację. (nie każdy jest na tyle głupi, ale jak wiadomo socjotechnikom wielu ludzi ulega)

    Wcześniej napisałem:
    "Powiem szczerze, że liczyłem na to że paypal pozwoli mi na doładowanie konta dowolną, wybraną przeze mnie kwotą za pomocą przelewu jednorazowego dokonanego w moim banku"
    - Teraz widzę że takowa opcja jest. Przepraszam za wprowadzanie w błąd.

    tak przy okazji mówiąc o haśle jednorazowym, masz na myśli to hasło które podaje się przy logowaniu do profilu banku, czy to z karty kodów ?

    Czy jeśli zarejestruję kartę visa electron (podobno można) w paypal, to czy Paypal prosi o potwierdzenia transakcji w jakiś sposób, czy po prostu obciąża rachunek?

    Nie wiem, może jestem paranoikiem, ale jakoś nie czuję się przekonany do bezpieczeństwa moich środków na koncie.

  5. #5
    Avatar Ormi
    Ormi jest offline %x-%x-%x-%n
    Zarejestrowany
    Jul 2008
    Skąd
    Za twoimi plecami
    Postów
    351

    Domyślnie

    No coz, prawda jest taka, ze bezpieczenstwo i wygoda nie ida ze soba w parze. Trzeba znalezc jakis sensowny kompromis miedzy jednym a drugim. Dopoki uzywasz karty kredytowej jest zwiazane z nia ryzyko.

    A jesli chodzi o zabezpieczenie sie przed keyloggerami:
    Oczywiscie pewnie ktos sie na mnie rzuci, ze linux jest be itp. i zacznie sie dyskusja o wyzszosci windowsa nad linuksem(lub na odwrot), ale trudno - powiem. Moim zdaniem najlepiej uzywac linuksa. Po pierwsze - jest na niego bardzo malo wirusow ze wzgledu na mala popularnosc tego systemu. Po drugie mozliwosci dzialania takich wirusow pod linuksa jest bardzo ograniczona. Jesli chodzi o keyloggery, to juz w ogole ciezko mowic o jakims naprawde realnym zagrozeniu z ich strony. Oczywiscie - da sie stworzyc(nawet w ktoryms numerze hakin9 bylo opisane tworzenie przykladowego keyloggera), ale zeby on dzialal wymagane sa przywileje roota, a przeciez nawet jesli jakims cudem "zlapiemy" keyloggera, to na koncie zwyklego uzytkownika. A jakos ciezko mi sobie wyobrazic "wirusowate cos", ktore bedzie szukac bledow w zainstalowanym oprogramowaniu, tworzyc(lub pobierac z internetu) exploita, uruchamiac go i dopiero wtedy odpalac keyloggera
    Tyle z mojej strony
    Black Coders | Hacking, Kernel, Linux, Operating Systems, Programming
    I otworzyła studnię Czeluści,
    a dym się uniósł ze studni jak dym z wielkiego pieca,
    i od dymu zaćmiło się słońce i powietrze.
    A z dymu wyszła szarańcza na ziemię,
    i dano jej moc jaką mają ziemskie skorpiony.
    (...)
    I dano jej nakaz aby nie zabijała,
    lecz aby przez pięć miesięcy cierpieli katusze...

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @x86newbie - bardzo podoba mi sie Twoj tok myslenia i ogolnie podejscie do tematu. Szkoda ze jestes jednym z nielicznych wyjatkow od reguly :-(

    Kod CVV mowisz mozna wpisywac dowolna ilosc razy - mozliwe ze mozna wpisywac, ale na pewno system za ktoryms razem odrzuci transakcje i bedzie domagal sie dodatkowej weryfikacji danych - robia taki numer za duzo mniej istotne zagrania (vide ostatni akapit), wiec to nie bedzie takie proste... poza tym w Polsce udzial paypal'a w rynku jest malenki ale w UK wiekszosc osob ma konta na paypal'u wiec karty do 2 kont nie przypiszesz i dlatego kazde konto paypal moze miec N maili podlaczonych. Od jakiegos czasu sprzedawcy poszli tez o krok dalej - wysylaja towar tylko na adres zarejestrowany do karty platniczej, wiec nawet jesli ktos cos zamowi na Twoje konto i zaplaci to zawsze towar mozesz oddac (bo przyjdzie do Ciebie) i kase odzyskasz, stwierdzisz fraud - nieco kiepski wariant ale dziala...

    Co do wpisywania kodow mowilem o karcie kodow jednorazowych. Tego na prawde nie ma w UK - nikt sie tym nie klopocze bo i po co. Placisz paypalem? Ok - kupujesz, dajesz zaplac, otwiera Ci sie strona paypal'a (ten kawalek jest jak mikroplatnosci typu mTransfer i spolka), logujesz sie, widzisz dla kogo i za co placisz... mozesz czasami dodac notatke ("gift wrap please") i naciskasz 'Pay Now' i to wszystko. Po tym mozesz sie wylogowac, dostajesz paragon od paypal'a mailem i po sprawie.

    Paypal ma bardzo rozbudowane mechanizmy wykrywania oszustw i na prawde nie jest to takie proste. Mialem swego czasu anonimowa karte debetowa - na zasadzie top-up... Kupujesz w kioski u masz. Chcialem pozniej z tej karty wyciagnac pieniadze i niestety - zablokowalem ja w paypalu :P wyslalem na lipne konto info ze 'masz mi zaplacic', dostalem tego maila, klik na link, paypal, wpisuje dane karty ale w pewnym momencie sie okazalo ze na karcie jest o 50p za malo (koszty transakcji) wiec dalem anuluj... ogolnie mowiac po 2 anulowanych transakcjach paypal odmowil przyjecia tej karty w jakiejkolwiek postaci. Wyszlo na to ze zaplacilem w pubie za piwo i karte zniszczylem.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Jun 2009
    Postów
    3

    Domyślnie

    Ok dziękuję wszystkim za sugestie oraz wzięcie udziału w dyskusji.

    Na koniec mała konkluzja dotycząca potwierdzania transakcji bankowych za pomocą karty kodów. Oczywiście taki środek bezpieczeństwa, zgodnie z tym co napisał TQM nie jest zbyt popularny na zachodzie. Moim zdaniem jednak, nie zawsze to co popularne = lepsze. Karty kodów poważnie zmniejszają szanse na nieautoryzowaną transakcję. Brak fizycznego dostępu do karty kodów przekłada się na niemożliwość albo wyjątkowo wielkie utrudnienie dokonania operacji bankowej.

    Przy okazji niedawno przeczytałem, że:
    nijaki Owen Thor Walker, cracker z Nowej Zelandii wraz z grupą znajomych mu osób wykradli z bankowych kont swoich ofiar ponad 20 milionów dolarów. (źródło PC World 6/2009)

    Sądzę, że bezpieczeństwo naszych pieniędzy na kontach bankowych oraz serwisach typu paypal nie jest jednak tak oczywiste. Dzięki jednak za wasze uwagi, które jak mam nadzieję pozwolą mi się "nie nadziać".

    Pozdrawiam.

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Maly dodatek... probowalem wyslac wlasnie kase naszemu pracownikowi (ktory mieszka w Nowej Zelandii tak nawiasem - co za zbieg okolicznosci) na jego konto paypal aby mogl robic zakupy sluzbowe...

    Paypal tak mnie dzisiaj wkur**** ze glowa mala!

    Wyglada na to, ze jesli ktos wysle z paypal'a prosbe o wplate pieniedzy (cos jak faktura email) i klikniesz na link, to juz nie mozesz dokonac tej jednorazowej platnosci za pomoca karty kredytowej jak to bylo wczesniej - teraz MUSISZ zalozyc konto na PayPal'u i zweryfikowac je, co oznacza, ze musisz dodac dane konta bankowego, dokonac transakcje na £0.01 i wyslac do PayPal'a wyciag z konta aby pokazac ze to na prawde Twoje konto.
    W UK takie cos moze trwac pare tygodni bo sam PayPal mowi ze 5-7 dni od czasu jak wyslesz im wyciag.

    Jest to dodatkowa metoda weryfikacji, ktora zapewnia ze karta i konto bankowe naleza do tej samej osoby. Oznacza to jednak, ze nie mam mozliwosci zaplacenia karta bez zalozenia konta paypal (a nie chce aby moja firmowa karta wisiala na paypalu). Ot taki sobie absurd - potwierdzony dzisiaj telefonicznie przez pracownika obslugi klienta PayPal slowami "niestety nie ma innej mozliwosci dokonania platnosci"
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Avatar Teddy
    Teddy jest offline Banned
    Zarejestrowany
    Feb 2009
    Skąd
    W 413 linii kodu ;]
    Postów
    85

    Domyślnie

    Ci w paypalu chyba na głowę upadli... Przeciez jak ktoś będzie chciał bardzo to i tak to ominie... Poza tym duzo ludzi zrezygnuje z paypal'a przez takie cos...
    Being bastard is fu***ing crazy!
    MÓW POPRAWNĄ POLSZCZYZNĄ
    Perl / PHP / Html

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jedyne wyjscie jest takie, ze odbiorca platnosci musi miec konto biznesowe i wtedy ma dostep do takiej funkcji. Osobie prywatnej nie zaplacisz w ten sposob i nic nie ominiesz - po prostu system nie zrobi transakcji.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. w miare bezpieczny CMS wg. was
    By b0rix_25 in forum Security
    Odpowiedzi: 7
    Autor: 09-28-2008, 18:02
  2. Odpowiedzi: 2
    Autor: 07-25-2007, 19:46
  3. jPortal już bezpieczny?
    By axel_pl in forum Hacking
    Odpowiedzi: 0
    Autor: 05-13-2007, 17:33
  4. Eh PayPal
    By LineageAbyss in forum Off Topic
    Odpowiedzi: 2
    Autor: 04-29-2007, 19:15
  5. Brutus - bezpieczny?
    By Guest in forum Hacking
    Odpowiedzi: 6
    Autor: 01-22-2007, 16:51

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52