kiki wrote:
這種惡意軟體只要去抓你們按下「SUBMIT=」的東西就可以了吧?你們怎麼貼都騙不過他的,不是嗎?
還有一種軟體是直接木馬植入本機,只要你敲下KEYBOARD上的任何一個按鍵,他就記錄起來了,不用等你按下「送出」按鈕
所以遇到這種小人軟體,只能小心點了
是的otp key只要同時存在server與client即可
而並沒有限定是在什麼載具,就算兩端都是電腦也是可以的
"這個方法即使遠端駭客取得對方未使用的密碼, 密碼也無用, 銀行應該還有作 session challenge, 那麼除了在使用者輸入完密碼後, 直接把使用者踢出去, 介入使用者的操控權, 還有其他方法嗎?"
其實session challenge外,webatm在銀行看重的是卡片本身的安全機制
磁條卡的密碼是送到server端認證,因此被竊取後,取得帳號後即可偽冒
而在webatm上面敲的密碼是跟卡片做challenge
challenge成功後,才會由卡片丟出被加密過的交易資料
在這個架構下,就算有木馬取得所有資料
還需要駭客可以拷貝出相對應帳號晶片或模擬出reader與晶片(完全破解)
才有辦法成功
"能不能把木馬寫到把 IE 嵌入木馬, 啟動 IE 時其實是啟動木馬, 裡面類似 IE OLE 的做法, 在使用者送出前, 直接把 UI 的資料改掉, 但是即使改掉, 送到銀行主機, 主機還是會處理後, 再次把資料丟回來 user 畫面作確認, 此時 user 就會發現帳號金額變不同了~(銀行應該有做的這麼嚴謹吧? 嗎?) 其實銀行丟回來資料顯示在 UI 上時, 木馬還是可以把資料改成使用者之前輸入的帳號金額資料, 就不會被發覺, 這種方法和假銀行網站類似, 換成木馬假 IE, 使用者看到木馬轉出來的畫面打假的, 真的在背後執行, 這樣和 key 無關, 和 SSL 也無關, 也和 TCPIP 無關, 直接從 UI 動手腳, 但是銀行又有虛擬鍵盤, 虛擬欄位這種東西, 或者再內嵌個什麼介面, 不知道寫不寫的出來......"
對那種粗心不看交易確定內容就按下交易確認鍵的人
是有可能成功,不過改UI簡單
銀行的資料組成、回傳交易資訊格式可能還要是銀行內部人員才會清楚
畢竟竄改UI回傳的資料,也要知道要塞在哪裡
另外如果連HTML顯示畫面都可以做個假畫面,這個木馬也太厲害,這種程度的木馬目前應該只有在電影才會出現
派個軟體機器人在 IE 上敲資料, 按 Submit, 而這個畫面使用者看不到,
使用者看到, 敲的畫面, 則是把這個隱藏畫面不含欄位內資料,
copy 一份丟到使用者看到的 IE Window 畫面上,
這個假畫面其實也是真畫面, 只是使用者 Submit 出去的資料並沒有真正 submit,
而是欄位資料被假 IE 處理後, 填到隱藏的 IE 畫面再送出去,
如同所說, 這個 IE 已經不是微軟原版 IE 了, 而是一個假 IE。
畫面都是真的, 只是這個 IE 不作原本該做的事情,
欄位值是填 123, 可是送出去的資料怎麼送都是 456......
FireFox 好像是 OpenSource 嗎? 也許改一下就可以作一套假 FireFox 了..
(好像是叫 firefox 嗎? 最近很流行的免費 browser)
不過說的比較快, 就不知道有沒有高手會去花很多時間去寫一個了....
也不知道寫不寫的出來....
正板 IE 無法顯示假畫面, HTML 內容是什麼就是顯示什麼內容,
但如果這個 IE 被內嵌受到程式控制, 或者這個 IE 根本是假的, 那要顯示什麼就由他了不是嗎? 而回傳交易資料格式並不需要知道, 直接透過使用者畫面沒看到的網頁, 程式填資料給他, 就像使用者使用 webATM 不需要知道該資料格式一樣, 難就難在網站內容內嵌一些奇奇怪怪東西, 程式很難控制。
內文搜尋
從 APP 打開
X