Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Maanantai, 22.1.2007

Ruotsin Nordea historian suurimman online-ryöstön kohteena

Ruotsin Nordean asiakkaille on viimeisen 15 kuukauden aikana kohdistettu useita phishing-sähköpostiviestejä, joiden liitteenä on ollut tarkoitukseen räätälöity troijalainen. Nordean mukaan huijauksen uhriksi on joutunut 250 pankin asiakasta. Ruotsin poliisin mukaan hyökkäyksen takana on organisoitunut venäläinen rikollisryhmä.

Haxdoor.ki -troijalainen ohjasi käyttäjän selaimen tekaistulle Nordean verkkopankkisivulle, jossa troijalainen otti käyttäjän kirjautumistiedot talteen ja ilmoitti verkkopankin kärsivän tilapäisistä teknisistä ongelmista. Rikollisryhmä käytti troijalaisen avulla keräämiään kirjautumistietoja ja onnistui vuoden aikana siirtämään pieniä summia kerrallaan omille tileilleen. Nordea on arvioinut saaliin arvoksi noin 800 000 euroa.

Lähes kaikki huijauksen kohteeksi joutuneet asiakkaat eivät ole käyttäneet tietokoneessaan virustorjuntaohjelmaa, joka olisi todennäköisesti estänyt troijalaisen toiminnan. Ruotsin Nordea on korvannut asiakkailleen heiltä huijaamalla viedyt rahat kokonaisuudessaan.

Suomean Nordea on julkaissut tapaukseen liittyen tiedotteen, jossa todetaan, ettei Ruotsissa havaittu nettirikos koske Suomea. Vuoden 2005 joulukuussa Suomen Nordean asiakkaisiin kohdistui hieman vastaava phishing-hyökkäys, jossa rahaa menettäneiden uhrien lukumäärä nousi lopulta kahteenkymmeneen. Myös Suomen Nordea korvasi huijauksen uhreille heidän menettämänsä rahat.

Lue juttu oma, 22.1.2007 00:11. Lähde: zdnet

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 28 uutta / 28 )
pistettä.
Näytä vain kommentit joilla on vähintään
olmari Virussuoja
olmari, 22.1.2007 00:41:50		 Pisteet: 0
Taas pistettiin puuttuvan viirussuojan syyksi, vaikka mielestäni J. Kasvin artikkelissa se sanottiin aiksta hyvin: "Miksi meidän on erikseen maksettava suojaohjelmista, jotka pelkästään paikkaavat meille myytyjen järjestelmien suunnittelijoiden tekemiä virheitä?"
Re: Virussuoja
rugueux, 22.1.2007 06:44:20		 Pisteet: 0
Taas pistettiin puuttuvan viirussuojan syyksi, vaikka mielestäni J. Kasvin artikkelissa se sanottiin aiksta hyvin: "Miksi meidän on erikseen maksettava suojaohjelmista, jotka pelkästään paikkaavat meille myytyjen järjestelmien suunnittelijoiden tekemiä virheitä?"
Päivitä Vistaan!
--
Mihin on kadonnut perinteinen harakointi?
Saltsa Re: Virussuoja
Saltsa, 22.1.2007 14:24:12		 Pisteet: 0
Taas pistettiin puuttuvan viirussuojan syyksi, vaikka mielestäni J. Kasvin artikkelissa se sanottiin aiksta hyvin: "Miksi meidän on erikseen maksettava suojaohjelmista, jotka pelkästään paikkaavat meille myytyjen järjestelmien suunnittelijoiden tekemiä virheitä?"
Tuo on osittain väärin. Toinen mitä ne myös paikkaa, on idioottien tekemiä virheitä, joka lienee suurin syy, miksi virustartuntoja tulee. Eipä tuokaan virus olisi mihinkään levinnyt, jos käyttäjät eivät olisi sitä ohjelmaa aukasseet, joka sähköpostin mukana tulee. Ei tuohon auta mikään järjestelmä, jos käyttäjä on valmis vaikka moukaroimaan koneensa rikki.
Piraatti Nordea..
Piraatti, 22.1.2007 00:39:56		 Pisteet: 0
Kun lukee tuon Nordean kuvauksen miten maksut vahvistetaan ja sisäänkirjaudutaan, ei voi todeta noista turvajärjestelmistä kuin sen että Nordea ei vaan osaa!
setae Re: Nordea..
setae, 22.1.2007 03:44:46		 Pisteet: 0
Kun lukee tuon Nordean kuvauksen miten maksut vahvistetaan ja sisäänkirjaudutaan, ei voi todeta noista turvajärjestelmistä kuin sen että Nordea ei vaan osaa!
Hm? En tiedä Ruotsin puolen järjestelmästä, kuvittelisi sen olevan samanlainen kuin Suomenkin; Ensin kysytään asiakastunnus ja seuraavana vuorossa oleva kirjautumisnumero - kertakäyttöinen siis. Molemmat kuin naputtelee niin tähtiä vaan näkyy ruudulla, aiemmin asiakastunnus näkyi ihan numeroina.

3 yritystä +- 2 tarkkuudella tuohon kirjautumisnumeroon, jos menee siihen +-2:een niin sivu kertoo mukavasti, mitä kirjautumistunnuksen järjestysnumeroa kannattaisi katsella.

Sitten vielä maksujen kohdalla on istuntokohtainen vahvistusnumero, joka arvotaan 23:sta vaihtoehdosta, näitä siis käytetään useampaankin kertaan.

Jos Ruotsin systeemi on samanlainen, niin mikä tuossa on niin evo? Sampon systeemissä asiakastunnus ja sisäänkirjautumistunnus ovat pysyviä, käyttäjän kannalta mukavampi mutta tietoturva-aste sitten vähän alempi, ehkä *). Maksujen vahvistukseen heilläkin tunnus vaihtelee.

*) Ehkä, sillä jos sitä lappusta missä nuo tunnukset ovat kanniskelee mukanansa esimerkiksi lompakossa - kaikilla ei kuitenkaan ole sitä internetiä kotona, joten laskut maksetaan työpaikalla - niin lompakon tullessa anastetuksi tunnusluvut ovat nyt ryövärin hallussa. Edelleen asiakastunnus uupuu, jollei sekin ole siellä samaisessa lompuukissa; jos näin on, niin tuskin sitä Sampon kirjautumisnumerokaan sieltä pois on jätetty.
Re: Nordea..
rugueux, 22.1.2007 06:41:37		 Pisteet: 0
Hm? En tiedä Ruotsin puolen järjestelmästä, kuvittelisi sen olevan samanlainen kuin Suomenkin;
Yritetään lukea niitä uutisia, jos tämä on vaikeaa, niin avataan televisio. Jokaisessa lähetyksessä ja julkaistussa tiedotteessa mainitaan, että hurreilla on erilainen järjestelmä kuin meillä.

"Tämä huijaus ei koske suomalaisia asiakkaita eikä suomalaista verkkopankkijärjestelmää. Suomessa verkkopankissa pankki kysyy asiakkaalta vahvistuskoodia, joten järjestelmä on Suomessa erilainen kuin Ruotsissa."

Herää kyllä kysymys, että miksi ihmeessä Suomen järjestelmä ei ole käytössä yleisesti Nordeassa. Se ainakin tuntuu pirun turvalliselta, juuri tuon vahvistuskoodin takia.

"Asiakkaita kuitenkin muistutetaan, että oman tietokoneen virusohjelmat täytyy pitää ajan tasalla."

Asiakkaita voisi muistuttaa, että tyhmyydestä sakotetaan. Harmi että näin ei tässä tapauksessa ole, vaan Nordea on korvannut menetykset.
--
Mihin on kadonnut perinteinen harakointi?
puntta Re: Nordea..
puntta, 22.1.2007 09:09:27		 Pisteet: 0
Herää kyllä kysymys, että miksi ihmeessä Suomen järjestelmä ei ole käytössä yleisesti Nordeassa. Se ainakin tuntuu pirun turvalliselta, juuri tuon vahvistuskoodin takia.
Jos koneesi kaapataan täydellisesti, niin jollain muttuvillakaan salasanalistoilla pystytä estämään varkauksia.

"Asiakkaita kuitenkin muistutetaan, että oman tietokoneen virusohjelmat täytyy pitää ajan tasalla." Asiakkaita voisi muistuttaa, että tyhmyydestä sakotetaan. Harmi että näin ei tässä tapauksessa ole, vaan Nordea on korvannut menetykset.
Jos Nordea tyrkyttää nettimaksamista kaikkille, niin palvelun pitää olla riittävän luotettava kaikkien käytettäväksi. Turvallisuus on kuitenkin hintakysymys, ja tason ratkaiseen hävikki vs. kustannussäästöt. Tärkeintä kuitenkin ettei yksittäiset asiakkaat kärsi kohtuuttomasti.

Tässä tapauksessa pitää myös muistaa että pankki tiesi asiasta, mutta ei liikoja varoitellut.
setae Re: Nordea..
setae, 23.1.2007 10:56:10		 Pisteet: 0
Hm? En tiedä Ruotsin puolen järjestelmästä, kuvittelisi sen olevan samanlainen kuin Suomenkin;
Yritetään lukea niitä uutisia, jos tämä on vaikeaa, niin avataan televisio. Jokaisessa lähetyksessä ja julkaistussa tiedotteessa mainitaan, että hurreilla on erilainen järjestelmä kuin meillä.
Olen pahoillani, etten ole seurannut kaikkia verkkouutissivustoja niin paljoa. Zdnetin jutussa ei tuota mainittu, en tajunnut Nordean tiedotetta lukea.

Avasin televisionkin, mutta siellä vain joku täti kaakatti omituisia sanoja ja kyllästyin katselemaan. Kas kun en sijaitse Suomessa, ja täällä Thaimaassa ei niin kauheasti joku Ruotsissa ollut verkkopankkiongelma häiritse.

Saanko anteeksi :)
feenix Re: Nordea..
feenix, 23.1.2007 12:01:57		 Pisteet: 0
Yritetään lukea niitä uutisia, jos tämä on vaikeaa, niin avataan televisio. Jokaisessa lähetyksessä ja julkaistussa tiedotteessa mainitaan, että hurreilla on erilainen järjestelmä kuin meillä.
Radiota ei kannata kylläkään avata, Radio Rockista sattumalta kuulin tuossa tyyliin:

Ruotsin Nordealta on varastettu paljon rahaa, tämä on tehty kuten Suomessa eli lähetelty sähköposteja ja pyydetty tunnuslukuja ja näiden avulla sitten on päästy tileihin käsiksi.

Että eipä kannattane heidän uutisiaan seurata.
Bling Re: Nordea..
Bling, 22.1.2007 09:14:40		 Pisteet: 0
Yritetään lukea niitä uutisia, jos tämä on vaikeaa, niin avataan televisio. Jokaisessa lähetyksessä ja julkaistussa tiedotteessa mainitaan, että hurreilla on erilainen järjestelmä kuin meillä.
Asiakkaita voisi muistuttaa, että tyhmyydestä sakotetaan. Harmi että näin ei tässä tapauksessa ole, vaan Nordea on korvannut menetykset.
Jos osalla käytössä ollut 'virusturva' ei ole auttanut ja Nordealla on vähemmän turvalilnen järjestelmä ruotsissa, liittyykö sakotettava tyhmyys pankkin valintaan?

Mielestäni normaalin käyttäjän ei tarvitse olla erityisen tyhmä, jotta tietokone voisi joutua virusten valtaan. Windowssin menestys nyt kuitenki ymmärtääkseni perustuu pitkälti siihen, että käyttäjän ei oikeasti tarvitse tietää juuri mitään varsinaisesta tietokoneen toiminnasta voidakseen käyttää laitetta. Koneen pitäminen puhtaana taas vaatii ihan eritason ymmärrystä... Ainakin itse muistelen nähneeni sektorissa uutisointia siitä, kuinka koneen saastumiseen kuluu vähemmän aikaa kuin tietoturvapäivityksien hakemiseen netistä.
IE is like the language of south park. It should not be used by anyone but still it is used by the great majority
Re: Nordea..
rugueux, 22.1.2007 11:06:18		 Pisteet: 0
Jos osalla käytössä ollut 'virusturva' ei ole auttanut ja Nordealla on vähemmän turvalilnen järjestelmä ruotsissa, liittyykö sakotettava tyhmyys pankkin valintaan?
Kyllä se liittyy mielestäni käyttöjärjestelmän valintaan. Käyttämällä tätä kyseistä käyttöjärjestelmää henkilöt ovat saaneet troijalaisen koneeseen tietämättään. Monille muille käyttöjärjestelmille on myös vastaavia, mutta onneksi ne eivät asennu käyttäjän tietämättä.

On tietysti julmaa syyttää virheellisestä käyttöjärjestelmän valinnasta yksin käyttäjiä. Olisihan se hienoa, jos ongelmista puhuttaisiin yleisesti kansantajuisesti ja ymmärrettävästi, niin kotikäyttäjät eivät hakisi citymarketista halvinta tietokonetta ja sitä tiettyä käyttöjärjestelmää. Tupakassa on jo näkyvät varoitukset, ehkä tämän käyttöjärjestelmän pakettiin ja asennus-ikkunaan kaivattaisiin samanlaisia varoituksia.

Tosin näitä varoittavia esimerkkejä on jatkuvasti, ehkä ihmiset eivät vain halua oppia. Joukossa tyhmyys tiivistyy ja tällä kyseisellä käyttöjärjestelmällä on paljon käyttäjiä.
--
Mihin on kadonnut perinteinen harakointi?
puntta Re: Nordea..
puntta, 22.1.2007 12:26:33		 Pisteet: 0
Kyllä se liittyy mielestäni käyttöjärjestelmän valintaan. Käyttämällä tätä kyseistä käyttöjärjestelmää henkilöt ovat saaneet troijalaisen koneeseen tietämättään. Monille muille käyttöjärjestelmille on myös vastaavia, mutta onneksi ne eivät asennu käyttäjän tietämättä.
Monet, myös pankkien palvelut on usein suuniteltu WIN alustalla toimiviksi ja selain toteutukset IEllä käytettäväksi, välillä palvelu päivitysten yhteydessä on jopa ollut vaikeuksia käytössä muilla yhdistelmillä (siis yleistän, ei välttämättä Nordealla). Joten on kohtuullista olettaa että palveluntarjoaja toteuttaa homman niin että se toimii.
Re: Nordea..
rugueux, 22.1.2007 12:52:24		 Pisteet: 0
Monet, myös pankkien palvelut on usein suuniteltu WIN alustalla toimiviksi ja selain toteutukset IEllä käytettäväksi, välillä palvelu päivitysten yhteydessä on jopa ollut vaikeuksia käytössä muilla yhdistelmillä (siis yleistän, ei välttämättä Nordealla). Joten on kohtuullista olettaa että palveluntarjoaja toteuttaa homman niin että se toimii.
Tällä kertaa kyse on kuitenkin Nordeasta ja heidän palvelunsa toimivat selaimesta ja käyttöjärjestelmästä riippumatta. Aikoinaan Osuuspankki taisi yrittää rajoittaa käyttäjiensä selainvalintoja, mutta ahkeran valittamisen jälkeen tilanne korjattiin. Tästä taisi silloin olla jopa Sektorissa, itse päätoimittajan kommentoimana.

On erittäin surullista, että edelleen tapaa palveluja netissä, jotka on suunniteltu tietylle selaimelle ja käyttöjärjestelmälle. Järkeviä syitä ei vain osata antaa, koska ei kehdata tunnustaa, että järjestelmän kyhännyt bittiguru oli lukenut idean mikrobitistä.

Itselläni sattui viikko sitten tapaus, jossa aikaisemmin hyvin toiminut järjestelmä päivitettiin uudella. Tämän jälkeen etusivulle ilmestyi viesti, että uusi järjestelmä toimii parhaiten IE:n kanssa, muilla selaimilla palvelu saattaisi toimia jotenkin. Lisäksi lueteltiin joukko muitakin vaatimuksia, että palvelu toimisi edes IE:n kanssa ongelmitta. Kyseinen palvelu on kymmenien tuhansien ihmisten käytössä, joten ei voi kuin ihmetellä päätöstä korvata toimiva järjestelmä uudella heikommin toimivalla versiolla. Myöhemmin minulle selvisi, että uusi palveluntarjoaja on TeliaSonera.
--
Mihin on kadonnut perinteinen harakointi?
Saltsa Re: Nordea..
Saltsa, 22.1.2007 14:34:43		 Pisteet: 0
Kyllä se liittyy mielestäni käyttöjärjestelmän valintaan. Käyttämällä tätä kyseistä käyttöjärjestelmää henkilöt ovat saaneet troijalaisen koneeseen tietämättään. Monille muille käyttöjärjestelmille on myös vastaavia, mutta onneksi ne eivät asennu käyttäjän tietämättä.
Eihän tuokaan suinkaan käyttäjän tietämättä asentunut, vaan käyttäjän piti ajaa softa, joka tuli sähköpostilla. Olisi ihan hyvin toiminut os x:llä ja linuxilla samakin.

Monet, myös pankkien palvelut on usein suuniteltu WIN alustalla toimiviksi ja selain toteutukset IEllä käytettäväksi, välillä palvelu päivitysten yhteydessä on jopa ollut vaikeuksia käytössä muilla yhdistelmillä (siis yleistän, ei välttämättä Nordealla). Joten on kohtuullista olettaa että palveluntarjoaja toteuttaa homman niin että se toimii.
Monet? Kyllä noita pankkipalveluita pystyi ihan dossilla käyttämään reilu 15 vuotta sitten ja kyllä nyttenkin toimivat ihan hyvin esim. kännyköillä, lynxillä sekä graaffisilla selaimilla.
Re: Nordea..
Nakkel, 22.1.2007 13:02:59		 Pisteet: 0
Monet, myös pankkien palvelut on usein suuniteltu WIN alustalla toimiviksi ja selain toteutukset IEllä käytettäväksi, välillä palvelu päivitysten yhteydessä on jopa ollut vaikeuksia käytössä muilla yhdistelmillä (siis yleistän, ei välttämättä Nordealla). Joten on kohtuullista olettaa että palveluntarjoaja toteuttaa homman niin että se toimii.
Nordealla tosiaan toimii useammalla selaimella ilman ongelmia. Itse käyttänyt Firefoxilla, Konquerorilla, Operalla, IE:llä, ja Nokian N-sarjan selaimella. Jokin aika sitten Nordean ohjeissa oli jopa maininta Amigan IBrowse selaimen toimivuudesta verkkopankissa. :)

- N
Kaikki käy!
Re: Nordea..
Tuipveus, 22.1.2007 22:38:58		 Pisteet: 0
Monet, myös pankkien palvelut on usein suuniteltu WIN alustalla toimiviksi ja selain toteutukset IEllä käytettäväksi, välillä palvelu päivitysten yhteydessä on jopa ollut vaikeuksia käytössä muilla yhdistelmillä (siis yleistän, ei välttämättä Nordealla). Joten on kohtuullista olettaa että palveluntarjoaja toteuttaa homman niin että se toimii.
Nordealla tosiaan toimii useammalla selaimella ilman ongelmia. Itse käyttänyt Firefoxilla, Konquerorilla, Operalla, IE:llä, ja Nokian N-sarjan selaimella. Jokin aika sitten Nordean ohjeissa oli jopa maininta Amigan IBrowse selaimen toimivuudesta verkkopankissa. :)
- N
Puttyyn tai openssh ohjelmaan osoitteeksi solossh.nordea.fi ja käyttäjätunnus solossh. Siitä vaan makselemaan ja toimii paljon paljon nopeammin kuin www-selaimilla. Ajattelin itse siirtyä tuon käyttöön kun nykyiset Nordean sivut skaalautuvat niin hitaasti.
robsku Re: Nordea..
robsku, 23.1.2007 11:15:29		 Pisteet: 0
Puttyyn tai openssh ohjelmaan osoitteeksi solossh.nordea.fi ja käyttäjätunnus solossh. Siitä vaan makselemaan ja toimii paljon paljon nopeammin kuin www-selaimilla. Ajattelin itse siirtyä tuon käyttöön kun nykyiset Nordean sivut skaalautuvat niin hitaasti.
Oh... olen käyttänyt tähän mennessä linksiä jonka bookmarkeissa minulla on suora linkki nordean solo-palvelun tekstiversioon. Erittäin sulava, mutta pitänee kokeilla ihan vain '$ ssh solossh@solossh.nordea.fi' :) Katsoa niinkuin mitenkä tuo palvelu on sitäkautta toteutettu ja olisiko tuo vielä kätevämpi :)
- Sir Robin * http://soul.fiveam.org/robsku/
! HackNBlog: http://salamanteri.homelinux.net/wordpress
Re: Nordea..
Tuipveus, 24.1.2007 19:59:45		 Pisteet: 0

Oh... olen käyttänyt tähän mennessä linksiä jonka bookmarkeissa minulla on suora linkki nordean solo-palvelun tekstiversioon. Erittäin sulava, mutta pitänee kokeilla ihan vain '$ ssh solossh@solossh.nordea.fi' :) Katsoa niinkuin mitenkä tuo palvelu on sitäkautta toteutettu ja olisiko tuo vielä kätevämpi :)
Kerran on ainakin ollut niin, että www-palveluun ei ole selaimella päässyt, mutta ssh:n kautta on. Samaa webbipalvelintahan se käyttää niin niin... mutta silti oli näin. Ei tainnut silloin olla tuota varayhteys-namiskaa vielä tuossa, (vai olikohan niin, että sekään ei toiminut, en muista)
dustin Re: Nordea..
dustin, 22.1.2007 12:45:40		 Pisteet: 0
Jos Ruotsin systeemi on samanlainen, niin mikä tuossa on niin evo? Sampon systeemissä asiakastunnus ja sisäänkirjautumistunnus ovat pysyviä, käyttäjän kannalta mukavampi mutta tietoturva-aste sitten vähän alempi, ehkä *). Maksujen vahvistukseen heilläkin tunnus vaihtelee.
Sammossa tosiaan on sama käyttäjätunnus ja salasana mutta ennenkuin pääsee loggautumaan itse pankkiin sisään, kysytään random-numerolla olevaa vastaavaa tunnuslukukartasta joka pitäisi asiakkaalta löytyä. Tämän jälkeen vasta pääsee sisään. Sitten kun taas maksetaan laskuja tai tehdään tilisiirtoja muualle kuin omilel tileille niin taas kysytään randomlukua ja sinun pitää löytää vastaava. Minusta Sampo ei ole sen turvattomampi kuin muukaan jos tosiaan säilyttää niitä tunnuksiaan asiallisesti ja oma tietoturva on kunnossa.

Mitä vielä tulee tohon nordeaan niin minun mielestä asiakkaan typeryydestä johtuivat nuo virheet suurimmaksi osaksi koska ovat menneet antamaan niitä tunnuksiansa. Pankki tosin olisi voinut informoida ja aavistaa ennakkoon tulevia uhkia paremmin vaikkakin se on joskus hyvin vaikeaa.
// Dustin
Hesse Re: Nordea..
Hesse, 22.1.2007 10:29:55		 Pisteet: 0
En tiedä Ruotsin puolen järjestelmästä, kuvittelisi sen olevan samanlainen >kuin Suomenkin; Ensin kysytään asiakastunnus ja seuraavana vuorossa oleva >kirjautumisnumero - kertakäyttöinen siis.
Suomen Nordean taholta on ehditty kommnentoimaan, että ruotsilla ja suomella on toisistaan erilaiset kirjautumisrutiinit... ja että tuo ruotsissa ilmennyt keino napata joidenkin asiakkaiden pankkitunnuksia ei olisi onnistunut tällä suomessa. Ruotsiin ei näemmä kelpaa suomalaiset pankinjohtajat eikä huomattavasti sikäläisiä turvallisemmat sähköiset pankkijärjestelmät :-/
feenix Re: Nordea..
feenix, 22.1.2007 10:36:52		 Pisteet: 0
Suomen Nordean taholta on ehditty kommnentoimaan, että ruotsilla ja suomella on toisistaan erilaiset kirjautumisrutiinit... ja että tuo ruotsissa ilmennyt keino napata joidenkin asiakkaiden pankkitunnuksia ei olisi onnistunut tällä suomessa. Ruotsiin ei näemmä kelpaa suomalaiset pankinjohtajat eikä huomattavasti sikäläisiä turvallisemmat sähköiset pankkijärjestelmät :-/
Suomessa Osuuspankeilla tuo onnistuisi myös, sielläkin kysytään aluksi tunnus ja salasana ja tämän jälkeen vaihtuva koodi. Sen jälkeen voi maksella mitä haluaa tietyllä timeoutilla ja mitään ei kysytä. Nordealla tosiaan kysytään lopussa vielä koodi.

En ymmärrä miksi jotkut pankit tekevät noin turvattomasti, juurikin selaimen kaappaus mahdollistaa näitä rahansiirtoja helposti.
Re: Nordea..
vivelu, 22.1.2007 12:11:25		 Pisteet: 0
Suomessa Osuuspankeilla tuo onnistuisi myös, sielläkin kysytään aluksi tunnus ja salasana ja tämän jälkeen vaihtuva koodi. Sen jälkeen voi maksella mitä haluaa tietyllä timeoutilla ja mitään ei kysytä. Nordealla tosiaan kysytään lopussa vielä koodi.
Vähän väärin. Kysyttävä vaihtuva koodi perustuu 100 koodin listaan, josta kysytään satunnainen avaimen [1, 100] avulla yksi, ei suinkaan missään järjestyksessä. Tämä taas estää sen, että rosvot saisivat tietoonsa yhtään koodia, elleivät sitten saa haltuunsa keskimäärin 50 avainta. Mielestäni siis erittäin tehokas ja riittävä suojautumaan tämän uutisen ryöstöyritystä vastaan.
feenix Re: Nordea..
feenix, 22.1.2007 13:44:57		 Pisteet: 0
Vähän väärin. Kysyttävä vaihtuva koodi perustuu 100 koodin listaan, josta kysytään satunnainen avaimen [1, 100] avulla yksi, ei suinkaan missään järjestyksessä. Tämä taas estää sen, että rosvot saisivat tietoonsa yhtään koodia, elleivät sitten saa haltuunsa keskimäärin 50 avainta. Mielestäni siis erittäin tehokas ja riittävä suojautumaan tämän uutisen ryöstöyritystä vastaan.
Kyllä, tällä hetkellä satunnaisesti, ennen järjestyksessä. Vaihtui hetki sitten.

Mutta kyse oli selaimen kaappaamisesta, siihen tuo satunnaisuus ei auta yhtään.

- käyttäjä menee op.fi
- syötetään tunnus ja salasana
- mennään maksupuolelle, syötetään joku sadasta luvusta
- kaapataan selain, tehdään maksuja

Näin rahat saadaan pois ilman että käyttäjän pitää vahvistella mitään. Nordealla tuo vaatisi enemmän vaivaa:

- käyttäjä menee Soloon
- syötetään tunnus ja seuraava salakoodi
- maksellaan maksuja
- valitaan vahvistus
- tässä välissä pitäisi kaapata selain, tehdä laskutukset ja sitten lähettää pankille tuo vahvistuskoodi

Nordeallakin vahvistuskoodi on yhdessä sessiossa sama (kunnes sen käyttää) siksi ettei voi reloadilla kokeilla milloin juuri se yksi tunnettu koodi tulee. Tämä kuitenkin mahdollistaa kuvatunlaisen kaappauksen ja käyttäjä ei tuossakaan heti huomaa että rahoja viedään, jos vielä takaisin tuleva vahvistussivu muokataan ja piilotetaan ne rahat.

Joka tapauksessa lopussa kysyttävä vaihtuva koodi on parempi kuin ilman. Toivoisin muillekin pankeille tällaista vaikka se onkin kätevää että raha lähtee heti tililtä kun maksun hoitaa. Nordealla tämäkin onnistuu nykyään kun vahvistuskoodin voi syöttää vaikka jokaisen maksutapahtuman jälkeen kätevästi.
KiesuZ Re: Nordea..
KiesuZ, 22.1.2007 11:29:38		 Pisteet: 0
Jos Ruotsin systeemi on samanlainen, niin mikä tuossa on niin evo? Sampon systeemissä asiakastunnus ja sisäänkirjautumistunnus ovat pysyviä, käyttäjän kannalta mukavampi mutta tietoturva-aste sitten vähän alempi, ehkä *). Maksujen vahvistukseen heilläkin tunnus vaihtelee.
Swedbank:ssa (ent. Foreningssparbanken) hoidetaan homma ns. Dosalla joka on saman näköinen kuin taskulaskin joka toimii näin: Näpyttelet ensin oman pin koodin Dosaan saadaksesi Dosan auki jonka jälkeen laitat webbi sivuille oman henkilötunnuksen josta saat kahdeksan numeroisen luvun joka vastaa henkilötunnustani jolle Dosa on rekisteröity. Sitten lyön Dosaan numero sarjan jonka webbi sivusto minulle antaa ja Dosa antaa kahdeksan numeroa jolla pääsen sisälle, eli käsittääkseni aika turvallinen systeemi ja vastaavaa en ole muilla pankeilla nähnyt.
There are two major products that came out of Berkeley: LSD and BSD. We don't believe this to be a coincidence. —Jeremy S. Anderson
Lähes kaikki?
101010, 22.1.2007 07:39:23		 Pisteet: 0
Lähes kaikki huijauksen kohteeksi joutuneet asiakkaat eivät ole käyttäneet tietokoneessaan virustorjuntaohjelmaa, joka olisi todennäköisesti estänyt troijalaisen toiminnan.
Eikös tuo tarkoita sitä, että osa käytti, mutta siitä ei ollut silti mitään apua?
Lukekaapa tuo viruskuvaus
101010, 22.1.2007 08:44:03		 Pisteet: 0
Lukekaapa tuo viruskuvaus. Virus varastaa ensinnäkin useita erilaisia tunnuksia eri paikoista, se infektoi IE:n lisäksi myös monia muita ohjelmia mitä ajattelee selaimiksi, mm. mozilla.exe ja opera.exe ja se blokkaa monet virustorjuntaohjelmien käyttämät sivustot ja tappaa erilaisia turvaohjelmien prosesseja jne.

Tuosta näkee että alkaa olla ammattilaisen ote tuossa troijalaisessa. Periaatteessa ainoa keino luotettavasti suojautua tuollaiselta on olla käyttämättä Windowsia tai olla asentelematta sähköpostin kautta tulevia ohjelmia. En luottaisi virustorjuntaohjelmiinkaan tuon suhteen, sillä aina niillä kestää hetki ennenkuin virusdata päivittyy ja silloin voi olla jo liian myöhäistä.
formula1 Rahat edelleen rosvoilla
formula1, 22.1.2007 04:17:39		 Pisteet: 0
Tiedot lähetettiin venäjällä oleviin koneisiin, siinä kaikki mitä poliisi tietää. Kun tekee viruksen joka kaataa windowseja joutuu linnaan, mutta kun tekee keyloggerin joka lähettää tietonsa jonnekin venäjälle, saa rahaa.
Re: Rahat edelleen rosvoilla
pp, 22.1.2007 11:10:08		 Pisteet: 0
Jos on palkkamurhaaja saa rahaa ja mainetta, jos on perinteinen humalapäinen sunnuntaitappaja jää melko varmasti kiinni. Poliisin työtä helpottaa kummasti se, että suurimmman osan rikoksista tehtailevat huumehörhöt ja muu ex-tempore porukka.