Última Hora: "SEF abre concurso para admitir 100 inspetores - Diário de Notícias - Lisboa" Thu, 14 Dec 2017 15:04:00 GMT    "Governo PS e os apoios à Raríssimas. Valor manteve-se, não quadruplicou - Observador" Thu, 14 Dec 2017 12:11:41 GMT    "Raríssimas: Jerónimo de Sousa acredita que a "procissão ainda vai no adro" - Diário de Notícias - Lisboa" Thu, 14 Dec 2017 19:33:09 GMT    "Nuno Mota Pinto vai presidir ao Montepio e os restantes administradores deverão sair com Félix Morgado - Expresso" Thu, 14 Dec 2017 20:28:00 GMT   "This RSS feed URL is deprecated" Thu, 14 Dec 2017 21:19:39 GMT    "Estados Unidos aprovam fim da neutralidade da internet - RTP" Thu, 14 Dec 2017 20:31:00 GMT    "Novo modelo da Autoeuropa faz disparar produção automóvel em Portugal - Expresso" Thu, 14 Dec 2017 16:56:00 GMT    "Uber cobra 12 mil euros por viagem de 20 minutos - Dinheiro Vivo" Thu, 14 Dec 2017 18:18:43 GMT    "Anacom está analisar alterar condições do serviço postal - Jornal de Negócios - Portugal" Thu, 14 Dec 2017 18:29:00 GMT    "BES: Tribunal declara nula acusação de BdP contra Salgado e Amílcar Pires - Público.pt" Thu, 14 Dec 2017 21:16:11 GMT      Para mais notícias, clique aqui.

Área de Acesso
       
       
Lembrar Sempre 
(Login BolsaPT & Canal Forex)


Bem vindo ao Bolsa PT - Inside Forum & Portal de Bolsa.
Se esta é a sua primeira visita, certifique-se de que verifica primeiro a nossa secção de Perguntas Frequentes clicando no link acima. Poderá ter de se registar antes de poder colocar novas mensagens: clique no link de registar acima para continuar. Para começar a ver mensagens, seleccione o fórum que pretende visitar da selecção abaixo. Lembre-se que se pode logar com o seu login BolsaPT!


Fórum Geral Fórum dedicado a assuntos da nossa Bolsa de Valores em Geral, as vossas carteiras, rumores nas salas de mercados, dúvidas sobre Bolsa e investimentos.

Responder
 
Opções
  #1  
Velho 05-07-2017, 03:17
Avatar de Crashh
Crashh Crashh encontra-se desligado
Just myself
 
About:
Data de Adesão: Jul 2007
Mensagens: 1.245
Por Defeito Atenção ao Phishing nos bancos, aprendam a evitar

Quem usar bancos online leia com atenção isto.

E se houver alguém que trabalhe em cyber-security nos bancos, especialmente Montepio, tomem em atenção isto que devem corrigir, senão não se admirem que continuem a existir vítimas de phishing nos bancos!

Que já começo a ficar farto da ignorância que reina, depois admiram-se que haja tanto phishing, há que ensinar as pessoas e não lhes dar informações que as induzam a falsas sensações de segurança. Os bancos têm de ensinar melhor as pessoas.

Neste caso vi esta imagem no Montepio, que ajuda aos phishers, mesmo que não seja a intenção, pois leva as pessoas a pensar que basta o endereço estar como está e estão seguras, e isso está muito longe da verdade, algo que explico depois da imagem.


Em primeiro lugar, é grave o erro de faltar a barra após o ".pt" na imagem, explico 1º pelo URL:

Já sabem que um site assim é possível (neste caso escolhi este a dedo porque é engraçado):
[url]http://www.mestrecruz1974.comunidades.net/[/url]
Ou seja, [url]http://a.b.c.d[/url], poderia ser [url]https://www.montepio.pt.xpto[/url] (como exemplo o .xpto).

A pessoa veria que está no [url]https://www.montepio.pt[/url] e ficaria contente, ignoraria o .xpto porque o Montepio não está a informar a pessoa de que após o .pt deve vir mesmo uma barra "/" senão é perigoso!

Vejam os dois links de login:
[url]https://www.montepio.pt.xpto/particulares[/url] -> Mais difícil o utilizador ver.
E este?
[url]https://net24.montepio.pt.xpto/Net24-Web/func/acesso/net24pLoginTVRedir.jsp[/url]
Já é preciso alguém treinado para saber que não está no site certo, um utilizador cai facilmente nisto.

Este último link mostra também que o banco se foca em dizer a alguns utilizadores que têm SSL EV no browser (outros não têm) como forma de ver que estão no site e muitos nem têm como explico abaixo. Em vez de lhes explicar que só devem estar em sites com .pt/ no começo, ou seja:
[url]https://www.montepio.pt/[/url]
[url]https://www.montepio.pt/particulares[/url]
[url]https://net24.montepio.pt/Net24-Web/func/acesso/net24pLoginTVRedir.jsp[/url]

Ou seja, explicar que o site tem de ser [url]https://XXX.montepio.pt/[/url] onde o XXX pode ser www ou net24.

E não é só isso, ao explicar que deveria vir uma barra, ensinam a pessoa a evitar muitos emails de phishing. Isto e informar como ver o endereço real debaixo de um link href em HTML, seja passando o rato por cima ou copiar o endereço do email para a memória e analisá-lo em separado, etc, no caso de emails de spam ou sites que redireccionem para os sites de phishing.

Vejamos, agora abram isto:

[url]https://www.montepio.pt@www.novobanco.pt/[/url]

Como podem ver em 1º lugar, não basta começar por [url]https://www.montepio.pt[/url] para ser seguro, como podem ver foram parar ao site do NovoBanco.

A ignorância da equipa que escreveu isto foi grave neste sentido, até porque bastava terem colocado um "/" após o ".pt" e já era uma ajuda pois:

[url]https://www.montepio.pt/@www.novobanco.pt/[/url]

Já continuaria no mesmo domínio no começo, no Montepio, a barra salvou o utilizador!

Este é apenas um dos possíveis problemas. Ao darem esta informação ao cliente, ele vai confiar cegamente em tudo o que comece por "https://www.montepio.pt" quer tenha uma "/" ou um ".xpto" ou uma "@" depois.

Como corrigir este ponto? Avisar o cliente que após o .pt tem de ter uma "/" e não clique nunca se o link tiver uma arroba ("@") no meio ou não confie no site se for .pt.xpto.

Os utilizadores de tudo o que é websites, aprendam as regras de ouro que falei acima, que ajudam muito, a de evitar os "@" nos links, e o website ter de ser [url]https://XXX.website.pt/[/url] (ou http depende do website), onde o XXX seja o www, net24 ou algo que o website tenha.

E antes que alguém me faça perder tempo com perguntas ou afirmações incorrectas, leiam isto caso vos apeteça comentar:

1º Não estou a dizer para não usarem https mas sim para avisar o cliente de que devem evitar links com arrobas ("@") e que não tenham a barra "/" o .pt ou seja, que não comecem por "https://www.montepio.pt/". Ou permanecer em links que tenham ".pt.xpto".

2º Os que queiram dizer "mas tem o https" reparem que no exemplo que dei acima continuou com https. Logo não podem dizer à pessoa que continuar com https ajuda.

3º Hoje em dia, 99,99% dos phishers (digo eu) nem usa SSL certificates, porque basta que 1 pessoa em cada 100 caia e entre sem o https e ficam ricos. Mas mesmo que exijam https, ficariam rico na mesma porque, phishers podem usar SSL certificates.

4º Browsers muito antigos nem têm suporte para a Extended Validation SSL, por isso o banco não pode exigir aos utilizadores que só entrem se virem a EV SSL a funcionar no browser e a luzinha verde. Logo tem de os informar sobre a @ e / pois isso sim é o que mais importa...

5º Dado que há pessoas que nem verão aquilo a funcionar, e que os bancos nem podem exigir que elas só entrem se o virem, o Phisher estar a usar um SSL certificate ou não usar é igual. De facto a maioria deles nem usa, basta que 1 ou 2 pessoas no meio de 100 caia na esparrela e ficam ricos como falei acima.

6º É muito mais fácil explicar o / e @ do que o que é um SSL certificate.

7º Nem todos os SSL certificates são seguros, qualquer pessoa pode criar um e até com nome parecido, e se a pessoa até entraria sem ele, quanto mais com ele. Por isso quem pensar em "se tem ssl é bom" é mau. Mas para quê criar um (pelo phisher) se ele nem precisa?

8º Se estão a pensar no TLS Handshake falhar se tentarem usar o certificado do site noutro domínio, lembrem-se que isso seria parvoíce de um Phisher que se preze (se é que esta profissão existe). Se nem precisa de certificados, e há forma de o fazer com outros certificados para quê tentar roubar o do banco? lol.

9º Se se referem ao facto de ao se descobrir um site de phishing que use SSL que podem anular o certificado, lembrem-se que não me refiro ao facto de poderem anular esse certificado ou não. Pois até ser anulado já muitos entraram com o https, e mesmo que seja anulado ou o site nem o use, repito que nem precisam de https para enganar as pessoas.

10º Muitos websites "falsos" já usaram certificados SSL para fazer phishing, e nem precisaram de engenharia social para sacar o do banco ou hackar o banco etc, apenas compraram um diferente, etc. Apesar de se poder obter um com engenharia social, etc, do próprio banco mas isso já seria exagerar muito as coisas. Porque NINGUÉM precisa disso para ficar rico a enganar pessoas, nem usar https.

11º Já houve mesmo casos em que o domain name do certificado usado para phishing correspondia ao do site a ser "phishado", o que significa que em certos casos os sites originais foram hackados, ou houve engenharia social, ou outras coisas. Com o mesmo domínio nem existiria uma "trust dialogue box", mas isto nem seria necessário também, como falei acima.

12º Uma CA dar um certificado a alguém para fazer phishing, não significa que sejam incompetentes na CA, porque uma CA não pode saber se toda a gente que pede um certificado é de confiança ou não, qualquer um pode pedir e usar um.

13º Já ouviram falar de HTTPS interceptions? Eu costumo chamar de "man in the middle attack" a tudo o que envolva um 3º interveniente entre 2 que tentam comunicar, termos que recordam os velhos tempos, anos 90/2000. Mas este tipo de coisas permitem ao interceptor analisar e desencriptar os dados que vão passando por ele. Isto acontece aos montes, ainda hoje em dia.

14º Não é tão impossível hackar os websites que usam os certificados para os que se querem dar ao trabalho de tentar usar os originais. Por isso nem sequer um certificado que pareça real é de confiar. Mas alguém poderá dizer: "então nesse caso alteravam o próprio website". Errado, alguém entraria lá, saca o que quer, sai, e o website (neste caso o banco) não saberia de nada e veria tudo igual e nem saberiam o que se passou (seria o ideal para o phisher).

15º Há falhas em certas SSL CA o que permite que através de algumas se consiga obter os certificados dos websites em questão, nem que seja por engenharia social/falha humana, etc.

16º A Extended Verification SSL só teria algum poder se fosse forçado o seu uso pelos utilizadores. Como tal não é possível pelo que falei acima, é quase irrelevante se é usada ou não, dado que muitos nem têm browsers compatíveis com isso especialmente em empresas onde browsers antigos são necessários ainda nos dias de hoje. E a maioria dos que dão lucro aos phishers até entram em sites http sem o SSL, por isso, who cares?

17º Se existisse um man in the middle, porque seria preciso usar certificados? É assim, um ataque básico poderia fazer a pessoa dar logo os códigos todos, mas como muitos estão avisados sobre isso, alguém minimamente inteligente teria de estar a vigiar o que a pessoa faz após x logins para ir sacando os números todos do cartão à medida que ia fazendo etc, para só no fim roubar o coitado. Por isso isto do man in the middle ignorem foi só exemplo, mas sim, acontece.

18º Mesmo com isto tudo pensado, garanto-vos que há forma de enganar o cliente de 1001 outras maneiras mais complexas (ou menos). Foram só exemplos para referir apenas 2 pontos, SSL e o URL.

Epá poderia dizer mais algumas mas não me vou lembrar de tudo.

Mas concluíndo: informar o cliente sobre o que é o https e certificados com EV, etc, não é grande solução, avisá-los apenas que devem evitar urls com "@" sim é uma grande ajuda, vejam sempre o URL e tudo o que tiver uma "@" (arroba) no URL (link, endereço), não cliquem! Se souberem que o vosso browser tem a funcionalidade de Extended Verification SSL, acrescentem isso à verificação do link, mas acima de tudo vejam o link, se tem arrobas ou não, se o primeiro domínio é um banco.pt/ se, nenhum .xpto a mais, e a verificar o verdadeiro link debaixo de códigos href HTML (ao passar com o rato por cima do link ver que endereço real aparece).

É que isto é das coisas mais básicas, nem queiram saber do resto.

Mas os bancos, ao menos esta falha corrijam por favor...

Neste caso o Montepio Geral. Sei que não farão por mal, isto é uma crítica construtiva que enviarei ao banco também depois, levem-na como algo que vos pode ajudar a melhorar o serviço.

Obrigado!

Bons negócios.
__________________
Bolsa PT / Forex PT

Última edição de Crashh : 05-07-2017 às 13:30.
Responder com Quote
Responder

« Anterior | Seguinte »


Opções

Regras de Criação de Mensagens
não pode criar novos tópicos
não pode enviar respostas às mensagens
não pode adicionar ficheiros em anexo
não pode editar as suas mensagens
O Código vB está On
Smiles estão On
Código da [IMG] é On
Código HTML é Desligado
Ir Para o Fórum:

Similar Threads
Tópico Início de Novo Tópico Fórum Respostas Última Mensagem
Bancos ganham 3,5 milhões por dia mesmo com crise Crashh Fórum Geral 0 19-02-2009 02:46
Dois bancos nacionais à beira da ruptura Crashh Fórum Geral 7 06-10-2008 20:04
AIG precisa de 80 mil milhões esta terça-feira para evitar falência Crashh Fórum Geral 2 17-09-2008 01:13
Bancos portugueses são dos menos saudáveis da Europa Lion_Heart Fórum Geral 3 17-07-2008 10:39


Todas horas estão no fuso horário GMT. A hora actual é 00:19.

Largura do Site:


Copyright@1998-2017 - BolsaPT.com, todos os direitos reservados.
Fórum de Bolsa Cotações de Bolsa Notícias de Bolsa Chat de Bolsa Disclaimer Recursos para Webmasters