|
|||||||||||||||
|
recordere.dk forum
Det danske community for hjemmets elektronik og indhold
Siden 2003
|
|
|
Besvar 
|
Side 12> |
| Forfatter | ||
Infinity 
Guld medlem 
Oprettet: 13-September-2007 Sted: Denmark Status: Offline Point: 1078 |
 Emne: "Verified by Visa" - hvem hæfter?Sendt: 23-Januar-2011 kl. 01:47 |
|
Hvis du vil ned på så lavt et niveau så OK.
 Den bank jeg arbejder i har vi ALDRIG haft misbrug på Verified by Vista/MasterCard, så måske er det bare dig der er en tøsedreng, og så kan du da bare lade være med at handle på nettet eller lave dine indkøb med betaling via bankoverførsel (uden sikkerhed), betaling med (international) bankcheck eller hvis du kan få nogen til at sende varen på efterkrav.
Eller flyt tiil Sverige, der kan du få "engangs MasterCard" - så kan de tage beløbet fra dig, men kun det ene beløb.
|
||
|
mvh Infinity
|
||
 |
||
|
Cyberguyen
Guld medlem
Oprettet: 24-Oktober-2006 Sted: Denmark Status: Offline Point: 4937 |
Sendt: 23-Januar-2011 kl. 01:26 |
|
|
Jeg er ikke uenig med dig omkring designet af siden, det kan laves langt bedre og burde laves lagt bedre. Men jeg tror at der er meget langt imellem folk som får misbrugt deres kort i forbindelse med verified by visa sider, når de køber en vare.
Der er nok større chance for at forbrydelsen sker via en phishing mail og ikke i forbindelse med selve købet. Derfor skal man aldrig klikke på link i en mail og altid tvivle på hvem som har sendt en given mail. |
||
|
||
|
Cyberguyen
Guld medlem
Oprettet: 24-Oktober-2006 Sted: Denmark Status: Offline Point: 4937 |
Sendt: 23-Januar-2011 kl. 01:24 |
|
Jeg har læst det som du linker til, men det beskriver kun at kunden kontaktede sin bank fordi han var usikker på hvem som certifikatet tilhører. Men på selve certifikatet kan man jo læse hvem som det er udstedt til og af hvem. Så jeg kan virkelig ikke set det store problem. For at skulle lave Phishing eller man in the middle angreb skal du få et CA firma til at udstede et certificat til dig. Det kan godt være at du kan få et quick certifikat, men du vil aldrig kunne modtage et hvor dit firmanavn står skrevet på uden at være fysisk valideret som firma. En anden måde at snyde på er ved at bryde ind i computeren og få den til at truste et CA certifikat som de kriminelle så kan benytte til at udstede deres egne certifikater. Denne metode er langt mere besværlig og nok ikke særligt benyttet imod andre browsere end Internet Explorer. |
||
|
||
|
JesperLund
Guld medlem
Oprettet: 21-Januar-2006 Sted: Darknet Status: Offline Point: 8022 |
Sendt: 23-Januar-2011 kl. 00:50 |
|
For en indlejret https side? Se denne artikel. Bemærk titlen: "...how NOT to design..." Redigeret af JesperLund - 23-Januar-2011 kl. 00:51 |
||
|
Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
|
||
|
||
|
jonaskp
Guld medlem
Oprettet: 20-Juli-2006 Sted: Brønshøj Status: Offline Point: 2272 |
Sendt: 23-Januar-2011 kl. 00:49 |
|
Jeg indrømmer blankt at jeg ikke har voldsomt stor viden på dette område. Men som Cyberguruen er inde på, så kræver det vel at man målretter mod den enkelte bruger. Er vi ikke enige om at vi er ude i noget der ligner: 1: Opfang kortnummer, udløbsdato og sikkerhedskode - Kan gøres ved at opfange trafik mens ofret handler, få ofret til at handle på ens egen webshop eller hacke en webshop database. 2: Bruge disse oplysninger til at påbegynde en betaling hos en webshop der bruger SecureCode og kopiere den personlige oplysning. - Skal vel gøres manuelt, eller kan det lade sig gøre at scripte det? 3: Få brugeren ledt hen på din falske VbV-side, hvor personlig oplysning er indtastet, så han indtaster sin SecureCode til dig. - Kræver vel at brugere handler på din egen webshop eller at du kan opfange hvornår han handler på en webshop og henlede ham til din falske side på det rigtige tidspunkt. Igen, jeg har ingen anelse om hvad dette reelt kræver. 4: Udnytte oplysningerne til at handle på hjemmesider der benytter SecureCode. Er vi ikke, som Cyberguruen skriver, ude i at det begynder at bliver rigtigt besværligt i forhold til evt. udbytte? Eller er jeg blot for naiv?
Ved ikke om det var ment som en fornærmelse, men synes egentligt det er ret lavt hvis det var. Og ja, jeg er bankmand. |
||
|
||
|
Cyberguyen
Guld medlem
Oprettet: 24-Oktober-2006 Sted: Denmark Status: Offline Point: 4937 |
Sendt: 23-Januar-2011 kl. 00:22 |
|
Hvis du ikke har erfaring med at validere certifikatet kan du have en browser, som du kun benytter til online betalinger. Denne browser vil advare imod ugyldige certifikater, da den ikke vil være kompromiteret. |
||
|
||
|
JesperLund
Guld medlem
Oprettet: 21-Januar-2006 Sted: Darknet Status: Offline Point: 8022 |
Sendt: 22-Januar-2011 kl. 23:00 |
|
Du får aldrig et højtlønnet job hos den organiserede kriminalitet.  Start med at læse her hvis du vil efteruddannes. Det grundlæggende problem er at 3D Secure arbejder med en indlejret frame (iframe), hvilket gør at du ikke har mulighed for at validere SSL certifikatet. Redigeret af JesperLund - 22-Januar-2011 kl. 23:01 |
||
|
Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
|
||
|
||
|
Cyberguyen
Guld medlem
Oprettet: 24-Oktober-2006 Sted: Denmark Status: Offline Point: 4937 |
Sendt: 22-Januar-2011 kl. 22:26 |
|
|
Det er uhyre svært at lave et man in the middle angreb i praksis, da de næsten skal skræddersyes til modtageren. Der er simpelthen ikke penge nok i at gøre det med verified by visa funktionen.
Så hvis du checker at certifikat matcher website, så burde du bare have ro i sjælen og benytte dit kort, da din bank dækker køb hvor betalingskort udstedt af dem er benyttet. Tilføjelse: Det er jo Visa som checker for "Verified by Visa" funktionen, så derfor er det jo et visa site som bærer certifikatet. Hvis du går ind og checker hvem visa benytter til at udstede certifikater og checker certifikatet for siden så er du sikker. Det vil jo kræve at dem der laver man in the middle angreb har installeret CA certifikater på din maskine eller har overtaget visa's side. Der er ikke andre muligheder, da certifikatet så ikke ville være gyldigt.  Redigeret af Cyberguyen - 22-Januar-2011 kl. 22:31 |
||
|
||
|
Allan Olesen
Guld medlem
Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Sendt: 22-Januar-2011 kl. 20:55 |
|
|
Den personlige oplysning er simpel at give videre ved et Man in the Middle-angreb. Den falske VbVserver skal blot bruge mine indtastede kortoplysninger til at påbegynde en betaling hos en tilfældig butik, som bruger VbV. Så ser den falske VbV-server en ægte VbV-side, hvorfra den kan nappe min personlige oplysning.
Man skal vist være bankmand for at tro, at det er sikkert... |
||
|
||
|
jonaskp
Guld medlem
Oprettet: 20-Juli-2006 Sted: Brønshøj Status: Offline Point: 2272 |
Sendt: 22-Januar-2011 kl. 19:56 |
|
|
Du kan da netop godt se forskel. Når du opretter din VbV kode, skal du også skrive en personlig oplysning som fremover kommer til at fremgå af VbV vinduet når du skal indtaste koden. Hvis denne oplysning ikke er til stede, eller er forkert,så er det jo til At se at siden ikke er ægte.
Og det er da også en sikkerhed for kortholder da han, som nævnt, jo kan undgå at et stjålet kort bliver misbrugt og der bliver trukket penge på kortet. Jeg ved godt at man i sådanne tilfælde får pengene tilbage af banken, men det ville da være bedst helt at undgå det. Jeg går også ud fra (men ved det ikke) at VbV koden kun lagres af VISA og ikke hos webbutikken. Man vil (hvis det forholder sig sådan) kunne undgå at kortoplysninger stjålet hos en webbutik, kan blive misbrugt. Dette kræver dog så bare at alle webbutikker bruger systemet. |
||
|
||
|
Allan Olesen
Guld medlem
Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Sendt: 22-Januar-2011 kl. 14:09 |
|
|
Vi er enige om, at det er en yderligere sikkerhed for butikkerne. Problemet er, at det også bliver udråbt til at være en yderligere sikkerhed for kortholderne. Det er ikke tilfældet, tværtimod.
For det første er nettet fyldt med fortællinger om folk, der har fået deres kortoplysninger og kode nappet på en falsk betalingsside med en falsk VbV-side og derefter naturligvis har fået kortet misbrugt. Så langt er historien ikke anderledes fra brug af kort på en falsk betalingsside UDEN VbV - her får man naturligvis også sine kortoplysninger snuppet og misbrugt. Forskellen opstår først i det øjeblik, de går i banken og gør indsigelse og får at vide, at det da ikke kan passe. "Vi kan se, at VbV-koden har været anvendt, så naturligvis er det dig, der har betalt. For du har da vel ikke overladt koden til andre, vel? ... VEL?!?!" For det andet kan det aldrig være til gavn for sikkerheden, at man vænner brugerne til at acceptere åbenlyse phishing-forsøg. Og hele VbV-proceduren er bygget op, så den til forveksling ligner et åbenlyst phishing-forsøg. Det var især slemt i den oprindelige, danske udgave, hvor man fra betalingssiden blev ledt direkte til sin netbank, hvor det var meningen, at man skulle logge på. Det strider jo mod alt, hvad man har lært om at undgå phishing-forsøg. Man logger ikke på sin netbank ved at følge et link i en mail, og man logger ikke på sin netbank ved at følge et link eller en automatisk viderestilling fra en anden hjemmeside. |
||
|
||
|
PerW
Guld medlem
Oprettet: 20-Marts-2008 Sted: Denmark Status: Offline Point: 4109 |
Sendt: 22-Januar-2011 kl. 08:08 |
|
Hvis der bliver brugt stjålne kort til betaling af en ydelse og ejeren af kortet efterfølgende gør indsigelse, så bliver beløbet trykket tilbage fra butikken og så er det forretningen, der hæfter for tabet.
|
||
|
||
|
Besvar
|
Side 12> |
| Skift forum | Forum-tilladelser Du kan ikke oprette nye emner i dette forum Du kan ikke besvare indlæg i dette forum Du kan ikke slette dine indlæg i dette forum Du kan ikke redigere dine indlæg i dette forum Du kan ikke oprette afstemninger i dette forum Du kan ikke stemme i dette forum |
"Verified by Visa" - hvem hæfter?
Emne-funktioner
Allan Olesen skrev: