recordere.dk forum     Det danske community for hjemmets elektronik og indhold     Siden 2003
<b>Forside</b> Forside > Køb og salg > Jura
  Nye indlæg Nye indlæg  Seneste forum emner Seneste   Seneste forum emner (vindue) Vindue   De emner du deltager i Mine emner RSS Feed - "Verified by Visa" - hvem hæfter?
  FAQ FAQ  Søg i forum   Opret ny bruger Opret ny bruger  Log ind Log ind

Emne lukket"Verified by Visa" - hvem hæfter?

 Besvar Besvar Side  <12
Forfatter
Besked
JesperLund Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 21-Januar-2006
Sted: Darknet
Status: Offline
Point: 8022
Direkte link til dette indlæg Sendt: 22-Januar-2011 kl. 23:00
Oprindeligt skrevet af Cyberguyen Cyberguyen skrev:

Det er uhyre svært at lave et man in the middle angreb i praksis, da de næsten skal skræddersyes til modtageren. Der er simpelthen ikke penge nok i at gøre det med verified by visa funktionen.


Du får aldrig et højtlønnet job hos den organiserede kriminalitet.LOL

Start med at læse her hvis du vil efteruddannes.

Det grundlæggende problem er at 3D Secure arbejder med en indlejret frame (iframe), hvilket gør at du ikke har mulighed for at validere SSL certifikatet.


Redigeret af JesperLund - 22-Januar-2011 kl. 23:01
Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
Til top
Cyberguyen Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 24-Oktober-2006
Sted: Denmark
Status: Offline
Point: 4933
Direkte link til dette indlæg Sendt: 23-Januar-2011 kl. 00:22
Oprindeligt skrevet af JesperLund JesperLund skrev:

Oprindeligt skrevet af Cyberguyen Cyberguyen skrev:

Det er uhyre svært at lave et man in the middle angreb i praksis, da de næsten skal skræddersyes til modtageren. Der er simpelthen ikke penge nok i at gøre det med verified by visa funktionen.


Du får aldrig et højtlønnet job hos den organiserede kriminalitet.LOL

Start med at læse her hvis du vil efteruddannes.

Det grundlæggende problem er at 3D Secure arbejder med en indlejret frame (iframe), hvilket gør at du ikke har mulighed for at validere SSL certifikatet.


Hvis du ikke har erfaring med at validere certifikatet kan du have en browser, som du kun benytter til online betalinger. Denne browser vil advare imod ugyldige certifikater, da den ikke vil være kompromiteret.
Til top
jonaskp Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 20-Juli-2006
Sted: Brønshøj
Status: Offline
Point: 2272
Direkte link til dette indlæg Sendt: 23-Januar-2011 kl. 00:49
Oprindeligt skrevet af Allan Olesen Allan Olesen skrev:

Den personlige oplysning er simpel at give videre ved et Man in the Middle-angreb. Den falske VbVserver skal blot bruge mine indtastede kortoplysninger til at påbegynde en betaling hos en tilfældig butik, som bruger VbV. Så ser den falske VbV-server en ægte VbV-side, hvorfra den kan nappe min personlige oplysning.

Jeg indrømmer blankt at jeg ikke har voldsomt stor viden på dette område. Men som Cyberguruen er inde på, så kræver det vel at man målretter mod den enkelte bruger.
Er vi ikke enige om at vi er ude i noget der ligner:
1: Opfang kortnummer, udløbsdato og sikkerhedskode
- Kan gøres ved at opfange trafik mens ofret handler, få ofret til at handle på ens egen webshop eller hacke en webshop database.
2: Bruge disse oplysninger til at påbegynde en betaling hos en webshop der bruger SecureCode og kopiere den personlige oplysning.
- Skal vel gøres manuelt, eller kan det lade sig gøre at scripte det?
3: Få brugeren ledt hen på din falske VbV-side, hvor personlig oplysning er indtastet, så han indtaster sin SecureCode til dig.
- Kræver vel at brugere handler på din egen webshop eller at du kan opfange hvornår han handler på en webshop og henlede ham til din falske side på det rigtige tidspunkt. Igen, jeg har ingen anelse om hvad dette reelt kræver.
4: Udnytte oplysningerne til at handle på hjemmesider der benytter SecureCode.

Er vi ikke, som Cyberguruen skriver, ude i at det begynder at bliver rigtigt besværligt i forhold til evt. udbytte?
Eller er jeg blot for naiv?


Oprindeligt skrevet af Allan Olesen Allan Olesen skrev:

Man skal vist være bankmand for at tro, at det er sikkert...
Ved ikke om det var ment som en fornærmelse, men synes egentligt det er ret lavt hvis det var.
Og ja, jeg er bankmand.
Til top
JesperLund Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 21-Januar-2006
Sted: Darknet
Status: Offline
Point: 8022
Direkte link til dette indlæg Sendt: 23-Januar-2011 kl. 00:50
Oprindeligt skrevet af Cyberguyen Cyberguyen skrev:


Hvis du ikke har erfaring med at validere certifikatet kan du have en browser, som du kun benytter til online betalinger. Denne browser vil advare imod ugyldige certifikater, da den ikke vil være kompromiteret.


For en indlejret https side?

Se denne artikel. Bemærk titlen: "...how NOT to design..."


Redigeret af JesperLund - 23-Januar-2011 kl. 00:51
Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
Til top
Cyberguyen Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 24-Oktober-2006
Sted: Denmark
Status: Offline
Point: 4933
Direkte link til dette indlæg Sendt: 23-Januar-2011 kl. 01:24
Oprindeligt skrevet af JesperLund JesperLund skrev:

Oprindeligt skrevet af Cyberguyen Cyberguyen skrev:


Hvis du ikke har erfaring med at validere certifikatet kan du have en browser, som du kun benytter til online betalinger. Denne browser vil advare imod ugyldige certifikater, da den ikke vil være kompromiteret.


For en indlejret https side?

Se denne artikel. Bemærk titlen: "...how NOT to design..."


Jeg har læst det som du linker til, men det beskriver kun at kunden kontaktede sin bank fordi han var usikker på hvem som certifikatet tilhører. Men på selve certifikatet kan man jo læse hvem som det er udstedt til og af hvem. Så jeg kan virkelig ikke set det store problem.

For at skulle lave Phishing eller man in the middle angreb skal du få et CA firma til at udstede et certificat til dig. Det kan godt være at du kan få et quick certifikat, men du vil aldrig kunne modtage et hvor dit firmanavn står skrevet på uden at være fysisk valideret som firma.

En anden måde at snyde på er ved at bryde ind i computeren og få den til at truste et CA certifikat som de kriminelle så kan benytte til at udstede deres egne certifikater.
Denne metode er langt mere besværlig og nok ikke særligt benyttet imod andre browsere end Internet Explorer.
Til top
Cyberguyen Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 24-Oktober-2006
Sted: Denmark
Status: Offline
Point: 4933
Direkte link til dette indlæg Sendt: 23-Januar-2011 kl. 01:26
Jeg er ikke uenig med dig omkring designet af siden, det kan laves langt bedre og burde laves lagt bedre. Men jeg tror at der er meget langt imellem folk som får misbrugt deres kort i forbindelse med verified by visa sider, når de køber en vare.

Der er nok større chance for at forbrydelsen sker via en phishing mail og ikke i forbindelse med selve købet. Derfor skal man aldrig klikke på link i en mail og altid tvivle på hvem som har sendt en given mail.
Til top
Infinity Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 13-September-2007
Sted: Denmark
Status: Offline
Point: 1078
Direkte link til dette indlæg Sendt: 23-Januar-2011 kl. 01:47
Oprindeligt skrevet af Allan Olesen Allan Olesen skrev:


Man skal vist være bankmand for at tro, at det er sikkert...
 
Hvis du vil ned på så lavt et niveau så OK. Clown
 
Den bank jeg arbejder i har vi ALDRIG haft misbrug på Verified by Vista/MasterCard, så måske er det bare dig der er en tøsedreng, og så kan du da bare lade være med at handle på nettet eller lave dine indkøb med betaling via bankoverførsel (uden sikkerhed), betaling med (international) bankcheck eller hvis du kan få nogen til at sende varen på efterkrav.
 
Eller flyt tiil Sverige, der kan du få "engangs MasterCard" - så kan de tage beløbet fra dig, men kun det ene beløb.
mvh Infinity
Til top
 
 Besvar Besvar Side  <12
 
Skift forum Forum-tilladelser Se dropdown menu