Phisher
-
Innlegg
2 -
Ble med
-
Besøkte siden sist
Innholdstype
Profiler
Forum
Hendelser
Blogger
Om forumet
Innlegg skrevet av Phisher
-
-
- Populært innlegg
- Populært innlegg
Unnskyld meg, men sikkerheten er jo ENDA dårligere enn det kommer fram i denne artikkelen.
Det er overhodet INGEN beskyttelse for man-in-middle angrep for BankID Norge.
BankID tillatter at skjema for BankID kjører på webservere hos de som ønsker løsningen, så bruker er ikke vant til at man må taste inn dette på domenet bankid.no. Alle kan legge sitt eget UI på toppen på sine egne domener.
Hvem som helst kan altså lage en fake in logging side (phishing akkurat som med brukernavn/passord) hvor en ber brukerene taste inn sine data med BankID i den tro de gjør det mot BankID, men i virkeligheten gis det direkte til man-in-middle som så bruker det på den ekte BankID siden.
Dette fungerer BÅDE med personnr/kode fra brikke OG på mobil hvor de to ordene feks "SULTEN SNEGLE" etc returneres til bruker og sendes til mobil slik:
- Den ekte brukeren går til en phishing side og taster inn sitt mobil-nr og fødselsdato.
- Dette blir sendt til phishing siden og IKKE til BankID
- Det er Man-in-middle siden som da sender det samme mobil-nr og fødselsnr til BankID og får tilbake feks "SULTEN SNEGLE" i sitt UI.
- Dette "SULTEN SNEGLE" returneres så til den ekte brukeren på den falske siden (med en delay på bare 1-2 sekunder mens de kjører en "spinner" på det falske BankID UIet som INGEN normal bruker reagerer på)
- Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.
På normal fødelsenr/kodebrikke er det ENDA enklere... Så det er NULL mer sikkert med BankID enn brukernavn/passord....
- 7
- 3
DEBATT: – Jo, BankID kan være farlig
i Diskuter artikler (Digi.no)
Skrevet
Hele poenget med man-in-middle phishing er jo at brukeren tror at det er den ekte siden (som dukker opp i mobil dialogen) de er på.
Så når bruker på sin mobil ser kodeord «SULTEN SNEGLE» og brukersted feks «KLP Bank» når man tror man er på feks den ekte KLP siden så forsterker det jo bare inntrykket av at man ikke er utsatt for phishing!
Jeg vil dermed argumentere for at dette er ENDA lettere å bli lurt av enn normal phishing, siden du får mobil flyten som faktisk jobber MOT brukerene (bekrefter at de er på en ekte side, når de IKKE er det) og jobber FOR man-in-middle.
Helt utrolig at noe så enkelt å phishe er godkjent løsning i Norge som nivå 4 og at man kan komme i finansiell-ruin ved å bli utsatt for noe så enkelt, eller få alle sine helse data på avveie.