Suivez les discussions sur : Twitter Facebook RSS   Abonnez-vous à la newsletter : Newsletters   Utilisez la recherche : 
Chercher
Membres  |  Mission

Forums des investisseurs heureux

Discussions courtoises et réfléchies sur l'investissement patrimonial pour s'enrichir, générer une rente et atteindre l'indépendance financière

Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions !

#51 16/12/2015 12h07 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   39 

ZeBonder a écrit :

Pour se faire passer pour vous, le pirate n’a d’autre choix que de venir physiquement voler le boitier.

Bonjour,

en fait pas vraiment, car le malware s’utilise comme un "man-in-the-middle" donc la session est valide vu que le client vient de rentrer son one time password…
Wikipedia

Effectivement comme le précise banyuls, ce sont des groupes mafieux très organisés et avec de gros moyens car les enjeux sont colossaux.
A titre d’infos aussi, un exploit 0-day c’est 5k à 250k€ sur le marché noir des pays de l’est. Soit pas grand chose à la vue du gain.
Prix du 0 day

A titre de stats pour donner un ordre d’idée:
100M de personnes reçoivent un spam / phishing (100 millions ca se trouve sans pb)
1% clic (1% d’idiots) => 1M
1% de ces 1% ne se rend compte de rien pendant tout le process et va jusqu’au bout (1% de crétins) => 100k 10k personnes

vu les stats c’est plus que plausible.

+> vous virez 100€ => jackpot de 1M€

+> vous prenez ne serait-ce que 1000€ (beaucoup pour une personne physique mais pas énorme en terme de risk / client d’un point de vue bancaire) => jackpot de 10M€

Setanta

Message édité par l’équipe de modération (17/12/2015 02h11) :
- correction du chiffre incohérent dans les calcul (10k de "crétins", et par 100k)

Dernière modification par Setanta (16/12/2015 12h11)

Hors ligne

 

#52 16/12/2015 12h42 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   147 

Dans les systèmes que j’ai déjà vus, même un man-in-the-middle ne pourra rien faire.

Pour signer une transaction, l’utilisateur encode la transaction sur le site web de la banque, il y a certaines informations qui apparaissent sur l’écran, il doit les saisir dans son token pour avoir un OTP de signature.

Le man-in-the-middle peut juste voler l’OTP au moment de la connexion donc pourra consulter le compte bancaire mais ne pourra jamais rajouter un bénéficiaire ou faire un virement, pour celà il a besoin d’accéder physiquement au token.

https://www.bov.com/documents/how-to-us … -securekey

https://www.optima.be/sites/default/fil … anking.pdf

Hors ligne

 

#53 16/12/2015 12h58 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   

ZeBonder a écrit :

…., il y a certaines informations qui apparaissent sur l’écran, il doit les saisir dans son token pour avoir un OTP de signature. ….

Rien n’empêche un malware qui à infecté le navigateur et qui donc se met entre vous et la banque en ligne (d’où le nom d’attaque "man in the browser") de vous faire croire que vous êtes sur la version officiel du site. A ce moment quelque soit les éléments de sécurité mis en place (OTP, code à l’écran à saisir sur son boitier,…) vous vous ferez piéger.
La seule sécurité, c’est la vigilance de l’utilisateur.
Quand vous vous connectez à votre banque en ligne, il n’est pas normal que l’on vous demande de saisir un OTP sans une raison valide (par ex: ajout de d’IBAN pour virement)

ZeBonder, relisait mes messages, je ne fais que me répéter avec ce dernier message.

Ce que dit Setana est juste, cependant la réalité concernant les pourcentages de personnes qui cliquent sur les liens est bien pire que les chiffres qu’il donne, c’est affligeant comment les gens sont inattentifs….. (expérience professionnelle qui parle)

Hors ligne

 

#54 16/12/2015 13h42 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   147 

J’ai tout relu et le malware ne peut pas deviner quel code la banque va afficher pour faire un virement vers un compte donc ne saura pas vous extorquer l’OTP spécirfique à une vraie transaction.

Hors ligne

 

#55 16/12/2015 14h01 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   39 

Si le malware est au milieu, il n’a pas besoin de connaître le code ni l’OTP puisqu’il fait passerelle entre le site de la banque et l’utilisateur !!!!!

L’un et l’autre croyant échanger ensemble de manière légale et protégée. C’est la base du principe man-in-the-middle.

@banyuls, j’ai volontairement mis des pourcentages très bas pour montrer déjà à quel point c’est jackpot. Evidemment plus il y a de personnes à tomber dans le panneau, plus le jackpot grimpe exponentiellement !

Setanta

Hors ligne

 

#56 22/12/2015 11h59 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   195 

GoodbyLenine a écrit :

Le type d’attaque décrit par banyuls me semble très plausible…. d’autant que j’ai constaté que plusieurs banques ont décidé d’introduire un délai de 24h ou 48h entre l’ajout d’un compte externe vers lequel un virement peut être effectué, et le moment où un premier virement vers ce compte est activable (soit une contre-mesure qui empêche le brouteur de faire son virement, mais qui introduit une gêne importante pour les clients non infectés).

J’imagine que ce n’est pas le seul mode opératoire utilisé pour récupérer des virements non désirés par les clients.

A la caisse d’épargne --- il n’est plus possible d’ajouter un compte bénéficiaire soit même :"l’ajout d’un compte externe vers lequel un virement peut être effectué," ---

Il est suggéré d’avoir le virement effectué par un agent de l’établissement  --- mais c’est payant.

Il reste encore la possibilité de demander a un agent de mettre en place le nouveau compte externe bénéficiaire (ce qu’il n’est plus possible de faire soit même) et d’effectuer ensuite son virement.

Dernière modification par Miguel (22/12/2015 12h01)


'Experience is what you get when you didn't get what you wanted', Howard Marks.

Hors ligne

 

#57 22/12/2015 14h58 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   

Bonjour à tous,

File décidément très intéressante, bien que petit à petit de plus en plus technique.

Je dirai même légèrement angoissante… au vue de certains articles.

Personne n’a parlé d’un petit logiciel qui s’appelle KeySrambler. Gratuit ou peu cher à ma connaissance, il permet de crypter directement le clavier lorsque vous tapez…

Je vous le recommande en plus des autres outils de protections déjà cités.


Investisseur Novice - Parrain Serein pour Bourse Direct et Boursorama

Hors ligne

 

#58 23/12/2015 09h59 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   51 

La sécurité doit être dans la tête, pas dans les outils. Dans l’attaque décrite précédemment il y deux facteurs qui doivent faire fuite la personne:
- au moment où la page technique s’affiche, le faux site ne peut pas afficher le dernier chiffre du numéro de téléphone car celui ci ne l’a pas encore. Il y a deux sens dans la sécurité, le site doit reconnaître que nous sommes bien qui nous disons que nous sommes, ET nous devons être sur que nous sommes bien sûr chez la bonne banque. Et donc…
- le faux site ne peut pas avoir le certificat https donc pareil, alame dans la tête, quelque chose ne va pas on ferme tout

De manière générale, il est conseillé d’activer l’authentification double, au mois pour le compte mail, au prix d’une manipulation plus complexe lors de la première connexion. Comme cela, en cas de perte du mot de passe, l’attaquant ne peux pas se connecter car il lui faudra le code envoyé par SMS qu’il n’a pas pu récupérer. Cela le découragera et il se redirigera vers des comptes moins protégé

Hors ligne

 

#59 23/12/2015 16h18 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   

Stibbons a écrit :

La sécurité doit être dans la tête

Entièrement d’accord, d’où l’importance de sensibiliser les personnes.
C’est ce qui est fait en entreprise, du moins dans les banques.

Stibbons a écrit :

pas dans les outils

Non, vous êtes trop catégorique. Les outils de sécurité sont aussi vitaux (par ex : système d’exploitation et antivirus à jour)

Stibbons a écrit :

- au moment où la page technique s’affiche, le faux site ne peut pas afficher le dernier chiffre du numéro de téléphone car celui ci ne l’a pas encore.

Oui, cependant je ne suis pas sûr que toutes les banques en ligne utilisant un code de validation par téléphone portable, précisent le dernier chiffre du n° de portable

Stibbons a écrit :

- le faux site ne peut pas avoir le certificat https donc pareil, alame dans la tête, quelque chose ne va pas on ferme tout

Malheureusement non car l’ordinateur étant infecté vous ne verrez rien…
Pour être exact, il ne s’agit pas d’un faux site mais d’une injection de code dans le navigateur internet de l’ordinateur infecté au moment où vous êtes sur le vrai site. Donc si vous cliquez sur le petit cadenas pour vérifier la validité de celui ci, tout apparaitra ok.

Cependant il existe un moyen d’éviter de tomber dans le panneau.
Quand vous décidez d’ajouter via votre banque en ligne, un nouveau compte bancaire (par ex celui de votre frère) pour effectuer un virement alors la banque vous enverra un code d’activation via SMS dans une phrase du genre :
"vous avez ajouté l’IBAN xxxxxxxxxxxxxxx4595, voici le code d’activation 1246"
Il est très important de vérifier que l’IBAN du compte que vous souhaitez ajouter se termine bien par les chiffres donné dans le SMS.
A contrario, quand votre banque en ligne vous demande de donner le code fraichement reçu sur votre téléphone portable, vérifier bien ce qui est écrit dans le SMS. Si le SMS parle d’ajout de compte bancaire alors que sur votre ordinateur il était question de vérifications de sécurité, vous vous arrêtez là et vous savez que votre ordinateur est infecté

Hors ligne

 

#60 24/12/2015 17h23 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   51 

banyuls a écrit :

Malheureusement non car l’ordinateur étant infecté vous ne verrez rien…
Pour être exact, il ne s’agit pas d’un faux site mais d’une injection de code dans le navigateur internet de l’ordinateur infecté au moment où vous êtes sur le vrai site. Donc si vous cliquez sur le petit cadenas pour vérifier la validité de celui ci, tout apparaitra ok.

La plupars du temps celà n’est pas possible, les navigateurs ayant une protection activée par défaut: CORS. Mais si le PC est infecté, tout est possible, il suffit d’enregistrer les clics de la souris et le clavier (en prenant une capture d’écran de la zone ou le clic est fait) et tout les mots de passe sont compromis. Mais il y a tonne d’outils (payants) pour garder son Windows sécurisé.

Hors ligne

 

#61 26/12/2015 10h49 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   33 

Miguel a écrit :

Un sujet d’actualité.
La Sécurité sur Internet, quels logiciels utilisez vous pour vous protéger?

J’ai parcouru rapidement la discussion sans trouver vraiment de réponse, se protéger contre quoi?
Je me demande ce que pourrait faire un hacker qui obtiendrait mes codes d’accès, si il souhaite s’enrichir? Il pourrait:
- faire un virement vers son propre compte
- utiliser les fonds se trouvant sur mon compte pour faire monter le cours d’une petite capitalisation illiquide

Concernant le premier risque, beaucoup de banques ou courtiers proposent de limiter montant maximum journalier des virements sortants (cela peut-être embêtant pour ceux qui transfèrent régulièrement des montants importants) ou de restreindre les virements sortants à un seul compte ce qui limite le risque.  Si il souhaite changer cela, il faut en plus de pirater l’ordinateur falsifier une signature.

Concernant le deuxième risque, en-dessous d’un certain montant (combien?), pas trop de risque.  Pour les montants plus importants, une répartition sur 2 brokers devrait permettre de doubler le temps de travail du hacker.  Pour ceux qui ne traitent que des grosses capitalisations, il existe peut être des brokers qui permettent de restreindre les transactions aux grosses capitalisations pour lesquelles un particulier ne peut vraisemblablement pas influencer le cours.  Je ne me suis pas trop renseigner sur ce point pour le moment.

Ensuite, si le hacker n’a qu’un désir de nuisance, il devient un peu plus dur de se protéger.  Voyez-vous d’autres manières pour le hacker de s’enrichir?

En ligne

 

#62 26/12/2015 21h34 → Sécurité sur Internet : les logiciels pour vous protéger sur Internet ? (kackers, phishing, protection contre, vol d'identité, vol de données)

Membre
Réputation :   

Concernant le premier risque, les hackers s’attaque a des pme afin de faire des virements de plusieurs dizaines de milliers euros. Les particuliers ne les intéressent pas beaucoup.

Hors ligne

 

Pied de page des forums

Propulsé par FluxBB
Hébergé par Arcustech