Taas vanhukselta vietiin kaikki säästöt

A

Arisoft

Hyperaktiivi
HiTec sanoi:
Ja kuitenkin juuri tuo sormenjälki on se tunniste, jota meistä jokainen kylvelee jatkuvasti ympäristöönsä ihan huoletta :oops:
Klikkaa laajentaaksesi..

Eiköhän tämä ole samanlainen ilmiö kuin lukkojen tiirikointi. Lukko on riittävän turvallinen jos sen omistaja ei osaa itse tiirikoida sitä auki.
 
J

Jule

Vakionaama
HiTec sanoi:
Ja kuitenkin juuri tuo sormenjälki on se tunniste, jota meistä jokainen kylvelee jatkuvasti ympäristöönsä ihan huoletta :oops:
No juu, ehkä sitä pahinta korona-aikaa lukuunottamatta kun kuljettiin gummirukkaset kourassa, mutta kuitenkin.
Klikkaa laajentaaksesi..
Tuossa nyt on kuitenkin se että tuolta maailmalta löytynyt sormenjälki pitäisi pystyä ensin ottamaan luotettagalla tavalla talteen ja sitten liittämään sitä vaativaan tunnistimeen. Toisaalta kyllähän sormenjälkiäkin ollaan kaapattu kohdistetussa hyökkäyksessä.
 
Husky

Husky

Hyperaktiivi
Enää ei Nordean biotunnistus tunnukaan niin hyvältä ajatukselta kuin aluksi. Tosiaan tuo, että sopiva tietomurto, niin sormenjälki on roistoilla. PIN on vain omassa päässä tallessa (vaikka epäilyttääkin Nordea ID:n nelimerkkinen jota ei ikinä vaihdeta eli se on yksi puhelimen kaappaus ja se on siinä - voivoi kun maksusta saisi tunnuslukulistan takaisin, miksi 75-95% kehityksestä huonontaa asioita!?)
 
X

xismo

Aktiivinen jäsen
Jos pitää applen laitteita turvallisena niin kannatta katsoa tämä pläjäys, siinä on selostettu apple payn heikkous jolla saa kaverin tilin tyhjäksi :
Ihan perinteinen man in the middle hyökkäys joka toimii.
 
J

Jule

Vakionaama
Husky sanoi:
Enää ei Nordean biotunnistus tunnukaan niin hyvältä ajatukselta kuin aluksi. Tosiaan tuo, että sopiva tietomurto, niin sormenjälki on roistoilla. PIN on vain omassa päässä tallessa (vaikka epäilyttääkin Nordea ID:n nelimerkkinen jota ei ikinä vaihdeta eli se on yksi puhelimen kaappaus ja se on siinä - voivoi kun maksusta saisi tunnuslukulistan takaisin, miksi 75-95% kehityksestä huonontaa asioita!?)
Klikkaa laajentaaksesi..
Siis idea on se että se sormenjälki on tallennettu vain sinne puhelimen sisäiselle sirulle, josta sitä ei saa ulos, siru vain vastaa sormenjälki kyselyyn joko jaa tahi ei, eli puhelinta ei ainakaan internetin yli voi kaapata niin että joku voisi sieltä sun sormenjäljen lukea.

Toki puhelimen ja sen käyttäjän voi ihan oikeassa maailmassa kaapata, verrattavissa siis ryöstöön, sillä erolla että rosvolle lähtee lompsassa olevien rahojen ja rannekellon lisäksi titillä olleet rahat.

Toki tuon suojasirutekiikan toimiminen noin edellyttää sitä että puhelinvalmistaja on sen totettanut noin, ei normaali käyttäjä voi sitä huomata jos kiinalainen puhelinvalmistaja onkin päättänyt oikaista ja käyttääkin puhelimen sisäisen sirun sijaan luotettavaa kiinalaista datakeskusta tuon sormenjälkidatan tallentamiseen.

Lisäksi tietysti on ainakin periaatteessa mahdollista kaapata tietokone (puhelin) niin että laitteen näytöllä kiiluu se tuttu pankin tunnistautuminen ja 52,74€ sähkölaskun hyväksyminen, mutta oikeasti laite näyttää vain rikollisen luomaa kuvaa sähkölaskun hyväksynnästä, ja oikeasti hyväksyt tilin pikatyhjennyksen. Tuon tyyppinen riski on olemassa aina, eikä sitä pysty millään tunnistautumisella täydellisen varmasti estämään, vaan riski vaan hallitaan huolehtimalla siitä laitteesta jolla pankissa asioidaan.

Periaatteessahan erillisen tietokoneen käyttäminen laskun maksuun ja puhelinlaitteen niiden maksujen hyväksymiseen vähentää tuon tyyppisen kaappauken riskiä, koska silloin kaapattuna pitäisi olla saman käyttäjän kaksi erillistä laitetta, joista kummastakin olisi löytynyt merkittävä hyödynnettävissä ja kohdistettavissa oleva haavoittuvuus, mutta käytännössä koska se lasku voidaan maksaa sillä samalla puhelimella jolla se hyväksytään tuollaista kaksinkertaista murtautumista ei tarvita.
 
T

-Teme-

Vakionaama
kotte sanoi:
Ei naamatunnistuskaan toimi kaikissa oloissa (jos vaikkapa sade on muuttanut tukan muotoa ja joudut vaikkapa käyttämään mobiilia ilman silmälaseja).
Klikkaa laajentaaksesi..
Piti oikein testata, silmälasit päässä ja ilman silmälaseja toimi OK, samoin oli lippis päässä tai ei. Lippis testi sitä syystä kalju ei saa vaihdettua hiusten asentoa.
Merkittävin asia tunnistautumisen on että silmien oltava avoinna
iPhone pro 17 käytössä
 
Husky

Husky

Hyperaktiivi
^^Tuota olenkin ajatellut, että kaksi laitetta PC + känny turvallisempi.

Ja meinasin tuota sormenjälkitiedon tapausta, että on tietomurto pilvestä eli ettei ole vain puhelimessa se tieto.
 
HiTec

HiTec

Eipä turhia höttyillä :)
Husky sanoi:
PIN on vain omassa päässä tallessa (vaikka epäilyttääkin Nordea ID:n nelimerkkinen jota ei ikinä vaihdeta eli se on yksi puhelimen kaappaus ja se on siinä - voivoi kun maksusta saisi tunnuslukulistan takaisin, miksi 75-95% kehityksestä huonontaa asioita!?)
Klikkaa laajentaaksesi..
Tuon vuoksi pitää se Nordeankin käyttäjätunnari olla aktivoituna ainakin kahteen laitteeseen, joskos se toinen rikkoutuu tai tosiaan joutuu vääriin käsiin, niin sillä toisella voi yhä tunnistautua ja kuolettaa tuon toisen pois ja näin se kadonnut tunnistuslaite muuttuu "löytäjälleen" hyödyttämäksi.
 
P

Pumppu-Ansu

Aktiivinen jäsen
Jule sanoi:
Joo, se biotunniste ainakmin pitäisi tallentua vain laitteen sisäiseen siruun, joka ilmoittaa vain apille että tunnistus ok. Ideana siis se että noita biotunnisteita ei voisi varastaa, koska nehän ovat luonteeltaan korvaamattomia. Minkä tahansa salasanan voi aina korvata uudella, mutta sormenjälkeä, saatikka jotain vielä vahvempaa biotunnistetta ei noin vain vaihtdeta.
Klikkaa laajentaaksesi..
Voihan sormenjäljen vaihtaa, ohjelmoi kännyyn jäljen jostain toisesta sormesta...
 
P

Pumppu-Ansu

Aktiivinen jäsen
Tästäpä juontui mieleeni, koska aletaan myydä feikkipeukaloita joihin voi itse kaivertaa sormenjälkikuvion, opettaa sen kännylle ja laittaa avaimenperään roikkumaan!
 
T

Ton1A

Vakionaama
Nykyiset sormenjälkilukijat ovat sen verran hyviä, että pitää olla oikea, elävä peukalo. Ei tuo täysin murtamaton ole, mutta vaikea.
 
Kellarinlämmittäjä

Kellarinlämmittäjä

Oppimiskäyrällä
Jule sanoi:
Siis idea on se että se sormenjälki on tallennettu vain sinne puhelimen sisäiselle sirulle, josta sitä ei saa ulos, siru vain vastaa sormenjälki kyselyyn joko jaa tahi ei, eli puhelinta ei ainakaan internetin yli voi kaapata niin että joku voisi sieltä sun sormenjäljen lukea.

Toki puhelimen ja sen käyttäjän voi ihan oikeassa maailmassa kaapata, verrattavissa siis ryöstöön, sillä erolla että rosvolle lähtee lompsassa olevien rahojen ja rannekellon lisäksi titillä olleet rahat.

Toki tuon suojasirutekiikan toimiminen noin edellyttää sitä että puhelinvalmistaja on sen totettanut noin, ei normaali käyttäjä voi sitä huomata jos kiinalainen puhelinvalmistaja onkin päättänyt oikaista ja käyttääkin puhelimen sisäisen sirun sijaan luotettavaa kiinalaista datakeskusta tuon sormenjälkidatan tallentamiseen.
Klikkaa laajentaaksesi..


Tarkemmin kun ajattelee, voisiko tuo homma olla oikeastaan mitenkään järkevästi muuten kuin siellä laitteen omassa muistissa. Jos nettiyhteyttä ei ole, eihän sitä laitetta voisi mitenkään avata mihinkään käyttöön, paitsi syöttämällä jonkin salanan joka siis ei voisi olla sormenjälki. Nettiyhteyden puuttuminen nyt ei ole mitenkään kovin epätavallista. Se voi johtua vaikka matkasta jonnekin tunturiin, ulkomaan reissusta tai vain menemisestä omaan kerllariin kuten täällä. Jotta uuden nettiyhteyden voi määritellä jotenkin käyttöön, omistajan pitää myös saada laite jotenkin hallintaan.
 
T

Ton1A

Vakionaama
No just noinhan se menee, puhelimen 'holvissa' on sormenjälki. Sitä sormenjälkeä ei anneta mihinkään ulos, vaan käytetään julkisen avaimen salausta.
 
J

Jule

Vakionaama
Joo, ja sitä sormenjälkeä varten siellä pitäisi olla oma piirinsä, josta sitä sormenjälkeä ei saa luettua ulos, vain tieto tärmääkö annettu sormenjälki. Jos sen sormenjäljen tallentaa sellaisenaan puhelimen muistiin, koko homman idea menee, kun haittaohjelma voi lukea sen sormenjäljen.
 
T

Ton1A

Vakionaama
Tieto sormenjäljestä on turvapiirin sisällä, eikä sielläkään ole mitään sellaista josta alkuperäisen sormenjäljen saisi luotua takaisin. Eli on siis yksisuuntainen muunnos skannattu sormenjälki -> turvapiirille tallennettu matemaattinen malli.

Käyttöjärjestelmä tai sovellukset eivät koskaan saa raakaa sormenjälkidataa, vaan voivat ainoastaan pyytää skannausta ja saada kyllä/ei tuloksen siitä vastaako skannaus tallennettuja sormenjälkiä.
 
Husky

Husky

Hyperaktiivi
Sitten tulee mieleen kysymys, että onko kiinalainen "turvapiiri"....
No, mikään ei ole varmaa paitsi veronmaksu (Suomessa ainakin)
 
K

korsteeni

Aktiivinen jäsen
aika outo viesti tuli mikkisoftalta, en ole pyytänyt mitään koodia

Your single-use code
Postilaatikko

Microsoft account team <account-security-noreply@accountprotection.microsoft.com>

-> minä

Hi xxxxxxxxx,

We received your request for a single-use code to use with your Microsoft account.

Your single-use code is: xxxxxxxxx

Only enter this code on an official website or app. Don't share it with anyone. We'll never ask for it outside an official platform.

Thanks,
The Microsoft account team
Privacy Statement: https://go.microsoft.com/fwlink/?LinkId=521839
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
 
HiTec

HiTec

Eipä turhia höttyillä :)
Emäntä sai saman ja kyseli multa siitä mikä on ennen kuin klikkaa mitään. No yksinkertainen kysymys hänelle "Oletko pyytänyt heiltä jotain koodia?" ja näin hän kuittasi sen suoraan kalasteluviestiksi.
 
A

Arisoft

Hyperaktiivi
korsteeni sanoi:
aika outo viesti tuli mikkisoftalta, en ole pyytänyt mitään koodia
Klikkaa laajentaaksesi..

Joku muu pyysi. Tuota voi käyttää huijaamiseen vain jos se "joku" sattuu saamaan tuon koodin.

Tilanne voi olla esim. sellainen, että sähköpostipalveluun on joskus ujutettu edelleenlähetys "jollekulle", joka sitten voidessaan vakoilla sähköpostia huomaamatta, saa luettua myös nämä viestit ja voi kirjautua minne milloinkin voi pelkällä sähköpostilla.

Ei siis ole välttämättä kalastelua vaan joissain tapauksessa tuollainen tarkoittaa myös murtautumista ja siihen ei auta edes salasanan vaihto.
 
J

Jule

Vakionaama
On sitä itsekin tullut joskus vahingossa lähetettyä tuollainen koodi jollekn. Yhden kirjaimen kirjoitusvirhe sähköpostiosoitteessa, niin joku muu ihmettelee että kuka koittaa pihistellä tunnuksia.
 
T

tet

Hyperaktiivi
korsteeni sanoi:
aika outo viesti tuli mikkisoftalta, en ole pyytänyt mitään koodia
Klikkaa laajentaaksesi..

Sama viesti tuli itsellenikin. Siitä sitten hokasin, että minulla tosiaan on Microsoft-tili. En muista miksi sellaisen joskus olen rekisteröinyt, en ainakaan Windowsin käyttöä varten, koska kirjauduin aina lokaalitunnuksella.

Pistinpä nyt sitten kiinni moisen tilin (tai sulkeutumaan, siinä on vähintään 30 päivän katumusaika). En käytä nykyään siviilissä mikkisoftan tuotteita lainkaan. Tai no on minulla joku XP piraattiversio virtuaalikoneessa, logiikan ohjelmointisoftaa varten, mutta siinäpä se.
 
T

tet

Hyperaktiivi
Arisoft sanoi:
Osoitteeksi voi laitella mitä vaan. Vain väärä osoite on luotettavasti väärä. Muista ei voi tietää.
Klikkaa laajentaaksesi..

Eihän tuo nyt enää ihan villi länsi sentään ole, kiitos SPF:n. Tuo oma viestini tuli gmail-laatikkoon, ja koska gmail ei enää ota vastaan postia jos SPF-tietue puuttuu nimipalvelusta, on heti selvää että viestin lähettäneellä taholla on Microsoftin lupa tuon lähettäjäosoitteen accountprotection.microsoft.com käyttöön.

Tai sitten ovat murtautuneet M$:n postijärjestelmään ja lähettäneet viestin sieltä.
 
H

Harrastelija

Hyperaktiivi
Sähköpostin mukana tulee mm kaksi aika oleellista tietoa.
- Lähettäjän sähköpostiosoite
- Lähettäjän nimi

Ensimmäinen on se jonka perusteella sähköpostit siirtyy servereiden ja clienttien välillä.
Jälkimmäinen on ”vain” ihmisiä varten kun nimet on usein helpompi muistaa kuin sposti osoiteet. Sähköpostiohjelmat näyttävät ensisijaisesti tämän tiedon.

Mutta tuo jälkimmäinen on villi länsi. Nimeksi voi kukainen laittaa mitä hyvänsä. Ja jos nimeksi laittaa jotain sähköpostiosoitteen tapaista niin vastaanottaja saattaa kuvitella että viesti tulee ko osoitteesta. Eli pitää tarkistaa se varsinainen sähköpostiosoite koska nimeen ei voi luottaa yhtään.
 
Husky

Husky

Hyperaktiivi
Eli siis lopulta kuitenkin tuo meilini tuli osoitteesta, jonka ms on todennut luotettavaksi?
Gmailiin tuli.
(Tietysti voi luotettavaksi luultu taho olla huijari)
 
A

Arisoft

Hyperaktiivi
Husky sanoi:
Eli siis lopulta kuitenkin tuo meilini tuli osoitteesta, jonka ms on todennut luotettavaksi?
Klikkaa laajentaaksesi..

Osoite voi olla oikea ja luotettava mutta se ei välttämättä ole lähettäjän osoite. Älä siis perusta viestin luotettavuutta siihen, kenen nimi on merkitty viestiin lähettäjäksi (ellei se ole selvästi väärä) vaan siihen mitä viestissä sanotaan.
 
T

tet

Hyperaktiivi
Arisoft sanoi:
Osoite voi olla oikea ja luotettava mutta se ei välttämättä ole lähettäjän osoite. Älä siis perusta viestin luotettavuutta siihen, kenen nimi on merkitty viestiin lähettäjäksi (ellei se ole selvästi väärä) vaan siihen mitä viestissä sanotaan.
Klikkaa laajentaaksesi..

Kuten edellä totesin, niin riittää kun katsoo otsikkotiedot, esim. GMailin webmailissa "näytä alkuperäinen". Tuon kyseisen viestin otsikkotiedot näyttävät tuolta kuten alla. Viesti läpäisee sekä SPF-, DKIM-, että DMARC-suojauksen, joten on varmasti aito. Mutta vaikka nuo kaksi jälkimmäistä puuttuisivat, niin SPF-suojaus on aina läpäistävä ainakin Gmailiin päästäkseen, tietääkseni GMail ei ota vastaan postia ilman SPF-tietuetta. Ja kun sen läpäisee, on jo varmaa, että viesti on lähetetty IP-osoitteesta, jolla on lupa lähettää sähköpostia käytetyn lähettäjäosoitteen domainista (tässä tapauksessa siis accountprotection.microsoft.com).

1779515521134.png
 
A

Arisoft

Hyperaktiivi
tet sanoi:
GMail ei ota vastaan postia ilman SPF-tietuetta. Ja kun sen läpäisee, on jo varmaa, että viesti on lähetetty IP-osoitteesta, jolla on lupa lähettää sähköpostia käytetyn lähettäjäosoitteen domainista (tässä tapauksessa siis accountprotection.microsoft.com).
Klikkaa laajentaaksesi..

Se mitä sanot pitää toki paikkansa, mutta kerro myös samalla, että se lähettäjän osoite ei ole aina se tieto, mikä näkyy sähköpostissa lähettäjänä, jotta lukija ei saa väärää käsitystä asiasta.

Gmail esimerkiksi näyttää jos nämä tiedot eivät ole samat. Perinteiset sähköpostijärjestelmät eivät näytä yleensä suoraan. Käyttäjän tulee silti ymmärtää mitä se ilmoitus tarkoittaa.
 
  • Tykkää
Reactions: tet
Husky

Husky

Hyperaktiivi
Noniin, eli kun tuo SPF on ns ok, niin tällä lähettäjällä accountprotection.microsoft.com on ms:n lupa, eikö niin?
Tuo ei silti takoita ettei ole huijaus, mutta ms on antanut luvan väärin perustein tms?
 
A

Arisoft

Hyperaktiivi
Husky sanoi:
Noniin, eli kun tuo SPF on ns ok, niin tällä lähettäjällä accountprotection.microsoft.com on ms:n lupa, eikö niin?
Tuo ei silti takoita ettei ole huijaus, mutta ms on antanut luvan väärin perustein tms?
Klikkaa laajentaaksesi..

Kaikki riippuu käyttämästäsi postijärjestelmästä. Oliko se siis Gmail, joka yleensä varmistaa että SPF on määriteltty lähettäjälle.
 
HiTec

HiTec

Eipä turhia höttyillä :)
Tuossa kuvassa nyt on oikeastaan jo esitetty se karmein scenario. Kuka tietää missä kaikkialla jo nyt on noita salattuja tietokantoja erilaisten murtojen yms. seurauksena latailtu jemmaan ihan vain odottamaan tuota kvanttitekniikan kypsymistä. Juu, tänä kenties 20...30v aikana moni salasana vaihtuu, ihmiset muuttaa, puhelinnumerot yms. vaihtuu jne. mutta on siellä siltikin aivan tolkuton määrä eriliasta arkaluonteista dataa, joka ei vaihdu mihinkään, ei ennen kuin hlö kuolee jos välttämättä silloinkaan.

5c6344a5-15a6-543c-a57c-d1adcc9216f3
 
Husky

Husky

Hyperaktiivi
Antero80 sanoi:
Microsoft.com kun kirjaudut omilla tunnuksilla niin sieltä näet tililtäsi mistä on yritetty kirjautua, minne ja milloin.
Klikkaa laajentaaksesi..
Ei ollut tuolla kirjautumista nähtävissä.
Mikä huijaustyyppi tuossa mahtoi siis olla kyseessä, kun ei ollut linkkejä eikä liitteitä viestissä tai mitä moisella voidaan kalastella?
 
Husky

Husky

Hyperaktiivi
Tuli krp:ltä huijausviesti.
Ei ole linkkejä, mutta on kaksi liitettä.
Onko siis vielä nykyään voimissaan se, että liitteitä avaamalla imuroit viruksen koneeseesi? Tai peräti että voit aiheuttaa koneesi jonkinlaisen kaappaamisen, jonka seurauksena imuroidaan pankkitunnuksesi?

Yleensä moisista todetaan, ettei huolta ja x, y tai z turvaverkko pelastaa, mutta olettaisin että jotakin saadaan aikaiseksi kun näitä viljellään.

1780418138654.png
 
Sinun on kirjauduttava sisään tai rekisteröityä kirjoittaaksesi tänne.
Back
Ylös Bottom