Eurobonuspoäng stulna från hackade konton

[Najk]

Återigen, varför kapa ett konto som är tomt och utan status?

Det är nog svårt att veta hur mycket som finns på kontot INNAN man har hackat det.

 

[Homer]

Det är nog svårt att veta hur mycket som finns på kontot INNAN man har hackat det.

Jomen när man väl gjort det ser man ju saldo och historik
och i det här fallet påstås det ju att någon ändrat adress, tfn. nr., osv.
(låter som om någon skämtat)

 

[nilsson]

80k fall per år, 10M människor i sverige och livslängd 80 år får jag till 1-(1-80'000/10'000'000)^80 = 47%. Men det är väl samma strulpellar som blir drabbade upprepade gånger.

 

[Najk]

Jomen när man väl gjort det ser man ju saldo och historik
och i det här fallet påstås det ju att någon ändrat adress, tfn. nr., osv.
(låter som om någon skämtat)

Ja det känns ju onekligen lite skumt. Om man ska spekulera lite så kan det ju vara så man fick access till kontot, genom att skicka ut uppgifter till en felaktig adress.

För varför lägga energi att ändra något på ett konto där det inte finns något att hämta?

 

[lnixon]

Fast den enklaste förklaringen är att nån har skrivit fel på Eurobonusnumret när uppgifterna skulle ändras.

Har du kollat om det verkar finnas en riktig person bakom adressen och telefonnumret?

 

[skydiver]

Man skulle kunna tro det, men alla anslutna enheter har (enkelt uttryckt) en egen krypterad kanal. Man kan alltså inte avlyssna andras trafik även om man vet nätets WPA-lösenord.

(Eller, ja, det finns fortfarande attacker som kan utföras, men man kan i alla fall inte bara avlyssna passivt.)

Det går alldelens utmärkt att dekryptera trafiken, bara man hör nyckelförhandlingen i luften (och vet lösenordet). Och sitter jag och sniffar trafik i loungen när du kommer in så kommer jag mer eller mindre garanterat att kunna höra den.

Vad de ska göra är ju att köra med WPA2-Enterprise och köra EAP-PEAP där klienten använder egent namn och lösen. Detta skyddas då. Då får de dessutom koll på användarna, samt att användarna kan ansluta automatiskt utan att behöva knappa in lösenord eller klicka OK i en webportal varje gång.
De skulle t.ex. kunna använda EB-nummer och EB-lösen för detta.

 

[NotRyan]

Man behöver inte skicka med lösenord en gång, EB-nummer som är kopplad back-end till personnummer och sedan inloggning med mobilt Bank-ID, inga ytterligare lösenord behövs...

 

[lnixon]

Det går alldelens utmärkt att dekryptera trafiken, bara man hör nyckelförhandlingen i luften (och vet lösenordet). Och sitter jag och sniffar trafik i loungen när du kommer in så kommer jag mer eller mindre garanterat att kunna höra den.

Ja, jo, du har rätt. Det är lite imponerande fånigt att det inte görs en Diffie-Hellman-förhandling istället.

Men att använda WPA skulle ändå förbättra läget en del. Och 802.1X är ju jättebra när det fungerar, men när det inte fungerar är det jättetrist.