Na PSD2. Uwaga, oszuści mogą podszywać się pod pracowników banku!
Od 14 września, wszystkie banki w Polsce będą musiały zastosować się do nowej dyrektywy. Zwiększa to bezpieczeństwo transakcji, ale też stwarza doskonałą okazję dla złodziei, którzy wykorzystują nieuwagę klientów banku, co może się skończyć utratą sporych pieniędzy.
„Twoje konto zostało zablokowane przez brak zgody na…”
Szum dookoła wprowadzenia nowego prawa to zawsze doskonała okazja dla hakerów i złodziei, aby wykorzystując ludzką niewiedzę i nieuwagę, rozesłać groźnego wirusa, nakłonić ofiarę do wykonania im przelewu czy nawet wykraść jej wszystkie pieniądze z konta bankowego. Dlatego w ciągu najbliższych tygodni wszyscy Polacy powinni być wyczuleni na następujące komunikaty…
Więcej dowiesz się u źródła >Zmiany w logowaniu i uwierzytelnianiu transakcji. Obowiązują nowe przepisy dotyczące bankowości
14 września weszła w życie unijna dyrektywa PSD2 (Payment Services Directive 2). Jej przepisy obowiązują w Europejskim Obszarze Gospodarczym. Zmiany dla klientów banków dotyczą przede wszystkim sposobu logowania i potwierdzania kodem PIN niektórych transakcji na kwotę niższą niż 50 złotych.
Logowanie w systemie bankowości elektronicznej będzie wymagało podwójnej weryfikacji. Oznacza to, że poza podaniem loginu i hasła, będziemy musieli potwierdzić naszą tożsamość przez wprowadzenie kodu otrzymanego SMS-em, lub za pośrednictwem autoryzacji mobilnej…
Więcej dowiesz się u źródła >Rosyjscy hakerzy chcieli zniszczyć ukraińską sieć energetyczną
Pod koniec 2016 roku rosyjscy hakerzy zainfekowali komputery ukraińskiej sieci energetycznej Ukrenergo. Udało im się na godzinę wyłączyć prąd w Kijowie. Okazuje się jednak, że skutki mogły być znacznie poważniejsze niż chwilowy brak prądu.
Joe Słowik z firmy Dragos zajmującej się cyberbezpieczeństwem, sporządził raport na podstawie danych udostępnionych przez Ukrenergo. Zgodnie z dokumentem, rosyjscy hakerzy mieli na celu doszczętne zniszczenie infrastruktury energetycznej w Kijowie…
Więcej dowiesz się u źródła >OCHRONA DANYCH OSOBOWYCH ONLINE. ILE TAK NAPRAWDĘ WIEMY NA TEN TEMAT?
Świat staje się coraz bardziej cyfrowy, co oprócz dużych możliwości niesie za sobą pewne zagrożenia. Z badania Mastercard „Bezpieczne e-zakupy” wynika, że wciąż niemały odsetek polskich konsumentów ma stosunkowo bierną postawę wobec zagrożeń cyfrowych, tym samym narażając się na niebezpieczeństwo. Na szczęście, chociaż ta grupa jest znacząca, to jednak pozostaje w mniejszości wobec tej stosującej należyte standardy bezpieczeństwa związane z ochroną haseł i danych w sieci.
Bierność konsumentów szczególnie widać w deklarowanych przez nich postawach względem bezpieczeństwa danych online, które są związane z ich przechowywaniem i udostępnianiem. Niemal połowa ankietowanych (44%) przyznaje, że niewiele wie na ten temat, a co piąty respondent (18%) nie jest nawet zainteresowany poszerzeniem wiedzy w tym zakresie. Z drugiej jednak strony, prawie połowa (46%) konsumentów wie, jak dbać o bezpieczeństwo danych online i przykłada do tego dużą wagę…
Więcej dowiesz się u źródła >Podsłuchiwanie telefonów satelitarnych (na celowniku konstelacja satelitów Iridium)
66 satelitów konstelacji Iridium cały czas krąży nad nami. Zapewniają one m.in. możliwość prowadzenia rozmów (z wykorzystaniem telefonów satelitarnych). Projekt powstał wiele lat temu i jak można się domyślić, nie zapewnia natywnie szyfrowania danych…
Więcej dowiesz się u źródła >Bezprzewodowe podsłuchiwanie PINu do sprzętowego portfela kryptowalut
W przypadku tego urządzenia, procedura jest dość prosta. Najpierw wykonano 100-krotne naciśnięcie każdej z cyfr PIN-u jednocześnie analizując to co dzieje się na radiu.
Zapisanie danych radiowych zostało wykonane z pomocą GNURadio oraz HackRF. Dane zostały użyte jako wejście dla machine learningu (w tym przypadku Tensoflow)…
Więcej dowiesz się u źródła >Administracja samorządowa a ochrona danych
Według NIK, dane gromadzone i przetwarzane przez systemy IT urzędów gmin i miast są słabo chronione. Jednym z głównym powodów tej sytuacji jest fakt, że w ponad połowie polskich urzędów (57 proc.), które przeszły kontrolę, nie przestrzega się zasad dotyczących uzyskiwania dostępu do systemów informatycznych.
Jak wynika z raportu Najwyższej Izby Kontroli o zarządzaniu bezpieczeństwem informacji w jednostkach samorządu terytorialnego, obecnie prawie 70 proc. skontrolowanych urzędów nie radzi sobie z zapewnieniem bezpieczeństwa przetwarzania informacji. Jakie kroki powinny podjąć urzędy, aby w pełni zabezpieczać dane obywateli?…
Więcej dowiesz się u źródła >Eskalacja uprawnień do root na serwerze HTTP Apache. Exploit aktywuje się o 6:25 każdego dnia
Podatność została załatana już w kwietniu, teraz mamy bardzo szczegółowe informacje odnośnie samej podatności + jako bonus exploit wykorzystujący 0-day w PHP (choć warto podkreślić że do wykorzystania błędu nie jest konieczny sam PHP, autor zaprezentował PoCa tylko ze względu na popularność tej pary).
Tak jak wspomniałem w tytule, podatność jest klasy privilege escalation do root (czyli atakujący potrzebuje mieć już jakiś dostęp na atakowanej maszynie – np. mieć możliwość wgrywania skryptów PHP)…
Więcej dowiesz się u źródła >Uwaga, ataki na telefony z iOS są coraz częstsze!
Jak wynika z analizy bezpieczeństwa urządzeń mobilnych wykonanej przez badaczy bezpieczeństwa z ESET, rośnie liczba wykrytych zagrożeń, atakujących systemy z iOS. Jednocześnie spada odsetek złośliwych programów skierowanych do użytkowników systemu Android.
Bezpieczeństwo urządzeń mobilnych odgrywa coraz ważniejszą rolę w życiu użytkowników zarówno domowych, jak i przedsiębiorców. Eksperci ds. cyberbezpieczeństwa nieustannie alarmują o pojawianiu się, szczególnie w Sklepie Play, fałszywych aplikacji, które mogą kraść loginy, hasła, szyfrować telefon, a nawet przejmować dostęp do kont bankowych użytkowników. Wystarczy przypomnieć głośny atak na użytkowników za pomocą aplikacji „Bankowość uniwersalna Polska”, który pozornie dawał możliwość zalogowania się do kilkunastu polskich banków…
Więcej dowiesz się u źródła >Oszuści wykorzystali CAPTCHA do maskowania swoich zamiarów
Firma Cofense odkryła nowy sposób wykorzystywany przez internetowych oszustów do obchodzenia mechanizmu SEG (secure email gateways). Ci wysyłają do ofiary odpowiednio spreparowanego maila z linkiem prowadzącym do strony zabezpieczonej mechanizmem CAPTCHA, który ma wg. założenia blokować boty przed kopiowaniem treści i autouzupełnianiem formularza.
W rezultacie SEG skanuje jedynie stronę z zabezpieczeniem i nie wykrywając podejrzanego kodu nie zgłasza próby oszustwa. Niczego nie świadomy użytkownik przeprowadza natomiast autentyfikację i od razu jest przekierowywany na odpowiednio spreparowaną stronę…
Więcej dowiesz się u źródła >Mozilla testuje nową usługę szyfrowania danych
Mozilla uruchomiła kilka dni temu w ramach firmowego programu Test Pilot nową, bezpłatną usługę (oferując ją na razie tylko osobom zamieszkującym USA), która pozwala przeglądarkom Firefox szyfrować dane wymieniane między nią i serwerami WWW.
Usługa nosi nazwę Firefox Private Network (FPN) i ma postać rozszerzenia, które użytkownik przeglądarki – chodzi wyłącznie o wersje desktopowe oprogramowania i użytkowników posiadających konto Firefox – może pobrać i zainstalować…
Więcej dowiesz się u źródła >