[VIC] 墨尔本男子在Ubank的2万元存款不翼而飞 [复制链接]

发表于 2022-12-21 07:40 来自手机 |显示全部楼层

此文章由 5222e 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 5222e 所有！转贴必须注明作者、出处和本声明，并保持内容完整

chenrenchun 发表于 2022-12-20 19:39
Ubank网页登录，添加设备，添加收款人，转账这些都需要验证码的啊。

你如果这样想，市面上的绝大金融机构都有这些东西，也都安全，但实操上面来说，黑客会分析 cookie，session id，如果不熟悉这些名称，你就理解是你使用银行系统留下的痕迹，这些痕迹有些是浏览器时不时就保存的，也有一些是服务器上的，怎么把这些信息拿到你不用太理解，因为有一些是暴露在外面的，有一些费点事情，但是一个靠谱安全的系统，在黑客拿到这些信息后进行冒牌操作，是应该至少按级别审查的，比如看你余额可能能看到，但是比如转钱，别直接用服务器的 session，从数据库直接 validate 一些东西等等

发表于 2022-12-21 07:51 来自手机 |显示全部楼层

此文章由 5222e 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 5222e 所有！转贴必须注明作者、出处和本声明，并保持内容完整

胡须康发表于 2022-12-21 07:33
请问linkedin如何帮助避雷

点进去某银行的人员名单，看看有没有认识的人，当然这些得需要本身从事 it，然后你看看这些开发者对自己的描述，包括从业时间，如果你看到很多都是一年跳一次，然后两三年就从 junior 变到现在的 senior，这货基本上就是包装起来的，不是说没有这种天才，而是说这种天才人家不会等到 uni 毕业才开始闪光
我自己认识的大佬，基本上 LinkedIn 很空的，因为人家风轻云淡，技术熟练于心，都是活找自己，都不需要 LinkedIn 上靠包装被推荐

另外一点就是一般黑客特别关注的企业，比如银行，是不太喜欢内部做开发搞安全的在 LinkedIn 上连头像加上职位加上平常都有哪些职责全部让公众一览无余的，因为黑客太容易看到名字等信息进行 social 方面的攻击了，但是呢，这方面又是灰色地带，这些不可能写进合同还有公司流程里面，所以全看个人操守

评分

参与人数 1	积分 +8	收起理由
胡须康	+ 8	感谢分享

查看全部评分

发表于 2022-12-21 08:16 来自手机 |显示全部楼层

此文章由李十三原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者李十三所有！转贴必须注明作者、出处和本声明，并保持内容完整

Xinjian 发表于 2022-12-20 23:54
邮件地址做用户名就容易撞库了，如果你的密码和邮件地址也一起在别的地方用的话。

换一个密码保险一点。 ...

感谢分享。我的密码有一部分是根据不同的网站变化的。所以还好。最近有些密码我用chrome 的密码生成器自动生成。但是这些我记不住。就怕谷歌出状况让我得不到密码。

发表于 2022-12-21 08:55 来自手机 |显示全部楼层

此文章由李十三原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者李十三所有！转贴必须注明作者、出处和本声明，并保持内容完整

目前利率最高的好像是virgin money

发表于 2022-12-21 09:05 |显示全部楼层

此文章由 5222e 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 5222e 所有！转贴必须注明作者、出处和本声明，并保持内容完整

xiva 发表于 2022-12-20 12:35
有一种方式是固定密码撞用户名。
比如肯定有人的密码是ILove2022。然后如果电话号码可以做用户名… ...

这种靠组合方式硬试的成本太大，一般黑客黑银行这种不会采取这种方式，除非是集团行为，就是为了黑而黑，就是恶心你然后能拿多少钱其次。
ubank这次的问题，如果用户本身没有太大过失，比如把自己密码贴冰箱门上或者电脑中了病毒这种，很大概率是银行内部的安全漏洞，ubank在我知道的渠道内，在安全还有系统准确性上名声不太好，很多听说的是用户的利息算错了，你本应该收到一笔钱，结果等了很久也没有然后一问一查跑别人账户了，一般出这种问题的你可以想象内部开发，版本推送的管理是如何的松散，如果一个bug没修好或者修好了又有新bug，你懂的，安全上面本身做开发的就没有十全的重视，bug修成x样，安全上，我这里省去解释说明了

fangchong

头像被屏蔽

禁止发言

发表于 2022-12-21 09:23 来自手机 |显示全部楼层

此文章由 fangchong 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 fangchong 所有！转贴必须注明作者、出处和本声明，并保持内容完整

李十三发表于 2022-12-20 22:02
穷举其实很难。系统不会让你试很多次

这个穷举是新词吗？什么意思？

发表于 2022-12-21 09:28 来自手机 |显示全部楼层

此文章由李十三原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者李十三所有！转贴必须注明作者、出处和本声明，并保持内容完整

fangchong 发表于 2022-12-21 09:23
这个穷举是新词吗？什么意思？

不是啊。就是一个一个试。例如一个小密码锁有三个数字转轮。那试1000次就保证能找到密码

评分

参与人数 1	积分 +3	收起理由
fangchong	+ 3	感谢分享

查看全部评分

qingfengbaozi

木屐族

发表于 2022-12-21 09:32 来自手机 |显示全部楼层

此文章由 qingfengbaozi 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 qingfengbaozi 所有！转贴必须注明作者、出处和本声明，并保持内容完整

现在黑客要转手机号码也不容易。 porting之前都需要 pre porting authorisation. 发送短信确认手机在你手中才能开始。很好奇这个情况是哪一步漏洞？

还有ubank 转钱limit是一天2万所以黑客明显是压着limit在转账。

skysadness

发表于 2022-12-21 09:44 |显示全部楼层

此文章由 skysadness 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 skysadness 所有！转贴必须注明作者、出处和本声明，并保持内容完整

黑客是怎么避开额度限制的，想不通

qingfengbaozi

木屐族

发表于 2022-12-21 09:49 来自手机 |显示全部楼层

著名的洗衣机网站有贴大家可以看一下

https://forums.whirlpool.net.au/thread/95pnkn7r

K.U.Double-D

铜靴族

发表于 2022-12-21 10:02 |显示全部楼层

此文章由 K.U.Double-D 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 K.U.Double-D 所有！转贴必须注明作者、出处和本声明，并保持内容完整

他收到了诈骗短信，估计他肯定是打电话了，然后把自己的账号和密码输进去了。

不过即使这样，转钱也应该有短信验证。

本帖子中包含更多资源

您需要登录才可以下载或查看，没有帐号？注册

xiva

发表于 2022-12-21 10:22 来自手机 |显示全部楼层

此文章由 xiva 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 xiva 所有！转贴必须注明作者、出处和本声明，并保持内容完整

5222e 发表于 2022-12-21 09:05
这种靠组合方式硬试的成本太大，一般黑客黑银行这种不会采取这种方式，除非是集团行为，就是为了黑而黑， ...

如果是IT的人自己安全意识薄弱那就毫无办法了…

发表于 2022-12-21 10:26 |显示全部楼层

此文章由 5222e 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 5222e 所有！转贴必须注明作者、出处和本声明，并保持内容完整

xiva 发表于 2022-12-21 10:22
如果是IT的人自己安全意识薄弱那就毫无办法了…

也不能说安全意识薄弱，因为坦白而言，一般都是不自知，或者说测试做的少

xiva

发表于 2022-12-21 10:32 来自手机 |显示全部楼层

此文章由 xiva 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 xiva 所有！转贴必须注明作者、出处和本声明，并保持内容完整

5222e 发表于 2022-12-21 10:26
也不能说安全意识薄弱，因为坦白而言，一般都是不自知，或者说测试做的少 ...

从洗衣机论坛那边看过来是骗子首先给受害者发假消息，说有新的设备加入-受害者去打了短信里的骗子电话，输入了自己的用户密码-用户丢钱了。
如果是这样，受害者有一部分责任，骗子的手段没那么高端。
就是转钱要SMS这个点我没想通怎么破解的。

发表于 2022-12-21 11:07 |显示全部楼层

此文章由 5222e 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 5222e 所有！转贴必须注明作者、出处和本声明，并保持内容完整

xiva 发表于 2022-12-21 10:32
从洗衣机论坛那边看过来是骗子首先给受害者发假消息，说有新的设备加入-受害者去打了短信里的骗子电话， ...

就是系统安全漏洞呗，一般来说这种网上银行，谁都能申请，谁也都能去登陆自己账户来回点来点去查看系统反馈猜测系统设计思路，加上万一有内鬼泄露点提示，黑客操作起来没什么难度的

JHHHS

发表于 2022-12-21 12:37 来自手机 |显示全部楼层

此文章由 JHHHS 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 JHHHS 所有！转贴必须注明作者、出处和本声明，并保持内容完整

希望能听到细节，以防万一

发表于 2022-12-22 09:25 |显示全部楼层

此文章由 pan123au 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 pan123au 所有！转贴必须注明作者、出处和本声明，并保持内容完整

xiva 发表于 2022-12-21 10:32
从洗衣机论坛那边看过来是骗子首先给受害者发假消息，说有新的设备加入-受害者去打了短信里的骗子电话， ...

黑客拿到客户名字和密码，进入 ubank 的网银，更改sms 的手机号码，然后几分钟内，转走1.99万刀。也有可能是用自动程序执行的。

发表于 2022-12-22 09:50 |显示全部楼层

此文章由 pan123au 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 pan123au 所有！转贴必须注明作者、出处和本声明，并保持内容完整

从新闻里可以了解到，这个受害者，应该是把客户名字和密码给了黑客客服，然后，黑客进入ubank 网银，更改/添加payee/payid，应该也可以更改sms的号码或者Email address，然后有可能把钱转到 PayPal。

https://www.news.com.au/finance/ ... e03dab1ea2e0a2e628a

xiva

发表于 2022-12-22 10:24 来自手机 |显示全部楼层

此文章由 xiva 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 xiva 所有！转贴必须注明作者、出处和本声明，并保持内容完整

pan123au 发表于 2022-12-22 09:50
从新闻里可以了解到，这个受害者，应该是把客户名字和密码给了黑客客服，然后，黑客进入ubank 网银，更改 ...

这是ubank的逻辑漏洞

发表于 2022-12-22 10:28 |显示全部楼层

此文章由 pan123au 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 pan123au 所有！转贴必须注明作者、出处和本声明，并保持内容完整

xiva 发表于 2022-12-22 10:24
这是ubank的逻辑漏洞

所有银行都是如此操作，只要能进入网银，就可以转钱。

RADEON

发表于 2022-12-22 10:33 |显示全部楼层

此文章由 RADEON 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 RADEON 所有！转贴必须注明作者、出处和本声明，并保持内容完整

教训就是不要相信任何主动送上来的联络方式。

不要点链接，或者打对方提供的电话。

就算相信对方是真的，也要从网上找到对方可靠的主页，找到公开的联络方式，再打回去。

RADEON

发表于 2022-12-22 10:34 |显示全部楼层

此文章由 RADEON 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 RADEON 所有！转贴必须注明作者、出处和本声明，并保持内容完整

有一次收到很多短信，让我联系银行。

我就忽略短信提供的信息，自己从网上找到他们公开的联系方式。再找他们。后来发现是一样的。而且确实是银行紧急联系我。

xiva

发表于 2022-12-22 11:35 来自手机 |显示全部楼层

此文章由 xiva 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 xiva 所有！转贴必须注明作者、出处和本声明，并保持内容完整

pan123au 发表于 2022-12-22 10:28
所有银行都是如此操作，只要能进入网银，就可以转钱。

那就是银行都有漏洞。转钱无论如何要MFA，以及能影响到转钱的操作比如加入设备改pay ID这类的操作。
用户当然有责任但是银行做安全设计的责任最大

发表于 2022-12-22 12:52 |显示全部楼层

此文章由 pan123au 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 pan123au 所有！转贴必须注明作者、出处和本声明，并保持内容完整

xiva 发表于 2022-12-22 11:35
那就是银行都有漏洞。转钱无论如何要MFA，以及能影响到转钱的操作比如加入设备改pay ID这类的操作。
用户 ...

cba, stgeorge, anz, nab 都是这样，没有MFA，只用 SMS。

xiva

发表于 2022-12-22 12:55 来自手机 |显示全部楼层

此文章由 xiva 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 xiva 所有！转贴必须注明作者、出处和本声明，并保持内容完整

pan123au 发表于 2022-12-22 12:52
cba, stgeorge, anz, nab 都是这样，没有MFA，只用 SMS。

我记得是新加转入的账号要sms 同时要24小时proceed。我可能记错。

发表于 2022-12-22 14:29 |显示全部楼层

此文章由 pan123au 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 pan123au 所有！转贴必须注明作者、出处和本声明，并保持内容完整

xiva 发表于 2022-12-22 12:55
我记得是新加转入的账号要sms 同时要24小时proceed。我可能记错。

先改sms 的电话号码或者Email ，然后再加，

hu220

铜靴族

发表于 2022-12-22 14:43 |显示全部楼层

此文章由 hu220 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 hu220 所有！转贴必须注明作者、出处和本声明，并保持内容完整

李十三发表于 2022-12-21 07:16
感谢分享。我的密码有一部分是根据不同的网站变化的。所以还好。最近有些密码我用chrome 的密码生成器自 ...

如果不放心google, 那就在Firefox或者apple再存储一遍一样的密码。双保险总没问题了

评分

参与人数 1	积分 +3	收起理由
李十三	+ 3	感谢分享

查看全部评分

philongyao

皮靴族

发表于 2022-12-22 15:14 来自手机 |显示全部楼层

此文章由 philongyao 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 philongyao 所有！转贴必须注明作者、出处和本声明，并保持内容完整

转账添加新账户需要sms ，改电话也需要sms发到原手机才能改电话。

现在手机port 也需要sms先发到手机上证明手机在用户手上然后才能开始转手机号去别家。

所以ubank 可以添加新账户或者改手机号码不用sms 认证么？