Paweł Goleń, blog - Formularz komentarzy "Jak i z jakim skutkiem atakowałem kody SMS"

Xman: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (Xman) — Sun, 22 May 2011 16:33:05 +0200

Świetna robota. Z własnych doświadczeń wiem, że zwykle sprawdzam tylko czy kwota przelewu się zgadza. (Ewentualnie kilka pierwszych cyfr numeru rachunku). Cała reszta zależy od tego czy mi się chce, więc pewnie raz na jakiś czas zauważyłbym zmianę w numerze rachunku.

rozie: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (rozie) — Tue, 15 Mar 2011 08:08:17 +0100

Kawał dobrej roboty. Może warto zrobić taki test online ze scenariuszami (poniżej), żeby ludzie mogli się sprawdzić? Typu odpowiedź na parę pytań (ile masz kont, w ilu walutach, sposób uwierzytelniania) i na tej podstawie generować test pod konkretnego usera. Scenariusze: Modyfikacja rachunku źródłowego nie ma znaczenia dla kogoś kto ma jeden rachunek. I ma pomijalne znaczenie, jeśli jest zgodna waluta. BTW co zrobi bank, jeśli zamiast 100 zł z konta złotówkowego będę chciał przelać 100 euro na inne złotówkowe? Przewalutowanie jest automagiczne? Oraz: wykonujący przelew musiałby chcieć wpłacić atakującemu jakąkolwiek kwotę, co raczej jest trudne do wykonania IRL (i proste do ścigania). Inne: liczyłem na zabawę przecinkiem, której jak rozumiem nie było? 123,45 -> 1234,50 lub 1,23 -> 123,00 (można jeszcze w wyświetlaniu w kroku 2 pobawić się w 1.23,00 itp.).

Paweł Goleń: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (Paweł Goleń) — Tue, 15 Mar 2011 07:28:49 +0100

Cóż, być może w kolejnym eksperymencie postaram się sprawdzić nie tyle to, ile informacji ktoś jest (na krótko) zapamiętać, ale z jaką skutecznością może wychwytywać różnice (porównanie ciągów znaków). Podejrzewam, że masz rację odnośnie tego, iż "istotność" informacji nie pozostaje bez znaczenia jeśli chodzi o uwagę, z jaką jest ona weryfikowana.

Miecio: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (Miecio) — Mon, 14 Mar 2011 19:18:23 +0100

Co do wykrywalności zmian w kwocie to bardziej prawdopodobne niż związek z pamięcią krótkotrwałą jest "zjawisko" a raczej wyuczony odruch bezwarunkowy sprawdzania tejże kwoty z uwagi na to iż chcemy "oddać" dokładnie tyle ile jesteśmy komuś winni i ani centa więcej - po to aby się od Nas w końcu odczepiła. A w związku z faktem że znaczna część posiadaczy konta zazwyczaj zgromadziła znacznie, znacznie mniej walorów niż by tego chciała (polacy nie oszczędzają) tym bardziej przywiązuje wagę do kwoty którą musi "oddać".

Paweł Goleń: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (Paweł Goleń) — Mon, 14 Mar 2011 17:31:46 +0100

Powinno być lepiej. CopyPaste się zrobił nie tu, gdzie trzeba :)

gim: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (gim) — Mon, 14 Mar 2011 14:31:58 +0100

interesujące jest ratio: docelowy/źródłowy dla obu wersji. Jeśli dobrze odczytuję wyniki, to wygląda na to, że w wersji "cichej" jesteśmy 2x bardziej >czujni< przy sprawdzaniu rachunku docelowego niż w wersji "jawnej", (lub patrząc z drugiej strony, 2x bardziej leniwi w wersji "jawnej")

Gynvael Coldwind: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (Gynvael Coldwind) — Mon, 14 Mar 2011 12:56:32 +0100

Pawel, jestem pod wrazeniem. Kapitalna robota! :) Ide pospamowac znajomych ;)

guzik: Jak i z jakim skutkiem atakowałem kody SMS

nospam@example.com (guzik) — Mon, 14 Mar 2011 10:33:47 +0100

Brak danych dla takiego identyfikatora. cc8c151656abc75504be9de669bee31b Ale i tak kawał porządnej roboty!