Come un utente malintenzionato può intercettare il messaggio a proprio vantaggio

0

Stavo risolvendo le domande relative alla sicurezza e ho trovato queste domande:

  1. You receive an email message that purports to come from your bank. It asks you to click a link for some reasonable-sounding administrative purpose. How can you verify that the message actually did come from your bank?

  2. Now play the role of an attacker. How could you intercept the message described in part (1) and convert it to your purposes while still making both the bank and the customer think the message is authentic and trustworthy?

    
posta Patt 06.11.2016 - 09:01
fonte

2 risposte

1

You receive an email message that purports to come from your bank. It asks you to click a link for some reasonable-sounding administrative purpose. How can you verify that the message actually did come from your bank?

In generale, non puoi.

Ecco perché, se ricevo un messaggio dalla mia banca, non contiene alcun link. O contiene un messaggio autonomo che non può compromettere la mia sicurezza ("più di 300 euro sono stati ritirati dal tuo account") o semplicemente contiene il messaggio che dovrei cercare nella mia casella di posta sul sito web. Non penso che molte banche firmeranno il loro contenuto con, ad es. PGP o proteggere i messaggi altrimenti.

Le app bancarie hanno ovviamente più possibilità in questo senso: normalmente puoi fidarti dell'app (assicurati di farlo), e l'app può fidarsi dei messaggi inviati ad essa utilizzando uno schema di firma.

Now play the role of an attacker. How could you intercept the message described in part (1) and convert it to your purposes while still making both the bank and the customer think the message is authentic and trustworthy?

Non dovresti intercettare nessun messaggio. Puoi solo falsificare un messaggio. Forse ricevi un messaggio accedendo da solo a un conto bancario, in un modo o nell'altro. Oppure prendi semplicemente lo stile del sito bancario e utilizzalo per creare un messaggio dall'aspetto ragionevole.

Non c'è motivo di fare in modo che la banca si fidi del tuo messaggio; stai cercando di ingannare il cliente. La banca si fida del cliente per creare transazioni per loro conto.

    
risposta data 06.11.2016 - 11:07
fonte
0

You receive an email message that purports to come from your bank. It asks you to click a link for some reasonable-sounding administrative purpose. How can you verify that the message actually did come from your bank?

Per verificare se la posta che hai ricevuto proviene da una fonte attendibile o meno, puoi semplicemente utilizzare Mostra originale o un'opzione simile (dipende dal tuo fornitore di servizi email). Su Gmail si trova nel menu a discesa a destra.

Questa opzione mostra il messaggio originale che Gmail riceve dal mittente. Ora Gmail verifica automaticamente molte cose come SPF, DKIM (di solito quelle di fiducia ce l'hanno), ecc. Puoi facilmente identificare il mittente originale da qui, senza fidarti del campo FROM che mostra un ID e-mail dalla tua banca.

Now play the role of an attacker. How could you intercept the message described in part (1) and convert it to your purposes while still making both the bank and the customer think the message is authentic and trustworthy?

Con la verifica di cui sopra, l'unica opzione, credo, è che un utente malintenzionato debba entrare nel servizio di posta della tua banca.

    
risposta data 06.11.2016 - 18:03
fonte

Leggi altre domande sui tag