| כותב |
|
דוקים
משתמש מתחיל
הצטרף / הצטרפה: 26 November 2010
משתמש: מנותק/ת
הודעות: 1
|
| נשלח בתאריך: 26 November 2010 בשעה 13:31 | | IP רשוּם
|
|
|
|
שלום,
אני מעוניינת לנהל את חשבון הבנק שלי דרך האינטרנט (מזרחי-
טפחות לייב).
איך אני יודעת שהאתר שלהם באמת מאובטח ושזה באמת בטוח? יש
איזה אייקונים שמראים לי? דברים שאני צריכה לבדוק?
אשמח לעצות. טנקס!
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 26 November 2010 בשעה 15:27 | | IP רשוּם
|
|
|
|
תשובה לשאלה כזאת בנויה מכמה רבדים, בחלקם את מעורבת ובחלקם לא.
הרבדים הם:
1- המחשב שלך.
2- התקשורת בין המחשב שלך לאתר הבנק.
3- אתר הבנק והתשתיות שלו.
החלק הראשון - המחשב שלך: כיום (שלא כמו בעבר), היעד העיקרי של התוקפים הפך להיות המחשב שלך,
ולא אתר הבנק, הרבה מאוד אירגוני פשע מנסים להדביק את המחשב שלך בסוסים טרויאנים, המתקפות
האלה לא נעשות ישירות מולך אלא לדוגמה- פריצה לאתר מרכזי עם אבטחת נמוכה, השטלת קוד זדוני
שינסה לנצל פרצה בדפדפן של הגולש- והדבקת מחשבו. אותם סוסים טרויאנים ינסו לשלוף מידע אישי
מהמחשב שלך, המידע יכול להיות פרטי הבנק שלך, סיסמאות לחשבונות אינטרנט (מיילים, קהילות
וירטואליות, רשתות חברתיות וכו'), הקלדותיך במקלדת או האזנה לתעבורת המידע היוצאת והנכנסת
מהמחשב שלך (מה שמביא אותי ישר לחלק השני)
בפן הזה יש לך חלק ניכר- בדקי טוב טוב להיכן את גולשת, תתקיני ותדאגי לעדכונים שוטפים לכלי אנטי
וירוס חכמים, למדי לגלוש בצורה חכמה, תכירי את האיומים הקיימים עליך כיום בעת התחברות לרשת
האינטרנט וכו'.
החלק השני - התקשורת בין המחשב שלך לבין אתר הבנק:
יכול להיות שהמחשב שלך מוגן, מאוד, אבל איכשהוא, מישהו הצליח לבצע עליך מתקפת ראוטינג מסויימת
ולהיות מודע לתקשורת בין המחשב שלך לבין אתר הבנק (מוכר גם כמתקפת MITM), דוגמה לכך יכולה
להיות באמצעות מתקפת Arp Poisoning ברשתות LAN ללא NAC או ברשתות אלחוט פרוצות.
כך שגם אם יש לך אנטי וירוס מעודכן- במקרה זה זה לא יעזור, מפני שאין שום איום פנימי אלא
חיצוני. וגם כאן יש לך חלק- בכדי להימנע ממקרים כאלה חשוב מאוד לא לגלוש למקומות פרטיים כגון
תיבת המייל שלך, או כמו בשאלתך- חשבון הבנק שלך מרשתות ציבוריות. בנוסף, חשוב מאוד לשים לב
שהמידע שעובר בין מחשבך לבין אתר הבנק עובר בצורה מוצפנת, תוכלי לשים לב לכך ע"י מציאת סימן
המנעול (בדרך כלל או ליד שורת ה-URL או בתחתית החלון) ווידוא שאת גולשת תחת HTTPS ולא תחת
הפרוטוקול הרגיל- HTTP.
החלק השלישי- ובו אין לך חלק, הוא רמת אבטחת האתר והמערכת של הבנק, יכול להיות שאת גולשת
באופן מוצפן, ויכול להיות שאין לך שום סוס טרויאני על המחשב, אבל האבטחה של אתר הבנק לא משהו
(אני לא אומר שזה המצב- אני מדבר בכלליות), יכול להיות שמהצד שלך הכל בסדר גמור, אבל אם
השרתים של הבנק לא מוקשחים, או שהמערכת שלהם מאפשרת לתוקפים לבצע בה מניפולציות (כגון מתקפות
SQL INJECTION, או XSS וכו') התוקף לא יהיה צריך להציק לך- הוא פשוט יוכל להתלבש על המערכת של
הבנק ולשלוף ממנה את כלל הנתונים.
בכדי למנוע דברים כאלה, יש לבנקים כל מני רגולציות, שהן מערכות פיקוח חוץ בנקאיות (בארץ יש לך
את "המפקח על הבנקים" מתוך בנק ישראל שאחראי על הנושא) בנושאים שונים ובין היתר גם בנושאי
אבטחת מידע, הרגולציות האלה מחייבות את אותם הבנקים לבצע בדיקות חוסן כל פרק זמן מוגדר,
מדיניות אבטחת מידע נוקשה, הקשחות, דאגה לפרטיות וכו'.
ממש השקעתי בתשובה הזאת 
ואת יכולה גם לעשות את מה שאני עושה:
למרות שאני מקפיד מאוד על אבטחת המחשב שלי, ואני גולש באופן מושכל וכו'- אני משתדל שכמעט ולא להתחבר
למערכות הבנק דרך האינטרנט, את הפעולות שאני מעוניין לבצע אני או מבצע דרך הטלפון (וגם כאן יכולה להיות
האזנה/התחזות - אבל אני מאמין שהסיכון כאן הרבה יותר קטן) או שאני מגיע ישירות לסניף הבנק שלי.
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 26 November 2010 בשעה 23:32 | | IP רשוּם
|
|
|
|
חשוב לציין שלבנק יש אחריות להחזיר לך כסף שיגנב דרך החשבון משום שהאשמה היא עליו,
גם בגלל זה מגבילים את כמות הכסף שאת יכולה להעביר ל-10000 ש"ח, ונוקטים באמצעי
בטיחות כגון שאלות פרטיות אישיות אקראיות לפני העברה.
הבנק מחליט כמה להשקיע במניעת גניבות בצורה כלילית לוגית - ההשקעה צריכה להיות
משתלמת לעומת הנזק שיגרם מגניבות, וככה בעצם נוצר בבנק איזון האבטחה הדרוש.
מעבר לכך בתקופה האחרונה החלו גם גורמי פשיעה מחו"ל לפרוץ לחשבונות לבנקים ישראלים.
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
אלומיניום
משתמש מתחיל
הצטרף / הצטרפה: 28 November 2010
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1
|
| נשלח בתאריך: 28 November 2010 בשעה 21:40 | | IP רשוּם
|
|
|
|
כמו ששושן כתב: לבנק יש אחריות.
אם תכנסי לאתר של מזרחי טפחות תראי שיש להם
תעודת אחריות לגולש. והם מציינים כללים לאבטחת מידע
https://www.mizrahi-tefahot.co.il/cgi-
bin/bvisapi.dll/mizrahi/navigate/product.jsp?
id=219729091
זה האינטרס של הבנק לדאוג לאבטחה שלך.
|
| חזרה לתחילת העמוד |
|
| |
nry123
משתמש מתחיל
הצטרף / הצטרפה: 29 December 2010
משתמש: מנותק/ת
הודעות: 11
|
| נשלח בתאריך: 30 December 2010 בשעה 09:02 | | IP רשוּם
|
|
|
|
סתם תוספת -
יש לך אפשרות להגביל את הפעולות שניתן לעשות דרך האינטרנט בבנק. לדוגמא את יכולה להשתמש באינטרנט רק בשביל לקבל מידע על החשבון, אבל לא לעשות שום פעילות אחרת כמו העברות בנקאיות או רכישה של דברים דרך הבנק. ככה גם אם פורצים לך לחשבון וגונבים סיסמאות, זה מהווה עוד מכשול של הרשאות שהתוקף צריך להתגבר עליו.
|
| חזרה לתחילת העמוד |
|
| |
|
|
נושאים פעילים
רשימת משתמשים
חיפוש
עזרה
הרשמה
התחברות
UnderWarrior Forums : 
אבטחת מידע
