Názory k článku
Český phishing v akci!

... protože jsem všechny promtně informoval, jakmile mi tenhle e-mail dorazil.

Jakto že vám ten filtr funguje a zobrazuje tuto zprávu? Naschvál jsem to zkusil s firefoxem 2 RC2 (pro Linux) a nic takového mi na stránce nehlásí.

Mám tutéž verzi a hlášení se bez problémů objeví.

Je třeba mít tu kontrolu zapnutou (je to na kartě zabezpečení). Mně na tu stránku Firefox vůbec nepustil, když jsem chtěl výzvu ignorovat a jít dál, tak se to celé nějak zacyklilo a stránka se nenačetla ;)

Existuje testovací stránka, na které je možno to otestovat.

Díky, testovací stránka funguje správně, objeví se mi varování, ale pokud zadám stránku http://210.74.232.53:9070/ tak se mi nic neukáže, normálně mohu dělat cokoliv, nemusím ještě před tím navštívit originální stránku servis 24?

Priatelia - nezadavajte ani pokusne niake udaje do tych stranok - najma majitelia operacneho systemu Win..., skusil som to a Z TYCH SERVEROV sa mi o chvilu "cosi" pokusalo skenovat porty. Mam WinXP a nastastie nie ich ale kvalitny Firewall, takze nevadi...

....extra na tve upozorneni jsem zkousel z ruznych masin fake login do toho jejich loggeru a zacny feedback scan jsem nezaznamenal (testovano na tu IP v sanghaji)

Mail mi taky přišel, ale odkaz v něm už nefunguje. Odkaz tady na fóru je pořád funkční, po zadání čísel se zobrazí hláška "Ok" a tím to končí. Hezké je upozornění na úvodní stránce vpravo dole, abychom používali legální operační systém. Zvláštní je, že při volbě přihlášení klientským certifikátem proběhne přesměrování na stránky ČS.

Mám stejnou zkušenost. Firefox RC2, otevřel jsem stránku z emailu, ale žádné varování se mi nezobrazilo.

zkusil jsem to a nefunguje to. nastesti. jeste aby mi browser kontroloval kam muzu browsit...

mi umozni jednoduse zmenit tel. cislo na ktere mi prijde bezpecnostni kod! ... i kdybych prozradil vsechny svoje prihlasovaci udaje, tak to na phishing stacit nebude ;)

To si hooooodne za vodou, hlavne az ztratis/ti ukradnou mobil a ty budes potrebovat platit ;-)

Jsem na tom stejně.
Ale radši přijdu o možnost platit (na tu chvíli, než si zařídím nový přístup) než aby mi někdo vyluxoval účet ;-)

Proboha, ja se vubec nedivim, bylo to jen otazkou casu , kdy nekdo prorazi snad nejmizernejsi autentifikaci nejmizernejsi banky v CR... Snad je to dobre upozorneni pro "lehkomyslne" klienty, kteri si snad v budoucnu budou svou banku a hlavne komunikacni kanaly vybirat pecliveji.

Sporitelna je banka? Ja to furt vedu jako sporitelnu, ne jako banku.

Můžeš mi prozradit, co je na zabezpečení kusem externího HW mizerné? Nemyslím to ironicky zajímalo by mě kde jsem udělal chybu. Mě připadá zabezpečení certifikátem z mého pohledu nebezpečné, protože mám tendence pořád někde zapomínat kusy softu a mohu to provést odkudkoliv, beze toho že bych někam zpřístupňoval svůj soukromý klíč.
Pravda, když jsem ho požadoval u nás na pobočce musely si protáhnout pracovní dobu o půl hodiny protože to od nich nikdo nepožadoval a nevedely co maji delat a přišel jsem na konec jejich pracovní doby. Nemají zavírat tak brzo ;-)

Spořka přece nabízí od začátku autentikaci pomocí kalkulátoru, což je asi nejmíň průstřelná metoda ze všech. Kdo chtěl, mohl si ho pořídit a být v klidu. A možná že se pletu, ale mám pocit, že ze začátku ani jiný způsob autentikace neumožňovali.
Bohužel v rámci konkurenčního boje se banky začaly předhánět v tom, která nabídne internetové bankovnictví "uživatelsky přívětivější" a výsledek - bezpečnost šla dolů. Jenže to byl obecný trend, Spořitelna v tom nebyla sama.

Upřímně řečeno, kalkulátor je sice pěkná věc, se kterou můžete pouštět vaše internetové bankovnictví prakticky odkudkoliv, ale zatím jsem nezažil případ, kdy by platba nepočkala na můj zabezpečený Linuxový stroj, odkud s klidem můžu použít jenom login a heslo a nemusím očekávat problémy. Jinak s Českou spořitelnou mám obecně dobré zkušenosti, za vedení účtu moc neplatím a služby mi vyhovují.

A navic:
vyborna otviraci doba na pobockach (u nas 9 - 16,dvakrat 9-17 a patek 9-15 s poledni prestavkou!!!), poplatky za kazdou polozku a smysl pro humor - zvlast vtipne mi prijde vybirat poplatek i za vklad penez.
Jak jsme rikavali na vojne: Vojna je proste krasna - ale kratka.

..muhehehehe.....eBanka rulezzz... kdu na to konecne ostatni banky prijdou ze bezpecnost je zakladni pravo, ne draha vysada.

Toto bude asi chyba, ze:
"Zatím je na celkový výsledek příliš pozdě"
:-)

No, to tedy je. Díky, už je to správně.

To "dokonce e-mail dostal i do konference uživatelů distribuce Debian (ibm-pc@debian.cz)" je trochu nepřesné, ona to není konference o debianu samém, je to obecná diskuze o hw&sw ibm pc, zrcadlená do cz.comp.ibmpc newsgrupy (a ten mail tam v tuto chvíli ještě není, antož google news brána má určité zpoždění oproti realu, přes news servery je dostupný)...

Nejsem si jist, ale i kdyz se dozvi vsechny udaje a zmeni telefonni cislo, tak je jim to stejne na houby, protoze banka posila ty smsky sifrovane. Tzn, pokud si tuto sluzbu zakladate, tak musite bance rict cislo sim karty. Kdyz by si tam nejaky ten hejhula napsal vlastni telefonni cislo, tak ta smska mu proste neprijde (telefon ji nezobrazi, protoze ji nerozlusti)
Z toho pro me vyplyva, ze nejhorsi, co se muze stat, je ze nekdo zjisti muj stav na uctu, nebo kdy kam jake penize sly, ale nic mi neukradne.

Ehm? Co je cislo SIM karty? ;-)

Rekl bych, ze cislo SIM karty je cislo SIM karty, ke kteremu je v [centrale|ustredne|nazvete_si_to_jak_chcete] mobilniho operatora prirazeno spravne telefonni cislo :-). IMHO mobil to telefonni cislo vubec nezna.

Sifrovane SMS, podle cisla simkarty??? neni to trosku sci-fi?

Seriove cislo SIM karty ji identifikuje jako jedincny kus "hardware", toto cislo lze nalezt natistene / vyarzene vedle kontaktů čipu.

Vas operator drzi mimo jine databazi asocicaci SIM karta -- telefonni cislo.
Neboli: mobilni telefon pri prihlasovani do site krome udaju o sobe odesle i SERIOVE cislo simkarty. Probehne overeni zdali se tato simkarta nachazi v databazi, zdali nema nejaky prohresek vuci siti (expirace, blokace, aj.) a zdali lze teto simkarte priradit telefonni cislo. Neboli: vas telefon NEZNA telefonni cislo simkarty (muzete namitat ze kdyz v menu otevrete polozku "Moje Cislo" je tam uvedene -- ano muze tam byt, ale pokud si dobre pamatuji tak u nove SIM karty je tato polozka nevyplnena a je treba ji nejprve zadat.)

Pokud se jedna o "bankovni sms", tedy sms zpravu urcenou sim toolkitove aplikaci "ulozene" na vasi sim karte, (muze) byt tato zprava sifrovana. Pri odesilani takove sms probehne kontrola, zdali souhlasi seriove cislo sim karty, ktere jste MUSELI udat na vasi bankovni pobocce pri podpisu smlouvy o poskytovani sluzeb elektronickeho bankovnictvi prostrednictvim mobilniho telefonu.
V kazdem pripade - k precteni takove sms potrebujete vlastnit prave tu simkartu, jejiz cislo je uvedene na smlouve s bankou a musite znat ten spravny bankovni pin.

U ČS,a.s. se bohuzel jedna o prostou sms, nikoliv o komunikaci prostrednictvim SIM toolkitove aplikace. Nejsem si jisty, zdali kontroluji seriove cislo simkarty, domnivam se vsal, ze v tomtzo pripade nikoliv (nikam jej nezadavate). Pro podrobnejsi info se obratte na tiskovou mluvci ČS, a.s.

Posledni poznamka se tyka vyroku "byl(a) jste vybran(a) pro testovaci provoz". Tento vyrok neni pravdivy. Banka jako takova ma dosatatecne vlastni zdroje pro testovani a NIKDY, NIKDY do testovani nebude zapojovat klienty!!! NIKDY!! Uz jen proto, ze klient se z praktickeho hlediska nevyplati tak jako profesionalni tester!

Martin Nyxel.

Martine, vetsina tohodle Tveho prispevku (krome posledni state o testovani) mi pripomina Astar Bendove nepotvrzene reci o mimozemstanech - prelinas realitu jedinecne identifikace simkarty(kvezd a planet) s identifikaci podle serioveho cisla vyrazeneho vzadu(s mimozemstany). Precti si o tom kousek vic a zjistis, ze identifikace simkarty je nekde hluboko v ni sifrovana! Pri tomhle radoby fundovanem prispevku mi prislo celekm spatne.

Máte pravdu oba. Síť identifikuje telefon pomocí čísla IMSI (popř. TMSI), které lze bez problémů zjistit (jestli je napsané vedle kontaktů nevím) a které je jedinečné. Ale k jeho ověření používá klíč Ki, který je zašifrovaný uvnitř karty.
Člověk si udělá hned obrázek o někom kdo napíše takovouto reakci, která uráží.

Vážený!

Při žádosti o SIM Toolkiovy GSM Banking Servis 24 - Telebanking povinne udavas do smlouvy "sériové číslo" karty (ano - termín je nepřesný ale pro dámy na přepážce dostačující a nezdržující).

Spravne se nazyva "International Mobile Subscriber Identity", zkracene IMSI, byva patnacticiselne ale NEMUSI byt, lze se setkat napr. s kratsimi IMSI!)
Toto cislo je celosvetove jedinecnym identifikatorem SIM (Subscriber Identity Module), dle ktereho lze mimo jine urcit zemi a operatora zakaznika. Je vyrazene pro snadnejsi manipulaci se SIM vedle kontaktů čipu a z pochopitelnych duvodu je ulozene i na cipu odkud je čitelné čtečkou, mobilnim telefonem(čitelné nemusí znamenat zobrazitelné na výstupním zařízení) ... Zminovany klic "Ki" AFAIR slouzi ke ZMENE IMSI dané karty, ale nejsem si jistý, není to můj obor.
Jelikoz lze podle IMSI presne identifikovat a lokalizovat zakaznika, je po zapnuti mobilniho telefonu tomuto pristroji "prirazeno" cislo TMSI (Temporaily Mobile Subscriber Identity) ktere je pouzivano pri komuniaci pristroje a site. Cislo IMSI je v komunikaci mezi telefonem a siti zminovano v nejnizsi mozne mire.

Pokud chcete psat o fundovanosti prizpeku - toto je forum, kde se ve zkratce rozumnym zpusobem snazim reagovat na zcela zcestne prizpevky. Neminim zde detailne popisovat sluzby, aplikace a nastroje pro nez existuji verejne dostupne podrobne dokumentace.

Co se mych zkusenosti a znalosti z oboru tyce: jsem posluchacem/studentem katedry fyzikalni elekrtoniky čvut fakulty jaderné a fyzikálně inženýrské a již více než dva roky zaměstnancem České Spořitelny, a.s. (pro ověření mé identity je možno mi napsat email do prace;o) nebo do skoly, z pochopitelnych duvodu predam kontakty pouze soukromym komunikacnim kanalem na predchozi zadost. ) Toto ovsem nevyvraci moznost me mýlky. Jsem stále jen člověk! :)

Souhlasim, simka krom IMSI je identifikovana jeste SIM-ICC. Pro ty, kteri se chteji dozvedet vice prikladam link: http://www.freepatentsonline.com/6324402.html

Na tom podvodnem mailu by mi byl okamzite podezrely hlavne pravopis, a pouzite vyrazy. Pripada mi to jako vyplod nekoho ze zakladni skoly:
"...vsechny nasi klienti..."
"...nejsou tyto data zverejnena..."
"...vsechny nezavisli experti..."
"...mesic boje s frodem..."
"...ochranu pred frodem..."
fraud (kdyz uz) je slovo, ktere se urcite nevyskytne v komunikaci banky se zakaznikem.

Co se tyka pripravy, tak bych rekl, ze neni az takovy problem pripravit dokonalou kopii stranek sporitelny, ci kohokoliv jineho. Proste je stahnete. Spis bych rekl, ze priprava byla odflaknuta, protoze jinak by se po zadani udaju mohl zakaznik presmerovat na skutecne stranky sporitelny, a zakaznik by ani nemusel poznat, ze se prave stal obeti podvodu.

jsem si říkal, že by to nikdo ani nepoznamenal :)

Nejen pravopis. PR oddeleni by nikdy nic podobneho nescvalilo v zadne firme...

No, ono by to mohlo take byt dusledkem outsourcingu. :-)

To ukazuje spis na zahranicniho pachatele a text prelozeny s pomoci nejakym cestinu ovladajicim cizincem anebo Cechem, ktery uz je delsi dobu v zahranici. To nejsou preklepy nebo vylozene hrubky, jake udela Cech - ten clovek urcite neumi ani poradne mluvit cesky.
Kdyby tihle zlocinci davali ve skole pri cestine pozor, tak bychom to rozpoznani spamu a phishingu meli asi tezsi ;)

Klidne jsem jim tam vsechno zadal :) Kdyz ma clovek HW kalkulator, tak je mu to fakt u prdelky :D

Už se nemůžu dočkat, jak to rozmáznou ve zprávách na Nově a podobně. Úplně to vidim: "Vaše peníze jsou v ohrožení! Hackeři mohou zjistit vaše heslo!"

BTW boj s frodem :-)))

Ehm, ja se spis divil jak to rozmazavaji tady na rootu. Clanek s bombastickym popiskem a pritom s krizkem po funuse (den az dva po jinych servrech).

Prislo mi to take, IP adresa, na ktere byla provozovana falesna stranka servis24 bezela pres neci ADSLko. Z faktu, ze techto falesnych stranek bylo mnoho (na rozdilnych IP adresach) lze usoudit jen jedno -> zombie. Cili nekdo si napsal nejakou havet, kterou exploitoval mnoho windowsackych neaktualizovanych a nezabezpecenych stroju, z techto stroju pote byl rozesilan SPAM v anglickem jazyce, ve kterem byla fotka nejakeho chlapka, ktery psal v tom emailu, ze ma rakovinu a ze brzy zemre. Tento chlapek pry chce sve miliony prevest na charitu v ruznych zemich a pokud mu odpovim, tak mi sdeli potrebne udaje s tim, ze si mohu nechat nekolik % provizi.

Samozrejme jsem si vygooglil podle predmetu toho emailu, ze se jedna o SPAM, takze timto zpusobem se mel pravdepodobne zajistit prevod ukradenych penez pomoci bilych koni na zadane cislo uctu.

Ani ne tyden pote a prisel ten podvrzeny email jakoby z CS. IMO za vsechen tento SPAM mohou BFU, kteri nemaji dostatecne zabezpecen svuj PC a tak se od nich hromadne rozesila SPAM, dalsi problem jsou ADSLka chranene pomoci WEP, on totiz WEP lze cracknout za par sekund, maximalne minut a zde je dalsi kamen urazu. Dokud nekdo nezacne lidem (s nezabezpecenym PC slouzicimu pro odesilani vseho mozneho) davat pokuty, problem bude cim dal viditelnejsi.

Dávať pokuty by bolo super, (Si blbý? Zaplať!) bohužiaľ dnes sa nenosí takýto spôsob výchovy klientov. Skôr sa všetci snažia klientom natrepať až do pr****, aby klient nemusel nič vedieť, s ničím sa zdržiavať, a preboha hlavne nech nemusí rozmýšľať. To má za následok, že prirodzeným výberom (vďaka Darwin!) sa ľudia s postupom času stávajú hlúpejšími, a menej zodpovednými. Tak ako vravel klasik - suma inteligencie na planéte je konštantná, ale populácia rastie.

Odkdy ADSL pouziva WEP? :-o

A i kdyby pouzival, vy uz jste nekdy odposlouchaval metalicke vedeni :-oooo

frodo - to je ten bimbo šourek nebo fritol z celovecerniho filmiku "Pár Pařmenů" ?

;o))))

martin@nyxel.cz - spam$ welcomeD there ;o)

Sám authentizační kalkulátor mám a bez něj bych asi internetove bankovnictví okamžitě zrušil. O to více mne překvapilo, když jsem se od svojí bývalé přítelkyně dozvěděl, že v ČS jí řekli, že autentizační kalkulátor už dále nevydávají a že místo toho mají nějaké super hyper bezpečné smsky. Řekl bych, že tím mysleli právě ty smsky, které se dají obejít pomocí toho bezpečnostního kódu, který jim tam určitě spousta lidí dala.

BTW, ono by uplně stačilo uživatele naučit, kde najdou fingeprint certifikátu a možnost si ten fingerprint ověřit třeba na infolince ČS. Když jsem jim to před cca rokem radil, tak se mi vysmáli a ani se mi neobtěžovali odpovědět na email. Já osobně mám fingerprint uložený na disku a vždy než začnu do stránky servis24 cokoli zadávat, zkontroluji si, že sedí.

Je to tak, "kalkulátory" už se neprodávají, jako silnější bezpečnost se teď tlačí digitální podpis na čipovce.

IMO trochu paranoia...

Phishing? To už se nepoužívá to úžasné slovo "rhybaření"? :-)

vsim si nekdo ze to prislo udajne ze servise@.... pricemz by to melo prijit ze service@.... to uz je prvni voditko proc to rovnou zahodit

Konference na adrese (ibm-pc@debian.cz) není konferencí uživatelů distribuce Debian.

Najprv bojoval s tym, ktoreho meno nevyslovujeme, a cul sa donho pustili aj banky...