Vlákno názorů ke zprávičce Proč rhybaření funguje?

Ja nevim, ale podle meho to je problem predevsim banky. A pokud u ni lze timto zpusobem ziskat pristup, rychle bych od ni mazal pryc...
Treba do eBanky takto pristup ziskat nejde, ne?

Takhle do banky přístup přímo nezískáte.
Ale když udělám stránky, které budou vypadat úplně stejně jako stránky eBanky (čemuž eBanka zabránit nemůže) a uživateli na ně pošlu odkaz, tak je budou někteří uživatelé považovat za pravé a tak od nich můžu získat citlivá data, např. přístupové údaje.

Pristupove udaje (kod z sifrovaciho klice pro pristup) vam v tomto pripade budou k nicemu, jakoukoli dalsi operaci je treba znovu autorizovat klicem k jehoz generovani se pouziji vlozene udaje (napriklad castka). Leda ze by uzivatel dobrovolne vplnil a autorizoval prikaz k uhrade...

No a ked budem frajer a urobim stranku ktora sa bude tvarit ako orig. stranka nejakej banky a poskytnem uzivatelovi moznost zadat autentifikacne udaje po ktorych zobrazim stranku zase na nerozoznanie od tej orig. a uzivatel napr. zada prikaz na uhradu ja ho v pohode akceptujem ako original a nasledne vsetko naozaj vykonam (ved mam vsetky potrebne udaje a session s orig. strankou je v mojich rukach)?? Budem tzv Man-in-the-middle ... to predsa ide lahko .. potom mam viacero moznosti ... bud ho nechat odhlasit..ale len z mojej stranky a session do banky nechat otvorenu...alebo ak je potrebne este dalsie autorizacne zariadenie na vykonanie prevodu tak prevod vykonam vtedy ked ho bude chciet vykonat nicnetusiaci klikac ale s inou sumou. Ked doverne poznam stranku danej banky da sa pekne vyhrat s tym co secko budem vediet na 100% suplovat...

Asi ho s jinou sumou nevykonáš, protože nebude sedět autorizační kód.

To je sice pravda, ale co takový postup: Uživatel chce převést 150 Kč na účet 123. Zadá to do falešné stránky. Ta ovšem bance pošle informace o převodu 10000 Kč na účet 456 a nechá mu poslat SMSku s novým autentizačním kódem. Teď přichází kritická fáze. V té SMS je nejen autorizační kód, ale i informace o tom, k čemu se vztahuje, takže jsou tam znovu částky, čísla účtů a podobně. Otázka ale zní, kolik procent lidí to skutečně z té SMS přečte a znovu překontroluje. Podle mě většina odscrolluje dolů, opíše kód a tečka. V tu chvíli jsi přibral 10000 Kč.

Samozřejmě se mýlíte. eBanku s mobilem používám už dlouho a skutečně SMS dorazí s údaji, které jste zadal do webového formuláře. Do mobilu zadáváte jen PIN, který vás k té SMS pustí.

Jenže já mám kalkulačku a do kalkulačky zadávám naprosto přesně odkud, kam, kolik a s jakými symboly peníze chci poslat. ;-)

Aha tak to jsem netušil. Co dodat? Snad jenom dobře tak všem kdo chtějí ušetřit za kalkulačku ? :O))) Ne to ne, příde mi to zvláštní, je to hrubé snížení bezpečnosti které vám asi nikdo nikde neřekne když se vás ptají jestli chcete kalkulačku nebo ne :O(

Overovanie cez mobil je rovnako bezpecne ako kalkulacka, ked uzivatel neni blby a prekontroluje si udaje ktore overuje.

Ještě mi to nedá a nezdá se mi to, můžete prosím popsat postup od otevření třeba nového převodu ?? Něco tam musí být, nevěřím že by takhle hrozně snížili bezpečnost.

Samozřejmě můžu:

• vyplníte uživatelské jméno
• přijde SMS, zadáte PIN, opíšete do browseru autentizační číslo
• zadáte vytvoření nového příkazu
• vyplníte formulář s číslem účtu, částkou a podobně
• klepnete na autorizaci
• přijde SMS, zadáte PIN, (možná) zkontrolujete údaje v SMS a opíšete z jejího konce autentizaci
• příkaz odešlete
• odhlašujete se

To je celý postup. Dvě SMSky, dvakrát zadávání PINu do mobilu. Nic víc není potřeba dělat. Jak říkám, je to bezpečné, pokud není uživatel hloupý a kontroluje obsah SMSek.

Obecně existují ale jednodušší formy útoku a získávání citlivých informací. Když na uživatele vyskočí varování o tom, že nebylo možno ověřit SSL certifikát, kolik procent lidí volá do banky a ptá se na fingerprinty? Já to dělám, moje přítelkyně taky, vy možná ano, ale BFU určitě ne.

Takto to funguje v ebanke. V csob je to ale uplne inak. Zalogujete sa iba pod userom a heslom. Ked zadate prikaz k uhrade dojde normalnou smskou kod (IBA KOD!), ktory nasledne zadate do formulara. Takze je to uplne nadherne napadnutelne systemom MitM

Jo, mimochodem, jak obejdeš kontrolu autenticity webových stánek eBanky, která se po přihlášení taky ověruje?

Přesně tak, musíte si jako vzorek představit Běžného Frantu Uživatele, který ani netuší, že je něco takového možné, natožpak že je to potřeba.

Odbornik sice nejsem, ale tak nejak laicky bych cekal, ze rhybarici stranka si rekne hlavne o udaje o kreditni karte a zneuzije pak je.

proc myslite ze by neslo aplikovat phishing na ebanku? pokud rhybar zneuzije naivity klienta ebanky, tak zjiska byt' casove oemzeny pristup.

staci kdyz za Vas provede prvni cast autorizace a pak si Vam rekne o rozkodovani. pokud bude uspesny a stihne tyto kroky v historicky kratke dobe, zjiska docasne pristup.
timto nechci nikterak znevazovat autorizacni proceduru ebanky (sam ji s vdecnosti pouzivam). znacne minimalizuje mnohe bezpecnostini rizika, za velmi nizkou ztratu pohodli. nekdy ale ani to nestaci.

imho to neni problem banky. to je jako pustit zlodeje do baraku a rici ze je to problem alarmu, protoze alarm nerozpoznal, ze se nejedna o pracovnika plynaren, prestoze neexistuje plynova pripojka.

...to by se mu taky muselo podarit poslat klic na mobil, jehoz cislo by musel uhodnout, nebo vygenerovat nejaky pouzitelny klic pro kalkulacku 8-)

to phising vetsinou bejva ;))

Podle meho to nepujde, protoze nez zakaznik vyplni udaje k platbe, na ktere musi byt take vygenerovany kod, prestane pro zmenu platit pristupovy kod k uctu (je casove omezeny). Navic proc by uzivatel potvrzoval nejakou platbu. A bez toho si zase zadne penize neprevedete, protoze nebudete mit aktivacni kod.