Vlákno názorů k článku Nenechte se okrást: sedm skutečných příběhů internetových podvodů od Uncaught ReferenceError: - Tyhle podvody jsou ale dostatečné pro to, aby...

Že to nevíte, že se to nesmí, je OK, že to neví banka, u které to ověřujete, už je celkem na pováženou.

Ale není to tak jednoduché. SMS se pořád za určitých okolností může používat. Pro autorizaci přihlášení/plat­by/převodu se musí použít dva ze tří faktorů: 1. něco, co vlastním, 2. něco, co znám, 3. něco, co jsem. SMS se pořád může používat pro faktor č. 1. Pořád to ale musí banka doplnit o další faktor, tedy třeba o PIN, který znáte jen vy, nebo o váš ověřený biometrický údaj.

Každopádně SMS je snad nejslabší z prostředků pro ověření faktoru č. 1, takže pokud ho některá instituce pořád používá bez alternativy, raději bych se od ní držel dál.

Já bych rád alternativu - ideálně asi HW token - ale celkem nikdo nic nenabízí (a nejlíp ani ne tak k účtu, ale k brokerovi (používám Fio a Degiro)). (nemám smartphone, a vzhledem k bezpečnostní historii ekosystému Androidu si myslím že i kdybych si ho kvůli tomu koupil, tak to nebude lepší - leda si koupit kvůli bance iphone, nebo nějaký hodně highendový Android přímo od Googlu(?), ale zas tak bohatý se necítím :)

> vzhledem k bezpečnostní historii ekosystému Androidu si myslím že i kdybych si ho kvůli tomu koupil, tak to nebude lepší

Tak to se mýlíte (pokud budete potvrzovat otiskem prstu / face id, PIN je samozřejmě o ničem).

To mi může pomoct s tím kolik transakcí potvrdím (budu věřit, že to TPM malware nedokáže nějak prolomit), ale ne s obsahem transakce (malware si může na displej kreslit co chce).

malware si může na displej kreslit co chce
Kolik takových chyb v Androidu bylo? Kolik jich tam je nyní?

řádka jich byla :). Bohužel člověk nemá čistý Android, nadstavby od výrobců jsou na tom hůře, stejně tak jejich HW, najít bezpečný Android není snadné. Apple to má zajímavější, má jen několik řadu výrobků a všechny splňují poměrně vysoké standardy (v rámci oboru).

Teď třeba ve vzduchu běhá CVE-2021-0968 a kolik myslíš, že Android telefonů už aktualizací má a kolik myslíš, že jí nikdy neuvidí? Bezpečnostní skeny u app storů zatím ne dostatečně fungují a prochází aplikace, které má pod kontrolou útočník.

Teď třeba ve vzduchu běhá CVE-2021-0968 a kolik myslíš, že Android telefonů už aktualizací má a kolik myslíš, že jí nikdy neuvidí?
CVE-2021-0968 umožňuje útočníkovi přepsat obsah obrazovky, když potřebuje? Nevylučuju to, ale z popisu podle mne nic takového patrné není.

Bezpečnostní skeny u app storů zatím ne dostatečně fungují a prochází aplikace, které má pod kontrolou útočník.
Ano, ale to ještě neznamená, že je možné takové aplikace použít pro únos potvrzovacích údajů.

Mne by právě zajímala nějaká chyba v minulosti (nebo aktuální), která by umožňovala zneužít ty autorizační aplikace. Protože to, že je v Androidu dost bezpečnostních chyb, to všichni víme. Ale pro zneužití autorizační aplikace je možné zneužít jen některé chyby.

No právě CVE-2021-0968 (nebo třeba CVE-2021-0918 či ještě CVE-2021-0930) ti poskytno dveře k využití třeba třeba CVE-2021-1048, získat vyšší práva a poté manipulovat s aplikací, která řeší bezpečnotní tokeny. Stejně tak CVE-2021-1048 můžeš získat s instalovanou aplikací, je app storu jich je ještě řada neopravených (a reportovaných do Googlu). To se bavíme o zranitelnostech z posledních měsíců a obě dvě jsou aktivně zneužívány a živé.

..., 11:56: Pořád v tom výčtu nevidím evidentní cestu, jak ty chyby zneužít k autorizaci falešné transakce. Netvrdím, že to nejde – a vím, že v bezpečnosti platí, že to, že já neznám konkrétní způsob, jak něco napadnout, neznamená, že neexistuje. Nicméně tady se bavíme o tom, co je reálně zneužitelné. Původní vyjádření jsem chápal tak, že existují známé způsoby, jak potvrzovací aplikace napadnout. Z uvedených příkladů mám ale dojem, že je to jen „nelze vyloučit, že kombinací různých chyb by se dalo docílit podepsání falešné transakce“. On je totiž výrazný rozdíl, jestli řešíme to, že útočník může nějak (jakkoli) v mobilu škodit – a když pak řešíme, jestli dokáže unést konkrétní potvrzení transakce, tj. jednu specifickou akci prováděnou v několika konkrétních aplikacích.

Reálná bezpečnost nezáleží jen na technické bezpečnosti, ale také na použitelnosti. Nepotvrzování transakcí zadaných na PC nebo jejich potvrzování pomocí SMS vůbec nebudu brát v úvahu, to je méně bezpečné, než chytrý mobil. Pak připadají v úvahu ještě šifrované SMS a aplikace v SIM toolkit – ale podpora SIM toolkit v tlačítkových telefonech nebyla úplně ideální, v chytrých mobilech ještě klesla k hranici nepoužitelnosti, takže dnes už to ani operátoři nepodporují. HW tokeny jaké se používaly před dvaceti lety (opíšu číslo účtu a částku do tokenu, opíšu kód z tokenu do PC) jsou pro běžné uživatele nepoužitelné a byly by dražší, než mobil. Kdyby měly být přívětivější, mít v sobě čtečku QR kódů a ovládat se dotykovým displejem, vyjde nejlevněji upravit nějaký existující mobilní telefon s Androidem. Lidé by pak ale oprávněně namítali, proč u sebe mají kvůli bance nosit druhý mobil, který jim k ničemu jinému není. A kdybyste lidem takhle internetové placení zkomplikoval, budou ho používat méně – což by se samozřejmě bankám nelíbilo. Případně budou víc používat věci jako PayPal a podobné, které mají horší zabezpečení, než internetové bankovnictví, takže tím si s bezpečností také nepomůžete.

Takže mi z toho vychází, že zabezpečení pomocí potvrzování v mobilu je nakonec docela vhodné řešení. Pro uživatele to není moc otravné, takže to používají (je to akorát tak na hraně „chce to po mně něco na víc, takže je to určitě bezpečné“) a neodchází k jiným ještě méně bezpečným systémům. Nenapadá mne, jak to prakticky udělat lépe.

v tomhle jsem také spíše uživatel, ale zrovna CVE-2021-1048 způsobil pěkný poprask, i decentní zpráva v Android Security Bulletin:

There are indications that CVE-2021-1048 and CVE-2021-0920 may be under limited, targeted exploitation.

Ukazuje, že reálně se používá. Umožní aplikaci získat systémová oprávnění a pak samozřejmě je možné komunikovat s jinými aplikacemi. Má dost vysoké score a tlak na její opravu byl značný.

„Komunikovat s jinými aplikacemi“ mi nepřipadá jako tak vážné riziko, zejména když potvrzovací aplikace nejspíš nebudou mít vystaveno moc komunikačních bodů, přes které by s nimi bylo možné komunikovat. Nejsem si jist, zda CVE-2021-1048 znamená, že je možné spustit libovolný kód s právy roota – tam by pak hrozilo, že to třeba přepíše data zobrazovaná aplikací. Nezpochybňuju závažnost CVE-2021-1048, nicméně ty potvrzovací aplikace dělají pár jednoduchých věcí, takže vektorů pro útok není mnoho.

-> Jan Hrach:
„To mi může pomoct s tím kolik transakcí potvrdím ..., ale ne s obsahem transakce (malware si může na displej kreslit co chce).“

Pane, takovéto kacířské poznámky sem nemůžete vkládat.

Ten HW token mi přijde jako jediná rozumná alternativa. Aby mi někdo nutil smartphone jenom proto, že si myslí, že ho má úplně každý, je dost zcestné a ten HW token je navíc s bezpečností ještě někde úplně jinde.

HW token má složitou použitelnost s mobilními telefony (přibývá lidí, kteří nemají počítač), stejně tak je složitá použitelnost na cizích počítačích jako např. v práci (nemá se, ale lidé se přihlašují k bankovnictví všude možně).

Další úskalí je cena, HW tokeny stojí pořád několik stovek a je otázka, kdo to bude hradit.

S bezpečnostní to nemusí být také nijak veselé, při ukradení/ztrátě peněženky zpravidla příjdu i o HW token, poté se dostat na účet může být pro útočníka snadné. HW token s pinem je další komplikace (buď pin zadávám na straně počítače, je to tedy zranitelné na MitM útoky a zároveň potřebuji SW na straně počítače nebo HW token má display a klávesnici, poté řeším cenu, přístupnost - pro lidi s horším zrakem, menší citlivostí prstů atd. a hlavně také řeším vymačkání kláves, protože pin je pořád stejný).

Není to jednoznačné, současná volba aplikací není špatná, škoda, že se zatím neprosadily moc univerzální aplikace, na trhu ani ten výběr není velký.

Abych to upřesnil - pro mě je zásadní možnost volby. A pokud mi bude někdo nutit autentizaci nějakou mobilní aplikací, tak pohoří.

HW token je s bezpecnosti jinde; ne vzdy lepe.

U potvrzeni platby prez mobil vidim cas, castku, cilovy ucet. Mozna mi nekdo hackne mobil, ale hacknout up to date PC a mobil a sparovat je z pohledu utocnika, to neni jen tak. Nevim o malwaru, co by to nekdy delal.

HW token nikdo nehackne, ale kdyz ziska pristup k PC, tak vam prakticky libovolne zablokuje vasi dalsi transakci nebo ji presmeruje jinam. Mozna i s jinou castkou. Zobrazeni jineho uctu a castky malware dela bezne.

Slovenská Tatra Banka mala kedysi dávno "kalkulačku", kam človek vložil platobnú kartu, zadal tuším číslo účtu (alebo nejakú jeho časť) a sumu (a PIN), a to mu vygenerovalo kód pre tú konkrétnu platbu. Bolo to prakticky nepriestrelné, ale užívateľsky otravné ako yperit.

Ďalší vývoj som nesledoval, lebo hneď po "zmene poplatkovej politiky" pred asi 10-timi rokmi som od nich ušiel.

HW token nikdo nehackne, ale kdyz ziska pristup k PC, tak vam prakticky libovolne zablokuje vasi dalsi transakci nebo ji presmeruje jinam.
Nepřesměruje. Když se bavíme o HW tokenu, bavíme se doufám o něčem takovém, s čím začínala Expandia Banka (později eBanka, pak ji koupila Raiffeisenbank). Vypadalo to jako kalkulačka – číselná klávesnice s displejem. Tam jste zadal číslo účtu, částku a konstantní symbol, na základě toho „kalkulačka“ vygenerovala jednorázový kód, který se opsal do bankovnictví.

Autorizace transakce, u které nepotvrzujete alespoň tyhle tři údaje, by byla k ničemu.

Výrobní náklady HW tokenu budou vyšší, než výrobní náklady na mobilní telefon. Navíc bude mít HW token nejspíš podstatně horší UX a tím i bezpečnostní funkci – asi nebudete mít na tom HW tokenu 5" barevný displej, na kterém se pohodlně zobrazí údaje o transakci.

Takže nedává smysl takové HW tokeny řešit. Pokud nemáte chytrý mobilní telefon, nebo ho nechcete používat pro potvrzování transakcí, pořiďte si levný chytrý mobilní telefon, nepřipojujte ho do telefonní sítě ani k WiFi (mimo úvodní instalace) a používejte ho jako ten HW token. Pořád to bude levnější a funkčně to bude to samé.

> nepřipojujte ho do telefonní sítě ani k WiFi (mimo úvodní instalace) a používejte ho jako ten HW token

To funguje offline?

> Výrobní náklady HW tokenu budou vyšší, než výrobní náklady na mobilní telefon.

Tak třeba Bitcoinové tokeny (Trezor, Ledger) jsou minimálně nastejno a to je v tom hromada vývoje v prostředí mnohem nepřátelštějším než banky; samotný HW (mikrokontrolér + displej) stojí úplný pakatel.

(ale jo, asi tuhle cestu zvážím)

To funguje offline?
Ty rozumné fungují i offline. Standardně fungují online (je to pohodlnější, uživatel nemusí nic přepisovat), ale dají se přepnout i do offline módu.

Tak třeba Bitcoinové tokeny (Trezor, Ledger) jsou minimálně nastejno a to je v tom hromada vývoje v prostředí mnohem nepřátelštějším než banky; samotný HW (mikrokontrolér + displej) stojí úplný pakatel.
Nejlevnější Terzor, který jsem našel, je Model One za 1750 Kč, a to nemá klávesnici. Nejlevnější nové mobily s Androidem má CZC za 1590 Kč, Alza má jeden kus za 1390 Kč. Právě proto, že levný mobil s Androidem stojí ještě o pár pětek míň, než úplný pakatel, nestojí za to vymýšlet nějaké jiné řešení.

Mně by to za to stálo.

Prosim vysvetlite mi co sa deje v kroku 4:

1. Prihlasim sa do IB
2. Spravim prevod danej ciastky na dany ucet
3. Prepisem kod z SMS danej ciastky na dany ucet
4. ???
5. Bol som podvedeny

Ze zásady se do bankovnictví nepřihlašuji z mobilu a nemám nainstalovanou aplikaci své banky. Proč by mě nemohli ověřovat přes SMS?

Mobil je jiný další prostředek, který mám (splňuje pravidlo 1) a je to nejspíš jediný prostředek z toho "co mám", co může banka použít... Jasně, že by bylo lepší použít kvalifikovaný osobní certifikát, ale tam je riziko velmi snadného kopírování, což u sim není tak žhavé (jo, jde to, ale neumí to každý). No a HW token jsem si chtěl pořídit už před delší dobou, ale dost mě odrazují ceny a nulový výběr.

Naposledy jsem o HW tokenu uvažoval v souvislosti se zabezpečením KeePassu, ale pak jsem dospěl k závěru, že mít jako povinný zabezpečovací prvek kus HW, který se snadno poškodí nebo ztratí a neexistuje způsob, jak ho "zachránit" nebo duplikovat při poškození/ztrátě, není dobrý nápad.

> Proč by mě nemohli ověřovat přes SMS?

Protože to není bezpečné. SMS se dají útokem na mobilního operátora přesměrovat k útočníkovi. A na rozdíl od AFAIK teoretických útoků na zabezpečení TPM v mobilu, takovéhle útoky už reálně proběhly.

Mobil je jiný další prostředek, který mám (splňuje pravidlo 1)
Jenže SMS neověřuje, zda máte mobil, ale zda jste schopen přečíst SMS zaslanou na dané číslo. A to bohužel kromě vás zvládne i spousta dalších lidí.

Jasně, že by bylo lepší použít kvalifikovaný osobní certifikát, ale tam je riziko velmi snadného kopírování
Ne, pokud je privátní klíč uložen na tokenu nebo čipové kartě, je prakticky nemožné zkopírovat ho.

což u sim není tak žhavé
Jenže pro přečtení SMS není potřeba kopírovat SIM. Za prvé mají k SMS přístup zaměstnanci operátora, za druhé není tak těžké přesměrovat SMS na jiné zařízení.

No a HW token jsem si chtěl pořídit už před delší dobou, ale dost mě odrazují ceny a nulový výběr.
Když se bavíme o potvrzování bankovních transakcí a HW tokenu, je to jiný token, než token pro „pouhé“ uložení privátního klíče.

Jenže pro přečtení SMS není potřeba kopírovat SIM. Za prvé mají k SMS přístup zaměstnanci operátora, za druhé není tak těžké přesměrovat SMS na jiné zařízení.
Víte o nějakém případu, kdy by zaměstnanci operátora zneužili ověřovací SMS? Jak se provádí to přesměrování SMS na jiné zařízení? Jde to udělat jen přes operátora nebo je nutné něco nainstalovat na mobil? Kdyby telefon nebyl připojen k internetu, tak by SMS byla přeposlána na nějaké anonymní číslo, jehož majitele nelze identifikovat?

k přesměrování sms, tady je popsaná jedna z technik https://attack.mitre.org/techniques/T1449/, probíhá to na úrovni samotného SS7 protokolu a v tomhle případě je nutné být na stejné buňce.

Naši operátoři mají dobře technicky vyřešený přístup k samotným sms, takže minimum lidí se tam dostane. Zprávy ze světa, ale tenhle typ útoků zmiňují často. Ale i u nás je poměrně častý útok "sim swap", kdy útočník donutí operátora vydat novou sms jemu do ruky.

Víte o nějakém případu, kdy by zaměstnanci operátora zneužili ověřovací SMS?"

Zneužití ve vlastním zájmu se asi tak často neděje, ale celkem běžné je to v součinnosti s policií, což v zemích, kde policie nejde jen po opravdových zločincích, není úplně příjemné. Např. Telegram varoval lidi žijící v takových zemích, aby si nastavili heslo jako další faktor, protože pozorují nabourávání do účtů skrze odchycené sms ve velkém rozsahu.

Jak se provádí to přesměrování SMS na jiné zařízení?

Těch způsobů je celkem dost. Operátoři to mají nejsnadnější, protože sms putuje přes jejich servery a sítě nezašifrovaná. Pak v některých zemích existují firmy, které nabízejí služby kolem sms a zajistí vám přesměrování po celkem směšné autorizaci z cizího čísla. Stojí to pár dolarů. Pak existují útoky, které dokáží zachytávat sms ve stylu MITM útoků (fake BTS apod), tam je ale omezení, že musí být v dosahu cílového telefonu. A pak jsou tu útoky přímo na zařízení. Když máte kontrolu nad telefonem, je přeposílání sms to nejmenší, rozhodně to je jednodušší než manipulovat s těmi mobilními klíči. Ty mají typicky zabudované mechanismy, jak různé napadení zařízení detekovat.

GSM je plný starých a děravých protokolů, které hackerům nabízejí velké pole pro kreativitu.

Taky nevím o tom, že by se to SMS nesmělo potvrzovat.
Mám účet u dvou bank - u jedné musím přepisovat SMS při potvrzování plateb, u druhé banky (KB) musím přepisovat SMS už jen při přihlašování do bankovnictví.
Já osobně to vyloženě nesnáším, musím hledat mobil pokaždé, když se chci podívat na zůstatek. Někdy když ho někde zapomenu nebo vytratím, tak se do banky nedostanu třeba několik dní.
Jo a několikrát už mi bankovnictví zablokovali, protože mi potvrzovací SMS chodily pozdě, a já přepisoval staré kódy.
(sranda je, že např. KB mojeplatba se dá tím SMS kódem shodit, mají nedokonale ošetřené vstupy)

U KB si můžeš nastavit jejich KB Klíč aplikaci a nemusíš opisovat sms.

No jo, ale jak mi to pomůže od toho, že musím mít zároveň u sebe PC i mobil? (navíc nemám smartphone). Do Android Emulátoru se mi KB klíč nepodařilo nahrát, stejně tak např. ani Revolut, kde mám peníze ke kterým se nemůžu už delší dobu dostat.

Nerozumím tomu. Do banky se se samotným telefonem zřejmě dá dostat, PC k tomu nepotřebuju. Naopak když se chci do bankovnictví dostat přes domácí PC, tak musím hledat ještě mobil.

Protože mobil má TPM čip, PC ne.

nepleteš si to? Spousta poučítačů má TPM a dnes to je již poměrně běžné, naopak neznám ani jeden telefon, který by měl TPM.

V rámci adroid světa google poskytuje SafetyNet API, které podporuje řadu HW uložišť bezpečnostních údajů, používá to třeba i Google Pay. Aplikace pak má k dispozici třeba i SafetyNet Attestation pro zjištění aktuální úrovně bezpečnosti a může si nějakou úroveň podmiňovat.

Nevím, jestli se tomu říká i u mobilů TPM, IMO ano. Prostě HW kryptografický modul. Má ho snad každý Android s čtečkou otisků prstů a iPhone s FaceID.

Je fakt, že PC má podobný čip, ale tam chybí to napojení na otisk prstu / face recognition, plus tam není zdaleka takové oddělení aplikací, takže tam se dostatečně bezpečný scénář bez dalšího HW udělat nedá.

Teď koukám, že podrobněji to rozebral kus pode mnou pan Jirsák.

chápu, jestli to myslíš takhle, tak ano, mobilní telefony mají často daleko lépe vyřešenou end to end bezpečnost pro bezpečné potvrzování čehokoliv než samotné PC.

Já se zarazil na tom termínu TPM, protože to je protokol, který je primárně pro PC a není vhodný pro multi aplikační použití v mobilech.

Je to paradoxní, ale dříve to bývalo přesně naopak, ale mobilní telefony prostě vyrostli a dneska z nich začínají být bezpečné pevnosti, což jsem rád.

To TPM má nějak samostatnou linku k displeji? (co jsem viděl útržky z různých článků tak mi přišlo že ne) Nebo jak se řeší aby OS nekreslil na obrazovku divadlo?

TPM není způsob, jak se chránit proti zlému OS. Je to způsob, jak se může proti útočníkům chránit OS.

Vyzkoušeno: VirtualBox + Android + SmartKlíč.
Funguje. Před potvrzením platby je dobré tu virtuálku nastartovat, někdy je to časově "na hraně".

Nerozumím tomu. Do banky se se samotným telefonem zřejmě dá dostat, PC k tomu nepotřebuju. Naopak když se chci do bankovnictví dostat přes domácí PC, tak musím hledat ještě mobil.
Protože hardware + OS mobilních telefonů umožňují to zabezpečit na dostatečné úrovni – mobil má bezpečný čip TPM, OS k němu nepustí každou aplikaci a aplikace si nemohou jen tak kreslit po obrazovce, jak chtějí.

Hardware PC + OS takové zabezpečení neumožňuje – není možné na PC udělat takovou aplikaci, která bude mít data uložená bezpečně tak, že se k nim žádná jiná aplikace nedostane, a navíc ještě zaručit, že žádná jiná aplikace nebude kreslit na obrazovku a vydávat se za tu bezpečnou aplikaci.

Ceho se bojite vic? Napadeni signalizace gsm/3g/SS7 nebo toho ze vam zakerna appka vyzere sms? To riziko napadeni ss7 je fakt uvnitr CR dost male.
Vtip je v tom, že k napadení českého čísla může dojít i mimo ČR.