Názory k článku Útoky typu SIM swap nepolevují, převzetí čísla je cestou k identitě

AFAIK se jedná o americký t- mobile. Sim swap úspěšnost je v českých luzich a hájích jednotky případů jestli vůbec.

Může za to poměrně silně nastavené ověřování uživatele.

9. 4. 2021, 00:20 editováno autorem komentáře

Což je každopádně super. Představte si například, že by vám někdo swapnul SIMku hodinu předtím, než vám přijde registrace/PIN2 na COVID očkování.

No mně se to asi stalo :-))) . Do mailu mi přišel certifikát o očkování -heslo v SMS, ale ta mi nedošla :-O

Myslím že by se našlo i pravděpodobnější vysvětlení než SIM swap.

U nás jsme opět dál a swapujeme to ještě výš :)

kdo by se chtel ockovat na nemoc, se msretnosti 0.16% a kdyz ma clovek dost D3 v krvi, tak temer 0

To je zajímavé, že v třeba v ČR už umřelo víc než 0.16% populace a to ještě nejsme na konci.

Kdo? Tak třeba já. On ten průběh toho COVIDu moc příjemný fakt být nemusí, i když neumřete.

Stejně byste mohl argumentovat, proč se nechat očkovat proti klíšťové encefalitidě, na ní v ČR přeci také nezemře moc lidí. Proč očkovat ženy proti zarděnkám? Na ty přece také většinou neumřou. Možná pak můžou mít postižené děti, ale ty ženy samotné většinou neumřou...

Proč nechat děti očkovat proti třeba černému kašli, když na něj také v dnešní době umírá minimum dětí? No a neumírá těch dětí dnes u nás tak málo právě proto, že jich je většina oočkovaná?

Ale fajn, proti COVIDu se nenechávejte očkovat, povinné to není a nejspíš ani nebude, ale aspoň zbudou rychleji vakcíny na ty, co se očkovat chtějí... :-)

Může za to poměrně silně nastavené ověřování uživatele.

Spíš bych to tipoval na nezájem útočníků o český trh.

Vlastní zkušenost: otevřu (anonymní) chat u operátora Kaktus s dotazem: "Vaše aplikace po mě chce PUK2, kde ho mám vzít?"
Odpověď: "Jaké máš telefonní číslo"
Já: <posílám telefonní číslo>
Odpověď: "Tvůj PUK2 je <PUK2>"

Znalost telefonního čísla a PUK2 pak umožňuje mimo jiné přenést číslo k jinému operátorovi.

Tak to jsou teda frajeři :-O.

Vam neprijdou sms o zaznamenanych akcich, vypovedi a idckach ? AFAIK vzdycky mi prislo IDcko nutne pro opusteni operatora jako SMS na mobil ktery opoustel.

Jinak na jednani kaktusu bych podal alespon formalni stiznost na dratoveho majordoma.

ty případy se dějí i v českém prostředí, předloni jsme tenhle útok demonstrovali u TMO. U Vodafone se na infolince ptají na dvě čísla z hesla a umí ti pomoc, když se zrovna netrefíš, protože spousta lidí má problém z hlavy říct 3. a 5. číslo z hesla, které je mimochodem pouze číselné. Máš-li hodně času, může heslo zkoušet třeba rok a dostat se pak brute force do administrace účtu, po přihlášení již heslo nevyžadují a je možné si tam nechat zaslat novou simku na jakoukoliv adresu.

Docela efektivní obrana je firemní simkarta, to se u nás rozšířilo tak nějak kvůli výhodnosti tarifů poměrně hodně, tam nelze dělat změny jinak než přes autorizovaný kontakt. Škoda, že podobné zabezpečení nelze zajistit u soukromých účtů.

Spíše se takový útok u nás moc neděje než, že by nebyl možný, kvůli odpovědnosti operátorů.

Dalsi veci je overovani pri zmene cisla/smlouvy z osoby na osobu. Nezapomente. Ne vsude maji obcanky nebo dva doklady. Nebo pokud maji obcanky jsou dobrovolne.

Mne se takhle nepodarilo prejit s cislem ani s notarskym overenim :-P

Jsou zeme kde lidi maji max ten ridicak a jako dalsi doklad treba pouzivaji smlouvu i najmu.

Firemní tarif je v tomto skvělý, akorát přemýšlím jak se pojistit když ti při odchodu číslo nenechají a nestačíš si ho všude změnit. Vytisknout kódy nebo co jiného ?

10. 4. 2021, 11:11 editováno autorem komentáře

A zabezpečení mobilní aplikace k bankovnímu účtu pouze 4 ciferným PINem, to je potom výraz bezpečnosti. Zadám 4 čísla a mohu s bankovním účtem provést naprosto cokoliv. Ale hlavní je, že komunikace mezi mobilní aplikací a bankou je naprosto bezpečná.
Místo znalosti čísla pro přihlášení do internetového bankovnictví, hesla a opsání PIN z SMS se bezpečnost redukuje pouze na znalost 4 čísel.

Pletete dohromady autorizaci a autentizaci. V tomto případě je zařízení už autentizované a bankovní systém ho zná jako unikátní přístroj. Pro jeho obsluhu je třeba ho fyzicky držet v ruce. Navíc se ale obsluha lokálně autorizuje, aby potvrdila svou identitu.

Je to vlastně stejné, jako v případě platební karty. Ta se autentizuje pomocí vestavěného privátního klíče a opravňuje uživatele pracovat s účtem. Navíc ale se musí uživatel té kartě představit a autorizovat se.

Takže mi banka nařídila se autentizovat pomocí 4 čísel. Mohu jen doufat, že má aplikace nějaké mechanizmy proti autentizaci hrubou silou. Nebo jak někdo zmínil níže musím nějakým způsobem zabezpečit přístup k telefonu pomocí něčeho víc než 4 čísel. Co vím, tak otisk prstu nemusí být jednoznačný (https://www.svetandroida.cz/ctecky-otisku-prstu-bezpecnost/) a odemknout xichtem, to asi neumí jen tak každý telefon a otázkou je, zda jde obličej podvrhnout snadno, obtížně či vůbec.

Vlastně je to podobné jako PIN u platební karty a např. výběr hotovosti z bankomatu - byť tam je omezený počet pokusů na zadání.

Z mého pohledu bych se chtěl autentizovat nějakým silnějším heslem a to jen pokud chci pracovat se svým bankovním účtem.

Jenže vazba na již autentizovaný fyzický mobil radikálně omezuje okruh útočníků. Stejně jako třeba karta při výběru z bankomatu, kde taky obvykle stačí krátký PIN. Takže to není překvapivé, byť příliš uspokojivé také ne.

Něco podobného už dlouho řeším u FIO. IB na PC vyžaduje SMS, nebo ověření z aplikace v mobilu.

Jenže když mám aplikaci na Androidu, *žádné další zařízení k ověření už není*. Takže mé peníze chrání otisk prstu, nebo 4 místný PIN.
Ptal jsem se hodně krát, zda bych mohl platbu zadanou na mobilu autorizovat na PC - ne nejde to.

Takže mé peníze chrání mobil vyrobený v Číně, který nosím všude po kapsách. Xiaomi posílá aktualizace na android, ale ne zrovna často. O občasných uniklých hrozbách z Google Play radši nemluvit. A že si dost lidí instaluje kradené APK z uloz.to radši nezmiňovat.

Jenže mobilní aplikace se kvůli QR platbám vzdát nechci.

Dvoufázové ověření se tím úplně ruší.

Dvoufázové ověření? No, je vidět, že v bezpečnosti jste opravdu expert.

Ja APK z uloz.to nestahuji.

Podle vaseho argumentu - proc kdyz mam IB v pocitaci, musim mit telefon na potvrzeni (sms/app)? To je prece to same.

Jenze ja neresim QR platby pro mensi obnosy a nechci to mit na jinem uctu, byly by s tim pak jen problemy.

Ja bych moc rad mohl pouzivat QR platby, ale autorizoval prikaz na jinem zarizeni. Jestli by to byl PC, nebo jiny mobil je asi jedno.

Tak ono by dneska nebyl problém dodělat to načítání QR kódů do Internetového bankovnictví na PC, pokud by byla alespoň trochu rozumná webkamera (stejně ji většina lidí teď pořizovala), u některých bank už se tak fotí doklady při zakládání účtu.

Je to na pár řádků kódu a použití knihovny na dekódování QR kódu, jen to rozlišení je zatím na hraně, protože až na Chrome se to bere jako snímek z videa.

Ale proč by to banky dělaly, když tlačí všem mobilní bankovnictví.

A na notebooku s vestaběvou kamerou budeš muset použít zrcátko :-D

Ve skutečnosti AirBank umí, když jí nahraješ dokument s QR kódem ho přečíst a platbu na jeho základě vytvořit. To je mnohem praktičtější, ale používanost je prostě malá.

Not again... :-D

Před osmi lety tu o tom vyšel článek https://www.lupa.cz/clanky/myty-o-bezpecnosti-mobilniho-bankovnictvi-jsou-nutna-dlouha-hesla-a-sms/
Ty aplikace nejsou triviální. Narozdíl od SMS.

To chce lepší banku a telefon. Se čtečkou prstu nebo xichtu :-))))
Pardon, jen žertuju, bez urážky

No já když jsem před lety řešil zprovoznění IB v KB, tak jsem musel fyzicky dojít na pobočku a předložit dva doklady totožnosti, po nichž mi nahráli certifikát na přinesenou flashku (sic!). Pak se do bankovnictví přihlašovalo kombinací certifikátu a hesla, plus samozřejmě ověřování transakcí přes SMS kódy. A pak přišla EU, nařídila 2FA u účtů a tak milá KB své certifikáty zrušila (prostě už je nešlo prodloužit) a přešla tuším na BUĎ ověřování přihlášení přes SMS, NEBO appku ve smartphonu. Třeba mi tu někdo znalejší vysvětlí, v čem je to tak úúúúžasně lepší.

Je to lepší, protože ty soubory s certifikáty se válely různě po discích a nebyla nad nimi kontrola. Navíc když se jich někdo zmocnil (pamatuju lidi, co je sdíleli přes DC++, ano až tak jsem starý :) ), mohl heslo crackovat offline, aniž by zanechal digitální stopu. Prakticky tedy ten certifikát na flashce byl slabší než kombinace jména a hesla (které se ověřuje online).

Proti tomu je ověřovací aplikace v telefonu mnohem silnější. Navíc u KB to funguje tak, že ztratíte-li k ověřovací aplikaci přístup, musíte pro nový aktivační kód s kartou do bankomatu. To je výrazně bezpečnější (a nepohodlnější) než jiné banky, kde se ověřovací aplikace může kdykoli reaktivovat ověřením pomocí SMS.

No pro mě to bylo optimální řešení. Měl jsem perfektní kontrolu nad tím, kde je certifikát. Ale to je teď už fuk, samozřejmě.

Jinak na DC++ jsme se také kdysi dááávno bavili tím, že člověk dal vyhledat - tuším - tcmd.ini nebo tak něco. Takovejch loginů na všechny možný FTP, co se tím posbíralo, to by člověk nevěřil :-). Léta páně řekněme kolem 2003.

To je řekl bych věc osobní odpovědnosti - bankovní aplikace na léta neaktualizovaném Androidu na telefonu od pochybnáho čínského výrobce taky nebude to pravé ořechové.
Mě teď štve, že Sberbanka opouští svoje RSA tokeny pro přístup do ebankovnictví a přechází na aplikaci nebo sms. A samozřejmě se zaklíná EU a PSD2, přitom hw token je jako druhý faktor v pohodě.

A ten RSA token vám ukáže, jakou transakci podepisujete?

Zrušení certifikátů v KB nebylo kvůli EU, ale kvůli vlastními rozhodnutí, bylo čím dál komplikovanější je používat bez dodatečného pluginu v prohlížeči, nefungovalo to dobře na telefonech, lidé si více a více stěžovali, bezpečnost zpracování v prohlížeči také pokulhávala s novou verzí bankovnictví se rozhodli to zrušit.

Požadavek na ověřování karetních online transakcí přes 2FA je také možné dělat formou osobního certifikátu nahraného na počítači.

U KB je teď nově jakékoliv změny přihlašování musí dělat na pobočce a je možné odstranit podporu přihlašování přes jméno a hesla a nechat pouze appku. To jiné banky neumí. KB ještě podporuje využívání čipové karty a čtečky, používal jsem to, když jsem pro ně pracoval, bylo to pohodlné, stejnou kartu jsem totiž používal jako vstupní do všech dveří a k přihlašování do počítače, takže to pro mě nebyla věc navíc.

Tak to tehdy nevhodně komunikačně spojili tyhle dvě věci. Ale vem to čert. Já tedy žádný problém s funkcionalitou neměl (FF na Linuxu, bez jakéhokoli pluginu - to mělo být co?).

Bohužel, tohle je častý trik - když je potřeba udělat něco nepopulárního, tak se to svede na EU. Třeba odhadem tak 95% věcí, za které údajně může GDPR s ním ve skutečnosti mají jen málo společného.

Když KB ty certifikáty provozovala, tak jsem na ně stále slyšel nějaké stížnosti, jak to nefunguje a je to nešikovné. Navíc to, myslím, vyžadovalo mít nainstalovanou konkrétní verzi Javy...

dříve to bylo implementované myslím jako java applet (nebo flash, teď už nevím) a mohl si na soubory na disku šahat dle libosti. Dnes se přešlo kompletně na Browser api pro práci se soubory a tady nastává právě ten krásný problém jak načíst certifikát a bezpečně před jinými procesy mu poskytnout heslo, když do stránky vidí všechny možné pluginy. To nelze jinak než využitím pluginu, které se jsou v prohlížečích sandboxované a nemohou si navzájem koukat přes rameno. Bez toho to zase není 2FA.

A ano, možnost louskat heslo k certifikátu offline byl velký kámen úrazu, šlo to dříve řešit uložením certifikátu na specializovaný prostředek, ale přechodem na browser api si tuhle možnost odřízli a zůstala jen možnost uložení na disk.

O konci certifikátu se rozhodlo asi před 4 lety, spojení s 2FA, EU a bankovní identitou je jen náhodné či funguje jako zástěrka.

KB je v bezpečnosti nejspíš nejlepší, ale stále nechápu, proč nedokáže přes KB klíč ověřovat všechny odchozí platby. Nákup kartou na Google play projde, aniž by došlo k ověření přes KB klíč. Přitom technicky je to řešitelné, protože logicky ta platba vždy odchází z účtu v KB a tak by mělo jít vynutit ověření každé odchozí platby. Toto bezpečnostní riziko je v roce 2021 katastrofa.

No, ona směrnice PSD2 je ohledně webových plateb od základu pochybená v tom, že ignoruje princip, že posilovat bezpečnost je potřeba na tom nejslabším místě. Takže když máme v podstatě vůbec nezabezpečené platby v mimoevropských e-shopech a relativně slušně zabezpečené platby ve většině evropských, kde je 3DSecure v podstatě normou, tak chci-li posílit bezpečnost plateb, měl bych se v první řadě zaměřit na ty první.

Ale ne, ono se to udělá přesně naopak. Takže pak na jedné straně uděláme ty celkem bezpečné e-shopy ještě bezpečnější, ale ty americké, kde stála bezpečnost za starou bačkoru, necháme fungovat dál jak jsou. Včetně extrémů jako Amazon, kde se nejen nehraje na nějaký 3DSecure, ale některé zboží (třeba e-knihy) ani nelze nakupovat jinak než přes jejich "one click shopping", kde se vás ani nezeptají, jestli to opravdu chcete koupit, a nakonec ještě zjistíte, že ty údaje z karty ani nelze z profilu odstranit, dokud si tam místo ní neuložíte jinou.

Ne, neni to resitelne :-(

I kdyz je nove (prave kvuli EU PSD2-SCA) nastaven floor limit na 0,- a tudiz jdou vsechny transakce online v vydavateli karty (u Apple/Google pay jde virtualni cislo k nim a od nich az skutecne k vydavateli), cely proces je nastaven pro platby fyzickou kartou, tedy jenom overeni PIN a zustatku nekde v DB.

A podle toho jsou nastaveny i timeouty (tedy nekde kolem 5sec) - za tu dobu vam opravdu nestihne vase banka pres PUSH zpravu notifikovat aplikaci na mobilu, neco zobrazit a vy potvrdit (otisk prstu, pin, klikyhak, ...).

Navic vydavatel karty NEMA plnou informaci o prijemci platby (ucet a podobne) - ma vicemene pouze cislo terminalu a mozna adresu sidla obchodnika a nekdy ani to ne, treba pouze 'LIDL DEKUJE ZA NAKUP' ....

Nevíte někdo, proč se ICCID (ID SIM) nepáruje s IMEI (ID slotu v mobilu) a spoléhá se jen na číslo SIM?

To nechápu. Jako že by po přendání SIMky z jednoho mobilu do druhého přestala fungovat?

Prostě kdyby si někdo naklonoval SIM, byla by mu k ničemu, protože jen právoplatný majitel by si přes ni zavolal, poslal SMS - mohlo by to být nastavováno třeba v samoobsluze ap.

Samoobsluhu používá/má možnost používat jen malá část majitelů SIM. Ale denně se aktivují miliony nových telefonů zcela bez interakce s operátorem.

1. ICCID je neco jako vyrobni cislo SIMkarty/cipu. Neco jako VIN u auta.
2. IMSI je neco s cim se mobil prihlasuje do site. Tahle informace se da na simce zmenit. Tohle je neco jako poznavaci znacka.

Ktere z cisel mas na mysli?

Parovani neni (ackoli je to technicky mozne od dob GSM, teoreticky i posledni verze NMT pokud budeme uvazovat SIS) protoze si muzes takhle prehazovat kartu mezi x mobily pokud tedy IMEI neni v DB kradenych/zaka­zanych zarizeni.

Protoze od jiste doby je zakazano u nas blokovat mobily na operatora to uz muze byt fakt dlouho 10-12 let v Evrope?

Pak jsou opove kteri si obhajili sim lockovani zarizeni pro WTTX ale to je uz jine tema...

Toto vravim uz vyse 10 rokov odkedy sa zacala pouzivat 2FA cez SMS, ze je to nebezpecne. Vtedy som bol pokladany za konspiratora ale aj vtedy sa uz dal prevziat telefon (cez OS) a samotna SMS je iba slabo sifrovana a tym padom obist 2FA. Radsej pouzivam pristup ala secureID, kde je na casovej baze vypocitavane pristupove cislo a ziadna komunikacia nie je potrebna.

Zadny "eKlic blahe pameti" - porad jeste existuje a funguje :). Naposledy jsem ho pouzil vcera. Jen uz mam druhy fyzicky kus, tomu puvodnimu z roku 1998 pred tremi lety odesel displej.

Pokud tam neprobíhá žádná komunikace, tak neautorizujete obsah transakce, ale jen "chci provést nějakou transakci", což je slabší variata, než obvyklá.

Pokud tedy neopisujete do tokenu data transakce ručně.

To u nás mala nejaký čas Tatrabanka. Do offline čítačky sa zasunula normálna čipová platobná karta. Na čítačke sa zadalo cieľové číslo účtu a suma transakcie. Zašifrovalo sa to kľúčom z čipovej platobnej karty. Čítačka na displeji vypísala kód, ktorým sa transakcia v IB na počítači podpísala.
https://zaujimavosti.net/wp-content/uploads/citacka-tatrabanka.jpg
Bezpečné ale neskutočne otravné, zákazníci začali kvôli tomu aj meniť banku. Neskôr to zmenili na mobilnú aplikáciu.

On ale o QR kódu nic nepsal. Psal o klíči na základě času, tedy například klasický RSA token.

Četl jsem nějaký průzkum a to v ČR,
kde bylo popsáno, že 70% uživatelů Androida vůbec nezkoumá jaká práva APP po instalaci vyžaduje a prostě je odsouhlasí.
Takže klidně dá APP práva na čtení SMS - krásný přístup pro kody k potvrzení bankovní transakce.
Osobně si myslím že je to mnohem více uživatelů.

Preto treba potvrdzovacie SMS prijímať na samostatnom "blbom" telefóne.

Vždycky bude platit, že nejslabším článkem zabezpečení je uživatel. A bude to platit víc a víc, jak se bude zvyšovat sofistikovanost těch zabezpečovacích systémů.

Ono to je ještě horší. Na Xiaomi jsem narazil na to, že aplikace Počasí vyžaduje přístup k SMS a bez něj nefunguje - proč?!?
No a tak se uživatelé naučí, že práva musí odsouhlasit.

Proč by také utíkali, když ten signál, který se při pravidelné zkoušce používá, znamená "konec leteckého poplachu". :-)

Nemyslím že tohle:

.....Stejně jako je možné v jednu chvíli vybrat 100 kun v bankomatu v Chorvatsku, aby útočník se čtečkou na tom bankomatu už o minutu později vyzvedával dolary někde v ArgentiněStejně jako je možné v jednu chvíli vybrat 100 kun v bankomatu v Chorvatsku, aby útočník se čtečkou na tom bankomatu už o minutu později vyzvedával dolary někde v Argentině....

Nemá globální platnost. Tyhle raketové přesuny karetní společnosti často právě blokují.