Vlákno názorů k článku Útoky typu SIM swap nepolevují, převzetí čísla je cestou k identitě od Smazaný profil - SMS je problém, ale bohužel se jej nejde...
-
Smazaný profil
SMS je problém, ale bohužel se jej nejde uplně zbavit. I banky to pořád komponují do oveřovaní či aktivačních procesů a nemáte možnost to zrušit.
Např. banka X umožňuje oveření/potvrzní plateb přes mobilní aplikaci.
Ale můžete si na IB přepnout na SMS a potvrzovat SMSkou. Takže celá bezpečnost v trapu. A nelze si toto chování ani nastavit.Nebo banka Y. Máte normálně IB a aplikaci na mobilu. Potud ok.
Ale pro aktivaci mobilního bankovnictví stačí přihlašovací údaje k IB a SMSka. Takže opět degradace zabezbečení v procesu aktivace.A myslím, že u většiny bank se najdou podobné problémy.
-
No já když jsem před lety řešil zprovoznění IB v KB, tak jsem musel fyzicky dojít na pobočku a předložit dva doklady totožnosti, po nichž mi nahráli certifikát na přinesenou flashku (sic!). Pak se do bankovnictví přihlašovalo kombinací certifikátu a hesla, plus samozřejmě ověřování transakcí přes SMS kódy. A pak přišla EU, nařídila 2FA u účtů a tak milá KB své certifikáty zrušila (prostě už je nešlo prodloužit) a přešla tuším na BUĎ ověřování přihlášení přes SMS, NEBO appku ve smartphonu. Třeba mi tu někdo znalejší vysvětlí, v čem je to tak úúúúžasně lepší.
-
Ondřej CaletkaZlatý podporovatelJe to lepší, protože ty soubory s certifikáty se válely různě po discích a nebyla nad nimi kontrola. Navíc když se jich někdo zmocnil (pamatuju lidi, co je sdíleli přes DC++, ano až tak jsem starý :) ), mohl heslo crackovat offline, aniž by zanechal digitální stopu. Prakticky tedy ten certifikát na flashce byl slabší než kombinace jména a hesla (které se ověřuje online).
Proti tomu je ověřovací aplikace v telefonu mnohem silnější. Navíc u KB to funguje tak, že ztratíte-li k ověřovací aplikaci přístup, musíte pro nový aktivační kód s kartou do bankomatu. To je výrazně bezpečnější (a nepohodlnější) než jiné banky, kde se ověřovací aplikace může kdykoli reaktivovat ověřením pomocí SMS.
-
No pro mě to bylo optimální řešení. Měl jsem perfektní kontrolu nad tím, kde je certifikát. Ale to je teď už fuk, samozřejmě.
Jinak na DC++ jsme se také kdysi dááávno bavili tím, že člověk dal vyhledat - tuším - tcmd.ini nebo tak něco. Takovejch loginů na všechny možný FTP, co se tím posbíralo, to by člověk nevěřil :-). Léta páně řekněme kolem 2003.
-
Smazaný profil
Souhlas. To KB s těma certifikátama na disku byla katastrofa.
U banky Y to funguje podobně. Aktivací ověřovací aplikace již SMS nechodí
a nelze na ně přepnout pro přihlášení apod. Lze mít í více aktivovaných aplikací, takže pokud jedna umře, tak máte zálohu. V nejhorším lze získat kód v bankomatu či na pobočce.
Takže máte jméno+heslo do IB a ověřovací aplikaci.Ale pak narazíte na problém s aktivací mobilního bankovnictví jen přes přihlašovací údaje a SMS. MB nejde zakázat a ani to není nijak vázáno na aktivaci v IB apod.
To zase v bance X musíte MB aktivovat a povolit přes IB, jinak smůla. Ale zase problém se SMS co jsem psal výše.
-
To je řekl bych věc osobní odpovědnosti - bankovní aplikace na léta neaktualizovaném Androidu na telefonu od pochybnáho čínského výrobce taky nebude to pravé ořechové.
Mě teď štve, že Sberbanka opouští svoje RSA tokeny pro přístup do ebankovnictví a přechází na aplikaci nebo sms. A samozřejmě se zaklíná EU a PSD2, přitom hw token je jako druhý faktor v pohodě. -
L.Stříbrný podporovatel
Jako že byste se RSA tokenem autentikoval pro login a transakce podepisoval nějakou jinou metodou? :-O
-
L.Stříbrný podporovatel
Špatné je to, že ostatní lidi tou kartou na internetu platit chtějí. Stejně tak, jako chtějí odesílat odchozí platby. A designovat systém pro minoritu je obchodní nesmysl.
Mobilní aplikace vylepší bezpečnost tím, že je v ní vidět, jako transakci potvrzujete. HW token toho druhu, který popisujete, sice ověří, že jste opravdu chtěl "něco" udělat, ale už se nedá ověřit, jestli jste se chtěl přihlásit, nebo odeslat celý zůstatek svého účtu do Abu Dhabi.
-
J ouda (neregistrovaný)
A teď za 2 bludišťáky.
Mobilní aplikace na telefonu který má útočník plně pod kontrolou (root exploit, dejme tomu s vyjímkou SecureEnclave/androidí obdoby, aby to neměl tak snadné) zobrazí:
Transakci kterou potvrzuji, nebo transakci kterou útočník chce, abych si myslel že potvrzuji?
Až ja to, že u u relativně děravého SIM swapu musí vykonat fyzickou akci, takže to neudělá plošně, u těch mobilů si stačí počkat na vhodnou vulnerabilitu a spustit kampaň třeba přes reklamy. -
L.Stříbrný podporovatel
Dorovnávám a přebíjím otázkou za tři bludišťáky: Kolik takových útoků jaké popisujete už bylo reálně úspěšně provedeno?
-
Nezapomínejte, že tady na rootu jsme povětšinou technicky založení lidé.
Viděl jsem před časem dokument o tom, jak se v USA kradou peníze a "hackeři" tam na ferovku otevírali kopii stránky IB, kterou předtím upravili přes dev toolsy přímo v Chrome... V URL ještě bylo vidět přímo filé://c:/tmp...blabla.html. A ti lidi tam stejně napsali svoje údaje, že...
Takže jako, řešit tu, že někomu připadne nebezpečné, je úplně mimo, pokud ve výsledku masa stejně nemá tušení která bije:) -
Zrušení certifikátů v KB nebylo kvůli EU, ale kvůli vlastními rozhodnutí, bylo čím dál komplikovanější je používat bez dodatečného pluginu v prohlížeči, nefungovalo to dobře na telefonech, lidé si více a více stěžovali, bezpečnost zpracování v prohlížeči také pokulhávala s novou verzí bankovnictví se rozhodli to zrušit.
Požadavek na ověřování karetních online transakcí přes 2FA je také možné dělat formou osobního certifikátu nahraného na počítači.
U KB je teď nově jakékoliv změny přihlašování musí dělat na pobočce a je možné odstranit podporu přihlašování přes jméno a hesla a nechat pouze appku. To jiné banky neumí. KB ještě podporuje využívání čipové karty a čtečky, používal jsem to, když jsem pro ně pracoval, bylo to pohodlné, stejnou kartu jsem totiž používal jako vstupní do všech dveří a k přihlašování do počítače, takže to pro mě nebyla věc navíc.
-
L.Stříbrný podporovatel
Bohužel, tohle je častý trik - když je potřeba udělat něco nepopulárního, tak se to svede na EU. Třeba odhadem tak 95% věcí, za které údajně může GDPR s ním ve skutečnosti mají jen málo společného.
Když KB ty certifikáty provozovala, tak jsem na ně stále slyšel nějaké stížnosti, jak to nefunguje a je to nešikovné. Navíc to, myslím, vyžadovalo mít nainstalovanou konkrétní verzi Javy...
-
dříve to bylo implementované myslím jako java applet (nebo flash, teď už nevím) a mohl si na soubory na disku šahat dle libosti. Dnes se přešlo kompletně na Browser api pro práci se soubory a tady nastává právě ten krásný problém jak načíst certifikát a bezpečně před jinými procesy mu poskytnout heslo, když do stránky vidí všechny možné pluginy. To nelze jinak než využitím pluginu, které se jsou v prohlížečích sandboxované a nemohou si navzájem koukat přes rameno. Bez toho to zase není 2FA.
A ano, možnost louskat heslo k certifikátu offline byl velký kámen úrazu, šlo to dříve řešit uložením certifikátu na specializovaný prostředek, ale přechodem na browser api si tuhle možnost odřízli a zůstala jen možnost uložení na disk.
O konci certifikátu se rozhodlo asi před 4 lety, spojení s 2FA, EU a bankovní identitou je jen náhodné či funguje jako zástěrka.
-
Byly to jeste vetsi splasky. ActiveX a paralelne i java a v urcitou chvili to chtelo javu jen od microsoftu.
Na tom je nejhorsi ze v pozadi KB testovala multiplatformni webovou apku vcetne dodatecnych aplikaci na symbian a wap. Pak to cele odpiskali. Myslim ze to nastalo nekdy kolem akvizice ... coze ? s...ze. Tedy v dobe kdy jsem musel vykazovat kazdy prd na zachode.
Nikdy uz ceska firma... nikdy.
-
KB je v bezpečnosti nejspíš nejlepší, ale stále nechápu, proč nedokáže přes KB klíč ověřovat všechny odchozí platby. Nákup kartou na Google play projde, aniž by došlo k ověření přes KB klíč. Přitom technicky je to řešitelné, protože logicky ta platba vždy odchází z účtu v KB a tak by mělo jít vynutit ověření každé odchozí platby. Toto bezpečnostní riziko je v roce 2021 katastrofa.
-
No, ona směrnice PSD2 je ohledně webových plateb od základu pochybená v tom, že ignoruje princip, že posilovat bezpečnost je potřeba na tom nejslabším místě. Takže když máme v podstatě vůbec nezabezpečené platby v mimoevropských e-shopech a relativně slušně zabezpečené platby ve většině evropských, kde je 3DSecure v podstatě normou, tak chci-li posílit bezpečnost plateb, měl bych se v první řadě zaměřit na ty první.
Ale ne, ono se to udělá přesně naopak. Takže pak na jedné straně uděláme ty celkem bezpečné e-shopy ještě bezpečnější, ale ty americké, kde stála bezpečnost za starou bačkoru, necháme fungovat dál jak jsou. Včetně extrémů jako Amazon, kde se nejen nehraje na nějaký 3DSecure, ale některé zboží (třeba e-knihy) ani nelze nakupovat jinak než přes jejich "one click shopping", kde se vás ani nezeptají, jestli to opravdu chcete koupit, a nakonec ještě zjistíte, že ty údaje z karty ani nelze z profilu odstranit, dokud si tam místo ní neuložíte jinou.
-
Podstata mého příspěvku byla v tom, že nemá smysl dávat silnější mříže do malého okénka pět metrů nad zemí, když jsou dole dveře celou noc dokořán. Jestli a jak se dají ty dveře zabezpečit lépe, je podružné.
Ale přesto jeden námět k zamyšlení: proč je možné vynutit dodržování požadavků GDPR i subjekty sídlícími mimo EU, pokud chtějí poskytovat služby občanům EU, ale není to možné totéž u PSD2?
-
L.Stříbrný podporovatel
No, on ten dům má těch děr poněkud víc. Třeba offline bankomaty.
Ano, GDPR je hezký příklad. Spousta firem se na to vykašlala a služby EU zákazníkům prostě neposkytuje. A to je to poměrně malá formalita, ne poměrně velký zásah do systému plateb a uživatelského komfortu jak to vyžaduje PSD2.
Stejně tak EU zavedla, že burzovní fondy musí dávat informace v určitém rozsahu, který jde ale nad rámec US regulace. Výsledek není, že by se US fondy přizpůsobily, jak si evidentně představujete Výsledek je, že si spoustu ETF (mimo jiné slavné SPY), jako si jako občan EU u brokerů co dodržují zákony prostě nekoupíte.
A nějak tam ve vaší rovnici chybí, že pokud někdo provede transakci bez ověření dalším faktorem, tak v případě reklamace musí peníze ihned vrátit a nese důkazní břemeno.
-
Offline bankomaty se už nikomu nevyplatí. Nevím jak jste na ně prisel. A to hovořím i o rozvojových zemích kde uprostřed pralesa pokud tam není pevná konektivita tak je VSAT spoj na ověřování transakcí nebo baracek se samopalniky vevnitř a venku které vás po kontrole pustí si vybrat.
Riziko podvodu je příliš vysoké na to aby dnes někdo provozoval offline bankomaty.
To byl takový cesky kolorit devadesatek kdy nebylo možné roky zavést konektivitu k bankomatum díky katastrofální nedostupnosti linek i třeba po Praze. Až GPRS vyřešilo tento zásadní nedostatek.
-
L.Stříbrný podporovatel
No vidíte a já zrovna tak rok, dva zpátky četl o případu, kdy někdo zneužil klientovi (tuším) KB ukradenou kartu v offline bankomatu kdesi v US a kolik s tím bylo mrzení.
Že o něčem nevíte neznamená, že to neexistuje :-)
-
To bych rad vedel podrobnosti o pripadu. Protoze offline rezim ma typicky dost omezeni. Specialne jeste pro zahranicni karty a debetky vs kreditka.
V US je offline ATM vzacna vec. To spis clovek narazi na fake ATM nebo skimming.
Celkem caste je take zneuziti pres POS nebo pres zehlicku.
12. 4. 2021, 16:20 editováno autorem komentáře
-
Ne, neni to resitelne :-(
I kdyz je nove (prave kvuli EU PSD2-SCA) nastaven floor limit na 0,- a tudiz jdou vsechny transakce online v vydavateli karty (u Apple/Google pay jde virtualni cislo k nim a od nich az skutecne k vydavateli), cely proces je nastaven pro platby fyzickou kartou, tedy jenom overeni PIN a zustatku nekde v DB.
A podle toho jsou nastaveny i timeouty (tedy nekde kolem 5sec) - za tu dobu vam opravdu nestihne vase banka pres PUSH zpravu notifikovat aplikaci na mobilu, neco zobrazit a vy potvrdit (otisk prstu, pin, klikyhak, ...).
Navic vydavatel karty NEMA plnou informaci o prijemci platby (ucet a podobne) - ma vicemene pouze cislo terminalu a mozna adresu sidla obchodnika a nekdy ani to ne, treba pouze 'LIDL DEKUJE ZA NAKUP' ....
