Vlákno názorů k článku
K internetovému bankovnictví jedině s live CD
od Clock - Doufejme jen, ze se nenajde nejaky sikula, ktery...
-
zdenal (neregistrovaný)
Bohuzel, prave nestaci.
Je to v tom clanku napsano. Trojan na vasem pocitaci zachyti autorizovani transakce, a zmeni nebo prida dalsi data (udela vlastne takovou malou proxy s modifikaci obsahu)
takze vy sice vidite, ze jste poslal 200 kc kamaradovi, ale ve skutecnosti trojan zajistil, ze jste poslal 200 000 nejakemu bilemu koni.
-
nesmysl to neni,
jde o to ze ten trojan na obrazovce ukaze spravne cislo ale bance posle jine. Kod se pak vygeneruje z toho podvrzeneho cisla. Pokud ho pak uzivatel prepise z SMS, tak to potvrdi a penize jsou v prdeli. Jedine co ho muze zachranit je, ze v te SMS zkontroluje cislo uctu a castku.
Ted jsem to zkousel a oba tyto udaje tam jsou.Toto je asi jedina obrana. Aby ji utocnik prolomil, musel by mit pod kontrolou i mobil a pozmenit tu SMS. SMS jsou po ceste sifrovane, takze by musel napadnout primo sim-toolkitovou aplikaci v mobilu. Toho se zatim bat nemusime.
-
trochu paranoik (neregistrovaný)
Nevyznám se v tom… takže pro jistotu… Heslo se generuje přímo v bance na základě odeslaných údajů (částka, odchozí účet …) Vám do mobilu přijde toto vygenerované heslo. Toto vše chápu…
Co ale nechápu je, že jste si tak jistý, že to co jste vyplňoval do aplikace je to co banka přijala, potažmo na základě čeho Vám vygenerovala to „jednorázové heslo“ (nemyslel jste spíš ověřovací kód?)… Prostě pokud v té SMS nemáte zároveň kompletní údaje o transakci(a za předpokladu, že lze mobilu i operátorovi věřit), pak dle mého úsudku nemůžete s jistotou tvrdit že víte co potvrzujete. -
Karel (neregistrovaný)
V případě RB tam kompletní údaje o transakci jsou a jedná se o tzv. Bankovní SMS, tudíž šifrovanou od začátku do konce. Útočník by tedy musel napadnout buď server banky nebo váš mobil. V případě, že získá kontrolu nad serverem banky pak už je jakákoliv další diskuse bezpředmětná, zřejmě by ani neztrácel čas nějakým podvrhováním SMS ale prostě by si libovolný účet sám vybral. Napadení mobilu dříve nebývalo možné a jediná šance byla vám ho ukrást. Jak je to v dnešní době „inteligentních“ telefonů nevím.
-
Karel (neregistrovaný)
Tohle by mně zajímalo jak funguje. Vždy jsem si myslel, že požadavek na transakci je odeslán na server banky. Ta pro něj sestaví autorizační SMS a tu mi pošle na mobil. Já si v té SMS zkontroluji údaje (účet a částku), opíšu autorizační kód a ten se pak pošle s požadavkem do banky. Nějak nevěřím tomu, že by banka dovolila zpracovat jinou transakci, než pro jakou vygenerovala autorizační SMS. Takže jediná šance trojana je změnit už ten první požadavek, ale to pak v SMS na první pohled uvidím že nesedí částka ani účet. Jak to tedy ten trojan udělá, aby v případě RB udělal něco jiného než já chci?
-
Doporucuji si precist jak funguje trojan URLZone:
http://www.rsa.com/…g_entry.aspx?…
V zasade banka vygeneruje autorizacni kod pro jinou transakci nez si uzivatel mysli, ze zadal.
