Názory k článku
Další banky mají nedostupné internetové bankovnictví

Tady to vidíte v akci, já bych ty mobilní aplikace "BAZMEK Klíč" zakázala, dělají jenom problémy, nehledě o nebezpečí při ztrátě rozbití nebo telefonu se do bankingu nedostanete, protože už není cesty zpět. Normálně by jen stačilo přenést číslo do jakého koli jiného telefonu, v případě rozbití ihned dokonce.

Navíc mobilní aplikace jsou diskkriminačně dostupné jen pro některé OS a jinde nejdou nainstalovat. Defacto podméněné nákupem nějakého dotykového bazmeku. A možná i vázané na konkrétní uzavřené platformy \Svaté dvojice googlu a androidu.

Nechápu jak tohle mohlo někoho napadnou a ještě někdoho to používat..

Hmm, tak to se moneta střelila do vlastní nohy (původně jsem chtěl to napsat méně kulantně - ne do nohy, nýbrž ale do krku, a ne střelila)

Jistě, únos SMSky je jistě v teoretické rovině možný... Pokud útočník zná telefonní číslo na které chodí autentizační jednorázové kódy... A taky přece snad nikdo neprovozuje internetové bankovnictví na stejném zarízení, na které přijde číslo :D (pokud nemá Qrecorded)

Co třeba ty zpropadené kódy posílat na e-mail ??? To ještě nikoho nenapadlo? Když SMS chtěj zrušit

A není úplně nejbezpečnější zašít si peníze do slamníku? Když už chci mít služby jak před 100 lety, tak se vším všudy...

Raifka si to shodila sama, aby hrála oběť. Nechce se jim stahovat z Ruska, tak chtěj ukázat, že ani jim se útoky nevyhnou.

31. 8. 2023, 12:07 editováno autorem komentáře

únos simky nebo odposlech sms je reálně zneužívaný útok i v našem prostředí, nikoliv teoretický problém. Některé mobilní telefony dokonce ani neumí snadno zemezit možnost zprávy číst podvodnou aplikací.

Trvání na vlastních aplikacích a v některých v případech ještě nemožnost je použít offline je specifikum našich bank a jejich výmysl, technologie nabízí daleko více možností, univerzálnosti.

Největší facepalm je, že tyhle aplikace musíme používat i my, kteří ty problémy reálně řeší, včera jsem byl na desítky minut odříznutý od systému, přitom často jde o minuty.

A pak se pochlubit na socialnich sitich pripadne tam nechat i adresu.

Pri spolehlivosti ceske posty a beznemu RTT posty z Prahy do Prahy 5-7 dni pri nutnosti jet na 3km vzdalenou postu? Ja nevim... uz jsem byl jako klient trestan ruznymi zpusoby. Napriklad pamatuji na trestani klienta tim ze ucet byl zalozen na mistne prislusne pobocce banky. Nebo hledani klienta na mikrofisich(jeste ranne 90tky...). Myslim ze tech trestu ze si tam ulozim/pujcim penize uz bylo dost.

SMS nejsou tak úplně dobrý nápad - nejen kvůli (zdaleka nikoliv teoretické) možnosti únosu zpráv, ale například i kvůli poměrně vysoké nespolehlivosti: platnost kódu musí být časově omezena, aby se snížilo riziko při přeposílání informace, ale při intervalu pod pět minut značně narůstá množství zpráv, které se nepodaří doručit (a použít) včas.

Ony obecně ty Bank-smartklíče nejsou tak špatně vymyšlené, protože by měly být oddělené od toho webu, nezávislé. Tedy: vygenerujete požadavek na ověření (přihlášení do aplikace, platbu...), banka pošle do aplikace kód, vy ho potvrdíte a pošlete potvrzený zpět...
Jenže to má dvě chybky: ty aplikace obvykle nejsou adresovatelné, ale prostě se periodicky dotazují nějaké webové služby, zda pro ně něco nemá, a stejně tak té webové službě pošlou odpověď (potvrzení). Jenže když si banka (pro zjednodušení) tu službu pověsí na stejný web, jako aplikaci...
Hezkým příkladem byla včera (ve středu) třebas Komerční banka. Jejich bankovní aplikace je mimo prezentaci, ale pro přihlážení je člověk přesměrován na jednotný portál. Takže stránka s webem měla krátkou zprávičku o nedostupnosti, stránky bankovnictví se ale normálně načetly - a pokus o přihlášení se zasekl při přesměrování na login.kb.cz, kde pro jistotu nebyla omluva, jen se to příšetně pomalu snažilo načíst stránku.

Není lepší kód poslat doporučeně do vlastních rukou? Nic bezpečnějšího v současné době není. Tedy kromě osobní návštěvy na pobočce. Tu ale každý nemá v dosahu...

Verejne pagingove site v cesku uz neexistuji. Jedine co funguje jsou privatni uzavrene site. A dost mozna tomu cemu rikate pager je jen jednoucelove zarizeni s GSM modulem.

A není diskriminační to házet na GSM služby? Každý nemá mobil. Já například mám pager.

Jasne, a rusky svab se tim chlubi :P

Poněkud přeháníte s těmi pěti až sedmi dny.

Vzhledem k tomu, že u některých standardních zásilek bez příplatku už Česká pošta negarantuje ani doručení do dvou pracovních dnů, nepřijde mi nijak nereálné, aby roundtrip při troše smůly opravdu trval sedm (kalendářních) dnů.

Resite napadnutelnost SS7 v rovine CR nebo celosvetove? To jsou totiz trochu rozdilne veci.
Resite moznost podvodneho preneseni cisla? Opet je velmi velky rozdil napriklad mezi CR a US.
Resite treba SMS-RCS kde je mozne i end to end sifrovani?

Vzhledem k tomu, že řešíme situaci u českých bank, tak v české rovině. ;o)
Ona je pravda, že - čistě teoreticky - lze ty zprávy poměrně dost zabezpečit, ale praktické použití je jiné. BAvíme se tedy o obyčejných SMSkách, které tu fungují i na naprosto nesmartových telefonech - a které dosud spousta lidí pro přihlášení používá.

Ale je to škoda. Sám NEC26B ještě v šuplíku z nostalgie mám... :-)

Jo taky mne napadlo "aaa uz doslo i na kolaboranty".

No jistě. A svět ovládají ilumináti a CIA. Tohle je logika na úrovni dezoláta, jen z jiné strany.

Poněkud přeháníte s těmi pěti až sedmi dny.

No tak to si asi nerozumime ze zde jsou roviny dve. Ceska a zahranicni. Protoze v momente kdy dostanu SMSku od ceske banky do site zahranicniho operatora v roamingu, situace se meni na celosvetovy problem. Nebo pokud dostanu SMSku od ceske banky na zahranicni cislo. A tady uz bych SMS neveril.

Teoreticky: ano mrtvy sim toolkit (mnohde uz nepodporovany), ano desifrovani aplikaci (ale tam jsme zpet s problemem u nesmart telefonu).

A k čemu to je, že je něco teoreticky i prakticky možné. Rizika se řeší podle závažnosti dopadu a pravděpodobnosti, že nastane. Jaké je prosím modus operandi někoho, kdo chce okrást mne pomocí autentifikační SMS?