Názory k článku Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák?

Kdysi jsem u ČS používal autentizační/au­torizační kalkulátor. Ten jako nejbezpečnější variantu pro jistotu zrušili :-)
Ale zavedení SMS i pro přihlášení by nebyl špatný nápad.

CS to ma, lze to nastavit primo v IB.

Měl jsem také e-banking, po radě někoho z rodiny zrušeno a pouze, jak se říká platit "pěkně na dřevo"

A je to Lepší a Členu rodiny, za radu Díky.

ten člen rodiny je zřejmě expertem na bezpečnost elektronického bankovnictví.

</ironie>

No nic proti gustu, nekdo proste rad k transakci za 30Kc zaplati 60Kc za operaci na pobocce. Podporujeme sveho bankere :)))))

Až na to, že transakce v hotovosti jsou legální jen do (ekvivalentu) 15.000 EUR - chápu, že dům/byt/auto si člověk nekupuje/neprodává každý den, ale bez účtu to asi nepůjde...

Možná mělo v článku zaznít, že Rajfka má ošetřeno i prvotní přihlášení k účtu pomocí SMS, takže nějaký pishing nemůže nikoho vůbec ohrozit. Ta SMS je navíc zabezpečená, a ne jak používají ostatní banky obyčejnou SMS, kterou si může každý správce databáze u operátora přečíst ;-)

Nepresna informace, RB (a byvala e-banka) samozrejme posila i bezne SMS, zalezi na tom, zda prijemce ma nebo nema instalovany simtoolkit (pokud si to dobre pamatuju), ovsem vzhledem k jednorazovosti takove sms je to celkem jedno.

Jenže útok byl na "žluté" účty (původní RB), nikoli ty co jsou v systému z eBanky.

Mám účet v ČSOB. Přístup k účtu je zabezpečen pouze jménem a heslem, ale tím případný útočník akorát zjistí, kolik beru a za co utrácím. To by se snad ani nijak zneužít nedalo, obzvláště úplně cizím člověkem. Jakmile bychtěl provést transakci, tak k tomu potřebuje jednorázový SMS kód. Tuto formu zabezpečení považuji za bezchybnou.

Někteří lidi si ale s bezpečností moc velké starosti nedělají, právě dnes mi od jedné kamarádky, co moc neumí na počítačích přišel odkaz na facebook a k tomu jméno a heslo, abych se mohl podívat na fotky. A to aniž bych o to heslo žádal.

Mno trebas stav uctu je hodne zajimavy udaj, a pohyby na nem taktez ...

Mno, jak u koho. U Pepu Vonáska co dělá ve fabrice a všechno co vydělá zas utratí moc ne. Když uděláte obecný útok, tak pravděpodobnost, že se dostanete k nějakému zajímavému účtu, je malá. A cílený útok na konkrétního člověka je drahý a nejistý. Takže hackovat bankovnictví jen aby jste se podíval na stav účtu se prostě nevyplatí.

Mám také účet u ČSOB a pro přístup k účtu máte možnost zaktivovat si také možnost autorizace pomocí zasílaných SMS kódů (stejné jako při zadávání transakcí) a dle vyjádření CSOB jsou i tyto SMS zdarma.
(samozřejmě máte i možnost autorizace čipovou kartou)

Přístup do IB je u ČSOB přes SMS automaticky již nějaký ten rok a ano, ty SMS nic nestojí.

Víte někdo o nějaké technice, jak by se dal provést phishingový útok na účet, na který se přihlašuji pomocí autentizačního kalkulátoru (který mám ještě z dob e-banky) ?

I kdyby byl někdo tak hloupý že by to řekl, tak by jsi stejně potřeboval znovu verifikovat platbu a to už by nepotvrdil ani tuplovaný polodebil když vidí že je to potvrzení platby částku....

Není to jednoduchý, ale dá se. Nicméně, pro vstup na účet lze emulovat formulář a se zadanými údaji ihned provést přihlášení na skutečný účet. Banka nepozná, že se přihlašuješ ty, nebo někde z tebe vylákal autorizační kód a s tím se přihlašuje. Má na to ale celkem málo času, ty kódy většinou plati pár minut.... To stačí.

Horší je to s platbou. Do kalkulátoru je třeba zadat i částku a číslo účtu příjemce, a pokud chce phishinkový útočník peníze poslat skrytě, pak je zřejmé, že uživatel tyto čísla není schopen naťukat. Může se to udělat pomocí sociálního inženýrství, třeba tak, že stránka uživatele přesvědčí, že jde o nějaký test kalkulátoru a krok zakrokem ho provede procesem, který vede k ověření platby.

U SMSek je to jednodušší v tom, že uživatel nemůsí úplně pozorně přečíst SMSku a jen slepě opsat kód. Že v SMSce je napsáno, že jde o platbu na účet mu bude srdečně jedno.

Prvním krokem k úspěchu je zjistit kdy a kam ten člověk posílá peníze. To jsou ty "jméno a heslo jsou jim k ničemu". Jakmile vím, kdy ten člověk asi tak může něco posílat a kam, mohu se na něj připravit. Podstrčím mu falešnou stránku, budu sledovat co dělá, to samé dělat na pravé stránce a předávat mu informace. Když dojde na převod peněz, tak až on zadá požadavek na převod X peněz na účet U u banky B, tak já zadám na pravé stránce požadavek na převod X peněz na účet FF u banky B. Řada lidí ověří částku a občas si všimne kódu banky. Konkrétní číslo účtu si ověřuje málokdo. Právě proto potřebuji vědět kolik má peněz a kdy a jaké transakce dělá - nejlépe když si každý měsíc pošle značnou část výplaty na jiný účet. A právě proto bezpečnostní odborníci považují "s username a heslem si maximálě prohlídne kolik mam na účtu a kdy a kolik jsem kam poslal" za nebezpečné podceňování. Je to ten první průzkum, zda se útočníkovi vyplatí investovat do podvodu s autorizační SMS.

Ano tak nějak. A snad i jednodušeji bez podstrčení stránek. IB umožňují uživatelům ukládat si šablony nejčastěji používaných plateb. Pro útok tedy stačí vymámit jméno a heslo, přihlásit se do IB a pozměnit tyto šablony. Pak už si jen počkat, až uživatelé sami začnou posílat peníze.

Správně popsaný man-in-the-middle proti SMS autorizacím.

A některé banky (například ta zmiňovaná ČSOB) to ještě dále zjednoduší tím, že kód banky v SMS není (jen číslo účtu, takže pokud mám stejné číslo účtu u jiné banky, tak si oběť ani nevšimne, že převádí peníze mně) anebo že pro hromadný převod je v SMS napsaná jen celková částka(!), takže uživatel netuší, na jaké účty to vlastně převod autorizuje.

Jsem rád že jsem si dávno založil účet na eBance nejlepší internetové bankovnictví v té době a dnes to ještě není překonáno z systémů co jsem viděl.
Pamatujete ještě někdo projekt eCity když eBanka začínala a nakupování na internetu bylo ještě takové scifi?

Také jsem původní klient eBanky, ale ta aplikace by si zasloužila pár zlepšení (třeba nějaký použitelný adresář).

Já tedy nebyl nikdy klientem eBanky, ale jen staré, dobré a u nás začínající Raiffeisen Bank, a rozdíl oproti dnešku se mi zdá/l také obrovský. Vidím jen samé změny k horšímu.

Co bysme také chtěli, kdysi to byla banka "s lepšími službami každý den", dnes je to banka "inspirovaná klienty". Podle mne se rozhodně neinspirovali, a jak se zdá tak doba lepších služeb vzala dávno za své...

jako byvaly zakaznik stare a dobre RB muzu slova jen potvrdit ... soucasna RB je na urovni CS.

simon

Je to tak od té doby co to vzala to spárů RB tak to jde ke dnu možná se poohlídnu po nějaké jiné bance. Jasně eBanka si nikdy nehrála na nejlevnější banku na trhu, ale měla svoje výhody a cítil jsem rozdíl od jiných bank dnes je to bída.

A jaké že to vlastně byly hospodářské výsledky té slavné eBanky?

To me jako klienta vubec nezajima. Sluzby meli nejlepsi. Nemluve o tom, ze ja jsem byl klientem Expandia banky :-)

Nevite jestli nejaka banka podporuje prihlasovani https certifikatem? Myslim tim opravdu privatni/verejny klic v browseru (nebo pres PKCS na externi karte) a ne nejaky javovy bazmek...

Pred casem jsem takovou hledal, ale nenasel :-/

Nic ve zlem, ale co je Vam do meho pocitace? Ja svuj pocitac nemam plny internet exploreru, viru ani malware. Kdyz nekdo takovy pocitac ma, tak je to jeho problem a nemusi si tuhle metodu prihlasovani aktivovat.

Navic, "chranil" bych tak, ze bych ho mel na externim PKCS#11 tokenu s PINem. (Coz sice opravdu poradne neni 100% bezpecne, ale je to srovnatelne s autorizaci pres SMSky.)

Byla by to zajímavá možnost. Vidím v tom dva problémy:

* implementace v prohlížečích (částečně daná i samotným protokolem). Moc si nedovedu představit, jak by k tomu banka poskytovala podporu ("chtěl jsem se přihlásit privátním klíčem a objevila se mi bílá stránka")

* není možné zvlášť autorizovat platební příkaz (tedy pokud by to nebyla varianta přihlášení k účtu privátním klíčem, autorizace platby bankovní SMS)

Většina bank snad nabízí přihlašování přes smart card. Stojí to dost peněz navíc. A není to odolné proti malwaru. To ty autentizační kalkulátory jsou v tomto směru mnohem lepší, tedy pokud někdo nezmrví implementaci ve jménu zjednodušení uživatelské obsluhy.

Nějaké peníze navíc to stojí, ale používají certifikáty od I.CA (nevím, zda to dělají všechny banky) a pak to lze používat jako elektronický podpis. Takže pokud ten člověk elektronický podpis používá, tak nepatrně ušetří. :-)

Proto mají rodiče na takové to domácí brouzdání Ubuntu. A bez root hesla.

Skype jde, Firefox jde. Více netřeba. Administrovat to lze krásně vzdáleně, včetně upgradu. Vzdálená plocha je v základu.

Naučili se s tím hned. S komentářem "Ty nové Windows vypadají trošku jinak, co?"

A nestačilo chudákům rodičům doporučit, aby bankovní účty spravovali klasickým způsobem a Internet Banking zapoměli?

Žádný slušný antivirák by to VeseleVanoce.exe neměl dovolit spustit. A žádný slušný antivirák by neměl dovolit kliknout na phishingový odkaz.

Vycházím zde z pravděpodobnosti a ze síly velkých čísel. Jen na vaše počítačově negramotné rodiče nikdo cílený malware nebo phishing nedělá. A pokud ho dělá na sto tisíc potenciálních obětí, tak už to téměř jistě antivirové firmy zachytily a zpracovaly.

Koukněte se nejdřív na ceník certifikátů u bank (resp. u certifikačních autorit), a to, že je furt zdražujou, a platěj stejně jenom rok, a pak i zjistíte, proč na to spousta lidí dlabe. Na svojí délku platnosti zcela předražená věc.

otřesné slovo - proč ho používáte???