• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    HARALDBanky, bankovnictví, bankovní operace
    Vaše zkušenosti s českými bankami. V čem jste spokojeni, v čem ne. Zajímá vás, jak funguje banka uvnitř?

    [ mBank ] - klub spravovaný ADAMMem, kde lze získat odpovědi na dění uvnitř této banky
    rozbalit záhlaví
    STARDAY
    STARDAY --- ---
    VLASTIS: A v cem vnimas rozdil proti zadani kodu ze sms nebo kalkulacky? Ze ma uzivatel vetsi prilezitost odhalit, ze je strankapodvrzena?
    VLASTIS
    VLASTIS --- ---
    STARDAY: to je fakt, ale stejne mi to neprijde ok
    STARDAY
    STARDAY --- ---
    VLASTIS: A pak budes delat co? I kdyby si nevsiml podvrzene stranky, tak porad jeste musis autorizovat transakci
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    VLASTIS: Ne. Tvrdim, ze SMS jako 2fa nejsou bezpecne a lze to dolozit radou prikladu.
    VLASTIS
    VLASTIS --- ---
    TYCHOVRAHE: a tvrdis mi, ze prijdu do o2 a dostanu cislo andyho babise?
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    ADM: ale jo, v pripade ztraty sim nebo potreby nove z jineho duvodu ti operator cislo bez problemu prenese na novou
    ADM
    ADM --- ---
    TYCHOVRAHE: ale ten "SIM port"u nas snad operatori neprovadeji, nebo ano?
    zni to dost bizardne, ze by ti operator premapoval cislo na jinou SIM (ktera nejakou historii a cislo ma, muze byt od jineho operatora, apod)
    VLASTIS
    VLASTIS --- ---
    TYCHOVRAHE: ale pro tento utok potrebujes znat ID sim, ne?
    VLASTIS
    VLASTIS --- ---
    HARALD: Staci uzivatele dostat na falesne stranky. a mam temer 100% sanci ze mi potvrdi moje zalogovani.
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    VLASTIS: Na SMS neni fakt nic bezpecnyho - to je snad nejhorsi 2FA co muze byt.
    “The Most Expensive Lesson Of My Life: Details of SIM port hack” by Sean Coonce https://link.medium.com/madEn9YqXW
    HARALD
    HARALD --- ---
    VLASTIS: Nemělo by být. Co jsem koukal na standardy autorizace a autentizace, tak KB klíč zachovává dvoufaktorovou autorizaci, čili je na podobné úrovni jako autorizace certifikátem.

    V čem konkrétně vidíš security fail? Jak bys vedl útok?
    VLASTIS
    VLASTIS --- ---
    overeni funguje Tak, ze na strance mojebanka zadam uzivatelske jmeno a v mobilu tapnu pripojit
    VLASTIS
    VLASTIS --- ---
    VLASTIS: oproti uvereni certifikatem ± sms je to o dva rady horsi
    VLASTIS
    VLASTIS --- ---
    KOC256: v podstate se pouze potvrzuje sesna na mobilu. pokud BFU podvrhnu falesnou mojibanku, Kam mi uxivatel zada svuj ucet, ktery hned zadam do regulerniho bankovnictvi. Tak ma hodne malou sanci poznat, ze potvrzuje cizi pozadavek.
    KOC256
    KOC256 --- ---
    VLASTIS:
    rozepis se :)
    VLASTIS
    VLASTIS --- ---
    ahoj,
    resil jste nekdo nebezpecnost overovani pomoci KB Klic aplikace?
    jsem jedinej, komu to prijde jako security fail jak krava?

    diky
    ATAN
    ATAN --- ---
    PISTA1: ted uz to jde
    PISTA1
    PISTA1 --- ---
    ATAN: bezproblémů
    ATAN
    ATAN --- ---
    Funguje vam IB CSOB? Uz nejakou dobu se tam nemuzu prihlasit. Jen se toci hodiny s "prihlasuji".
    KOC256
    KOC256 --- ---
    GHOSTSTALKER:
    jak to funguje, kdyz mam mobil off (nemam data mimo EU). V TUR jsem to mel zapnute ale penize jsem v klidu vybral...
    LOPIN
    LOPIN --- ---
    dobry rady dik.
    Kliknutím sem můžete změnit nastavení reklam