• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    HARALDBanky, bankovnictví, bankovní operace
    Vaše zkušenosti s českými bankami. V čem jste spokojeni, v čem ne. Zajímá vás, jak funguje banka uvnitř?

    [ mBank ] - klub spravovaný ADAMMem, kde lze získat odpovědi na dění uvnitř této banky
    rozbalit záhlaví
    KOC256
    KOC256 --- ---
    PATRIKCHRZ: Tak Android a bankovnictvi ==> katastrofa.

    Identita se da zjistit drobnou lsti, krom ohlaseni na PCR. Staci v bance rict, ze se poslaly penize omylem.
    1. Napisou bance, at da vedet klientovi, at to vrati
    2. Pak to same doporucene
    3. Predaji identitu, aby mohl poskozeny podat trestni oznameni

    Funguje to...
    PATRIKCHRZ
    PATRIKCHRZ --- ---
    STARDAY: vždy záleží na tom, jak je daný systém propracovaný. SMS může být jen jednoduchá "Vaši transkaci potvrďte kódem 12345" nebo "převátíte 5000 na účet 12345/0710", stejně tak i ty kalkulačky, do některých se musí zadávat číslo účtu a částka, takže podvržená stránka nepomůže (nepotvrdí to převod jiné částky nebo na jiný účet). Na druhou stranu je to docela opruz.

    Kalkulačka (jako opravdu externí zařízení) je, myslím si, co se bezpečnosti týče nepřekonaná, pokud je systém nastaven tak, že pro vygenerování kódu se musí zadat důležité parametry platby (částka a cílový účet). Naproti tomu SMS může být napadena už po cestě (odchycena, unesena), případně v telefonu (závadná aplikace skryje, že na telefon nějaká sms došla a přepošle ji na pozadí jinam - tímto způsobem došlo k vykradení účtu třeba u FIO - https://finexpert.e15.cz/fio-banka-a-phishing-v-praxi-aktualni-zkusenost. Majitel účtu si instaloval závadnou aplikaci z podvrženého zdroje, která následně přeposílala autorizační SMSky jinam.
    STARDAY
    STARDAY --- ---
    VLASTIS: A v cem vnimas rozdil proti zadani kodu ze sms nebo kalkulacky? Ze ma uzivatel vetsi prilezitost odhalit, ze je strankapodvrzena?
    VLASTIS
    VLASTIS --- ---
    STARDAY: to je fakt, ale stejne mi to neprijde ok
    STARDAY
    STARDAY --- ---
    VLASTIS: A pak budes delat co? I kdyby si nevsiml podvrzene stranky, tak porad jeste musis autorizovat transakci
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    VLASTIS: Ne. Tvrdim, ze SMS jako 2fa nejsou bezpecne a lze to dolozit radou prikladu.
    VLASTIS
    VLASTIS --- ---
    TYCHOVRAHE: a tvrdis mi, ze prijdu do o2 a dostanu cislo andyho babise?
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    ADM: ale jo, v pripade ztraty sim nebo potreby nove z jineho duvodu ti operator cislo bez problemu prenese na novou
    ADM
    ADM --- ---
    TYCHOVRAHE: ale ten "SIM port"u nas snad operatori neprovadeji, nebo ano?
    zni to dost bizardne, ze by ti operator premapoval cislo na jinou SIM (ktera nejakou historii a cislo ma, muze byt od jineho operatora, apod)
    VLASTIS
    VLASTIS --- ---
    TYCHOVRAHE: ale pro tento utok potrebujes znat ID sim, ne?
    VLASTIS
    VLASTIS --- ---
    HARALD: Staci uzivatele dostat na falesne stranky. a mam temer 100% sanci ze mi potvrdi moje zalogovani.
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    VLASTIS: Na SMS neni fakt nic bezpecnyho - to je snad nejhorsi 2FA co muze byt.
    “The Most Expensive Lesson Of My Life: Details of SIM port hack” by Sean Coonce https://link.medium.com/madEn9YqXW
    HARALD
    HARALD --- ---
    VLASTIS: Nemělo by být. Co jsem koukal na standardy autorizace a autentizace, tak KB klíč zachovává dvoufaktorovou autorizaci, čili je na podobné úrovni jako autorizace certifikátem.

    V čem konkrétně vidíš security fail? Jak bys vedl útok?
    VLASTIS
    VLASTIS --- ---
    overeni funguje Tak, ze na strance mojebanka zadam uzivatelske jmeno a v mobilu tapnu pripojit
    VLASTIS
    VLASTIS --- ---
    VLASTIS: oproti uvereni certifikatem ± sms je to o dva rady horsi
    VLASTIS
    VLASTIS --- ---
    KOC256: v podstate se pouze potvrzuje sesna na mobilu. pokud BFU podvrhnu falesnou mojibanku, Kam mi uxivatel zada svuj ucet, ktery hned zadam do regulerniho bankovnictvi. Tak ma hodne malou sanci poznat, ze potvrzuje cizi pozadavek.
    KOC256
    KOC256 --- ---
    VLASTIS:
    rozepis se :)
    VLASTIS
    VLASTIS --- ---
    ahoj,
    resil jste nekdo nebezpecnost overovani pomoci KB Klic aplikace?
    jsem jedinej, komu to prijde jako security fail jak krava?

    diky
    ATAN
    ATAN --- ---
    PISTA1: ted uz to jde
    PISTA1
    PISTA1 --- ---
    ATAN: bezproblémů
    ATAN
    ATAN --- ---
    Funguje vam IB CSOB? Uz nejakou dobu se tam nemuzu prihlasit. Jen se toci hodiny s "prihlasuji".
    Kliknutím sem můžete změnit nastavení reklam