• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    HARALDBanky, bankovnictví, bankovní operace
    Vaše zkušenosti s českými bankami. V čem jste spokojeni, v čem ne. Zajímá vás, jak funguje banka uvnitř?

    [ mBank ] - klub spravovaný ADAMMem, kde lze získat odpovědi na dění uvnitř této banky
    rozbalit záhlaví
    E2E4
    E2E4 --- ---
    NELDE: trik je v tom, že falešný server funguje zároveň jako klient, který se přihlásí do banky (tvoje heslo i SMS kód zná, zadal jsi ho do falesneho serveru), a to co přijde z banky do falešného klienta proxyuje na ten falešný server.. prostě man in the middle.
    NELDE
    NELDE --- ---
    E2E4: Jenže udělat falešný server na přihlášení, který slouží pro sběr údajů, je celkem jednoduché - statická stránka, která se dá okopírovat i s chlupama. Falešný server na veškerou funkcionalitu už tak snadný není. Zejména proto, že už zobrazuje nějaká skutečná data, která útočník neví - třeba poslední pohyby na účtě nebo seznam produktů.
    NELDE
    NELDE --- ---
    CERMINEK: AML to víceméně hodně omezuje. Měl jsem nějakou kartu od ČSOB, kde si mohl, ale bez registrace na jméno to bylo velmi omezené. Navíc to loni ukončili (což mě nepřekvapuje, ty poplatky byly likvidační). Uzavřeli všechny anonymní karty: https://www.anonymnikarta.cz/

    Mají stále tento omezený produkt: https://www.coolkarta.cz/ck/download
    CERMINEK
    CERMINEK --- ---
    nevíte zda existuje něco jako revolut karta, která by umožnila jednak nabíjení hotovosti a druhák by nebyla na jméno? hledám vhodnou/výhodnou alternativu platební karty pro zaměstnance...
    CYBERWOLF
    CYBERWOLF --- ---
    ADM: ten odkaz STK nijak neřešil, to už je jiná pohádka. Jak jsem psal, moc tomu mobilnímu techu nedám, jenom vím, že pár let zpátky okolo toho bylo docela dost průserů.
    RATTKIN
    RATTKIN --- ---
    mohl by se víc používat postup jako na Google authenticator
    E2E4
    E2E4 --- ---
    KOC256: hm to je fakt.. nevím, možná mi něco uniká.

    minimálně v tý appce aspoň vidíš platební příkaz se všema detailama, ale u SMS např u mBank vidíš jen část čísla účtu.. útočník ho může ve svým falešným browseru změnit..
    ADM
    ADM --- ---
    CYBERWOLF:
    E2E4:
    ad SIM toolkit, necetl jsem ten odkaz, uz je to stejne pase, ale alespon jak to chapu ja, tak SIM toolkit na starych (ne-smart) telefonech nejakym zpusobem pre-emptoval operacni system, cili to byla jen aplikace nahrana na chip, chip nezkopirujes (pokud teda ta SIM splnuje parametry cryptocard), a z OS se k datum nedostanes (pouze vis, ze je tam zprava a muzes ji smazat nebo vyvolat jeji prime zobrazeni na displayi). nevim zda to tak skutecne implementovane bylo, ale principielne je to velmi bezpecne (a nechodte na me s hw utoky)
    CYBERWOLF
    CYBERWOLF --- ---
    PATRIKCHRZ: moc tomu mobilnímu techu nedám, ale zrovna SIM Toolkit je něco, co rozhodně není "velmi bezpečné"
    KOC256
    KOC256 --- ---
    E2E4: Tak v tom si nepomuze ani s aplikaci ne?
    E2E4
    E2E4 --- ---
    PATRIKCHRZ: Tak I v tom byly zranitelnosti, např https://vuldb.com/?id.78172 nebo obecně v SIM kartách
    Millions of Sim cards are 'vulnerable to hack attack' - BBC News
    https://www.bbc.com/news/technology-23402988

    ale narozdíl od software se neupdatuji tak často..
    E2E4
    E2E4 --- ---
    OMNISLASH: nepotrebujes ani to, Staci ze ty autorizační SMS přijdou tobě ale zadáš je do falešného serveru..
    PATRIKCHRZ
    PATRIKCHRZ --- ---
    CYBERWOLF: chybou bylo, že banky opustily SIM Toolkit. Fungovalo to na jakémkoliv telefonu - i těch nejhloupějších, nebyl potřeba datový tarif, nebylo to náročné na výkon a bylo to velmi bezpečné.
    CYBERWOLF
    CYBERWOLF --- ---
    OMNISLASH: to právě ani ne. Stačí se tak jenom tvářit. Což teda není "jen telefonní číslo", ale pořád nepotřebuješ být technik daného operátora (nebo jakéhokoliv operátora). Čti připojené pdf: https://www.ptsecurity.com/upload/ptcom/SS7_WP_A4.ENG.0036.01.DEC.28.2014.pdf

    Jestli je apka bezpečnější než sms záleží na tom, jestli věříš, že to banka dokáže udělat bezpečnější. Hlavní důvod, proč se používají aplikace, je že spousta útoků cílí na blbé uživatele (phishing, někdo ze známích ti na facebooku napíše, že omylem poslal ověřovací kód na tvoje číslo a ať mu ho přepošleš atd.), protože tam jediné, co může uživatel podělat je, že si někde nainstaluje falešnou bankovní aplikaci (což by u normálního storu nemělo být možné a kdo instaluje aplikace odjinud?)

    Pokud máš pocit, že ta aplikace bude méně bezpečná než sms, možná by bylo lepší mít peníze v jiné bance.
    OMNISLASH
    OMNISLASH --- ---
    MAGE: jj, to je presne takove to "je velice snadne to prolomit, vlastne jako by to vubec nebylo zabezpecene.. .. .. ..staci byt jen technik daneho operatora s dostatecnymi pravy" :D
    MAGE
    MAGE --- ---
    Tady je o tom clanek
    Stačí telefonní číslo a hacker vás bude odposlouchávat lépe než NSA – Živě.cz
    https://www.zive.cz/...islo-a-hacker-vas-bude-odposlouchavat-lepe-nez-nsa/sc-3-a-182655/default.aspx
    E2E4
    E2E4 --- ---
    OMNISLASH: kromě toho SMS lze snadno přečíst vyndánim SIM karty (máš na ni nevypnuty PIN?) nebo social engineeringem vydána nová SIM útočníkovi..

    ale pořád je nejsilnější argument proti SMS 2fa ta možnost mitm..
    E2E4
    E2E4 --- ---
    OMNISLASH: ehm, ověřování internetového bankovnictví z browseru přes appku oproti opsáno SMS výrazně snižuje riziko. u SMS máš kromě pochybného zabezpečení protokolů mobilních sítí, použití třetích stran s ne vždy dokonalou bezpečnostní politikou (stalo se nedávno že hackli někoho kdo dodával 2fa SMS tuším Microsoftu :) hlavně tu nevýhodu, že tě neochrání před phishing útoky s SMS man in the middle..

    kde ti prostě udělají falešný web banky, zadáš do něj heslo, oni to přepošlou bance, banka tobě pošle SMS a ty ten kód napíšeš do toho falešného webu, oni to přepošlou bance a už tě mají..

    oproti tomu je appka end to end šifrovaná, tohle udělat nemůžou.

    v případě kontroly nad celým mobilem je samozřejmě jedno zda máš SMS nebo appku, ale pořád je appka lepší v případě částečného prolomení mobilu - například kryje scénář bug v browseru a nainstalována jiná appka, která má právo číst SMS nebo SMS mitm zmíněný výše..
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    TYCHOVRAHE: Revolut se take tvari jako UK karta.
    NELDE
    NELDE --- ---
    TYCHOVRAHE: https://www.three.co.uk/Store/SIM/Pay_As_You_Go
    Teď to mám nabité (12GB dat roaming v 71 zemích za cca 1000,-), ale budu potřebovat to v září znovu nabít.
    Kliknutím sem můžete změnit nastavení reklam