NELDE: neco jako tohle [ VIXLE @ Network and host security - firewally, exploity, bugy, vulnerability, incidenty a vse o pocitacove bezpecnosti ]

CERMINEK: https://penezenka.blesk.cz/ ale bez ověření tam jsou tragicky nízké limity...

E2E4: Jenže udělat falešný server na přihlášení, který slouží pro sběr údajů, je celkem jednoduché - statická stránka, která se dá okopírovat i s chlupama. Falešný server na veškerou funkcionalitu už tak snadný není. Zejména proto, že už zobrazuje nějaká skutečná data, která útočník neví - třeba poslední pohyby na účtě nebo seznam produktů.

CERMINEK: AML to víceméně hodně omezuje. Měl jsem nějakou kartu od ČSOB, kde si mohl, ale bez registrace na jméno to bylo velmi omezené. Navíc to loni ukončili (což mě nepřekvapuje, ty poplatky byly likvidační). Uzavřeli všechny anonymní karty: https://www.anonymnikarta.cz/

Mají stále tento omezený produkt: https://www.coolkarta.cz/ck/download

nevíte zda existuje něco jako revolut karta, která by umožnila jednak nabíjení hotovosti a druhák by nebyla na jméno? hledám vhodnou/výhodnou alternativu platební karty pro zaměstnance...

ADM: ten odkaz STK nijak neřešil, to už je jiná pohádka. Jak jsem psal, moc tomu mobilnímu techu nedám, jenom vím, že pár let zpátky okolo toho bylo docela dost průserů.

mohl by se víc používat postup jako na Google authenticator

KOC256: hm to je fakt.. nevím, možná mi něco uniká.

minimálně v tý appce aspoň vidíš platební příkaz se všema detailama, ale u SMS např u mBank vidíš jen část čísla účtu.. útočník ho může ve svým falešným browseru změnit..

CYBERWOLF:
E2E4:
ad SIM toolkit, necetl jsem ten odkaz, uz je to stejne pase, ale alespon jak to chapu ja, tak SIM toolkit na starych (ne-smart) telefonech nejakym zpusobem pre-emptoval operacni system, cili to byla jen aplikace nahrana na chip, chip nezkopirujes (pokud teda ta SIM splnuje parametry cryptocard), a z OS se k datum nedostanes (pouze vis, ze je tam zprava a muzes ji smazat nebo vyvolat jeji prime zobrazeni na displayi). nevim zda to tak skutecne implementovane bylo, ale principielne je to velmi bezpecne (a nechodte na me s hw utoky)

PATRIKCHRZ: Tak I v tom byly zranitelnosti, např https://vuldb.com/?id.78172 nebo obecně v SIM kartách
Millions of Sim cards are 'vulnerable to hack attack' - BBC News
https://www.bbc.com/news/technology-23402988

ale narozdíl od software se neupdatuji tak často..

OMNISLASH: nepotrebujes ani to, Staci ze ty autorizační SMS přijdou tobě ale zadáš je do falešného serveru..

OMNISLASH: to právě ani ne. Stačí se tak jenom tvářit. Což teda není "jen telefonní číslo", ale pořád nepotřebuješ být technik daného operátora (nebo jakéhokoliv operátora). Čti připojené pdf: https://www.ptsecurity.com/upload/ptcom/SS7_WP_A4.ENG.0036.01.DEC.28.2014.pdf

Jestli je apka bezpečnější než sms záleží na tom, jestli věříš, že to banka dokáže udělat bezpečnější. Hlavní důvod, proč se používají aplikace, je že spousta útoků cílí na blbé uživatele (phishing, někdo ze známích ti na facebooku napíše, že omylem poslal ověřovací kód na tvoje číslo a ať mu ho přepošleš atd.), protože tam jediné, co může uživatel podělat je, že si někde nainstaluje falešnou bankovní aplikaci (což by u normálního storu nemělo být možné a kdo instaluje aplikace odjinud?)

Pokud máš pocit, že ta aplikace bude méně bezpečná než sms, možná by bylo lepší mít peníze v jiné bance.

Tady je o tom clanek
Stačí telefonní číslo a hacker vás bude odposlouchávat lépe než NSA – Živě.cz
https://www.zive.cz/...islo-a-hacker-vas-bude-odposlouchavat-lepe-nez-nsa/sc-3-a-182655/default.aspx

OMNISLASH: kromě toho SMS lze snadno přečíst vyndánim SIM karty (máš na ni nevypnuty PIN?) nebo social engineeringem vydána nová SIM útočníkovi..

ale pořád je nejsilnější argument proti SMS 2fa ta možnost mitm..