ADAMM: Už dávno probíhá - v dobách, kdy náš trh byl ještě ignorován jsme nabízeli managementu připravit obranu na základě toho, co nasazovaly západní banky.
Poslali nás někam, pár let poté vypláceli na kompenzacích klientům mnohonásobky toho co jsme potřebovali. Bez ohledu na to, jak dementní chybu klient udělal (včetně SMS).
Pak se konečně rozjel projekt - ale stejně jako západ, až export, poté co mitigovatelné škody vznikly.

Jj, Zeus tady jen strašil, ale cílené útoky jsou a byly.

NAVARA: tak to nepopírám, je možné, že na to jednou dojde - každopádně, bude to podle mě v případě cíleného útoku na appku větší problém pro banku než pro uživatele - zatímco u SMS máš větší problém ty, protože sis stáhl nějaký sajrajt, pokud bude napadených XY lidí přes appku, problém mám primárně banka.

Zeus jsem řešil ještě v mBank, kdy mi o něm něco málo vykládali v Polsku, ale mám za to, že se v ČR vůbec neobjevil (?) - každopádně koukám, že různé jeho varianty jsou stále aktivní :)

ZLoader Loads Again: New ZLoader Variant Returns | Proofpoint US
https://www.proofpoint.com/us/blog/threat-insight/zloader-loads-again-new-zloader-variant-returns

NELDE: to zrovna mě nemusíš vykládat, ale právě proto je pravděpodobnější, že jdou po velkých trzích.

ADAMM: Zase tak malý trh nejsme. Už proběhl phishing na ČS klienty a tuším i na ČSOB.
Podstatné je spíše to, že ty aplikace bank jsou psané v nějakých nástrojích a ty stejné nástroje jsou použité v různých bankách po světě. Ergo když to proboří, tak se svezou i ty české. A hackerové už dávno nejsou vlasatí šílenci někde v sklepech. Jsou to organizované skupiny v rámci firem, které si tím vydělávají.
Jak to probořit - zejména pomocí Man in the middle. Aplikace zavolá ověření otisku prstu a netuší, že jí ho poskytnul někdo jiný, protože dostala úpravu volané služby. Aplikace se připojí k bance a netuší, že to jde přes prostředníka, takže to není žádný bezpečný kanál. Nemluvě o možném hacknutí na straně bankovní části. Případně v okamžiku připojování aplikace k bance je mobil monitorován, takže není problém to pak emulovat na počítači. Tohle vše a další věci musí být ošetřeny a jakákoli díra v nástroji, kterým je to ošetřené, je díra do stovek bank.

Jasně, že je to neklientské, ale věřím tomu, že to mají spočítané. Klienti bez smartphonu nejsou pro ně zajímavou skupinou. A ti paranoidní také nejsou.

Zeus byl celkem populární kolem roku 2010, posniffoval SMS…

ADAMM: To je populární omyl - to že jsme menší trh má vliv pouze na to, že nejsme prvním cílem. Ve chvíli, kdy se západní svět naučí bránit a zvedne obtížnost útoku, přejde to k nám.

NINE_OF_NINE: byl jsem se tam podívat a budiž, není to CSV kód ze zadu karty :)

MUXX: Ano, vzdyt jsem to napsal jiz ve svem puvodnim prispevku. Realne pokud by to neslo obejit, stahnu se asi k FIO.

NINE_OF_NINE: Kdyz jsi dost sikovnej na provozovani rootnutyho telefonu, tak bys mel byt schopnej nastavit ho tak, aby apky nic nepoznaly ne?

Jinak EU/PSD2 povazuje sms za nedostatecne a muzeme se tu dohadovat jak chceme, ale takovy je narizeni/budoucnost.

Banky chtějí donutit lidi skoncovat s esemeskami - Seznam Zprávy
https://www.seznamzpravy.cz/clanek/banky-chteji-donutit-lidi-skoncovat-s-esemeskami-81032

Utoky pres sms uz u nas probehly. Napr https://www.idnes.cz/...nt-air-bank-prisel-o-70-tisic-skoncily-v-belgii.A140919_092433_ekonomika_fih

NINE_OF_NINE: já tě nepřesvědčuju. Já vysvětluju, proč je trend takovej, jakej je. Z toho, co na trhu pozoruju, tak se spíš bude přitvrzovat, než aby se míra bezpečnostních požadavků snižovala.

NINE_OF_NINE: Však na to se už MS připravuje :)

RATTKIN: tady podle me hraje velkou roli to, ze appky jsou pomerne novy (cti nebezpecny) a sms jsou tady uz dlouho (cti bezpecny). Lidi si potrebujou zvyknout, ziskat duveru.

REEN: Na banku je od čnb přenášena čím dál víc zodpovědnost za to, že klient nepřijde prostřednictvím její aplikace o prachy. A to i v případě, že je mobil rootnutej / jailbreaknutej. Takže odmítnout aplikaci nainstalovat při rootu/jb je už standard. U všech bank. Podobně aplikace přestane fungovat, když se dotyčný sw nainstaluje.

NELLAS: Veris vic sms+pin nez aplikaci? Nebo je za tim jiny duvod? Ja jsem takhle v zahranici parkrat cekal na sms a nedockal jsem se, takze jsem rad za apku.

ADAMM: já to teda celkem chápu, samozřejmě to není věc, kterou by si mohla snadno dovolit tradiční banka na IB, které servisuje spoustu tradičnějších nebo firemních klientů... Ale u AB a a moderních mi to přijde rozumné. Nezkoumal sem to do detailu, ale u Revolutu a N26 se taky bez apky nehneš. U nejmenované zrušené německé Airbank to bylo nalajnováno stejně s tím, že přístup bez apky bude s SMS nebo e-mail on-click password pouze pasivní bez aktivních operací. Zapojením face-ID nebo otisků prstů se významně zlepší komfort autorizací operací. V bezpečnosti se až tak nevyznám, ale nemyslím si že SMSka je nějak bezpečnější...

ADAMM:
U Hello jsem dopadl stejně a když jsem byl mírně nenadsen na podpore tak mě poslali k sipku. Navíc jejich apka se nespustí pokud zjistí že máš root...

ADAMM: Jako není to náhončí, ale šetří náklady - ony ty SMS také něco stojí. A hlavně pro ně není klient, který nemá datové připojení a nový telefon zajímavý - na takovém moc nevydělají.
Ještěže u nich nejsem - nesnáším tuhle módu všech (nejen bank) cpát svoje aplikace do cizích mobilů.

Platil jsem s Curve kartou castku 12 900 Kc a kdyz chci pouzit funkci Go Back In Time (prehodit ten nakup na jinou kartu v ramci Curve), tak to nejde. Volba v appce je u tehle platby neaktivni s poznamkou, ze funkce Go Back In Time je mozna pouze u plateb mensich nez 5000 GBP (coz moje platba ale splnuje). Nepotkal jste se s tim nekdo?

EquaBank mění sazby


Změny úrokových sazeb od 1. 4. 2021: 



u Spořicího účtu HIT v pásmu do 200 000 Kč snižujeme úrokovou sazbu z 0,7 % na 0,4 % p.a., přičemž základní sazba zůstává 0,1 % p.a. a mění se bonusová sazba z 0,6 % na 0,3 % p.a.



u Spořicího účtu MAX bude nová sazba 0,1 % p.a. bez ohledu na výši vkladu. V pásmu do 500 000 Kč zůstává sazba 0,1 % p.a., v pásmu nad 500 000 Kč snižujeme sazbu z 0,3 % na 0,1 % p.a.

Jo, uz jsem to rano videl u lidi i na FB.