KOC256: jelikož to od 1.1. snižovali z 300k na 200k tak počítám že s tím chvilku nehnou, ale kdo ví...

MAGE:
Na jak dlouho?

EDERA: hellobank 1% do 200k bez opičáren

Kdo má aktuálně nejlepší spořicí účty, prosím?
Wüstenrot pohltila Moneta, takže úrok na spořáku je rázem 0,2 %. Prý až 0,5 %, když budu aktivně využívat jejich běžný účet (20 tisíc příchozí platba, 4 platby odchozí, z toho jedna kartou). Už fakt nechci další běžný účet, na kterém musím něco plnit.

UNTOY: Jedině bývalé kolegy, co dělají penetrační testy (-;

NELDE: ok tak kdyz uz jsme na stejne vlne, tak zpatky k originalni otazce - muzes tyhle veci nejak ozdrojovat? Rad bych si o tom precetl neco konkretniho, diky.

UNTOY:
> zejména na straně aplikace, když se ten kanál vytváří. MitM útoky jsou vesměs na klientovi nebo serveru, ne na nějakém routeru.

>programem, který snímá obrazovku a akce uživatele

>hackutí té části, která s aplikací komunikuje. SMS se předává operátorovi, to není tak zranitelné, jako jednotlivá přímá připojení.

>myslím to, že se užívají něčí knihovny, které se tváří jako bezpečné, což je ale záležitost aktuálního stavu. Neprogramují to všechno sami. Standardně samozřejmě ukládáš hashe bezpečnostních dat používaných k ověření. Jenže v okamžiku ověřování máš ty data v aplikaci dostupná. Samozřejmě, že máš ošetřené, aby se to nikam neukládalo v tvé části - jenže ono se to vždy někde ukládá. A stačí aby si něco někam uložilo ten PIN (nebo otisk) na cestě mezi prstem(čtečkou) a tvou aplikací a může to užít znova.

UNTOY: Které tvrzení konkrétně?

ADAMM: Už dávno probíhá - v dobách, kdy náš trh byl ještě ignorován jsme nabízeli managementu připravit obranu na základě toho, co nasazovaly západní banky.
Poslali nás někam, pár let poté vypláceli na kompenzacích klientům mnohonásobky toho co jsme potřebovali. Bez ohledu na to, jak dementní chybu klient udělal (včetně SMS).
Pak se konečně rozjel projekt - ale stejně jako západ, až export, poté co mitigovatelné škody vznikly.

Jj, Zeus tady jen strašil, ale cílené útoky jsou a byly.

NELDE: muzes tahle tvrzeni nejak ozdrojovat? Pulka z tech veci co pises mi prijde jako absolutni nesmysl.

NAVARA: tak to nepopírám, je možné, že na to jednou dojde - každopádně, bude to podle mě v případě cíleného útoku na appku větší problém pro banku než pro uživatele - zatímco u SMS máš větší problém ty, protože sis stáhl nějaký sajrajt, pokud bude napadených XY lidí přes appku, problém mám primárně banka.

Zeus jsem řešil ještě v mBank, kdy mi o něm něco málo vykládali v Polsku, ale mám za to, že se v ČR vůbec neobjevil (?) - každopádně koukám, že různé jeho varianty jsou stále aktivní :)

ZLoader Loads Again: New ZLoader Variant Returns | Proofpoint US
https://www.proofpoint.com/us/blog/threat-insight/zloader-loads-again-new-zloader-variant-returns

NELDE: to zrovna mě nemusíš vykládat, ale právě proto je pravděpodobnější, že jdou po velkých trzích.

ADAMM: Zase tak malý trh nejsme. Už proběhl phishing na ČS klienty a tuším i na ČSOB.
Podstatné je spíše to, že ty aplikace bank jsou psané v nějakých nástrojích a ty stejné nástroje jsou použité v různých bankách po světě. Ergo když to proboří, tak se svezou i ty české. A hackerové už dávno nejsou vlasatí šílenci někde v sklepech. Jsou to organizované skupiny v rámci firem, které si tím vydělávají.
Jak to probořit - zejména pomocí Man in the middle. Aplikace zavolá ověření otisku prstu a netuší, že jí ho poskytnul někdo jiný, protože dostala úpravu volané služby. Aplikace se připojí k bance a netuší, že to jde přes prostředníka, takže to není žádný bezpečný kanál. Nemluvě o možném hacknutí na straně bankovní části. Případně v okamžiku připojování aplikace k bance je mobil monitorován, takže není problém to pak emulovat na počítači. Tohle vše a další věci musí být ošetřeny a jakákoli díra v nástroji, kterým je to ošetřené, je díra do stovek bank.

Jasně, že je to neklientské, ale věřím tomu, že to mají spočítané. Klienti bez smartphonu nejsou pro ně zajímavou skupinou. A ti paranoidní také nejsou.

Zeus byl celkem populární kolem roku 2010, posniffoval SMS…

ADAMM: To je populární omyl - to že jsme menší trh má vliv pouze na to, že nejsme prvním cílem. Ve chvíli, kdy se západní svět naučí bránit a zvedne obtížnost útoku, přejde to k nám.

NINE_OF_NINE: byl jsem se tam podívat a budiž, není to CSV kód ze zadu karty :)

MUXX: Ano, vzdyt jsem to napsal jiz ve svem puvodnim prispevku. Realne pokud by to neslo obejit, stahnu se asi k FIO.

NINE_OF_NINE: Kdyz jsi dost sikovnej na provozovani rootnutyho telefonu, tak bys mel byt schopnej nastavit ho tak, aby apky nic nepoznaly ne?

Jinak EU/PSD2 povazuje sms za nedostatecne a muzeme se tu dohadovat jak chceme, ale takovy je narizeni/budoucnost.

Banky chtějí donutit lidi skoncovat s esemeskami - Seznam Zprávy
https://www.seznamzpravy.cz/clanek/banky-chteji-donutit-lidi-skoncovat-s-esemeskami-81032

Utoky pres sms uz u nas probehly. Napr https://www.idnes.cz/...nt-air-bank-prisel-o-70-tisic-skoncily-v-belgii.A140919_092433_ekonomika_fih

NINE_OF_NINE: já tě nepřesvědčuju. Já vysvětluju, proč je trend takovej, jakej je. Z toho, co na trhu pozoruju, tak se spíš bude přitvrzovat, než aby se míra bezpečnostních požadavků snižovala.