• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    HARALDBanky, bankovnictví, bankovní operace
    Vaše zkušenosti s českými bankami. V čem jste spokojeni, v čem ne. Zajímá vás, jak funguje banka uvnitř?

    [ mBank ] - klub spravovaný ADAMMem, kde lze získat odpovědi na dění uvnitř této banky
    rozbalit záhlaví
    KEL
    KEL --- ---
    PATRIKCHRZ:
    a snižování pokračuje:

    J&T
    Vklad s výpovědní lhůtou 1 den (Spořicí účet J&T)
    0,7 % p. a.
    0,5 % p. a.
    od 10. 2. 2021

    Vklad s výpovědní lhůtou 33 dnů
    0,8 % p. a.
    0,6 % p. a.
    od 10. 3. 2021

    Vklad s výpovědní lhůtou 3 měsíce
    0,9 % p. a.
    0,7 % p. a.
    od 10. 3. 2021
    PATRIKCHRZ
    PATRIKCHRZ --- ---
    1 odpověď
    Bída s nouzí https://www.mesec.cz/clanky/sporeni-v-unoru-2021-kam-se-ne-vyplati-vlozit-penize/
    PATRIKCHRZ
    PATRIKCHRZ --- ---
    Bída s nouzí https://www.mesec.cz/clanky/sporeni-v-unoru-2021-kam-se-ne-vyplati-vlozit-penize/
    MAGE
    MAGE --- ---
    KOC256: jelikož to od 1.1. snižovali z 300k na 200k tak počítám že s tím chvilku nehnou, ale kdo ví...
    KOC256
    KOC256 --- ---
    1 odpověď
    MAGE:
    Na jak dlouho?
    MAGE
    MAGE --- ---
    1 odpověď
    EDERA: hellobank 1% do 200k bez opičáren
    EDERA
    EDERA --- ---
    1 odpověď
    Kdo má aktuálně nejlepší spořicí účty, prosím?
    Wüstenrot pohltila Moneta, takže úrok na spořáku je rázem 0,2 %. Prý až 0,5 %, když budu aktivně využívat jejich běžný účet (20 tisíc příchozí platba, 4 platby odchozí, z toho jedna kartou). Už fakt nechci další běžný účet, na kterém musím něco plnit.
    NELDE
    NELDE --- ---
    UNTOY: Jedině bývalé kolegy, co dělají penetrační testy (-;
    UNTOY
    UNTOY --- ---
    1 odpověď
    NELDE: ok tak kdyz uz jsme na stejne vlne, tak zpatky k originalni otazce - muzes tyhle veci nejak ozdrojovat? Rad bych si o tom precetl neco konkretniho, diky.
    NELDE
    NELDE --- ---
    1 odpověď
    UNTOY:
    > zejména na straně aplikace, když se ten kanál vytváří. MitM útoky jsou vesměs na klientovi nebo serveru, ne na nějakém routeru.

    >programem, který snímá obrazovku a akce uživatele

    >hackutí té části, která s aplikací komunikuje. SMS se předává operátorovi, to není tak zranitelné, jako jednotlivá přímá připojení.

    >myslím to, že se užívají něčí knihovny, které se tváří jako bezpečné, což je ale záležitost aktuálního stavu. Neprogramují to všechno sami. Standardně samozřejmě ukládáš hashe bezpečnostních dat používaných k ověření. Jenže v okamžiku ověřování máš ty data v aplikaci dostupná. Samozřejmě, že máš ošetřené, aby se to nikam neukládalo v tvé části - jenže ono se to vždy někde ukládá. A stačí aby si něco někam uložilo ten PIN (nebo otisk) na cestě mezi prstem(čtečkou) a tvou aplikací a může to užít znova.
    UNTOY
    UNTOY --- ---
    1 odpověď+5
    > Aplikace se připojí k bance a netuší, že to jde přes prostředníka, takže to není žádný bezpečný kanál.
    pinned ssl certifikat se da obejit jak? navic predpokladam, ze i tak si ta data si neposilaji v plaintextu.

    > Případně v okamžiku připojování aplikace k bance je mobil monitorován, takže není problém to pak emulovat na počítači.
    mobil je monitorovan cim/kde?

    > Nemluvě o možném hacknutí na straně bankovní části.
    ok ale v diskusi sms vs app je to relevantni?

    > Podstatné je spíše to, že ty aplikace bank jsou psané v nějakých nástrojích a ty stejné nástroje jsou použité v různých bankách po světě.
    tohle nerozporuju, ale je tak vagne napsany, ze vubec nevim co si pod tim predstavit. Nastrojem myslis treba Android Studio nebo ... to ze vsichni pouzijou SSL pro sifrovani komunikace nebo neco jinyho?
    NELDE
    NELDE --- ---
    UNTOY: Které tvrzení konkrétně?
    NAVARA
    NAVARA --- ---
    ADAMM: Už dávno probíhá - v dobách, kdy náš trh byl ještě ignorován jsme nabízeli managementu připravit obranu na základě toho, co nasazovaly západní banky.
    Poslali nás někam, pár let poté vypláceli na kompenzacích klientům mnohonásobky toho co jsme potřebovali. Bez ohledu na to, jak dementní chybu klient udělal (včetně SMS).
    Pak se konečně rozjel projekt - ale stejně jako západ, až export, poté co mitigovatelné škody vznikly.

    Jj, Zeus tady jen strašil, ale cílené útoky jsou a byly.
    UNTOY
    UNTOY --- ---
    1 odpověď
    NELDE: muzes tahle tvrzeni nejak ozdrojovat? Pulka z tech veci co pises mi prijde jako absolutni nesmysl.
    ADAMM
    ADAMM --- ---
    1 odpověď
    NAVARA: tak to nepopírám, je možné, že na to jednou dojde - každopádně, bude to podle mě v případě cíleného útoku na appku větší problém pro banku než pro uživatele - zatímco u SMS máš větší problém ty, protože sis stáhl nějaký sajrajt, pokud bude napadených XY lidí přes appku, problém mám primárně banka.

    Zeus jsem řešil ještě v mBank, kdy mi o něm něco málo vykládali v Polsku, ale mám za to, že se v ČR vůbec neobjevil (?) - každopádně koukám, že různé jeho varianty jsou stále aktivní :)

    ZLoader Loads Again: New ZLoader Variant Returns | Proofpoint US
    https://www.proofpoint.com/us/blog/threat-insight/zloader-loads-again-new-zloader-variant-returns

    NELDE: to zrovna mě nemusíš vykládat, ale právě proto je pravděpodobnější, že jdou po velkých trzích.
    NELDE
    NELDE --- ---
    2 odpovědi
    ADAMM: Zase tak malý trh nejsme. Už proběhl phishing na ČS klienty a tuším i na ČSOB.
    Podstatné je spíše to, že ty aplikace bank jsou psané v nějakých nástrojích a ty stejné nástroje jsou použité v různých bankách po světě. Ergo když to proboří, tak se svezou i ty české. A hackerové už dávno nejsou vlasatí šílenci někde v sklepech. Jsou to organizované skupiny v rámci firem, které si tím vydělávají.
    Jak to probořit - zejména pomocí Man in the middle. Aplikace zavolá ověření otisku prstu a netuší, že jí ho poskytnul někdo jiný, protože dostala úpravu volané služby. Aplikace se připojí k bance a netuší, že to jde přes prostředníka, takže to není žádný bezpečný kanál. Nemluvě o možném hacknutí na straně bankovní části. Případně v okamžiku připojování aplikace k bance je mobil monitorován, takže není problém to pak emulovat na počítači. Tohle vše a další věci musí být ošetřeny a jakákoli díra v nástroji, kterým je to ošetřené, je díra do stovek bank.

    Jasně, že je to neklientské, ale věřím tomu, že to mají spočítané. Klienti bez smartphonu nejsou pro ně zajímavou skupinou. A ti paranoidní také nejsou.
    NAVARA
    NAVARA --- ---
    1 odpověď
    Zeus byl celkem populární kolem roku 2010, posniffoval SMS…

    ADAMM: To je populární omyl - to že jsme menší trh má vliv pouze na to, že nejsme prvním cílem. Ve chvíli, kdy se západní svět naučí bránit a zvedne obtížnost útoku, přejde to k nám.
    ADAMM
    ADAMM --- ---
    2 odpovědi+2
    NELDE: podle mě pravděpodobnost útoku úplně velká není, protože jsme malej trh, co nikomu nestojí za pozornost. stejně tak ale není nijak extra nebezpečná SMSka, protože to sice není dvakrát bezpečná technologie, ale zase - že by zrovna můj účet stál někomu za námahu, je krajně nepravděpodobné. respektive, varianta, kdy si stáhnu malware, co mi ovládne telefon, nepovažuju za úplně pravděpodobnou.

    spíš mi to od Air Bank přijde jako a priori neklientská pruda, když je zcela očividné, že to jde řešit i jinak.
    NAVARA
    NAVARA --- ---
    NINE_OF_NINE: byl jsem se tam podívat a budiž, není to CSV kód ze zadu karty :)
    NINE_OF_NINE
    NINE_OF_NINE --- ---
    1 odpověď+1
    NAVARA: Maji epin, zmineno nize v diskuzi.
    NAVARA
    NAVARA --- ---
    1 odpověď+1
    NINE_OF_NINE: i FIO bude muset mít non-SMS 2FA
    Kliknutím sem můžete změnit nastavení reklam