Zkušenosti s internetovým bankovnictvím

[mhepp]

Tak klasika, Fio.
Aj ked "Propojení účtů z jiných bank." je taka neskutocna exotika ze pochybuje ze to niekde najdes.
A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.

Fio ma sice aplikaciu ale nie je povinna, akurat ze ak si ju nahodis tak nemozes pouzivas sms kody ale MUSIS verifikovat cez aplikaciu.

Takze s tymi poziadavkmi asi ostan pri tej KB

Možnost načtení QR kódu právě byla ve starém bankovnictví od KB. Umělo si to vyzobnout QR kód a předvyplnit platbu. Super. Vzhledem k tomu, že QR kódy pro platbu jsou součást kdejaké faktury, proč to nevyužít...

Načíst QR kód umí i webový George, ale ten ho umí načíst jen přes kameru. Nádhera, když mám jen elektronickou fakturu (a změnit to neplánují).

Zůstat u KB... no... problém je v tom, že skoro vše (kromě základních věcí jako poslat peníze a trvalý příkaz) je v KB-- nedodělané nebo neplánované - například to propojení účtů. Takže proč jim dělat testera.

[Reklama]

[martyd420]

Která banka ti umí zrušit předautorizované transakce na kartě? Snad žádná, on jim takové zásahy totiž zakazují podmínky kartových asociací a částečně i zákon o platebním styku. Daný subjekt by musel by na černé listině. Řešením je bohužel zrušit kartu.

mBank bez problému, ani nemusím kontaktovat banku - bloknu to sám v IB, případně použiju virtuální kartu, která to blokuje automaticky i když tam nechám nabitý zůstatek.  Stejně tak Revolut umí bloknout předplatné.
btw. nikdo jim takový zásah nezakazuje, řekl bych, že spíš naopak přikazuje. Banka je povinna jednat okamžitě, jakmile jsem ohlásil neoprávněné transakce a konkrétně Airbank opraqvdu nedělala nic až do zrušení karty.

Ty obrázky beru jako vtípek, nepamatuji si je a na pobočce s doklady to lze vždy přeskočit.

Ano, to je ono. Musím kvůli toho jet na pobočku a vybrat si nové obrázky z omalovánek, aby moje šestimístné heslo složené pouze z číslic bylo bezpečnější. Tohle od banky fakt nechci.
Co se týče toho javascriptu, to je asi plus mínus pravda, ale Airbank v tom opravdu patří k nejagresivnějším a práce s jejich bankovnictvím (když má trvat déle, než 5 minut) je opravdu hrůza.

[Zopper]

Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.

TLDR odpověď: schopný malware na mobilu je pro banku méně pravděpodobné riziko, než phishing.

Delší odpověď: Útok na aplikaci banky vyžaduje plnou kontrolu nad zařízením, přejít z jedné aplikace do druhé, která se (aspoň teoreticky) snaží obfuscovat a házet tomu klacky pod nohy, a pokud už někdo dokáže tohle, tak si stejně tak přečte i ty SMS. Ne že by to nešlo a nedělo se, ale je to složité.

Oproti tomu ty SMS se dají unést klidně z druhé strany světa jen tak, stačí mít přístup k člověku na správné pozici třeba u nějakého operátora v Africe (což pro organizované skupiny není problém), a získat přístupové údaje přes phisingovou stránku, která se dá krásně udělat na PC (nebyla nějaká falešná stránka banky kdysi v Seznam hledání nad tou pravou?). A tady ani kolikrát není potřeba nějak unášet sms, uživatel si to opíše sám, záleží na útoku. Ale zfalšovat mobilní aplikaci banky uprostřed prohlížeče, to bude vždycky vypadat podezřele. Plus uživatel nemusí zadávat žádnou adresu nikam, prostě klikne na ikonku.

Ergo, webové bankovnictví + SMS se s bezpečností mnohem víc spoléhá na uživatele, který si musí hlídat, jestli je na správné stránce, zatímco ta aplikace pokusy o phishing výrazně komplikuje a to odchycení SMS znemožňuje úplně. Aplikace jsou tedy menší riziko finanční ztráty a novinových článků o "útoku na banku", a o to jde především. Na uživatele kašle pes. 

[mhepp]

Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.

Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...

Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.

[martyd420]

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

// edit: Kouknul jsem na AirBank a potvrzuji - session cookie je httponly.

[Reklama]

[mhepp]

Jen k věci... Prošel jsem si web a nápovědu AirBank a vypadá to, že by bankovnictví mohlo zvládnout vše, co potřebuji a tak, jak potřebuji

Ještě to padlo Fio. To umožňuje demoúčet a vyzkoušení bankovnictví. Super, to zkusím později.

S tím agresivním odhlašovaním je to všude podobné. Rozumějte nahovno.

[Michal Šmucr]

Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...

Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.

Já jsem právě taky klidnější, pokud můžu mít nějakou formu záložního ověřování. U nějakých obecných TOTP ověření je to jednodušší, ale mám těch různých služeb i pracovně vcelku dost a někdy jsou to prostě vynucené speciální aplikace, takže starý mobil mi přišel nejjednodušší řešení. A s KB klíčem to fungovalo bez problémů, prostě jsem přidal další ověření přes nastavení KB profilu na webu. Podobně také se Smart klíčem od ČSOB.
Samozřejmě beru, že každá varianta má svoje nevýhody a já to bral spíš pragmaticky. V tomhle případě to chce asi počítat s tím, že se za určitou dobu pravděpodobně člověk dostane z nějakého okna podporovaných verzí systému na mobilu. I když KB klíč mi zatím v pohodě chodí na starém telefonu s iOS15. U Androidu je to, myslím, 8 a výš. U toho ČSOB to bylo podobné, když jsem to rozcházel rodičům, tam to dokonce šlo dát i na záložní Huawei s prvním Harmony OS (vykoštěný Android).

[Filip Jirsák]

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

To musíte mít radostný život, když vás realita pobaví. Prohlížeče jsou ty nejbezpečnější aplikace na počítačích. Problém je v tom, že všechny aplikace na desktopu běží pod jedním uživatelem, nejsou z pohledu OS nijak oddělené. Je vám k ničemu, že by aplikace měla uložené klíče bezpečně v HW, když přes ni může kterákoli jiná aplikace kreslit nebo získat její vstup.

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí.

Což je pořád k ničemu, když ta aplikace běží na tom počítači.

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies

Třeba session storage podporují všechny dnešní prohlížeče, to jde pro bezpečné uložení session cookies použít.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware.

Nevím, co je na tom zajímavého. Přístup k SMS může mít spousta lidí, mobilní aplikace je podstatně bezpečnější.

Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti.

Nebo útočníkovi stačí telepaticky v hlavě změnit to, co v aplikaci vidí. Ono jaksi nede jen o to, že napíšete „stačí jen“, také je potřeba vědět, jak obtížné to je. Teoreticky je možné prolomit všechno, včetně současných nejlepších šifer. Podstatné je, že to nikdo neumí prakticky.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

Je to uložené v session storage, kam mají přístup jenom skripty z webové stránky z dané domény. Se zavřením tabu se to smaže. Že je to přístupné z JavaScriptu ničemu nevadí, protože JavaScript provádí všechny ostatní rizikové operace. Takže kdyby útočník měl možnost spouštět na daném webu JavaScript, stejně může napáchat spoustu škod (třeba vám zobrazí číslo účtu, které chcete vidět, ale zadané bude jeho číslo účtu). Pro to, aby útočník nemohl do webu vložit svůj vlastní JavaScript, existují zase jiné ochrany – CSP.

Cookies mají tu nevýhodu, že je odesílá prohlížeč automaticky s každým požadavkem. Pokud máte aplikaci na více poddoménách (třeba přihlášení na jedné poddoméně a aplikaci na jiné, protože to přihlášení je třeba společné pro více aplikací), musí ta cookie být nastavena tak, že je dostupná pro všechny poddomény. Pak stačí jedna aplikace na nějaké subdoméně, která bude mít nějakou díru, a útočník se k session cookie dostane. Ukládat tajemství do cookies je daleko rizikovější, než ukládat ho do session storage.

[Vietnanka]

Nebudu zabředávat do diskuse nebezpečných  desktopových prohlížečů a vyhypovaně ultrabezpečných mobilních aplikací, jak to líčí Jirsák. Takovéhle reklamní strašení používají i banky a další šiřitelé zla. Má to jeden háček, který jaksi zamlčují, když se vám ztratí telefon, tak jste s nějakou aplikací uplně v čoudu, pokud si nějak obskurně propojíte nějaká zařízení. a úplně se zamlčuje, že ty aplikace nechtějí chodit na rootovaných telefonech, protože jsou plné šmírování a hlídání a těžko se kontroluje, co mobilní aplikace dělá na rozdíl od konzole browseru. (druhá strana bude tvrdit že to tak je správně, že aplikace se aktivně brání nekalostem)

Ano, odhlašování na fóru je legendární, například se to stane  i minutu potom, co v druhém refresnu stránku.

 a Mohu přihodit zkušenost s moneta. Sice taky tlačí aplikaci (dokonce nešly termínované vklady  na webu zrovna náhodou v létě, kdy byl úrokkolem 5%), přes ten desktopový prohlížeč je to taky jako když běží javascriptový reaktor, dokáže úplně zpomalit 4jádrový CPU.
Ale naštěstí pořád , neoficiálně, s autorizačními SMSkami funguje i pro ostatní než pro pozitivně diskriminované důchodce nad 65 let, akorát je to pain in hell, každé příhlášení přes webovou konzoli smazat varovné výhružné okénko, že autorizační SMS byly zrušeny v roce 2023 a když používáte ty autorizační SMS, tak vám ti zlí hackeři mohou se nabourat do účtu.

(právě díky příchozí SMS uvidím, kdyby někdo náhodou si našel mé login údaje)
Taky nejsem z SMSek nadšený, protože kód má kulervoucích osem číslic, snad víc má jen RB, 10. Přitom je to totální úlet, webpage nedovolí vložit víc než 100 pokusů kódu. bohatě stačí i 4místný jako kdysi měly banky. Kdyby třeba banky nabídly nějaký OTP způsob nezávislý na operačním systému, což není nějaká obskurní aplikace z nějakého nestažitelného než jinde google play nebo nějakého obchodu s jablky

Jediné co je potřeba, je aplikace na čtení SMS

[uwe.filter]

Doporučuji kouknout na Fio. Upřímně nevím, jestli umí to propojení účtu a načítání údajů z QR kódu, ale obecně je ze všech bank, které používám nebo o kterých mám povědomí, nejpřátelštější, bez nějakých zákeřností nebo házení klacků pod nohy. K tomu (subjektivně) velmi přehledné webové bankovnictví, rovněž zákaznická podpora reaguje rychle a ochotně. Přesně tak si představuji, že má banka fungovat.

[𝑾𝑰𝑭𝑻]

• Možnost načtení QR kódu ze souboru

Tak pardon, u AirBanky jsem možnost načtení QR kódu ze souboru ve webové aplikaci nenašel (to neznamená, že tam není, já to ale nenašel). Mobilní to samozřejmě má a anžto jinou nepoužívám, tak mi tohle nedocvaklo.

[_Jenda]

a bylo by to podstatně dražší, než nejlevnější mobily

A "nejlevnější mobil" není nějaký backdoornutý Android který dostal poslední aktualizaci rok před tím než jste si ho koupil? Dříve jste tu na tento argument psal, že mobil je jenom druhý faktor, tak je i taková věc v pohodě, ale od té doby se situace změnila: naprostá většina bank již mobil nepoužívá jako druhý faktor, ale jako jediný faktor (i.e., nemají zvlášť "jen autentizační aplikaci pro internetbanking" a plnohodnotné mobilní bankovnictví, ze kterého jde dělat všechno).

A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.

Já to chápu, nechce se mu copypastovat X políček. Používá nejspíš nějaké desktopové prostředí, kde je snadné, když má otevřenou třeba PDF fakturu, ten soubor "dropnout" do okna prohlížeče.

Tak klasika, Fio.

Už se taky kazí. Teď třeba poslední věc (na konci roku) zavedli, že už ti také mohou nutit předschválené půjčky online - AFAIK jediná banka která to ještě neměla. A od kamarádů slýchám, že ten jejich javový podepisovač už v podstatě přestali podporovat.

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

Nerozumím, můžete dát příklad útoku, který umožní kompromitaci bankovnictví v prohlížeči, ale ne desktopové aplikace?

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí. Mícháš dvě věci dohromady, někde potřebuješ mít uložený tajemství (teď se používá zabezpečná enclava uvnitř telefonu), pak aplikaci, která ti zobrazí výzvu a po tvém potvrzení jí skombinuje s tajemstvím a doručí bankce. Ty přepisovací kalkulačky jsou už historie.

Já myslel, že se bavíme o vyhackovaném počítači, kde ti pak ta aplikace může zobrazovat cokoli.

[Filip Jirsák]

A "nejlevnější mobil" není nějaký backdoornutý Android který dostal poslední aktualizaci rok před tím než jste si ho koupil? Dříve jste tu na tento argument psal, že mobil je jenom druhý faktor, tak je i taková věc v pohodě, ale od té doby se situace změnila: naprostá většina bank již mobil nepoužívá jako druhý faktor, ale jako jediný faktor (i.e., nemají zvlášť "jen autentizační aplikaci pro internetbanking" a plnohodnotné mobilní bankovnictví, ze kterého jde dělat všechno).

Pokud byste se opravdu bál, že Čína prodává backdoornuté mobily zaměřené na české bankovní aplikace (a neví se o tom), můžete ten mobil používat bez připojení k internetu. To potvrzování bankovních transakcí bude sice trochu méně pohodlné, ale riziko napadeného mobilu to řeší.

Mimochodem, nejlevnější noname mobil s Androidem na Alze je jakýsi Infinix Smart zlevněný na 1 790 Kč, základní cenu Alza uvádí 1 890 Kč. Nejlevnější značkový mobil s Androidem mají Motorola Moto E14 za 1 888 Kč. Takže druhé možné řešení vašeho problému je to, že si nekoupíte ten nejlevnější mobil ve slevě, ale připlatíte si stovku za normální značku.

[bmn]

Jestli si někdo myslí, že bankovní aplikace běžící na mobilu je v bezpečí před jinými aplikacemi, doporučuji se podívat na statistiky CVE Androidu/iOS, třeba tohle:
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224

Představy, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, jsou úplně mimo. To, že se zatím masivně neútočí na aplikace našich malých bank neznamená, že se někdy někomu neoplatí tomu čas věnovat.

Ohledně kontroly rootu na telefonu, tak třeba aplikaci od Fio to nevadí, není třeba root maskovat. Pokud bych neměl možnost si zkontrolovat jaké data posílá v PCAPdroidu, tak ji nepoužívám (pouze jako druhý faktor samozřejmě).

[Filip Jirsák]

Jestli si někdo myslí, že bankovní aplikace běžící na mobilu je v bezpečí před jinými aplikacemi, doporučuji se podívat na statistiky CVE Androidu/iOS, třeba tohle:
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224

Představy, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, jsou úplně mimo. To, že se zatím masivně neútočí na aplikace našich malých bank neznamená, že se někdy někomu neoplatí tomu čas věnovat.

Ohledně kontroly rootu na telefonu, tak třeba aplikaci od Fio to nevadí, není třeba root maskovat. Pokud bych neměl možnost si zkontrolovat jaké data posílá v PCAPdroidu, tak ji nepoužívám (pouze jako druhý faktor samozřejmě).

Statistiky CVE ovšem vůbec nevypovídají o tom, jestli je jedna aplikace schopna napadnout jinou aplikaci. A to ani kdyby CVE vyjadřovalo skutečně to, jako co se prezentuje.

O představě, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, tu píšete jediný vy. Když se nevyplatí útočit na aplikace našich malých bank, na aplikace velkých zahraničních bank se přes chyby v softwaru útočí? Na které banky například?

Jaká data tedy aplikace Fio posílá? A jak víte, že vždy posílá jen to, co jste odpozoroval? Že si se svou případnou záškodnickou činností nepočká třeba měsíc od instalace? A v čem by ta záškodnická činnost bankovní aplikace spočívala?