Je přístup do online bankovnictví bezpečný?

j

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #15 kdy: 12. 12. 2016, 13:35:44 »
... nemaji sim kartu ze SIM toolkitem....
A to jako nac? SMS netreba sifrovat, podstatny je to, ze jde jinym kanalem na jiny zarizeni.

Až na to, že jejich banking se vůbec nezměnil od dob E-banky
Ale jo, uz uspesne zkurvili login a session maji kvuli tomu v adrese.


Jenda

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #16 kdy: 13. 12. 2016, 00:21:27 »
... nemaji sim kartu ze SIM toolkitem....
A to jako nac? SMS netreba sifrovat, podstatny je to, ze jde jinym kanalem na jiny zarizeni.
Tu SMS může někdo cestou odsniffnout.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #17 kdy: 13. 12. 2016, 08:42:27 »
... nemaji sim kartu ze SIM toolkitem....
A to jako nac? SMS netreba sifrovat, podstatny je to, ze jde jinym kanalem na jiny zarizeni.
To je jen obrana proti napadení PC. Existují ale i jiné vektory útoku – napadení mobilu nebo zachycení SMS v síti operátora nebo „ze vzduchu“. Proti oběma těmto vektorům brání šifrované SMS, kterou dešifruje applet na SIM kartě. Zrovna jako ochrana proti chybám v softwaru chytrých telefonů by to byla velmi dobrá volba – pokud by SIM toolkit na těchto telefonech fungoval rozumně a ne hůř, než na hloupých mobilech.

j

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #18 kdy: 13. 12. 2016, 11:02:36 »
Tu SMS může někdo cestou odsniffnout.
Mno to muze ... a pak si jeste musi telepaticky precist tvuj pin.

Takze tech veci ktery musi aby uspesne napad tvoji transakci je docela dost na to, aby pravdepodobnost byla miziva.

Co by uzitecny byt mohlo by byla zmena ty sms, coz by se ovsem delalo jeste hur.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #19 kdy: 13. 12. 2016, 13:06:54 »
Tu SMS může někdo cestou odsniffnout.
Mno to muze ... a pak si jeste musi telepaticky precist tvuj pin.
Bavíme se o případu, kdy útoční ovládá uživatelův webový prohlížeč. Odposlechnout PIN zadaný do formuláře je jednodušší, než podstrčit do formuláře jiné číslo účtu tak, aby se o tom uživatel nedozvěděl.

Ano, i nešifrovaná SMS je jako druhý kanál výrazné zvýšení bezpečnosti a webové bankovnictví bez zabezpečení druhým kanálem bych nechtěl. Ale když používáte nešifrované SMS, jediné, co brání třeba mobilnímu operátorovi provést bankovní převod vaším jménem, je důvěryhodný prohlížeč a důvěryhodný certifikát serveru (přičemž zrovna vy pokud vím nedůvěřujete žádnému certifikátu). A když vám svůj prohlížeč vnucuje Seznam, proč by to nemohl dělat i O2, T-Mobile nebo Vodafone?


Pako

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #20 kdy: 13. 12. 2016, 14:02:53 »
A když vám svůj prohlížeč vnucuje Seznam, proč by to nemohl dělat i O2, T-Mobile nebo Vodafone?

Nu a na mobilech se tomu říká nativní mobilní aplikace...

Lojza

  • *****
  • 672
    • Zobrazit profil
    • E-mail
Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #21 kdy: 13. 12. 2016, 16:21:03 »
tohle je taky zneklidnujici, kdo si ma furt u limitu karty davat 0 na internetove platby kdyz sem tam potrebuje platit ...

https://www.root.cz/zpravicky/zlodejum-staci-par-sekund-aby-uhadli-udaje-na-karte-visa/

Jenda

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #22 kdy: 13. 12. 2016, 16:50:24 »
Ale když používáte nešifrované SMS, jediné, co brání třeba mobilnímu operátorovi
Podle mě větší riziko než nějaký zaměstnanec operátora je, že prostě útočník přijde dostatečně blízko, aby slyšel downlink BTS, na které je můj mobil přihlášený. Někteří operátoři už se snaží zapínat A5/3 (pokud to váš mobil podporuje, což bohužel rozhodně neplatí pro všechny mobily), ale minimálně nedávno bylo šifrování GSM dost bída.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #23 kdy: 13. 12. 2016, 17:46:12 »
prostě útočník přijde dostatečně blízko, aby slyšel downlink BTS, na které je můj mobil přihlášený
Útočníkovi ale nestačí přečíst si SMS pro vámi zadanou transakci. Útočník potřebuje nejprve váš příkaz k úhradě změnit, a teprve pak potřebuje získat potvrzovací kód pro tu svou zfalšovanou transakci.

Jenda

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #24 kdy: 14. 12. 2016, 01:33:19 »
prostě útočník přijde dostatečně blízko, aby slyšel downlink BTS, na které je můj mobil přihlášený
Útočníkovi ale nestačí přečíst si SMS pro vámi zadanou transakci. Útočník potřebuje nejprve váš příkaz k úhradě změnit, a teprve pak potřebuje získat potvrzovací kód pro tu svou zfalšovanou transakci.
Měl jsem za to, že mluvíme o situaci, kdy útočník naboural počítač, a tudíž zná heslo do internetbankingu a příkaz si tak může zadat libovolný.

Jediné, co oběti v ten okamžik může pomoct, je všimnout si, že jí přišla SMS s nějakou divnou transakcí a okamžitě kontaktovat banku ať se to pokusí ještě zastavit.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #25 kdy: 14. 12. 2016, 20:13:15 »
-podvrhnout IP  adresu webu me banky (zapis do host) -takze i pri kontrole URL  je vse v poradku, ikdyz misto na web banky pristupuji na webovy server utocnika
-certifikat si pro svuj web muze vystavit sam a do meho operacniho systemu dat svou certifikacni autoritu jako duveryhodnou
Takze ja pri kontrole pristupu na korektni URL pres validni HTPPS jsem spokojeny, presto ze pristupuji na web utocnika?

Tohle je zbytečně složitá cesta. Mnohem jednodušší spočívá v MitB, tedy instalaci zlomyslného rozšíření typu Adblock Super, kterému dá uživatel v dobré víře oprávnění číst a měnit data na všech navštívených webech. Pak uživatel otevře adresu banky, načte se mu ze správné URL se správným certifikátem internetové bankovnictví, jen po přihlášení rozšíření jednak odešle přihlašovací údaje útočníkovi, jednak zobrazí autenticky vypadající výzvu bankovní instituce k instalaci speciální bankovní aplikace pro dvoufaktorovou autentizaci. Ještě nejlépe s výhružkou, že bez takovéto aplikace se už příště nepřihlásí. Uživatel si tedy nainstaluje aplikaci, jejímž hlavním smyslem je přeposílat autentizační SMSky útočníkovi.

Takovýto útok je možné provádět plošně a dlouhodobě, nejlépe tak, že zmíněné zlomyslné rozšíření bude plnit svůj původní účel a stane se mezi uživateli oblíbené. Teprve po analýze je možné injektovat cílené útoky na jednotlivé bankovní instituce.

.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #26 kdy: 15. 12. 2016, 13:24:27 »
Tohle je zbytečně složitá cesta. Mnohem jednodušší spočívá v MitB, tedy instalaci zlomyslného rozšíření typu Adblock Super, kterému dá uživatel v dobré víře oprávnění číst a měnit data na všech navštívených webech. Pak uživatel otevře adresu banky, načte se mu ze správné URL se správným certifikátem internetové bankovnictví, jen po přihlášení rozšíření jednak odešle přihlašovací údaje útočníkovi, jednak zobrazí autenticky vypadající výzvu bankovní instituce k instalaci speciální bankovní aplikace pro dvoufaktorovou autentizaci. Ještě nejlépe s výhružkou, že bez takovéto aplikace se už příště nepřihlásí. Uživatel si tedy nainstaluje aplikaci, jejímž hlavním smyslem je přeposílat autentizační SMSky útočníkovi.

Takovýto útok je možné provádět plošně a dlouhodobě, nejlépe tak, že zmíněné zlomyslné rozšíření bude plnit svůj původní účel a stane se mezi uživateli oblíbené. Teprve po analýze je možné injektovat cílené útoky na jednotlivé bankovní instituce.
To ale stále z velké míry předpokládá jedno fyzické zařízení (třeba mobil). Pokud se použijí 2 nezávislá fyzická zařízení, je ovládnutí mnohem složitější. A i pokud se útočníkovi podaří ovládnout (na dálku) obě, stále je tam ten ruční přenos dat mezi nimi, který by při elementární kontrole měl útočníka odhalit.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #27 kdy: 16. 12. 2016, 09:46:42 »
Další cestou může být dvoufaktorové přihlašování přes token, údajně to u nás už podporuje Reiffeisen.

Hmm, opravte mne někdo jestli se pletu, ale potenciální problém s použitím tokenu je to, že na něm není vidět jakou transakci povoluje/potvrzuje. V hypotetickém případě tak malware provede mitm a předhodí tokenu pro podepsání něco jiného než si uživatel "odkliknul" na webu(tj, místo požadovaného zaplacení faktury z eshopu, vám přesunou všechny peníze jinam).

Naproti tomu v SMS je napsáno kolik a komu se má poslat. Ale zas to předpokládá že nemáte ten samý malware i v mobilu, to pak samozřejmně se nedá spolehnout ani na SMS.

Z mého pohledu je tak SMS o trošičku(ale ne velkou) lepší, protože je potřeba aby se mallware dostal na oba stroje.
Ale ve výsledku, pokud se na to nepoužívá "dumbfone" je to skoro jedno.


expert

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #28 kdy: 16. 12. 2016, 10:40:34 »
Hmm, opravte mne někdo jestli se pletu, ale potenciální problém s použitím tokenu je to, že na něm není vidět jakou transakci povoluje/potvrzuje. V hypotetickém případě tak malware provede mitm a předhodí tokenu pro podepsání něco jiného než si uživatel "odkliknul" na webu(tj, místo požadovaného zaplacení faktury z eshopu, vám přesunou všechny peníze jinam).

Chapu, kam tim miris, bohuzel ta myslenka ma zasadni nedostatek. Token je offline a dost hloupe zarizeni (na urovni obycejne kalkulacky). Pro vstup (PIN) generuje hash (jednorazovy kod) a tento kod musis rucne prepsat do bankovnictvi.

Pripadny utocnik i kdyby vygeneroval transakci, musel by uhadnout kod ktery server prijme a ten bez znalosti pinu a pouzite hashovaci funkce neuhadne.

Pako

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #29 kdy: 16. 12. 2016, 11:55:40 »
Hmm, opravte mne někdo jestli se pletu, ale potenciální problém s použitím tokenu je to, že na něm není vidět jakou transakci povoluje/potvrzuje. V hypotetickém případě tak malware provede mitm a předhodí tokenu pro podepsání něco jiného než si uživatel "odkliknul" na webu(tj, místo požadovaného zaplacení faktury z eshopu, vám přesunou všechny peníze jinam).

Chapu, kam tim miris, bohuzel ta myslenka ma zasadni nedostatek. Token je offline a dost hloupe zarizeni (na urovni obycejne kalkulacky). Pro vstup (PIN) generuje hash (jednorazovy kod) a tento kod musis rucne prepsat do bankovnictvi.

Pripadny utocnik i kdyby vygeneroval transakci, musel by uhadnout kod ktery server prijme a ten bez znalosti pinu a pouzite hashovaci funkce neuhadne.

Pokud se pamatuji dobře, token v eBance byl generován z údajů o transakci (na "kalkulačce" se musela zadat částka, číslo účtu atd.).