Zadaní telefonu při přihlášení do Komerčky

Zadaní telefonu při přihlášení do Komerčky
« kdy: 01. 04. 2023, 20:13:48 »
Zdravím,

mám dotaz od člena rodiny, který používá e-banking (MojeBanka) od Komerční banky. Vypadá to, že při přihlašování bezpečnostním heslem (ostaní varianty jsou aplikace KB Klíč online, KB Klíč offline a Osobní certifikát na čipové kartě), teď banka požaduje zadání telefonního čísla (napřed klientské číslo, potom telefonní číslo a když jsou v pořádku, heslo). A není jediný v okolí, komu to teď tak funguje. (Ostatně na webu Komerčky si to může vyzkoušet kdokoliv, jako pokus o login projdou třeba nějaká čísla.)

Je to normální???

Vždyť na to telefonní číslo potom chodí potvrzovací smsky, takže to vypadá úplně stejně jako nějaký MitM scam a jako dvoufaktorová autorizace to trochu postrádá smysl (ale nejsem expert na moderní trendy v bezpečnosti...). V nápovědě (FAQ) na webu o zadávání telefonního čísla nic není.

Děkuji za vysvětlení, případně další názory.
« Poslední změna: 01. 04. 2023, 22:14:26 od Petr Krčmář »


Re:Zadaní telefonu při přihlášení do e-bankingu Komerčky????
« Odpověď #1 kdy: 01. 04. 2023, 20:29:59 »
Co Vám na tento dotaz, když jste se jí ptal, odpověděla samotná banka?

Re:Zadaní telefonu při přihlášení do e-bankingu Komerčky????
« Odpověď #2 kdy: 01. 04. 2023, 21:02:42 »
Za prvé, také si myslím, že je to dotaz především na banku. Za druhé, nevím, co si představujete pod termínem „MitM scam“. (Víc, co znamená zkratka MitM i co znamená slovo scam, právě proto se ptám, co si pod tím představujete vy.) Podle zpráv na webu KB aktuálně probíhá nějaká kampaň s falešnými stránkami KB, takže je možné, že KB aktivovala další úroveň zabezpečení.

Proti podvodným webům se uživatel brání především tím, že když má otevřený přihlašovací formulář, zkontroluje si, jestli doména zobrazená v adresním řádku prohlížeče je ta správná, a jestli je tam zámeček označující zabezpečené spojení. Pokud ano, zadává ty údaje bance. Pokud ne, nemá tam zadávat nic, i kdyby to po něm chtělo jenom login a nic jiného.

David

  • ***
  • 151
    • Zobrazit profil
Re:Zadaní telefonu při přihlášení do e-bankingu Komerčky????
« Odpověď #3 kdy: 01. 04. 2023, 21:35:26 »
To zadané telefonní číslo se porovnává s číslem uloženým v bance. Není to tak, že by na zadané číslo pak chodily SMSky:) ;)

RDa

  • *****
  • 2 676
    • Zobrazit profil
    • E-mail
Re:Zadaní telefonu při přihlášení do e-bankingu Komerčky????
« Odpověď #4 kdy: 01. 04. 2023, 21:46:09 »
To zadané telefonní číslo se porovnává s číslem uloženým v bance. Není to tak, že by na zadané číslo pak chodily SMSky:) ;)

Pokud mate duveru kam to zadavate, tak to mozne je. Ale prave podvodne stranky by se snazili z cloveka vylakat co nejvice fakturu.. proto chapu i paniku zakladatele vlakna.


Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #5 kdy: 01. 04. 2023, 22:39:50 »
To zadané telefonní číslo se porovnává s číslem uloženým v bance. Není to tak, že by na zadané číslo pak chodily SMSky:) ;)

Pokud mate duveru kam to zadavate, tak to mozne je. Ale prave podvodne stranky by se snazili z cloveka vylakat co nejvice fakturu.. proto chapu i paniku zakladatele vlakna.
Za prvé, také si myslím, že je to dotaz především na banku. Za druhé, nevím, co si představujete pod termínem „MitM scam“. (Víc, co znamená zkratka MitM i co znamená slovo scam, právě proto se ptám, co si pod tím představujete vy.) Podle zpráv na webu KB aktuálně probíhá nějaká kampaň s falešnými stránkami KB, takže je možné, že KB aktivovala další úroveň zabezpečení.

Myslím to víceméně tak, jak to pochopil RDa citovaný nad vámi (akorát mu asi telefon opravil "fakta" na "faktury"). Vypadá to jako "útok" podle šablony na vysávání dat, aby se potom útočník mohl vydávat za banku. Banka prostě uživatele nutní provést něco, co se dá čekat u podvodných stránek (žádá neobvyklé informace navíc), a před čím jsou uživatelé varováni. I když to může být jen jejich snaha doplnit autentizaci něčím dalším kromě hesla pro dočasné (?) zvýšení bezpečnosti.

Prakticky si to pořešíme přímo s bankou. Sem jsem ten dotaz myslel spíš tak, jestli vám připadá v pořádku tyhle údaje požadovat a jak moc je takový požadavek v rozporu s tím, jak se uživatelům vtlouká do hlav, že mají být opatrní a nic navíc nikam nezadávat. Nemám tušení, jak je dneska běžné a časté (zvlášť přes HTTPS) podvrhnout část stránky nebo k ní něco přidat (a tipuju, že řádově složitější, než v nějakém phishing mejlu poslat "falešný" odkaz, který by si uživatel mohl v adresním řádku zkontrolovat).

Arthur

  • ***
  • 171
    • Zobrazit profil
    • E-mail
Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #6 kdy: 01. 04. 2023, 23:22:49 »
Ověření telefonního čísla je vyžadováno i při prvním přihlášení (na daném počítači/účtu) přes KB klíč.

V tomhle zásadní problém nevidím. Jestli to snižuje odolnost uživatelů proti podvrhu... těžko říct, jediná obrana je stejně jen poctivá kontrola adresního řádku s platným zámečkem...

Mnohem víc mě vadilo, když zrušili možnost hlásit se přes osobní certifikát + SMS, to byla poctivá dvoufaktorová (i když skoro třífaktorová) autentizace. U KB klíče mi ten nezávislý kanál prostě chybí.

.

  • *****
  • 618
    • Zobrazit profil
Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #7 kdy: 01. 04. 2023, 23:34:06 »
Nejbezpečnější je potvrzovat přihlášení přes appku v telefonu pomocí otisku prstu. To se žádnému útočníkovi s falešnými stránkami banky zatím napodobit nepodařilo. Nějaké prehistorické SMS z dob tlačítkových telefonů už měly banky dávno poslat k ledu. Kdo chce internetové bankovnictví, holt musí jít s dobou a pořídit odpovídající foun. Těch pár ostatních (=zanedbatelný počet) ať si udělá pěknou procházku na pobočku k okýnku :P

Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #8 kdy: 02. 04. 2023, 09:14:59 »
Jen přečíst smluvní podmínky, pravidla soukromí a další právní náležitosti, s kterými musím souhlasit, abych se k té bankovní aplikaci na tom úžasném smartphonu dostal, mi zabere tolik času, že je snad opravdu výhodnější chodit na tu pobočku.

Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #9 kdy: 02. 04. 2023, 09:35:07 »
komerčka je srandovní. Taky ji zatím mám. "Nejlepší" mi přijde, že ona po přihlášení (a ověření SMS kvůli dvoufaktoru) pak už někdy vůbec SMS nevyžaduje na potvrzení platby (jen zadání hesla)
Nevím jak to mají "inteligentně" nastaveno (známé účty/limit částky), ale přijde mi, že pokud se pak dělá další platba, tak to už nechce SMS nikdy ikdyž jde o vyšší částku

Dokázal bych is představit mírně složitější vir s keyloggerem, co by čekal až člověk provede platbu s potvrzením po SMS a v zápětí provedl další platbu sám.
Dost by mě pak zajímala argumentace banky, kdyby po ní člověk chtěl takto uniklé peníze zpátky. Však já sakra platbu dvoufaktorově nepotvrdil...
Přijde mi dost absurdní, že teda člověk je zvyklý potvrzovat platby po SMS, dává mu to i určitý "klid" a najednou po zadání hesla se mu už objeví že platba odeslána a hotovo...

Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #10 kdy: 02. 04. 2023, 09:40:13 »
Myslím to víceméně tak, jak to pochopil RDa citovaný nad vámi (akorát mu asi telefon opravil "fakta" na "faktury"). Vypadá to jako "útok" podle šablony na vysávání dat, aby se potom útočník mohl vydávat za banku. Banka prostě uživatele nutní provést něco, co se dá čekat u podvodných stránek (žádá neobvyklé informace navíc), a před čím jsou uživatelé varováni. I když to může být jen jejich snaha doplnit autentizaci něčím dalším kromě hesla pro dočasné (?) zvýšení bezpečnosti.

Prakticky si to pořešíme přímo s bankou. Sem jsem ten dotaz myslel spíš tak, jestli vám připadá v pořádku tyhle údaje požadovat a jak moc je takový požadavek v rozporu s tím, jak se uživatelům vtlouká do hlav, že mají být opatrní a nic navíc nikam nezadávat. Nemám tušení, jak je dneska běžné a časté (zvlášť přes HTTPS) podvrhnout část stránky nebo k ní něco přidat (a tipuju, že řádově složitější, než v nějakém phishing mejlu poslat "falešný" odkaz, který by si uživatel mohl v adresním řádku zkontrolovat).
Jestli to vypadá nebo nevypadá jako útok nevíme, protože to jediné, co rozhoduje o tom, zda to je nebo není útok – tedy doménové jméno a to, zda je potvrzené důvěryhodným certifikátem – jsme se zatím nedozvěděli.

Každopádně je to ale zajímavý test, jestli byste útoku podlehl – a tím testem jste neprošel. Protože útok nepoznáte podle toho, jak stránky vypadají, ani podle toho, co po vás ty stránky chtějí. Útok rozeznáte právě jen kontrolou domény.

Uživatelům se netlouká do hlavy, že nemají nikam zadávat nic navíc. Vtlouká se jim do hlavy, že údaje mají zadávat jenom tehdy, když mají ověřeno, že je zadávají na správný web.

Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #11 kdy: 02. 04. 2023, 09:45:17 »
komerčka je srandovní. Taky ji zatím mám. "Nejlepší" mi přijde, že ona po přihlášení (a ověření SMS kvůli dvoufaktoru) pak už někdy vůbec SMS nevyžaduje na potvrzení platby (jen zadání hesla)
Takhle to mají všechny banky. Vyhodnocují rizika u každé platby zvlášť a podle toho také přizpůsobují požadavky na ověření. Kdyby na všechny platby aplikovaly ta nejpřísnější pravidla, banky by nikdo nepoužíval. (A ne, to, že potvrdíte platbu v mobilní aplikaci, není ta nejpřísnější možná kontrola.) To, že u té druhé platby není potřeba potvrzení, není závislé jen na době od první platby. Závisí to nejspíš také na částce, možná na tom, zda už jste na ten účet dříve platil, případně jestli cílový účet banka zná a jakou má reputaci.

Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #12 kdy: 02. 04. 2023, 10:40:54 »
Jestli to vypadá nebo nevypadá jako útok nevíme, protože to jediné, co rozhoduje o tom, zda to je nebo není útok – tedy doménové jméno a to, zda je potvrzené důvěryhodným certifikátem – jsme se zatím nedozvěděli.

Doménové jméno je v pořádku. Ono to je v tom prvním postu tak nějak implicitně řečeno, ale chápu, že ta moje formulace vypadá, že jsme to nezkontrolovali. V tomhle byl třeba ten už zmíněný osobní certifikát lepší, protože jeho změna byla "velká událost."

Navíc v tomhle případě byl ten zmatek ještě umocněný tím, že osobní bankéř v bance uživatele přesvědčil ke změně loginu na mejlovou adresu (gmail; přesné podmínky a vysvětlení nevím). Uživatel se bránil, ale autoritě autority se neubránil :-)  Takže z pohledu uživatele to vypadá 2x divně... Napřed při přihlášení zadá mejlovou adresu, potom sám zadává telefonní číslo, na které mu přijdou potvrzovací smsky, a potom zadává heslo. Z laického pohledu teď mají stránky všechny údaje, aby se před uživatelem mohly vydávat za banku.

Ale tím jsem ten dotaz nechtěl komplikovat, protože to bylo provedené osobně v bance (a uživatel o té změně věděl), login se dá v aplikaci pro bankovnictví změnit a zbytečně by to odvádělo pozornost jinam.

Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #13 kdy: 02. 04. 2023, 10:45:35 »
Každopádně je to ale zajímavý test, jestli byste útoku podlehl – a tím testem jste neprošel. Protože útok nepoznáte podle toho, jak stránky vypadají, ani podle toho, co po vás ty stránky chtějí. Útok rozeznáte právě jen kontrolou domény.

Tím si právě nejsem moc jistý. To opravdu není možné, aby mi někdo (případně s mojí "dopomocí", zvlášť jestli třeba čtu poštu v Gmailu) propašoval do prohlížeče nějaký add-on nebo něco takového, co se pověsí na kód stránky banky (i když se k ní připojuji přes HTTPS) a doplní k ní dotaz na další údaje?

rmrf

Re:Zadaní telefonu při přihlášení do Komerčky
« Odpověď #14 kdy: 02. 04. 2023, 10:48:51 »
Co já vím, tak Komerčka vyžaduje nejprve zadání uživatelského jména. Hned pod tím je souhlas se zapamatováním údajů pomocí cookies. Následně chce telefonní číslo a pak ověření pomocí klíče...
Takže, patrně, když nedáš souhlas s cookies, musíš při dalším prihlášení projít toto celé znovu. Když souhlas dáš a cookies nevymažeš, může být ten krok příště přeskočen.
Předpokládám, že na infolince dotaz zodpoví bez nejmenších problémů.
« Poslední změna: 02. 04. 2023, 10:50:50 od rmrf »