Názory k článku
Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák?

CS to ma, lze to nastavit primo v IB.

Až na to, že transakce v hotovosti jsou legální jen do (ekvivalentu) 15.000 EUR - chápu, že dům/byt/auto si člověk nekupuje/neprodává každý den, ale bez účtu to asi nepůjde...

Možná mělo v článku zaznít, že Rajfka má ošetřeno i prvotní přihlášení k účtu pomocí SMS, takže nějaký pishing nemůže nikoho vůbec ohrozit. Ta SMS je navíc zabezpečená, a ne jak používají ostatní banky obyčejnou SMS, kterou si může každý správce databáze u operátora přečíst ;-)

Nepresna informace, RB (a byvala e-banka) samozrejme posila i bezne SMS, zalezi na tom, zda prijemce ma nebo nema instalovany simtoolkit (pokud si to dobre pamatuju), ovsem vzhledem k jednorazovosti takove sms je to celkem jedno.

Jenže útok byl na "žluté" účty (původní RB), nikoli ty co jsou v systému z eBanky.

Mám účet v ČSOB. Přístup k účtu je zabezpečen pouze jménem a heslem, ale tím případný útočník akorát zjistí, kolik beru a za co utrácím. To by se snad ani nijak zneužít nedalo, obzvláště úplně cizím člověkem. Jakmile bychtěl provést transakci, tak k tomu potřebuje jednorázový SMS kód. Tuto formu zabezpečení považuji za bezchybnou.

Někteří lidi si ale s bezpečností moc velké starosti nedělají, právě dnes mi od jedné kamarádky, co moc neumí na počítačích přišel odkaz na facebook a k tomu jméno a heslo, abych se mohl podívat na fotky. A to aniž bych o to heslo žádal.

Mno trebas stav uctu je hodne zajimavy udaj, a pohyby na nem taktez ...

Mno, jak u koho. U Pepu Vonáska co dělá ve fabrice a všechno co vydělá zas utratí moc ne. Když uděláte obecný útok, tak pravděpodobnost, že se dostanete k nějakému zajímavému účtu, je malá. A cílený útok na konkrétního člověka je drahý a nejistý. Takže hackovat bankovnictví jen aby jste se podíval na stav účtu se prostě nevyplatí.

Mám také účet u ČSOB a pro přístup k účtu máte možnost zaktivovat si také možnost autorizace pomocí zasílaných SMS kódů (stejné jako při zadávání transakcí) a dle vyjádření CSOB jsou i tyto SMS zdarma.
(samozřejmě máte i možnost autorizace čipovou kartou)

Přístup do IB je u ČSOB přes SMS automaticky již nějaký ten rok a ano, ty SMS nic nestojí.

Víte někdo o nějaké technice, jak by se dal provést phishingový útok na účet, na který se přihlašuji pomocí autentizačního kalkulátoru (který mám ještě z dob e-banky) ?

Nejdřív zjistím přihlašovací číslo (u RF to je dost hloupě většinou rodné číslo) a pak budu volat s "technickou kontrolou kalkulátorů".

Nadiktuju co máš zadat a ty mi řekneš, co vidíš na displeji.

Stejně tak by šlo volat s "technickou kontrolou příjmu SMS".

Pokud uživatel nerozumí principu zabezpečení, pak lze sociálním inženýrsvím dosáhnout čehokoliv. Lidi jsou blbí.

I kdyby byl někdo tak hloupý že by to řekl, tak by jsi stejně potřeboval znovu verifikovat platbu a to už by nepotvrdil ani tuplovaný polodebil když vidí že je to potvrzení platby částku....

Není to jednoduchý, ale dá se. Nicméně, pro vstup na účet lze emulovat formulář a se zadanými údaji ihned provést přihlášení na skutečný účet. Banka nepozná, že se přihlašuješ ty, nebo někde z tebe vylákal autorizační kód a s tím se přihlašuje. Má na to ale celkem málo času, ty kódy většinou plati pár minut.... To stačí.

Horší je to s platbou. Do kalkulátoru je třeba zadat i částku a číslo účtu příjemce, a pokud chce phishinkový útočník peníze poslat skrytě, pak je zřejmé, že uživatel tyto čísla není schopen naťukat. Může se to udělat pomocí sociálního inženýrství, třeba tak, že stránka uživatele přesvědčí, že jde o nějaký test kalkulátoru a krok zakrokem ho provede procesem, který vede k ověření platby.

U SMSek je to jednodušší v tom, že uživatel nemůsí úplně pozorně přečíst SMSku a jen slepě opsat kód. Že v SMSce je napsáno, že jde o platbu na účet mu bude srdečně jedno.

Prvním krokem k úspěchu je zjistit kdy a kam ten člověk posílá peníze. To jsou ty "jméno a heslo jsou jim k ničemu". Jakmile vím, kdy ten člověk asi tak může něco posílat a kam, mohu se na něj připravit. Podstrčím mu falešnou stránku, budu sledovat co dělá, to samé dělat na pravé stránce a předávat mu informace. Když dojde na převod peněz, tak až on zadá požadavek na převod X peněz na účet U u banky B, tak já zadám na pravé stránce požadavek na převod X peněz na účet FF u banky B. Řada lidí ověří částku a občas si všimne kódu banky. Konkrétní číslo účtu si ověřuje málokdo. Právě proto potřebuji vědět kolik má peněz a kdy a jaké transakce dělá - nejlépe když si každý měsíc pošle značnou část výplaty na jiný účet. A právě proto bezpečnostní odborníci považují "s username a heslem si maximálě prohlídne kolik mam na účtu a kdy a kolik jsem kam poslal" za nebezpečné podceňování. Je to ten první průzkum, zda se útočníkovi vyplatí investovat do podvodu s autorizační SMS.

Ano tak nějak. A snad i jednodušeji bez podstrčení stránek. IB umožňují uživatelům ukládat si šablony nejčastěji používaných plateb. Pro útok tedy stačí vymámit jméno a heslo, přihlásit se do IB a pozměnit tyto šablony. Pak už si jen počkat, až uživatelé sami začnou posílat peníze.

Správně popsaný man-in-the-middle proti SMS autorizacím.

A některé banky (například ta zmiňovaná ČSOB) to ještě dále zjednoduší tím, že kód banky v SMS není (jen číslo účtu, takže pokud mám stejné číslo účtu u jiné banky, tak si oběť ani nevšimne, že převádí peníze mně) anebo že pro hromadný převod je v SMS napsaná jen celková částka(!), takže uživatel netuší, na jaké účty to vlastně převod autorizuje.

Jsem rád že jsem si dávno založil účet na eBance nejlepší internetové bankovnictví v té době a dnes to ještě není překonáno z systémů co jsem viděl.
Pamatujete ještě někdo projekt eCity když eBanka začínala a nakupování na internetu bylo ještě takové scifi?

Také jsem původní klient eBanky, ale ta aplikace by si zasloužila pár zlepšení (třeba nějaký použitelný adresář).

Já tedy nebyl nikdy klientem eBanky, ale jen staré, dobré a u nás začínající Raiffeisen Bank, a rozdíl oproti dnešku se mi zdá/l také obrovský. Vidím jen samé změny k horšímu.

Co bysme také chtěli, kdysi to byla banka "s lepšími službami každý den", dnes je to banka "inspirovaná klienty". Podle mne se rozhodně neinspirovali, a jak se zdá tak doba lepších služeb vzala dávno za své...

jako byvaly zakaznik stare a dobre RB muzu slova jen potvrdit ... soucasna RB je na urovni CS.

simon

Je to tak od té doby co to vzala to spárů RB tak to jde ke dnu možná se poohlídnu po nějaké jiné bance. Jasně eBanka si nikdy nehrála na nejlevnější banku na trhu, ale měla svoje výhody a cítil jsem rozdíl od jiných bank dnes je to bída.

A jaké že to vlastně byly hospodářské výsledky té slavné eBanky?

To me jako klienta vubec nezajima. Sluzby meli nejlepsi. Nemluve o tom, ze ja jsem byl klientem Expandia banky :-)

Nevite jestli nejaka banka podporuje prihlasovani https certifikatem? Myslim tim opravdu privatni/verejny klic v browseru (nebo pres PKCS na externi karte) a ne nejaky javovy bazmek...

Pred casem jsem takovou hledal, ale nenasel :-/

Protože je to nebezpečné.

Jak si můžete chránit privátní klíč v běžném počítači plném internet explorerů, virů a malware?

Nic ve zlem, ale co je Vam do meho pocitace? Ja svuj pocitac nemam plny internet exploreru, viru ani malware. Kdyz nekdo takovy pocitac ma, tak je to jeho problem a nemusi si tuhle metodu prihlasovani aktivovat.

Navic, "chranil" bych tak, ze bych ho mel na externim PKCS#11 tokenu s PINem. (Coz sice opravdu poradne neni 100% bezpecne, ale je to srovnatelne s autorizaci pres SMSky.)

Byla by to zajímavá možnost. Vidím v tom dva problémy:

* implementace v prohlížečích (částečně daná i samotným protokolem). Moc si nedovedu představit, jak by k tomu banka poskytovala podporu ("chtěl jsem se přihlásit privátním klíčem a objevila se mi bílá stránka")

* není možné zvlášť autorizovat platební příkaz (tedy pokud by to nebyla varianta přihlášení k účtu privátním klíčem, autorizace platby bankovní SMS)

Většina bank snad nabízí přihlašování přes smart card. Stojí to dost peněz navíc. A není to odolné proti malwaru. To ty autentizační kalkulátory jsou v tomto směru mnohem lepší, tedy pokud někdo nezmrví implementaci ve jménu zjednodušení uživatelské obsluhy.

Nějaké peníze navíc to stojí, ale používají certifikáty od I.CA (nevím, zda to dělají všechny banky) a pak to lze používat jako elektronický podpis. Takže pokud ten člověk elektronický podpis používá, tak nepatrně ušetří. :-)

Mám pro autory phisingu dobrou zprávu - ano, samozřejmě, že se ještě takoví najdou. A je jich spousta.
K tomuto názoru mě svádí například má nedávná zkušenost s mými rodiči (kteří prominou, v ostatních věcech si jich velmi vážím) a s vánočním emailem:

Prosímtě, přišel mi email, který má v příloze přání k Vánocům ( pozn.: VeseleVanoce.exe ) a já nevím, jak se ta příloha má uložit do počítače. Mohl bys mi s tím pomoct?

Jediným štěstím v této situaci bylo opravdu to, že rodiče neuměli tu přílohu ani uložit. :(
A takových lidí není málo.

Proto soudím, že pokud by jim takový e-mail přišel, pak by existovala bohužel dost veliká šance, že by v tomto případě phisingový podvod vyšel. Naštěstí mně mí rodiče volají, když si nejsou v podobných věcech jistí a tedy je u nás v rodině riziko phisingového podvodu, troufám si tvrdit, zanedbatelné..

Proto mají rodiče na takové to domácí brouzdání Ubuntu. A bez root hesla.

Skype jde, Firefox jde. Více netřeba. Administrovat to lze krásně vzdáleně, včetně upgradu. Vzdálená plocha je v základu.

Naučili se s tím hned. S komentářem "Ty nové Windows vypadají trošku jinak, co?"

A nestačilo chudákům rodičům doporučit, aby bankovní účty spravovali klasickým způsobem a Internet Banking zapoměli?

Žádný slušný antivirák by to VeseleVanoce.exe neměl dovolit spustit. A žádný slušný antivirák by neměl dovolit kliknout na phishingový odkaz.

Vycházím zde z pravděpodobnosti a ze síly velkých čísel. Jen na vaše počítačově negramotné rodiče nikdo cílený malware nebo phishing nedělá. A pokud ho dělá na sto tisíc potenciálních obětí, tak už to téměř jistě antivirové firmy zachytily a zpracovaly.

Koukněte se nejdřív na ceník certifikátů u bank (resp. u certifikačních autorit), a to, že je furt zdražujou, a platěj stejně jenom rok, a pak i zjistíte, proč na to spousta lidí dlabe. Na svojí délku platnosti zcela předražená věc.

otřesné slovo - proč ho používáte???