Názory k článku
Hackeři skrze NFC v mobilech klonovali platební karty Čechů a vybírali peníze z bankomatů

zajímalo by mne, jak se k tomu postavily banky ...

Proč by se k tomu banky měly nějak stavět? Je hloupost klienta, že si stáhnul nějakou aplikaci. Nebo zde nějaké pochybení banky vidíte? A pokud ano, jaké?

takovýhle cílený útok je těžko hloupost klienta, je v rukou bank tohle ovlivnit, dokonce to musí dělat i ze zákona. Nelze bezpečnost stavět na tom, že se nikdy nenecháš zmást.

Ani ty nejsi neomylný a velice snadno se můžeš na podobné scamy nechat nachytat. Testy, které pravidelně děláme u firem jsou jasným důkazem, že se nachytávají všechny typy lidí, není to o vzdělání, penězích, sebevědomí, inteligenci, prostě lidé neumí být 100 % pozorní vždy a třeba v případě mobilů nelze ani často ověřit doménu, s kterou komunikuje, prohlížeče to schovávají, aplikace nezobrazují vůbec a těžko bude mít běžný uživatel MitM proxy a dozorovat provoz.

To je jako tvrdit při dopravní nehodě, že jsem ji sice způsobil, ale nenesu odpovědnost, protože chybovat je lidské. Taky nesmysl, každý si za svoje chování zodpovídá sám. Takže za hloupost uživatelů ani banka odpovědnost nést rozhodně nemůže a vůbec neomlouvá, jestli je někdo omylný či nikoliv.

Dopravní nehoda až na velmi řídké výjimky nastává nechtěně. Podvod je naopak chtěný (ze strany pachatele).

Není pravda. Pokud jste do dopravní nehody zatažen úmyslně, máte prostor k obraně. Viz úmyslné vybrždění versus nedodržení vzdálenosti za vozidlem.

U retezovky typicky nemusite nehodu zpusobit umyslne.
Take nekdy musite zpusobit nehodu kvuli zabraneni vyznamnych ztrat napr. na zivote.
Ne vzdy si za sve chovani muzete sam - zakon na to tez pamatuje.
Uvedomte si ze clovek neni stavovy automat.
Fascinuje mne vase prilis zjednodusene a bipolarni videni sveta.

A klienti kterých tří tuzemských bank?

v odkázaném článku ČSOB, spořka, raifka

RB, ČSOB, ČS, snad to není tajné, ale vím to i z veřejných a ne jen interních zdrojů.

Chtělo by to trochu bližší popis, toto je plné novinářských zkratek. V odkázaném článku je popsáno, že podstrčená aplikace na straně klienta načetla (nekryptované) UID platební karty a vylákala PIN. Na straně hackera toto UID klonovala (k tomu je třeba rootnutý systém). A pak nějaká zkratka, že to stačilo k provádění plateb. Jako cože, že k autentizaci platební karty při placení stačí jen načíst UID, žádná kryptografie, certifikáty a tak?? Jako v dobách, kdy stačilo jen načíst konstantní informaci z magnetického proužku?

Také mne to překvapilo. Napadlo mne, zda to není nějaká NFC emulace magnetického proužku (který je zase emulací vytlačených čísel a „žehličky“). Platby kartou mají různé úrovně zabezpečení – od neprimitivnější, kdy stačí znát číslo karty, k dalším, kdy je potřeba k číslu karty bezpečnostní kód a měsíc expirace, až po nejlepší, kde se (doufám) používá podepisování nějaké výzvy. No a způsob přenosu údajů je na té úrovni zabezpečení nezávislý. Magnetický proužek znamenal změnu způsobu přenosu údajů oproti opisování čísel z otisku na papíře, ale zabezpečení bylo pořád stejné – jen číslo karty. Vlastně by mne ani moc nepřekvapilo, kdyby i v tom NFC byly pořád podporované všechny starší způsoby zabezpečení, až po ten nejstarší – pouhý přenos čísla karty. Pak by stačilo to číslo karty přenést na magnetický proužek a vybírat s tím z bankomatů v místech, kde nic novějšího než magnetické proužky není. Ale jestli to tak doopravdy je, je to teda dost nebezpečné.

mrkni na protokol NFC pay, řeší se hlavně zabezpečení přenosu, což je ok, ale už se neověřuje žádnými dalšími kryptografiemi samotná platba, prostě na straně zdroje je nějaký identifikátor a je na terminálu a bance, jestli to projde nebo ne. Neprokazuje se při přenosu nic víc.

Co je ale důležité říct, karty mají nastavené limity pro offline platby, u online plateb je poté na bance, jestli bude při platbě požadovat další ověření (např. v bankovní aplikaci, pin, přes sms, zavolá klientovi) nebo platbu rovnou zamítne. Tenhle systém musí banky prokazatelně udržovat dostatečně bezpečný, aby právě nedošlo k ukradení údajů, NFC platba je z tohoto pohledu velice nebezpečná, protože těch údajů, kteřé jsou k platbě potřeba je málo a nejsou moc zabezpečeny). Riziko ze zákona nese banka a nikoliv klient, pokud teda klient vědomě neporuší nějaká pravidla (jsem zvědavý jak to v tomhle případě budou banky vyhodnocovat).

Útočníci si schválně vybrali banky, které to mají v tomhle ohledu naprosto na háku. ČSOB jede na extrémně starých technologií a projekt upgradu zatím probíhá, RB na to kašle, ČS se potápí v nákladech na funkce a bezpečnostní věci dává na druhou kolej.

Myslel jsem si, že důvodem k pravidelné výměně platebních karet je vypršení nějakého certifikátu uvnitř. Že ta karta každou transakci podepíše a někde v karetní společnosti nebo bance se kontroluje platnost podpisu. A vono prd. Kdo toto vymyslel a kterou část těla při tom používal?

Firmware karet a klice lze updatovat do jiste miry updatem z bankomatu nebo terminalu. Tato zarizeni vas pozadaji o vlozeni/kontaktni platbu pokud je to nutne. Nektere mene vypatlane banky dokonce upoxorni klienty predem.
Samozrejme kdyz hw nestaci, vycerpal se counter operaci nebo je nekde dira v implementaci smart cipu je treba vymenut kartu. Stejne se to deje cyklicky.

28. 8. 2024, 12:37 editováno autorem komentáře

a realita je úplně někde jinde. Čip na platební kartě toho je schopný, pravidelná výměna je umělé omezení, které snižuje riziko úniku karty a funguje jako takový dodatečný poplatek kartovým asociacím od bank (banka za karty musí platit, když ti je dává často zdarma).

Problém je, že čipem se dneska už moc neplatí (zasunutí karty do čtečky). Dříve se platilo magnetickým pruhem, tam prostě bylo jen číslo karty. RFID je opět jen číslo karty. Dnes se hodně platí bezdrátově přes NFC, tam se opět přenáší jen číslo karty, ochrana je zaměřena primárně na samotný přenos, který se šifruje a podepisuje (v rámci možností), ale už ne na samotný identifikátor, který je prostě jako konstanta. Takhle přesně fungují i platby přes NFC na mobilu, mobil pošle číslo karty.

Bezpečnost NFC plateb není založená na uchránění tajemství (ta mobilní, ne MV a použití čipu v platební kartě), ale na ochraně přenosu samotného a pokročilých dynamických filterech na straně banky, která si může vyžádat dodatečné ověření. Tomu odpovídají i nízké nastavené limity při platbě, ty ale už neplatí v případě využití nějakého brány uprostřed (Apple pay, Google pay či jiné).

Mimochodem, kdyby do toho "zlá EU" nešťourala a nepřiskřípla křídla bankám, tak by nechali všechnu odpovědnost na držitelých karet, viz první podmínky naší spořky (a vlastně celé Erste), když zavedli bezkontaktní platby, humus.

Z technického hlediska to není pěkné a zabezpečené.

Proto používám radši platební kartu v mobilu, protože i tam lze offline platbu autorizovat a k provedení platby nestačí jen mít čtečku dostatečně blízko u karty.

v kombinaci s Androidem máš tu nejmenší ochranu karty co jde, spoléhat se můžeš už jen na banku, že ty podvodné transakce správně identifikuje.

Platba přes EMV (bezkontaktní karta) může být chráněna pinem nebo dokonce i nutným potvrzením v bankovní aplikaci, škoda že české banky prostě tohle jako službu nenabízí a pouze to mají jako jeden z málo používaných druhých faktorů.

Magneticky prouzek je aspon u EMC uz temer cely zasifrovany. Klice se typicky nahravaji uz do cipu ktery je uz uvnitr magneticke hlavy ktera cte prouzek. Prekvapko. Uz magneticke cteci hlavy jsou schopny kryptografie. Ted si nevzpomenu jestli symetricke ci asymetricke dalsi level je hcmko v terminalu.
Kde ty lonske snehy jsou. Dneska magreader maji snad terminaly jen kvuli amexkam.

tak ono je jedno, jestli je symetrická nebo asymetrická, když se všechna data přenášejí z pásku do čtečky a ta musí mít klíče, pořád to lze klonovat a tajemství je vniveč, EMC neEMC.

neznalost protokolu neomlouvá. NFC pay řeší kryptografii pouze na přenosu, na straně zdroje je ale pořád jen nějaká identifikace, ta se přes platební terminál dostane do banky a z toho účtu se strhávají peníze.

V samotných bankovných přenosech obecně vůbec nefunguje kryptografie, je to založeno na důvěře jednotlivých stran a "jistotě", že každá strana klienta správně ověřila.

Humus. Je ale těžké někoho vůbec z bankovního sektoru přesvědčovat o opaku, snažím se o to dlouho a dlouho. Na druhou stranu je jedno, jestli z telefonu ukradneš uuid nebo privátní klíč, Android ve verzích v jakých je masivně nasazený prostě nemá k dispozici bezpečné uložiště a jeho bezpečnostní přístup k aplikací je také humus, ty aplikace si mohou až moc šahat do zelí a nelze to dobře odstínit.

Sen o tom, že telefon bude mít svůj neměnní privátní klíč a tím bude veškeré požadavky podepisovat a autorizovat je zatím jen sen. Dnes veškeré údaje, které jsou v telefonu (mluvím o Androidu a bankovních aplikacích/plat­bách) se do něho přenáší po síti a jsou v něm uloženy v původní podobě. Lze je X technikami získat, viz i tohle, ale velcí kluci si pak hrají na bezpečnost. Bankovní aplikace mají možnost si určit minimální výši standardů, které musí telefon podporovat, ale tady si pak odsekávají množství klientů, kteří takové nové zařízení mají a Android ani v nejnovější verzi to nemá dobře řešené.

Měl jsem představu, že v čipu karty je nějaký privátní klíč, který znemožňuje emulaci/klonování. Takhle je bezpečnost postavena jen na PINu.

To je těžké.. když dneska každý druhý je tak LINY VYTAHNOUT plast z peněženky.. platit telefonem je přeci tak coooool.. !

těm lidem to nikdy nevysvětlíte, že nejlepší zabezpečení je NIKDY. NIKDY: NIKDY si nestahovat žádné bankovní aplikace. . nepoužívat žádný mobilní banking .. žádné Google Pay, Apple pay.. NIC! .. pokaždé bude nějaký hacker o kus napřed, než "oni, co by konzumní spotřebitelé". . (co jen stěží ví, co vůbec znamená zkratka NFC)

Vaše nářky mají jednu drobnou vadu – ten útok byl veden proti plastovým platebním kartám. Zaútočit takto na platební karty v mobilu by bylo obtížnější, pokud by to vůbec bylo možné.

asi vám uniklo TOTO:

Poté měly přiložit svou platební kartu na zadní stranu svého chytrého telefonu, dokud škodlivá aplikace kartu nerozpoznala.

- proč by lidi přikládali PLASTOVOU kartu na zadní tělo mobilu - kdyby v něm nepoužívali žádnou mobilní aplikaci?? - to bylo to stěžejní, co jste opětovně přehlédl

Nepřehlédl. Útočník zkrátka využil pro přečtení karty přímo mobil oběti. Ale klidně ji mohl přečíst aplikací, která by se netvářila jako bankovní aplikace, ale třeba jako e-shop nebo vyhledávač dopravních spojení. Stejně tak by tu kartu mohl přečíst svým zařízením – třeba v platebním terminálu, v bankomatu.

Plus tu kartu není potřeba ani přikládat úmyslně. Furt se mi stává, že to čte kartu, když telefon položím na peněženku. Několikrát do týdne.

"nepoužívat žádný mobilní banking " jó ..akorát nás k tomu banky nutí ..viz. zpoplatnění ověřovacích SMS a nainstalujte si (jak já říkám) "smrt banking", jinak budete platit holoto! :-/

Overovaci SMS coby druhy faktor rozhodne bezpecne nejsou a vyplyva to mj. z PCI DSS. Aneb banky se jen drzi bezpecnostnich standardu. Svuj byt ci dum si pred zlodeji asi take nezamykate dozickym zamkem, ze? ;-) Zhruba tak "bezpecne" ty SMS jsou... na prolomeni "ochrany" staci ohnuty drat.

Já si myslím, že bezpečné jsou, při dodržení jednoho pravidla: Nezadavejte platbu na stejném zařízení jako prijimate SMS. Tato chování ochrání proti všem útokům, kromě zcela cíleného, kdy má útočník přístup ke všem mým zařízením. A pravděpodobně kempuje před mým domem.

To vas ale neohrani proti vsem moznym problemum. Pripady, kdy utocnik ty overovaci SMS do druheho zarizeni z obeti vymamil tu uz take byly. A staci na to treba phisingovy email, jehoz obsahu uverite, ani neni potreba vylozene napadat vsechna zarizeni.

A v realu u tech SMS si ani nemuzete byt jisty ani tim, ze odesilatel je ten, za koho se vydava, ze? ;-) Nebo jak overite, ze SMS z cisla 699799899 skutecne odesla z toho cisla a odesilatel neni podvrzeny? Uroven ochrany uz jen tady je podobne mrzka, jako u emailu.

Mam telefon a PC.
1. Pokud jsem na PC nezadal žádnou platbu, tak na žádné SMS nereaguju.
2. Pokud se nechám přesvědčit k tomu, abych někomu sdělil obsah SMS, tak stejně bych mu potvrdil i něco v aplikaci.

Zabezpečené je to tím, že pro každou platbu potřebuji 2 zařízení. To okno, kdy bych teoreticky mohl dostat podvrženou SMS a zároveň na ni reagovat je velmi malé.

Útočník by musel mít kontrolu nad mobilem i nad PC.

Takl to si myslíte velmi špatně.

Njn, ale když se SMS nahradí datovou komunikaci, tak se z toho vytrácí ta "faktorovitost". Už to není něco, co přišlo nezávislým kanálem.

Nikoliv. U tech SMS v mobilu se hure kontroluje uz jen to, kdo vsechno (jake aplikace) k tem zpravam pristupuji - a rozhodne ne vsechny se s tim opravnenim k SMS musi navenek nejak projevovat. Rozhodne to nefunguje tak, ze by k tem zpravam mela exkluzivni pristup jen aplikace, co vam bezne ty zpravy ukazuje.

Zatimco u te "datove komunikace" se tohle hlida lip - kdyz krom jineho z te aplikace smerem k serveru mate zasifrovany kanal, do ktereho fakt nic okolo nevidi a videt nemuze. Jasne, asi by bylo lepsi, kdyby se tady pouzivaly otevrene standardy typu FIDO2, ale to je zas jina pisnicka.

Nevytrácí. Mobilní bankovnictví je založeno na faktorech, že 1. něco máte (mobilní telefon, resp. klíč v něm bezpečně uložený) a 2. něco víte (PIN, heslo) nebo někdo jste (otisk prstu, rozpoznání obličeje).

Na ten první faktor jste zapomněl. Mobilní bankovnictví nefunguje tak, že vezmete libovolný mobil, do něj nainstalujete aplikaci a dáváte pokyny k platbě. Vždy musíte aplikaci aktivovat, což právě vytvoří klíč, který je uložen v bezpečné části mobilu a jednoznačně identifikuje tu aplikaci na daném zařízení. (Proto je instalace mobilního bankovnictví do nového mobilu „složitá“.)

Ten třetí faktor (někdo jste) je stále ještě dost nespolehlivý, zejména v mobilním provedení. Na jedné straně můj služební iPhone usilovně odmítá můj načtený otisk či obličej, takže bych reálně ani nezaplatil, na druhé straně kolegovy děti jeho Android odemknou (nebo odemkly - už to je nějakou dobu, kdy to zkoušel) svým obličejem.
Takže stále existuje nemalé procento uživatelů, kteří prostě tento faktor použít nemohou.

Za mne je základem prostě oddělení kanálů: zařízení, na kterém zadáváte/ověřujete transakci nesmí být totožné s tím, na kterém to ověření provádíte, a nesmí sdílet stejnou datovou trasu.
(Což, mimochodem, prakticky vylučuje bankovnictví v mobilu v běžné podobě.)

je dost bank na českém trhu, které fungují i bez potvrzovacích SMS či jejich zpoplatnění.. a i kdyby měla SMS stát 5 Kč.. kolik plateb uděláte měsíčně? 50 ? .. hlavně, že "každý druhý" si kupuje mobil za dvacet táců..

Pokud tomu zdrojovému článku (zběžný pohled) a problematice správně rozumím, nejde o to, že by se dal z telefonu přes NFC naklonovat čip platební karty a tím klonem pak libovolně platit a vybírat. Je ale možné v reálném čase přes internet mezi telefony přemostit komunikaci platební karty s terminálem - máte-li kartu fyzicky přiloženou k telefonu s příslušným softwarem, druhý propojený telefon můžete na jiném místě přiložit k platebnímu terminálu, komunikaci od terminálu přeposílat na fyzickou kartu u prvního telefonu a odpovědi karty zase zpět do terminálu - z pohledu terminálu to bude vypadat stejně jako přiložení fyzické karty, protože ta fyzická karta skutečně provede korektně všechny potřebné kryptografické operace... jen to díky internetovému přemostění neproběhne na vzdálenost centimetrů, ale třeba stovek km.

To jsem se také domníval, ale asi ne. To by podvodník musel být dlouhou dobu v pohotovosti u terminálu nebo bankomatu, aby vystihl okamžik, kdy oběť drží kartu u telefonu. To by bylo dost nápadné.

no a teď trochu OFF TOPIC.. vyjma problémů s autorizací (či jak to nazvat) platebních karet, české banky totálně d-ojebaly důvěryhodnost majitele bankovního účtu. Není to nikterak neznáme - v okamžiku, kdy začaly nabízet "otevření účtu na dálku" - tak toho podvodníci zneužili a začali otevírat nejenom desítky účtů na cizí (naskenované) doklady, ale také bez návštěvy pobočky a ukázání platného dokladu jim banky poslaly debetní karty pro výběr z daných účtů v ATM.

Modus operandi byl jednoduchý:

a) rozhodit ve veřejném prostoru reklamy na půjčky " - odmítli vás v bance? U nás získáte půjčku hned"
b) podmínit získání půjčky od sociálně ekonomicky slabších jedinců zasláním skenu jejich ID dokladů
c) zažádat o otevření účtu na dálku - typicky Air Bank, ČSOB, Česká Spořítelna a FIO - do žádosti vložit tyto získané skeny a udat "nějakou" adresu, kde vás kurýr zastihne se smluvní dokumentací
d) kurýr se dostaví na udané místo - nemá povinnost po vás ZADAT DOKLAD TOTOZNOSTI - předá vám smluvni dokumenty od banky, počká, až je podepíšete a pak odjede
e) banka vám otevře účet..
f) BANKOVNI IDENTITA - celá řada bank zcela automaticky přidává bankovního identitu ke všem aktivním účtům - bez toho, aniž by zohledňovala, zdali daného jedince V ZIVOTE viděla na pobočce naživo s doklady..

chápete, co je tohle za prů--er?? Dá se to připodobnit zčásti Maďarsku, které hodlá prodávat pasy do EU Schengenu Bělorusům a spol a tím totálně nabourat danou "spolehlivost"

a jak to vím? Protože jsem žel také naletěl před lety důvěře v tom, že by banky nikdy neotevřely účet někomu v CR, u něhož OSOBNE nezkontrolovaly doklady totožnosti - daná dáma si takto dle rozsudku Okresního soudu v Příbrami bez problémů v předchozích 3 letech otevřela cca 30 účtů u různých bank.. u Air Bank na různé doklady 10+ .. a tak bych mohl pokračovat..

TOTO je téma, které má rezonovovat v Poslanecké sněmovně a okamžitě zakázat aktivního používání účtu + karty DOKUD dotyčný na pobočce neukáže doklady .. ticho po pěšině i od CNB

celá řada bank zcela automaticky přidává bankovního identitu ke všem aktivním účtům - bez toho, aniž by zohledňovala, zdali daného jedince V ZIVOTE viděla na pobočce naživo s doklady..
Tohle máte něčím podložené? Podmínkou zřízení bankovní identity totiž bylo to, že identitu dotyčného musel někdy v minulosti ověřit pracovník banky. Pokud by to nějaká banka nedodržela, byl by to skutečně průšvih – ale je to dost silné tvrzení na to, abyste ho předkládal bez jakéhokoli důkazu.

Když je řeč o Air Bank, tak tam jsem si účet před pár lety založil a byť to šlo udělat na dálku, tak pro aktivaci toho účtu jsem musel buď zajít osobně na pobočku se dvěma doklady totožnosti (občanka, řidičák), anebo ještě šlo poslat z nějaké jiné banky 1 Kč z účtu na moje jméno pro ověření. Ale rozhodně se banka nespokojila jenom s naskenovanými doklady.

A taky tam chybí bod že na nový účet je třeba poslat alespoň korunu z jiného účtu vedeného na stejné jméno. Alespoň u všech co jsem si na dálku otevíral to tak bylo.

Jsem v klidu. ,,Blbý" telefon bez O. S. a kartu jen k výběru hotovosti v bankomatech.