Odpověď na názor
Odpovídáte na názor k článku Za první kvartál banky řešily 23 tisíc kyberútoků na majetek svých klientů. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
nemám tvrdá čísla, ale velká část z toho budou ukradené platební karty, tam se to zarazí na 3D secure, kdy banka dnes už sama vyhodnocuje, kdy si extra potvrzení vyžádá a kdy ne. Buď se útočníkovi podaří přihlásit do bankovnictví nebo se mu podaří poslat či pozměnit platební příkaz.
Další velká kapitola jsou útoky na mobilní aplikace, ač technologie dnes umožňují dost, tak kvůli kompatibilitě s co největším množstvím mobilních telefonů aplikace nevyžaduje všechny bezpečnostní prvky, pokud je telefon napaden, tak cizí aplikace může získat token pro komunikaci s bankou. Tady se to ale opět zarazí na vynuceném potvrzení transakce. Banka to může detekovat podle platebních údajů, které jsou podezřelé nebo podle chybějící posloupnosti kroků (api volání), které produkuje aplikace a útočník již nikoliv. Zároveň se tady některé aplikace snaží podepisovat všechna volání vlastním certifikátem, aby nebylo tak snadné provést reply attack nebo ukrást token.
Zvedá se počet útoků typu, že ti někdo zavolá a chce poslat z peníze, příběhy jsou různé, ale ukazuje se, že ty věrohodné mohou velmi dobře fungovat. Od stolu se nám to zdá absurdní, ale pokud ti volá číslo, které se nějak představí, mluví spisovně, zná všechny potřebné reálie, dokážeme tomu podlehnout. V novinách se mluví o vydávání se třeba za policii nebo bankéře, ale objevují se i podvody typu, že se vydává za nějaký eshop a tvrdí, že se stal problém při platbě ať peníze pošleš znovu, že ty zaplacené se sami vrátí. Volají třeba pár minut po vytvoření objednávky, znají informace o objednávce, představí se jako ten eshop. Je těžké takovému útoku nepodlehnout. Údaje o objednávkách asi unikají buď přes reklamní systém nebo třeba napadeným redakčním systémem eshopu.
Čtvrtá varianta je překrytí obrazovky jinou informací, kdy si útočník, pokud již má plnou kontrolu nad telefonem může přepsat číslo účtu a částku.
Česká spořitelna generuje velké množství těhle čísel, protože prostě dohání technický dluh a jsou velcí, takže jsou cílem hodně útočníků. Pak také ČSOB je dobrý generátor podobných incidentů, jejich SSO tokeny (taková obdaba oauth2, kdy je možné vygenerovat odkaz, který tě rovnou přihlásí) jsou v bezpečnostní komunikatě pověstné, ale pššt, ať neprozadím něco, co jsem neměl :).
