Tady jsou další podrobnosti: http://baesystemsai.blogspot.cz/2016/04/two-bytes-to-951m.html
Kdo ví, jak bezpečný je SWIFT. Je to uzavřený systém do kterého nikdo nevidí.
V první verzi prý měli tak bl.., pardon nešikovné šifrování, že v předávaných zprávách bylo možné zdvojnásobit účtovanou částku aniž by se musely dekódovat. Kdo ví, kolik podobných nesmyslů v tom systému přežilo dodnes.
No zas tak zcela uzavřený není ale je fakt že zakosove se ptají po EBICS a BankAPI pak ještě Roller. V případě Bangladéše se nejedná o útok na logiku protokolu ale na endpoint server system.
Detaily:
http://baesystemsai.blogspot.cz/2016/04/two-bytes-to-951m.html?m=1
Dost oldschool:)
cituji: "...a navíc jsme proti jakýmkoliv pokusům o útok na naše vlastní systémy velmi dobře chráněni,“ tvrdí mluvčí Air Bank "
Z pohledu klienta Air Bank vnímám bezpečnost banky jako špatnou. V případě plateb prostřednictvím IB je zaslána SMS jen pro první platbu. Další platby pak vyžadují "pouze" potvrzení heslem do IB. Čistě teoreticky, zjistí-li útočník heslo zákazníka Air Bank a bude-li schopen nabourat se do komunikace mezi zákazníkem a bankou, pak je schopen provést platbu aniž by ji zákazník schválil...
V současné době tuto situaci řeším tak, že se okamžitě po provedení platby odhlašuji z IB. Existuje sice stále pravděpodobnost, že než dojde k ukončení session, může dojít v tomto krátkém okamžiku k provedení neschválené platby, ale aspoň tím minimalizuji riziko.
Nektere banky jeste donedavna (a nedivil bych se mnoho, pokud by to platilo stale) bezne pouzivaly rodne cislo a 4 mistny pin. Jejich zabezpeceni spocivalo v tom, ze pokud dotycny zada ten pin 5x spatne, tak se mu ucet na 24 hodin zablokuje. Tudiz pokud mate nejakeho oblinence, muzete mu trivialne znemoznit operovat s uctem online.
Jine banky (CSOB, KB) si s klidem nechaji expirovat certifikaty, pripadne je maji dokonce revokovane ... a kdyz zacnete resit, co s tim, tak jedine na co se zmuzou je "vypnete si kontrolu". Naposledy loni v lete.