Vlákno názorů k článku Komerční banka: Vykradení účtů potvrzeno! od ja - Vzhledem k v Cesku nebyvale rychlosti odskodneni postizenych...
-
adviser (neregistrovaný)Taky mě to tak připadá. V aplikaci moje banka je pro přístup a autorizaci potřeba dvou věcí: osobního certifikátu a hesla. To první bývá uloženo v souboru a je lepší jej mít na výměnném médiu a v PC použít jen na nejnutnější dobu provádění operací na účtu. Praxe je ovšem taková, že dost klientů si jej ponechává na pevném disku a "vyluxovat" jej odtud útočníkovi zvenčí není problém, protože mechanismy ovládnutí PC zvenčí jsou známy. To je ale jen potřebná polovina. Tou druhou je heslo, které má uživatel v hlavě nebo někde na papíře na stole. A nemyslím si, že by byl tal prostoduchý aby jej na požádání někomu sděloval. Vím o podvodných e-mailech vydávajících se za banku, ale sdělovat komukoliv svoje přístupové heslo je hloupost i když se dotyčný vydává za pracovníky banky. Na úspěšné ovládání internetbankingu je potřeba jistá dávka inteligence, předpokládám tedy, že jejich uživatelé svá přístupová hesla na požádání nevyzrazují. A to nemluvím o nekonečné kampani bank, které sami nabádají za žádných okolností hesla nikomu nevyzrazovat.
-
AEPOE (neregistrovaný)S tím heslem je to skoro ještě jednodušší než s okopírováním certifikátu. Stačí celkem nenápadný prográmek, který se dostane přes síť do PC a který eviduje a odesílá řadu znaků, které uživatel zadává z klávesnice. Vybrat v takové řadě znaků to správné heslo je potom otázka několika okamžiků.
-
anonymníPokud je to o odposlechnutí hesla keyloggerem a zkopírování podpisovýho certifikátu, je to poměrně jednoduchý získat. Jestli klient má podpisový certifikát na disku nebo disketě je vcelku jedno, stejně je to pár sekund v PC k dispozici a to pro šikovnou aplikaci ke zkopírování bohatě stačí.
Jinak by mě ještě zajímalo: to KB nepoužívá i přístupový certifikát? Zatím všechny mnou používané banky (RB, ŽB,...) to měly. To je pro útočníka horší, protože ten je uložen v prohlížeči a může se označit jako neexportovatelný, tím pádem ho odtud nikdo "nevyšťourá". -
krakonoš (neregistrovaný)Komerční banka má svůj systém podmíněn tím, že funguje pouze přes IE, což je, jak notoricky známo jeden z nejděravějších prohlížečů, takže to, co ji potkalo je naprosto logické a byla to jen otázka času. Osobně žádnému internet bankingu nevěřím, není nad to, vyřídit vše potřebné osobně.
-
anonymníZcela jiste v tom jedou, minimalne protoze jsou zprostredkovane autory aplikace.
Navic na jednu stranu sice aplikace bezi pouze pod nekterymi verzemi windows, ale pritom jeji autori absolutne nedokazali pouzit ani jeden z pokrocilych prostredku, ktere windows nabizeji pro ochranu privatniho klice certifikatu.
Ale tihle umelci klidne mohli mit i diru v serveru, to ze nekdo neumi napsat klienta nevylucuje, ze neumi napsat server. Jen u toho serveru to neni tak okate videt.
ČLÁNKY DO MAILU