Tyto mobilní aplikace mají svoji odvrácenou stránku. Budu posílat telefon do servisu pro výmenu baterie. Bude jim to trvat cca týden. Po dobu toho týdne se pořádně v nějakých bankách vůbec nestanu ke svým financím. Nehledě na to, že servis chce abych posílal telefon v "továrním nastavení". Takže ty aplikace budu muset přenést do nějakého jiného.... Mám doma náhradní křáp, který má prehistorickou verzi Androidu, na kterou některé aplikace bank vůbec nedostanu a například KB má platnost kódu pro výměnu zařízení pouze 3 dny. Takže mě minimálně v případě KB a KB klíče mě čeká návstěva pobočky...
Nedokážu si moc představit, že bych dal do servisu telefon se spárovanou aplikací pro mobilní bankovnictví. Ale asi jsem holt paranoidní, protože mne děsí už ten nápad Air Bank, že ke spárování aplikace by mělo stačit ověření snímkem obličeje, a to bez možnosti "opt out", protože když si tam žádný nenahraju, tak použijí fotku z občanky. Zajímavé je, že na přímý dotaz mi tvrdili, že když si tam žádný nenahraju, tak to tímhle způsobem spárovat nepůjde...
Zajímalo by mne, kolik úspěšně vykradených účtů bylo přes smrtfoun a kolik přes normální telefon. K tomu ještě počty (poměr) jednotlivých typů telefonů, aby šly ty první výsledky přepočítat "na hlavu" (tedy na telefon).
Myslím si (ale třeba se pletu), že přes 99 % "napadených" SMS nebylo jejich odchycením po cestě, ale až v zařízení a to budou téměř 100% smrtfouny.
Být na stejné BTS je už dost cílený útok (byť možný). Praktičtější je ale napadnout nějakého operátora, nebo si vytvořit vlastního a pak ostatní operátory přesvědčit, že se k vám konkrétní telefon zaroamoval a budete dostávat jeho SMSky. To není nijak zabezpečené, leda snad heuristicky, když se (domácímu) operátorovi zaroamuje najednou víc telefonů k nějakému exotickému opetárorovi, tak to může spustit alarm.
Můžete mít ten nejhloupější telefon, vypnutý zamknutý sedmi zámky v trezoru hluboko pod zemí a stejně je vám to proti tomuhle útoku h*** platné.
Ono je to obávám se ještě daleko horší: banky reagují pomalu, často mají SMS "prodrátovanou" skrz celý svůj systém.
Co je tedy horší než SMS autorizace? To že si nainstaluji mobilní klíč, ale nedojde mi, že jsem:
a) si SMS nezakázal jako alternativní metodu
b) že banka neumí SMS zakázat
Z bank které umí zlikvidovat SMS tak namátkou FIO, ČSOB, myslím i Raifka (byť tam myslím musím fyzicky na pobočku), Moneta teď od 1.dubna likviduje SMSsky natvrdo úplně - čest a sláva jak se k tomu postavili čelem (horší je že alternativní metodu třeba offline QR kódy nemají, takže abyste se dostali jakýmkoli způsobem do monety musíte mít telefon s bankovní aplikací a být striktně online - testoval jsem to. Ale snad to do budoucna změní)....
Díky autorovi za článek, super pomoc, šáhnu po něm až ztratím telefon :-)
Ahoj Patriku,
tak zrovna od Tebe bych tento názor nečekal :-).
Každá bezpečnost má svou stinno stránku, a to zpravidla v komfortu uživatelů. SMS je sice otravné opisovat, ale nejspíš se shodneme že to je minoritní diskomfort a pak převládají stálé výhody.
Bohužel SMS jsou postupně rušeny a budou brzo zrušeny úplně. SMS je ve spojení s chytrým telefonem nebezpečná "pro uživatele" a v podstatě není možné 100% zajistit, aby mi nebyla z telefonu odcizena.
Ještě proč píšu "pro uživatele": domnívám se, že vše ostatní krom SMS ukradené z mobilu jako klient ustojím - tj. různým způsobem napadený operátor, napadená aplikace banky aj.
Bohužel jedinou rozumnou volbou v této chvíli je aplikace banky ve vašem chytrém telefonu.
Zase tak zlaté to není. SMS není bezpečná a obecně se nedoporučuje používat jako druhý faktor.
Zjednodušme problém na 2 oblasti:
1. přenos SMS
Vlastní přenos není zabezpečený. SMSka se musí nějak od banky předat operátorovi. Toto předání může a nemusí být zabezpečeno. Dále se tato SMS nějak přesouvá v systémech operátora a tady to někdo může číst.
Dále existují určité slabiny v protokolech mezi operátory a SMS lze přesměrovat.
I vlastní přenos mezi BTS a mobilem za určitých okolností může být napadnutelný.
Nehledě na útoky typu nové SIMky pro útočníka s vaším číslem.
Takže pokud nemáte přímou vazbu banka <-> mobil, tak je toto vektor útoku.
Touto přímou vazbou může být mobilní aplikace banky či např. bankovní SMSky. Ty ale banky zrušily.
2. mobilní zařízení
Tady je více problematický tzv. chytrý telefon. A opět je tu více variant, např.
- napadnutí neaktualizované zařízení
- instalace pofidérních aplikací
- ignorace poskytnutých oprávnění určitým aplikacím
Obecně přečíst kód ze SMS na chytrém mobilu je snadnější než to samé udělat z mobilní aplikace.
Tady má "hloupý" telefon určitou výhodu. ale pozor. Něco co vypadá jako hloupý telefon, může dnes mít také OS a určitou možnost aplikací.
Bohužel banky ruší jiné možnosti bezpečného ověření jako kalkulačky, bankovní SMSky a jediné co se snaží tlačit jsou
jejich aplikace.
Nedávno jsem poslouchal nějaký rozhovor s člověkem z bankovní asociace a policistou, kde se bavili o dnešních útocích,
phisingu apod. Vše směřovalo k chybám uživatele a že si nekontrolují linky apod. Alibismus.
Ale, že by nějaká banka implementovala přihlašování pomocí FIDO2 tokenů, které efektivně tomuto brání jsem neviděl a neslyšel.
A toto by možná stálo za nějakou regulaci.
Chápu že aplikace jsou trend a bezpečná varianta. Ale ne každý má chytrý mobil.
Myslím, že FIDO2 token přihlášení a autorizace přes SMS by mohla být dobrá varianta k aplikacím a určitě lepší než jen čisté SMS.
Jen doplním, že FIDO2 tokeny nejsou řešení, ale zlepšení stavu a to hlavně při použití SMS.
Čemu FIOD2 tokeny brání:
- phisingu (pokud kliknete na špatný odkaz, nebude to fungovat)
- pokud někomu dáte své přihlašovací údaje (nepřihlásí se za vás a jinde)
Ale nebrání situaci, kdy někdo napadne váš počítač a může s ním manipulovat. Např. vaše zadaná transakce je skrytě pozměněna a pak vás zachrání ověření na mobilu. A tady SMSka může selhat, viz. výše,
Ale toto je méně pravděpodobný scénář než ostatní.
I když FIDO2 neřeší vše, stále je to výrazné zlepšení hlavně pro SMS.
Nejjednodušší instalace bankovní aplikace v novém smartphonu se provede asi u Fio banky. Viz. Černé ovce - vykradený účet.
O něco složitější je u Moneta Money Bank, kde jsem kromě ofocení občanky ještě fotil řidičák a ksicht.
Nejsložitější na instalaci mi připadá mobilní bankovní aplikace od ČSOB, kde se mi to povedlo až na další pokus, ale na pobočku jsem ještě ani jednou nešel, ani při zakládání účtu, kde za založení účtu připsala banka 1000 Kč. Teď leze přes měšec reklama Raiffeisen Banky, že dají za půl roku 3000 Kč bonus za platby kartou.
Aby Vám ale někdo vybral peníze z účtu, tak musí znát zřejmě původní přihlašovací údaje jako uživatelské jméno a heslo. Pro jednoduchost u Fio banky jsem dal v internetbankingu možnost přihlásit se pomocí sms kódu a počítač jsem označil jako důvěryhodný, takže mám přístup do bankovnictví při dalším nahlížení neustálý bez příštího zasílání kódů nebo nutnosti se přihlašovat přes smartphone.
Od FIO jsem neodešel jen kvůli tomu, že jako jedni z prvních dokázali SMS zakázat úplně.
A pokud nemáte tlačítkový telefon tak hodně štěstí, popisujete příkladně nezabezpečený účet (z hlediska dnešní doby - před několika lety by to bylo OK). K tomu si připočtěte, že ve FIO se k bezpečnosti stavěli a vzhledem k otřesné komunikaci se obávám, že stále ještě staví liknavě, takže se obávám, že "důvěryhodnost" toho prohlížeče je postavena výhradně na straně cookie v klientově PC, takže se vám může stát to co mě že si tu důvěryhodnost nebudete moci zrušit. Což je paráda - do účtu se vám někdo dostane s jednoduše ukradeným jménem/heslem a peníze si přepošle ukradenou SMS.....
Když znáte Černé ovce najděte si starší pořady ohledně RB a vykradeného účtu... to byl pro mě zlom, kdy jsem se zaměřil na zabezpečení svých účtů. Jako bonus jsem měl veškeré info o tom RB případu protože se stal shodou náhod mému kolegovi....
Tak všem hodně štěstí.
S tím FIO osekáním SMSek si nejsem jist. V nastavení IB to deaktivovat nejde
a při přihlašování či autorizaci lze vždy přepnout na SMS.
Psal jsem do FIO jako požadavek ať je toto konfigurovatelné v IB?
Nebo SMS zruší na pobočce? O tom se mi, ale nikdo nezmínil.
Při přihlášení lze označit daný prohlížeč jako důvěryhodný, takže není třeba potvrzovat v apce/SMS. Samozřejmě to dává smysl na vlastním počítači. Když nechci tak to nemusím používat, navíc lze toto smazat v IB.
22. 1. 2023, 14:51 editováno autorem komentáře
Je zajímavé kolik se zde našlo "odborníků" na bezpečnost, šifrování SMS apod. Akorát vám uniká jedna základní věc. Drtivá většina úroků jede přes sociální inženýrství a ne nějaké lovení nešifrovaných SMS na GSM. A pozor teď to přijde - donutit člověka odklepnout smartapku ve smartphonu je MNOHEM jednodušší než donutit ho vám nadiktovat SMS. Tedy tyto sociální útoky jsou bohužel se smartapkou mnohem jednodušší. Tento zásadní moment všem manažírkům v bankách jaksi unikl.
Je to úplně stejné jako všechny ty nesmyslné podmínky na "komplexní" hesla a přitom pak stejně to heslo mají lidi napsaný na papírku na monitoru..
Z toho příspěvku je pravdivé jen to, že útoky probíhají často přes sociální inženýrství. S tou drtivou většinou je to složitější, ale to není pointa. Pointa je, že zbytek jste zmotal a napsal přesně obráceně.
Donutit člověka opsat vám / přeposlat kód není až tak složité. Většinou se to dělá tak, že přijde zpráva od člověka vydávajícího se za kamaráda "Promiň, omylem jsem si poslal(a) potvrzení na tvůj mobil, můžeš mi přeposlat ten kód? Potřebuju ho hned, nebo mi vyprší! Díky moc!" No a pokud je dotyčný zrovna něčím zaměstnán, tak je reálná šance, že si nevšimne varovných signálů, kód přepošle a neštěstí je hotovo. Takové útoky se reálně dějí a mají úspěch.
Naopak donutit člověka potvrdit platbu mobilním klíčem je o dost složitější, protože tam je varovných signálů mnohem víc. Zatímco kódy člověk občas opisuje pro všechno možné, když jde do bankovnictví, jde o (jeho) peníze. A má tam jasně napsané ve specifické grafice, že někam posílá platbu. V praxi jsem proto o takovém útoku vůbec neslyšel, natož že by byl úspěšný.
Jenže já to nezmotal já to vím, že to tak je. Bohužel nemůžu říct odkud to vím, kdybych to sem napsal tak vás tu všechny musím následně zabít..
Ano bohužel opravdu lidem nedělá vůbec problém to v té smartapce odklepnout.. Útočníkům totiž opravdu stačí říct "..jo a té varovné hlášky si nevšímejte..".
Tak jestli máte místo klasického potvrdit platbu mobilním klíčem jen nějakou varovnou hlášku, tak bych vaší banku nechtěla mít. U mé banky vyskočí potvrzení na celou obrazovku a to si nedokážu představit hotentota, který by tohle bezmyšlenkovitě potvrdil, zvlášť když to potvrzení neočekává. Potvdit něco v liště si dokážu představit, ale tohle fakt ne.