Vlákno názorů k článku Měníte telefon nebo své číslo? Čí bankovní aplikaci přenesete snadno a která vám sebere čas? od Skočdopole - Je zajímavé kolik se zde našlo "odborníků" na...

Je zajímavé kolik se zde našlo "odborníků" na bezpečnost, šifrování SMS apod. Akorát vám uniká jedna základní věc. Drtivá většina úroků jede přes sociální inženýrství a ne nějaké lovení nešifrovaných SMS na GSM. A pozor teď to přijde - donutit člověka odklepnout smartapku ve smartphonu je MNOHEM jednodušší než donutit ho vám nadiktovat SMS. Tedy tyto sociální útoky jsou bohužel se smartapkou mnohem jednodušší. Tento zásadní moment všem manažírkům v bankách jaksi unikl.

Je to úplně stejné jako všechny ty nesmyslné podmínky na "komplexní" hesla a přitom pak stejně to heslo mají lidi napsaný na papírku na monitoru..

Z toho příspěvku je pravdivé jen to, že útoky probíhají často přes sociální inženýrství. S tou drtivou většinou je to složitější, ale to není pointa. Pointa je, že zbytek jste zmotal a napsal přesně obráceně.

Donutit člověka opsat vám / přeposlat kód není až tak složité. Většinou se to dělá tak, že přijde zpráva od člověka vydávajícího se za kamaráda "Promiň, omylem jsem si poslal(a) potvrzení na tvůj mobil, můžeš mi přeposlat ten kód? Potřebuju ho hned, nebo mi vyprší! Díky moc!" No a pokud je dotyčný zrovna něčím zaměstnán, tak je reálná šance, že si nevšimne varovných signálů, kód přepošle a neštěstí je hotovo. Takové útoky se reálně dějí a mají úspěch.

Naopak donutit člověka potvrdit platbu mobilním klíčem je o dost složitější, protože tam je varovných signálů mnohem víc. Zatímco kódy člověk občas opisuje pro všechno možné, když jde do bankovnictví, jde o (jeho) peníze. A má tam jasně napsané ve specifické grafice, že někam posílá platbu. V praxi jsem proto o takovém útoku vůbec neslyšel, natož že by byl úspěšný.

Jenže já to nezmotal já to vím, že to tak je. Bohužel nemůžu říct odkud to vím, kdybych to sem napsal tak vás tu všechny musím následně zabít..

Ano bohužel opravdu lidem nedělá vůbec problém to v té smartapce odklepnout.. Útočníkům totiž opravdu stačí říct "..jo a té varovné hlášky si nevšímejte..".

Koukejte na to z druhé strany, pokud někomu řekne někdo nedůvěryhodný ať si nevšímají informací z banky tak nevím jak ten člověk dokáže přemýšlet. To nikdo soudný nepotvrdí.

Tak jestli máte místo klasického potvrdit platbu mobilním klíčem jen nějakou varovnou hlášku, tak bych vaší banku nechtěla mít. U mé banky vyskočí potvrzení na celou obrazovku a to si nedokážu představit hotentota, který by tohle bezmyšlenkovitě potvrdil, zvlášť když to potvrzení neočekává. Potvdit něco v liště si dokážu představit, ale tohle fakt ne.

Na požadavek "přeposlat kód" bych nereagoval. Ten "kamarád" může totiž požádat banku o zaslání nového SMS kódu. Aspoň u mých bank to tak je.

Řekla bych, že častěji než nějaké přeposílání SMS kódů funguje to, že oběť zadá kód na falešné stránce IB, která se velmi podobá až na pár detailů pravé stránce banky. Kód tím útočník snadno získá a zadá do pravého IB.