Vlákno názorů k článku Mobilní bankovnictví a virtuální karty. Proč banky tolik chtějí, abyste je používali? od Pierre - Zajímavé, že se banky moc nechlubí tím, že...

Zajímavé, že se banky moc nechlubí tím, že co se začalo zavádět používání aplikací na mobilu místo internetového bankovnictví s potvrzováním pomocí SMS, tak vzrostl počet úspěšných útoků s finanční ztrátou více jak stonásobně. Původní model s potvrzováním pomocí SMS při útoku vyžadoval, aby se někdo naboural do PC a zároveň do mobilu. Pokud to byl mobil bez připojení na internet, nebylo jak se do něj nabourat a potvrzování bylo bezpečné. Zatímco používání aplikace hackery přímo vybízí. Aplikace vyžaduje, aby byl mobil připojený na internet - tedy je přístupný komukoliv, kdo se do něj umí dostat, což je triviální úloha. Pak stačí už jen mobil monitorovat a počkat, až uživatel zadá heslo. Hacker má na jednom místě zadávání příkazu k převodu i potvrzování - doba vyluxování účtu je pak záležitostí sekund. Nepomohou ani žádné nastavené limity transakcí, protože limity se nastavují kde? Ano, hádáte správně. Limity se nastavují v aplikaci na mobilu a tu může hacker plně ovládat. Tím, že se zadávání finanční transakcí a jejich potvrzování děje na jednom zařízení je výsledná bezpečnost nulová. Kdo četl podmínky při instalaci aplikace, tak se dozví, že banka nenese žádnou zodpovědnost za zneužití aplikace. Z jejího pohledu je transakce řádně autorizována .. tedy klient nemá nárok na jakékoliv odškodnění.

Můžete dát odkaz na statistiku, z níž jste vyšel při sdělení, že "vzrostl počet úspěšných útoků s finanční ztrátou více jak stonásobně"? Rád bych si tu statistiku prostudoval podrobněji a to včetně případných průvodních protokolů k takové statistice. Děkuji!

Myslím, že odkaz na statistiku Pierre nedodá, protože si tu větu buď zcela vymyslel nebo si jí přečetl někde na Aeronetu.

Odposlech SMS je triviální - buď speciálním zařízením nebo klonování SIM. SMS se proto už nebudou používat. Napadení mobilu není tak jednoduché (sandboxing). Pokud máte strach, kupte si mobil s delší podporou (Apple, Samsung, Xiaomi, ...)

"Napadení mobilu není tak jednoduché" No nevím, když si dcera nevěděla rady s vyplněním platebního příkazu, tak vyřešit vzdálený přístup k jejímu mobilu byla záležitost 5 minut. Aplikace pro vzdálený přístup jsou běžně ke stažení. Po stažení a nainstalování zobrazí 20 místný kód, který mě sdělila a pomocí něho jsem platební příkaz zadal vzdáleně.
Nepřijde mi až tak složité někoho přesvědčit, aby si aplikaci nainstaloval a sdělil kód. (to zvládne naprostý laik s dobrými přesvědčovacími schopnostmi).
Nebo si půjčit telefon - např. pro zavolání a během "hovoru" něco nainstalovat (to zvládne také amatér, který vám za telefonát v nouzi nabídne třeba stovku a vy mu telefon půjčíte).
Nebo aplikaci podstrčit do nějakého programu, který pak přístupový kód odešle sám. (i to se děje, každou chvíli se lze dočíst, že na google play byla aplikace s nežádoucím kódem).
Co se týče klonování SIM, tak nevím jak dnes, ale před 8 lety to znamenalo
vyjmout SIM z mobilu a přes noc ji nechat dekódovat. Odposlechnutí SMS vyžaduje hodně drahé zařízení (monitor GSM signálu stojí kolem 500 tis. Kč a vyžaduje opravdu hodně dlouhý sběr dat pro dekódování, navíc mobil nesmí přeskočit na jinou BTS, protože s tou si vymění nové klíče) .

Proti blbosti uživatele nelze ochránit. Instalace ovládacího SW vyžaduje přidělení oprávnění správce (mobilu), což tak jednoduché není a ta aplikace je pak v příslušném seznamu vidět. Instalace vzdáleného ovládání do počítače (např. Windows) je stejně triviální, ale program má pak navíc neomezené možnosti skrývání. Odposlech SMS klonováním SIM možný je, stejně jako odposlech komunikace (není potřeba tak drahé zařízení), podobně je poměrně jednoduché SMS číst (až nejnovější systémy Androidu to komplikují), proto mají banky nařízeno přestat ověřovat pomocí SMS kódů.

Prostě nemáte pravdu - nejbezpečnější jsou mobilní telefony (ztrátu zjistíte hned, můžete vše čas zablokovat) plus autentizační aplikace ve spojení se zamykáním telefonu (kód, fráze, otisk etc). Viz jakýkoliv článek o bezpečnosti.

Vy srovnáváte situaci, kdy si někdo nainstaluje nějakou aplikaci a dá jí určitá oprávnění s opravdovým nabouráním se do telefonu bez vědomí uživatele?

Jako pardon, ale pokud to první někdo udělá "nechtěně" nebo z naivity, tak to není selhání zabezpečení telefonu, ale jeho uživatele...

Co tu šíříte lži a paniku? Klonování SIM není triviální a u nových karet je prakticky nemožné, jak říkají sami operátoři. A musel by jste mít tuto sim kartu v ruce. Tedy pouze nějaký extrémně naivní člověk, co by půjčil svojí SIM cizinci na ulici a ještě by mu sdělil přístupové údaje do bankovnictví.

Jak mi tedy nějaký podvodník z Nigérie triviálně naklonuje SIM kartu? Prosím o triviální postup krok za krokem. Já si triviálně naklonuji simku Andreje Babiše a podívám se mu triviálně na účet.

Pokud budete mít dost peněz, zaplatíte si firmu, která klonování provede. Není nutné si zařízení kupovat, stačí když to technicky lze. Výsledek je tak jako tak skutečnost, že banky musí ukončit používání potvrzovacích SMS a přejít na jiné způsoby (např. autentizační aplikace, generování elektronických klíče atd.). Mimo to SMS chodí přes operátora nešifrované, což je pro banky další problém. Pro policii a soudy samozřejmě výhoda, neřku-li že v cizině (Čína, Rusko apod) jste pak úplně nahranej, protože kdokoliv úplatný, kdo do SMS centra má přístup, může leccos "zařídit". Prostě SMS nebrat.

17. 3. 2023, 14:10 editováno autorem komentáře