Názory k článku Moneta mění sazebník. Opustit potvrzovací SMSky donutí klienty novým poplatkem
-
Pokud budete chtít vědět nějaké detaily o výrobě léčiv, budete se ptát člověka, co léčiva vyrábí ve farmaceutickém průmyslu, nebo člověka co "každý den polyká ten žlutý prášek".
Samozřejmě, že prosadit aplikace je v zájmu bank. Protože řešit "Zmizely mi peníze z účtu, koukejte mi je tam hned vrátit!!!" jsou pro ně zbytečné náklady a pošramocená pověst.
-
Tady nejde o výrobu léčiv (vnitřní fungování / strukturu banky), ale o účinnost léčiv (přívětivost a bezpečnost banky). Jestli léčivo funguje, to vám poví ten, co "každý den polyká ten žlutý prášek" a ne tiskový mluvčí výrobce, který sdělí, že "laboratorní studie na kvasinkách měla úžasné výsledky".
Pokud se budete ptát výrobce léčiv, které je nejlepší, tak pochopitelně odpoví, že to nejdražší (to na ze kterého má největší zisk). Že funguje stejně (nebo dokonce hůř) než levnější generikum, to ve svém vlastním zájmu neřeknou. Jejich zájmem není vaše blaho, ale jejich.
Při vracení zmizelých peněz mají banky s aplikací větší manévrovací prostor. "Vy máte v mobilu i jinou aplikaci (jiné banky, hru, atd.) než naši? No ale to je Vaše chyba!", "Vy nemáte poslední aktualizaci systému? Že ji výrobce telefonu nenabízí? Vaše chyba!", "V nastavení nemáte zapnutou tuhle volbu, o které jasně píšeme na 62. straně podmínek použití? Tak to máte smůlu!"
15. 8. 2023, 13:41 editováno autorem komentáře
-
> Jestli léčivo funguje, to vám poví ten, co "každý den polyká ten žlutý prášek"...
Ten vám maximálně řekne, jestli ten prášek funguje na něj. A bude to jen anekdotická zkušenost se spoustou "ale" (placebo efekt, nekorektní užívání, ...). Jestli léčivo (obecně) funguje se od něj fakt nedozvíte.
> Při vracení zmizelých peněz mají banky s aplikací větší manévrovací prostor.
To není pravda, stejně mohou argumentovat ohledně SMS, ve skutečnosti mnohem lépe, protože do sítě mobilního operátora nikdo nevidí. Ale i když peníze nemusí platit, pointa je hlavně v nákladech a pověsti.
-
Omyl tady šíříte Vy pane Skočdopole, co kdybyste si o tom nejprve něco zjistil? Drtivá většina průniků je slušně řečeno "neznalostí" uživatelů, kteří své přihlašovací údaje útočníkům poskytnou skrze podvodný odkaz, vždy je to chybou na straně uzivatele, který se nechá zmanipulovat. V bankách pochopitelně vědí co dělají, aplikace je samozřejmě bezpečnější.
-
No ale toto jsem přesně napsal ne? Já jen říkám že s apkou je mnohem jednodušší se nechat přesvědčit že někomu něco odklepnu než že ze mě někdo musel dolovat SMS kód. Proti SMS bývala argumentace s prolomením GSM šifry což je PRAKTICKY úplná hovadina, protože takových průniků byla nejspíš za poslední roky čistá NULA.
A ne v bankách opravdu často nevědí co dělají, protože o důležitých věcech jako prosazování apky místo SMS nerozhodují bezpečnostní experti ale manažírci od stolu co potřebují být prostě "kůl" a zdůvodnit nadřízeným svojí zbytečnou existenci..
-
> Já jen říkám že s apkou je mnohem jednodušší se nechat přesvědčit že někomu něco odklepnu než že ze mě někdo musel dolovat SMS kód.
A na tenhle nesmysl jste přišel jak? SMS kódy se používají na všechno možné, například na nevinné ověření čísla při různých registracích. Takže pokud uživatel nečte pozorně, co je to za kód, klidně vyplní žádost od "přítele" ve stylu "Omylem jsem si k tobě na mobil poslal kód, můžeš mi ho, prosím, napsat?". Takové útoky se reálně dějí a fungují.
Naopak, do IB uživatel chodí pracovat se svými penězi. Jak ho otevře, ví, že jde o jeho peníze a je ostražitější. Takže takovéhle útoky se nedějí. Pokud už uživatel potvrdí převod v IB, je to vědomě ve schématu "váš účet je ohrožen, rychle musíte převést peníze do bezpečí". A ten funguje úplně stejně i se SMS.
Hlavní argumentace proti SMS je, že je přenášena v otevřeném tvaru po nezabezpečené a nezabezpečitelné telefonní síti. Zrovna nedávno se tu řešilo, že lze poměrně triviálně podvrhnout číslo volajícího a to se používá k podvodům. Při návrhu telefonní sítě prostě byla bezpečnost až na X-tém místě a podle toho to vypadá.
To je ten hlavní problém. Utéct může informace mnoha způsoby. Prolomení GSM, které jste zmínil je jedna možnost. Další je únik SMS přímo ze sítě operátora. Nebo se dá operátor přesvědčit k přesměrovávání SMS. Velmi "oblíbené" je také udělat si falešného telefonního operátora, prohlásit, že telefon oběti je u vás v roamingu a mobilní síť vám začne jeho SMSky posílat sama.
No a pak je tu telefon. V chytrých telefonech jsou SMS poměrně dobře dostupné - stačí jen přesvědčit uživatele, aby si nainstaloval vaši aplikaci a dal jí příslušná práva. To není bezpečnostní chyba, to je design. Ale ani s "hloupým" telefonem nejste v bezpečí. Způsoby uvedené v předchozím odstavci nezávisí na tom, jaký máte telefon. A i hloupé telefony se dají vyhackovat - před pár měsíci jsem četl o chybě v GSM modulu, který se v nich používá. No a taky může mít uživatel zapnuto přeposílání SMS na desktop...
Prostě mobilní síť / handling SMS je jeden velký cedník, možností úniku je spousta a kvůli kompatibilitě je velmi těžké je zalepit. End-to-end šifrování to řeší.
15. 8. 2023, 13:35 editováno autorem komentáře
-
Tak třeba já chodím do bankovnictví v mobilu jedině a pouze proto, abych se přihlásil a mohl pracovat v bankovnictví na počítači. Pokud se do IB dostanu jen pomocí počítače a přepsáním SMS z mobilu, je to pro mne jednodušší a rychlejší. Ještě lepší, když se obejdu i bez SMS a stačí jen jméno a heslo (takové banky naštěstí ještě jsou). Pokud je potřeba i aplikace v "chytrém" mobilu, musím zapnout další telefon a zdržovat se s ním.
Pokud by byla možnost bance podepsat nějaké prohlášení, že se chci přihlašovat jen jménem a heslem (případně kdyby na tom moc trvali, tak ještě pomocí SMS, ale rozhodně bez aplikace v mobilu) a beru na sebe veškerá rizika s tím související, tak proč ne. Ale v dnešní době je moderní přístup, že lidé jsou blbci a nevědí, co je pro ně dobré, takže to za ně rozhodne někdo jiný. Samozřejmě ne každý si dokáže počítačovou bezpečnost ohlídat sám. Pro ty by byla volba "nerozumím tomu, nechci se tím zabývat, ať to banka udělá za mne". Důležitá je ta možnost volby.
-
Kolega L. výse Vám popsal jak je relativně snadné pro hackery prolomit ("ziskat") SMS. Lidé smýšlející jako Vy jsou ideálem pro podvodniky. Vy si možná ohlidate přes jaký odkaz se do svého bankovnictví přihlašujete, ale plno lidí si ani tohle neověřuje. Typuji, že Vy máte i heslo uložené v prohlížeči, aby jste se nezdržoval vypisováním, když je pro vás přepsání SMS, nebo ještě rychlejší a jednodušší potvrzení v aplikaci, takový problém. Skoro se divím že vás ještě nikdo neokradl.
-
> Pokud by byla možnost bance podepsat nějaké prohlášení...
S tím bych jakožto pravičák v principu i souhlasil. Problémy jsou v zásadě tři:
1) Máme nějakou legislativu na nadnárodní úrovni, která bance přikazuje starat se o bezpečnost a se kterou by to asi bylo v rozporu (můžeme argumentovat, že to není principiální překážka, že to by se teoreticky dalo změnit).
2) Kolik lidí je schopno opravdu reálně posoudit, co je bezpečné? Jeden z tisíce? Jeden z deseti tisíc? Spíš jeden ze sta tisíc... Má smysl pro banku tohle řešit pro takový zlomek klientů? Reálně nemá. (Mimochodem, podobně je to s lidmi, kteří by chtěli používat například Yubikey.)
3) Když by to přeci banka zavedla, tak Dunning–Kruger efekt funguje spolehlivě. Na jednoho člověka, co to podepíše a je schopen a ochoten (*) si bezpečnost opravdu ohlídat připadne nejméně tisíc lidí, co si myslí, že si to ohlídat dokážou, ale nedokážou. A ti, když jim někdo vyhackuje účet, tak stejně budou tvrdit, že za to může banka (oni přece bezpečnosti rozumí!) a dělat skandál.
Proto takové řešení z hlediska banky prostě nemá smysl.
Jinak co se týče přihlašování, také se přihlašuji jen jménem a heslem. Nicméně přikazy samozřejmě potvrzuji aplikací a kdybych už musel mít při přihlašování další faktor, tak to rozhodně SMS nebude.
*) Člověk, co tomu rozumí, totiž chápe nebezpečnost SMS a uvědomuje si jak málo je schopen tu bezpečnost reálně ohlídat. Takže něco takového podepisovat nebude. Tím se poměr ještě více zvýši.
-
Předpokládám, že ty podvody fungují trochu jinak, než že by útočník po telefonu žádal SMS kód na přihlášení, to by následně musel po oběti chtít několik dalších kódu na transakce, případně navýšení limitu. Stejně tak s aplikací, nestačí jen jedno potvrzení přihlášení, aby vám někdo vybral účet. Útočníci využívají toho, že si poškozený nainstaluje do telefonu nějakou aplikaci, které následně povolí oprávnění číst SMS, pak je pro útočníky snadné hacknout účet. Aplikace, která je zabezpečena pomoci biometrie, je z tohoto pohledu mnohem bezpečnější. Banky nám poskytují dostatečné zabezpečení, bohužel naivitu uživatelů nijak ovlivnit nedokazou.
-
Obě varianty jsou nebezpečné,pokud se přihlašuji jedním zařízením.
Pokud je napadený telefon,je úplně jedno,jestli se platba potvrzuje přes SMS v tom samém telefonu nebo ne.
Divím se bankéřům, kteří nabízejí 'stoprocentně neprolomitelnou' Smartbanku... Tuto naivitu tlačí neznalým uživatelům. Že jim ji zatím nikdo neprolomil? Pouze otázka času...Přitom existuje varianta mnohem bezpečnější -používáním jednoho zařízení pro bankování a druhého pro ověřování (právě přes SMS...)
Prolomit dvě různá zařízení je už téměř nadlidský výkon. Proto nechápu bankéře, kteří nejsou schopni přijmout tento argument a alespoň pro uživatele bankování přes PC potvrzování pomocí SMS ponechat.
Mě osobně tato bezpečnost i přes ten drobný diskomfort v přepsání kódu z telefonu do prohlížeče za klid na duši stojí.
;) -
Diskomfort to je, to souhlasím. Ale bezpečnost vám to nepřinese. SMS jsou prostě v principu ne-bezpečné - detaily jsem popsal ve svém příspěvku z 15. 8. 2023, 13:35, nebudu se opakovat, snad jen:
> Pokud je napadený telefon,je úplně jedno,jestli se platba potvrzuje přes SMS v tom samém telefonu nebo ne.
Není to jedno. Když je telefon napadený tak, že jste dal podvodné aplikaci možnost číst SMS, tak je SMS zabezpečení prolomené, ale bankovní aplikace jsou stále v bezpečné.
-
To ale tak trochu motáte vše dohromady.
1. smartbanka = aplikace pro platby v mobilu
Lze zde ovládat účet, dělat platby a podobně.Aspoň banky co jsem viděl, tak je ověření přes biometriku či PIN, ale žádné SMS už nechodí.
Tady může být problém v kompletní kompromitaci zařízení, ale asi také záleží na implementaci.
2. ověřovací aplikace = pouze se oveřují platby zadané přes IB
A o tomto je článek.
A tady je ta ověřovací aplikace vždy bezpečnější než SMS z mnoha důvodů.Takže pokud někdo chce používát IB na PC a ověření přes druhý kanál, tak pak je IB+aplikace mnohem lepší než IB+SMS.
Ale moneta tu má jiný problém co jsem zkoušel.
Chtějí nahradit SMS aplikací a to přímo smartbankou. Tzn. že máte kombinovanou variantu 1 a 2 a nelze to jinak. A to považuji za problém.Třeba ČSOB má ty aplikace oddělené.
FIO má tu aplikaci pouze jednu, ale dá se zvolit v jakém režimu funguje, takže může být jen pro potvrzování.
FIO má problém jinde, a to že umožňuje přepnout zpět na SMS a tato možnost není deaktivovatelná. -
Hlavně když se vám porouchá třeba jen display telefonu, tak stačí přendat SIM, nebo si zajít pro novou a s potvrzovací SMS opět rozjede IB. Ověřit nové zařízení bez starého zařízení je dost možná na pochod do banky, nebo pár dní čekání na dopis s přístupovými údaji.
Řešil jsem něco podobného loni a ještě v té době fungující SMS ověřování mi uchránilo několik dalších hodin vyřizování. -
Z článku (A ostatně z textu podmínek služeb cituji):
Na základně podepsání dohody ... bude ponecháno přihlášení přes SMS
To jsou všechny informace, co znám když pominu asi roční přesvědčovací kampaň a sérii deadlinů.Tak mě zajímá:- Kde taková dohoda se nachází k podpisu ?
- Kde ji podepíšu a jakou formou?
- Jak poznám, kdy ji a kde ji mám podepsat
- Nějak aktivně dostanu posunek k tomu podpisu
Na závěr::: Co když nepodepíšu dohodu ?? Co mi mohou ?
17. 8. 2023, 11:39 editováno autorem komentáře
-
Mobil je nebezppecne zarizeni - jedinemu OS, kteremu duveruji je LINUX.
Windows - to je takova spehovaci console, MacOS mimochodem taky, beztak cte moje emaily z google a analyzuje je.Mobilni aplikace bank vam proleza vase data, SMS, emaily - dela si tak vas profil, zjistuje, zda nekde mate dluhy, oficialni i neoficilani a dane data pak posila bance a ta si z nich dela vas profil, v Mobilu tomu nezabranite, nebot ani Android, ani MacOS nemaji zadne opravneni aplikace, to je jen takove virtulano, ktere je uplne snadne obejit.
mel jsme Cinsky android, a tam byly uplne jine opravneni, bylo napr. videt, ze aplikace, co mela zakazanou GPS si ji chtela tise zapnout a tu virt. si dokonce zapla bez jedine notifikace ! - akorat ze fyziky byla vypnuta - apka i google api videli jen jakysi virtual, kde si mohly delat co chtely, simulovaly se jim tam ty jejich pseudo prava - napr. google-play je apka, kterou ovladaji i tajne slusby, ja ji vzdy zakazal spoustet apky - jde ji i zakazat instalovat apky ;-)
Google mi celou dobu nadaval, nakonec mi po 3 letech zakazal s danym telefonem sluzby google ;-) dokonce mi psaly i tajne slusby, mobil, co v sobe nemel cestinu mi cesky npasal, ze mam mobil restartovat do tovarniho nasatveni a vypnout plokace auto spusteni.
nejvetsi sranda byla s udajne ilegalni apkou, chce ale roota, takovy tripwire - sledoval kde ketr pka leze a sledoval i zmeny v OS - takze jednoho dne mi operator nahral trojana do mobilu, ne jako apku, ale do OS a chtel jej pustit - aaplikace se me zeptaal, co s tim ma delat, ze mi v OS pribily tyhle soubory a pokus o zmenu spousteni - to jsme zakazal a souborum jsem odebral veskera opravneni - pak me zacal operator uhanet cesky, zprvami, co nebyly SMS, ale vypisovl je ANDROID jako systemove hlasky, na jednom mobili dokonce pri kazdem rebootu - tim moje duvera v mobily skoncila a zadnou dulezitou apku tam nemam, vse vypinam, data i GPS - i kdyz vim, ze tajne slusby si to zapnou a dokonce to ani neukazuje, ze je to zaple, z toho duvodu se vracim k cinskemu mobilu - od EU xiaaomi asi prejdu k Oppo - Xiaomi jsme mel cisnky, ted mam evropsky je je to opruz, treba tam uplne chybi nahravani hovoru, musis se to instalovat, je tam kupa omezeni - jako ze nesmi davat cisla kdyz neni v seznamu a jeste to overuje pres zemi SIM karty, zda vam to vlada povolila ;-)) - Cinsky mobil se nepta, funguje vse - paradoxne tam nejsou zadni vratka pro EU/USA - pro Cinu asi taky ne, oni sleduji Wechat - tam je to v podminkach, obecne v Cine jsou zakony, ze vam vlada musi rict, co sleduji, castecne jak a ze jste sledovani - tkaze plno apek to rika - casto pak nemaji potrebu nahravat z mobilu - ale IMEI a SIM karty trasuji to zase jo, hovory naghravaji centralne, coz dela kazda vlada na svete i ta Ceska - jen ta to jeste posila do USA pres serverovny v Holandsku, pry kdyz je US-CIA v EU a nepreposila data do USA, tak je to pry OK s GDPR ;-)
ČLÁNKY DO MAILU