Vlákno názorů k článku Moneta mění sazebník. Opustit potvrzovací SMSky donutí klienty novým poplatkem od Skočdopole - V bankách se rozšířil OOO (obecně oblíbený omyl)...

V bankách se rozšířil OOO (obecně oblíbený omyl) že přihlašování přes aplikace je bezpečnější než SMS. Opak je pravdou. Drtivá většina průniků je přes sociální inženýrství a přes potvrzení v apce je takový průnik prostě jednodušší, tedy útoků tímto způsobem jedině přibylo.

Přesně tak! Když chci něco vědět, tak rozhodně nemá smysl se ptát lidí, co s danou věcí denně pracují a mají k ní relevantní statistiky. Pravdu zjevují zásadně anonymní diskutéři v internetových diskusích!

15. 8. 2023, 10:00 editováno autorem komentáře

"ptát lidí, co s danou věcí denně pracují" - tím jsou myšleni klienti (a tedy i diskutéři) nebo banky? U klientů nevím, ale u bank jsem si docela jistý, že ať už je pravda jakákoliv, budou tvrdit, že aplikace je bezpečnější, protože prosadit aplikaci je v jejich zájmu.

Pokud budete chtít vědět nějaké detaily o výrobě léčiv, budete se ptát člověka, co léčiva vyrábí ve farmaceutickém průmyslu, nebo člověka co "každý den polyká ten žlutý prášek".

Samozřejmě, že prosadit aplikace je v zájmu bank. Protože řešit "Zmizely mi peníze z účtu, koukejte mi je tam hned vrátit!!!" jsou pro ně zbytečné náklady a pošramocená pověst.

Tady nejde o výrobu léčiv (vnitřní fungování / strukturu banky), ale o účinnost léčiv (přívětivost a bezpečnost banky). Jestli léčivo funguje, to vám poví ten, co "každý den polyká ten žlutý prášek" a ne tiskový mluvčí výrobce, který sdělí, že "laboratorní studie na kvasinkách měla úžasné výsledky".

Pokud se budete ptát výrobce léčiv, které je nejlepší, tak pochopitelně odpoví, že to nejdražší (to na ze kterého má největší zisk). Že funguje stejně (nebo dokonce hůř) než levnější generikum, to ve svém vlastním zájmu neřeknou. Jejich zájmem není vaše blaho, ale jejich.

Při vracení zmizelých peněz mají banky s aplikací větší manévrovací prostor. "Vy máte v mobilu i jinou aplikaci (jiné banky, hru, atd.) než naši? No ale to je Vaše chyba!", "Vy nemáte poslední aktualizaci systému? Že ji výrobce telefonu nenabízí? Vaše chyba!", "V nastavení nemáte zapnutou tuhle volbu, o které jasně píšeme na 62. straně podmínek použití? Tak to máte smůlu!"

15. 8. 2023, 13:41 editováno autorem komentáře

Umíte číst? Tak si laskavě ještě jednou přečtěte co napsal.

Omyl tady šíříte Vy pane Skočdopole, co kdybyste si o tom nejprve něco zjistil? Drtivá většina průniků je slušně řečeno "neznalostí" uživatelů, kteří své přihlašovací údaje útočníkům poskytnou skrze podvodný odkaz, vždy je to chybou na straně uzivatele, který se nechá zmanipulovat. V bankách pochopitelně vědí co dělají, aplikace je samozřejmě bezpečnější.

No ale toto jsem přesně napsal ne? Já jen říkám že s apkou je mnohem jednodušší se nechat přesvědčit že někomu něco odklepnu než že ze mě někdo musel dolovat SMS kód. Proti SMS bývala argumentace s prolomením GSM šifry což je PRAKTICKY úplná hovadina, protože takových průniků byla nejspíš za poslední roky čistá NULA.

A ne v bankách opravdu často nevědí co dělají, protože o důležitých věcech jako prosazování apky místo SMS nerozhodují bezpečnostní experti ale manažírci od stolu co potřebují být prostě "kůl" a zdůvodnit nadřízeným svojí zbytečnou existenci..

> Já jen říkám že s apkou je mnohem jednodušší se nechat přesvědčit že někomu něco odklepnu než že ze mě někdo musel dolovat SMS kód.

A na tenhle nesmysl jste přišel jak? SMS kódy se používají na všechno možné, například na nevinné ověření čísla při různých registracích. Takže pokud uživatel nečte pozorně, co je to za kód, klidně vyplní žádost od "přítele" ve stylu "Omylem jsem si k tobě na mobil poslal kód, můžeš mi ho, prosím, napsat?". Takové útoky se reálně dějí a fungují.

Naopak, do IB uživatel chodí pracovat se svými penězi. Jak ho otevře, ví, že jde o jeho peníze a je ostražitější. Takže takovéhle útoky se nedějí. Pokud už uživatel potvrdí převod v IB, je to vědomě ve schématu "váš účet je ohrožen, rychle musíte převést peníze do bezpečí". A ten funguje úplně stejně i se SMS.

Hlavní argumentace proti SMS je, že je přenášena v otevřeném tvaru po nezabezpečené a nezabezpečitelné telefonní síti. Zrovna nedávno se tu řešilo, že lze poměrně triviálně podvrhnout číslo volajícího a to se používá k podvodům. Při návrhu telefonní sítě prostě byla bezpečnost až na X-tém místě a podle toho to vypadá.

To je ten hlavní problém. Utéct může informace mnoha způsoby. Prolomení GSM, které jste zmínil je jedna možnost. Další je únik SMS přímo ze sítě operátora. Nebo se dá operátor přesvědčit k přesměrovávání SMS. Velmi "oblíbené" je také udělat si falešného telefonního operátora, prohlásit, že telefon oběti je u vás v roamingu a mobilní síť vám začne jeho SMSky posílat sama.

No a pak je tu telefon. V chytrých telefonech jsou SMS poměrně dobře dostupné - stačí jen přesvědčit uživatele, aby si nainstaloval vaši aplikaci a dal jí příslušná práva. To není bezpečnostní chyba, to je design. Ale ani s "hloupým" telefonem nejste v bezpečí. Způsoby uvedené v předchozím odstavci nezávisí na tom, jaký máte telefon. A i hloupé telefony se dají vyhackovat - před pár měsíci jsem četl o chybě v GSM modulu, který se v nich používá. No a taky může mít uživatel zapnuto přeposílání SMS na desktop...

Prostě mobilní síť / handling SMS je jeden velký cedník, možností úniku je spousta a kvůli kompatibilitě je velmi těžké je zalepit. End-to-end šifrování to řeší.

15. 8. 2023, 13:35 editováno autorem komentáře

Tak třeba já chodím do bankovnictví v mobilu jedině a pouze proto, abych se přihlásil a mohl pracovat v bankovnictví na počítači. Pokud se do IB dostanu jen pomocí počítače a přepsáním SMS z mobilu, je to pro mne jednodušší a rychlejší. Ještě lepší, když se obejdu i bez SMS a stačí jen jméno a heslo (takové banky naštěstí ještě jsou). Pokud je potřeba i aplikace v "chytrém" mobilu, musím zapnout další telefon a zdržovat se s ním.

Pokud by byla možnost bance podepsat nějaké prohlášení, že se chci přihlašovat jen jménem a heslem (případně kdyby na tom moc trvali, tak ještě pomocí SMS, ale rozhodně bez aplikace v mobilu) a beru na sebe veškerá rizika s tím související, tak proč ne. Ale v dnešní době je moderní přístup, že lidé jsou blbci a nevědí, co je pro ně dobré, takže to za ně rozhodne někdo jiný. Samozřejmě ne každý si dokáže počítačovou bezpečnost ohlídat sám. Pro ty by byla volba "nerozumím tomu, nechci se tím zabývat, ať to banka udělá za mne". Důležitá je ta možnost volby.

Předpokládám, že ty podvody fungují trochu jinak, než že by útočník po telefonu žádal SMS kód na přihlášení, to by následně musel po oběti chtít několik dalších kódu na transakce, případně navýšení limitu. Stejně tak s aplikací, nestačí jen jedno potvrzení přihlášení, aby vám někdo vybral účet. Útočníci využívají toho, že si poškozený nainstaluje do telefonu nějakou aplikaci, které následně povolí oprávnění číst SMS, pak je pro útočníky snadné hacknout účet. Aplikace, která je zabezpečena pomoci biometrie, je z tohoto pohledu mnohem bezpečnější. Banky nám poskytují dostatečné zabezpečení, bohužel naivitu uživatelů nijak ovlivnit nedokazou.

Váš optimizmus bych vzhledem ke znalosti, jak jsou podobné instituce řízený a kým tak úplně nesdílel... Ale samozřejmě klidně v té iluzi žijte, že ví co dělají. Bude vám dobře.

Vy budete naopak zřejmě paranoidní, možná si raději překontrolujte účet. Bavíme se tady o zabezpečení bankovnictví, psal jsem jen svůj názor, že zabezpečení mobilní aplikací je bezpečnější než SMS.