Diskuze: SMS při platbě kartou už nestačí ani v ČSOB

Možná ještě, že platby probíhali v režimu D+7 nebo ještě vyšším? :-)

Tak já zkusím zavzpomínat... banka pro normální občany celkem jedna, většinu operací bylo potřeba provést na jedné konkrétní pobočce (kde byl účet veden), převod se neposílal přímo na cílový účet, ale na jakýsi sběrný, kvůli čemuž bylo potřeba zavést "specifický symbol", kam se psalo číslo cílového účtu. Bankomaty nebyly, platební karty nebyly, internet banking pochopitelně také ne. Zapomněl jsem něco?

Za minulého režimu (před rokem 1990) jsem měl peníze tak akorát v prasátku. A právě proto se ptám.

kdyz se ptate tak jste nic nezazil.

Například... ?

za byvaleho rezimu fungovaly banky lepe

Bohužel máte pravdu, nebude to zase tak špatné, bude to ještě horší. Kdyby byly všichni jako já, případů napadení účtu by nejspíš rapidně ubylo. A výrobci "chytrých" telefonů by asi zkrachovali, protože by jejich produkty nikdo nechtěl. :-)

No však právě. K instalaci přimějete majitele "chytrého" telefonu, ale u majitele normálního telefonu s tím neuspějete.

Jinak tím, že své peníze dají sami, jsem mimo jiné myslel i to, že si nainstalují aplikaci, kterou nechtějí.

Zas tak špatné to nebude, nejsou všichni jako vy.

Jinak překonat šifrování mobilní sítě lze, ale je to nepraktické, protože to vyžaduje poměrně cílený útok, jak píšete. U útoků úspěšně překonávajících SMS zabezpečení se většinou útočí na SMS centrum operátora nebo na (by design nezabezpečený) SS7 protokol a potom můžete číst prakticky jakoukoli SMS. A ještě spíš se uživatel přiměje nainstalovat aplikaci, která SMS čte v mobilu.

Naprosto neprůstřelné zrovna ne, ale dostatečně odolné proti dnes běžně používaným útokům. I útočníci jsou jen lidé, takže jsou líní a než aby se nabourávali do mobilních sítí, odchytávali SMS, atp. (což je možné a často uváděné jako důvod pro "zvyšování bezpečnosti"), tak jednoduše lidi požádají, aby jim své peníze dali. A ti ukolébaní pocitem bezpečí nebo přesvědčením, že chytrý telefon na tohle dává sám pozor (vždyť je přece chytrý), to sami udělají.

Prostě nabourávání se do mobilní sítě vyžaduje zaměřit se na konkrétní osobu s nejistým výsledkem, zatímco oslovení tisíců lidí podvodným mailem, zprávou, falešnou stránkou, atd. je jednodušší a šance, že se někdo chytne a sám jim své peníze dá, je vyšší.

Samé hesla, piny,a jiné kraviny.A stále se kradou prachy z účtu.Hloupy mobil a SMS chodící jen na něj naprosto neprůstřelné hack útokům

Je to tak. U nas to same. Lepik je na monitoru a jednou za mesic se k heslu pripise jedna cislice. Z kvalitniho hesla, kdyz tohle zavedli, se stal paskvil.

Zajímalo by mne, kolik lidí má ten ePIN jiný, než klasický PIN a přitom ho nemá 1234 nebo 1111 nebo podobně. Případně ho nemá napsaný na kartě nebo na lístečku u ní. Takové přidávání "bezpečnostních" prvků bezpečnost jen snižuje. Stačí když si vzpomenu, jak u nás ve firmě před nějakou dobou "zvýšili bezpečnost" tak, že heslo k PC muselo mít 12 znaků, malé písmena, velká písmena, čísla a další znaky, muselo se měsíčně měnit a nešlo použít už dříve použité. To pak na každém monitoru byl nalepený štítek nebo vedle stál kalendář s heslem. Každý měsíc se pak heslo škrtlo a pod něj napsalo nové.