SMS už nepřijde. Raiffka mění kód pro online platby

Je 5.7., 5 hodin odpoledne, potřebuju zaplatit dálniční známku a 3D kód do mobilního bankovnictví ani přes opakovaný pokus nedorazí. Na chatu nikdo. Milá RB, nic moc teda :(.

Dobrý den tady Martin prosím vás mám takovou prosbu nějaký zkurvysyn Jaký zkurvysyn normálně mi to vykřičet prosím vás můžete se na to podívat bude tak hodný a pomůžete mi zpátky k tomu Já mám strašně moc děkuji machút mé číslo je 602 3 5 4 171 a nebo 723 431 69 Já strašně moc děkuji a pochop teme děkuji nezlobte se že vás otravuji taková píčovina ale pro mi to nejsou píčoviny víte nemám co žrát už děkuji

Proč by někdo odcházel ještě před tím, než zjistí, jak to bude u RB fungovat, co mu RB nabídne. To jsou zbytečné náklady na čas. Udělat si nějaký přehled o trhu, přestoupit a pak zjistit, že by mi vlastně RB nabída to samé, co mám nyní u Eqvy.

Ještě před několika týdny by ani nový mobil nepomohl - RB klíč nefungoval na Google Pixel a Huawei mobilech.

Jasně, že budu chtít "přejít" jinam. Půjčovat si od někoho telefon se mi nelíbí a platit 19 Kč měsíčně taky ne. Problém s aplikací mám jen u RB a Equa, jinde ne. U jiných bank mi buď funguje aplikace bez problémů, nebo existuje jiná (neplacená) možnost.

Další věc je, co je to "slabší zabezpečení". Např. 15znakové heslo složené z čísel, symbolů, malých a velkých písmen měněné každý měsíc je jistě mnohem bezpečnější než heslo bez podmínek. Ale pokud někoho budete nutit používat to první heslo, dopadne to tak, že si ho někam napíše - třeba na papírek přilepený na monitor.

Jakože chcete dobrovolně přejít k někomu, kdo má to zabezpečení slabší? Někam, kde budete opisovat dále sms kódy nebo se třeba trefovat do podpisových vzorů ??? Hmm, tak to hodně štěstí. Co já vím, tak tu aplikaci klíč mají všechny banky na trhu, co za něco stojí. A vzhledem k tomu, že jednají podle platné legislativy, která jim přikazuje provádět SCA, toto zabezpečení budou mít za chvíli všechny banky. Nechápu, proč bych měla měnit banku kvůli tomu, že jde s dobou.

Tak jsem podíval na tu reportáž a obrázek jsem si udělal asi tento: Je úplně jedno, jestli používám SMS nebo aplikaci, okrást mne můžou stejně snadno. V ověřovacím řetězci jsou nejslabším článkem smartfoun a uživatel. Uživatel si musí dávat mnohem větší pozor v případě použití smartfounu , což jde tak nějak proti jeho smyslu, neboť má být (podle názvu) chytrý za uživatele. Jakožto majitel obyčejného telefonu jsem znevýhodňován, zatímco by to mělo být přesně opačně, protože tento (asi nejrozšířenější) způsob napadení pomocí podvržené aplikace je na mém telefonu MNOHEM obtížněji realizovatelný.

Také to tak plánuji. Rok to nechám jako spořící účet a až vyprší lepší úrok, půjčím si od někoho důvěryhodného telefon nebo tablet, nainstaluji RB klíč a peníze převedu jinam. Případně obětuji těch 19 Kč a použiji SMS.

Rok to vydržím pro to 1% , pak skončím.

- "Omylem jsem si poslal kód na tvůj mobil, můžeš mi ho přepsat?" = chyba uživatele (já bych se zeptal: "Jak se ti to povedlo?")
- "Odchycení SMS nainstalovanou aplikací" = To je právě to nižší zabezpečení smartfounů
- "Ukradení SMS přímo z telefonní sítě." = Teoreticky to možné je, ale kolikrát se to stalo? Jsou nějaké skutečné případy? Kolik procent ze všech případů napadení tohle tvoří? Jak je takový postup pro útočníka nákladný?

Takže varianta 3 je (myslím si, ale klidně mne přesvědčte o opaku) prakticky zanedbatelná, u varianty 1 je jedno, jaký máte telefon a z varianty 2, kterou mají nejspíš nejčastěji na mysli zastánci aplikace, plyne asi toto: "SMS jsou na smartfounu nebezpečné, proto si pořiďte smartfoun." A tento závěr je přesně to, co mi na vnucování aplikace / smartfounu a znevýhodňování / rušení SMS vadí.

Obrázek si lze udělat z té reportáže v Černých ovcích: https://www.ceskatelevize.cz/porady/1097429889-cerne-ovce/221452801080510/0/77390-vykradeny-ucet/

Nicméně je třeba trochu číst mezi řádky, protože to ještě není došetřené, banka nemůže porušit důvěrnost a tedy může říkat na kameru pouze obecné věci a klientka samozřejmě nemůže přiznat, že něco pokonila, protože pak by naděje na náhradu peněz byla ta tam.

Ono není "překonala uživatele" jako "překonala uživatele". SMS poskytuje útočníkovi víc vektorů útoku:
- Omylem jsem si poslal kód na tvůj mobil, můžeš mi ho přepsat?
- Odchycení SMS nainstalovanou aplikací
- Ukradení SMS přímo z telefonní sítě. Aneb když SMS ukradnou od operátora, tak je úplně jedno, jestli ji přijímáte na kuličkovém počítadle, kalkulačce nebo chytrém telefonu.

Smartfoun JE nižší zabezpečení. Možná trochu přehnaný ale podle mne docela výstižný příklad: Máte počítadlo, kalkulačku a smartfoun. U čeho je největší pravděpodobnost, že útočník způsobí, aby vyšlo 1 + 1 = 3 ?

Smartphone ale není “nižší zabezpečení”. Bankovní aplikace mají zabezpečení na nejvyšší úrovní. Zde je ale zase ten uživatel, který leze například na stránky na které nemá a kliká na kde co… Je to jako když si pořídíte trezor a kód si dáte vedle na lístek.

1 % na běžném účtu RB je pro ty, kteří přešli z ING. A ještě k tomu přidali bonus 500 Kč.

Na běžném účtu 1% ???? V RB. Nesmysl

Šlo by poslat nějaký odkaz s podrobnostmi nebo rozvést "autorizaci SMS, kterou útočník překonal" a "Tedy co selhalo bylo zabezpečení přes SMS". Jsem totiž přesvědčený, že útočník nepřekonal SMS a jejich zabezpečení, ale spíš "útočník překonal uživatele" a "uživatel selhal". V takovém případě je ale úplně jedno, jestli používal SMS, aplikaci nebo třeba kouřové signály.

Ohledně aplikace mi to připomíná začarovaný kruh. Abych mohl použít "vyšší zabezpečení" (aplikaci), musím přejít na nižší zabezpečení (smartfoun). Pro mne je to spíš opačně: Nutí mne přejít na nižší zabezpečení (smartfoun), abych mohl používat něco, co údajně zvyšuje zabezpečení, takže se dostanu tam, kde jsem byl, jen si musím pořídit smartfoun. Ale (jak jsem psal už dříve) pokud mi banka vyžadující aplikaci dá k účtu zdarma zařízení, na kterém ta aplikace pojede, tak proč ne.

No narovinu, banka i pro klienty konzervy zavedla službu, která je vcelku jednoduchá a snadno použitelná, narozdíl od nějakého epinu navíc bezpečnější. Ale pro některé je to prostě špatně, chtějí využívat nebezpečné SMS a když jim pak díky tomu někdo vybere účet, tak si jdou stěžovat do televize, že jim to banka nechtěla vrátit. Prostě nepochopitelné.

Pravděpodobně to byl případ, o kterém nedávno vysílali v Černých ovcích. RB klíč tam figuroval, ale říct, že klientovi (klientce) vybrali peníze přes RB klíč je silně zavádějící. Ona totiž měla autorizaci SMS, kterou útočník překonal, následně si spároval účet s RB klíčem na svém mobilu a jím pak potvrdil několik odchozích plateb. Tedy co selhalo bylo "zabezpečení" přes SMS, ne ten RB klíč.

Jinak ano, uživatel je často nejslabším článkem. Právě proto je dobré ho ze SMS autorizace co nejdřív dostat. Protože když si nainstaluje na svůj mobil nějakou podloudnou aplikaci, tak jí pravděpodobně povolí i odchytávat SMS a pak jde celé SMS zabezpečení do kytek. Ale když používá RB klíč, tak to podvodná aplikace má mnohem těžší. Zvlášť, pokud má mobil biometrický TPM modul, který je dnes už docela obvyklý.

A pokud vám napadnou mobil, tak budete dělat co??? Nemáte dva nezávislé kanály, máte jeden napadený mobil...

To je sice všechno hezké, ale myslím si, že útočník jde cestou nejmenšího odporu a tou není nějaké nabourávání se do mobilní sítě a odchytávání SMS, ale jednoduše cílovou osobu "požádá", aby mu sdělila vše potřebné nebo aby mu rovnou své peníze poslala. Nebo třeba nabídne/podstrčí aplikaci na úžasné slevy, atp. Prostě čím víceúčelovější zařízení, tím více možností zneužití.

Zkrátka, i když jsou SMS mnohem nebezpečnější než aplikace, je uživatel sám sobě mnohem nebezpečnější než SMS. Zvlášť když spoléhá na to, že telefon bude chytrý za něj.