Diskuze: Do banky i bez aplikace. Ověřovací SMS neskončí, couvá Moneta

> Proč to takto vychází právě v daném případě.

To jsem napsal hned jako první věc, takže opakování: Protože SMS nebyly designovány jako bezpečné a nejsou bezpečné. Stejně tak běžný OS (Windows) má jen omezené možnosti oddělení aplikací. Naopak mobilní OS (Android, iOS) byly designovány s důrazem na bezpečnost a oddělení aplikací, plus mobily na rozdíl od běžných počítačů mají i odpovídající HW pro trusted computing. Proto je i prostý mobil bezpečnější, než PC + SMS. Pokud ještě napíšete, že to "není jasné", tak jste evidentní troll, sorry.

> To, že jste ještě neslyšel o tom, že by někdo byl okraden tak, že byl donucen převést peníze (nakoupit BTC) přes mobilní bankovnictví, neznamená, že se tak neděje, nebo že se tak dít nemůže...

Jistě, různé podvody kdy útočník PŘESVĚDĆÍ oběť, aby mu dobrovolně převedla penize - například poslala BtC - se dějí. Ale vy jste mluvil o případu, kdy by vás k tomu donutil násilím někdo na ulici. A to je fakt mimo a vy evidentně pouze fantazírujete a nemáte jediný důkaz, že by se to reálně dělo.

Chápu, že existuje možnost snadnějšího prolomení dvou překážek, než jedné jiné. Jen mi není jasné, proč to takto vychází právě v daném případě. Proč je prolomené mobilu méně pravděpodobné, než kombinace notebook + SMS?
To, že jste ještě neslyšel o tom, že by někdo byl okraden tak, že byl donucen převést peníze (nakoupit BTC) přes mobilní bankovnictví, neznamená, že se tak neděje, nebo že se tak dít nemůže...
Tuto metodu prolomení bych nazval metoda hrubé síly... Tady mi to vychází lépe pro kombinaci notebook + SMS.

Vidím, že jste hloubavý člověk. Zkuste se zamyslet nad otázkou: Může být součin dvou čísel menší, než jedno číslo? Vy byste asi řekl že ne, vždyť dvě je přeci více, než jedna, že? A přeci může.

A stejně je to z bezpečností. Pokud mám pravděpodobnost úspěšného napadnutí počítače 1:20 a pravděpodobnost úspěšhého napadnutí SMS 1:50, tak výsledná pravděpodobnost úspěchu je 1:1000. Jenže když mám pravděpodobnost úspěšného napadnutí mobilní aplikace 1:2000, tak to znamená, že jedna mobilní aplikace je stále bezpečnější, než kombinace počítače a SMS. 20 * 50 < 2000.



A o kolika takový přepadech jste slyšel?



No, ne. Protože u IB se ten útok vede tak, že útočník už má přístup do vašeho IB a pouze vám napíše z účtu / čísla vašeho kamaráda "Omylem jsem si poslal(a) kód na tvůj mobil, můžeš mi ho opsat sem?" A to často projde, když je pozornost člověka zrovna zaměstnána jinde.

S mobilní aplikací by vám musel napsal "Pošli mi celý zůstatek svého účtu na XXXX/YYY" a to přeci jen člověka zarazí, i když je zrovna nepozorný.

Ale reálně se phishing používá spíš pro instalaci nějakého malware, který vám ovládne IB.

Jinými slovy věřte odborníkům, kteří nejsou schopni přesvědčivě vysvětlit, proč je SMS ověřování bezpečnostním problémem?
To asi fakt nééé.

Taky mám tento dojem. Pokud jde o phishing, tak tímto způsobem lze přimět člověka udělat bezpečnostní chyby obdobně prostřednictvím internetového bankovnictví (bez ohledu na způsob potvrzování transakcí), stejně jako prostřednictvím mobilního bankovnictví.

Takže SMS ověření je nebezpečné až poté, co útočník ovládne můj počítač? Tak to by měli spíše odrazovat od používání počítače, nikoliv od SMS ověření.

Když se mi někdo nabourá do internetového bankovnictví musí kromě toho ještě překonat ověřování přes SMS.

Když se mi dostane do mobilního bankovnictví, nic dalšího prolamovat nepotřebuje. Vše má v jednom zařízení.

Pořád mi přijde kombinace internetového bankovnictví + SMS ověření bezpečnější, než nabízet útočníkům k získání přístupu k mému účtu (navíc!) ještě jedno zařízení (mobilní telefon s mobilním bankovnictvím).

Představa že Vás někdo na ulici nebo jinde přepadne a donutí Vás k umožnění přístupu k Vašemu účtu prostřednictvím zařízení (chytrého telefonu), které máte téměř vždy u sebe, mi taky z bezpečnostního hlediska nepřijde nějak moudré. Takto s sebou nosíte zařízení, jehož prostřednictvím můžete být připraven o veškeré úspory a ještě něco navíc. Jako byste nosil po kapsách statisíce korun a hromadu podepsaných dlužních úpisů...
Z uvedeného hlediska mi přijde bezpečnější kombinace počítač + SMS + provádění transakcí pouze v bezpečí domova (práce) + v mobilu nemít žádné klíče ani mobilní bankovnictví. Když chci platit venku, použiji kartu...

Že někdo bezpečnosti nerozumí, na tom není nic špatného. Bezpečnost je komplexní obor a není možné, aby v dnešní složité společnosti všichni rozumněli všemu. Problém je, když si takoví lidé myslí, že bezpečnosti ve skutečnosti rozumí a prostě dál používají SMS i když jim odborníci říkají, že nejsou dost bezpečné.

A co se týče phishingu, jasně, když o tom člověk čte, tak si říká "To je přece jasné, jak tomu mohl někdo naletět". Generál po bitvě. Ve skutečnosti stačí, aby se útočník trefil do okamžiku, kdy je pozornost člověka upřena na něco jiného a/nebo do něčeho, co člověk očekává a pravděpodobnost úspěchu útoku se silně zvyšuje.

Samozřejmě. Útočník buď ovládne váš počítač, nebo získá vaše jméno a heslo. Zadá transakci, pomocí odchycené SMS ji potvrdí a pápá peníze. Už je to, doufám, jasné.

Pokud si někdo přečte potvrzovací SMS, může potvrdit transakci, kterou jsem zadal já. Pomíjím, že by musel být přihlášen do mého internetového bankovnictví. Tohle mi pořád jako riziko plynoucí z použití ověřovací SMS nepřijde.

Problém v SMS určitě nevidím. Problém s bezpečností je v tom, že mnoho klientů absolutně nezvládá bezpečnostní pravidla. Jednoduše přepošle ověřovací SMS třetí straně a je jedno za jakým účelem. A to je to bezpečnostní riziko.

Pozměněním by nic nezískal. Ale tím, že si ji přečte ano - může potvrdit transakci aniž by měl přístup k vašemu telefonu.
Navíc, přímé "nabourání se k operátorovi" je jedna možnost. Nebo může útočník přesvědčit vašeho síť operátora, že je jiný mobilní operátor a váš telefon se k němu zaroamoval a operátor mu vaši SMS ochotně přepošle. Jelikož při návrhu telefonní sítě autoři moc nemysleli na bezpečnost, tak je docela problém se tomuhle bránit.

V čem spočívá nebezpečnost ověřovacích SMS zpráv zasílaných bankou? Že se někdo nabourá k operátorovi a SMS zprávu změní? Pokud by i někdo změnil ověřovací SMS zprávu, co by tím získal?

Protože při návrhu SMS nikdo nemyslel na bezpečnost, zatímco při návrhu mobilu ano.

Tohle by ale nekonvenovala s ochranářskou mentalitou státu...

Vysvětlí mi někdo polopaticky, proč je kombinace elektronického bankovnictví v notebooku a potvrzovacích SMS v mobilu, méně bezpečná, než mobilní bankovní aplikace v mobilu?

"...95 % podvodů, při kterých klienti přichází o peníze, je způsobeno právě podvody přes SMS," A jaký typ podvodů to je? Pokud to jsou SMS ve tvaru "Váš účet byl zablokován, pro odblokování klikněte na teto odkaz.", pak bych řekl, že oběti budou spíš uživatelé smartfounů. Nebo i uživatelé normálních telefonů sednou k počítači a začnou přepisovat (většinou dost dlouhou a nesmyslnou) adresu z SMS do prohlížeče?

Jste to na Penězích naznačovali od začátku, že chtějí klienty hlavně vystrašit :) Akorát asi měli couvnout dřív - znám pár lidí, co kvůli tomu z Monety odešlo.

Ale takle to už funguje, ne?

Stačila by jedna jediná věc. Klient se SMS potvrzováním na sebe zcela převezme riziko, pokud by přes tuto autorizaci došlo ke zneužití jeho prostředků. Přijde mi to fér pro obě strany.