Do banky i bez aplikace. Ověřovací SMS neskončí, couvá Moneta

Petr Kučera | rubrika: Co se děje | 29. 3. 2023 | 19 komentářů
Ještě na konci minulého týdne se Moneta snažila přesvědčit klienty, že jiná možnost od 1. dubna nebude. Potvrzovací SMS měly skončit bez náhrady.

Abychom udrželi kvalitu diskuze pro slušné čtenáře, je nutné se před vložením komentáře přihlásit. Jste tu poprvé? Pak se nejdřív musíte zaregistrovat. (Už jsem, ale zapomněl jsem heslo!)

Přihlásit se

Příspěvek s nejvíce kladnými hlasy

29. 3. 2023 10:16, Leonos

Jste to na Penězích naznačovali od začátku, že chtějí klienty hlavně vystrašit :) Akorát asi měli couvnout dřív - znám pár lidí, co kvůli tomu z Monety odešlo.

+50
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

29. 3. 2023 16:59, L..

Pozměněním by nic nezískal. Ale tím, že si ji přečte ano - může potvrdit transakci aniž by měl přístup k vašemu telefonu.

Navíc, přímé "nabourání se k operátorovi" je jedna možnost. Nebo může útočník přesvědčit vašeho síť operátora, že je jiný mobilní operátor a váš telefon se k němu zaroamoval a operátor mu vaši SMS ochotně přepošle. Jelikož při návrhu telefonní sítě autoři moc nemysleli na bezpečnost, tak je docela problém se tomuhle bránit.

Zobrazit celé vlákno

-13
+-
Reagovat na příspěvek

Další příspěvky v diskuzi (celkem 19 komentářů)

1. 4. 2023 19:27 | L..

> Proč to takto vychází právě v daném případě.

To jsem napsal hned jako první věc, takže opakování: Protože SMS nebyly designovány jako bezpečné a nejsou bezpečné. Stejně tak běžný OS (Windows) má jen omezené možnosti oddělení aplikací. Naopak mobilní OS (Android, iOS) byly designovány s důrazem na bezpečnost a oddělení aplikací, plus mobily na rozdíl od běžných počítačů mají i odpovídající HW pro trusted computing. Proto je i prostý mobil bezpečnější, než PC + SMS. Pokud ještě napíšete, že to "není jasné", tak jste evidentní troll, sorry.

> To, že jste ještě neslyšel o tom, že by někdo byl okraden tak, že byl donucen převést peníze (nakoupit BTC) přes mobilní bankovnictví, neznamená, že se tak neděje, nebo že se tak dít nemůže...

Jistě, různé podvody kdy útočník PŘESVĚDĆÍ oběť, aby mu dobrovolně převedla penize - například poslala BtC - se dějí. Ale vy jste mluvil o případu, kdy by vás k tomu donutil násilím někdo na ulici. A to je fakt mimo a vy evidentně pouze fantazírujete a nemáte jediný důkaz, že by se to reálně dělo.
-7
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 3. 2023 16:19 | Richard Fuld

Chápu, že existuje možnost snadnějšího prolomení dvou překážek, než jedné jiné. Jen mi není jasné, proč to takto vychází právě v daném případě. Proč je prolomené mobilu méně pravděpodobné, než kombinace notebook + SMS?
To, že jste ještě neslyšel o tom, že by někdo byl okraden tak, že byl donucen převést peníze (nakoupit BTC) přes mobilní bankovnictví, neznamená, že se tak neděje, nebo že se tak dít nemůže...
Tuto metodu prolomení bych nazval metoda hrubé síly... Tady mi to vychází lépe pro kombinaci notebook + SMS.
+4
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 3. 2023 13:51 | L..

Citace - Richard Fuld / 30.03.2023 12:58

Když se mi někdo nabourá do internetového bankovnictví musí kromě toho ještě překonat ověřování přes SMS.
Když se mi dostane do mobilního bankovnictví, nic dalšího prolamovat nepotřebuje. Vše má v jednom zařízení.


Vidím, že jste hloubavý člověk. Zkuste se zamyslet nad otázkou: Může být součin dvou čísel menší, než jedno číslo? Vy byste asi řekl že ne, vždyť dvě je přeci více, než jedna, že? A přeci může.

A stejně je to z bezpečností. Pokud mám pravděpodobnost úspěšného napadnutí počítače 1:20 a pravděpodobnost úspěšhého napadnutí SMS 1:50, tak výsledná pravděpodobnost úspěchu je 1:1000. Jenže když mám pravděpodobnost úspěšného napadnutí mobilní aplikace 1:2000, tak to znamená, že jedna mobilní aplikace je stále bezpečnější, než kombinace počítače a SMS. 20 * 50 < 2000.



A o kolika takový přepadech jste slyšel?



No, ne. Protože u IB se ten útok vede tak, že útočník už má přístup do vašeho IB a pouze vám napíše z účtu / čísla vašeho kamaráda "Omylem jsem si poslal(a) kód na tvůj mobil, můžeš mi ho opsat sem?" A to často projde, když je pozornost člověka zrovna zaměstnána jinde.

S mobilní aplikací by vám musel napsal "Pošli mi celý zůstatek svého účtu na XXXX/YYY" a to přeci jen člověka zarazí, i když je zrovna nepozorný.

Ale reálně se phishing používá spíš pro instalaci nějakého malware, který vám ovládne IB.
-7
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 3. 2023 13:02 | Richard Fuld

Jinými slovy věřte odborníkům, kteří nejsou schopni přesvědčivě vysvětlit, proč je SMS ověřování bezpečnostním problémem?
To asi fakt nééé.
+6
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 3. 2023 13:00 | Richard Fuld

Taky mám tento dojem. Pokud jde o phishing, tak tímto způsobem lze přimět člověka udělat bezpečnostní chyby obdobně prostřednictvím internetového bankovnictví (bez ohledu na způsob potvrzování transakcí), stejně jako prostřednictvím mobilního bankovnictví.
+5
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 3. 2023 12:58 | Richard Fuld

Takže SMS ověření je nebezpečné až poté, co útočník ovládne můj počítač? Tak to by měli spíše odrazovat od používání počítače, nikoliv od SMS ověření.

Když se mi někdo nabourá do internetového bankovnictví musí kromě toho ještě překonat ověřování přes SMS.

Když se mi dostane do mobilního bankovnictví, nic dalšího prolamovat nepotřebuje. Vše má v jednom zařízení.

Pořád mi přijde kombinace internetového bankovnictví + SMS ověření bezpečnější, než nabízet útočníkům k získání přístupu k mému účtu (navíc!) ještě jedno zařízení (mobilní telefon s mobilním bankovnictvím).

Představa že Vás někdo na ulici nebo jinde přepadne a donutí Vás k umožnění přístupu k Vašemu účtu prostřednictvím zařízení (chytrého telefonu), které máte téměř vždy u sebe, mi taky z bezpečnostního hlediska nepřijde nějak moudré. Takto s sebou nosíte zařízení, jehož prostřednictvím můžete být připraven o veškeré úspory a ještě něco navíc. Jako byste nosil po kapsách statisíce korun a hromadu podepsaných dlužních úpisů...
Z uvedeného hlediska mi přijde bezpečnější kombinace počítač + SMS + provádění transakcí pouze v bezpečí domova (práce) + v mobilu nemít žádné klíče ani mobilní bankovnictví. Když chci platit venku, použiji kartu...
+13
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 19:19 | L..

Citace - riesner / 29.03.2023 16:59

Problém s bezpečností je v tom, že mnoho klientů absolutně nezvládá bezpečnostní pravidla.

Že někdo bezpečnosti nerozumí, na tom není nic špatného. Bezpečnost je komplexní obor a není možné, aby v dnešní složité společnosti všichni rozumněli všemu. Problém je, když si takoví lidé myslí, že bezpečnosti ve skutečnosti rozumí a prostě dál používají SMS i když jim odborníci říkají, že nejsou dost bezpečné.

A co se týče phishingu, jasně, když o tom člověk čte, tak si říká "To je přece jasné, jak tomu mohl někdo naletět". Generál po bitvě. Ve skutečnosti stačí, aby se útočník trefil do okamžiku, kdy je pozornost člověka upřena na něco jiného a/nebo do něčeho, co člověk očekává a pravděpodobnost úspěchu útoku se silně zvyšuje.
-3
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 19:07 | L..

Samozřejmě. Útočník buď ovládne váš počítač, nebo získá vaše jméno a heslo. Zadá transakci, pomocí odchycené SMS ji potvrdí a pápá peníze. Už je to, doufám, jasné.
-7
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 17:44 | Richard Fuld

Pokud si někdo přečte potvrzovací SMS, může potvrdit transakci, kterou jsem zadal já. Pomíjím, že by musel být přihlášen do mého internetového bankovnictví. Tohle mi pořád jako riziko plynoucí z použití ověřovací SMS nepřijde.
+5
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 16:59 | riesner

Problém v SMS určitě nevidím. Problém s bezpečností je v tom, že mnoho klientů absolutně nezvládá bezpečnostní pravidla. Jednoduše přepošle ověřovací SMS třetí straně a je jedno za jakým účelem. A to je to bezpečnostní riziko.
+4
+-
Reagovat | Citovat | Nahlásit

29. 3. 2023 16:59 | L..

Pozměněním by nic nezískal. Ale tím, že si ji přečte ano - může potvrdit transakci aniž by měl přístup k vašemu telefonu.
Navíc, přímé "nabourání se k operátorovi" je jedna možnost. Nebo může útočník přesvědčit vašeho síť operátora, že je jiný mobilní operátor a váš telefon se k němu zaroamoval a operátor mu vaši SMS ochotně přepošle. Jelikož při návrhu telefonní sítě autoři moc nemysleli na bezpečnost, tak je docela problém se tomuhle bránit.
-13
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 16:42 | Richard Fuld

V čem spočívá nebezpečnost ověřovacích SMS zpráv zasílaných bankou? Že se někdo nabourá k operátorovi a SMS zprávu změní? Pokud by i někdo změnil ověřovací SMS zprávu, co by tím získal?
+2
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 14:01 | L..

Protože při návrhu SMS nikdo nemyslel na bezpečnost, zatímco při návrhu mobilu ano.
-3
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 12:47 | Richard Fuld

Tohle by ale nekonvenovala s ochranářskou mentalitou státu...
-1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 12:46 | Richard Fuld

Vysvětlí mi někdo polopaticky, proč je kombinace elektronického bankovnictví v notebooku a potvrzovacích SMS v mobilu, méně bezpečná, než mobilní bankovní aplikace v mobilu?
+27
+-
Reagovat | Citovat | Nahlásit

29. 3. 2023 11:38 | PepaJa

"...95 % podvodů, při kterých klienti přichází o peníze, je způsobeno právě podvody přes SMS," A jaký typ podvodů to je? Pokud to jsou SMS ve tvaru "Váš účet byl zablokován, pro odblokování klikněte na teto odkaz.", pak bych řekl, že oběti budou spíš uživatelé smartfounů. Nebo i uživatelé normálních telefonů sednou k počítači a začnou přepisovat (většinou dost dlouhou a nesmyslnou) adresu z SMS do prohlížeče?
+9
+-
Reagovat | Citovat | Nahlásit

29. 3. 2023 10:16 | Leonos

Jste to na Penězích naznačovali od začátku, že chtějí klienty hlavně vystrašit :) Akorát asi měli couvnout dřív - znám pár lidí, co kvůli tomu z Monety odešlo.
+50
+-
Reagovat | Citovat | Nahlásit

29. 3. 2023 8:58 | L..

Ale takle to už funguje, ne?
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 3. 2023 8:19 | Škodolibka domácí

Stačila by jedna jediná věc. Klient se SMS potvrzováním na sebe zcela převezme riziko, pokud by přes tuto autorizaci došlo ke zneužití jeho prostředků. Přijde mi to fér pro obě strany.
-2
+-
Reagovat | Citovat | Nahlásit

Spočítejte si

Výpočet RPSN

Rozšířená verze kalkulačky

Další kalkulačky

Interaktivní grafiky

Kdy můžu do důchodu a kolik dostanu. Kalkulačka a pravidla

Kdy můžu do důchodu a kolik dostanu. Kalkulačka a pravidla

Kdo může žádat o přiznání starobní penze? Co všechno se počítá? Jaké jsou podmínky? Tady...více

Nemáte v peněžence poklad? Takhle poznáte vzácné koruny

Nemáte v peněžence poklad? Takhle poznáte vzácné koruny

Vypadají jako peníze, které denně bereme do ruky. A najdou se lidé, co by nám tu ruku...více

Nové dopravní značky. Podívejte se, co vás čeká na silnicích

Nové dopravní značky. Podívejte se, co vás čeká na silnicích

Od 1. ledna 2024 čeká na řidiče několik nových dopravních značek. Novelu vyhlášky č. 294/2015...více

Na tyhle e-shopy si dejte pozor. Ukážeme jejich triky

Na tyhle e-shopy si dejte pozor. Ukážeme jejich triky

Tohle není podvod, který by měl každý poznat hned na první pohled. Není to amatérsky působící...více

Cesta do pravěku. Podívejte se, jak vypadalo internetové bankovnictví před 20 lety

Cesta do pravěku. Podívejte se, jak vypadalo internetové bankovnictví před 20 lety

Ať jste, nebo nejste pamětníci, tenhle výlet bude plný překvapení. Připomeňte si pionýrské...více

Přihlášení k newsletteru

Změny, novinky a aktuality ze světa osobních financí přehledně ve vaší schránce – čtěte náš pravidelný newsletter.

Informace ke zpracování osobních údajů

Souboj osobností

Kdo je vám sympatičtější? Hlasujte v našem souboji osobností a zvolte si svého oblíbence (případně menší zlo). Stačí kliknout na fotografii.

Viktor Kožený

podnikatel a kriminálník

Aleš Hušák

podnikatel

Viktor Kožený
ÚSPĚŠNOST
0,00 %

z 2 duelů
×
Aleš Hušák
ÚSPĚŠNOST
0,00 %

z 3 duelů

Chci jiný souboj
Souhrnné výsledky duelů

Partners Financial Services