Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
Pavel F. | 213.29.246.*7.1.2010 13:42
Maple: Ano, teoreticky je to možné, stejně jako útok uváděný DJVyn. Nicméně Váš případ nesouvisí s problematikou NEŠIFROVANÝCH SMS. Váš případ se může stát, i když používáte šifrované SMS, případně klidně i certifikáty. Takže Vaše poznámka k tématu je irelevantní.
Maple | 195.47.109.218/10.148.32.*7.1.2010 10:29
Viděl jsem na vlastní oči na security školení, jak se dá krásně obejít potvrzení platby pomocí SMS - jedná se o man in the middle, útočník SMS ani nepotřebuje.

SSL je šifrovaný kanál, ale jeho konce jsou otevřené, pokud bude tedy nakažen počítač klienta, do SSL trubky vidí. Pak je velmi snadné pozměnit údaje odesílané do banky (příkaz k úhradě bude holt na jiný účet a třeba i na jinou částku). Uživateli přijde SMS, kterou 99% lidí nečte a jen opíše kód. Útočník je schopen upravit i výsledek operace, v prohlížeči uvidí proveddenou transakci na správný účet. Realita však bude jiná.

Tedy, dost často by stačilo, kdyby lidé aspoň ty SMSky četli, zda opravdu potvrzují transakci, o kterou žádali.
Pavel F. | 85.161.175.*6.1.2010 13:23
DJVyn: Teda, Vy byste byl machr na konspiracni teorie. Zkuste to v Hollywoodu a za rok ocekavam pokracovani filmu Hacker s Johnem Travoltou. :-)
Ve vasem pripade (hodne teoretickem) proste klient poda reklamaci platby.
BTW, kdyz bych byl zlodej vaseho uvazovani, tak nez se zabyvat touto konstrukci, tak levnejsi by bylo najit arabskeho svejka, koupit za jeho penize banku a tu vytunelovat. :-)
Pavel F. | 85.161.175.*6.1.2010 13:13
Nezminil jste v clanku jednu velmi jednoduchou obranu: Podat reklamaci platby. Ted mluvim konkretne, co jsem sam zazil.
1) Pracovnice omylem odeslala penize na cizi ucet. Po 11 mesicich pri kontrole se na to prislo a podala se reklamace u CS, odkud platba odchazela. Cilova banka (KB) vyzvala prijemce k vraceni platby. Prijemce odmitl, tak KB pres CS nam sdelila veskere informace o prijemci a na Policii jsme podali trestni oznameni a teprve pote (zrejme kdyz PCR kontaktovala prijemce), tak platba byla promptne vracena prijemcem.
2) Z druhe strany, stali jsme se obeti trestneho cinu, kdy se prodavala nemovitost a telefonicky nas kupec informoval, ze kupni cena bude zaplacena jeho znamym z jeho uctu. Penize prisly, nemovitost prodala, kdyz najednou penize z uctu zmizely. Duvod: Odesilatel reklamoval platbu jako omyl a penize nam byly z uctu strzeny a nikdo se nas neptal.
3) Provadime obcas platby do zahranici a vicemene na par uctu. Zadali jsme netypickou platbu jinam a banka nam volala pred odeslanim, ze posledni platba jim vyskocila jako podezrela a jestli je to opravdu tak, jak jsme chteli. Takze dobra detekce z Fraud systemu.
Chci tim tedy rict, ze v ramci CR je velka sance dostat penize zpet i po vyluxovani uctu utocnikem ze strany odesilatele a i v pripade zaslani penez mimo CR je velka sance, ze platba neprojde sitem systemu detekce fraudu.
v6ak | 83.240.101.*6.1.2010 7:19
Ještě další možnost, i když taky problematická, je mobil připojený k počítači.
NáhodnýKolemjdoucí | 62.245.126.*6.1.2010 0:19
To DJVyn: Obyčejně se mi hnusí se do někoho navážet a neuvést přesvědčivé důvody, ale tys mě pobavil jak nikdo magore :D
DJVyn5.1.2010 21:08
Co takhle, že by hacker zaviroval spousty PC a spousty mobilů. V mobilech by vir zachytával jednorázové kódy a v PC by zachytával loginy, hesla a tyto kódy (u internetového bankovnictví).
Mobily by na server odesílaly jednorázové kódy.
PC by na server odesílaly uživatelem zadané jednorázové kódy, loginy a hesla. Server by zjistil, který login a heslo patří ke kterému mobilu (podle shody jednorázových kódů). Potom by server jen zajistil, aby PC, na kterém byl login a heslo zachyceno (kvůli IP) odeslal platbu a mobil nezahlásil uživateli SMS s kódem, přečetl kód a poslal by ho přes server tomu PC. To by platbu potvrdilo.

Stránky: 1 2