OT: Ctecka chipovych karet ?

Stanislav Šmejkal smejkal@smejkal.com
Pátek Červenec 13 00:20:15 CEST 2007


Dawid Ferenczy napsal(a):
> Puvodni  zprava  "Re: OT: Ctecka chipovych karet ?" od "Petr Zahradnik
> (hw-list@list.hw.cz)" z 29. června 2007, 21:47:21,
> msgid:1775631181.20070629214721@clexpert.cz (964 bajtu):
> 
> PZ> Bankovni SMS jsou sifrovane jiz na SIM karte, jedna se o bezpecny
> PZ> prenos. Pristup do chraneneho uloziste pomoci BPIN.
> 
> PZ> Petr Zahradnik, pocitacovy expert
> 
> Urcite?  nejde o obycejnou sms? mam starsi telefon s obycejnou (ne SIM
> toolkit)  SIMkou, zadne bankovni aplikace, proste jen kliknu na webu a
> dojde mi sms s autorizacnim kodem...
> 
> I  kdyby  nebylo  sifrovane,  je  to  potencionalnimu zlodejovi IMHO k
> nicemu, protoze by musel byt prave prihlaseny do webove aplikace (tzn.
> vlastnit  muj  certifikat a znat k nemu heslo) a opsat tam autorizacni
> kod rychleji, nez ja...

Dobry den,

kazdy resite jiny bankovni pristup.

eBanka+bankovni SIM: Pri prihlasovani i autorizaci posle banka zasifrovanou
SMS, tu si rozsifruje bankovni aplikace a po zadani BPIN vyplivne potrebny
kod + u autorizace autorizovane informace (cislo protiuctu, castka,
spec.symbol apod.). K prolomeni je nutne znalost BPIN, ukrast SIMku a znat
klientske cislo (RC).

eBanka+nebankovni SIM: Pri prihlasovani i autorizaci posle banka obycejnou
SMS, a pri znalosti klientskeho cisla (RC), vlastnictvi SIM (SMS) a
znalosti I-PIN se prihlasite ci autorizujete cokoliv. Staci nejaky spyware
na I-PIN a klientske cislo a pak si pujcit telefon.

nektere jine banky: Pri prihlasovani se pouziva certifikat, pri platbe
navic chraneny SMS zpravou. Takze opet staci spyware na certifikaty a pak
si pujcit telefon.

U jednoho meho klienta (ma GE Money) jsem vysledoval dokonce dva
certifikaty (prihlasovaci a podepisovaci) s heslem a zadne externi SMSky.
Takze spyware a jeho tucne konto mohlo byt suche za par minut.

Nekdy banky opravdu nechapu.

Standa



Další informace o konferenci Hw-list