[OT] internetove bankovnictvi vs. certifikat

Petr Zahradnik clexpert na clexpert.cz
Středa Červen 8 22:45:14 CEST 2016 

Původní zpráva ze dne 08.06.2016 od Jindroush:

> Od CSOB mam certifikat na usb klicence       a:
> a) ty certifikaty mam dva, druhy je 'kvalifikovany' a muzu tim     
> podepisovat lejstra pro financak apod.
> b) nemusim zadavat zadny kody z mobilu, pripadne nekdy cekat na     sms
> c) paranoia: malware, ktere se pres socialni inzenyrstvi dostane   
> na mobil, umi takoveto sms upravit a tim si nechat podepsat      
> 'lepsi' transakci ve jmenu utocnika (pro poradek dodam, ze zatim    
> neni znamo, ze by takovyto utok uz byl proveden vuci ceske bance)
> d) paranoia^2: ackoli je to problem spise pro lidi, kteri jsou     
> cilem tajnych sluzeb, smsky lze falsovat

Pokud máš certifikát, ať už v úložišti Windows nebo na čipové kartě
nebo v šifrovacím tokenu, pokud PIN/heslo zadáváš přes počítačovou
klávesnici a nikoliv přes klávesnici přímo integrované na čtečce, pak
je bezpečnost nula nula prd. Je velmi jednoduché odchytit klávesnici.

SMS nemusí být jen obyčejné, ale mohou být šifrované. Mám takové pro
Raiffeisen bank - přes BPIN a bankovní aplikaci. Tohle opravdu
nepodepíše program.

Jinak, u obyčejných SMS je ptákovina, aby malware SMS upravil na
nějakou jinou. Uvědom si, jak ten proces funguje - zadáš transakci,
dostaneš SMS, opíšeš kód do bankovnictví. Kdybys opsal úplně jiný kód,
je to na nic. Malware musí fungovat tak, že ukradne heslo pro přístup
do bankovnictví, ten pošle útočníkovi, on zadá transakci, banka pošle
SMS, tu odchytí malware, pošle ji útočníkovi a ten zadá do
bankovnictví. Toto možné samozřejmě je. Taky by mohl fungovat přímo
jako bankovní aplikace, tam žádné SMS nechodí.

Petr Zahradník, počítačový expert

====================================================================
Petr Zahradník, Computer Laboratory
Obvodová 740/14, 400 07 Ústí nad Labem
telefony: 910 256 000, 475 501 627, 475 500 610, mobil: 602 409 601
web: http://www.clexpert.cz, e-mail: clexpert na clexpert.cz
Skype: callto://clexpert, web: http://www.zahradniksebavi.cz
====================================================================

Další informace o konferenci Hw-list