[OT] internetove bankovnictvi vs. certifikat
Jindroush
jindroush na seznam.cz
Středa Červen 8 22:55:34 CEST 2016
On 8.6.2016 22:45, Petr Zahradnik wrote:
> Pokud máš certifikát, ať už v úložišti Windows nebo na čipové kartě
> nebo v šifrovacím tokenu, pokud PIN/heslo zadáváš přes počítačovou
> klávesnici a nikoliv přes klávesnici přímo integrované na čtečce, pak
> je bezpečnost nula nula prd. Je velmi jednoduché odchytit klávesnici.
U CSOB je to randomizovana virtualni klabosnice, nikoli zadavani pres hw
klavesnici. A existuji i anti-keyloggery (keyboard scramblery). A ano,
ten boj je nekonecny ;-)
> Jinak, u obyčejných SMS je ptákovina, aby malware SMS upravil na
> nějakou jinou. Uvědom si, jak ten proces funguje - zadáš transakci,
> dostaneš SMS, opíšeš kód do bankovnictví. Kdybys opsal úplně jiný kód,
> je to na nic. Malware musí fungovat tak, že ukradne heslo pro přístup
> do bankovnictví, ten pošle útočníkovi, on zadá transakci, banka pošle
> SMS, tu odchytí malware, pošle ji útočníkovi a ten zadá do
> bankovnictví. Toto možné samozřejmě je. Taky by mohl fungovat přímo
> jako bankovní aplikace, tam žádné SMS nechodí.
Ja popisoval realne malware, ktere tak funguje, ne hypoteticky utok.
1) Malware napadne PC
2) Malware pres MitB (man-in-the-browser utok) nainjektuje kod do
bankovnictvi, ktery presvedci uzivatele k instalaci (nejcasteji)
androidi aplikace.
3) Malware pres MitB nainjektuje kod do bankovnictvi, ktery pri platbe
ukaze castku X na ucet u1, ale pritom vyrobi transakci castky Y na ucet u2.
4) Malware v mobilu prijme potvrzujici SMS, upravi jeji text a predhodi
ji uzivateli.
5) Uzivatel prepise kod do browseru.
6) Na uctu u2 jsou penize obeti. Ucet patri nejakymu bilymu koni (money
mule), ktery penize prevede dale...
O 'mobilnim bankovnictvi' vubec nemluvim, to nechapu, jak ma fungovat
bezpecne, kdyz je vsechno na jednom zarizeni...
J.
--
Jindroush <jindroush at seznam.cz>
Další informace o konferenci Hw-list