[OT] internetove bankovnictvi vs. certifikat

Jindroush jindroush na seznam.cz
Středa Červen 8 22:55:34 CEST 2016


On 8.6.2016 22:45, Petr Zahradnik wrote:
> Pokud máš certifikát, ať už v úložišti Windows nebo na čipové kartě
> nebo v šifrovacím tokenu, pokud PIN/heslo zadáváš přes počítačovou
> klávesnici a nikoliv přes klávesnici přímo integrované na čtečce, pak
> je bezpečnost nula nula prd. Je velmi jednoduché odchytit klávesnici.
U CSOB je to randomizovana virtualni klabosnice, nikoli zadavani pres hw 
klavesnici. A existuji i anti-keyloggery (keyboard scramblery). A ano, 
ten boj je nekonecny ;-)

> Jinak, u obyčejných SMS je ptákovina, aby malware SMS upravil na
> nějakou jinou. Uvědom si, jak ten proces funguje - zadáš transakci,
> dostaneš SMS, opíšeš kód do bankovnictví. Kdybys opsal úplně jiný kód,
> je to na nic. Malware musí fungovat tak, že ukradne heslo pro přístup
> do bankovnictví, ten pošle útočníkovi, on zadá transakci, banka pošle
> SMS, tu odchytí malware, pošle ji útočníkovi a ten zadá do
> bankovnictví. Toto možné samozřejmě je. Taky by mohl fungovat přímo
> jako bankovní aplikace, tam žádné SMS nechodí.
Ja popisoval realne malware, ktere tak funguje, ne hypoteticky utok.

1) Malware napadne PC
2) Malware pres MitB (man-in-the-browser utok) nainjektuje kod do 
bankovnictvi, ktery presvedci uzivatele k instalaci (nejcasteji) 
androidi aplikace.
3) Malware pres MitB nainjektuje kod do bankovnictvi, ktery pri platbe 
ukaze castku X na ucet u1, ale pritom vyrobi transakci castky Y na ucet u2.
4) Malware v mobilu prijme potvrzujici SMS, upravi jeji text a predhodi 
ji uzivateli.
5) Uzivatel prepise kod do browseru.
6) Na uctu u2 jsou penize obeti. Ucet patri nejakymu bilymu koni (money 
mule), ktery penize prevede dale...

O 'mobilnim bankovnictvi' vubec nemluvim, to nechapu, jak ma fungovat 
bezpecne, kdyz je vsechno na jednom zarizeni...

J.

-- 
Jindroush <jindroush at seznam.cz>



Další informace o konferenci Hw-list