V Českej republike bol uplynulý týždeň zachytený vírus, ktorý prekonáva dvojfaktorovú autorizáciu platieb v banke Česká spořitelna.
Banka o tom informovala v piatok podvečer, upozornil E15.cz.
Bezpečnostné spoločnosti v poslednom období informovali o výskyte viacerých prípadov trojanov a iných vírusov, ktoré úspešne prekonávajú aj dvojfaktorovú autorizáciu. Detailné zverejnené informácie sa doteraz ale vyskytovali len sporadicky a netýkali sa slovenských a českých bánk, na ktoré sa zločinci väčšinou nesústredia.
V Českej sporiteľni musí každý užívateľ autorizovať aktívnu odosielanú transakciu buď kódom, ktorý mu banka pošle v SMS, alebo klientským certifikátom. Vírus útočil na zrejme bežnejšie používanú autorizáciu kódom z SMS.
Ako vyplýva z textu upozornenia banky vírus modifikuje zobrazované stránky banky, v pozadí iniciuje podvodnú transakciu a následne na modifikovanej stránke vyzve užívateľa ne netypických miestach ale zrejme dostatočne nenápadne na zadanie kódu, ktorý mu banka pošle v SMS.
Vírus zadanie kódu v skutočnosti potvrdzujúceho podvodnú transakciu požaduje podľa zverejnenej ukážky napríklad hneď v procese prihlasovania, časti klientov tak takéto správanie internetbankingu nemusí byť podozrivé. Podľa ukážky vírus zrejme po zadaní štandardných prihlasovacích údajov požiada ešte o SMS kód, stránka sa inak výrazne vizuálne neodlišuje od originálnej stránky internetbankingu, hoci v screenshote zverejnenom bankou chýba diakritika.
Ukážka činnosti vírusu obchádzajúceho autorizáciu platieb cez SMS v Českej sporiteľni, kliknite pre zväčšenie (obrázok: Česká sporiteľňa)
Podvodné transakcie iniciuje vírus podľa banky aj v iných časoch, či napríklad aj pozmeňuje užívateľom zadané transakcie nie je jasné.
Proti útoku sa je možné jednoducho brániť, autorizačné SMS s kódom totiž obsahujú aj detaily transakcie. Klientom je tak odporúčané, aby si pred zadaním akéhokoľvek kódu z SMS skontrolovali všetky detaily platby a samozrejme kód nezadali, ak takúto platbu neiniciovali.
Vírus podľa stanoviska banky stojí za "niekoľkými pokusmi o podvodné transakcie", bližšie informácie o rozšírení vírusu, jeho úspešnosti, jeho označení a možnosti detekovania a odstránenia zatiaľ nezverejnila.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
@RedakciaDSL
Od: Za poslednú hodinu: 620 meraní
|
Pridané:
21.8.2012 11:20
V clanku mate chybu. Nejde o autorizaciu, ale autentifikaciu.
|
| |
Re: @RedakciaDSL
Od: tinko0987
|
Pridané:
21.8.2012 11:28
nie, je to spravne
|
| |
Re: @RedakciaDSL
Od: mmeno
|
Pridané:
21.8.2012 12:04
Nie je. Dvojfaktorová je autentizácia, nie autorizácia.
|
| |
Re: @RedakciaDSL
Od: Za poslednú hodinu: 620 meraní
|
Pridané:
21.8.2012 14:00
Tak tak. Po anglicky "authentication" sa v slovencine oficialne preklada ako autentifikacia alebo autentizacia.
Autorizacia je zo slova "authorization". Overte si to, ked mi neverite :-)
|
| |
Re: @RedakciaDSL
Od: MenoX
|
Pridané:
23.8.2012 0:36
Lol, ako sa zo spickoveho herca Ivana Trojana stal pocitacovy hacker... Alebo bol v nadpise mysleny trojsky kon?
|
| |
Re: @RedakciaDSL
Od: Mumsito
|
Pridané:
21.8.2012 12:07
Su to dva velmi blizke pojmy a aj ja som musel chvilu googlti, kym som zistil, ze redakcia ma pravdu.
Uzivatel sa musi autentifikovat(prihlasit) aby si system overil, ze je ten za koho sa vydava. Uzivatel vsak musi platbu autorizovat(potvrdit) inak neprebehne.
Autentifikacia je overovanie identity.
Autorizacia je overovanie pravomoci. Kto, co a kedy moze na danom systeme robit.
|
| |
Re: @RedakciaDSL
Od reg.: Klix.
|
Pridané:
21.8.2012 12:26
Na mojej bývalej škole toto bola obľúbená otázka vo viacerých predmetoch - čo je to autentifikácia a čo autorizácia.
Inak vysvetlenie máš ok. :)
|
| |
Re: @RedakciaDSL
Od: Za poslednú hodinu: 620 meraní
|
Pridané:
21.8.2012 14:04
Neboj sa, ja viem co pojmy znamenaju.
V tomto pripade vsak ide naozaj o autentifikaciu, pretoze system overuje identitu pouzivatela - ide o prevenciu proti podvrhnutiu identity.
Kontrola prav (autorizacia) prebieha autorizacia prebieha vylucne na strane systemu - ide o zabezpecenie systemu tak, ze vsetky pozadovane operacie su overovane voci pravam pouzivatela (napr. ja nemozem vybrat tvoje peniaze a pod.)
|
| |
Re: @RedakciaDSL
Od: FerinoX
|
Pridané:
21.8.2012 14:49
Vysvetlil si to dobre, ale v tomto pripade ide o autentifikaciu... nakolko sa overuje, ci je to naozaj povodne autentifikovana osoba. Prave preto sa posiela SMS sprava, aby sa overila TOTOZNOST nie ci na to ma pravo uz autentifikovana osoba nalogovana v systeme. System totiz VIE, ze to dana osoba MOZE urobit, len si overuje INYM sposobom, ci je to naozaj ta ista osoba, ktora sa autentifikovala a teda opatovne vykonava autentifikaciu.
Urcite sa to iste da vysvetlit aj opacne, ale tak ako som to uviedol je to 100% spravne. Riesil som to uz viac-krat.
Uvediem iny priklad.
Predstav si, ze autentifikovana osoba je prihlasena v systeme, ale snazi sa urobit operaciu, ku ktorej nema autorizaciu. Vtedy system zasle SMS kod autorizovanej osobe, ktora ten kod poskytne autentifikovanej osobe. V tomto pripade by islo o autorizaciu. Preto v pripade spomenutom vyssie ide o autentifikaciu. Jednoducho preto, lebo ta osoba ma autorizaciu na vykonanie platby - takze system si ju opatovne inym sposobom autentifikuje.
|
| |
Re: @RedakciaDSL
Od reg.: Redakcia DSL.sk
|
Pridané:
21.8.2012 16:32
Asi sa na to dá pozerať z viacerých pohľadov, autorizáciu v každom prípade vykonáva a zároveň vykonáva aj autentifikáciu.
V každom prípade samotná banka to označuje za autorizáciu - http://goo.gl/KPtg5
|
| |
Re: @RedakciaDSL
Od: miro j.
|
Pridané:
21.8.2012 12:33
Autentifikacia - Login
Autorizacia (platby) - potvrdenie (platby)
V clanku je to dobre.
|
| |
Re: @RedakciaDSL
Od: fake&gay
|
Pridané:
21.8.2012 14:08
grammar nazi alert
|
| |
Re: @RedakciaDSL
Od: thrubovc
|
Pridané:
22.8.2012 1:09
machrujes a sam nevies poriadne
|
| |
.....
Od: xvzf
|
Pridané:
21.8.2012 11:28
clever pristup ;)
|
| |
Re: .....
Od: xvzf
|
Pridané:
21.8.2012 11:28
ktovie ci vsetky banky v sms pisu aj detaily transakcie?
|
| |
Re: .....
Od: Sancho
|
Pridané:
21.8.2012 11:35
Minimalne FIO nie :|
|
| |
Re: .....
Od: xvzf
|
Pridané:
21.8.2012 11:37
to je zle :(
a mne sa zda ze ani Zuno nie...
|
| |
Re: .....
Od: vareha
|
Pridané:
21.8.2012 19:34
Zuno pise ciastku a prijemcu :)
|
| |
Re: .....
Od: CZrep
|
Pridané:
22.8.2012 14:32
FIO CZ ano...
|
| |
Re: .....
Od: milan.ko
|
Pridané:
21.8.2012 12:35
VUB pise. A SMS kod posiela len na vyziadanie pouzivatelom, akekolvek automaticke vyziadanie je podozrive spravanie.
|
| |
Re: .....
Od: ...
|
Pridané:
21.8.2012 13:21
mBank áno, posielate z účtu na účet sumu... (čísla účtov sú len čiastočné)
|
| |
Re: .....
Od: FerinoX
|
Pridané:
21.8.2012 15:12
Profesionalne riesenie je v zachyteni spravy a zaruseni (odpojeni) od BTS povodneho subscriber-a od GSM siete.
|
| |
System s SMS...
Od: ASD_
|
Pridané:
21.8.2012 12:22
System s SMS mi nepride ovela spolahlivejsi ako pouzitie samotnej grid karty. Stale je to kod bud nezavysli na udajoch platby, alebo zavysly na udajoch zadanych cez stranku. dvojfaktorovou autorizaciou by som nazval system ako ma napriklad TB, kde mam citacku. Do ktorej si ja zadam cislo uctu a sumu, takze je to zarucene odolne proti phishingu a podobnym technikam.
|
| |
Re: System s SMS...
Od: xvzf
|
Pridané:
21.8.2012 12:28
len je s tym zasa kopec roboty navyse :-/
|
| |
Re: System s SMS...
Od: Komentátor
|
Pridané:
21.8.2012 13:30
Tak, je pravda že to môže byť robota navyše, ale za tú bezpečnosť to stojí, najmä ak často niekam posielaš rádovo tisícky eur. Inak je to možno zbytočné, ... teoreticky by sa v menej dôležitých prípadoch dala použiť jednoduchšia autorizácia... ale osobne neviem, či konkrétne TB má niečo také v ponuke.
|
| |
Re: System s SMS...
Od: dsdsd
|
Pridané:
21.8.2012 13:44
potvrdzovanie platieb sa da aj uplne vypnut ked je zpanute ides cez citacku, ale vypnutie odporucam iba ludom ktory nevedia co s peniazmy alebo im ani na tej troche co maju nezalezi ;-)
|
| |
Re: System s SMS...
Od: xvzf
|
Pridané:
21.8.2012 13:45
sa mi zda ze maju uz aj funkciu hromadnych platieb, ked robis vela platieb posebe, ale nie som si isty, bo to nepouzivam...
|
| |
Re: System s SMS...
Od reg.: Marki555
|
Pridané:
21.8.2012 14:55
Je bezpecnejsi oproti grid karte v tom ze je jednorazovy. Pri grid karte by ti stacilo si zaznamenat opakujuce sa odpovede (nejakym trojanom ktory by ti pripadne zobrazil ze si zadal chybny kod aj ked si dal spravny a tak ta donutil napisat kod z dalsej pozicie).
SMS kod ma poradove cislo ktore sa ti na stranke zobrazuje. Plus ma (aspon vo vacsine bank) detaily platby uvedene aj priamo v texte tej SMSky. Ked utocnik odchyti zadany kod, tak mu je nanic, v dalsej transakcii ho uz urcite nepouzije.
Samozrejme pokial napr. nejaky kolega vie tvoje heslo do IB (odpozoroval z klavesnice alebo mas vsade rovnake) a nechavas si mobil na stole, tak nie je tazke to zneuzit a hned aj zmazat prijatu smsku o pohybe na ucte :)
|
| |
Diakritika
Od reg.: yanick
|
Pridané:
21.8.2012 14:14
Ked tak na to pozeram, tak na tej podvodnej stranke CP chyba diakritika. Ale ak by som bol klient CP a prihlasoval sa do IB asi by som si tuto malickost nevsimol alebo nevenoval tomu pozornost.
|
| |
Re: Diakritika
Od: Teo_sk
|
Pridané:
21.8.2012 15:04
mne to napr. hned udrelo do oci. asi by som sa nad tym okamzite pozastavil.
|
| |
Re: Diakritika
Od: macher%
|
Pridané:
22.8.2012 6:44
"Podľa ukážky vírus zrejme po zadaní štandardných prihlasovacích údajov požiada ešte o SMS kód, stránka sa inak výrazne vizuálne neodlišuje od originálnej stránky internetbankingu, hoci v screenshote zverejnenom bankou chýba diakritika."
Obcas staci aj citat clanky ;)
|
| |
Re: Diakritika
Od reg.: yanick
|
Pridané:
22.8.2012 17:00
V tomto pripade by som skor povedal, ze "Obcas staci citat clanky pozornejsie" :-)
|
| |
nadpis
Od reg.: Pjetro de
|
Pridané:
22.8.2012 8:10
Nadpis je dost zavadzajuci. Moze z neho vyplavat, ze prekonanie je realizovane napr. hrubou silou, resp. sofistikovanymi algoritmami bez toho, ze by pouzivatel nieco niekde zadaval. Ide vsak defacto o kombinaciu socialneho inzinierstva v podobe phishingu.
|
neprihlásený 
