Novinky na SvětOutdooru

[Tomas]

V mailu nic, v SMS nic, v aplikaci nic. Equa dávala vědět týden dopředu. Ponechám to bez dalšího komentáře.

[Hafi]

v IB to je ve zprávách... taky jsem to hledal, neb jsem to nepostřehl (ale jelikož jsem už Equu posledních pár let používal výjimečně, tak mi to až tak netrapí).

[Tomas]

Dávali to vědět 28.11.

Dávali, teď to vídím.

Jsem rád že jsi mi to řekl. Ano, opravdu tu informaci pustili do světa a proklikal jsem se k ní.

Paráda.

[Dromedaro]

Já taky nechtěl potvrzování přes mobilní aplikaci, ale pak jsem tu někde zachytil Mikův argument, že je to vlastně další bezpečnostní prvek, že to jde přes banku a nejsem na nějakých podvodných stránkách, což jsem si uvědomil, že je vlastně pravda, tak jsem si to nainstaloval. Jeden z důvodů, proč jsem to nechtěl, jsem si myslel, že v mobilu budu muset zadávat přístupové údaje do IB, což teda ta potvrzovací aplikace nechtěla, což jsem byl rád. A je to teda pohodlnější přes tu potvrzovací aplikaci, to mě taky nebavilo opisovat ty kódy.

[mike]

Ano, opravdu tu informaci pustili do světa a proklikal jsem se k ní.

Normalne to posilaji mailem, ted se asi neco nepovedlo. Normalne jim to napis jako stiznost. Kdyby mne to postihlo, tak to udelam.

BTW, nepsal jsi, ze sis vypnul vsechny notifikace? Pak ti to mozna neprijde ani mailem

A je to teda pohodlnější přes tu potvrzovací aplikaci, to mě taky nebavilo opisovat ty kódy.

tendence branit se zmenam je pochopitelna, ale zas je dobre si vyzkouset, jestli to neni nahodou zmena k lepsimu. Tahle je.

[Tomas]

Kdo ví, povypínal jsem věci, ale emaily mi od nich chodí. Když můžou chodit "anti-scam" maily, můžou asi i ostatní.

Prsil jsem se, že pošlu mail kvůli tý IP. Teď zas znova bych měl něco. Nemám na to něják sílu.

Podle mě tam bude faktor že jsem zmigrovanej ex-equa.

[sobb]

Normalne to posilaji mailem, ted se asi neco nepovedlo.

Asi nepovedlo, nám taky nic nepřišlo. Možná snaha nakrknout exEqua klienty a zbavit se jich, aby nemuseli poskytovat naslibované urdžovací výhody

jestli to neni nahodou zmena k lepsimu. Tahle je.

V čem? Mobil, který nikdy nebyl online mi přijde asi nejbezpečnější řešení, i když musím opisovat kódy. A šmírovací aplikace taky nejsou zrovna nic, po čem člověk v telefonu touží.

[mike]

Podle mě tam bude faktor že jsem zmigrovanej ex-equa.

To asi ne, jelikoz mne to taky neprislo a ja mam RB od nepameti. Normalne to chodi mailem, tentokrat ne. Souvislost tam nejaka byt muze, ale spis ze s prechodem hodne lidi vzniknul vetsi bordel, nez obvykle.

Mobil, který nikdy nebyl online mi přijde asi nejbezpečnější řešení, i když musím opisovat kódy.

Ani nahodou, SMS nejsou bezpecne samy o sobe. To nema s online nic spolecneho. Aplikace je bezpecnejsi z nekolika hlediskek a navic je pohodlnejsi. Taky se mi pred lety nelibilo, ze mne k ni v podstate donutili, ale uz po par pouzitich jsem musel uznat, ze je to lepsi. Chce to nebyt tolik pavproch

A šmírovací aplikace taky nejsou zrovna nic, po čem člověk v telefonu touží.

Jak jsi prisla na to, ze je to smirovaci aplikace?

[Tomas]

Tak ve finále to přišlo asi jednomu člověku ze čtyř. Equa to hlásila v mailu i v aplikaci a věděl jsem to týden dopředu. Tady si to očividně nedaří.

[sobb]

Ani nahodou, SMS nejsou bezpecne samy o sobe.

To je o úhlu pohledu. Docela jsem si o tom něco načetla z různých zdrojů a není to úplně jednoznačné. Ano, samozřejmě je možné SMS odchytávat, ale musí to být cílený útok na konkrétní osobu. Kolik ovšem takových případů znáš v praxi? Ostatně obecně platí, že nejrizikovějším faktorem je uživatel, ať už má zabezpeční jakékoliv. Takže SMS posílané na hloupý offline telefon se nijak nebojím, naopak.

ale uz po par pouzitich jsem musel uznat, ze je to lepsi

Zkoušela jsem, nelíbí se mi to tak, vrátila jsem se k SMS.

Jak jsi prisla na to, ze je to smirovaci aplikace?

MMB: "Abychom zajistili nepřetržitou ochranu vaší aplikace a financí před podvodníky, používáme ověřený software třetí strany, který anonymizovaně sbírá a uchává data o vašem zařízení a aplikacích v něm, včetně IP adresy. A to i ve chvíli, kdy aplikaci nepoužíváte..." Stejný software třetí strany údajně používá i RB a ČSOB (nezkoumala jsem).

[mike]

Tak ve finále to přišlo asi jednomu člověku ze čtyř. Equa to hlásila v mailu i v aplikaci a věděl jsem to týden dopředu. Tady si to očividně nedaří.

Mam pocit, ze to neprislo nikomu. U RB to bylo driv taky mailem aspon tyden dopredu. Nepodarilo se mozna poprve. Jak jsem psal, napis jim, sam vis, ze o chybe musis nejdriv vedet, abys ji mohl spravit.

Ano, samozřejmě je možné SMS odchytávat, ale musí to být cílený útok na konkrétní osobu. Kolik ovšem takových případů znáš v praxi?

Samozrejme, ze to musi byt utok na konkretni osobu. Kod je pro konkretni ucet Ale jo, vim, jak je to mysleno, v praxi se tohle asi nestane. Dalsi moznost je ale odchyceni u operatora a to uz by se stat mohlo. Nejaky zamestnanec na spravnem miste... Pravdepodobnost opet mala, ale to je u vetsiny utoku a presto se deji.

Ostatně obecně platí, že nejrizikovějším faktorem je uživatel, ať už má zabezpeční jakékoliv.

Vsak prave o to jde. SMS se daji preposlat. Tohle se realne deje, utocnik pod nejakou zaminkou presvedci uzivatele, aby mu kod preposlal. To byla nejspis hlavni motivace bank. Aplikace se preposlat neda a potvrdit platbu, kde vsechno na obrazovce vidis, nejspis trkne i lehce retardovaneho.

Zkoušela jsem, nelíbí se mi to tak, vrátila jsem se k SMS.

Jakoze ti vic vyhovuje opisovat kod, nez odklepnout platbu v aplikaci? BTW, o jake aplikaci je vlastne rec? Ja celou dobu pisu o RB klici. Tam to snad jednodussi a uzivatelsky privetivejsi ani byt nemuze.

používáme ověřený software třetí strany, který anonymizovaně sbírá a uchává data o vašem zařízení a aplikacích v něm, včetně IP adresy. A to i ve chvíli, kdy aplikaci nepoužíváte..."

Zajimave. Mas odkaz, kde to presne pisou? Nemuzu to najit.

Stejný software třetí strany údajně používá i RB a ČSOB (nezkoumala jsem).

Kouknu po tom. RB ma ale aplikace dve. RB klic ciste na podpisovani a bankovnictvi, coz bych si do mobilu nepustil. Prosel jsem u RB vsechno, co jsem k RB klici nasel a tohle tam neni.

[Lipon]

já tu zprávu četl tuším v mobilním nebo internetovém bankovnictví, teď už přesně nevím, někde to na mě vyskočilo po přihlášení
třeba mBank to posílá do mobilního bankovnictví jako push notifikaci

dneska jsem se taky potkal s tím, že RB nemá úplně doladěnou úvodní stránku - v browseru dám rb.cz ENTER -> 403 Forbidden.
a pak koukám do adr. řádku, že browser si doplnil jen http a stránky RB nemají ošetřený přesměrování na https, jak už jste tu výše psali

[mike]

Kouknu po tom. RB ma ale aplikace dve. RB klic ciste na podpisovani a bankovnictvi, coz bych si do mobilu nepustil. Prosel jsem u RB vsechno, co jsem k RB klici nasel a tohle tam neni.

Kouknul jsem. RB klic ma prava jen ke kamere/fotaku, nejspis kvuli cteni QR kodu. Zkusmo jsem to zakazal a normalne dal funguje, QR kod jsem snad jeste nepouzil. Bankovni aplikace je jine kafe, nemam, ale koukal jsem se na app store, ta toho chce hodne.

Takze pokud se neukaze opak, nevidim v RB klici zadny problem ani co se smirovani tyce. Chapu, ze kdyz nekdo nema smartfoun, tak chce zustat u SMS, ale se smarfounem je to IMO vyrazne lepsi volba.

[sobb]

Vsak prave o to jde. SMS se daji preposlat.

Právě, z mýho mobilu se to stát nemůže, páč přeposílat ani neumím Jinak co všechno lidi odkliknou a pošlou aplikace neaplikace, je až neuvěřitelný, občas si nějakou takovou zábavnou story přečtu.

Jakoze ti vic vyhovuje opisovat kod, nez odklepnout platbu v aplikaci?

Neříkám, že víc vyhovuje, ale přijde mi to rozumnější. Ale zřejmě se to už vyjasnilo, ty píšeš o klíči, já o běžné mobilní aplikaci.

Mas odkaz, kde to presne pisou?

Zobrazí se to u Monety při instalaci nebo aktualizaci mobilní aplikace. Bez odsouhlasení se do ní nedostaneš.

Prosel jsem u RB vsechno, co jsem k RB klici nasel a tohle tam neni.

Co jsem po tom pátrala, tak zcela neověřené zdroje říkají, že to má být produkt od firmy Wultra. A snad se to má tvářit jako antivirus. Víc nevím.

[mike]

Právě, z mýho mobilu se to stát nemůže, páč přeposílat ani neumím

Opsat kod bys jiste umela Zakladni bezpecnostni plus aplikace je, ze potvrdit musis na konkretnim zarizeni, nikdo jiny to udelat nemuze. Pokud mu nedas do ruky odemceny mobil a pak nepujcis svuj prst. Nebo ksicht

Jinak co všechno lidi odkliknou a pošlou aplikace neaplikace, je až neuvěřitelný, občas si nějakou takovou zábavnou story přečtu.

Jo, to je pravda, socialni inzenyrstvi funguje velmi dobre. Z hlediska banky je ale rozdil, jestli to udela jedno procento nebo setina promile klientu.

Neříkám, že víc vyhovuje, ale přijde mi to rozumnější. Ale zřejmě se to už vyjasnilo, ty píšeš o klíči, já o běžné mobilní aplikaci.

Fajn. Mne prijde klic dost jednoznacny, ale bankovnictvi si do mobilu nepustim, dokud to bude mozne. Popravde, nechapu, proc se to prosazuje, vzdyt to uplne popira princip dvoufaktorove autentizace.

Co jsem po tom pátrala, tak zcela neověřené zdroje říkají, že to má být produkt od firmy Wultra. A snad se to má tvářit jako antivirus. Víc nevím.

Zadneho podezreleho antivira si do mobilu nepustim. Kouknu po tom, diky.

[mike]

"We already have excellent cooperation with the Raiffeisenbank. Our RB Key authenticator app, as well as mobile banking protection technologies, are the practical testaments of that. We are pleased that we can cooperate with Raiffeisenbank on the most fundamental security related topics for the future."

Ale to jeste samo o sobe neindikuje nic spatneho. Proste si banka nechala udelat zabezpecni aplikaci od nekoho, kdo to umi. To je uplne normalni postup. Pisou taky, cim se zabyvaji: from authentication and authorization in your app to malware detection on the end user’s device, pricemz prvni dve jsou OK, zatimco treti uz muze byt problem, ale to je na rozhodnuti uzivatele a IMO to nejde delat bez prav, ktera RB klic nema. Proste pokud si nainstalujes antivira nebo neco podobneho, tak je to tve rozhodnuti, ktere bys mela dobre zvazit, protoze takova vec potrebuje pristup temer ke vsemu.

[sobb]

Opsat kod bys jiste umela Pokud mu nedas do ruky odemceny mobil a pak nepujcis svuj prst. Nebo ksicht

Na to už jsem zas dozajista příliš líná Mám pocit, že tohle ještě všechny mobily neumí a použív se i prostý pin (?)

jestli to udela jedno procento nebo setina promile klientu.

Čísla neznám, ale předpokládám, že s rozšířením bankovních aplikací bude nabývat převaha podvedených na téhle frontě. I finty se logicky budou zdokonalovat právě pro tento segment.

Zadneho podezreleho antivira si do mobilu nepustim.

Nepouštíš ho tam samostatně, nýbrž jako součást bankovní aplikace. Ale ber to s rezervou, tato informace je už typu JPP.
Mi se prvotně nelíbí ta zpráva od mobilní aplikace Monety, to další info o ostatních bankách je už nepodložené.

[sobb]

Proste pokud si nainstalujes antivira nebo neco podobneho, tak je to tve rozhodnuti, ktere bys mela dobre zvazit, protoze takova vec potrebuje pristup temer ke vsemu.

Jak píšu výše, údajně je to součást bankovní aplikace (netuším, zda i klíče). Zkus to tam najít. Třeba je to jen fáma

[mike]

Mám pocit, že tohle ještě všechny mobily neumí a použív se i prostý pin (?)

Jasne. Slo mi o to, ze musi byt odemceny. Nejak Po mne taky chce obcas PIN, kdyz se mu zda, ze jsem otiskem odemykal moc casto ci co...

I finty se logicky budou zdokonalovat právě pro tento segment.

Urcite, ale to neznamena, ze ucinnost bude stejna jako u SMS.

Jak píšu výše, údajně je to součást bankovní aplikace (netuším, zda i klíče). Zkus to tam najít.

Aplikaci zkouset nebudu a klic na to nema prava. Sebral jsem mu ted to jedine, ktere mel a stale funguje. Navic by tam museli dat aspon pri instalaci upozorneni, jako ta Moneta, a jsem si skoro jisty, ze zadne nebylo. Jinak by mne asi odradilo. Ja jsem byl totiz puvodne docela otraveny, ze mne k instalaci dotlacili.

[mike]

Mi se prvotně nelíbí ta zpráva od mobilní aplikace Monety, to další info o ostatních bankách je už nepodložené.

Uplne nepodlozene neni, viz loga bank na home page Wultra. RB, CSOB (a CNB) tam jsou. Neznamena ovsem, ze maji v aplikacich to same, co Moneta, to uz nepodlozene je. Proste ta firma nabizi, co jsem citoval vyse, a co si z toho banka objedna, je na ni.

[sobb]

Jasne. Slo mi o to, ze musi byt odemceny.

To ale ten můj "hloupý" taky.

Urcite, ale to neznamena, ze ucinnost bude stejna jako u SMS.

Mám pocit, že tady je podstatná hlavně osvěta, a ne způsoby ověřování.

Uplne nepodlozene neni, viz loga bank

Ano, o tom právě vím, nepodložené je to, že se snaží šmírovat stejně jak Moneta. Ovšem zas proč by to nedělaly, že ano

[mike]

To ale ten můj "hloupý" taky.

Ano, ale rec byla o tom, ze SMS se da pouzit i na jinem zarizeni, zatimco aplikace ne.

Mám pocit, že tady je podstatná hlavně osvěta, a ne způsoby ověřování.

Ohledne osvety u blbcu jsem docela skepticky. Prijde mi ale jednodussi zmanipulovat nekoho, aby ti preposlal SMS nebo poslal kod, nez aby v aplikaci odklepnul "Posilam vsechny sve penize na nejaky cizi ucet" Ne ze by to nekdo neudelal, ale podle mne jich bude min.

Ovšem zas proč by to nedělaly, že ano

Treba proto, ze se za to extra plati? Ze takova aplikace potrebuje vic prav a uzivatele se budou vic ptat a bourit? Ze to nekteri muzou rozmaznout, cimz bance zkazi povest a cast uzivatelu odejde? Mne spis nenapada, proc by to meli delat. Co by tim ziskali. Muzes zavolat do Monety a na duvod se zeptat

[Hafi]

To ale ten můj "hloupý" taky.

nevím jak moc retro máš telefon, ale už dávno před tím než byly smartfouny, měly telefony takový nepěkný zvyk ukazovat náhled SMS na zamčené obrazovce. A často byl tak vidět právě ten kód, tedy stačilo mít fyzicky přístup k telefonu, klidně zamčenému.

[karaya1]

Uplne nepodlozene neni, viz loga bank na home page Wultra. RB, CSOB (a CNB) tam jsou.

Pokud to je to, co si myslím, tak už to mají i další banky, jen třeba od někoho jiného. V Brně vím o jedné firmě s velmi podobně znějícím produktem, která ma za klienta tu naši největší. Nicméně ten produkt (aspoň co vím), nevyžaduje (aspoň v nějakém módu) speciální extra práva aplikace na přístup k systémovým API, ale vystačí si s tím, jak je aplikace používána - v podstatě všechny frontendové metody, co jsou k dispozici, jsou monitorovány a vyvozuje se z nich, jestli na druhé straně je člověk (příp. jestli to je ten správný člověk), anebo stroj.

[mike]

Tohle by davalo smysl, ale jen u bankovnictvi, u klice si to nedovedu predstavit, tam je interakce minimalni. Takze zadne smirovani, ale naopak ochrana pred utokem

[sobb]

rec byla o tom, ze SMS se da pouzit i na jinem zarizeni, zatimco aplikace ne.

To sice ne, ale vzhledem k případům zneužití účtů i při používání aplikace je to asi celkem jedno. Když holt majitel účtu dle pokynů vybere peníze a vloží je někam do kryptoměn, tak ho aplikace opravdu nezachrání.

Ohledne osvety u blbcu jsem docela skepticky. Prijde mi ale jednodussi zmanipulovat nekoho, aby ti preposlal SMS nebo poslal kod, nez aby v aplikaci odklepnul ...

Nenazývala bych je blbci, ti lidi prostě neví. I pro mě byla spousta podvodných věcí novinkou a postupně jsem se s tím seznamovala. Co si tak občas přečtu nějaký ten příběh, tak mi to přijde podobný. Ostatně přeposlání SMS s kódem dá víc práce než pouhé odklepnutí v aplikaci ...

Ze takova aplikace potrebuje vic prav a uzivatele se budou vic ptat a bourit? Ze to nekteri muzou rozmaznout, cimz bance zkazi povest a cast uzivatelu odejde? Mne spis nenapada, proc by to meli delat. Co by tim ziskali. Muzes zavolat do Monety a na duvod se zeptat

Data jsou v současnosti dost cenná věc a naprostá většina uživatelů prostě jen odklikne a bouřit se nebude. Zvlášť když se tato možnost nabízí, někdo ji už používá, tak proč nabídky nevyužít. Můžeš zavolat do RB, jestli to taky používaj

Takze zadne smirovani, ale naopak ochrana pred utokem

... aneb jak se jedna věc dá nazvat dvěma jmény

[mike]

Když holt majitel účtu dle pokynů vybere peníze a vloží je někam do kryptoměn, tak ho aplikace opravdu nezachrání.

To sice ne, ale to v podstate neni utok, proste ho presvedcis, aby neco dobrovolne zaplatil. Utok je, kdyz z nej vylakas pristup k jeho uctu a tam si pak delas, co chces.

Ostatně přeposlání SMS s kódem dá víc práce než pouhé odklepnutí v aplikaci ...

To sice ano, ale preposlani SMS vypada neskodneji, nez odklepnuti akce v aplikaci, ktera ti jasne rika, co delas.

... aneb jak se jedna věc dá nazvat dvěma jmény

Jo, ale z tve strany Jestli to spravne chapu, tak tady jde o to, ze se neco jako umela inteligence nauci navyky uzivatele pri ovladani aplikace (casy mezi jednotilivymi akcemi apod.). A pak je schopna poznat, ze ji neovladas ty, ale nejaky malware. Na tom nevidim nic skodliveho a nejde o smirovani. Fakt je dobre nebyt moc pavproch

[sobb]

Z jiného soudku - zakládali jsme teď účet u Max banky (následovník Expobank, nynější majitel je Creditas). A žádost o založení příjemně rychlá (i když i na slibovaných pár minut to fakt není), i následný proces založení pružný. Úroky momentálně nepřekonané a překvapivé je i úročení na BÚ. Jsem zvědavá, jak dlouho jim to vydrží. Jen je v budoucnosti pravěděpodobné sloučení s Creditas, takže zas bude časem o jednu banku méně.

[sobb]

To sice ne, ale to v podstate neni utok, proste ho presvedcis, aby neco dobrovolne zaplatil. Utok je, kdyz z nej vylakas pristup k jeho uctu a tam si pak delas, co chces.

Tohle mi tedy docela splývá.

To sice ano, ale preposlani SMS vypada neskodneji, nez odklepnuti akce v aplikaci, ktera ti jasne rika, co delas.

V čem je rozdíl? V SMS je také popsané co potvrzuješ, není to jen samotný kód.

Jestli to spravne chapu, tak tady jde o to, ze se neco jako umela inteligence nauci navyky uzivatele pri ovladani aplikace

Používáním behaviorálních návyků se chlubí ČS, kdesi psali, že jsou snad jediná banka splňující auditní nároky jakési směrnice na ověřování plateb. Ale jseš si jistý, že je tohle to samé?

[mike]

Tohle mi tedy docela splývá.

Mne teda vubec. V jednom pripade koupis dobrovolne neco, co sice mozna nechces, ale furt je to tvoje akce. V druhem predas nedobrovolne nekomu cizimu kontrolu nad tvym uctem a on si tam muze delat, co chce.

V čem je rozdíl? V SMS je také popsané co potvrzuješ, není to jen samotný kód.

Rozdil je v tom, ze v aplikaci to mas prehledne pres celou obrazovku, zatimco SMS je nejaky text, ve kterem se snadno ztratis nebo ho vubec nectes, protoze akorat opises ten kod. A taky je rozdil preposlat nekomu nejakou SMS a odklepnout v aplikaci tlacitko Potvrzuji.

Používáním behaviorálních návyků se chlubí ČS, kdesi psali, že jsou snad jediná banka splňující auditní nároky jakési směrnice na ověřování plateb. Ale jseš si jistý, že je tohle to samé?

Nejsem, ale z toho, co psal karaya1, mi to tak vychazi.