CDR.cz - Vybráno z IT

Diskuse k CDR SecUpdate za 49. týden - Eurograbber ukradl miliardu z evropských bank

Tak Eurograbberu se bat nemusim. I kdyby mi zaviroval prohlizec na uctu, ktery pouzivam jen pro banking, tak neverim, ze na muj telefon jde nainstalovat aplikace ... kazdopadne na nej nejde stahnout protoze nemam datovy tarif.

+1
-1
-1
Je komentář přínosný?

Moja banka vyuziva skotocnu dvojfaktorovu autorizaciu s vyuzitim citacky na kartu. Kontrolna suma je vyratana ako kombinacia cieloveho uctu, sumy a sekvencie prikazu. To je podla mna najbezpecnejsi system. Aj keby niekto pocuval, alebo prepisoval udaje o platbe, tak prikaz bez spravneho kodu neprejde.
Este som nepocul o tom, ze by bol podobny system niekde prelomeny, ale ak niekto ma ine informacie rad si o tom nieco precitam.

+1
-6
-1
Je komentář přínosný?

To je dobrá připomínka, s touto formou by si nejspíš v rámci androidu bez předchozího útoku na systém Eurograbber neporadil.

Podobné jako např. dvoúrovňová autentikace u Google účtu:
http://cdr.cz/clanek/zabezpeceni-google-uctu-dvouurovnova-autentifikace

Každopádně Man-in-the-browser útoky, pokud jsou dobře provedeny, mohou být velmi nebezpečné. Injekce kódu do stránky je opravdu "hnusárna", zvlášť v tomto případě..

+1
-4
-1
Je komentář přínosný?

Ano v pripade ochrany google uctu je to dostatocna ochrana. Ale v pripade banky SMS nestaci. Robim prevod a na pozadi mi nieco prepisuje cielovy ucet. Potvrdim odoslanie platby a pride SMS opisujem kod a prachy su fuc. Aj ked vela bank do SMS vpise aj udaje o platbe, ale zaujimalo by ma, ze kto to skutocne kontroluje.

+1
-6
-1
Je komentář přínosný?

Měl jsem na mysli spíše ten Google Authenticator zmiňovaný níže v článku.. Ten je právě bez SMS.

+1
-8
-1
Je komentář přínosný?

Eurograbber se zaměřoval na BlackBerry a Android, takže pokud máte např. iPhone, tak vám konkrétně tohle nebezpečí nehrozí (na Symbianu také ne). Automatická infekce by u vás mohla projít pouze přes Wifi (pokud jí váš telefon má)..

+1
-5
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.