Tomáš Hubálek Blog: Bavte se přiměřeně
Reklama
Reklama
Článek
Bezpečnost a mBanka - věřte nevěřte...
Update: mBank změnila v létě 2008 způsob zabezpečení a nyní už je možné se tomuto způsobu napadení účinně bránit.
K napsání tohoto článku mě inspiroval televizní pořad, který jsem
viděl v době, kdy jsem ještě měl čas se dívat na televizi 
Předložím vám příběh a na jeho konci položím otázku:
věřte – nevěřte, mohlo se to stát?
Vašík byl student posledního ročníku střední elektrotechnické školy. Spolužáci ho moc neměli rádi, protože je pořád poučoval, ale jemu to nevadilo. Sám věděl že je nejlepší (nebo si to alespoň myslel).
Když se dozveděl že je tu nová internetový banka, rozhodl se že si u ní zřídí účet. Když přišla aktivační obálka, přihlásil se na účet a hned začal zjišťovat co to umí. Co ho zaujalo jako první, bylo to, že na to aby se mohl dostat k někomu na účet mu stačí znát jen klientské číslo a heslo. K tomu se dostat je přeci lehké… To musí zkusit.
Doma sednul k internetu a podíval se jak se dělají keyloggery. Nic těžkého na tom nebylo, tady na této stránce je to do detailů popsané. Ale to by nebyla výzva, navíc na instalaci keyloggeru potřebuje určitá přístupová práva.
Podíval se na statistiku webových browserů a zjistil, že Firefox má třetinový podíl na trhu browserů. Není to sice moc, ale mezi klienty mBank to asi bude lepší a taky zjistil že napsat plugin do Firefoxu mu přišlo celkem jednoduché. Nepozorovaná instalace bez nutnosti restartu není taky k zahození…
Věnoval další víkend sezení u počítače a jednoduchý plugin do Firefoxu, který zjistí, kterou stránku má teď uživatel otevřenou, pokud je to mBank úvodní stránka, zapamatuje si přístupové jméno a heslo.
Vyzkoušel to a byl se svojí prací spokojen. Jak to teď ale aplikovat, aby jim co nejvíc zamotal hlavu. Ukrást peníze sice nešlo, ale trochu si pohrát s účtem klienta a způsobit malé mediální pozdvižení, to by snad šlo.
Rozhodl se že jeho plugin bude po instalaci čekat na pokyn (třeba se na freewebu se objeví soubor, který tam před tím nebyl) a pak si vybere jednu šablonu s nejvyšší částkou, kterou lze poslat a pošle peníze (bez autorizace to šlo, navíc při reklamaci na mLince by uživatel mohl být označen za popletu, který si poslal peníze sám. V logu by nic zvláštního nebylo, IP adresa, browser, všechno by sedělo). Za další týden zase, a tak dále, dokud by na to v mBank nepřišli.
Metodu šíření měl jasnou, rozhodl se pro trojského koně. Naivní, ale celkem účiné řešení, občas se najde uživatel který klikne na přílohu s příponou exe. Aby si lidi byli ochotni jeho exe soubor posílat mezi sebou, vzal několik prezentací s roztomilými pejsky a legračními xichtíky, kterými ho občas počastují spolužáci, převedl je na exe soubor a nenápadně přidal instalaci svého pluginu do Firefoxu. Pak vybral několik spolužaček a spolužáků o nichž věděl, že hromadné emaily přeposílají a prezentaci jim poslal (cizím jménem). Ti už se postarali o rozšíření mezi lidi…
Podle statistiky přístupů na „spouštěcím“ freewebu věděl jak se jeho trojský kůň šíří a když byl s množstvím spokojen, tak to spustil.
Akce nakonec neměla takový efekt, jak Vašek předpokládal, nicméně pár nešťastných klientů se našlo. mBance dalo nějakou práci, než našli příčinu proč se množí reklamace.
Tak tady smyšlený příběh končí. Na vás
- je říct Mohlo/Nemohlo se stát?
- pokud se to mohlo stát, udělala banka něco pro to, aby tomu zabránila, nebo to alespoň stížila?
Odpovídejte v komentářích pod článkem…
06:31:00 - Pátek, 25.01.08 - 
Odkazy na článek
Reklama
Komentáře:
Komentáře:
Pokud chcete, můžete použít tyto pseudo tagy:
- [a href=http://url.com]link title[/a] bude převedeno na link.
- [abbr title=text]abbr[/abbr] bude převedeno na <abbr>.
- stejně tak i[cite], [code], [em], [strong], [q], [li] —
Přidejte komentář:
Komentáře jsou schvalovány před publikováním / Comments must be approved before being published. Thank you!
Navigace
Hledání
Reklama
Kategorie
- Structure
- All
- Toogle Tree
Žhavá témata
- Vzduchovka Slavia 634 - první dojmy a zkušenosti 26.08.08 16:54
- Filipíny - Jak jsem jel místní dopravou, ztratil a znovu našel mobil 20.08.08 14:36
- Manila - první dojmy 19.08.08 19:22
- Zase na cestě, tentokrát na Filipíny... 17.08.08 17:47
- Jaká byla první mRada? 16.08.08 04:49
Nejnovější komentáře
- Tom: [2] Na slávku mám stále stejně dobrý názor, tedy v podstatě dobrý. Co mi vadí je absence jakýchkoliv doplňků, nemožnost...
- Tom: [1] Air Rifle B3 je Čína jako vyšitá, ale s nápisem Germany. Ale rozhodně ne Made in....
- M.Holec: Jinak GAMO jsem nedávno zkoušel a i když mi moc neseděla "do ruky" docela se mi z ní střílelo dobře....
- M.Holec: Air Rifle B3 je německé výroby pokud vím. Dobré jsou jinak diabolky Magnum s širokým využitím. Kulatý broky jsou občas...
- Tom: [5] Díky za komentář, to je snad Tvůj první. Fotek bude určitě přibývat. Dneska asi nic psát nebudu jsem docela...
Nejnovější články
- Filipíny - jak tu fungují mobilní telefony a telekomunikace vůbec
- Filipíny - Šnorchlování v Dive and Trek
- Filipíny - jaké je to v práci a jak mě postříkal záchod
- Filipíny - Jak jsem jel místní dopravou, ztratil a znovu našel mobil
- Manila - první dojmy
Nejčtenější
- Filipíny - Jak jsem jel místní dopravou, ztratil a znovu našel mobil [124x]
- Manila - první dojmy [112x]
- Zase na cestě, tentokrát na Filipíny... [105x]
- Filipíny - Šnorchlování v Dive and Trek [30x]
- Filipíny - jaké je to v práci a jak mě postříkal záchod [30x]
Dobry clanek. Snad si ho prectou lidi, kteri na mForu zastavaji nazor ze soucasne zabezpeceni je naprosto dostatecne.
reply to this comment Pátek, 25.01.08, 12:17:23Paranoické smyšlenky.
reply to this comment- this comment inspired Franta — #7
Pátek, 25.01.08, 12:48:11Tomasi, Tomasi.. Jen dodam ze tohle je mozne u vetsiny bank a dokud se to masivne nezacne zneuzivat, nikdo to pochopitelne resit nebude. A virtualni klavesnice to taky moc neztizi, dokonce ani vetsina certifikatu a hloupejsich chipovych karet. Zamysli se nad tim.
reply to this commentP.S.
MBank ma zatim vyhodu v tom, ze ma ponekud nezajimave mnozstvi klientu.
- this comment inspired Tom — #4
Pátek, 25.01.08, 12:51:56inspired by R_R — #3 Nevím, proč bych se měl zamýšlet nad něčím, na čím by se měli zamýšlet právě v těch bankách.
Dokud vám neukradnou mobil, budete si myslet, že ho dokážete uhlídat (stejně jako jsem si to myslel já
)
Dokud vám nepočochní účet, budete si myslet že to není možné.
Blbé je to pak řešit..
reply to this comment Pátek, 25.01.08, 13:04:04Dobrý den,
proč nenapíšete článek, jak podle Vás nejlépe postupovat s daným stupněm zabezpečení?
O tom jak je všechno hrozně špatně slyším všude, a zažil jsem již několik předpovídaných "konců světa"
PS: Chápu, že pro Vás je eRB super, jen doufám, že z toho neudělají 2. eRB s minimy, kalkulačkou za 90 měsíčně a placenými převody.
reply to this comment- this comment inspired Tom — #6
Středa, 30.01.08, 10:24:47inspired by boban — #5 Podle mého názoru jediná možná varianta je nějaká implementace One Time Password.
Implementace existují různé od primitivního seznamu jednorázových hesel na papírku, přes java midlety, SIM Toolkit (ať už přijímající zašifrované jednorázové heslo přes SMS, nebo počítající zašifrované jednorázové heslo - jiná varianta midletu) až po hardwarové kalkulátory.
Podle mě nejde o to, jestli se nějaký problém stane, ale kdy se stane. mBank začíná působit v mnoha zemích světa (kromě Polska, ještě Česko, Slovensko a Velká Británie) a to už je snadné a tučné sousto.
Pokud jde o eRB, tak ta je super hlavně pokud jde o zabezpečení. O několik tříd.
Jinak že bych byl jejich nějakým extrémním příznivcem, to se určitě říct nedá, projděte si můj blog.
reply to this comment Středa, 30.01.08, 10:46:57inspired by osobne — #2
Doporučuji mít vyhrazený prohlížeč (spouštěný pod jiným uživatelem), který se používá jen přístup do banky. A samozřejmě si správně vybrat banku 
Třeba eBanku (stránky klubu).
reply to this comment Středa, 30.01.08, 23:36:21Naivita se nevyplácí