Update: mBank změnila v létě 2008 způsob zabezpečení a nyní už je možné se tomuto způsobu napadení účinně bránit.
K napsání tohoto článku mě inspiroval televizní pořad, který jsem viděl v době, kdy jsem ještě měl čas se dívat na televizi 
Předložím vám příběh a na jeho konci položím otázku: věřte – nevěřte, mohlo se to stát?
Vašík byl student posledního ročníku střední elektrotechnické školy. Spolužáci ho moc neměli rádi, protože je pořád poučoval, ale jemu to nevadilo. Sám věděl že je nejlepší (nebo si to alespoň myslel).
Když se dozveděl že je tu nová internetový banka, rozhodl se že si u ní zřídí účet. Když přišla aktivační obálka, přihlásil se na účet a hned začal zjišťovat co to umí. Co ho zaujalo jako první, bylo to, že na to aby se mohl dostat k někomu na účet mu stačí znát jen klientské číslo a heslo. K tomu se dostat je přeci lehké… To musí zkusit.
Doma sednul k internetu a podíval se jak se dělají keyloggery. Nic těžkého na tom nebylo, tady na této stránce je to do detailů popsané. Ale to by nebyla výzva, navíc na instalaci keyloggeru potřebuje určitá přístupová práva.
Podíval se na statistiku webových browserů a zjistil, že Firefox má třetinový podíl na trhu browserů. Není to sice moc, ale mezi klienty mBank to asi bude lepší a taky zjistil že napsat plugin do Firefoxu mu přišlo celkem jednoduché. Nepozorovaná instalace bez nutnosti restartu není taky k zahození…
Věnoval další víkend sezení u počítače a jednoduchý plugin do Firefoxu, který zjistí, kterou stránku má teď uživatel otevřenou, pokud je to mBank úvodní stránka, zapamatuje si přístupové jméno a heslo.
Vyzkoušel to a byl se svojí prací spokojen. Jak to teď ale aplikovat, aby jim co nejvíc zamotal hlavu. Ukrást peníze sice nešlo, ale trochu si pohrát s účtem klienta a způsobit malé mediální pozdvižení, to by snad šlo.
Rozhodl se že jeho plugin bude po instalaci čekat na pokyn (třeba se na freewebu se objeví soubor, který tam před tím nebyl) a pak si vybere jednu šablonu s nejvyšší částkou, kterou lze poslat a pošle peníze (bez autorizace to šlo, navíc při reklamaci na mLince by uživatel mohl být označen za popletu, který si poslal peníze sám. V logu by nic zvláštního nebylo, IP adresa, browser, všechno by sedělo). Za další týden zase, a tak dále, dokud by na to v mBank nepřišli.
Metodu šíření měl jasnou, rozhodl se pro trojského koně. Naivní, ale celkem účiné řešení, občas se najde uživatel který klikne na přílohu s příponou exe. Aby si lidi byli ochotni jeho exe soubor posílat mezi sebou, vzal několik prezentací s roztomilými pejsky a legračními xichtíky, kterými ho občas počastují spolužáci, převedl je na exe soubor a nenápadně přidal instalaci svého pluginu do Firefoxu. Pak vybral několik spolužaček a spolužáků o nichž věděl, že hromadné emaily přeposílají a prezentaci jim poslal (cizím jménem). Ti už se postarali o rozšíření mezi lidi…
Podle statistiky přístupů na „spouštěcím“ freewebu věděl jak se jeho trojský kůň šíří a když byl s množstvím spokojen, tak to spustil.
Akce nakonec neměla takový efekt, jak Vašek předpokládal, nicméně pár nešťastných klientů se našlo. mBance dalo nějakou práci, než našli příčinu proč se množí reklamace.
Tak tady smyšlený příběh končí. Na vás
- je říct Mohlo/Nemohlo se stát?
- pokud se to mohlo stát, udělala banka něco pro to, aby tomu zabránila, nebo to alespoň stížila?
Odpovídejte v komentářích pod článkem…
Dobry clanek. Snad si ho prectou lidi, kteri na mForu zastavaji nazor ze soucasne zabezpeceni je naprosto dostatecne.
Paranoické smyšlenky.
Tomasi, Tomasi.. Jen dodam ze tohle je mozne u vetsiny bank a dokud se to masivne nezacne zneuzivat, nikdo to pochopitelne resit nebude. A virtualni klavesnice to taky moc neztizi, dokonce ani vetsina certifikatu a hloupejsich chipovych karet. Zamysli se nad tim.
P.S.
MBank ma zatim vyhodu v tom, ze ma ponekud nezajimave mnozstvi klientu.
[3] Nevím, proč bych se měl zamýšlet nad něčím, na čím by se měli zamýšlet právě v těch bankách.
Dokud vám neukradnou mobil, budete si myslet, že ho dokážete uhlídat (stejně jako jsem si to myslel já ;-))
Dokud vám nepočochní účet, budete si myslet že to není možné.
Blbé je to pak řešit..
Dobrý den,
proč nenapíšete článek, jak podle Vás nejlépe postupovat s daným stupněm zabezpečení?
O tom jak je všechno hrozně špatně slyším všude, a zažil jsem již několik předpovídaných "konců světa" 🙂
PS: Chápu, že pro Vás je eRB super, jen doufám, že z toho neudělají 2. eRB s minimy, kalkulačkou za 90 měsíčně a placenými převody.
[5] Podle mého názoru jediná možná varianta je nějaká implementace One Time Password.
Implementace existují různé od primitivního seznamu jednorázových hesel na papírku, přes java midlety, SIM Toolkit (ať už přijímající zašifrované jednorázové heslo přes SMS, nebo počítající zašifrované jednorázové heslo – jiná varianta midletu) až po hardwarové kalkulátory.
Podle mě nejde o to, jestli se nějaký problém stane, ale kdy se stane. mBank začíná působit v mnoha zemích světa (kromě Polska, ještě Česko, Slovensko a Velká Británie) a to už je snadné a tučné sousto.
Pokud jde o eRB, tak ta je super hlavně pokud jde o zabezpečení. O několik tříd.
Jinak že bych byl jejich nějakým extrémním příznivcem, to se určitě říct nedá, projděte si můj blog.
[2]
Naivita se nevyplácí 😉 Doporučuji mít vyhrazený prohlížeč (spouštěný pod jiným uživatelem), který se používá jen přístup do banky. A samozřejmě si správně vybrat banku 🙂 Třeba eBanku (stránky klubu).
Malý pohled počítačového profesionála: Bezpečnost má vždy nejméně 2 aspekty: vlastnosti a chování systému jako takového a chování jeho uživatelů. Rozhodně bych Mbank nezařazoval mezi málo bezpečné (na to jsme tu měli třeba donedávna Komerční Banku s jejich ActiveX – naštěstí po skutečných incidentech, které se staly i tohle je už minulostí) má spoustu možností jak si zabezpečit účet, jejich internetbanking používá SSL, je velmi rychlý (nemyslím jen dobu odezvy ale i to, že převod mezi účty u stejné banky probíhá okamžitě, manuální volba PINu). Při zakládání účtu vám jejich pracovníci zpravidla sami radí – příchody peněz (výplaty, důchody atd.) směrujte na spořící účet E-Max, platební kartu a platby naopak provádějte z běžného účtu mKonto. Máte tak plné úročení všech peněz a navíc úplnou kontrolu. Šablony se zakládají po potvrzení SMS, navíc si můžete zvolit, zda budete potvrzovat každou platbu SMSkou nebo ne (podle mého to není nutné – na mKontu přeci nemáte peníze a šablony si tvoříte jen pro známé účty – příkazy k úhradě se potvrzují vždy automaticky). A nakonec zabezpečení počítače pokud pracujete s penězi je samozřejmostí – pracujte vždy s uživatelskými právy – ne jako Administrator/root, zapněte firewall pokud jste na Windows – antispy (např. MS Defender) a antivir je nutností, používejte přihlášení "silným" heslem. Aktualizujte systém a používejte bezpečný prohlížeč (článek se snaží implikovat Mozillu Firefox jako málo bezpečný – opak je pravdou, celý prohlížeč pracuje v userspace a je oddělen od systému = další vrstva zabezpečení). Pokud nedůvěřujete počítači – nepřihlašujte se nikam, restartujte ho celý např z CD (z live distribuce Linuxu např SLAX, Knoppix apod.) bohužel to někdy vyžaduje manuální nastavení sítě překračující rozsah tohoto textu. !!! CHOVEJTE SE BEZPEČNĚ !!! Pokud tohle nedodržujete je úplně jedno jaké další bezpečnostní mechanizmy jsou nastavené – keylogery odchytí heslo k podpisovým certifikátům atd. atd.
[8] Pokud máte autentizační token, který je nezávislý na PC, pak si můžu všechny antiviry/antispywary a další zpomalovače počítače odpustit. To je zásadní rozdíl. Navíc správa bezpečného PC je netriviální záležitost, kterou každý zvládne.
To vše jsou jistě zajímavé informace…..
Ovšem naprosto odlišná je situace v zabezpečení platby kartou. Kdy mi v zahraničí obchodník na švýcarské celnici při placení dálniční známky odmítne MBANKA-kartu se zdůvodněním že to terminál nebere a chce platit hotově. Nakonec zjistím že mi z ní strhnul peníze (aniž jsem zadal pin nebo dal podpis). A tato "výjímečná banka" mi nejenže řešila reklamaci 6měsíců, ale nakonec mi to zamítla a peníze si jednoduše ukradla.
Během celého řešení reklamace nejde na nikoho se dovolat, občas někdo zavolá lámanou češtinou a vše chce znovu vysvětlovat a místo aby se banka starala tak mne tím neustále obtěžuje. Opravdu skvělé služby…
Tedy na ni podávám trestní oznámení pro podvod
[10] Jsem členem mRady a mám možnost požádat banku o vysvětlení, proč vaše reklamace zamítla jako neoprávněnou.
Pokud chcete, dejte mi vědět detaily na tom tecka hubalek zavinac gmail tecka com a vaše reklamace rozhodně nezapadne.
Tom