Hackeři vysáli z bankovních účtů téměř miliardu korun díky jedinému viru
Vir dokázal získat oba nezbytné údaje k elektronickému bankovnictví a ovládnout chytrý mobilní telefon.
Kombinací těchto netriviálních kroků tedy mohl získat úplnou kontrolu nad elektronickým bankovnictvím oběti.
Taketo spravy by mali byt trestne postihnutelne, pretoze su obycajnym hoaxom.
Velmi by ma zaujimalo ako ziska utocnik mije telefonne cislo, ktore sa v komunikacii medzi mojim pc a serverom banky vobec nevyskytuje? Dalej ma zaujima odkial ziska utocnik dodatocne autorizacne udaje ako je napriklad pole z grid karty, autorizacia cez kod vygenerovany citackou, pripadne aplikaciou na monitore?
Cela sprava je jeden velky zvast a ak doslo k nejakemu naburaniu do uzivatelskych kont tak urcite nie tak ako popisuje clanok. Na ovladnutie mojho uctu urcite nestaci mat pod kontrolou moje pc a moj telefon.
Sprava nie je zvast, ono to zrejme fungovalo, samozrejme s aktivnym prispenim nic netusiacich obeti. Prekvapila ma ale tvoja reakcia, ktoru by som od cloveka znaleho v IT teda necakal.
Jednoducho, vypyta si ho od teba
Nijak, lebo ich nepotrebuje
Tvojho uctu nie, ale su ucty (a banky), kde to staci.
Sprava je zvast, pretoze vyvolava dojem, ze nejaky program dokaze vysat z vaseho uctu peniaze, hodi sa do bulvaru a vecernych sprav komercnych TV, ale nie ako seriozna sprava s takymto nadpisom.
- program nefunguje zdaleka na kazdu banku
- program si musite najprv instalovat
- musite prezradit svoje telefonne cislo
- musite si instalovat do telefonu dalsi program
- musite sa prihlasit do bankingu
Nie program, ale program + konkretne inetbanking + znasobena ludska blbost = vykradnutie uctu.
Ale to tu uz bolo aj predtym, phisingove maily, povedzte nam svoj login a heslo, poslite nam sken vasej grid karty a pod.
stahnes infikovanou aplikaci na android (nebudu rozebirat kolik lidi kontroluje prava aplikace pri instalaci) pripojis telefon k pc, cimz dojde infikovani PC cimz mam pod kontrolou tvuj telefon, telefoni cislo, SMS, internetovy prohlizec, ....
Odkial ju stiahnes? Z marketu? Tam nebude. Zo stranky? Telefony maju defaultne zakazane instalovat aplikacie z cudzich zdrojov, takze opat sa vyzaduje moje povolenie. Kolko krokov este musim spolupracovat s utocnikom aby bol uspesny?
Pochopte toto nie je problem bankingu, toto nie je problem OS, aplikacie, toto je problem ludi. Nestaci spravit jedne chybny krok, uzivatel ich musi spravit niekolko az potom moze prist o peniaze.
Naprosto souhlasim s tim, co tu pise fleg, ty obeti museli nekolikrat dobrovolne naprosto ignorantskym zpusobem spolupracovat, coz se samozrejme v senzacni zprave nenapise, ze obeti byli naprosto nesvepravny idioti.
a ono toho podľa mňa bude pribúdať lebo mám osobne taký blbý pocit že telefóny sa stávajú komplikovanejším zariadením než počítač.
Na androidu museli potvrdit instalaci a minimalne to, ze ten program bude cist SMS a museli jim dat pristupove kody k internetbankingu.
Precetl jsem tu zpravu i na novinkach a vyvolava tri domnenky, nebezpecnej je internetbanking, nebezpecny jsou chytry telefony a kdyz uz smartphone, tak dokoupit i zabezpeceni. Ani jedno z toho neni pravda, jen se podarilo podvodnikum dostat vir k totalnim hlupcum s IQ mensim nez ma opice.
Bud nemas androida nebo asi nikdy nic neinstalujes.
Tyto prava, ma kdejaka aplikace z Google Play, to za prve a za druhe, pokud jim nejaky programek byl poslany (clanek jsem necetl, jen proletel), tak v mobilu uz se ti neukazuje jaky prava to po tobe vyzaduje. TO si muze precist pouze u aplikaci na Google Play predtim, nez je stahnes. Tato aplikace, ktera kradla cislo mobilu a kod k bance nebo co to kradlo, urcite nebyla z GP.
No a k tem hlupcum jen jednu vec. Nechapu, proc by mel byt hlupcem ten, kdo ma tzv. chytry tel. a nainstaluje nejakou aplikaci, kdyz na lidi porad vyskakuje, ze to chce neco aktualizovat. To si maji delat maturitu na ovladani telefonu? Nikdo je zatim neporada, takze ten hlupec je jedine programator Androidu nebo aplikace, ze to neumi ochranit a upravit tak, aby se s tim BFU nemusel otravovat a navstevovat kurzy ovladani telefonu. Uz se tady probudte, vy frajeri, vseznalci, geekove apod., pro me je vetsina z Vas jen soucast skupinu asocialnich a drzych nerdu, kteri maji pro obycejny lidi jen nadavky a urazky. Neni to dloouho, co jste tady tvrdili, ze na Androida zadny viry nejsou a ono je to jinak, co? Takze mne klidne zabanujte, ale ja uz mam plny zuby cist tyhle urazky, protoze urazis napriklad myho otce, kterj ten telefon taky pouziva a predstav si, tu maturitu na nej nema a ten "hlupec" si dovoli instalovat aktualizace, co mu tel, nabidne sam, bez skoleni a bez porady na zdejsi poradne.
Pristupovy kody k internetbankingu asi dat nikdo nikomu nemusel, pokud si je skodliva aplikace umela z mobilu vzit sama, alespon ty, ktery potrebovala. Nikdo z vas nevi, jak to opravdu fungovalo, ale vsichni vite, ze lidi jsou debilove. Tak tem debilum, vy geniove pomozte a naprogramujte neco, at se tohle nedeje.
A snad poprve souhlasim s Josephem.
Takze staci mit zakazane instalace mimo Google Play, coz defaultne maji vsichni, kdoz neinstaluji warez. Aha.
tak u Free SMS Senderu mi ty prava nevadi, vim co to je a co instaluju, ale kdejakou blbost, ktera po me chce prava na to co nepotrebuje neinstaluju.
Jak si nejaka aplikace vezme sama moje heslo k IB?
Si robis srandu? Bud to heslo ten virus zistoval z PC, alebo si ho mohol vycital z SMS z telefonu.
Cez mobil sa heslo pri autorizacii neprenasa.
Ako si zisti aplikacia jeshlo k internetbankingu? Napadne ssl spojenie? Velmi obtiazne a zistitelne. Spusti keyloger? Pomerne pracne na naslednu analyzu. Spusti phising stranku? A opat sme pri znamom probleme...zase je nutna spolupraca uzivatela. To uzivatel necita na akej je stranke a len odklepava, dalej, dalej, dalej, hlavne nech je to uz z obrazovky prec?
Neviem, ako to bolo v tomto pripade, no ked si uz da niekto taku namahu, ze vytvori takyto skodlivy kod, tak uz si da namahu napr. analyzovat log z keyloggera.
Takze jsme se dostali k tomu, ze uzivatel si pres deravou Javu a administratorsky prava a nasledne odklepavani a povolovani instalace keyloggeru do sveho PC, zpusobil problem sam.
Radku nieco ine je, ked prides o rpachy vinou exploitu v ssl, alebo niekto nabura db server banky a nieco ine je, ked prides o prachy tym, ze si sa niekokokrat hrubo previnil voci zasadam bezpecnosti. Mne je jedno, ci sa to stane tebe, tvojmu otcovi alebo mojmu. Vsetci ste proste blbci ak sa vam to stane.
Ze Android otravuje furt s nejakymi aktualizciami? Noa co. Za prve sa vacsina z nich da vypnut, za druhe ak neviem tak zasadne nic nepotvrdzujem! A uz vobec nie o takej citlivej veci ako je mobil banking.
Vies, kde je problem? Ludia maju pocit, ze mat admin ucet na pc je nutnost. Ludia maju pocit, ze pc nemusi opravovat profesional, ze staci chlapec od susedov lebo vie spustit task manazera. Ludia maju pocit, ze pc funguju same. Ludia prestali premyslat, ludia klikaju, hlavne nech to zmizne z obrazovky. Ako nazvat takychto ludi? Ak to mam povedat jemne su to ignoranti, ak od srdca blbci.
Nevies, nerozumies? Vzdelavaj sa. Ak nie potom musis celit nasledkom svojej nevedemosti.
Raz pride cas, ked vacsina pc v domacnostiach bude mat svojich profesionalnych admimov, pretoze ludia sa x-krat popalia a potom pochopia, ze je lacnejsie si platit profesionalny support ako riesit nasledne havarie.
Btw rad prirovnavam pc k autu....auto si tiez kazdy opravuje doma sam svojpomocne alebo s nim chodi radsej do servisu?
fleg necital som ani ten clanok ani celu diskusiu, len ti nacrtnem jeden sposob ktory sa uz davno pouziva u PC. Princip je zmenit prehliadac (staci na to asi aj nejaky IE plugin alebo nejaky TCP/IP hook alebo co) tak aby ked sa prihlasis do bankingu a zadas si nejaky svoj prevod penazi, tak ten vir (ktory je defakto plugin=sucast prehliadaca) posle na server inu sumu a ine cielove konto, ale tebe zobrazi tvoju sumu a tvoje cielove konto. Nasledne zadas grid kod a potvrdis tu "nespravnu" transakciu, aj ked na obrazovke vidis udaje spravne.
Druhy princip s overovanim cez SMS (to je bezpecnejsi system jak grid) vyzaduje aby nejaka app odchytila aj prichodziu SMS, ale uzivatel si to musi predsa vsimnut v tej SMS ze tam su ine udaje (ine cielove konto apod) a moze okamzite kontaktovat banku. Jedine ze by ta app este aj vytvorila fake SMS, mozno to mozne je, urcite to zavisi od mobilu.
P.S. u mna vsetky nemecke banky blokuju zadavanie prevodu z mobilneho prehliadaca ak mam overovanie pomocou SMS. Oni vedia preco to blokuju :) Ja zas viem ze staci zmenit prehliadac v nastaveniach na "desktop" a mozem zadat prevod aj z mobilu :D Ale ta ochrana banky je kvoli takemu riziku ze nejaky vir zmanipuluje mobil tak aby ludia nezadavali prevod z mobilu (ak to nutne chcu tak si musia poziadat o HW-generator TAN klucov)
To co popisujes mi pride pritiahnute za vlasy. Je to podobne ako ked som pri mime odchytil zopar ludom ich ssh ucty, pretoze odklepavali zmenu fingerprintu automaticky bez rozmyslania.
Zaujimalo by ma ako vie plugin pozmenit stranku, zaujimalo by ma ako sa vie votriet do komunikacie medzi userom a prehliadacom a medzi prehliadacom a bankou.
Inak sms sa mi dvakrat extra nezda bezonejsie ako grid, pretoze grid kartu bezne nikde neukazujes a nema si ju pachatel ako skopirovat. Ano moze ju ukradnut, ale to moze ukradnut aj mobil. Navyse grid karta sa neda zneuzit sw utokom, grid karta je fyzicky nastroj, kdezto telefon zneuzitelny je, takze kecy o tom ako je sms lepsia ako grid su ciste bludy. Momentalne ma moja banka donutila prejst zo sms na citacku, ktoru nastastie stihla implementovat do makrketu na mobile inak by som bol asi nuteny menit banku kvoli neforemnej a velkej citacke. Inak na citacke v mobile mi expiruje kazdych 90 dni heslo, co ma byt dalsia ficurka...nech s tym idu do prdele blbci. pokial je niekto hlupak mozu vymysliet aj ochranu nanobotmi aj tak si necha vybielit ucet, pokial je niekto normalny tak si vystaci s klasickou gridkou.
grid je menej bezpecna prave kvoli tomu co som pisal. To neni moja fantazia ale realne som to videl (nejaky student to predvadzal v telke, samozrejme len na studijne ucely :) na PC, ne na mobile.
Samozrejme ze to bolo aj zneuzite. Vir musi poznat tvoju banku a jej formulare, u nemeckych bank to je pre hackerov zaujimave (40milionov ludi ci kolko (edit:80milionov), a aj dostatok penazi), v CR,SR myslim taky utok nehrozi, ze by sa hacker ucil slovensky kvoli par poslednym euram co ludia maju na konte :D