Hackeři vysáli z bankovních účtů téměř miliardu korun díky jedinému viru
Vir dokázal získat oba nezbytné údaje k elektronickému bankovnictví a ovládnout chytrý mobilní telefon.
Kombinací těchto netriviálních kroků tedy mohl získat úplnou kontrolu nad elektronickým bankovnictvím oběti.
Naprosto souhlasim s tim, co tu pise fleg, ty obeti museli nekolikrat dobrovolne naprosto ignorantskym zpusobem spolupracovat, coz se samozrejme v senzacni zprave nenapise, ze obeti byli naprosto nesvepravny idioti.
a ono toho podľa mňa bude pribúdať lebo mám osobne taký blbý pocit že telefóny sa stávajú komplikovanejším zariadením než počítač.
Na androidu museli potvrdit instalaci a minimalne to, ze ten program bude cist SMS a museli jim dat pristupove kody k internetbankingu.
Precetl jsem tu zpravu i na novinkach a vyvolava tri domnenky, nebezpecnej je internetbanking, nebezpecny jsou chytry telefony a kdyz uz smartphone, tak dokoupit i zabezpeceni. Ani jedno z toho neni pravda, jen se podarilo podvodnikum dostat vir k totalnim hlupcum s IQ mensim nez ma opice.
Bud nemas androida nebo asi nikdy nic neinstalujes.
Tyto prava, ma kdejaka aplikace z Google Play, to za prve a za druhe, pokud jim nejaky programek byl poslany (clanek jsem necetl, jen proletel), tak v mobilu uz se ti neukazuje jaky prava to po tobe vyzaduje. TO si muze precist pouze u aplikaci na Google Play predtim, nez je stahnes. Tato aplikace, ktera kradla cislo mobilu a kod k bance nebo co to kradlo, urcite nebyla z GP.
No a k tem hlupcum jen jednu vec. Nechapu, proc by mel byt hlupcem ten, kdo ma tzv. chytry tel. a nainstaluje nejakou aplikaci, kdyz na lidi porad vyskakuje, ze to chce neco aktualizovat. To si maji delat maturitu na ovladani telefonu? Nikdo je zatim neporada, takze ten hlupec je jedine programator Androidu nebo aplikace, ze to neumi ochranit a upravit tak, aby se s tim BFU nemusel otravovat a navstevovat kurzy ovladani telefonu. Uz se tady probudte, vy frajeri, vseznalci, geekove apod., pro me je vetsina z Vas jen soucast skupinu asocialnich a drzych nerdu, kteri maji pro obycejny lidi jen nadavky a urazky. Neni to dloouho, co jste tady tvrdili, ze na Androida zadny viry nejsou a ono je to jinak, co? Takze mne klidne zabanujte, ale ja uz mam plny zuby cist tyhle urazky, protoze urazis napriklad myho otce, kterj ten telefon taky pouziva a predstav si, tu maturitu na nej nema a ten "hlupec" si dovoli instalovat aktualizace, co mu tel, nabidne sam, bez skoleni a bez porady na zdejsi poradne.
Pristupovy kody k internetbankingu asi dat nikdo nikomu nemusel, pokud si je skodliva aplikace umela z mobilu vzit sama, alespon ty, ktery potrebovala. Nikdo z vas nevi, jak to opravdu fungovalo, ale vsichni vite, ze lidi jsou debilove. Tak tem debilum, vy geniove pomozte a naprogramujte neco, at se tohle nedeje.
A snad poprve souhlasim s Josephem.
Radku nieco ine je, ked prides o rpachy vinou exploitu v ssl, alebo niekto nabura db server banky a nieco ine je, ked prides o prachy tym, ze si sa niekokokrat hrubo previnil voci zasadam bezpecnosti. Mne je jedno, ci sa to stane tebe, tvojmu otcovi alebo mojmu. Vsetci ste proste blbci ak sa vam to stane.
Ze Android otravuje furt s nejakymi aktualizciami? Noa co. Za prve sa vacsina z nich da vypnut, za druhe ak neviem tak zasadne nic nepotvrdzujem! A uz vobec nie o takej citlivej veci ako je mobil banking.
Vies, kde je problem? Ludia maju pocit, ze mat admin ucet na pc je nutnost. Ludia maju pocit, ze pc nemusi opravovat profesional, ze staci chlapec od susedov lebo vie spustit task manazera. Ludia maju pocit, ze pc funguju same. Ludia prestali premyslat, ludia klikaju, hlavne nech to zmizne z obrazovky. Ako nazvat takychto ludi? Ak to mam povedat jemne su to ignoranti, ak od srdca blbci.
Nevies, nerozumies? Vzdelavaj sa. Ak nie potom musis celit nasledkom svojej nevedemosti.
Raz pride cas, ked vacsina pc v domacnostiach bude mat svojich profesionalnych admimov, pretoze ludia sa x-krat popalia a potom pochopia, ze je lacnejsie si platit profesionalny support ako riesit nasledne havarie.
Btw rad prirovnavam pc k autu....auto si tiez kazdy opravuje doma sam svojpomocne alebo s nim chodi radsej do servisu?
fleg necital som ani ten clanok ani celu diskusiu, len ti nacrtnem jeden sposob ktory sa uz davno pouziva u PC. Princip je zmenit prehliadac (staci na to asi aj nejaky IE plugin alebo nejaky TCP/IP hook alebo co) tak aby ked sa prihlasis do bankingu a zadas si nejaky svoj prevod penazi, tak ten vir (ktory je defakto plugin=sucast prehliadaca) posle na server inu sumu a ine cielove konto, ale tebe zobrazi tvoju sumu a tvoje cielove konto. Nasledne zadas grid kod a potvrdis tu "nespravnu" transakciu, aj ked na obrazovke vidis udaje spravne.
Druhy princip s overovanim cez SMS (to je bezpecnejsi system jak grid) vyzaduje aby nejaka app odchytila aj prichodziu SMS, ale uzivatel si to musi predsa vsimnut v tej SMS ze tam su ine udaje (ine cielove konto apod) a moze okamzite kontaktovat banku. Jedine ze by ta app este aj vytvorila fake SMS, mozno to mozne je, urcite to zavisi od mobilu.
P.S. u mna vsetky nemecke banky blokuju zadavanie prevodu z mobilneho prehliadaca ak mam overovanie pomocou SMS. Oni vedia preco to blokuju :) Ja zas viem ze staci zmenit prehliadac v nastaveniach na "desktop" a mozem zadat prevod aj z mobilu :D Ale ta ochrana banky je kvoli takemu riziku ze nejaky vir zmanipuluje mobil tak aby ludia nezadavali prevod z mobilu (ak to nutne chcu tak si musia poziadat o HW-generator TAN klucov)
To co popisujes mi pride pritiahnute za vlasy. Je to podobne ako ked som pri mime odchytil zopar ludom ich ssh ucty, pretoze odklepavali zmenu fingerprintu automaticky bez rozmyslania.
Zaujimalo by ma ako vie plugin pozmenit stranku, zaujimalo by ma ako sa vie votriet do komunikacie medzi userom a prehliadacom a medzi prehliadacom a bankou.
Inak sms sa mi dvakrat extra nezda bezonejsie ako grid, pretoze grid kartu bezne nikde neukazujes a nema si ju pachatel ako skopirovat. Ano moze ju ukradnut, ale to moze ukradnut aj mobil. Navyse grid karta sa neda zneuzit sw utokom, grid karta je fyzicky nastroj, kdezto telefon zneuzitelny je, takze kecy o tom ako je sms lepsia ako grid su ciste bludy. Momentalne ma moja banka donutila prejst zo sms na citacku, ktoru nastastie stihla implementovat do makrketu na mobile inak by som bol asi nuteny menit banku kvoli neforemnej a velkej citacke. Inak na citacke v mobile mi expiruje kazdych 90 dni heslo, co ma byt dalsia ficurka...nech s tym idu do prdele blbci. pokial je niekto hlupak mozu vymysliet aj ochranu nanobotmi aj tak si necha vybielit ucet, pokial je niekto normalny tak si vystaci s klasickou gridkou.
grid je menej bezpecna prave kvoli tomu co som pisal. To neni moja fantazia ale realne som to videl (nejaky student to predvadzal v telke, samozrejme len na studijne ucely :) na PC, ne na mobile.
Samozrejme ze to bolo aj zneuzite. Vir musi poznat tvoju banku a jej formulare, u nemeckych bank to je pre hackerov zaujimave (40milionov ludi ci kolko (edit:80milionov), a aj dostatok penazi), v CR,SR myslim taky utok nehrozi, ze by sa hacker ucil slovensky kvoli par poslednym euram co ludia maju na konte :D