Dyrektywa PSD2 i związane z nią zagrożenia...
Czytam czasem serwisy typu niebezpiecznik i historie o ludziach, którzy "myśleli", że płacą za paczkę, koledze, dopłacali za prąd... a tymczasem potwierdzili smsem inny przelew, albo zdefiniowali nowych odbiorców itd.
Potem banki i inne serwisy trąbiły, że "bank nigdy nie poprosi o podanie smsa przy logowaniu", jeśli dzwoni przedstawiciel infolinii, nigdy nie podawaj smsa, kodu z karty zdrapki itd.
I wytłumaczcie teraz tym, którzy kiedyś się dawali nabrać na tego typu grubymi nićmi szyte oszustwa, kiedy mają a kiedy nie mają podawać smsy autoryzacyjne.
Jedynym sposobem byłoby wprowadzenie autoryzacji mobilnej, ale ludzie pokroju moich rodziców by umarli od instalowania, aktualizowania i obsługi tego.
Teraz czekam na nowy wysyp historii pt. "Myślałam, że dopłacam za paczkę, a z konta ściągnęli mi oszczędności życia".
Tak zwany kaes za oszustwo i problem by zniknął bez śladu. Żaden cwaniaczek by się nie odważył.
OdpowiedzTo samo przecież z zielonymi kłódkami w przeglądarkach - na początku "bezpieczne, bo szyfrowane", a w rzeczywistości wyrobienie sobie certyfikatu pod fałszywą stronę wybitnie trudne nie jest - a w porównaniu do potencjalnego zarobku, drogie też nie. I z tego co czytałem, mają odejść od tej kłódki. Niezależnie od zabezpieczeń samych systemów i liczby poziomów autoryzacji, zawsze najsłabszym elementem będzie człowiek.
Odpowiedz@kitusiek: Po pierwsze: jeśli chcesz pisać o temacie, to najpierw zdobądź wiedzę. Po drugie. jak nie wiesz, to nie pisz. Zdobycie certyfikatu zaufanej strony a certyfikat szyfrujący to dwie różne sprawy. Aby zdobyć zaufany certyfikat, czyli Twoją "zieloną kłódkę" trzeba albo zarejestrować się w odpowiednim organie, podając sporo danych i wydając trochę kasy, albo skryptami podszyć się pod stronę certyfikowaną, co przy szyfrowaniu może być utrudnione. Żeby zdobyć certyfikat szyfrujący nie trzeba wiele. Każdy system linux oferuje "self-signed certificate", na podstawie którego można wygenerować, na odpowiedniej stronie, certyfikat szyfrujący połączenie, który nie robi nic innego. Nie jest on jednak zaufany, co oznacza, że klucz szyfrujący może wpaść w ręce niepowołanych osób. co do samego PSD2 to sam nie bardzo wiem jak to ma zabezpieczyć konto. Przecież i tak nastąpi próba logowania, która wymusi podanie hasła dodatkowego zabezpieczenia i fałszywa strona przekaże podany kod do strony prawdziwej. A wiec logowanie i tak nastąpi. reszta będzie działać jak dawniej. Rozwiązaniem byłoby stosowanie kodów generowanych na krótki czas (patrz Google Authenticator). To dałoby jakąś szanse na unikniecie włamania, bo czasy przesyłania danych mogłyby powodować, że kod uzyskany przez oszusta będzie już nie ważny, co doprowadzi u nawet najbardziej cierpliwego do telefonu na infolinię z pytaniem dlaczego nie mogę się zalogować. A to powinno wzbudzić czujność w obsłudze. Niestety to tylko teoria.
Odpowiedz@Doombringerpl: a pisząc „zaufany certyfikat” co masz dokładnie na myśli, Domain Verification, Organization Verification czy Extended Verification? :) Z Twojego opisu wynika, że masz na myśli EV, który nie daje TYLKO zielonej kłódki, ale również między innymi nazwę Twojej organizacji obok kłódki. Natomiast zieloną kłódkę daje już DO, które można sobie całkiem darmo w 10 minut wygenerować za pomocą Let's Encrypt. Natomiast self-signed nie „da” Ci zielonej kłódki, ponieważ CA, który podpisał dany certyfikat nie znajduje się w kontenerze z zaufanymi CA przeglądarki/systemu (no, chyba że ręcznie go dodasz). :) Cóż, coś Ci dzwoniło, ale chyba nie w tym kościele co trzeba, a @kitusiek ma rację – już od długiego czasu przestępcy wykorzystują Let's Encrypt oraz usługi darmowych certyfikatów SSL zapinanych do hostingu przez wielu graczy na rynku po to, by udawać bezpieczne strony. W końcu tyle osób słyszy, że zielona kłódka == bezpieczne. :)
Odpowiedz@Doombringerpl: W zasadzie ciężko dodać coś do tego, co napisał ampH, ale "ciężko" nie znaczy "nie da się" ;) Zielona kłódka to tylko i wyłącznie info, że certyfikat został zweryfikowany. Zwykły, niezweryfikowany certyfikat wygenerujesz nie tylko na przywoływanym Linuxie, ale też na Windowsie, wszelkich pochodnych BSD (a w tych przecież zawiera się macOS), zapomnianych Solarisach, a nawet na czymkolwiek innym, na czym odpalisz odpowiedni program - i nie mówię tu o takich rzeczach jak openssl, ale nawet o kilkudziesięciolinijkowym programie napisanym na kolanie w metrze ;) Zresztą napisanie takiego programu do wygenerowania "self-signed certificate" było moim zadaniem na studiach kilka miesięcy temu, a gotowce pod to są dostępne nawet na stackoverflow. Co więcej, da się bez większych problemów zrobić własny serwer potwierdzający wystawione przez siebie certyfikaty będące pochodną innego swojego certyfikatu i po dodaniu do przeglądarki (czy cert store w Androidzie) tego "macierzystego" certu - wszystko będzie działać bez żadnych ostrzeżeń. Generalnie sam w sobie certyfikat daje dokładnie tyle samo pewności, co często stosowana kiedyś ikonka "SSL Secured" na stronach internetowych - czyli zero ;)
OdpowiedzSmsy z próbami wyłudzenia są z reguły wysyłane masowo i na pałę. Autoryzacyjne przychodzą kilka sekund po kroku na stronie banku. Szansa że sms od naciągaczy przyjdzie w tym samym czasie co akurat coś kupujemy jest znikoma. Poza tym, smsm z banku zawsze zawiera podstawowy identyfikator konta.
Odpowiedz@marcel_S: tu wchodzi na scenę socjotechnika :) Sam masowy atak smsowy ma tylko skłonić kogoś, by zalogował się na fałszywej stronie banku. I logując się na fałszywej stronie podaje przestępcy login i hasło. Ale to za mało, by osiągnął cel, bo do ustanowienia odbiorcy zaufanego potrzebny jest najczęściej kod z smsa (a bycie zaufanym jest mu potrzebne do wyprowadzenia reszty środków bez wzbudzania podejrzeń). Więc podczas próby ustanowienia takiego odbiorcy ofiara dostaje sms z banku. A przestępca na fałszywej stronie przelewu skłania ją do wpisania kodu. I gdyby ofiara spojrzała na sms to zobaczyłaby, że wcale nie dotyczy przelewu. Ale zbyt często zdarza się, że przepisze kod nie myśląc.
OdpowiedzA może warto otworzyć sobie oddzielne konto TYLKO do płatności online, przelewów itp? W tym samym banku oczywiście. I robimy tak... mamy do zapłacenia 56,- komuśtam - robimy transfer wewnętrzny i płacimy/przelewamy. Jak nam coś ukradną, to przykładowe 56,-, a nie 2000,-
Odpowiedz@jasiobe: albo warto CZYTAĆ TE SMSY OD BANKU! Zamiast bezmyślnie przepisywać kod, spraw dzić jeszcze operację jaką nim potwierdzamy, kwotę, numer itd.. No i sporo kłopotu oszczędza jednak płacenie kartą. Chargeback itd.
Odpowiedz@elysiia:Jak " widać, słychać i czuć " czytanie sms-ów od banku stwarza największy problem. Dlatego proponuję takie, a nie inne rozwiązanie. Proste, a nad wyraz skuteczne. Wszak najprostsze rozwiązania są... bla bla bla!!! Nie wiem, jak się to będzie miało do sytuacji po ostatnich zmianach - ta łunijna dyrektywa... może pomoże, a może nie, zobaczymy.
OdpowiedzSMS jako drugi składnik autoryzacji w przypadku banku jest pożądany. Problemem jest, że ludzie nie czytają co w tym SMS jest napisane, tylko przepisują kod. SMS dla usług bankowych jest lepszy niż numer ze zdrapki, albo tokena bo daje możliwość potwierdzenia jaką transakcję wykonujemy.
Odpowiedz