@o-noh: zwyczajnie nie mam takiej potrzeby, gdy przychodzi sms to i tak pierwsze co robie to rozsuwam "belke" z gory ekranu i od razu mam widoczny kod :P
Nie wiem, jak to wygląda w innych bankach, ale dla przykładu w mbanku w smsie nie dostajesz samego hasła w celu potwierdzenia, że to ty wysyłasz przelew, ale również kwotę samego przelewu i numer konta odbiorcy - aby potwierdzić, że faktycznie chcesz wysłać ten dokładnie przelew. Aplikacja tego nie pokazuje, zatem ułatwia wyprowadzenie pieniędzy z konta przez wirusy złapane na komputerze.
@zygzagZ: Tak, w SMS-ie jest również kwota i fragment numeru konta. Natomiast dalej już nie jest tak jak mówisz. Nawet jeśli masz zawirusowany komputer i nagle dostaniesz 100 fałszywych SMS-ów autoryzacyjnych z Nigerii wyglądających dokładnie jak te prawdziwe, to aplikacja i tak zwyczajnie je zignoruje i nie wyświetli żadnego hasła z prostego powodu - numery nadawców będą inne niż numer banku (w przypadku mBanku jest to 3388). Jest to wyjaśnione w
@o-noh: Widzę, że nie zrozumiałeś mnie. Miałem tu na myśli zeusa, który przechwytuje ruch przeglądarek do stron bankowych i podstawia fałszywe formy, że np. w celu potwierdzenia tożsamości musisz podać kod wysłany na telefon. A faktycznie kod potwierdza przelew z twojego konta. W tej aplikacji nie widzisz, w jakim celu wysłany jest kod. #edit inny przykład: robisz przelew, żeby doładować telefon: 50 zł dla twojego operatora. A wirus podmienia odbiorcę i
@zygzagZ: Ok, doczytałem trochę o Zeusie i innych tego typu atakach. Jest tu jednak wyraźnie napisane, że w SMS-ie mimo wszystko kwota i nr konta odpowiadają temu, co użytkownik widzi w swojej przeglądarce, nie ma więc w tym momencie znaczenia, czy korzysta z mojej aplikacji, czy też czyta całą treść SMS-a, bo i tak hasło, nr konta i kwota są fałszywe:
Zeus:
"Nawet korzystając z zabezpieczeń typu kod SMS klient otrzyma
@o-noh: O to chodzi, że nie przyjdą z fałszywego numeru, bo to bank je wyśle. W końcu ofiara robi faktyczny przelew (tylko myśli, że jest testowy), a bank nie wie o tym, że jest wmanewrowana przez wirusa. BTW. Te scenariusze w podlinkowanym artykule zostały wymyślone właśnie dlatego, że w smsie jest widoczna kwota i w ten sposób ukradną mniej (testowa kwota), ale z większą pewnością (brak czynnika rozmyślającego ofiarę w postaci
@o-noh: To zabezpieczenie przed "oszustami" sprawdza się tylko w jednym scenariuszu - kiedy znajomi w ramach żartu / ktokolwiek w jakimkolwiek celu wysyła ci masę takich wiadomości. Dzięki temu nie dostajesz zyliona powiadomień o kodzie jednorazowym :)
O to chodzi, że nie przyjdą z fałszywego numeru, bo to bank je wyśle.
Ok rozumiem, tylko ustalmy jedno - wtedy wciąż jedynym problemem jest trojan na komputerze, bo bez względu na to czy użytkownik ma zainstalowaną aplikację, czy też czyta każdego SMS-a z lupą przy oku, treść i tak odpowiada temu, co jest wyświetlone na fałszywej stronie banku. Więc w sytuacji opisywanej w artykule aplikacja ani nie pomoże, ani
Ok rozumiem, tylko ustalmy jedno - wtedy wciąż jedynym problemem jest trojan na komputerze, bo bez względu na to czy użytkownik ma zainstalowaną aplikację, czy też czyta każdego SMS-a z lupą przy oku, treść i tak odpowiada temu, co jest wyświetlone na fałszywej stronie banku.
@o-noh: Jak to? Trojan jest na komputerze klienta, bank wysyła prawdziwą kwotę i odbiorcę.
@KrzaQ2: Owszem, prawdziwą kwotę i prawdziwego odbiorcę, tyle że tym odbiorcą jest złodziej ( ͡°͜ʖ͡°) Sztuczka opisana w powyższym artykule polega właśnie na tym, żeby użytkownik wykonał "testowy przelew" na cudze konto. Jeśli uwierzył w samą ideę testowego przelewu, to już koniec - dokona autoryzacji, nieważne w jaki sposób, SMS-em, tokenem etc. Innymi słowy powyższe trojany fizycznie niczego nie wykradają, jedynie zwiększają skuteczność socjotechniki. Równie
Korzystacie z haseł jednorazowych SMS? Apka dla Was: Google Play
Opinie mile widziane.
#android #androiddev #programowanie #googleplay #bankowosc #banki #paczkomaty
#edit inny przykład: robisz przelew, żeby doładować telefon: 50 zł dla twojego operatora. A wirus podmienia odbiorcę i
Zeus:
BTW. Te scenariusze w podlinkowanym artykule zostały wymyślone właśnie dlatego, że w smsie jest widoczna kwota i w ten sposób ukradną mniej (testowa kwota), ale z większą pewnością (brak czynnika rozmyślającego ofiarę w postaci
Ok rozumiem, tylko ustalmy jedno - wtedy wciąż jedynym problemem jest trojan na komputerze, bo bez względu na to czy użytkownik ma zainstalowaną aplikację, czy też czyta każdego SMS-a z lupą przy oku, treść i tak odpowiada temu, co jest wyświetlone na fałszywej stronie banku. Więc w sytuacji opisywanej w artykule aplikacja ani nie pomoże, ani
@o-noh: Jak to? Trojan jest na komputerze klienta, bank wysyła prawdziwą kwotę i odbiorcę.
Innymi słowy powyższe trojany fizycznie niczego nie wykradają, jedynie zwiększają skuteczność socjotechniki. Równie