Autor príspevku v posledných pár dňoch dostal niekoľko phishingových emailov upozorňujúcich klientov Tatra banky na vypršanie platnosti prístupu do elektronického bankovníctva. Zaujímavé je vidieť vývoj troch po sebe idúcich podvodných emailov.
Phishing je podvodná technika na internete, ktorá sa snaží od dôveryhodných ľudí získať citlivé prístupové údaje napríklad do elektronického bankovníctva cez napodobovanie originálnej služby. Často ide o emaily, ktoré sa tvária ako oficiálne emaily od banky vyzývajúce na zadanie citlivých prístupových údajov na podvodných stránkach, ktoré sa podobajú na originálne internetové stránky internetového bankovníctva. Treba hneď podotknúť, že finančné inštitúcie takto s klientami nikdy nekomunikujú a nikdy nebudú komunikovať.
Poďme sa teraz pozrieť podrobnejšie, ako také rhybárčenie na neopatrných klientov Tatra banky vyzeralo v tomto špecifickom prípade.
Dnes zrejme nenájdeme človeka, ktorý používa email a ktorý by nedostal email s príležitosťou zarobiť obrovské peniaze s minimálnou námahou.
Začalo to známymi emailmi s dedičstvom z Nigérie. Dnes sa príbeh o ľahkom zbohatnutí presunul do Veľkej Británie, kde zomrel veľmi bohatý človek, ktorý má rovnaké priezvisko ako vy. Na účte v banke mu zostalo veľa peňazí a banka hľadá dedičov. Podvodník vás v emaile nabáda, aby ste sa prihlásili vy ako dedič a vybrali účet. Samozrejme podvodník vás do hry nezatiahne zadarmo, chce si s vami dedičstvo rozdeliť na polovicu. Na začiatok podvodník od vás chce len kontaktné údaje.
Banka ČSOB CZ poskytla svojim klientom od 1. septembra 2015 novú mobilnú aplikáciu ČSOB Smart klíč, ktorá plne nahradzuje autorizačnú SMSku, ktorá sa používa pre prístup do elektronického bankovníctva ČSOB v počítači a pre autorizáciu príkazov v elektronickom bankovníctve. Mobilná appka je dostupná na všetkých troch mobilných platformách iOS, Android i Windwos Phone. Nie je možné používať autorizačnú SMS aj mobilnú appku zároveň. Zároveň platí, že kto raz prejde na ČSOB Smart klíč, nemôže sa vrátiť späť k autorizačnej SMSke.
Oplatí sa klientom ČSOB CZ opustiť autorizačnú SMSku a začať využívať mobilnú appku?
Útočníci zneužívajú emaily a dôverčivosť užívateľov na ukradnutie ich citlivých a bezpečnostných údajov. Často sa útočí na prihlasovacie údaje, ktoré sa dajú získať nastrčenou falošnou prihlasovacou bránou, ktorá je na nerozoznanie od pravej prihlasovacej brány. Ak si užívateľ nedá pozor, ľahko nechtiac odovzdá svoje dôverné informácie falošnej bráne a ani si neuvedomí, že urobil chybu.
V týchto dňoch jeden takýto útočník rozosiela do emailových schránok od MSN a Hotmailu falošný email, ktorý sa snaží od užívateľov vylákať prihlasovacie údaje do emailového klienta. Ako to robí? Ako sa voči tomu chrániť?
Posledný víkend sa v Českej republike šíril po internete falošný podvodný email, ktorý hrozil adresátovi súdnou exekúciou, pokiaľ včas nesplatí svoj dlh. Email je napísaný správnou češtinou, odosielateľom je Exekútorská komora Českej republiky, za súdneho exekútora je označený skutočný exekútor, ktorého popularita po tomto víkende výrazne stúpne.
Pozorný čitateľ si všimne, že v emaile chýbajú niektoré dôležité údaje. Nie je uvedená čiastka, ktorú má dlžník uhradiť, nie je ani uvedený variabilný symbol, pod ktorým má platbu previesť. Samozrejme chýba aj samotný popis dlhu, resp. veci, o ktorej sa jedná.
Pred pár dňami mnoho slovenských užívateľov Facebooku začalo hromadne šíriť niekoľko videí bez toho, že by chceli tieto videá zdieľať so svojimi kamarátmi na Facebooku. Videá užívateľov zaujali, chceli si ich prezrieť, aj si ich pozreli, ale zároveň ich nevedomky nezdieľali na svojom účte. Stali sa obeťou útočníka, ktorý ukradol ich kliknutie na video. Odborne sa tento útok nazýva clickjacking a my si ukážeme na praktikom príklade, ako funguje.
Jednej českej banke sa podarilo vo vlastnom elektronickom bankovníctve nevedomky umožniť klientom zarábať peniaze na zaokrúhľovaní na úkor banky. Túto neželanú službu objavil jeden klient, ktorý si privyrobil pár peňazí, kým banka na chybu prišla a opravila. Dnes už zarábať na zaokrúhľovaní v tejto banke nie je možné. Vysvetlíme si podrobnejšie, k čomu presne došlo.
Bank ID je elektronická identifikácia fyzickej osoby, ktorá sa používa na preukázanie identity alebo autorizáciu/potvrdzovanie úkonov na internete vo Švédsku. Ide o digitálnu obdobu preukazu ako pasu alebo vodičského preukazu. Fyzická osoba má práve jedno Bank ID a zriadi si ho v jednej zo švédskych bánk.
Už podľa názvu je zrejmé, že Bank ID občanom prideľuje a spravuje súbor švédskych bánk, ktoré umožňujú aj ďalším subjektom Bank ID používať a zaintegrovať do svojich systémov. Bank ID sa využíva na úradoch, vo firmách a samozrejme v bankách.
Bank ID napríklad využijete pri peer to peer platbách služby Swish payments.
Ako Bank ID vyzerá z pohľadu užívateľa?
V týchto dňoch sa snaží jedna poľská stránka rhybáriť na užívateľoch PayPalu. Do schránky zasiela email s upozornením, že sa klientovi na jeho PayPal účte deje niečo nezvyčajné a vyzývajú ho, aby potvrdil svoju identitu a aktualizoval údaje o svojej platobnej karte. Takto podvodník získava prihlasovacie údaje do PayPalu a zároveň údaje o platobných kartách.
Tatra banka je častým cieľom rhybárov, ktorí sa snažia od nepozorných a dôverčivých klientov banky získať prístup k elektronickému bankovníctvu a následne aj k bankovému účtu. Útočník začína zaslaním emailu s odkazom na podvodnú webovú stránku s formulárom, ktorý vyžaduje od užívateľa prihlasovacie údaje. Po vyplnení formulára útočník získa prístup k elektronickému bankovníctvu a užívateľa presmeruje na skutočnú stránku Tatra banky.
Keď sa rhybárči, tak sa rhybárči naraz na viacero bánk. Kvantita má u útočníkov prednosť pred kvalitou. Ukázali sme, ako prebieha phishing na klientov Tatra banky. Ten istý útok a ten istý útočník útočí aj na ostatné banky. Útok tak prebieha naraz na klientov viacerých bánk v jednej krajine. V našom prípade je druhou obeťou, a zrejme nie poslednou, OTP banka.
Rhybári v týchto dňoch postupujú na Slovensku systematicky a zrejme každý deň rozpošlú várku falošných emailov, ktorá cieli na klientov jednej konkrétnej banky. Tento krát je na muške Sberbank. Ide o ten istý typ útoku ako u Tatra banky a OTP banky.
Iniciatíva Q ukázala, ako sa dajú rýchlo a efektívne zbierať prihlasovacie údaje od veľkého množstva užívateľov. Netvrdím, že Iniciatíva Q nazbierané údaje bude zneužívať. Len tvrdím, že keby útočník chcel získať rýchlo a efektívne prihlasovacie údaje do rôznych služieb, Iniciatíva Q mu ukázala, ako na to.
Takmer všetky najnovšie modely chytrých telefónov obsahujú v sebe aj komunikáciu cez NFC (Near field communication – Elektronická komunikácia na veľmi krátku vzdialenosť). Bezkontaktné platobné karty využívajú tiež túto technológiu na komunikáciu s bezkontaktnými platobnými terminálmi, ktoré cez NFC dokážu načítať potrebné údaje z karty, aby mohli vykonať a potvrdiť platbu. A nie len termináli to dokážu, ale aj chytré telefóny s NFC rozhraním.
Ukážeme si, aké všetky údaje sa dajú získať z debetnej alebo kreditnej karty, pokiaľ ste šťastným majiteľom chytrého telefónu s NFC.
Swish payments je služba pre mobilné peer to peer platby, ktorú prevádzkuje niekoľko bánk vo Švédsku. Peniaze môžu užívatelia posielať fyzickým i právnickým osobám na telefónne číslo ľudí alebo Swish číslo firiem a podnikateľov. Peniaze prichádzajú a odchádzajú z účtov, ktoré sú previazané so Swishom. Bezpečnosť celej služby je riešená pomocou Mobile Bank ID.
Swish je veľmi populárny vo Švédsku. Koho zaujímajú mobilné platby, môže Swish payments porovnať s Mobitom, ktoré končí v Českej republike.
Estónsko je krajina, ktorá sa zrejme najďalej dostala v digitalizácii štátnej správy tzv. eGovernmentu. Pod digitalizáciou sa myslí riešenie agend cez internet, bez nutnosti navštívenia úradu. Občan je schopný svojpomocne, kdekoľvek, kde je internet, vykonávať úkony, ktoré doteraz musel robiť osobne na niekoľkých úradoch v čase úradných hodín. Služby eGovernmentu sú k dispozícii 24 hodín denne, 365 dní v roku a na jednom mieste.
Aby eGovernment mohol fungovať na internete, potrebuje občan digitálnu identitu, ktorou sa bude môcť preukázať pri používaní online služieb štátnej správy. Ide o obdobu občianskeho preukazu, ktorý sa používa na preukázanie identity na úradoch.
Estónsko pripravilo pre svojich občanov riešenie digitálne identity podobne, ako Bank ID vo Švédsku. Slovensko ide tým istým smerom so svojou eID kartou.
Stručne popíšeme, akú digitálnu identitu používajú vo Švédsku ako víziu, ako to bude vyzerať na Slovensku o pár rokov.
Easycoin je služba prevádzkovaná firmou WBTCB na predaj a nákup bitcoinov po novom aj za hotovosť v 260 predajniach Geco po celej Českej republike ale i online. V Európe nenájdete žiadnu inú verejnú službu, ktorá by predávala bitcoiny za hotovosť. V Rakúsku nájdete firmu, ktorá kúpy od vás bitcoiny a vyplatí vás v hotovosti.
Martin Stránsky, jednateľ WBTCB, predstavil Easycoin na svojej prednáške v Paralelnom polise v utorok 3. 5. 2016 a odpovedal na zvedavé otázky publika.
V utorok 16. júna sa v Prahe konal AppParade Meet 2 – Platby mobilem. Dve firmy popísali svoje problémy, ktoré potrebujú s mobilnými platbami riešiť a druhé dve firmy na oplátku ponúkli svoje platobné riešenia.
Od mobilnej platby očakávame nasledovné:
Pozrime sa teraz na problémy, ktorým čelia obchodníci predávajúci svoje služby a tovar cez mobilné aplikácie.
Nechávate svojich zamestnancov, aby prichádzali s nápadmi, ako zlepšiť, posunúť, zefektívniť vaše podnikateľské aktivity alebo interné procesy? Alebo aby prišli s úplne novými podnetmi na rozšírenie vašich produktov a služieb? Predpokladáme, že odpoveď bude vo väčšine prípadov kladná. Záleží už len na úrovni formálnosti procesu, ktorý sa stará o zber, triedenie a výber nápadov/inovácií, ktoré sa budú realizovať. Niekde je to voľne ponechané na zamestnancoch, aby kedykoľvek sami od seba prišli s novým nápadom a presadili jeho realizáciu. Inde využívajú podporné procesy a nástroje, ktoré evidujú, spracúvajú a vyberajú nápady.
Existuje niekoľko podporných online nástrojov, ktoré pomáhajú firmám vydolovať spomedzi zamestnancov nápady, ktoré posunú firmu vpred. Ukážeme si niekoľko princípov a mechanizmov, ktoré tieto nástroje využívajú a mohli by byť použiteľné aj vo vašej firme. Upozorníme aj na nedostatky, ktoré sa môžu vyskytnúť pri nesprávnom použití týchto nástrojov.
Tatra banka je najinovatívnejšou bankou na Slovensku. Viac či menej pravidelne prichádza s novými službami pre svojich klientov. V týchto dňoch predstavuje elektronické bankovníctvo pre chytré hodinky ako Apple Watch a hodinky s operačným systémom Android Wear, ktoré spustí pre verejnosť čoskoro. Aké funkcie ponúknu svojim užívateľom bankové chytré hodinky? Aké funkcie by klienti od banky uvítali?