Téma: Bezpečnosť

Rhybári lovia v Tatra banke

Andrej Probst, 16. jún 2015, Bezpečnosť, čítalo 3289 ľudí

Autor príspevku v posledných pár dňoch dostal niekoľko phishingových emailov upozorňujúcich klientov Tatra banky na vypršanie platnosti prístupu do elektronického bankovníctva. Zaujímavé je vidieť vývoj troch po sebe idúcich podvodných emailov.

Phishing je podvodná technika na internete, ktorá sa snaží od dôveryhodných ľudí získať citlivé prístupové údaje napríklad do elektronického bankovníctva cez napodobovanie originálnej služby. Často ide o emaily, ktoré sa tvária ako oficiálne emaily od banky vyzývajúce na zadanie citlivých prístupových údajov na podvodných stránkach, ktoré sa podobajú na originálne internetové stránky internetového bankovníctva. Treba hneď podotknúť, že finančné inštitúcie takto s klientami nikdy nekomunikujú a nikdy nebudú komunikovať.

Poďme sa teraz pozrieť podrobnejšie, ako také rhybárčenie na neopatrných klientov Tatra banky vyzeralo v tomto špecifickom prípade.

Čítaj ďalej...

1 komentár. Čo Ty na to?

Aj sociálni inžinieri používajú na preklad Google translate

Andrej Probst, 30. jún 2015, Bezpečnosť, čítalo 455705 ľudí

Dnes zrejme nenájdeme človeka, ktorý používa email a ktorý by nedostal email s príležitosťou zarobiť obrovské peniaze s minimálnou námahou.

Začalo to známymi emailmi s dedičstvom z Nigérie. Dnes sa príbeh o ľahkom zbohatnutí presunul do Veľkej Británie, kde zomrel veľmi bohatý človek, ktorý má rovnaké priezvisko ako vy. Na účte v banke mu zostalo veľa peňazí a banka hľadá dedičov. Podvodník vás v emaile nabáda, aby ste sa prihlásili vy ako dedič a vybrali účet. Samozrejme podvodník vás do hry nezatiahne zadarmo, chce si s vami dedičstvo rozdeliť na polovicu. Na začiatok podvodník od vás chce len kontaktné údaje.

Čítaj ďalej...

ČSOB Smart klíč – nový bezpečnostný prvok pre potvrdzovanie transakcií v elektronickom bankovníctve

Andrej Probst, 16. september 2015, Bezpečnosť, čítalo 3015 ľudí

Banka ČSOB CZ poskytla svojim klientom od 1. septembra 2015 novú mobilnú aplikáciu ČSOB Smart klíč, ktorá plne nahradzuje autorizačnú SMSku, ktorá sa používa pre prístup do elektronického bankovníctva ČSOB v počítači a pre autorizáciu príkazov v elektronickom bankovníctve. Mobilná appka je dostupná na všetkých troch mobilných platformách iOS, Android i Windwos Phone. Nie je možné používať autorizačnú SMS aj mobilnú appku zároveň. Zároveň platí, že kto raz prejde na ČSOB Smart klíč, nemôže sa vrátiť späť k autorizačnej SMSke.

Oplatí sa klientom ČSOB CZ opustiť autorizačnú SMSku a začať využívať mobilnú appku?

Čítaj ďalej...

Phishing v praxi – ako vylákať od užívateľa prihlasovacie údaje na Hotmail účet

Andrej Probst, 29. október 2015, Bezpečnosť, čítalo 2496 ľudí

Útočníci zneužívajú emaily a dôverčivosť užívateľov na ukradnutie ich citlivých a bezpečnostných údajov. Často sa útočí na prihlasovacie údaje, ktoré sa dajú získať nastrčenou falošnou prihlasovacou bránou, ktorá je na nerozoznanie od pravej prihlasovacej brány. Ak si užívateľ nedá pozor, ľahko nechtiac odovzdá svoje dôverné informácie falošnej bráne a ani si neuvedomí, že urobil chybu.

V týchto dňoch jeden takýto útočník rozosiela do emailových schránok od MSN a Hotmailu falošný email, ktorý sa snaží od užívateľov vylákať prihlasovacie údaje do emailového klienta. Ako to robí? Ako sa voči tomu chrániť?

Čítaj ďalej...

Hoax: Druhé upozornění na nařízenou exekuci

Andrej Probst, 30. november 2015, Bezpečnosť, čítalo 2269 ľudí

Posledný víkend sa v Českej republike šíril po internete falošný podvodný email, ktorý hrozil adresátovi súdnou exekúciou, pokiaľ včas nesplatí svoj dlh. Email je napísaný správnou češtinou, odosielateľom je Exekútorská komora Českej republiky, za súdneho exekútora je označený skutočný exekútor, ktorého popularita po tomto víkende výrazne stúpne.

Pozorný čitateľ si všimne, že v emaile chýbajú niektoré dôležité údaje. Nie je uvedená čiastka, ktorú má dlžník uhradiť, nie je ani uvedený variabilný symbol, pod ktorým má platbu previesť. Samozrejme chýba aj samotný popis dlhu, resp. veci, o ktorej sa jedná.

Čítaj ďalej...

Clickjacking – praktická ukážka, ako ukradnúť vaše kliknutie na webe

Andrej Probst, 23. júl 2015, Bezpečnosť, čítalo 2242 ľudí

Pred pár dňami mnoho slovenských užívateľov Facebooku začalo hromadne šíriť niekoľko videí bez toho, že by chceli tieto videá zdieľať so svojimi kamarátmi na Facebooku. Videá užívateľov zaujali, chceli si ich prezrieť, aj si ich pozreli, ale zároveň ich nevedomky nezdieľali na svojom účte. Stali sa obeťou útočníka, ktorý ukradol ich kliknutie na video. Odborne sa tento útok nazýva clickjacking a my si ukážeme na praktikom príklade, ako funguje.

Čítaj ďalej...

Ako banka umožňovala zarobiť na zaokrúhľovaní

Andrej Probst, 12. október 2015, Bezpečnosť, čítalo 2548 ľudí

Jednej českej banke sa podarilo vo vlastnom elektronickom bankovníctve nevedomky umožniť klientom zarábať peniaze na zaokrúhľovaní na úkor banky. Túto neželanú službu objavil jeden klient, ktorý si privyrobil pár peňazí, kým banka na chybu prišla a opravila. Dnes už zarábať na zaokrúhľovaní v tejto banke nie je možné. Vysvetlíme si podrobnejšie, k čomu presne došlo.

Čítaj ďalej...

Bank ID – digitálna identita vo Švédsku

Andrej Probst, 22. október 2015, Bezpečnosť, čítalo 2860 ľudí
Bank ID

Čo je to Bank ID

Bank ID je elektronická identifikácia fyzickej osoby, ktorá sa používa na preukázanie identity alebo autorizáciu/potvrdzovanie úkonov na internete vo Švédsku. Ide o digitálnu obdobu preukazu ako pasu alebo vodičského preukazu. Fyzická osoba má práve jedno Bank ID a zriadi si ho v jednej zo švédskych bánk.

Už podľa názvu je zrejmé, že Bank ID občanom prideľuje a spravuje súbor švédskych bánk, ktoré umožňujú aj ďalším subjektom Bank ID používať a zaintegrovať do svojich systémov. Bank ID sa využíva na úradoch, vo firmách a samozrejme v bankách.

Bank ID napríklad využijete pri peer to peer platbách služby Swish payments.

Ako Bank ID vyzerá z pohľadu užívateľa?

Čítaj ďalej...

Phishing na užívateľov PayPalu

Andrej Probst, 12. november 2015, Bezpečnosť, čítalo 2407 ľudí

V týchto dňoch sa snaží jedna poľská stránka rhybáriť na užívateľoch PayPalu. Do schránky zasiela email s upozornením, že sa klientovi na jeho PayPal účte deje niečo nezvyčajné a vyzývajú ho, aby potvrdil svoju identitu a aktualizoval údaje o svojej platobnej karte. Takto podvodník získava prihlasovacie údaje do PayPalu a zároveň údaje o platobných kartách.

Čítaj ďalej...

Rhybári lovia v Tatra banke II

Andrej Probst, 19. november 2015, Bezpečnosť, čítalo 2686 ľudí

Tatra banka je častým cieľom rhybárov, ktorí sa snažia od nepozorných a dôverčivých klientov banky získať prístup k elektronickému bankovníctvu a následne aj k bankovému účtu. Útočník začína zaslaním emailu s odkazom na podvodnú webovú stránku s formulárom, ktorý vyžaduje od užívateľa prihlasovacie údaje. Po vyplnení formulára útočník získa prístup k elektronickému bankovníctvu a užívateľa presmeruje na skutočnú stránku Tatra banky.

Čítaj ďalej...

2 komentáre. Čo Ty na to?

Rhybári lovia v OTP banke

Andrej Probst, 20. november 2015, Bezpečnosť, čítalo 2111 ľudí

Keď sa rhybárči, tak sa rhybárči naraz na viacero bánk. Kvantita má u útočníkov prednosť pred kvalitou. Ukázali sme, ako prebieha phishing na klientov Tatra banky. Ten istý útok a ten istý útočník útočí aj na ostatné banky. Útok tak prebieha naraz na klientov viacerých bánk v jednej krajine. V našom prípade je druhou obeťou, a zrejme nie poslednou, OTP banka.

Čítaj ďalej...

Rhybári lovia aj v Sberbank

Andrej Probst, 23. november 2015, Bezpečnosť, čítalo 1983 ľudí

Rhybári v týchto dňoch postupujú na Slovensku systematicky a zrejme každý deň rozpošlú várku falošných emailov, ktorá cieli na klientov jednej konkrétnej banky. Tento krát je na muške Sberbank. Ide o ten istý typ útoku ako u Tatra banky a OTP banky.

Čítaj ďalej...

Čo nás Iniciatíva Q naučila o bezpečnosti na internete?

Andrej Probst, 6. november 2018, Bezpečnosť, čítalo 6095 ľudí
Iniciative Q

Iniciatíva Q ukázala, ako sa dajú rýchlo a efektívne zbierať prihlasovacie údaje od veľkého množstva užívateľov. Netvrdím, že Iniciatíva Q nazbierané údaje bude zneužívať. Len tvrdím, že keby útočník chcel získať rýchlo a efektívne prihlasovacie údaje do rôznych služieb, Iniciatíva Q mu ukázala, ako na to.

Čítaj ďalej...

Ako z chytrého telefónu urobiť čítačku bezkontaktných kariet

Andrej Probst, 9. júl 2015, Bankovníctvo, čítalo 8173 ľudí

Takmer všetky najnovšie modely chytrých telefónov obsahujú v sebe aj komunikáciu cez NFC (Near field communication – Elektronická komunikácia na veľmi krátku vzdialenosť). Bezkontaktné platobné karty využívajú tiež túto technológiu na komunikáciu s bezkontaktnými platobnými terminálmi, ktoré cez NFC dokážu načítať potrebné údaje z karty, aby mohli vykonať a potvrdiť platbu. A nie len termináli to dokážu, ale aj chytré telefóny s NFC rozhraním.

Ukážeme si, aké všetky údaje sa dajú získať z debetnej alebo kreditnej karty, pokiaľ ste šťastným majiteľom chytrého telefónu s NFC.

Čítaj ďalej...

5 komentárov. Čo Ty na to?

Swish payments – švédske mobilné platby podobné Mobitu

Andrej Probst, 20. október 2015, Bankovníctvo, čítalo 2939 ľudí
Swish payments

Swish payments je služba pre mobilné peer to peer platby, ktorú prevádzkuje niekoľko bánk vo Švédsku. Peniaze môžu užívatelia posielať fyzickým i právnickým osobám na telefónne číslo ľudí alebo Swish číslo firiem a podnikateľov. Peniaze prichádzajú a odchádzajú z účtov, ktoré sú previazané so Swishom. Bezpečnosť celej služby je riešená pomocou Mobile Bank ID.

Swish je veľmi populárny vo Švédsku. Koho zaujímajú mobilné platby, môže Swish payments porovnať s Mobitom, ktoré končí v Českej republike.

Čítaj ďalej...

Digitálna identita občana v Estónsku - inšpirácia pre Slovensko a Českú republiku

Andrej Probst, 5. november 2015, eGovernment, čítalo 3369 ľudí

Estónsko je krajina, ktorá sa zrejme najďalej dostala v digitalizácii štátnej správy tzv. eGovernmentu. Pod digitalizáciou sa myslí riešenie agend cez internet, bez nutnosti navštívenia úradu. Občan je schopný svojpomocne, kdekoľvek, kde je internet, vykonávať úkony, ktoré doteraz musel robiť osobne na niekoľkých úradoch v čase úradných hodín. Služby eGovernmentu sú k dispozícii 24 hodín denne, 365 dní v roku a na jednom mieste.

Aby eGovernment mohol fungovať na internete, potrebuje občan digitálnu identitu, ktorou sa bude môcť preukázať pri používaní online služieb štátnej správy. Ide o obdobu občianskeho preukazu, ktorý sa používa na preukázanie identity na úradoch.

Estónsko pripravilo pre svojich občanov riešenie digitálne identity podobne, ako Bank ID vo Švédsku. Slovensko ide tým istým smerom so svojou eID kartou.

Stručne popíšeme, akú digitálnu identitu používajú vo Švédsku ako víziu, ako to bude vyzerať na Slovensku o pár rokov.

Čítaj ďalej...

2 komentáre. Čo Ty na to?

Easycoin predáva a kupuje bitcoiny za hotovosť v Geco predajniach

Andrej Probst, 4. máj 2016, Bankovníctvo, čítalo 3138 ľudí

Easycoin je služba prevádzkovaná firmou WBTCB na predaj a nákup bitcoinov po novom aj za hotovosť v 260 predajniach Geco po celej Českej republike ale i online. V Európe nenájdete žiadnu inú verejnú službu, ktorá by predávala bitcoiny za hotovosť. V Rakúsku nájdete firmu, ktorá kúpy od vás bitcoiny a vyplatí vás v hotovosti.

Martin Stránsky, jednateľ WBTCB, predstavil Easycoin na svojej prednáške v Paralelnom polise v utorok 3. 5. 2016 a odpovedal na zvedavé otázky publika.

Čítaj ďalej...

Hľadá sa ideálna mobilná platba...

Andrej Probst, 18. jún 2015, Bankovníctvo, čítalo 3156 ľudí
AppParade Meet - Slevomat
Foto pro Médiář: Jiří Koťátko

V utorok 16. júna sa v Prahe konal AppParade Meet 2 – Platby mobilem. Dve firmy popísali svoje problémy, ktoré potrebujú s mobilnými platbami riešiť a druhé dve firmy na oplátku ponúkli svoje platobné riešenia.

Od mobilnej platby očakávame nasledovné:

  • Univerzálna platba – mobilnou platbou má byť možné platiť na platobnom termináli v kamennom obchode, na internete v elektronickom obchode – eShope a priamo v mobilných aplikáciách (inapp purchase).
  • Bezpečná platba – platba nie len že musí byť bezpečná a odolná voči útočníkom, musia ju tak vnímať a byť o tom presvedčení aj platiaci klienti. Mobilná platba môže byť bezpečná, ak však tak nebude vnímaná, nebude klientami používaná.
  • Pohodlná platba – platba musí byť jednoduchá a zrozumiteľná na ovládanie. Čo nie je jednoduché dosiahnuť, ak má byť splnená podmienka bezpečnosti. Nekomfortné platobné metódy nebudú používané.
  • Akceptovateľnosť obchodníkmi – platobný nástroj musí byť komerčne zaujímavý pre samotných obchodníkov, aby ich nasadili na svoje obchody.
  • Nezávislosť na mobilnej platforme – platobná metóda musí byť použiteľná na čo najväčšom množstve mobilných prístrojov a operačných systémov, aby bola dostupná čo najširšiemu publiku.

Pozrime sa teraz na problémy, ktorým čelia obchodníci predávajúci svoje služby a tovar cez mobilné aplikácie.

Čítaj ďalej...

4 komentáre. Čo Ty na to?

Inovačné nápady od zamestnancov

Andrej Probst, 21. júl 2015, Inovácie, čítalo 3107 ľudí

Nechávate svojich zamestnancov, aby prichádzali s nápadmi, ako zlepšiť, posunúť, zefektívniť vaše podnikateľské aktivity alebo interné procesy? Alebo aby prišli s úplne novými podnetmi na rozšírenie vašich produktov a služieb? Predpokladáme, že odpoveď bude vo väčšine prípadov kladná. Záleží už len na úrovni formálnosti procesu, ktorý sa stará o zber, triedenie a výber nápadov/inovácií, ktoré sa budú realizovať. Niekde je to voľne ponechané na zamestnancoch, aby kedykoľvek sami od seba prišli s novým nápadom a presadili jeho realizáciu. Inde využívajú podporné procesy a nástroje, ktoré evidujú, spracúvajú a vyberajú nápady.

Existuje niekoľko podporných online nástrojov, ktoré pomáhajú firmám vydolovať spomedzi zamestnancov nápady, ktoré posunú firmu vpred. Ukážeme si niekoľko princípov a mechanizmov, ktoré tieto nástroje využívajú a mohli by byť použiteľné aj vo vašej firme. Upozorníme aj na nedostatky, ktoré sa môžu vyskytnúť pri nesprávnom použití týchto nástrojov.

Čítaj ďalej...

Tatra banka začína používať elektronické bankovníctvo v chytrých hodinkách

Andrej Probst, 31. júl 2015, Bankovníctvo, čítalo 2792 ľudí
Tatra banka Apple Watch

Tatra banka je najinovatívnejšou bankou na Slovensku. Viac či menej pravidelne prichádza s novými službami pre svojich klientov. V týchto dňoch predstavuje elektronické bankovníctvo pre chytré hodinky ako Apple Watch a hodinky s operačným systémom Android Wear, ktoré spustí pre verejnosť čoskoro. Aké funkcie ponúknu svojim užívateľom bankové chytré hodinky? Aké funkcie by klienti od banky uvítali?

Čítaj ďalej...

3 komentáre. Čo Ty na to?
< 1 2 3 >