Jump to content

Dvoufázové ověření do Můj Vodafone


Pavel m

Recommended Posts

před 26 minutami, Ivo2003 napsal:

Odposlech SMS v případě nějakého malware  v telefonu  sice možný je,  ale uživatel si tam většinou tento malware stáhne sám.

 

Odposlech SMS při přenosu v síti je taky teoreticky  možný,  ale útočník by musel znát uživatelovy přihlašovací údaje,  znát jeho telefonní číslo,  být v jeho blízkosti a mít odposlechové zařízení.  Splnění všech podmínek asi není moc pravděpodobné.

 

To už je pravděpodobnější že user bude mít malware v počítači,  který  místo pravé  login page zobrazí falešnou stránku kde přihlašovací údaje předá útočníkovi a ještě mu následně potvrdí 2FA ověření na mobilu.

Uživatel si původně stáhne aplikaci, která je prověřená a je v pořádku. Tato aplikace je nějakou dobu bezpečná, ale po několika bezproblémových aktualizací programátoři do aplikace vloží závadný kód. Technicky si "zavirovanou" aplikaci uživatel stáhne sám, ale prakticky se tak stane automaticky prostřednictvím automatické aktualizace. Dokud není taktová aplikace zachycena, páchá škodu (Čte SMS a jejich obsah posílá útočníkovi.). Tomuto způsobu napadení není možné zabránit, lze jen snížit pravděpodobnost napadení tím, že na straně "store" jsou aplikace testovány a dále pak na straně uživatele je nějaký antivir, nicméně pořád zde bude nějaké časové okno v případech, kdy závadný kód nebude odhalen před uveřejněním a aplikace se podaří automaticky nainstalovat.

 

O HW způsobu jsem neuvažoval. Ten se používá skutečně jen cíleně na konkrétní osobu a tou bývá obvykle někdo "důležitý". Běžný Franta z Dolní Horní se takovéhoto útoku bát nemusí.

 

Případy s falešnou stránkou jsou právě docela rozšířený způsob, jak získat údaje od uživatele a i přes neustálé upozorňování se najdou uživatelé, kteří naletí. V případě nezávislé TOTP Aplikace je však použitelnost kódu omezena časem, standardně 30 sekund. Útočník sice získá přístupové údaje včetně případného kódu, ale ten by museli použít ještě než vyprší jeho platnost. V případě SMS je také možné omezit kód časem, ale vzhledem k tomu, že SMS mají někdy docela zpoždění, tak bývá časová platnost obvykle 5 minut a to je docela dost dlouhá doba, ve které se dá zvládnou hodně operací. Co trochu zvyšuje bezpečnost je nutnost potvrzovat zásadní operace novým kódem, tj. sice se jedním kódem přihlásíte, ale např. objednávku musíte potvrdit kódem novým.

 

 

před 42 minutami, CableG napsal:

Přesně. Mám tři služby a u všech stejné číslo. Když mi volají a chtějí nějaký to numero z toho šestičíslí, tak nejsou ani schopní říct kvůli které smlouvě volají a tedy které šestičíslí mám zvolit.

Ano, je to tragikomické, kdy při hovoru zadáte na výzvu automatu 6místný administrátorský PIN, že se tím prý usnadní hovor, ale následně při hovoru s pracovníkem infolinky musíte znovu prokazovat n-té a m-té číslo z tohoto PINu, takže se nic neusnadnilo a navíc je to přímo logický nesmysl. Když jste to číslo zadal, tak je jasné, že jej znáte a jeho opětovným prověřováním se již nic dalšího nezíská, jenom se ztrácí čas a nervy zákazníka.

  • 300 Mb/s
  • -
  • Komfort
  • UBEE EVW3226 (bridge), 3x CA vlastní
  • Praha, Černý most I.
Link to comment
Share on other sites

@randomofamberNo zrovna tohle mi při posledním volání fungovalo dobře. Ale já jim volám tak jednou za uherskej rok, takže jako statistický vzorek jsem k ničemu, je možný, že to někdy funguje a někdy ne 🙂 

  • Agree 1
  • 1000 Mb/s
  • -
  • Komplet
  • VTV Premium, KCF-B4003HCO, 2x Conax
  • Praha 6
Link to comment
Share on other sites

  • Help center

Rozumím té diskuzi ohledně SMS a dalších možností ověření, napadnutí telefonu atp. Přidám k tomu ale mnohem pravděpodobnější a častější scénář běžných uživatelů (bez ohledu na Vodafone, platí to obecně)... 

Není tak vzácné, že uživatelé používají stejná hesla napříč různými službami. Nemělo by se to dělat, věřím, že si to i dost uživatelů uvědomuje, ale je spousta lidí, kteří to tak dělají. Prostě to je pohodlnější... Když se pak takové heslo, resp. kombinace přihlašovacího jména a hesla objeví v nějakých uniklých seznamech na internetu, může nastat potenciální problém, protože se náhodným zkoušením útočníci mohou trefit a přihlásit do služby, kterou takový uživatel používá a má tam právě tuto kombinaci přihlašovacích údajů. 

Takže když pak taková služba vyžaduje kromě zadání správného přihlašovacího jména a hesla ještě další potvrzení přihlášení, výrazně se snižuje možnost, že se do ní útočníci přihlásí jen díky znalosti přihlašovacích údajů.

@sodekczPro příjem potvrzovacích SMS si budete moct nastavit jakékoliv české mobilní číslo, může být stejné i k více zákaznickým účtům. A pokud spravujete přihlášení k více účtům (třeba soukromý a firemní), je dobré si přidat přístup k nim pod své "hlavní" přihlášení, takže se přihlásíte jednou a v samoobsluze se pak přepnete na další účet, ke kterému budete mít přístup...

  • Super Fibre
  • Premium 5G
  • ALLinONE
  • Set-top box Premium
  • Pardubice
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...