Tak by mne zajimalo, jak je mozne pomoci clickjackingu napriklad potvrdit platbu, pokud je vyzadovano opsani cisla/kodu/hesla co prijde na mobil? Takto to ma reseno treba CSOB a asi i jine banky.
Tak tak jsem u RB bývalé eBanka a touto cestou mě opravdu nikdo nepřemluví abych něco odsouhlasil aniž bych si všimnul že musím dvakrát sáhnout po "kalkulačce" jednou abych se přihlásil podruhé abych platbu verifikoval. Jsou to všechnno jenom bubliny
Až zadáte příště platbu, tak pomocí této techniky si budete myslet že schvalujete něco jiného než ve skutečnosti budete.
Já třeba u autorizačních sms nekontroluji obsah, jen opisuji kód. Myslím, že takových bude většina.
Stejně jako většina lidí podepisuje různé dokumenty, aniž by si v klidu přečetli obsah. Takže to není ani tak problém technický, ale spíš sociální (jako u phishingu,...).
Kdykoli zadávám platbu, tak schvaluji přesně to, co si BANKA myslí, že jsem zadal - dokud útočník nevymyslí, jak mi poslat na moje telefonní číslo (které na webu banky vůbec nefiguruje) falešnou SMS, kterou ovšem nejprve odchytí sám u telefonního operátora a pozmění ji tak, aby obsahovala mnou zadané číslo protiúčtu a částku, ale autorizační kód byl takový, jaký banka "spočítala" pro jeho falešnou transakci na jeho podvržený protiúčet.
Ale to je Vase hloupost :) To ze neco takto provadite Vy, neznamena, ze to tak dela vetsina ;)
Mate tam zcela jasne napsano co/kam/kde. Nehledne na to, ze tato SMS zprava Vam take jde do bank. aplikace v telefonu nikoli jako obyc zprava (pokud nejste u sockoidni Ceske Siditelny nebo jine parodie na banku). Predpokladam take, ze tato autor. zprava je presne urcena na danou platbu (castka, datum, cilovy ucet, atp, aby pripadne kod nemohl byt zneuzit pro jiny ucel) - to ale nemohu potvrdit, protoze to nemam overeno v praxi.
Tak a kdyz si toto shrneme a zjistime, ze eBanka s timto resenim prisla v roce 98 - co rikate na svou urcite skvelou banku? Rikam, ze banky jsou pozadu a implementuji nova zabezpeceni pomalu.
To ze neco takto provadite Vy, neznamena, ze to tak dela vetsina ;)
Správně, většina dělá, co je pohodlnější. Pohodlnější je nic nečíst, kód přecvakat. A nic na to nezmění ani super-hyper-ultra-mega zabezpečená moderní banka.
To mate z toho, ze pouzivate sms. Ja na kalkulacce nemusim nic kontrolovat - ja tam proste napisu co a komu chci zaplatit a pak opisu kod. Jedine, co mi kdo muze - kdyz prijdu k nahodnemu pociteci nekde v kavarne v turecku - je kouknout se prez rameno kolik tam mam a komu jsem platil ... coz jde i mnohem jednoduseji, nez clickjackingem.
Ano jeto specialni "kalkulacka", ktera vam na zaklade vami zadanych udaju vygeneruje autorizacni kod. Ja ji pouzival 2 roky, a tedka jsem take presel na mobil. Jeto prece jenom pohodlnejsi.