Bezpečnostní problém internetových bankovnictví
Společnost Google vyzývá k objevení bezpečnostních děr ve svých systémech a je ochotna za objevení takové díry zaplatit nemalé peníze. Já jsem takovou díru objevil (možná nejsem první), ale i vyzkoušel v praxi na člověku, který nemá sebereflexi a hrozí mi trestním oznámením za ověření funkčnosti útoku.
Problém se týká zároveň i nesmyslných bankovních poplatků za něco, co má česká FIO Banka zdarma. (mimochodem poslední banka v českých rukou).
Velice snadno lze z FIO rozeslat tisíce plateb na jednu autorizaci a pokud rozešlete 0,01 Kč, bude takový útok stát pár desetikorun. V podstatě je to nákladově srovnatelné s rozesíláním spamu a přinejmenším to obtěžuje.
Zabezpečení je jednoduché. Nevyřešíte to trestním stíháním ani zakázáním zákonem, ale zase jen technologiemi. Nevyřeší to ani znemožnění provedení takové akce z výchozí banky. Musí se to vyřešit na straně příjemce v podobě něčeho podobného jako je spam filtr na e-maily.
Stačí dát uživateli možnost nastavit na takové příchozí platby filtr a směřovat je třeba do „složky“ mikroplatby. Je nutné dát možnost uživateli nastavit hodnotu platby třeba pod 10 Kč, 2 Kč, 1 Kč, 0,01 Kč… prostě nějaký limit. Samozřejmě by tyto příchozí platby neměly být zpoplatňovány bankou a v té „složce“ by se měla objevit suma těch peněz, protože jsou to také peníze, i když malé hodnoty.
Tohle by měly banky do svých internetvých bankovnictví zavést, protože takový útok lze provést i hromadně z více účtů, pokud se uživatelé hromadně domluví na takové akci. Uživateli účtu by pak u některých bank vznikala povinnost zaplatit poplatky za příchozí platby, které by mohly být vyšší než příchozí finanční hodnota. Může to být poplatek za příchozí platbu, poplatek za informační SMS (a zahlcení mobilu SMSkami) a konečně i zahlcení e-mailu, pokud informace o příchozí platbě přijde i e-mailem.
A teď si představte tu srandu, když ty platby a výpis účtu v podobě PDF pošlete na podatelnu soudu jako důkaz a bude povinnost to vytisknout. Odhadl jsem, že by za pouhých 100Kč mikroplateb bylo třeba vytisknout asi 500 listů papíru, což je balík silný tak 5–6cm :-) Mimochodem mi to připomnělo kauzu dokumentace a boj OpenOffice a Microsoft Office o otevřený formát dokumentu, bylo to tehdy snad 6000 listů papíru.
-
Související články na blogu Pavel Chalupa - blog
-
K čemu je dobrý firemní e-mail GE Money? 16. 8. 2009 2:24
-
-
Související články na ostatních blozích
-
Ako "kríza" zmenila spam... 9. 10. 2010 20:59
-
Hromadná vánoční korespondence 18. 12. 2009 13:48
-
Máte málo SPAMu? Zajeďte pro další třeba na Broadway! 31. 10. 2009 1:37
-
Spam? Už viem ako na to! 9. 8. 2008 10:55
-
Boj se spamem po česku 5. 2. 2008 12:42
-
-
Mephi (neregistrovaný)
Trošku zklamání, myslím že jsem čekal podle názvu něco jiného než pár let známé věci (případy byly i v televizi a už je to opravdu řádka let). Je to také jeden z důvodů proč u tuzemských plateb byl absurdní poplatek za příchozí platbu zrušen. Variantou je třeba poplatek za přijatou platbu ze zahraničí ale tak číslo vašeho iban nebudeme nikde veřejně sdělovat a budeme v pořádku.
Poplatek za sms asi taky už je trošku přežitek (nevím, třeba někdo využívá a dokonce za to platí), ale v dnešní době má snad každý mail v telefonu. -
ludimíra (neregistrovaný)
... stále více lidí přemýšlí o tom, že banky jsou zloději větší než kdy jindy a technologie jim to zcela umožňuje, protože pokud já jim půjčuji své peníze, které mi tzv. leží na účtě, tak ona je tou co by mně měla zaplatit, že je používá ... v podstatě jsme její rukojmí, pokud by si všichni najednou chtěli vybrat své úspory, tak banka vše zablokuje (o dveřích nemluvě).-)) a peníze, které jsou vaše jsou fuč ...
princip jsem nikdy nepochopila ... že mi někdo bez trestně sebere moje prachy ... přemýšlím o novém strožoku ... článek mne zaujal díky, též mám tuhle banku ...
ČLÁNKY DO MAILU