Hubert pisze: ↑10 paź 2020, 12:02
Odnośnie zabezpieczenia, czy fizycznie jest możliwość hackowania konta z podwójnym uwierzytelnieniem ?
Tak
Hubert pisze: ↑10 paź 2020, 12:02
Chodzi mi o to czy w razie nawet jak złamią Ci hasło to czy są w stanie złamać to drugie?
Nie muszą go łamać. Gdybym miał dostęp do twojego komputera, mógłbym wprowadzić ci przekierowanie żeby strona internetowa twojego brokera w rzeczywistości kierowała na mój serwer. Żebyś nie dostał żadnego ostrzeżenia przy szyfrowaniu, doinstalowałbym ci też lewy certyfikat główny (do systemu i do przeglądarek).
Cały ruch byłby wtedy co prawda nadal szyfrowany, ale w dwóch połówkach: "od ciebie do mnie" oraz "ode mnie do twojego brokera".
Ja byłbym pośrodku i miałbym dostęp do niezaszyfrowanej zawartości. To się nazywa
man-in-the-middle (człowiek po środku) i nie jest to żadna czarna magia dla administratorów. To są ataki znane od lat.
Mój serwer przechwytywałby więc cały ruch od ciebie. Tym samym otrzymałbym twoje dane użytkownika, hasło oraz hasło jednorazowe. Ale co najważniejsze, to ja (a nie ty) byłbym zalogowany u twojego brokera, a ty tak naprawdę byłbyś zalogowany u mnie, tylko byś o tym nie wiedział.
W momencie gdybyś się wylogował (ode mnie), ja nadal utrzymałbym sesję do twojego brokera jako klient i wtedy mógłbym zacząć własną zabawę.
Mógłbym wystawiać zlecenia, do których nie potrzeba by mi było już żadnych kodów jednorazowych.
rebahas pisze: ↑10 paź 2020, 18:26
Jeżeli chodzi o trzymanie tokenów soft do 2FA to polecam Auth na telefony.
Żaden Auth na telefony nie jest 100% bezpieczny i nigdzie, ale to nigdzie gdzie bezpieczeństwo jest naprawdę priorytetowe, tego nie polecają.
Nawet telefon szefa Amazonu Jeffa Bezosa został shackowany pojedynczą wiadomością i było o tym głośno w mediach:
https://www.wired.co.uk/article/jeff-be ... udi-arabia
Bezpieczeństwo typowego Androida jest takie sobie, tzn zwykle wystarczające dla zwykłego użytkownika, ale bynajmniej nie niemożliwe do złamania.
Są systemy które umożliwiają jego hackowanie i te systemy są do kupienia (Pegasus), jeśli ktoś ma naprawdę dużo pieniędzy. Są też systemy do łamania na lewych giełdach, mniej lub bardziej skuteczne, zależnie od zainwestowanych kwot.
Teoretycznie są jeszcze modowane Androidy, jak BlackPhone czy BlackBerry, gdzie bezpieczeństwo jest postawione na wyższym priorytecie, ale jakoś nigdy nie zdobyły one szerszej popularności.
Jeśli ktoś naprawdę chce więc bezpieczeństwa to nie bawiłbym się w żadne Androidy, tylko brał od razu fizyczny token, Yubikey czy podobne, niezależne urządzenie.
mlubinski pisze: ↑10 paź 2020, 12:06
Poza tym w IB raczej taki transfer co opisano nie jest mozliwy, po blokuja transfery na konta “inne niz wlasciciela” (przynajmniej mi zablokowali jak z konta zony chcialem kase zaladowac z mojego konta, wiec zakladam ze w druga strone dziala podobnie)
Jest jeszcze lepiej. Nie jest możliwa bezpośrednia i natychmiastowa wypłata na nowe konto, o ile nie używasz ich Secure Login System (tokena).
W takim wypadku jak hacker dodał by sobie "swoje" konto do wypłat, to nawet gdyby jakimś cudem dane się zgadzały, to i tak musiałbym odczekać 10 dni zanim mógłby zlecić na nie wypłatę.
W tym czasie ty dostałbyś powiadomienie o tym, że zostało dodane nowe konto i mógłbyś podjąć kontrdziałania.
Źródło:
https://www.interactivebrokers.com/en/s ... enroll.htm
Poza tym zlecenie wypłaty, wymaga kolejnego jednorazowego kodu autoryzacyjnego, a dodanie konta bankowego bodaj też.
Gdybym miał dostęp do czyjegoś konta, nie bawiłbym się więc w takie wypłaty. Raczej szukałbym jakiegoś mało popularnego instrumentu, na niego znalazł mało popularny derywatyw (np opcję oddaloną o rok z dziwnym strike'iem albo coś takiego) w czasie gdy nie ma nic na niego wystawionego (0 zleceń na giełdzie).
Następnie próbowałbym puścić zlecenie takiej opcji na mało popularną giełdę (zmusiłbym IB żeby nie korzystał ze swojego algorytmu wyboru giełd, tylko puścił zlecenie na konkretną). Jednocześnie na swoim koncie puściłbym korzystną dla mnie kontrofertę i starał się żeby te oferty się w miarę możliwości ze sobą sparowały. W ten sposób przepompowywałbym pieniądze.
winnie-the-pooh pisze: ↑10 paź 2020, 14:51
Generalnie chyba najgroźniejszy realny atak na MFA to atak z duplikatem karty SIM, jeśli się używa SMSów autoryzacyjnych.
Nie trzeba używać SMSów autoryzacyjnych. W przypadku IB, gdybym miał kartę SIM z twoim numerem, mógłbym po prostu zainstalować nową wersję IB Key na swoim telefonie i ją aktywować. Po aktywacji mógłbym jej już używać do generowania kodów autoryzacyjnych.
Jak zdobyć duplikat karty SIM ?
Przestępcy robią to przychodząc do salonu operatora z lewymi dokumentami i zgłaszając np zgubienie oryginalnego SIMa. Przedstawiciel operatora sprawdza dokumenty "na oko" i jeśli "na oko" mu się zgadzają, wyda duplikat, który zostanie aktywowany w ciągu paru czy parunastu godzin, przy jednoczesnej deaktywacji oryginału.