Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › [mbank] 36 złotych rocznie za nieużywanie appki mobilnej › Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej

Data: 2020-12-18 19:05:47
Temat: Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej
Od: Wojciech Bancer <w...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
On 2020-12-18, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Oczywiście że ma to znaczenie.
>> To że przejmiesz dostęp do systemu, to jeszcze nie oznacza że
>> jesteś w stanie wywołać wszystko magicznie.
>
> Tzn. czego nie jestem zrobić?

Automatycznie sterować aplikacją, która nie udostępnia jawnych
interfejsów do takiego sterowania?

>>> Nie widzę na jakiej zasadzie. Bo że wyklucza jako wykonawców, to
>>> oczywiście tak.
>>
>> Na takiej, że to się nie opłaca.
>
> A, w sensie że 99% nie ma pieniędzy? Wątpię, poza tym chyba rozumiesz że
> to nie jest tak, że 2 takie same ataki są dwa razy droższe niż 1.

To zależy czy jesteś w stanie zrobić "ogólny" exploit czy musisz
targetować pojedyncze urządzenia. Jak na razie w przypadku przejmowania
telefonów mowa co najwyżej o atakach targetowanych indywidualnie.

Więc chyba rozumiesz że jest to zupełnie inne niż "zrobimy fake stronę
+ mailing i kto się nabierze i zrobi przelew, tego strata"?

>> No ale idea polega na tym, żeby uczynić to mało opłacalnym
>> lub nieopłacalnym. Socjotechnikę i podmianki www opłaca się stosować
>> bo "a może ktoś się złapie". Włam na telefon już niespecjalnie, trzeba
>> starannie profilować ofiarę i dużo więcej o niej wiedzieć.
>
> A akcje z duplikatem karty SIM?

Do tego wystarczy wyciek / kupno bazy danych osobowych (np, ta która
wyciekła z morele.net).

Jak już przejmiesz dostęp do konta operatora można przeskanować
bilingi i wyłuskać informacje w jakim banku ma ofiara konto
(o ile tych danych nie ma w tej samej bazie danych).

> Samo znacząco większe ryzyko już wystarczy (przynajmniej niektórzy
> uzyskiwali karty SIM osobiście w "salonie" operatora - to chyba
> desperacja).

A to robi słup.

> Przejęcie telefonu jest praktycznie bezpieczne dla atakującego.

Jasne. Ale wymaga wiedzy i umiejętności. Którą albo masz, albo
kupujesz.

> Szczerze mówiąc, nie wiem co trzeba wiedzieć
> o ofierze - nie widzę większych jakościowych różnic w stosunku
> do "podmianki www".

Ok. Ja widzę.

> To wcale nie musi być "celowane", właśnie z tego powodu, że nie mamy
> dwóch oddzielnych kanałów.

Ale nie mamy jednego uniwersalnego pyczka do "przejmowania" dowolnego
telefonu, a zdajesz się to sugerować. Ale oczywiście mogę się mylić
i FBI wcale nie miewa problemów z dostępem do komórek, a firma
tworząca Pegasusa nie każe sobie płacić milionów za przyjemność
posiadania narzędzia (które trzeba i tak aktualizować).

--
Wojciech Bańcer
w...@g...com