[Tanel]

Keskkriminaalpolitsei (KKP) poolt sel nädalal avalikustatud info tõi päevavalgele, et kaugetel Rumeenia kurjategijatel oli õnnestunud Eesti e-riigi nõrkusi ära kasutades pääseda ligi kümneid kordi rohkemate eestlaste pangakontodele, kui Riigi Infosüsteemi Amet (RIA) seni oli tihanud tunnistada.

„Ligi õnnestus pääseda 400 inimese pangakontodele," ütles reedel Fortele keskkriminaalpolitsei küberkuritegude büroo juht Oskar Gross. SK ID Solutions muutis juhtumi järel Smart-ID turvaprotokolli, millega takistati edaspidi võltskontode loomist.

Loe edasi: https://forte.delfi.ee/news/varia/rumeenia-patid-kandsid-eesti-e-riigi-norkused-kandikul-ette-video-vahistamisest?id=91250657

[pwn13]

Reaalselt keegi jäi siis rahast ilma ka v?

[jägaja]

[Tanel]

[pwn13]

Eitea, kes seda kahju siis lõpuks kannab?

[Outenter]

Seda nimetatakse koolirahaks.

[Mnator]

[napoleon]

Kuna mul smart id eelmine nädal läbi sai ja pidin uuendama, siis niipalju on nad muutnud, et peale smart id loomist tuleb kohe sms selle kohta ja seal on ka number kuhu helistada, kui sa ise ei loonud endale smart id-d.
Aga noh, smart id ja mobiili id puhul see nõrkus on ja jääb, et mingi libaleht võib meelitada kasutajat pin koodi sisestama. Ega selle vastu ei aitagi muu kui tihend ehk peab jälgima kuhu klikid. Alternatiiv oleks ainult mobiili id ja smart id üldse kinni panna ja jääks ainult id kaart. Mina smart id-d ja mobili id-d koti pähe tõmbamiseks ei nimetaks. Lihtsalt mugavusel on oma hind ehk selle võrra pead ise tähelepanelikum olema

[Admiral]

[Mnator]

[napoleon]

Ma paywall taha ei näe, ehk viitsib keegi paari lausega kirjeldada, mida seal turvaprotokollis siis täpselt muudeti?
Btw, ühekordsed paroolilehed aitavad keyloggeri vastu, aga see nõrkus on neil ikka, et neid on võimalik kopeerida. Smart id ja mobiili id puhul peab vähemalt mingi füüsiline seade olemas olema.

PS. mina näiteks ei mäleta, et keegi mulle väga agressiivselt smart id-d või mobiili id-d kaela oleks määrinud. Võtsin need täiesti oma algatusel ja puhtalt mugavuse pärast kuna see idioodikaart võib ju turvaline olla, aga selle kasutamine on algusest peale paras PITA olnud.

[Mnator]

ju ma olen siis liiga tundlik reklaami suhtes, tõmbun kohe kaitsesse

ja moblaga need mõlemad värgid - tuleb jälitada kasutajat, püsikoodid ära tabada ja siis mobla pihta panna vaikselt ja enne kui omanik kadumist märkab üht-teist toime panna ja kui veel õnnestub mobla vaikselt tagasigi panna, siis pankade ja politsei silmis on omanik ise suli
nii palju inimesi ringi liikudes muudkui liputavad oma moblat ja tegutsevad ümbrusele tähelepanu pööramata ja kui pausi peavad, siis mobla ülikergelt ligipääsetavas kohas

[Tanel]

napoleon, detailselt pole kirjutatud ja ilmselt ei kirjutataks ka

[napoleon]

Mnator, sa vist ei hammustanud läbi, mis skeemi kasutati. Ei olnud neil rumeenlastel vaja midagi pihta panna. Põmst oli mobiili id ja smart id puhul suht sama skeem kasutusel.
Kasutajale saadetakse libakiri, mis oleks nagu pangast lingiga mingile libalehele mis näeb välja nagu netipank. Kui sinna oma kasutaja sisse toksisid, siis samal ajal avas pahalane päris panga lehe kuhu sinu kasutaja pani ja kes piisavalt tähelepanelik polnud, sisestaski rõõmsalt smart id/mobiili id PIN koodi.

Ma korra olen seda skeemi suht legitiimsel eesmärgil isegi kasutanud välja arvatud siis petukiri. Oli vaja miskit seadistada(vist zone lehel) ja inimene sellega ise hakkama ei saanud. Sai siis kokku lepitud, et sisestan sinna tema isikukoodi ja kui smart ID pini küsib, siis paneb oma PINi kuna füüsiliselt asusime eri kohtades. Võõrastega muidugi ei julgeks sellist asja teha, aga kui oled juba inimesega aastaid koostööd teinud ja kui ta tahaks sulle kangesti käkki keerata, on tal selleks nagunii ka n+1 muud võimalust, siis mõningate mööndustega võib.

Edit:

[Mnator]

napoleon, ma tean, olen lugenud sellest rumeenlaste tegutsemisest
mu fantaasiastsenaarium oli vastus sinu jutule, mida annab kurikaeltel teha ühekordsete paroolilehtede korral

[degreal]

[heretic666]

Smart-ID turvanõrkus on see et arvutivõhik ei tunne õngitsuskirja ära?

[Mnator]

Ma siin vahepeal pakkusin välja fantaasistsenaariumi moblade nõrkade külgede suhtes ja täna oli foorumis midagi sinna kanti reaalelust välja pakutud
https://foorum.hinnavaatlus.ee/viewtopic.php?p=10559507#10559507
väidetavalt just inimese ja ta mobla jälgimise teel saadud infot kasutati kurjasti ära

[jägaja]

[napoleon]

Noh, seda võiks vast ikka teada, et kui pank reaalselt tuvastab, et kontol midagi kahtlast toimub, siis ei nõuta kliendilt konto sulgemiseks pin2-e.
Ja noh, seda võiks ka teada, et pangad nõuavad klienditeenindajalt eesti keele oskust ehk kui keegi mõnes muus keeles räägib ja väidab et on pangast, siis on asi juba ülimalt kahtlane.

[Tanel]

Siinkohal paslik tsiteerida Einsteini

[jägaja]

[napoleon]

Aga kasutame natuke loogikat. Smart ID ega mobiili ID omamine ei ole kohustuslik. Kui vastaks, et mul ongi ainult ID kaart ja selle PIN koodid on ka kodus šeifis ja neid peast ei tea ning ise olen praegu hoopis sõbra juures, siis peaks ikka mingi protseduur olema kuidas konto kinni panna kui asi tõesti kahtlane on.
Kontot pole ma proovinud ise kinni panna, aga pangakaardi sulgemiseks piisab küll kui ütled telefonis nime, isikukoodi ja kirjeldad mingil moel, millist kaarti sulgeda soovid kui neid kaarte rohkem kui üks peaks olema.

[Tanel]

Kui vaja kaart kinni panna.

Esiteks, räägitakse eesti keeles.
Teiseks, kas mitte ei pidanud salaküsimus olema? Kui salaküsimust polnud või on see selle vastus ununenud, küsitakse täiendavaid küsimusi.

[napoleon]

Mul pole ei swedis, SEB-s ega LHV-s mingit salaküsimust. Võibolla on mingi ärikliendi teema see salaküsimus siis.

[Tanel]

Mul vist oli salaküsimus pandud, IIRC.

[ahoioi]

Potsas postkasti Swedbanki uudiskiri püsikliendile: liisingutest ja armastusest. Seal lõpus on kirjutatud

[LKits]

Smart-ID on jätkuvalt üks ainukesi tuvastustehnoloogiaid, mis näitab kasutaja parooli pikkust. Ehk kui mul on PIN-kood näiteks 8-tähemärgi pikkune numbrite jada, siis on tõenäoline, et see on kellegi telefoninumber...
Ja jätkuvalt nad ei pea seda oluliseks eemaldada. Turvalisus või asi.

[jägaja]

LKits, selle üle me oleme juba vaielnud kunagi. Mõttetu probleem.
ID-kaardi ja Mobiil-ID ning pangakaardi koodipikkused on ka üldteada.

[LKits]

[Renka]

LKits, pangakaarte siis ka ei kasuta? Või telefoni SIM kaarte? Või telefoni ennast (nii iOS kui Android ekraaniluku pikkus on teada ju minuarust?).

Tundub täiesti pseudo probleem olevat millega tolmu keerutada.

[LKits]

Kõikvõimalike kaartide ja teenuste PIN koodid muudetud, pikkus erinev algsega võrreldes.
Pangakaart on vist ainuke, millel 4+ pikkust valida ei saa.

Ei ole pseudo, vaid vägagi reaalne. Igasugune vihje parooli kohta, eriti veel parooli pikkus, vähendab parooli turvalisust tohutul määral.

[Tanel]

Ja proovida saab vale PIN mitu korda?
Kes sul näeb parooli pikkust?

[LKits]

[napoleon]

[LKits]

napoleon, jah, siin foorumis ongi IT-teadlikud liikmed.
Kahjuks maailm ei koosne ainult sellistest. Paljudel on parooliks võimalikult lihtne sõna, mis on vägagi nendega seostatav ja lõpus on ainult näiteks 123.
Ning kui eksisteerib nii suur vihje nagu parooli pikkus, siis see muudab keskkonda sisselogimise palju ebaturvalisemaks.

Aga mõistan, pole mõtet sel teemal arutleda. Olen seda ka varasemalt teinud ning see pigem isiklik seisukoht.

[Tanel]

Läheb teemasse: https://www.facebook.com/aivarpau/posts/10158098648107129

[Mnator]

[jägaja]

Mnator, seda numbrit on ju lihtne kontrollida https://www.smart-id.com/et/abi/klienditugi/

[Mnator]

[Tanel]

Ehk on sellega kuidagi seotud?
https://www.skidsolutions.eu/uudised/sk-mobiil-id-teenuses-vahetub-TLS-sertifikaat/

[Tanel]

Vastus siin: https://forte.delfi.ee/artikkel/92868487/6000-inimest-said-tana-eksliku-hoiatusteate-smart-id-loomise-kohta

[Mnator]

kui sellisel, omaenda sertifikaadivahetuse, põhjusel saadetakse teadet, et kurjategijad on loonud konto....