Jak dokáží podvodníci obejít dvoufázové ověření?
Рет қаралды 5,715
Күн бұрын
@leandraycz Жыл бұрын
Skvělé video. Ohledně dvoufázového ověřeno je důležité si uvědomit jednu zásadní věc. Pokud je zařízení napadnuto virem, virus může naklonovat relaci prohlížeče. Útočník si tak může otevřít relaci otevřít a pokračovat tam kde byl prohlížeč před naklonováním. Tudíž pokud jste byli přihlášeni v internetové službě, bude v ní přihlášen i útočník stejně jako Vy. V takovémto případě Vám nepomůže asi 4-fázové ověření. Spolehlivou obranou proti tomu útoku je odhlašovat se z internetových služeb, popřípadě používat anonymní mód prohlížení.
@matej9437 Жыл бұрын
Tak doufám že kritické služby toto mají ošetřeno a poznají, že relace běží na zcela jiném HW.
@leandraycz Жыл бұрын
@@matej9437 To bohužel s jistotou nevím, takže to nemohu potvrdit ani vyvrátit. Každopádně i hardware se dá naklonovat a emulovat.
@matej9437 Жыл бұрын
HW klíče jdou vidět na poště, jak tam má ta úřednice ta počítač, tak v USB má něco co svítí modrým světlem a vypadá jako fleška, ve skutečnosti to je nějaký klíč. A nebo na úřadech to mají v klávesnici, kdy do klávesnice zasouvají čipovou kartu, bez té se nepřihlásí.
@TomTom-qj2ou 9 ай бұрын
Grizlik :D aka profesionální hecker
@64duduk Жыл бұрын
Perfektní zase super prácička
@GrizlikD Жыл бұрын
Díky :D
@JaJsemBubu07 Жыл бұрын
nice!
@MichalRada Жыл бұрын
Nazdar grizlíku, jsem nový odběratel tvých videí a je to super. Sice některé věci nevysvětluješ technologicky úplně správně, ale chápu to zjednodušení. Ale líbví se mi, jakej jsi magor, třeba smazat systémovou složku a zjišťovat co to udělá je naprosto super. Krásná práce.
@GrizlikD Жыл бұрын
Díky :D
@Depa3 Жыл бұрын
je to supeer video
@GrizlikD Жыл бұрын
Díky :D
@matej9437 Жыл бұрын
Mobilní operátoři ochranu podle polohy prý taky používají. Kdybyste v Českém Těšíně vypli mobil a nasedli do stíhačky a tou letěli do Karlových Varů, když byste mobil zapli, pravděpodobně by SIM operátor zablokoval, přišlo by mu nemožné aby se někdo tak rychle přemístil a myslel by si, že někdo má klon simkarty
@matej9437 Жыл бұрын
16 čekajících Noice
@cocolemon_en Жыл бұрын
Good video :D
@GrizlikD Жыл бұрын
Díky :DDD
@martintyt Жыл бұрын
25 čekajácích najs
@leafycz Жыл бұрын
Wow!!!!!!!
@Martinko1006 Жыл бұрын
Grizlik keď nainštaluješ windows 11 tak môžeš vypnúť bios a pc sa spusťí
@GrizlikD Жыл бұрын
No kdybych vypl BIOS, tak se ten počítač nespustí Ale když vypnu secure boot, tak se dokáže spustit, to taky používám ve všech videích, abych měl Windows 11 startovací logo
@lubogaldun251 Жыл бұрын
BIOS sa už nepoužíva, ale UEFI keď už. A ako sa vypína UEFI? Je na to nejaké tlačidlo? UEFI je v ROM pamäti, takže vypnúť ho vieš asi len odpojením švábu z dosky.
@stefanpisoja1365 Жыл бұрын
můžu ten hartware klíc použit na seznamu???
@SokyhoGulas Жыл бұрын
Asi ne
@matej9437 Жыл бұрын
@@stefanpisoja1365 Tak to není tak, že by sis nějaký klíč koupil a pak ho používal třeba na přihlášení na seznam, to musí umět ta daná služba a ta dodá klíče vlastní. To se použije třeba v nějaké firmě, kde musí mít jistotu kdo s daným počítačem pracuje atd.
@matej9437 Жыл бұрын
google při přihlášení z jiné IP občas otravuje, že to nejde vy a nepustí vás do mailu, chce poslat SMS i když dvoufaktor nastavený nemáte :D
@pisnickyodMisi Жыл бұрын
jn
@romanz-cz6887 Жыл бұрын
cau ty jo takze kolaborace s podvodnikem ? Az zacne Ai tak hotovost bude in :D T y jo uz vidim nekoho jak se v tom vyzna :D HOTOVOST jedina moznost :D
@xdfilen Жыл бұрын
Mám otázku. Je dobré mít ověření přes aplikaci na telefonu a i přes SMS?
@GrizlikD Жыл бұрын
Spíš bych se zeptal, to jde? :DDD Podle mě ti to dovolí vždy jenom jednu z těch možností, v tomto případě je ověřovací aplikace bezpečnější než SMS
@xdfilen Жыл бұрын
@@GrizlikD Všude to určitě nejde :D ale někde jo.
@oblibujemgrizlikaddd7059 Жыл бұрын
Zos tou bráničkou si sa naozaj trafil, aj pre mňa je dvojstupňové overenie takou bráničkou, lebo viacej údajov zadávam keď píšem môj e-mail a heslo, tie údaje majú viac než osem znakov a 2-step verification má len 6 znakov
@oblibujemgrizlikaddd7059 Жыл бұрын
A tiež by som si rád kúpil hardwareový kľúč zabezpečenia
@Lumikovec93 Жыл бұрын
Zasloužíš si více subs
@GrizlikD Жыл бұрын
Díky :D
@SirHypper_cz Жыл бұрын
Přesně
@eror0984 Жыл бұрын
otisk prstuobcas zamkne udaje i samotnemu majiteli toho zariseni s otiskem prstu napr kdyz se do neho rizne (toho prstu)
@GrizlikD Жыл бұрын
No to je problém, ani ten otisk prstu není nejlepší zabezpečení, proto tam je obvykle na výběr buď otisk prstu pro rychlý přístup a nebo zadání hesla
@ElectroMaster1 Жыл бұрын
tak že aj keby som mal napriklad dvojfázove heslo na email sms authenticatoru a dalšich tak či tak hacker hackne ten učet alebo email a keby bolo trojfázové heslo tiež by dokázali obísť?
@GrizlikD Жыл бұрын
Ono více hesel moc nedává smysl, protože když ten hacker dokáže zjistit jedno heslo, tak už dokáže zjistit i ty ostatní hesla, proto je pro přihlášení potřeba nějaká jiná metoda ověření
@matej9437 Жыл бұрын
Který operátor umí přeposlat SMS? To ani žádnou takovou funkci v česku nemají. Odposlechnout SMS při přenosu sice jde, ale útočník by musel být v dosahu té BTS která to mobilu vysílá a i tak to není tak jednoduchý postup, takže odposlech SMS je spíše teoretická zranitelnost. Spíše je větěí riziko, že útočník donutí uživatele si stáhnout nějakou app, třeba co vypadá jako hra, co na pozadí bude SMS přeposílat.
@jakubez9664 Жыл бұрын
preposilat sms muze praktivky kazdy operator v cr / sk. Napriklad Vodafone nebo T-Mobile. Nekdy to lze nastavit i v nastaveni primo v mobilu
@matej9437 Жыл бұрын
@@jakubez9664 to nevím že by takovou službu operátor poskytoval, většinou se přesměrují jen hovory. Jestli to umí nějaký mobil, pak je to už funkce mobilu ne operátora.
@Tonda_L Жыл бұрын
Ahoj doporučis my nějaký dobrý/ověřený model hardwarové klíče děkuji
@matej9437 Жыл бұрын
Tak to není tak, že by sis nějaký klíč koupil a pak ho používal třeba na přihlášení na seznam, to musí umět ta daná služba a ta dodá klíče vlastní.
@GrizlikD Жыл бұрын
Právě že klíče si podle mě koupíš a pak je prostě propojíš Ale asi takoví největší výrobci HW klíčů jsou Google a YubiKey, ale ono je to docela jedno, který budeš používat, oba dělají to samé, jde spíš o to, který ti více vyhovuje
@matej9437 Жыл бұрын
@@GrizlikD Tak klíč si sice koupíš, ale jak to propojit s email schránkou nevím a podlel mě to nejde a je to podle mě pro ajťáky co ve firmě dělají nějaké bezpečné přihlášení k něčemu a implementují tam do systému ty klíče.
@oblibujemgrizlikaddd7059 Жыл бұрын
@matej9437 Viem že sa dá HW kľúč nastaviť aj do Windows lock screen
@GrizlikD Жыл бұрын
@@matej9437 No musíš být na platformě, která to podporuje, ale potom ti stačí se jenom řídit jejich návodem k propojení: support.google.com/accounts/answer/6103523?hl=En
@Rift_Walker_Lombax Жыл бұрын
Mě ještě napadlo, že kdyby někdo u toho 2FA ten kód nějak půjde vytáhnout ze serveru
@matej9437 Жыл бұрын
to by někdo musel hacknout ten server, jenže to by už pak nepotřeboval žádné hesla ani dvoufaktory
@lubogaldun251 Жыл бұрын
Kto dnes, v čase smartfónov používa SMS ako 2fa pri prihlasovaní sa do banky? Už viac ako 2 roky ČSOB BA na overenie používa svoju aplikáciu a nie SMS. V CZ ste pozadu?
@lubogaldun251 Жыл бұрын
Inak keď je vo videu defakto 1 staický obrázok, dosť zle sa také video sleduje.
@Danybobik 8 ай бұрын
Stačí udělat trojfázové ověření nebo vícefázové ověření 😂
@Stepan_H Жыл бұрын
Co se týká požadavku na změnu telefonního čísla uvedeného u bank pro zasílání potvrzovacích SMS, tak co vím, není možné požádat o toto vzdáleně, ale musí se člověk dostavit osobně s dokladem totožnosti. Toto je právě z důvodu zamezení podvodů. To nic nemění na tom, že technicky je možné nabourat GSM síť, kdy útočník dokáže zajistit, že daná SMS jde v kopii i na jeho zařízení. Postižený sice zjistí, že se něco děje, ale než začne reagovat, tak útočník provede platby.
@Stepan_H Жыл бұрын
Chybí mě způsob, který používají banky a některé servery (např. Seznam nebo státní Datové schránky), kdy mají vlastní mobilní aplikaci, která musí být spárována, a pomocí které je možné se přihlásit. Párování není možné obejít, protože by útočník musel znát způsob (Tedy nejen nějaký kód identifikující zařízení, ale i protokol/formát, kterým daný web a mobilní aplikace komunikují.). Uživateli pak stačí jen na mobilu potvrdit operaci bez nutnosti zadávat nějaký kód nebo heslo. Zajímavé je také např. přihlašování do AirBank přes QR kód pomocí spárované aplikace, kdy uživatel již nevypisuje žádná přihlašovací jména ani hesla. Zde je však podmínka, že uživatel musí vlastnit tzv. Smartphone, na kterém lze provozovat onu aplikaci.
@matej9437 Жыл бұрын
ano, autentizační aplikace, třeba jako George klíč pro potvrzení. To je asi hodně těžké obejít, ale teoreticky by to šlo obejít tak, že v mobilu bude škodlivá app co to potvrdí "sama" bez uživatele - prostě nasimuluje klikání atd. :D Spíše to útočník ale obejde tak, jak bylo zmíněno ve videu, že uživatel se přihlásí na podvodné stránce, útočník to opíše a uživatel to pak v george klíči nechtěně potvrdí ne sobě, ale jemu :D
@joejog9682 Жыл бұрын
@@matej9437 Noo, tak jednoduchý by to nebylo, jednak podvodná stránka nebude napojená na mobil napadeného, aby tomu přišla žádost na potvrzení, protože do aplikace to může poslat jen banka a odjinud to aplikace nepřijme, dále na mobilu se to potvrzuje otiskem. Ono je docela problém i to, když si koupíš nový mobil a nainstaluješ si George klíč, tak se nepřihlásíš dokud nezajdeš na pobočku a tam se to nespáruje s novým mobilem, jde to snad i po telefonu, ale vyžadují tolik informací a hesel pro komunikaci, kterou nemůže nikdo jiný znát, protože se nikdy na internet nezadávají. Nehledě k tomu, proč by se někdo přihlašoval na podvodné stránky napodobující banku, opravdu hlupák by použil nějaký odkaz od cizího člověka z mailu na přihlášení do banky a ještě k tomu si nezkontroloval kam ten odkaz vede a jestli je zabezpečený certifikátem.
@Elliasov Жыл бұрын
Doufám že to jde nebo mě ukradli účet a mám tam 2FA a nemám ani ten Gmail ani císlo ani telefon takže bych rád se dostal do svého účtu a jo točil jsem na KZbin než mi sebrali účet jmenuji se tam Fanny 118
@GrizlikD Жыл бұрын
No tak s tímto bude problém, protože všechny kroky jako 2FA jsou *prevence* proti ukradení účtu, ale jakmile ti ten účet už ukradnou, tak s tím moc neuděláš, taky hodně záleží, k čemu všemu máš ještě přístup
@Elliasov Жыл бұрын
@@GrizlikD nemám přístup k ničemu Gmail ani číslo a telefon mám rozbitý takže nemůžu nic dělat tak bych chtěl se nabourat do toho účtu ale nevím jak
@GrizlikD Жыл бұрын
@@Elliasov Tady mě napadá dát tu SIM kartu do jiného telefonu, protože telefonní číslo nesouvisí s konkrétním telefonem, ale často se stává, že už prostě neexistuje žádný způsob, jak ten účet obnovit
@Elliasov Жыл бұрын
@@GrizlikD tu SIM kartu nemám už je prošla tak asi nic no
@brecxdd Жыл бұрын
@@ElliasovZavolej operátorovi
Grizlik :D
Рет қаралды 10 М.
Buď safe online
Рет қаралды 6 М.
David Škarda
Рет қаралды 44 М.