Nyilvános wifivel kockázatos utalni netbankon keresztül?

"Security awareness képzésen tipikusan a semmiresem való informatikusok vesznek részt, akiknek nincs jobb dolguk"

Látod ez nem így van.

Aki képzésre jár, legalább tudja, hogy mennyi mindent nem tud. Aki meg nem, az meg öntelt módon hiszi azt, hogy nem.

Lásd Dunning–Kruger-hatás.

Hogy is mondja Faust Goethe művében?

"s látom, semmit sem tudhatunk mi!"

Aztán meg jönnek panaszkodni a fórumokra, hogy "feltörték a Facebookom!"

"Ha egy oldalt https protokolt használ (a bankokok 99.99%-a) akkor tökmindegy, hogy nyilvános vagy nem nyilvános wifi-ről utalsz."

Sajnos nem.

Ha nem veszed észre, hogy a HTTPS-t használó oldal és közéd egy HTTPS MITM-proxy kerül, akkor szépen lehallgathatják a forgalmadat - erre volt már precends:

[link]

sőt:

[link]

"Főleg mivel minden netbank ujjlenyomatot vagy sms azonosítást kér."

Az SMS-ses két faktoros azonosítás is támadható:

[link]

úgyhogy mondom: az ördög nem alszik.

Mindenre volt már precedens. Jössz itt a dunning kruger effektussal meg az többmillióból egy példáiddal.

Hát te aztán tényleg nem értesz hozzá.

Akkor sose használj netet, mert minden lehallgatható.

#5 és #11 hozzászólóval teljes mértékben egyetértek, és nem értem, hogy egyes emberek miért nem képesek eltávolodni a saját meggyőződésüktől. Inkább pattognak és felemelik a hangjukat, annak ellenére, hogy evidence-ket mutatnának be az érvelésük alátámasztásaikra.

MITM Proxy is képes HTTPS-ben kommunikálni, tehát az ügyfél elhiheti, hogy a bankkal kommunikál. DE! SSL-nek is vannak szintjei, azaz "wildcard ssl" ami kiírja a Cert tulajdonosát is. Ha azt nem látod, mikor egy bankkal beszélgetsz, akkor valószínűleg para van.

Vagy te <--https--> proxy <--https--> bank

Itt a Proxy generál egy SSL-t neked, ami nem a banké. Te zöld lakatot látsz, mert valid https. Proxy feloldja a titkosítást, mert ő rendelkezik a titkos kulcsal, és azt olvas ki a kommunikációdból amit akar. Majd proxy a te nevedben, továbbítja a kérést a bank fele, de innentől már a bank ssl publikus kulcsával titkosítja le.

Bank nem fog tudni róla, hogy nem te küldted. És ha te sem veszed észre, hogy nem az ő certjét használod, akkor a támadó elérte a célját.

De ha itt egyes emberek nem képesek felfogni és a saját malmára hajtani a vizet, akkor lassan ott tartok, hogy minél többször legyetek áldozatok, mert azok az emberek megérdemlik...

Mindenben van kockázat. Ha a netes vásárlás és fizetés nem lenne milliószor biztonságosabb, mint a készpénz, akkor a kutya se használná. Ettől függetlenül persze nem árt óvatosnak lenni, de ha annyira egyszerű lenne így pénzt lopni, akkor már senkinek se lenne a számláján pénz a földön.

Amúgy meg a mobilnetedet nagyjából pont akkora eséllyel "hallgathatják le", mint a wifi kapcsolatodat. (Nagyjából 0 eséllyel.) Szóval csak emiatt ne fizess elő netre.

150 MB pedig tippem szerint több 10000 utalásra is elég lehet, mert ott minimális az adatforgalom.

A paranoiás népek itt azt mondják, hogy minden feltörhető, lehallgatható, manipulálható. De ez nem jelenti, hogy így is lesz. Naponta milliók, akár milliárdok használják a nyilvános wifiket, és kétlem, hogy túl sok visszaélés lenne.

Magyarul, ha beülsz a Starbucksba, vagy A Burger Kingbe, vagy akármelyik netkávézóba, nyugodtan használhatod a netet, semmi gondod nem lesz. :)

Igen. Mondhatni mindenkinek igaza van.

Lényeg: ha felmész a bank weboldalára (pl otp) akkor az URL mellett látnod kell szöld szöveggel vagy rákattintva a lakatra megtudod nézni kié a cert. Ezzel ellenőrizni tudod, hogy nem e egy proxy certjét használod.

Másik lehetőség a paranoiásoknak, ha VPN-t használnak minden nyvános hálózaton. Ekkor a vpn másik felének olyan pontnak kell lennie amiben megbízol. Így kvázi egy adat az adatban csatornát csinálsz, amit a lehallgató nem fog érteni, mivel a vpn is titkosított.