Jak dokáží podvodníci obejít dvoufázové ověření?

Поділитися
Вставка
  • Опубліковано 29 жов 2024

КОМЕНТАРІ • 66

  • @leandraycz
    @leandraycz Рік тому +1

    Skvělé video. Ohledně dvoufázového ověřeno je důležité si uvědomit jednu zásadní věc. Pokud je zařízení napadnuto virem, virus může naklonovat relaci prohlížeče. Útočník si tak může otevřít relaci otevřít a pokračovat tam kde byl prohlížeč před naklonováním. Tudíž pokud jste byli přihlášeni v internetové službě, bude v ní přihlášen i útočník stejně jako Vy. V takovémto případě Vám nepomůže asi 4-fázové ověření. Spolehlivou obranou proti tomu útoku je odhlašovat se z internetových služeb, popřípadě používat anonymní mód prohlížení.

    • @matej9437
      @matej9437 Рік тому

      Tak doufám že kritické služby toto mají ošetřeno a poznají, že relace běží na zcela jiném HW.

    • @leandraycz
      @leandraycz Рік тому +2

      @@matej9437 To bohužel s jistotou nevím, takže to nemohu potvrdit ani vyvrátit. Každopádně i hardware se dá naklonovat a emulovat.

  • @matej9437
    @matej9437 Рік тому +6

    HW klíče jdou vidět na poště, jak tam má ta úřednice ta počítač, tak v USB má něco co svítí modrým světlem a vypadá jako fleška, ve skutečnosti to je nějaký klíč.
    A nebo na úřadech to mají v klávesnici, kdy do klávesnice zasouvají čipovou kartu, bez té se nepřihlásí.

  • @JaJsemBubu07
    @JaJsemBubu07 Рік тому +2

    nice!

  • @TomTom-qj2ou
    @TomTom-qj2ou 8 місяців тому +1

    Grizlik :D aka profesionální hecker

  • @MichalRada
    @MichalRada Рік тому

    Nazdar grizlíku, jsem nový odběratel tvých videí a je to super. Sice některé věci nevysvětluješ technologicky úplně správně, ale chápu to zjednodušení. Ale líbví se mi, jakej jsi magor, třeba smazat systémovou složku a zjišťovat co to udělá je naprosto super. Krásná práce.

  • @64duduk
    @64duduk Рік тому +1

    Perfektní zase super prácička

  • @matej9437
    @matej9437 Рік тому +2

    16 čekajících Noice

  • @Depa3
    @Depa3 Рік тому +1

    je to supeer video

  • @matej9437
    @matej9437 Рік тому +2

    Mobilní operátoři ochranu podle polohy prý taky používají.
    Kdybyste v Českém Těšíně vypli mobil a nasedli do stíhačky a tou letěli do Karlových Varů, když byste mobil zapli, pravděpodobně by SIM operátor zablokoval, přišlo by mu nemožné aby se někdo tak rychle přemístil a myslel by si, že někdo má klon simkarty

  • @martintyt
    @martintyt Рік тому +3

    25 čekajácích najs

  • @leafycz
    @leafycz Рік тому +1

    Wow!!!!!!!

  • @xdfilen
    @xdfilen Рік тому +1

    Mám otázku. Je dobré mít ověření přes aplikaci na telefonu a i přes SMS?

    • @GrizlikD
      @GrizlikD  Рік тому +1

      Spíš bych se zeptal, to jde? :DDD
      Podle mě ti to dovolí vždy jenom jednu z těch možností, v tomto případě je ověřovací aplikace bezpečnější než SMS

    • @xdfilen
      @xdfilen Рік тому +1

      @@GrizlikD Všude to určitě nejde :D ale někde jo.

  • @ElectroMaster1
    @ElectroMaster1 Рік тому

    tak že aj keby som mal napriklad dvojfázove heslo na email sms authenticatoru a dalšich tak či tak hacker hackne ten učet alebo email a keby bolo trojfázové heslo tiež by dokázali obísť?

    • @GrizlikD
      @GrizlikD  Рік тому

      Ono více hesel moc nedává smysl, protože když ten hacker dokáže zjistit jedno heslo, tak už dokáže zjistit i ty ostatní hesla, proto je pro přihlášení potřeba nějaká jiná metoda ověření

  • @oblibujemgrizlikaddd7059
    @oblibujemgrizlikaddd7059 Рік тому +1

    Zos tou bráničkou si sa naozaj trafil, aj pre mňa je dvojstupňové overenie takou bráničkou, lebo viacej údajov zadávam keď píšem môj e-mail a heslo, tie údaje majú viac než osem znakov a 2-step verification má len 6 znakov

  • @stefanpisoja1365
    @stefanpisoja1365 Рік тому +3

    můžu ten hartware klíc použit na seznamu???

    • @SokyhoGulas
      @SokyhoGulas Рік тому +1

      Asi ne

    • @matej9437
      @matej9437 Рік тому +4

      @@stefanpisoja1365 Tak to není tak, že by sis nějaký klíč koupil a pak ho používal třeba na přihlášení na seznam, to musí umět ta daná služba a ta dodá klíče vlastní. To se použije třeba v nějaké firmě, kde musí mít jistotu kdo s daným počítačem pracuje atd.

  • @redry_official
    @redry_official Рік тому +3

    Good video :D

  • @matej9437
    @matej9437 Рік тому +1

    google při přihlášení z jiné IP občas otravuje, že to nejde vy a nepustí vás do mailu, chce poslat SMS i když dvoufaktor nastavený nemáte :D

  • @Martinko1006
    @Martinko1006 Рік тому +3

    Grizlik keď nainštaluješ windows 11 tak môžeš vypnúť bios a pc sa spusťí

    • @GrizlikD
      @GrizlikD  Рік тому +1

      No kdybych vypl BIOS, tak se ten počítač nespustí
      Ale když vypnu secure boot, tak se dokáže spustit, to taky používám ve všech videích, abych měl Windows 11 startovací logo

    • @lubogaldun251
      @lubogaldun251 Рік тому

      BIOS sa už nepoužíva, ale UEFI keď už. A ako sa vypína UEFI? Je na to nejaké tlačidlo? UEFI je v ROM pamäti, takže vypnúť ho vieš asi len odpojením švábu z dosky.

  • @romanz-cz6887
    @romanz-cz6887 Рік тому

    cau ty jo takze kolaborace s podvodnikem ? Az zacne Ai tak hotovost bude in :D T y jo uz vidim nekoho jak se v tom vyzna :D HOTOVOST jedina moznost :D

  • @Lumikovec93
    @Lumikovec93 Рік тому +2

    Zasloužíš si více subs

  • @matej9437
    @matej9437 Рік тому +3

    Který operátor umí přeposlat SMS? To ani žádnou takovou funkci v česku nemají.
    Odposlechnout SMS při přenosu sice jde, ale útočník by musel být v dosahu té BTS která to mobilu vysílá a i tak to není tak jednoduchý postup, takže odposlech SMS je spíše teoretická zranitelnost.
    Spíše je větěí riziko, že útočník donutí uživatele si stáhnout nějakou app, třeba co vypadá jako hra, co na pozadí bude SMS přeposílat.

    • @jakubez9664
      @jakubez9664 Рік тому

      preposilat sms muze praktivky kazdy operator v cr / sk. Napriklad Vodafone nebo T-Mobile. Nekdy to lze nastavit i v nastaveni primo v mobilu

    • @matej9437
      @matej9437 Рік тому +2

      @@jakubez9664 to nevím že by takovou službu operátor poskytoval, většinou se přesměrují jen hovory. Jestli to umí nějaký mobil, pak je to už funkce mobilu ne operátora.

  • @eror0984
    @eror0984 Рік тому +1

    otisk prstuobcas zamkne udaje i samotnemu majiteli toho zariseni s otiskem prstu napr kdyz se do neho rizne (toho prstu)

    • @GrizlikD
      @GrizlikD  Рік тому +1

      No to je problém, ani ten otisk prstu není nejlepší zabezpečení, proto tam je obvykle na výběr buď otisk prstu pro rychlý přístup a nebo zadání hesla

  • @Tonda_L
    @Tonda_L Рік тому +1

    Ahoj doporučis my nějaký dobrý/ověřený model hardwarové klíče děkuji

    • @matej9437
      @matej9437 Рік тому +1

      Tak to není tak, že by sis nějaký klíč koupil a pak ho používal třeba na přihlášení na seznam, to musí umět ta daná služba a ta dodá klíče vlastní.

    • @GrizlikD
      @GrizlikD  Рік тому +2

      Právě že klíče si podle mě koupíš a pak je prostě propojíš
      Ale asi takoví největší výrobci HW klíčů jsou Google a YubiKey, ale ono je to docela jedno, který budeš používat, oba dělají to samé, jde spíš o to, který ti více vyhovuje

    • @matej9437
      @matej9437 Рік тому

      @@GrizlikD Tak klíč si sice koupíš, ale jak to propojit s email schránkou nevím a podlel mě to nejde a je to podle mě pro ajťáky co ve firmě dělají nějaké bezpečné přihlášení k něčemu a implementují tam do systému ty klíče.

    • @oblibujemgrizlikaddd7059
      @oblibujemgrizlikaddd7059 Рік тому +2

      @matej9437 Viem že sa dá HW kľúč nastaviť aj do Windows lock screen

    • @GrizlikD
      @GrizlikD  Рік тому

      @@matej9437 No musíš být na platformě, která to podporuje, ale potom ti stačí se jenom řídit jejich návodem k propojení: support.google.com/accounts/answer/6103523?hl=En

  • @lubogaldun251
    @lubogaldun251 Рік тому

    Kto dnes, v čase smartfónov používa SMS ako 2fa pri prihlasovaní sa do banky? Už viac ako 2 roky ČSOB BA na overenie používa svoju aplikáciu a nie SMS. V CZ ste pozadu?

    • @lubogaldun251
      @lubogaldun251 Рік тому +1

      Inak keď je vo videu defakto 1 staický obrázok, dosť zle sa také video sleduje.

  • @Rift_Walker_Lombax
    @Rift_Walker_Lombax Рік тому

    Mě ještě napadlo, že kdyby někdo u toho 2FA ten kód nějak půjde vytáhnout ze serveru

    • @matej9437
      @matej9437 Рік тому

      to by někdo musel hacknout ten server, jenže to by už pak nepotřeboval žádné hesla ani dvoufaktory

  • @Danybobik
    @Danybobik 7 місяців тому

    Stačí udělat trojfázové ověření nebo vícefázové ověření 😂

  • @Stepan_H
    @Stepan_H Рік тому

    Co se týká požadavku na změnu telefonního čísla uvedeného u bank pro zasílání potvrzovacích SMS, tak co vím, není možné požádat o toto vzdáleně, ale musí se člověk dostavit osobně s dokladem totožnosti. Toto je právě z důvodu zamezení podvodů. To nic nemění na tom, že technicky je možné nabourat GSM síť, kdy útočník dokáže zajistit, že daná SMS jde v kopii i na jeho zařízení. Postižený sice zjistí, že se něco děje, ale než začne reagovat, tak útočník provede platby.

  • @Stepan_H
    @Stepan_H Рік тому

    Chybí mě způsob, který používají banky a některé servery (např. Seznam nebo státní Datové schránky), kdy mají vlastní mobilní aplikaci, která musí být spárována, a pomocí které je možné se přihlásit. Párování není možné obejít, protože by útočník musel znát způsob (Tedy nejen nějaký kód identifikující zařízení, ale i protokol/formát, kterým daný web a mobilní aplikace komunikují.). Uživateli pak stačí jen na mobilu potvrdit operaci bez nutnosti zadávat nějaký kód nebo heslo. Zajímavé je také např. přihlašování do AirBank přes QR kód pomocí spárované aplikace, kdy uživatel již nevypisuje žádná přihlašovací jména ani hesla. Zde je však podmínka, že uživatel musí vlastnit tzv. Smartphone, na kterém lze provozovat onu aplikaci.

    • @matej9437
      @matej9437 Рік тому

      ano, autentizační aplikace, třeba jako George klíč pro potvrzení. To je asi hodně těžké obejít, ale teoreticky by to šlo obejít tak, že v mobilu bude škodlivá app co to potvrdí "sama" bez uživatele - prostě nasimuluje klikání atd. :D
      Spíše to útočník ale obejde tak, jak bylo zmíněno ve videu, že uživatel se přihlásí na podvodné stránce, útočník to opíše a uživatel to pak v george klíči nechtěně potvrdí ne sobě, ale jemu :D

    • @joejog9682
      @joejog9682 Рік тому

      @@matej9437 Noo, tak jednoduchý by to nebylo, jednak podvodná stránka nebude napojená na mobil napadeného, aby tomu přišla žádost na potvrzení, protože do aplikace to může poslat jen banka a odjinud to aplikace nepřijme, dále na mobilu se to potvrzuje otiskem. Ono je docela problém i to, když si koupíš nový mobil a nainstaluješ si George klíč, tak se nepřihlásíš dokud nezajdeš na pobočku a tam se to nespáruje s novým mobilem, jde to snad i po telefonu, ale vyžadují tolik informací a hesel pro komunikaci, kterou nemůže nikdo jiný znát, protože se nikdy na internet nezadávají. Nehledě k tomu, proč by se někdo přihlašoval na podvodné stránky napodobující banku, opravdu hlupák by použil nějaký odkaz od cizího člověka z mailu na přihlášení do banky a ještě k tomu si nezkontroloval kam ten odkaz vede a jestli je zabezpečený certifikátem.

  • @Elliasov
    @Elliasov Рік тому +1

    Doufám že to jde nebo mě ukradli účet a mám tam 2FA a nemám ani ten Gmail ani císlo ani telefon takže bych rád se dostal do svého účtu a jo točil jsem na UA-cam než mi sebrali účet jmenuji se tam Fanny 118

    • @GrizlikD
      @GrizlikD  Рік тому +2

      No tak s tímto bude problém, protože všechny kroky jako 2FA jsou *prevence* proti ukradení účtu, ale jakmile ti ten účet už ukradnou, tak s tím moc neuděláš, taky hodně záleží, k čemu všemu máš ještě přístup

    • @Elliasov
      @Elliasov Рік тому +1

      @@GrizlikD nemám přístup k ničemu Gmail ani číslo a telefon mám rozbitý takže nemůžu nic dělat tak bych chtěl se nabourat do toho účtu ale nevím jak

    • @GrizlikD
      @GrizlikD  Рік тому +2

      @@Elliasov Tady mě napadá dát tu SIM kartu do jiného telefonu, protože telefonní číslo nesouvisí s konkrétním telefonem, ale často se stává, že už prostě neexistuje žádný způsob, jak ten účet obnovit

    • @Elliasov
      @Elliasov Рік тому +1

      @@GrizlikD tu SIM kartu nemám už je prošla tak asi nic no

    • @brecxdd
      @brecxdd Рік тому

      @@ElliasovZavolej operátorovi