Mal som problém s účtovaním a tarifikáciou mojej karty Ready pre VoIP telefonovanie od T-Comu. Tak som zavolal na linku technickej podpory 0800 123 777 stlač 2 a čakal som. Kým sa mi prihlásil operátor, bol som automatom vyzvaný, že pre komunikáciu so živým operátorom si mám pripraviť SIP heslo. Hm, hovorím si, to je divné, aby chceli diktovať heslo, ale nalistoval som a pripravil si ho na obrazovku. Keď sa prihlásil živý operátor, požiadal ma, aby som mu nadiktoval meno a heslo pre prihlásenie sa ku karte Ready, teda celkom iné kompletné prihlasovacie údaje. Hm, to je divné, najprv informovali, že chcú jedno heslo a teraz chcú druhé… Pomoc som potreboval, na karte bol aj tak záporný zostatok, tak si hovorím, ani veľa neriskujem a začal som diktovať. Najprv meno, potom heslo. Akurát som to diktoval bez rozlišovania veľkých a malých písmen. Živý operátor bol spokojný a začali sme riešiť môj problém.
V tomto momente popis na chvíľu preruším a rozoberieme si čo sa vlastne stalo.
Takto prebieha finálna fáza klasického phishingového útoku. Obeť nadiktuje meno a heslo a rhibár predstiera snahu o riešenie. Potom rozhovor ukončí s tým, že informáciu odovzdá na riešenie ďalej technickej podpore. Po ukončení rozhovoru sa rhibár zaloguje pod vaším meno a heslom do vášho konta a kompletne prevezme nad ním kontrolu. Pošle si peniaze, využije predplatené služby a tak ďalej a tak podobne. Vo všetkých záznamoch je viditeľné, že ste tieto operácie urobili vy.
Ale vráťme sa na hotline linku T-Comu.
Keďže T-Com pracuje ako obvyklá korporátna firma, riešenie môjho problému nenastalo ani na druhý deň ani na tretí ani na piaty deň. A tak som skoro každý deň (celkovo asi 5-6 krát) zatelefonoval na 0800 123 777 stlač 2 a opätovne urgoval a opätovne vysvetľoval čo potrebujem. Linka je zadarmo a opakované neúnavné pravidelné urgovanie zdolá aj korporátny moloch. (Mnohokrát úspešne vyskúšané) Pri každom telefonáte prebehlo horeuveným spôsobom overovanie mojej identity a ja som vždy diktoval heslo bez uvedenia, ktoré písmená sú malé a ktoré veľké. Až raz:
- Ja: „Heslo je nbusr123„
- Operátor: „To sr je veľké však?“
- Ja: „Áno“
- Ja: „Vy vidíte na obrazovke moje heslo?“
- Operátor: „Áno, takto si overujeme, či ste to naozaj vy, komu patrí toto konto. Ak sa obávate ochrany súkromia, tak predsa platí telekomunikačný zákon a zákon na ochranu osobných údajov a teda žiadne zneužitie nehrozí.“
- Ja: „???“
Najväčšie nebezpečenstvo je v tom, že T-Com utvára vzorec správania sa. Ľudia sa naučia, že diktovať heslo po telefóne je obvyklé a potrebné pre to, aby technik mohol riešiť ich problém. Týmto konaním T-Com rozbíja akúkoľvek snahu o vzdelávanie verejnosti v elementárnej ochrane svojej identity a virtuálneho majetku na internete.
dlho som sa tak nepobavil. imho keby slovo „heslo“ nahradili pojmom napr „volaci znak“ znelo by to menej paranoidne. inak uz sa vidim jak niekde v eletricke diktujem nahlas svoje „heslo“…
Piki, aky sposob autentifikacie po telefone by si navrhoval? 😉
V tomto konkretnom pripade ma ine riesenie nenapada. Suhlasim, ze riesenie to nie je idealne, ako sam pises, vytvara pocit samozrejmosti, ovsem inteligentny clovek (uzivatel) hadam dokaze rozlisit ten maly rozdiel – v tvojom pripade si si ty sam vyhladal cislo podpory na legitimnom webe t-com, nebolo ti znenazdajky podvrhnute mailom, sms alebo niekym volajucim.
Viem, viem, kritizujes vytvaranie vzorca, ovsem nejako sa legitimny uzivatel autentifikovat musi.
Autentifikacia po telefone? Jednorazova. T-com mi nieco niekam posle na kontaktne miesto, ktore som uviedol pri uzatvarani kontraktu (telefon -> SMS, e-mail na moju adresu), pripadne mi polozi kontrolnu tajnu otazku tiez z toho isteho zdroja. Takyto postup diktovania on-line hesla je cesta do pekla. Odvolavanie sa na inteligenciu uzivatela je absolutne neopodstatnene, aj inteligentny uzivatel si nemusi uvedomit jemne nuansy pri phishingu.
[alian] – jediná pripomienka: skúsme zaviesť ako priemyselný štandard nbusr123 namiesto *** alebo „heslo“ v poli „heslo“ 😉
[sloper] – jedinečné PIN cez tónovú voľbu, alebo skombinovať webové rozhranie, alebo… napríklad. Všetko je k dispozícii vrámci danej služby. Možností je viacero, ale najľahšie je nechať si nadikotvať heslo a tak preniesť prípadné dôkazné bremeno na užívateľa. Ďalšou základnou vecou je, aby heslá neboli pred očami a aby admini nemali možnosť pristupovať pod rovnakými identifikačnými dátami ako užívateľ. (aspoň základná ochrana prístupu k nim) Veď to je základná požiadavka pre auditovanie akéhokoľvek IT systému – jednoznačné a nezameniteľné identifikovanie všetkých užívateľov v logoch.
Inak mimochodom, kým sa browser dostane na stránku, kde sa prihlasujem do konta Ready, prebehnú 2 presmerovania (zona.t-com.sk do moj.t-com.sk/credit do zona.tcom.sk) a vyskočí na mňa upozornenie (Firefox win), že server je certifikovaný neznámou autoritou. Tomu hovorím vzbudenie dôvery.
Klasicky najväčším problémom akejkoľvek vzdialenej identifikácie je muž uprostred. Ale v tomto prípade naozaj nemá cenu toto riešiť, pretože uvedené problémy v bezpečnosti považujem za základné, potom dlho dlho nič a až potom muž uprostred.
No, například kdysi, kdy jsem ještě nepoužíval InternetBanking, to s mojí bankou vypadalo tak, že když chtěla po mě baba identifikaci, tak po mě chtěla například jen 2 a 6 znak (vč. rozslišení velké/malé a pokaždé jiné). Jiné znaky hesla neviděla ani ta baba a tak ani celé heslo neznala. A ani já ho celé nikdy neříkal. Myslím, že to jako ochrana dat i jako identifikace stačí…
[Ruziklan] Nejde predsa o jemne nuancie, ale o zasadne rozlisenie – pri phisingu podvodnik podvrhne falosny web s prihlasenim, uzivatel sa ma chovat tak, ze neakceptuje zaslane adresy, ale rucne natuka, alebo vytiahne zo svojich bookmarkov. Priklad s telefonickou podporou je ten isty – neakceptovat zaslane cislo podpory, ale vyhladat si ho u originalneho zdroja.
O tomto je inteligencia uzivatela, ktoru spominam.
Tvoj priklad „T-com mi nieco niekam posle na kontaktne miesto, ktore som uviedol pri uzatvarani kontraktu (telefon -> SMS, e-mail na moju adresu), pripadne mi polozi kontrolnu tajnu otazku tiez z toho isteho zdroja.“ je naopak menej vhodny – zlodej sa cez ukradnuty mobil autentifikuje a kontrolna otazka je viac zdiskreditovanejsia ako nejake jedinecne heslo.
Priklad Hujera je dobry, je to naozaj lepsie riesenie, ako cele hesla.
[Martin] bavime sa o telefonickej podpore a autentifikacii – akekolvek dalsie technicke prostriedky by boli kontraproduktivne a domnievam sa, ze keby si potreboval tel. podporu niekde z terenu a oni by od teba vyzadovali k autentifikacii este webovy pristup, tak by si pisal iny kriticky clanok 😉
Nemohol by si ku komentarom pridat aj ciselne identifikatory pre odkazovanie? 🙂
podla mna jednoduche riesenie – pri uzatvarani sluzby das na seba pevny kontakt – tel cislo. ak si ta chce t-com overit posle ti v sprave jednorazvu zmat znakov, tu nadiktujes. ano mozu ti telefon odcudzit a pod., ale zasa mi to pride rozumnejsie ako diktovat bars kde stale to iste heslo.
pripadne sa mi pozdava aj Hujerove riesenie, tiez si spominam ze to tak davnejsie fungovalo
[sloper] Tentokrát ide jednoznačne o konkrétnu službu telefonovania cez internet a tá je úplne zviazaná s internetovým pripojením. (Pre používateľov VoIP hardwarových telefnóv je tu tá tónová voľba). Preto som to navrhoval ako jedno z, v prípade tejto služby, reálne použiteľných riešení. Keďže ide o multikanálovú službu, seriózne riešenie by malo poskytovať viac možností. Živý operátor sa opýta, aké má užívateľ možnosti a na základe toho vyberie formu autorizácie.
Ohľadne komentárov: Cieľ je stromovitá štruktúra diskusných vlákien(rozhodnuté s ohľadom na obvyklý spôsob diskusie na tomto webe), avatary a tak podobne. V prioritách to mám veľmi vysoko.
na tento ucel by bola vhodna napr. grid karta – a po pouziti vsetkych policok (co by mal operator zaznamenvat) vymenit
a cital si uz o tom ze t-com zavadza fup a p2p ti pojde az po 23:00?
[tcom] A ty si čítal tento článok? (ďalšia OT diskusia bude zmazaná)
autentifikacia bud jednorazova ako to robia niektore banky pre kreditky via internet (to je bezpecnejsia forma), alebo inym heslom, nie takym akym pouzivas pre internetovy pristup (neviem ale ake opravnenia ma user, ktory telefonuje,…)
[slopper] >>> „zlodej sa cez ukradnuty mobil autentifikuje“ odcudzenie telefonu nahlasis, takisto ako odcudzenie ID cardu
[Martin] >>> jedinecnym PIN cez tonovu volbu neoblafnes odpocuvanie
[skrco] Neriešim žiadne odpočúvanie, žiadneho muža uprostred. V tomto prípade by mal t-com riešiť základnú vec. Ale to som písal, že?
az na to, ze _by_ sa nejednalo o ‚phishing‘ ale o ‚social engineering‘. trochu si mylis pojmy.
celkom pekna kritika, co vselico sa da povystrajat, pravda
Ja mám čerstvú skúsenosť z tohto týždňa.
Od pondelka reklamujem dsl modem. Technik včera neprišiel a budúci týždeň som celý preč.
T-COM by som hneď zrušil. Nikomu nedávam za vinu, že nastal problém, ale to že tomu molochovi to je jedno je absolútna neúcta k zákazníkovi.
Ani po týždni nevyriešia Váš problém.
A vždycky tá priblblá poznámka na linke 0800 123 777 pripravte si heslo…atď… ma už vytáča do nepríčetnosti.
Ľudia vyvarujte sa firme T-COM, sú to spratci.
neviem, cely tento clanok mi pride ako fraska;)
1. autor nech sa nauci poriadne pisat
2. overovanie udajov? bohuzial, ked ide niekto do mesta, ked chce pit nech ukaze obciansky, tak sa nikto nepozsatavuje nad ochranou osobnych udajou, atd bla bla bla
a ten ktory reklamuje dsl modem, naco vola technika? ked TVOJ dsl modem je v TVOJEJ SPRAVE, TEBOU zakupeny
Fox, a čo si to čítal? Hneď prvá veta hovorí čo som riešil, teda žiaden dsl modem. Takže priateľu, najprv sa nauč čítať!
posledna veta nebola mierena na teba, ale na jeden odkaz od strcprstskrzzkrk
s t-comom sa toho vela nezmenilo ani po par rokoch. Ked som volal na hotline ze mi nechce ist pripojenie tak mi technik hned s usmevom povedal ze mam v hesle y namiesto z. So zabezpecenim hesiel moc nepokrocili.