Pratite nas preko RSS-aFunkcija automatskog popunjavanja sigurnosnog koda izlaže korisnike macOS i iOS riziku od bankarskih prevara
Vesti, 01.11.2018, 10:00 AM
Stručnjak za bezbednost Andreas Gutman u julu je upozorio da bi funkcija Security Code AutoFill (automatsko popunjavanje sigurnosnog koda) koja je dodata u iOS 12 mogla omogućiti sajber kriminalcima da pokreću takozvane “čovek u sredini” napade, kako bi prevarili korisnike i ukrali novac sa njihovih računa.
Iako je Apple popravio ovu funkciju koja automatski prikazuje jednokratne lozinke koje se dobijaju putem SMS-a kao predlog za automatsko popunjavanje, mehanizam koji omogućava napadačima da iskoriste funkciju na zlonameran način još uvek postoji.
Pored toga što je ispravio ovaj propust, Apple je i redizajnirao automatsko popunjavanje sigurnosnog koda kako bi se skenirao iznos novca u transkaciji koju treba potvrditi, a kada ga pronađe, prikazuje se jednokratni kod za automatsko popunjavanje koji će korisnicima omogućiti da se uvere da vrednost transakcije nije izmenjena od strane drugog lica.
"Security Code AutoFill ne prikazuje sve informacije potrebne korisnicima da donesu odluku o tome da li da pošalju sigurnosni kod. Ipak, na korisniku je da donese pravu odluku. Na primer, važno je znati koji je servis poslao sigurnosni kod i iz kog razloga. "
To znači da napadači mogu da izmene druge vrednosti uključene u dolazni SMS kao što je destinacija bankarske transakcije koju korisnik mora proveriti, što povećava rizik od prevare.
Gutman opisuje četiri vektora napada koji se mogu koristiti za kompromitovanje transakcija potvrđenih korišćenjem jednokratnih kodova poslatih putem SMS-a - “čovek u pretraživaču”, kompromitovani JavaScript izvorni kod, fišing i “čovek u sredini”.
"Svaki napad je opisan kao napad na drugu vrstu online servisa: online bankarstvo, plaćanje kreditnim karticama, online nalog i aplikacija registrovana na broj telefona", kaže Gutman.
Svi ovi napadi korste podrazumevano ponašanje funkcije automatskog popunjavanja sigurnosnog koda, a ne neke druge bagove.
Iako Appleova ispravka ranije prijavljenog problema u ovoj funkciji zaista pomaže, korisnici iOS 12 i MacOS Mojave su i dalje podložni različitim vrstama napada koji ih izlažu riziku od bankarskih prevara.
Nažalost, korisnici nisu u mogućnosti da reše ovaj problem na bilo koji način osim što će odustati od funkcije automatskog popunjavanja sigurnosnog koda i vratiti se na ručno unošenje jednokratnih lozinki koje primaju putem SMS-a.
Izdvojeno
Najnovija WhatsApp prevara: video poziv, panika i krađa novca
ESET je objavio upozorenje o WhatsApp prevari u kojoj prevaranti koriste funkciju deljenja ekrana da bi ukrali novac i osetljive podatke korisnika. Ov... Dalje
Nova opcija na Google Mapama: zaštita od lažnih ocena i pokušaja ucene
Google je objavio da uvodi novu opciju za prijavljivanje pokušaja ucene putem lažnih negativnih recenzija na Google Mapama. Reč je o situacijama u ... Dalje
Najčešće korišćene lozinke u 2025.
Novo istraživanje kompanije Comparitech otkriva da ljudi i dalje masovno koriste slabe lozinke poput „123456“, „admin“ i &bdq... Dalje
Hakeri upali u Booking.com i Airbnb naloge, gosti hotela plaćali iste rezervacije dva puta
Istraživači iz kompanije Sekoia.io otkrili su masovnu fišing kampanju koja koristi kompromitovane hotelske naloge za napade na ljude koji su rezerv... Dalje
Hakeri mogu prepravljati poruke i lažirati identitet u Microsoft Teamsu
Istraživači kompanije Check Point otkrili su ozbiljne bezbednosne propuste u Microsoft Teamsu, koji su omogućavali napadačima da se predstave kao ... Dalje
Pratite nas
Nagrade
Prijatelji
