Prema pisanju medija, Narodna banka Srbije nasela je na phising, više o tome čitajte OVDE, kada je ukradeno 175.000 evra. Istog dana kada je objavljenja vest, Poreska uprava Srbije objavila je novu aplikaciju ePorezi, koja je navodno nezaštićena.
Na svom Fejsbuk profilu o tome je juče pisao Goran Rakić, autor bloga Goran Rakić & Škrabalica, a njegov status vam prenosimo u celosti:
“Narodna banka Srbije je nasela na phishing, kaže novinska vest, a istovremeno Poreska uprava je danas objavila novu aplikaciju gde se elektronsko potpisivanje preuzetog XML dokumenta odvija preko nezaštićene HTTP veze.
Iniciranje potpisivanja obavlja se preko specijalnog linka, što dozvoljava phishing napad. Ovakvo pokretanje aplikacije jeste uobičajno rešenje (npr. koristi ga švedski BankID sistem) ali je potrebna posebna pažnja pri definisanju šeme razmene podataka.
U ovoj improvizovanoj šemi za autentikaciju koja je implementirana na portalu napadač može da unapred pripremi link koji će podmetnuti korisniku kroz phishing napad. Nakon što se korisnik upeca i potpiše link u aplikaciji, napadač dobija pristup portalu u ime korisnika (napad poznat pod nazivom Session fixation).
Kroz drugi propust u aplikaciji napadač u linku može potpuno da kontroliše lokaciju sa koje će biti učitan XML dokument za potpisivanje. Link na koji će biti prosleđen potpisan dokument napadač ne može da postavi bez presretanja nezaštićene HTTP komunikacije (lokacija mora biti na domenu Poreske uprave) ali mu jeste na raspolaganju jedna IP adresa iz privatnog opsega (korisniku se u tom slučaju zahtev za potpisivanje prikazuje sa napomenom „testno okruženje“). Tako napadač koji bi delimično presreo nezaštićenu HTTP komunikaciju osim što može da se neovlašćeno prijavi u ime korisnika bez njegovog znanja, mogao bi na primer i da podmetne različite elektronske fakture koje bi korisnik neporecivim potpisom potpisao tokom regularnog rada na portalu, te da kasnije po tom osnovu potražuje sredstva.”