Új hozzászólás Aktív témák
-
-
proci985
MODERÁTOR
azt nem értem miért nem hasznának akkor dedikált kódgenerátort a célra, ha az sms is problémás. pin kód után azzal lehet kódot generálni. megfertőzni meg nem lehet, mint mondjuk a telefonokat. kb mint a blizzard offline authenticatorja.
(itt svédeknél az összes általam látott banknak ilyen eszközzel védi az online számlákat.)
-
Mármint melyik üggyel kapcsolatban? Az általam említett konkrét ügyekre vonatkozóan természetesen nem fogsz linket kapni. Ügyfelek panaszelbírálásait nem szokás "linkelni", bármilyen meglepő is ez.
De természetesen nyugodtan írhatsz Te is a PSZÁF-nak és számodra is prezentálják az ezzel kapcsolatos állásfoglalásukat.
-
Nem fogok tovább veled ezen rugózni. Én gyakorlatból tudom ennek a törvényi értlemezését. Nyugodtan élhetsz ebben a hitben, de ha nem tiltottad és PIN-nel jóváhagyták, akkor nem állja a bank. Nap, mint nap foglalkozom ilyen esetekkel. És mellesleg a PSZÁF álláspontja sem tér el az általam mondottaktól. Ez van...
-
"Nem, ha az ügyfél nem tiltatta a kártyát akkor nem."
De igen. A 45k-s rész a tiltás előtti költésekre vonatkozik, a tiltás után már mindent a bank visel.
Fekete-fehéren ott van leírva.És még mielőtt tovább rugóznál ezen a PIN-en: a fizetést csak a kártyatulajdonos hagyhatja jóvá, a tolvaj nem, vagyis ha a tolvaj ismeri is a PIN-t, az a törvény definíciója szerint nem minősül jóváhagyásnak, lsd 37. § (1).
-
Egyébként érdekelne, hogy szerinted mi az a kártya, ami nem debit, nem kredit, viszont kér PIN kódot
Vagy Te még nem hallottál olyan kártyás tranzakciókról, melyeknél nem szükséges a PIN kóddal történő jóváhagyás.
Segítség a szövegértelmezéshez, ebben az esetben nem a kártya nem követeli meg a PIN kódot, hanem maga a tranzakció. Hint: pl online kártyás vásálások egyes esetei. -
#66
Pug
veterán
J.J. András
#65
válasz
J.J. András
#65
üzenetére
45ezer Ft felett meg már a bank költsége....
Nem, ha az ügyfél nem tiltatta a kártyát akkor nem. Mivel a PIN kóddal megadott tranzakció jóváhagyott tranzakció.
-
#65
J.J. András
őstag
dabadab
#63
J.J. András
őstag
gondolom azt, hogy 45ezer Ft-ig Te szopsz, ha ellopják, vagy ha elveszted a PIN-es kártyád, vagy akármilyen fizetésre alkalmas banktól kapott eszközöd (PayPal óra, csekk-kártya, hitelkártya, bankártya stb.) ... amúgy´így örülhetek, hogy nekem anno a 12ezer Ft-ot visszaadták
45ezer Ft felett meg már a bank költsége....
-
"Átfutva hirtelen nem találtam meg, kinek a felelőssége, ha valahogy ellopják a PIN-t is."
45. § (3), csak akkor nem a bank felelőssége, ha a user súlyosan gondatlan volt.
(#62) Pug: most tulajdonképpen mit is akarsz bizonyítani? A "jóvá nem hagyott" művelet az, amikor valaki ellopja a kártyádat és azzal vásárol, és ekkor, a bejelentés előtt lenyúlt pénzből csak 45k a kártyabirtokos kára, a többit a bank állja, ez van ott abban a részben, amit idéztél.
Egyébként érdekelne, hogy szerinted mi az a kártya, ami nem debit, nem kredit, viszont kér PIN kódot.
-
45. § (1) A 44. §-ban meghatározottaktól eltérően az olyan jóvá nem hagyott fizetési műveletek vonatkozásában, amelyek a fizető fél birtokából kikerült vagy ellopott készpénz-helyettesítő fizetési eszközzel történtek, vagy a készpénz-helyettesítő fizetési eszköz jogosulatlan használatából erednek, a fizető fél viseli negyvenötezer forintnak megfelelő összeg mértékéig a kárt a 40. § (2) bekezdése szerinti bejelentés megtételét megelőzően.
Azt hiszem itt eléggé egyértelműen szerepel. A jóváhagyás történik a PIN-nel.
harmadrészt meg olyan debitkártyát én még nem láttam, ami ne kérne PIN-t.
Dombornyomott kártya offline használata mond valamit?
(#61) Ghoosty:
Igen, arra vonatkozik, pontosan.
(#62) Pug: most tulajdonképpen mit is akarsz bizonyítani? A "jóvá nem hagyott" művelet az, amikor valaki ellopja a kártyádat és azzal vásárol, és ekkor, a bejelentés előtt lenyúlt pénzből csak 45k a kártyabirtokos kára, a többit a bank állja, ez van ott abban a részben, amit idéztél.
Csak hogy tudd. Nem, ha PIN által jóváhagyott a tranzakció és nem került tiltásra a kártya, akkor a 45k-s értékhatárodat kukázhatod. Elsőkézből származó tapasztalat.
-
Ghoosty
őstag
Vannak PIN nélküli bankkártyák is (legalábbis 1-2 éve még volt), amit az aláírásod hitelesít. Kis értéknél nem kérnek személyit, a 45-es összeghatár pont a kis értékű visszaélésekre vonatkozik. Ráadásul a most divatos paypass pont semmit nem kér. Itt is használható a 45k-s limit.
Átfutva hirtelen nem találtam meg, kinek a felelőssége, ha valahogy ellopják a PIN-t is.
-
Te biztosan azt olvastad, amit linkeltem? Egyrészt a hivatkozott helyen nem írnak semmit hitelesített tranzakciókról, másrészt meg azt nem tudom, hogy honnan vetted, hogy csak a PIN lenne hitelesítés (a definícióknál sem ez áll), harmadrészt meg olyan debitkártyát én még nem láttam, ami ne kérne PIN-t.
szerk: ha valaki más fizet a kártyámmal, az hogy a viharba lehetne jóváhagyott művelet?...
-
#59
J.J. András
őstag
dabadab
#56
J.J. András
őstag
húha.... ezt tudod mióta kerestem... (megnyertem a reklamaciómat a Raiffeisen ellen végül is, de csak nagyon hosszan) , volt egyszer egy félreütött átutalásom, amit persze azonnal jeleztem a bankomnak, és kértem vonják vissza stb. ..., de ök állandóan csak az ÀFSZ-re hivatkoztak,... éreztem, hogy van azért olyan törvény, ami a szolgáltatást igénybevevöt is védi...
thx
-
És ugye az is leesett, hogy ez miért nem vonatkozik a debit és credit kártyákra? Hitelesített tranzakció = PIN kód használata.
olyan jóvá nem hagyott fizetési műveletek Hogy könnyebb legyen megtalálni...
A jóváhagyás hitelesítése a PIN kód megadása, természetesen PIN kód megadását megkövetelő kártyás tranzakcióknál. Személyes nagyobb összegű kártyás tranzakcióknál meg azonosító igazolvány általi azonosítás.
-
Hintalow
senior tag
Azért nem kellett túlbonyolítani, mert a csalók ugye megszerezték a fertőzött gépről a belépéshez szükséges adatokat, és akkor már bármikor be tudtak lépni ,a számlatulajdonostól függetlenül. Tehát simán előkészítettek egy utalást, és csak várniuk kellett, hogy x nap múlva a számla tulaja ismét be akarjon lépni, akkor már a könyvjelzője a csalók oldalára vitte, a csalók az igazi netbankon elindították az utalás véglegesítését, a bank által kiküldött sms kódot meg a bepalizott ügyfél kedvesen meg is adta nekik pár másodperc alatt
-
Ghoosty
őstag
Nem kell személyre szabni és nincs szükséged a user semmilyen adatára előre. Amint belép, az álhonlapra azzal párhuzamosan a csaló gépe automatán belép az igazi honlapra és minden adatát látni fogja csak meg kell jeleníteni az álhonlapon is azt amit lát.
Még okosabb program esetében, elég csak az utalás menüpontnál felülbírálni a megjelenítendő képet és akkor még kisebb a lebukás esélye és elég csak azt élethűen lemásolni.
De ha igaz amit írsz, van annyi hülye, hogy tényleg felesleges cécó. -
Ha Te igénybe veszel egy szolgáltatást egy olyan környezetben, melynek kiszolgálói biztonságát a szolgáltató szavatolja, viszont a felhasználási környezet biztonságosságáról neked kell gondoskodnod és ezt te nem teszed meg és kár ér, milyen más esetben terheli a szolgáltatót felelősség? Csak hozz egy példát, kérlek.
Ez konkrétan nem igaz, a bejelentés előtt közös felelősségviselés van, az USA-ban pl. 50 USD-ig az ügyfél felel, onnan a bank, Mo-n 45k-ig
Magyarországon, ilyen jellegű szabályozás nincs. Említsd már meg azt a bankot, melynél ez az eljárás mód.
-
A bankoknak meg az ügyfeleknek közös érdeke, hogy ne lopják el a pénzt, az egymásra való mutogatás sokat nem segít a problémák megoldásában.
szerk: "Ugye ha ellpoják a kártyádat, a bejelentés és tiltás pillanatáig szintém nem a bankot terheli a felelősség,"
Ez konkrétan nem igaz, a bejelentés előtt közös felelősségviselés van, az USA-ban pl. 50 USD-ig az ügyfél felel, onnan a bank, Mo-n 45k-ig.
-
Hintalow
senior tag
Nem hiszem, hogy túl sok tippet adnál nekik, valószínűleg nem is magyarok voltak
És tényleg túlkomplikálod, nem fognak belső netbankokat lemásolni, mert felesleges hűhó.
Minek csinálnának komplett működő belső felületet személyre szabva azoknak akiknek megszerzik az adatait, ha a felük be sem lép hónapokig, a maradéknál meg aki esetleg belép, csak növeli a lebukás kockázatát, ha a hamis oldalon utalás helyett elkezd kattintgatni, és észreveszi, hogy valami nem kóser.
Az ál weboldal ismi elmondása szerint csak egy darab statikus oldal volt a szöveggel, hogy biztonsága érdekében blabla, egy üres mezővel a "megerősítő kódnak", meg egy gombbal, amivel ugye elméletileg indította az egészet az üf, de gyakorlatilag gondolom az jelzett a csalóknak, hogy a valódi netbankban az előre bekészített utalásra kérjék az sms aláírót. -
Az, hogy a user-oldai PC-k egy része fertőzött, az adottság, a bankoknak ilyen környezetben kell működniük, nem mondhatják, hogy erre aztán tényleg nem számítottak.
Aham, tehát ha konkrétan még nem is a bank által biztosított rendszert sikerül korrumpálni, akkor is a bank feleljen anyagilag a felhasználó nem kellően védett rendszerén átvitt visszaélések miatt. Szerintem tessék felébredni, mert ezt egyik bank sem fogja benyelni.
Ugye ha ellpoják a kártyádat, a bejelentés és tiltás pillanatáig szintém nem a bankot terheli a felelősség, érdekes lenne, ha a netbanking esetében erre más irányelveket vezetnének be. /Természetese, hogy ha a bank rendszerét ütötték nyakon, akkor minden felelősség a bankot kell, hogy terhelje./
-
Ghoosty
őstag
Akkor most adtam egy új tippet a csalóknak.
Nem kell megszerezni az ügyfél adatait, csak ki kell másolni az igazi rendszeből és ugyanabba a mezőbe elküldeni az álnetbanknak. Lehet, hogy tényleg van egyszerűbb megoldás is, de jobb az óvatosság.
Én mindig alábecsülöm az emberi hülyeséget.
-
"Erre mondtam, hogy nem biztos a HTML felületet kéne eröltetni a netbankinghoz."
Ha meg van fertőzve a gép, akkor tök mindegy.
"De a kliensoldali fertőzöttség már valóban nem hiszem, hogy a bank felelőssége kéne, hogy legyen..."
Az, hogy a user-oldai PC-k egy része fertőzött, az adottság, a bankoknak ilyen környezetben kell működniük, nem mondhatják, hogy erre aztán tényleg nem számítottak.
-
Hintalow
senior tag
Nem rossz elgondolás, de ennyire nem bonyolítják túl
Ehhez az kéne, hogy minden potenciális áldozatnak, akinek megszerezték az adatait, többé-kevésbé működően lemásolják a netbankját a saját adataival. Ennyit nem szenvednek vele.
bankos ismerőssel beszéltünk róla, valahogy így csinálták:
(az adott bank a bejelentkezésnél nem használ sms kódot, az utalni viszont csak azzal lehet.)
Átirányították az embert egy ál bejelentkező oldalra, ahol olyasmi volt a szöveg, hogy biztonsági ellenőrzésként, az indentitás megerősítésére kiküldenek egy sms-t és az abban lévő számot be kell írni az ott lévő üres mezőbe.
Persze ahogy a delikvens erre az oldalra érkezett, közben a háttérben a saját netbankjában egy valószínűleg már korábban általuk beállított utalásra lekértek sms kódot, majd ahogy beírta a kapott sms-ből a kódot a számlatulaj, már indították is az utalást.
Valójában több ponton simán gyanús volt a dolog:
- eddig belépésnél felhasználónév-jelszó volt a banknál, aztán hirtelen sms-t küldözgetnek
- ráadásul a kiküldött "azonosító" sms gyakorlatilag egy utaláshoz használt kódos szöveg
(ez még annak ellenére is gyanús, hogy az adott bank az aláíró sms-ében nincsenek benne a konkrét utalás adatai)
- ráadásul valószínűleg nem is a böngészőből térítették el az embert, hanem az elmentett kedvencekről irányították át (tehát hiába szerezték meg a jelszvadat és tudtak belépni a netbankba, ha az adott ember nem könyvjelzőből nyitotta meg a bank oldalát, nem működött a dolog)És még így is voltak, akik gondolkodás nélkül csak írták be a kódot, amit kaptak sms-ben.
Persze, bankonként változhatott ismerős szerint a módszer, mindig az adott bankhoz igazították kicsit a dolgot, de nem vesződtek azzal, hogy lemásolják a belső netbankot meg hasonlók, jó időzítéssel úgyis van bankonként 10-15 ember, aki nem gondolkodik, és támadható a gépe.
(és mivel simán százezres-milliós nagyságrendben csináltak ft/devizautalásokat vegyesen, még az a pár ember/cég, akinél sikerrel jártak, is bőven jó biznisz volt -
Ghoosty
őstag
Hirtelen 2 lehetőség ugrik be.
1. pl nem az otpbank.hu-ra megy a user, hanem az otpbank.hv-re, az pont ugyanúgy néz ki mint az eredeti
2. kliens gép fertőzött, és mikor belép az otpbank.hu-ra, nem is lép be, csak azt mutatja, mintha belépne. Egy fertőződést nem neveznék törésnek, de ha sarkítunk, akkor igen, elég megtörni a felhasználó gépét és működik is.Azért rosszabb a token, mert nem tudod leellenőrizni, hogy mit hagysz jóvá, csak kapod a jóváhagyó kódot, amit a háttérben bármire felhasználhatnak.
-
válasz
Rickazoid
#29
üzenetére
Nekem erősen úgy tűnik, hogy az az ötleted, hogy váltsuk ki az SMS-ben küldött kódot egy dedikált butafonra küldött SMS-ben küldött kódra. Én a magam részéről látok ebben jópár gyakorlati problémát.
(#41) Pug: azért rosszabb, mert az SMS-ben ott lehet pár adat a konkrét utalás részleteiről (mennyit, kinek), a tokennél viszont abszolút semmi ilyesmi nincs, ha a gép meg van fertőzve, onnan kezdve vége a történetnek, esélyed sincs, hogy észrevedd az átverést.
-
Itt nem törnek meg semmilyen rendszert, csak eléd raknak egy pont olyan felületet, mint a bank online rendszere. Te adsz meg minden egyes hitelesítésre szolgáló információt a csalóknak.
Ne hülyéskedj már, vagy a kiszolgáló kliensplatform van törve, vagy a bank által biztosított HTTPS vonal plusz még, vagy konkrétan a kliensgép (PC) fertőzött.
Ilyen szempontból a token még rosszabb, mint az ellenörző SMS.
Miért is "rosszabb"?
-
Rickazoid
addikt
Mivel még mindig user errorról vagy a bank lesz*rom felfogásáról (amikor nem is biztosít lehetőséget ellenőrzőkód kérésére), illetve nem a linkelt koncepciókról, hanem azok továbbfejlesztett, gyakorlatban alkalmazható megoldásairól beszéltem, így de, biztonságosabb. Elmondom miért: mivel ha a hiba az ügyfél nemtörődömsége, akkor potenciálisan megnöveli az esélyét annak, hogy észrevegye, hogy valami nem stimmel az átutalásával, ha nem egy kódot kell beírnia és csak azt nézi egy üzenetben meg, hanem egyből azt látja, hogy kinek utal és mennyit. Lehet ezt sem olvassa el, de így is úgy is az az ő sara. Viszont ha már a potenciális "áldozatok" mennyiségét akár csak 1%-kal is csökkenti, megéri használni. A biztonságot tekintve nem biztonságra hanem a lehető legkevesebb biztonsági kockázatra kell törekedni, mivel biztonság nem létezik. Az pedig az általam felvázolt megoldással megoldott probléma lenne, hogy a bank ne küldjön, illetve ebben a koncepcióban ne kérjen jóváhagyást az átutalás előtt egy másik csatornán, mivel rá lenne kényszerítve a kártyakibocsátók által, nem úgy, mint most, az SMS-ek korában. Ha a bankok többsége nem küld SMS-ben kódot, akkor nyilván az a többség az elsődleges támadási felület, hisz ott az ügyfél nem is tudhat arról, hogy mi is történik valójában, ha a bűnözők tényleg olyan jól imitálják az e-bank rendszereket, mint ahogy állítják.
Harmadikként pedig ismét leírom, hogy ezzel hiába lenne megfertőzve a telefon, ami az SMS-t fogadja (ergo az SMS is manipulálható), mert az üzenetet, pontosabban a jóváhagyást egy zárt rendszerben lévő, a bank magánhálózatára titkosított csatornán kapcsolódó eszköz kérné. Ezzel az érvényesül, hogy egy kevés funkcióval, de erős biztonsági megoldásokkal rendelkező zárt rendszert nagyságrendekkel nehezebb feltörni, mint egy sok funkcióval rendelkező, minimális biztonsági megoldást alkalmazó nyílt rendszert, mint amilyen egy okostelefon.
Remélem már érthető voltam, nem szeretem ismételni önmagam újra és újra... -
Ghoosty
őstag
Tudtommal ez real time megy, tehát mindegy, hogy meddig érvényes a kód. Amint megadod, az oldal továbbítja és be is üti és volt pénz, nincs pénz.
Az, hogy java segít, vagy nem, azt nem tudom, a technikai részleteket nem ismerem, nem tudom, mennyivel nehezebb egy java felületet imitálni, mint egy html-t.(#37) Itt nem törnek meg semmilyen rendszert, csak eléd raknak egy pont olyan felületet, mint a bank online rendszere. Te adsz meg minden egyes hitelesítésre szolgáló információt a csalóknak.
-
És itt jön elő, hogy nem annyira hátrány, ha bizonyos bankok nem feltétlenül HTML alapokon üzemeltetik a netbanki felületüket. Néha jól jön a java.
És mindemelett token esetében mind belépéshez és hitelesítéshez is csak 30 másodpercig él az adott kód (esetemben vázolt bankintézetnél), tehát ez már megint jóval rövidebb idő intervallum, mint az sms-es kódok esetében.
-
Kbali
nagyúr
válasz
Rickazoid
#29
üzenetére
Ez a Mastercard és Visa megoldás semmivel sem biztonságosabb, mint az SMS-es kétfaktoros azonosítás.
Ez csak egy token a kártyán, erre a bank nem ír vissza semmilyen azonosító adatot, ez csak egy kódgenerátor, amely általában kétféle módon tud működni:
1. sima one time password-öt generál
2. ún. challenge-response kódokkal operálAz MKB is olyan SMS-t küld az aláíró kóddal, amelyben szerepelnek az aláírandó tranzakció adatai (összeg, célszámlaszám, stb..., ami belefér a 160 karakterbe) - Jakab Péter itt vezeti a Bankbiztonsági területet.
A lényeg, hogy a hírben szereplő visszaélési típusnál a visszaélés ELŐTT kell a user közreműködésével egy trójait telepítenie a gépére/telefonjára, anélkül nem működik az egész.
-
#31
lapuli
tag
attila9988
#7
lapuli
tag
válasz
attila9988
#7
üzenetére
Az a baj hogy nálunk az emberek azt sem olvassák el ha vesznek fel pénzt és nem sikerül, kapnak sms hogy NEM sikerült a tranzakció ebből csak az elejét nem olvassák és jönnek feldultan hogy a gép nem adott pénzt na most akkor mert olvasna el 16 számot :-)
-
Ghoosty
őstag
válasz
Rickazoid
#29
üzenetére
Így már értem, egy kártyába épített terminál.
Itt viszont már fogalmam sincs, hogy ha rádugom a gépemre ezt a kártyát, akkor mennyire lehet befolyásolni, hogy mit jelezzen ki, mert onnantól ugyanazon a csatornán kommunikál, mint a netbank, ha fertőzött a gép, akkor a fertőzöttre dugod rá. Másik csatornán meg drága a kommunikáció.
Másik kérdés mi végzi a titkosítás, a számítógép, vagy a kártya? Lehet olcsón kellően nagy számítási kapacitású kártyát gyártani ehhez? -
Rickazoid
addikt
Igazából valami ilyesmire (még egy) gondoltam kicsit fejlettebb kivitelben, persze jó erős ponttól pontig titkosítással, ami kiválthatná az SMS-ben küldött jóváhagyó kódot és csak annyit jelezne ki, hogy hagyd jóvá Y számára X összeg utalását. Persze ezt is lehetne csak úgy vakon jóváhagyni és bár az emberi hülyeség ellen védekezni nem lehet, de azért csökkentené valamennyire ennek gyakoriságát, hisz az emberke nem a megerősítő-kódra koncentrálna, hanem egyből azt tolná az üzenet a képébe, hogy mit utal kinek épp ténylegesen, illetve nem mondhatnák azt a bankok, hogy ők márpedig nem küldenek kódot SMS-ben egy tranzakció jóváhagyásához, ha a MasterCard, a Visa és a többiek azt mondják, hogy márpedig ilyen kártyát kell kiadni és pont. Emellett lenne másik előnye, hogy okostelefonokkal indított utalásokat is a kártyán kéne jóváhagyni, ami meggátolja a csalókat, hogy a fertőzött okostelefonon módosítsák az SMS-ben beérkező jóváhagyási információkat, hisz ha a telefonodra vírus kerül, nem csak szoftverek, hanem SMS-ek is módosíthatók, tehát ott még az SMS-t elolvasó embereket is meg lehet rövid időre téveszteni.
-
"Honnan tudja az álhonlap készítője a mobilszámod, amire a megerősítő kódot kell küldenie?"
Sehonnan, de azt nem is ok kuldik, hanem az igazi bank. Ugyanis az adatokat a hamis oldal szepen tovabbadja az igazi banknak (csak eppen atirjak a kedvezmenyezettet meg esetleg az osszeget is), az igazi bank elkuldi az SMS-t, a user begepeli az SMS kodot, amivel a hamis oldal vegre el is tudja utalni a penzt a csalokhoz.
Egyebkent van az effele tamodasokbol ketfaktoros is, amikor egy windowsos malware meg egy androidos egyuttmukodik es akkor a userhez mar nincs is szukseg, anelkul is megszerzik az SMS-t, mert a mobilos resz elolvassa es torli is [link]
-
Ghoosty
őstag
válasz
Rickazoid
#23
üzenetére
Akkor én nem értem a koncepciódat, vagy te nem érted ezt a csalást.
"védett "dedikált" csatornán, tehát látható lenne a valós átutalási információ, amit jóvá kell hagyni?"
Mi jeleníti meg ezt az információt? Ha egy külön gép is kell hozzá, mint a POS terminál a boltban, akkor értem, viszont akkor nem csak bankkártya kell, ami drága lenne. Ha a user azt is csak felületesen olvassa el, mint az SMS-t, akkor ott vagyunk, ahol a part szakad.
Az SMS is másik úton közlekedik, mint az átutalási információ, így legalább 2 csatornát kontrollálnia kell a csalónak. Egyedül a titkosítás hiányzik, így a rendszered, csak minimálisan ad hozzá valamit a biztonsághoz.(#24) leslieke
Miért kellene tudnia? A bank küldi az SMS-t. Te meg megmondod a kódot az álhonlapnak, ahogy megmondanád a rendes banki honplapnak.
-
leslieke
Jómunkásember
-
Rickazoid
addikt
Miért lenne hamis biztonságérzet, ha az utalási adatok a banktól származnak egy különálló és védett "dedikált" csatornán, tehát látható lenne a valós átutalási információ, amit jóvá kell hagyni? Azt egy op.rendszerre telepített vírus sem tudná módosítani, ahhoz a bank rendszerét kéne megfertőzni, de akkor már nem hárítható az ügyfelekre semmilyen felelősség.
-
Ghoosty
őstag
válasz
Rickazoid
#21
üzenetére
Fentebb írták, hogy az Erste így küldi, OTP így küldi, de gondolom nem csak ez a kettő van.
Első értelmezésre, ez a kártya nem oldja meg a problémát, sőt hamis biztonságérzetet kelt. Az történne, hogy te kezdeményezed az utalást, a kártékony program megváltoztatja a számlaszámot és a kártya meg jóvá is hagyja, mindezt a te gépeden keresztül.
Ez a csalás nem az azonosításon áll vagy bukik, hanem, hogy utalás előtt le tudod-e ellenőrizni, hogy az lesz az utalás, amit te kezdeményeztél, nem változtatta-e meg valami közben. Hiába 100%-ig biztonságos az azonosításod, ha gyakorlatilag te magad utalsz a csalónak.
-
Rickazoid
addikt
Hát, fogalmam sincs melyik bank küld SMS ellenőrzőkódot utalás előtt a részletekkel együtt, hogy honnan, mennyit és hová kell jóváhagyni.
Én minden másról kapok, honnan (mármint melyik számláról), mennyit, hová, közleménnyel, csak épp utalás/átvezetés után, illetve könyvelésnél.
Telefont én se használok ilyenre, amúgy nem is célszerű, mert egy telefon megfertőzésénél még a kapott SMS-t is lehet módosítani, hogy ne buktassa le azonnal a lopást. És ha belegondolok, hogy nyakunkon az NFC...
Én mondjuk egy olyan megoldást tudnék elképzelni, gondolva itt az okos bankkártyák ötletére, hogy egy csak erre használható bankkártyába épít a bank egy jóváhagyó rendszert, ami a saját hálózatára kapcsolódik csak brute force-szal feltörhető titkosításon keresztül és a kártyán kell jóváhagyni egy banki átutalást is. -
Ghoosty
őstag
Valószínűleg Te tényleg nem szívod be, ahogy én is mindig leellenőrzöm, az SMS tartalmát. Nem is ezt volt a lényege a mondandómnak, hanem, hogy nem old meg semmit, ha nincs egyenlege a számládnak és önmagában az sms-es beléptetés se 100% garancia. Ennél a csalásnál egyedül az odafigyelés segít.
Nem tudom a K&H elküldi-e SMS-ben a részleteket, de ha igen azt mindig ellenőrizd le. Az egyelőre 100%-os biztonság.
-
Hát nem tudom hogy mennyire tudnák utánozni a K&H online rendszerét,én azért minden utalás elött átnézem az elöző utalásokat is,és vannak gyakran használt számlaszámok nevekkel ahol minden automatikusan kitöltődik,ha jól tudja utánozni az online rendszert akkor lehet hogy benézem,de ehhez minden menüpontnak stimmelnie kell
-
Ghoosty
őstag
Szerintem, még mindig nem érted, megpróbálom még egyszer.
Bekerült a kártékony program a gépedre, vagy adathalász oldalra tévedtél.
Be akarsz lépni a bankrendszerbe, ekkor látni fogsz egy megszólalásig hasonló honlapot, mint a bankod online rendszere.
Beütöd az adataidat, kéri az sms megerősítést.
Beírod az sms kódot. Ekkor az álhonlap belép az igazi bank oldalán a megadott adatokkal. Itt még felfedezhetetlen, hogy valami gáz van.Elindítod az utalást. Ekkor az álhonlap már be van lépve a bank rendes honlapján és kitölt mindent úgy, ahogy te csinálnád, kivéve a cél számlaszámot.
Ezután jön a 2. sms. Te beütöd a megfelelő mezőbe. Ekkor az álhonlap beüti a rendes honlap megfelelő mezőjébe és végrehajtja az utalást a saját bankszámlájára. Neked meg visszaigazolja, hogy kifizetted a csekket.
(itt van esélyed észrevenni, ha a bankod sms-ben a tranzakció részleteit is elküldi, mert láthatod, hogy nem a szolgáltató számlaszáma szerepel benne)(#15) lordfreyr
Ha a bankod nem küldi el a részleteket SMS-ben, akkor cseréd le, mert van olyan bank. Én a telefonomban még nem bízom annyira, hogy azon kereszül utaljak, a többi meg egyéni felelőtlenség.
-
Rickazoid
addikt
"Jakab Péter szerint (a folyamatosan frissített operációs rendszer, víruskereső és kémprogramszűrő mellett) az sms jelenti az ilyen típusú csalásokkal szembeni legjobb megoldást és az egyik legfontosabb védekezést is."
Mondja ezt annak tudatában, hogy a legtöbb bank nem biztosít lehetőséget a belépés és az utalás jóváhagyásához szükséges SMS igénylésére (sőt nem is tudom van-e egyáltalán olyan bank, aki konkrétan elküldi a kezdeményezett utalás pontos adatait SMS-ben és ahhoz küld jóváhagyási jelszót), illetve mondja ezt annak tudatában, hogy egyrészt a Windows felhasználók hatalmas többsége elkerülendő akadálynak tekinti a rendszerfrissítést, az antivírust és a tűzfalat ("Me' mé' me' lassíttya a gépet!") az Android legfőbb jellegzetessége pedig, hogy csak nagyon ritkán frissítik a telefonokon és akkor sem kerülnek bele a legfrissebb javítások, cserébe kapnak a felhasználók új, az eredeti Androidban nem létező réseket a telefongyártójuktól, az antivírusok hatékonyságát pedig senki sem igazolta még? -
Ghoosty
őstag
Itt az történik, hogy amikor fizeted a csekket a számládról, akkor te azt látod, hogy a csekket fizeted. De a háttérben egy program kicseréli a szolgáltató számlaszámát a sajátjára (akár az összeget is) és te meg jóváhagyod és egyedül az SMS adhat támpontot, hogy nem a csekket fizeted be, hanem átutalsz a csalónak. Ez a csalás független attól, hogy mennyi pénz van a számládon. Lehetnek milliárdok is, ha nem utalsz, nem tudnak lopni. Túl nagy összegre meg hülyeség átírni az utalást, mert nagyobb a lebukás esélye (nincs annyi pénz a számlán, akkor nincs lopás), de ha nagyon fejlett a program és utalás pillanatában tudja, hogy nagyobb összeg van a számlán az más.
-
Mondhatom akkor ugy hogy e-bank,nekem is erre jönnek a pénzek,és erről utalom a csekkjeimet,az öcsém az egyik bank fiókvezetője,és ha valami nagy összeget kell átutalni akkor adok neki pénzt és ráteszi az e-bankomra,és átutalom,ha pénz jön be,akkor meg kiveszem a nagy részét,és benn hagyok pár ezer ft-t
-
#8
dajkopali
addikt
attila9988
#7
dajkopali
addikt
válasz
attila9988
#7
üzenetére
kicsit provokatívan
: ki az a hülye, aki spam alapján rendel?
nos, kevesen, két százalék (de inkább egy) alatt van a sikeres spamek aránya, de több tízmillió spamnél ez komoly bevétel -
#7
attila9988
őstag
attila9988
őstag
Ki az az idióta aki nem olvassa el az sms -t? Itt kezdődik a probléma. És ki az az idióta aki valami warez játék gépen crack hegyek között, frissítetlenül, ie -vel kezd netbankolni?
-
Ghoosty
őstag
A netbank, az nem egyenlő a neten történő kártyás fizetéssel. A netbank, az az, hogy bármilyen bankügyedet neten keresztül intézed. Nincs olyan, hogy rárakok 500Ft-t, ott van a hétköznapokban szükséges pénzed. Pont, hogy a neten kezdeményezett és látszólag a megfelelő helyre küldött pénzt "eltérítik" és az óvatlan felhasználó maga hagyja ezt jóvá.
(#7) attila9988
Nem mindegyik bank küldi el a tranzakció információt. (lásd fentebb) Így elég nehéz elolvasni.
-
Raiffeisen sem küld infót, csak azt, hogy egyszer használatos kódja ******. az a baj, hogy még ismerősi körömben is hiába nyomom az emberek agyába, hogy frissített windóz, friss víruskereső. fosnak rá.
én is bankokkal értenék egyet, ha nem lennénk a havonta rólunk több ezer forintot lehúzó bankrendszerbe belekényszerítve. egy kib@szott fizut leadózunk vagy 40x.
Új hozzászólás Aktív témák
- Xbox Series X|S
- Azonnali informatikai kérdések órája
- One otthoni szolgáltatások (TV, internet, telefon)
- Subaru topik
- Vezeték nélküli fülhallgatók
- Milyen routert?
- Battlefield 6
- Luck Dragon: Asszociációs játék. :)
- GoodSpeed: AMD Ryzen 7 7700X vs AMD Ryzen 9 9900X Cinebench R23 & R24 Benchmarkokban mérve
- exHWSW - Értünk mindenhez IS
- További aktív témák...
- Lenovo ThinkPad P1 Gen 3 UHD, Érintőkijelző, i7-10875H, 32GB DDR4, 256GB SSD, 27% ÁFÁS SZÁMLA, 1ÉV G
- Lenovo ThinkPad L490 FHD, TOUCH, I5-8365U CPU, 16GB DDR4, 256GB SSD, 27% ÁFÁS SZÁMLA, 1ÉV GARANCIA!
- Lenovo ThinkPad T490 FHD, I5-8365U CPU, 16GB DDR4, 256GB SSD, 27% ÁFÁS SZÁMLA, 1ÉV GARANCIA!
- 2020 M1 macbook pro 8/256GB elado/cserelheto
- Lenovo ThinkPad T480s FHD, Érintőkijelző, I5-8350U CPU, 8GB DDR4, 256GB SSD, 27% ÁFÁS SZÁMLA, 1ÉV GA
- Konzol felvásárlás!! Xbox Series S, Xbox Serries X
- Azonnali készpénzes nVidia RTX 4000 sorozat videokártya felvásárlás személyesen / csomagküldéssel
- Gamer PC-Számítógép! Csere-Beszámítás! R5 1600X / GTX 1080 8GB / 32GB DDR4 / 256SSD + 2TB HDD
- Targus Universal USB 3.0 DV1K-2K Compact docking station (DisplayLink)
- Laptop felvásárlás , egy darab, több darab, új , használt ! Korrekt áron !
Állásajánlatok
Cég: FOTC
Város: Budapest