[...]
Ferenc (a nevet megváltoztattuk) a Magyar Államkincstárnál vezetett számlát és vált áldozattá. Az eset azért nagyon ijesztő és tanulságos, mert ő aktívan nem segítette a csalók munkáját, vagy legalábbis hiszékenységből semmiképpen nem növelte a csalók esélyeit.
Az eset a szokásos módon indult. A csalók azzal telefonáltak Ferencnek, hogy baj van, feltörték a kincstári számláját. Ferenc érthető reakcióval ezt azonnal ellenőrizni akarta. Gyanúja szerint valahogy úgy törhették fel a számláját az elkövetők, hogy amikor belépett a Webkincstárba, és ehhez sms-ben jelszót kapott, a folyamatban levő beszélgetés révén valahogy ezt a csalók megszerezték.
Banki szakember forrásaink szerint Ferenc ezzel e feltételezéssel közel járt az igazsághoz, mert sajnos újabban ez a leggyakoribb visszaélés.
A csalók akár hetekkel korábban egy linkre kattintás révén olyan programot tudnak telepíteni a telefonunkra vagy a számítógépünkre, ami távoli felügyeletre, vagyis távoli munkavégzésre alkalmas, és onnan már látják a jelszavakat, a megérkező kódokat.
Természetesen a konkrét esetben nem tudjuk, hogy ez megtörtént-e, de ahogy egy csalásellenes szakember mondja: ez ellen a módszer ellen az eszközünkre érkező megerősítő kód nem jelent védekezést. Szerencsés esetben a mobilra érkező push-jóváhagyást (ujjlenyomatkérést) azért így sem tudják kicselezni a bűnözők.
A csalók tehát feltörték Ferenc számláját, majd onnan több bank több számlájára utalták el a pénzt úgy, hogy akadtak olyan utalások, ahol a kedvezményezett nevéhez Ferenc valódi nevét, de nem az ő számlaszámát írták.
[...]
Link: https://telex.hu/gazdasag/2023/10/16/banki-csalas-mak-aldozat-digitalis
Hozzászólások
Ferenc láma.
Aláírás _Franko_ miatt törölve.
neut @
Vagy csak egy patcheletlen "telefont" használt?
Lehet a bankoknak ki kellene tiltaniuk az EOL OS-ekkel rendelkezőket a felületükről, hogy legalább legyen valami visszajelzés, hogy ahogy használják a technológiát nem elég biztonságos. Persze a vegyél új telefont, ha bankolni akarsz, meg elég nagy fricska.
Szóval láma
Aláírás _Franko_ miatt törölve.
neut @
Nem.
a cikkbol kivilaglik, mi tortent: megtortek a windows-os pc-jet (gondolom elinditotta az emailben kapott 'farting goat.exe' -t, vagy felrakott egy 'helpful toolbar' extension-t), majd gondolom email-jebol kinyertek a cimet, telefonszamat.
felhivjak, hogy gaz van. urge resen van, nem adja meg az adatait. de utana rogton belep a banki feluletre, hogy ellenorizze, minden oke, es onnantol meg egyszeru lenyulni a sessionID-t. De ha pl. browser extension van, akkor meg az se kell, mert proxy-zhatja a request-eket az extension maga, szerencsetlen banknak eselye sincs kideriteni, hogy ez valaki mas volt.
Tehat ez egy ugyesen kivitelezett, celzott multi-faktor hack volt, ha ugy tetszik.
tl;dr: csak olyan geprol bankolj, amiben 100% megbizol. ilyen shared gepekrol, plane gyerek jatekgeperol bankolni ongyilkossag.
Nem láma. -> "gondolom elinditotta az emailben kapott 'farting goat.exe' -t, vagy felrakott egy 'helpful toolbar' extension-t"
hááát, ok.
Te nem szoktad? Bocs, de én nagyon szeretnék recsegve fingós kecskéket nézni...
ha csaladi szamitogep, lehetett a 8 eves kisunoka is. vagy a nagymama.
amig az emberek jelentos resze siman telefonbetyaroknak bedol ("megtamadtak a bankszamlajat, ..."), addig az ilyet, aki igazabol "csak" egy malware-t kapott be, a telefonos lepattant rola, nem nevezhetjuk lamanak.
Soha nem értetettem, hogy a mobil az mitől is biztonságosabb ? (SMS)
Miért nem képesek a "szuper" mobil-ra megírt alkalmazások helyett egy normális weboldalt megcsinálni - amit számítógépről lehet használni.
Másik oldal is el van tévedve a f*szerdőben, de nem kicsit.
Nem biztonságosabb user szemszögből, de nézd meg az ügyfelek többsége mit használ.
SMS mint 2FA? Már akkor vicc volt amikor kitalálták.
akarmilyen gagyi, az 1 faktoros user+jelszo parosnal egy nagysagrenddel jobb.
user+jelszot hekkelni a vilag masik felerol is lehet, plane ugye breach-bol szarmazo parosokat vegigprobalgatni.
sms-t lenyulni egy extra, nehezkes lepes; vagy odaautozol a fazon haza melle egy gsm decryptorral (BTW RCS meg ezzel se menne), vagy megtalalod a telefonjat es meghekkeled - na ehhez sok sikert.
korantsem olyan gagyi az az sms 2-factor...
Kifejezetten az SMS mint 2FA-val van bajom. Telefonszámot át lehet venni, csak felhívják a szolgáltatót és megcsinálják. Magyarországon lehet annyira nem elterjedt a sim swap, máshol az.
még ennyi se kell, másik topikban pont szó volt róla, hogy ez a telkos protokoll amit használnak egymás között mennyire bizalomra épül, így kb. akárki bemondhatja, hogy te most akkor roamingolsz, és küldje bangladesh alsóra az sms-eid, hívásaid.
Domain, tárhely és webes megoldások: aWh
A SIMID-t kell hazudnod az SMS eltérítéséhez... Mert az SMS az a címzett telefonszámhoz rendelt ID-jú SIM-et tartalmazó eszközre kerül kiküldésre.
IMHO ez urban legend. Ha lenne ilyen van, a szolgaltato anyagilag is felelos a birosagon, es 60 milkaert elo is fogjak venni.
masreszt RCS -sel nehezkesebb, valszeg lehetetlen ilyet csalni.
Idehaza is előfordul, ingatlan adásvételes csalásnál, ahol 50-60+ milliókat el lehet lopni vele, már érdemes megjátszani. Itt is kiveséztük a legutóbbi OTP-s példát 1-2 évvel ezelőtt.
https://24.hu/belfold/2020/06/08/sim-cseres-atveres-csalas-adathalasz-t…
https://24.hu/belfold/2020/03/31/otp-netbank-lopas-telefon-sim-kartya-k…
Kifejezetten az SMS mint 2FA-val van bajom.
Nekem meg azokkal van bajom akik MIATT nem biztonsagos. Meg azokkal, akik MIATT nem lehet az elkovetoket megbuntetni es batortalanitani a bunelkovetestol.
Miután komplett államok szórakoznak más államok informatikai biztonságával, nem sok értelme a bünüldozésre épiteni.
persze, de a szolgaltatomtol elvarom, hogy az ilyen allamoktol erkezo "roaming" kereseket ignoralja. vagy csak a user kulon keresere engedelyezze.
Igazabol az SMS ilyen szinten sose volt biztonsagos, nem is annak van tervezve, nem erdemes tulzottan bizni benne, ennyi a sztori. Boven van biztonsagosabb opcio 2FA-re. Persze a semminel sokkal jobb.
MI van nálad kéznél gyakrabban? Notebook mobilnettel (vagy free/publikus wifi esetén az otthoni hálózatodra becsattanó vpn-nel), vagy egy okostelefon?
Nálam desktop gép, eszembe nem jutna mobilról utalgatni. Nem igazán látom a use-caset sem, hogy mi nem várhat addig, amíg géphez jutok.
A mobilom állandóan megy, állandóan rendelkezésre áll - a desktop/notebook meg napi maximum x órát meg csak, nem hurcolom magammal bárhova is.
A use-case lehet például a gyereknek zsebpénz utalása, nyaralás közben bankolás ( csoportos beszedések szemmel verése (megtörtént-e), stb.
Szóval semmi olyan, ami nem ér rá mondjuk otthon.
Azért ha elmegyek két hétre nyaralni, lehet, hogy nem ér rá addig... De egy kártyalimit módosítás sem biztos, hogy ráér a nyaralás végéig...
Nem rég egy hétig voltam külföldön, eszembe nem jutott bankolni. De valaki biztos nem bírja ki nélküle (mint a telefonja nélkül sem).
Amikor egy baráti sörözés után Revolut-ban dobjuk szét a számlát, és nem készpénzzel kell szórakozni, az például kifejezetten hasznos dolog... Az n+1. "tudsz visszaadni 20/50€-ból?" kérdés után pláne.
De egy szándékosan(!) nem csoportos beszedésre állított számla kifizetése, vagy épp egy kártyalimit módosítás sem ördögtől való akár nyaralás, akár "csak" az asztali géptől/notebook-tól távol... Csak egy utalás/limitmódosítás miatt ne kelljen már asztali gépet indítani...
Az, hogy valami jatekpenzes szamlat el tudsz erni a telefonon, az oke, de egy ertekpapirszamlat, amin tizmillios-szazmillios nagysagrendekben szokott lenni penze az embereknek, azt ne hasznald mar arra, hogy egy barati sorozes utan reszegen szetdobjatok a szamlat.
Amugy nem lenne megoldhatatlan problema az sem, hogy mobilappal mondjuk tudj limitet valtoztatni, meg egy sorozes arat elutalni a haveroknak, de pl. ne tudd egy csaladi haz arat is ugyanugy elutalni.
Végül is arra tényleg jó, hogy a baráti bebaszás közben elverd a pénzed :D
Egyébként miért nem lehet azt csinálni, hogy egy tranzakció az azonnali utalás helyett mondjuk várakozik 1-2 órát a queue-ban, ameddig egyszerűen visszavonhatod. Ezt a türelmi időszakot pedig nem módosíthatod a mobilappban.
"Egyébként miért nem lehet azt csinálni, hogy egy tranzakció az azonnali utalás helyett mondjuk várakozik 1-2 órát a queue-ban, ameddig egyszerűen visszavonhatod." - AZ AFR pont arról szól, hogy 5s-en belüli gyors transzfert tud. Amire te gondolsz, az az IG2 egyfajta "felokosítása" lenne arra, hogy az időzítéssel feladott/20M feletti (az nem megy IG3-on) tranzakciókat amíg nem teljesülnek (nem mennek be a GIRO-ba), addig vissza lehessen vonni a netbank/mobilbank felől.
Ez tök jó, de a gyakorlatban én még nem találkoztam olyan helyzettel, hogy 1 órát ne bírt volna ki a túloldal, hogy megérkezzen az átutalás. Akinek kell az 5 másodperc, vállalja a kockázatot. De gyanítom, hogy 99%-ban semmi szükség rá. Én egyébként arra gondolok, hogy a saját bankod várakoztassa a netbankon/mobilappban indított utalásokat, nem kell ehhez bevonni a GIRO-t.
Három (gyakorlatilag kettő) lehetőség van: IG2, az ilyen tranzakciók megadott időközönként kerülnek továbbításra a Giro felé, amennyiben a küldő beállított értéknapot, úgy annak megfelelően, ha nem, akkor a következő "körben" történik meg, ha van a küldő oldalon kellő fedezet, illetve van az IG3, ami 5s-en belül vagy teljesül, vagy sem. Ezért íretam, hogy neked egy olyan IG2 kellene, aminél órára meg tudod mondani, hogy leghamarabb mikor teljesüljön (a bank önkényesen nem késleltetheti meg a tranzakciódat, azaz ha befogadta, van fedezet, AML sem áll keresztbe, akkor annak a megadott értéknapnak megfelelő időben el kell mennie), és ezt az általad megadott időpontig vissza is tudd vonni.
Az AFR-re egyébként azért is van szükség, mert a nyugtaadásra kötelezetteknek (kevés kivétellel) kötelező elektronikus fizetési lehetőséget is biztosítani. Nem kártyás, hanem elektronikus. Tehát teljesen jogszerű és megfelelő az, hogy kiírja a számlaszámot, hogy erre átutalva tudsz fizetni, amit ő 5s-en belül lát a saját netbanki/mobilbanki felületén/alkalmazásban (kap egy push-t pl.).
Az AFR-re egyébként azért is van szükség, mert a nyugtaadásra kötelezetteknek (kevés kivétellel) kötelező elektronikus fizetési lehetőséget is biztosítani. Nem kártyás, hanem elektronikus. Tehát teljesen jogszerű és megfelelő az, hogy kiírja a számlaszámot, hogy erre átutalva tudsz fizetni, amit ő 5s-en belül lát a saját netbanki/mobilbanki felületén/alkalmazásban (kap egy push-t pl.).
Biztos rengeteg ilyen kereskedő van, csak én még nem voltam kapcsolatban eggyel sem. Akiknek átutalással fizettem, azok küldtek egy számlát (jellemzően PDF-ben), én meg az alapján utaltam. Hogy ez most nem azonnal történik, hanem egy óra múlva, az kb. a kit érdekel kategória. Amúgy ettől függetlenül a bank felajánlhatná a késleltetést, mint biztonsági funkciót (időzáras trezort már ismerik), legfeljebb a user nem kéri. Gondolom nem ütközne jogszabályba. (Ha már arra nem képesek, hogy a csalók számláihoz a csalók személyét hozzá tudják rendelni.)
Azért mert te nem láttál még ilyet, létezik. Én voltam így kávézóban, de étteremből is van jópár ilyen.
És bankkártya-elfogadás nem volt ezeken a helyeken?
én is voltam így. nyáron kéktúra közben vidéki bolt, kiskocsma. így lehetett elektronikusan fizetni. kártyás fizetés nem volt.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
nope, semmi, ott a számlaszám, utald el, ha akarod. még egy másodlagos azonosítót se raktak ki hozzá. pesten, a xiii. kerületben futottam bele ebbe.
Jellemzően nincs POS, mert annak a költségét nem vállalja az adott hely - a kötelező elektronikus fizetési lehetőséget az AFR-rel is lehet ugyanis teljesíteni.
Nem kell oda menni.
echo crash > /dev/kmem
Csak pár példa amikor jól jött:
Szóval szerintem alapvetően hasznos feature.
Szerintem tok rendben van, hogy egy nagybevasarlasnyi zsetont at lehessen utalni konnyen es gyorsan, de pl. egy auto aranal szerintem belefer annyi varakozas, hogy mondjuk felhivod a telebankot, es az ottani bejelentes utani N percben lehetne csak elkuldeni egy uj auto arat.
"pl. egy auto aranal szerintem belefer annyi varakozas, hogy mondjuk felhivod a telebankot, es az ottani bejelentes utani N percben lehetne csak elkuldeni egy uj auto arat." - Azaz kellene egy harmadik féle tranzakciót is kialakítani a netbank/mobilbank felől: olyat, ami megáll, _és_ per definitem kézzel engedélyezhető, hogy bekerüljön a GIRO-ba. De ha már fel kell hívni a telebankot, akkor az online felületen leadható tranzakció minden előnye (ügyfél, illetve banki oldalon egyaránt) ment a levesbe - egyszerűbb, ha ilyenkor a telebankon keresztül indítja el az utalást.
Hat egyszerubbnek egyszerubb, csak pont az lenne a lenyeg, hogy biztonsagos is legyen. Az en elkepzelesemhez ismerni kell a telebankos PIN-t, rendelkezni kell azzal a mobillal, amin telepitve van a netbank, es tudni kell a mobilbankos PIN-t, ami ugyebar nem ugyanaz, mint a telebankos, mert biztonsagtudatos felhasznalok vagyunk.
A sorrendiseg mindegy, lehet, tenyleg logikusabb elobb feladni az utalast, es utana out-of-band (pl. telebankon) jovahagyni.
A feladott utalásod jelenleg két féle lehet: AFR, ez 5s-en belül vagy odaér, vagy sikertelen, illetve IG2 (ütemezett), ami automatikusan bekerül a következő (illetve a megadott időpontot követő) IG2-es "körbe", és azzal útnak indul a zseton. Te egy _harmadik_ tranzakciótípust szeretnél, ami annyiban hasonlít az IG2-re, hogy nem "azonnali", de alapesetben "valami" megfogja, és csak explicit másik csatornán történő jóváhagyás után lesz belőle IG2 vagy kerül IG3-as tranzakcióként beküldésre. Egyszerűnek tűnik, igen, mint amikor csak egy mezőt kell felrakni a weboldalra - de ahogy az sem egyszerű annyira, sajnos ez sem: https://derrickesharry.blog.hu/2017/03/26/a_csak_egy_mezot
Nem egyszeru, de nem is annyira bonyult, mint ahogy eloadod. Meg csak a GIRO-hoz sem kell nyulni, egyszeruen nem hozod letre az IG2/3 tranzakciot a visszaigazolas elott. A legtobb banknal mar most is van sablonkezeles, gyakorlatilag egy olyan sablont kell letrehozni, amibol csak egy masik csatornan keresztuli megbizassal lehet tranzakciot csinalni.
Olvasd el a D&H blog citált bejegyzését. A "csak egy sablon" az nem csak egy sablon. Ugyanis a jóváhagyás módja(i) nem a sablon, hanem a folyamat részét képezik, azaz beküldöd a kérést, majd jóváhagyod, jellemzően mobilos app-ból (push), vagy sms-ben érkezett kóddal. Ezek mellé a jóváhagyási módok mellé kell felvenni egy olyat, hogy csak "telebankon hagyható jóvá" - azaz a beküldés során már tudnod kell ezt jelezni, illetve a folyamatnak ezt kell tudnia kezelni egy elágazással.
Ja, és az ilyen késleltetett tranzakcióból mi legyen? A telebankos jóváhagyás után prompt IG3 vagy menjen IG2-vel? Vagy ez is legyen választható?
Hagyd mar azt a hulyeseget, az egy karikatura.
Nehany evet mar lehuztam szoftverfejlesztokent, tobbek kozott banknal es fintechnel is, ugyhogy pontosan tudom, hogy ennel sokkal bonyolultabb dolgokat is meg lehet csinalni. Sot, ha visszagondolok a mindenfele uj feature-re, amin dolgoztam, ez kifejezetten az egyszerubbek kozul valo.
A meg _lehet_-tel nem vitatkozom, azt próbáltam jelezni, hogy ez nem csak egy plusz opció, hanem jóval több dolgot érint, jóval több területen kell rajta dolgozni, hogy jól és megfelelően szabályozottan/megfelelő keretek között működjön. (Van, ahol a tranzakciót elég beküldeni, nincs külön jóváhagyási lépés...)
Ja, hat a szoftverfejlesztes egy ilyen szakma. Meg egy 28. ugyanolyan webshopnal is figyelni kell manapsag mindenfele jogszabalyi eloirasra.
Ezért van a "barátságos ÁSZF-generátor":
https://fogyasztobarat.hu/webshopoknak/aszf-sablon-generator/
Úristen zeller, a derrick és herri az egy kifordított direkt eltúlzott IT-bennihillshow. Nehogy már azt szószerint vedd!
jelen esetben nem sokat túloz, a "csak annyikell, hogy" mögött jóval több van, mint "egy mező" (egy opció) a netbanki/mobilbanki felületen...
node most is fel tudok rakni utalást, ami a bankomnál vár, amig azt külön nem hagyom jóvá az sms-es, 2fa-s kóddal. Nem kell annak az utalásnak elérnia a giro-hoz, parkolhat a bank oldalán is.
Domain, tárhely és webes megoldások: aWh
Azért írtam, hogy az ütemezett (IG2) utaláshoz _hasonló_ kell, amit _nem_ lehet netbankban/mobion "aláírni" (azaz ténylegesen benyújtani feldolgozásra), csak telebankot felhívva.
Igen, de itt akkor csak annyi kene, hogy modositjak, hol lehet alairni. Nem kell a giro kapcsolatba belenyulni, vagy uj utalasi modot kitalalni stb, mivel az egesz a bank oldalan (akiben megbizunk) megoldhato.
Domain, tárhely és webes megoldások: aWh
A "csak módosítják, hogy hol"-t pontosítom: a tranzakció feladásakor meg kell tudni adni opcionálisan, hogy az "megállítós" tranzakció, amit egy külön ágra kell terelni, a telebankban kell rá folyamat (üf. betelefonál, beazonosítják, a telebanki ügyintézőnek kell egy felület, ahol ez után látja és jóvá tudja hagyni az adott tranzakciót) - Egyébként jobban belegondolva ezt nagyon csúnyán a fraud protection-nel lehetne egyszerűen megfogni - ha a tranzakciónak van egy "csak telebankon" cimkéje, akkor a fraud dobja ki kézi ellenőrzésre, amiből vagy egy jól definiált (hirdetmény módosítás!) timeout után megy elutasított állapotba, vagy pedig a telebankon keresztül az ügyintéző (fraud-os) kézzel jóvá tudja hagyni.
Ja, egy szóval sem mondtam, hogy ehhez kell a GIRO, csak azt, hogy a net/mobilbanki felületen két féle belföldi tranzakciót tudsz jelenleg feladni, és ezeket kell úgy felokosítani, hogy a feladáskor megakaszthatóak legyenek, és "kiessenek" a telebanki ügyintéző elé, ha az üf. telefonál.
Nem egeszen, mert ugye akkor a scammer sosem kerne a megallitos tranzakciot, mindig csak az azonnai IG3-t valasztana. :)
Az en elkepzelesemben lenne egy fix limit, amit szerzodeskoteskor/szemelyesen lehet megadni, ami felett out of band jovahagyas kell.
Akkor azt a limitet kell tudnod valahogy megadni/módosítani, de ugye a felületen nem, csak bankfiókban/telebankon keresztül, ráadásul úgy, hogy a netbanki/mobilbanki felületen nem látszódhat(!) hiszen akkor aki oda bejut, az a limit alatti összegekkel IG3-on el tud vinni zsetont...
Azaz kell egy folyamat, aminek során az ügyfél megadhatja a limitet, és egy másik, aminek során a limit fölötti tranzakcióit telebankon keresztül jóváhagyhatja. Ezek mondjuk a csalásmegelőzésbe bele is szuszakolhatóak - annyi finomítás kell, hogy az üf. saját limitje által megállított tranzakciókról a fraudos csapatnak nem kell kimenő hívást indítania.
Szerintem meg bőven elég lenne a késleltetés, akinek meg az nem jó, mert úgy bizniszel, vagy a világvégére megy, és nem visz készpénzt (de abban bízik, hogy lesz mobil térerő), az vállalja a kockázatot az azonnali utalással.
Ehhez kell az,a mit írtam...
Szóval némi elhatározás a bank részéről, hogy nyújtsanak ilyen szolgáltatást.
...amely szolgáltatáshoz kell az a nagy rakás plusz, amit írtam. Ha és amennyiben a szolgáltatás kialakításának és üzemeltetésének a költsége alacsonyabb, mint amennyi a veszteség azáltal, hogy nincs, akkor lehet arról beszélni,hogy meg kellene csinálni. Amíg ez nincs így, addig nem igazán...
Én se szoktam, ha nem muszáj. Viszont amikor pár éve baleset ért Franciaországban, akkor hirtelen több kiadásom lett, mint amennyire a kártyalimit tervezve volt (érthető módon, a biztosító jellemzően utólag térít), így hozzá kellett nyúlni a kártyalimithez, természetesen mobilról. Enélkül komoly bajban lettem volna. Tehát ha normál esetben nem is kell, szükség van arra, hogy szükség esetén lehessen.
Lehet ezeket rendesen is csinálni. Számos megoldás van, ami segít kivédeni, hogy a csalók ne férjenek hozzá a pénzedhez. Az emberi lustaság és tudatlanság az, ami miatt sikeresek ezek a támadások.
trey @ gépház
A nagy átlag biztos. Képzett hacker rajtad is lassítás nélkül menne át
Éppen ezért kell több lépcsős megoldásokat és gyakorlatokat használni:
Aztán hajrá!
Ha ezek után is sikerült neki, akkor megérdemli, de ez esetben a bank majd kártérít. Ugyanis, ha bizonyítható, hogy te mindent megtettél és mondjuk az ő sérülékenységüket/szar rendszerüket, folyamatukat törték meg/használták ki, akkor az az ő saruk.
100%-os biztonság nincs. De, nem attól függ, hogy biztonságban vagy-e, hogy gépen vagy telefonon bankolsz.
Mindkettőn lehet jól és szarul is csinálni a dolgokat.
trey @ gépház
egy apro hiba, a bank nem karterit. olvasd el a T&C-t.
bizonyitani IT-ban semmit se lehet. A bank hanyagsagat csak akkor tudnad bizonyitani, ha bemutatnal a birosagon eloben egy exploit-ot, aminek lassuk be, vajmi keves az eselye. Az bizonyitani, hogy a telefonoddal mindig mindent korrekten muveltel, szinten lehetetlen. hiszen eleg egy n-day CVE es egy keso esti pornooldal, hogy meglegyen a baj.
Hovatovabb, a T&C kimondja azt is, hogy ha aktivaltak a netbankod, onnantol a bank kvazi nem felelos a szamladert. Ugye azt mondja ki, hogy "a bank nem felelos a netbankos feluleten nevedben inditott penzmozgasokert". Mivel a netbank messze a leggyengebb pontja a bankolasnak, a tamado nyilvan azt fogja hasznalni.
https://www.vg.hu/vilaggazdasag-magyar-gazdasag/2023/06/figyelmeztet-a-…
Kérlek olvasd el. Már belinkeltem feljebb.
trey @ gépház
Igazan nem akarok taplo lenni, de az OP linkelt cikk "A bankok nem nagyon térítenek" fejezetet olvasd mar el legyszi :)
BTW a linkelt cikked is azt irja, hogy "haaat, ugralhatsz, de valszeg nem kapsz semmit", nekem legalabbis ez jott le.
IMHO, rosszul. Olvasd el újra. Akkor nem fizet a bank, ha be tudja bizonyítani, hogy közreműködtél a pénzed elvesztésében. Pl. kiadtad az adataidat.
trey @ gépház
Na de ha meghackeltek a mobilod, akkor a bank szemszogebol "kiadtad az adataidat", mert teljesen korrekten autentikaltal naluk, 2fa meg minden.
A masik pont, ami miatt ez nem fog bekovetkezni: a bank nem tud kulonbseget tenni a szandekos csalas es a hackeles aldozata kozott. Az o szempontjabol barmelyik ugyfel lehet akarmelyik. Meg a kulfoldit is konnyu megoldani, internetes csalobandaval: fazonkam vesz uj mobilt, belep a banki accountjaba, elutal havernak 15 MHUF-ot, majd panaszkodik, hogy meghekkeltek. Gondolod, hogy fizetni fog a bank?
Ez egyebkent le van irva a linkelt cikkben.
Ez nem igaz, ráadásul, az, hogy meghackelték a mobilod, általában kevés arra, hogy ellopják a pénzed. A te közreműködésed kell hozzá. Ezért hívnak fel telefonon. Ha nem kellene a közreműködésed, nem hívogatnának.
Onnantól nem fizet a bank, hogy voltál olyan balfasz, hogy kérésre beírtad az adataid, megnyomtad a biometrikus azonosítást stb.
Onnantól meg teljesen jogos, hogy nem fizet.
Hogy ne tudna? Ha a tranzakcióban megadták a CVV-t, ha mellette volt az ujjlenyomat az azt jelenti, hogy te voltál a balfasz. Maguktól ezek nem kerülnek rá egy tranzakcióra.
trey @ gépház
Érdekes hogy ez Magyarország, Szlovákia szóval EU keleti felén van így. Írországban több millió eurót csaltak ki ügyfelektől amit a bank visszafizetett és a rendőrség igenis nyomozott és mai napig nyomoz ilyen esetekben. Általában sikerrel megtalálják a tetteseket. Amikor az van hogy a pénz el lett utalva külföldre/külföldi számlára akkor befigyel a: ja, külföldiül kell beszélni akkor már mindegy. Sokat elmond ez a képzésről, hozzáállásról. Székmelegítők.
Igen, fordított esetben (mikor lopott kártyával vesznek valamit) is ez van, amint külföldre nyúlik a szál, halálra van itélve a dolog.
Domain, tárhely és webes megoldások: aWh
A gond az, hogy mi, hupperek, nem vagyunk celcsoportja netes csalasnak. Amit mondunk, irunk, csak hallomasokon, cikkeken alapszik.
Az biztos, hogy Hollandiaban kb. ugy mennek a dolgok, mint MO-n: a netes csalas, hacsak nem nagyon primitiv, nem nagyon lesz felderitve, mert a, szaktudas kell hozza, es sok, b, bazisok ido elmegy vele, ugye birosagon bizonyitek kell, holmi log nem eleg; c, es legfontosabb, bazisok van belole, egyszeruen nem lehet minden csalas melle rendort tenni.
A megoldas? Annak felismerese, hogy sokkal olcsobb oktatni a nepet, mint utolag rendorkodni. Ugyhogy a hangsuly nyugaton ezen van.
Mint altalaban, megeri befekektetni az emberekbe, tanitani oket, a rendorseg duzzasztasa helyett.
Hetente hívnak és SMS-t is kapok hogy csak ide meg ide kattintsak mert épp zárolták a számlám a jóemberek (díjazom az igyekezetüket, de azért elég bénák egyelőre szerencsére).
Ismerősöktől csaltak ki pénzt - ők visszakapták mert itt volt Írországban, és mint mondtam itt nem szarja le a bank, sem a rendőrség. Legalábbis eddig így volt, majd meglátjuk hogyan lesz tovább.
Képzett emberek felvétele a rendőrségre nem feltétlen hülyeség egy olyan világban ahol egyre több munkafolyamat megy online környezetben, ettől függetlenül képezni kell a hétköznapi embereket is.
Képzett hacker vagyok. Etikus, félreértéseket megelőzendő. Ha sikerül elérni valahogy Trey mobilját és metasploit (vagy helyettesítsd ide kedvenc toolodat) nem talál semmilyen sebezhetőséget, akkor nagyjából cseszheted.
A flame fényének emelése érdekében még bedobom: csak bankolásra dedikált mobilon még eol állapot esetén is igen nehéz fogást találni, pláne akkor ha az sms nem arra a mobilra érkezik.
kb. igy. valahogy a legtobb emberben az el, hogy hackelgetes olyan, mint a ladapakolas: hacker jon, megy, viszi a penzt.
hat nem.
amikor a hirekben hackelesrol olvasol (a farting-goat.exe szint felett persze), az nem a szabaly, hanem a hatalmas munkaval, exploitok vasarlasaval es sok szerencsevel elert egyszeri, veletlenszeru eset. azert is kerul a hirekbe.
ma mar egy win11-t megtorni se egyszeru, de egy android vagy ios tobbszintu vedelmen atmenni tenylegesen tobbszintu hacket is igenyel; kvazi lehetetlen. a 0-dayek meg dragak, piszok dragak; gondolj bele, ha talal valaki egy 0-dayt, akkor nem jozsi bacsi accountjat fogja kipakolni, hanem eladja a moszadnak 20 millio USD-ert.
Ez utobbit emelnem ki meg egyszer: a legtobb helyen ma mar rendesen patch-elgetnek. Odon rendszer, persze, php vagy 5-os tomcat, de patchelik, vannak ra cegek, ahol mai napig adnak ra (fizetos) supportot, es veszik is az enterprise-ok, mert olcsobb, mint ujrairni az egeszet.
Ha van 0-day -ed, azert vaskos penzeket fizetnek szurke vagy fekete biztonsagi cegek es titkosszolgalatok. Persze te is megprobalhatod kihasznalni, de altalaban maceras; gyakorlatilag mindenhol tobbszintu vedelem van, a 0-day-ed meg csak 1re eleg.
A googleplay sztórban és apple sztórban milliószám installált és hónapokkal később kiderülő jelszólopó és egyéb malware library-ket include-oló programokkal mi a helyzet? Minden hétre jut egy ilyen hír.
Az egy artalmatlan app volt, ami utolag letoltotte es vegrehajtotta a payload-ot. Igy elkerulte az automatikus review-t. Azota tudtommal mar leptek az ugyben, vagy legalabbis lepni fognak.
A az app separation miatt ugy kb. tokmindegy, mert a payloadnak sincs tobb jogosultsaga, mint az eredeti app-nek -- ezzel a letoltogetosdivel csak a review-t kerultek ki.
Itt mondjuk szerintem pont tévedésben vagy, sokkal biztonságosabb a mobilappból utalgatni mert ott tutti fix hogy a jó appban vagy és nem valami phising website-on. Egy up-to-date pixelben vagy iphone-ban egy kamu banki app (pláne biometric-el) vs. egy windows pc-n trójai vagy kamu banki weboldal közül a másodiknak fényévekkel valószínűbb az előfordulási esélye.
Valamint a banki mobilappoknak is sokkal több eszköze van a háttérben hogy ellenőrizze hogy megfelelő környezetben fut-e (lásd pl. kiszűrik a rootolt telókat is, meg még elég sok minden mást is amiről az átlag user nem tud). Weboldal esetén ezen eszközök nagy része nem is létezik, ami van az meg lómicsodát se ér.
Egy desktop gép felett jóval nagyobb az ellenőrzési lehetőségem, van URL bar, látom a processeket, ha akarom, követem a CVE-ket, stb...
Ha egy mobilra felmegy valami kártékony app, ami lelop minden bejelentkezési adatot, észre se veszem. Ráadásul, mivel mindenki azt használ, az a célpont. Az okosteló most a 2000-es évek Windowsa.
"Ha egy mobilra felmegy valami kártékony app," - És mégis, hogyan, ha a csevegő/mail/lófütty alkalmazásnak nincs joga telepíteni (ez a default), és csak az Apple/Google alkalmazásboltból települhet sw (ez is default)?
Attól, hogy lehetőséged van ellenőrizni mindent _is_ a desktop-on, még nem lesz biztonságosabb...
És mégis, hogyan, ha a csevegő/mail/lófütty alkalmazásnak nincs joga telepíteni (ez a default), és csak az Apple/Google alkalmazásboltból települhet sw (ez is default)?
Én nem tudom, csalókat kérdezd, hogy szerzik meg az SMS-t vagy hogy játszák ki az egyéb szuperbiztonságos mobil 2FA-t.
Ahol az SMS-t lenyúlták, ott döntően Apple ökoszisztéma (ájklódon keresztül szinkron izél a telefon meg a megtört laptop), vagy az user megtévesztése (csalók által összerakott hamis weboldal, ahol a megtámadott személy bejelentkezve mindent is (a 2FA-ként kapott SMS-t is) megad, ugyanúgy, mintha a normál, valódi netbankba lépne be - onnantól megvan a login, csak egy másik telefont kell push fogadásra hozzáadni az ügyfélfiókhoz - ha ahhoz is érkezik sms, akkor azt is social engineering vagy más módon (pl. bekéri a csalárd weboldal azért, hogy "megerősítse" az illető telefonszámát...) simán megszerezhető - amint ez kész, át kell állítani mindent push-ra, és készen is van...
Milliónyi zero day sérülékenység van a mobilokban, a legtöbbhöz megnyitnod sem kell semmit, kapsz egy sms-t, email-t, akármit, fel sem ugrik, hogy kaptál valamit és települt a kártevő. A gagyi félékben egy linkre is rá kell bökjél, mielőtt települ, amit szintén boldogan megtesz a userek 90%-a.
Ezeket persze próbálják javitani a gyártók, de "szerencsére" a userek nagy részének nem támogatott oprendszerű mobilja van és lyukas mint az ementáli. Ehhez képest egy lesajnált windows a gyakran tizéves támogatásával jóval biztonságosabb.
"kapsz egy sms-t, email-t, akármit, fel sem ugrik, hogy kaptál valamit és települt a kártevő" - Honnan települ? Az e-mail kliens, az üzenetek NEM jogosult alkalmazás telepítésére alapesetben. Igen, ehhez nem az 1234 éves, ős-ős Androiddal működő telefonokat kell használni.
"Az e-mail kliens, az üzenetek NEM jogosult alkalmazás telepítésére alapesetben."
Ne viccelj.
A hibák amikről beszélünk root jogot biztositanak a támadónak, teljesen mindegy, hogy te a gui-n azt látod, hogy az üzenetkezelő alkalmazásnak nincs joga telepiteni.
És nem, nem ősrégi androidokról van szó, hogy csak a legismertebbet emlitsem a közelmúltból a pegasus pl a legfrissebb ios-eseket törte szarrá egyetlen kattintással.
"alapesetben". Az, hogy az Android vagy a "krakkenfakk" windows a lukasabb, az jó kérdés...
a pegasus meg az ocska phising scammerek rohadtul nem egy kategoria :)
BlastPass és társai. Gondolom nem kell bemutatnom, hogy vannak ilyenek is. Szomszédasszony tegnap este kapta meg a frissítést, nekem kellett győzködnöm, hogy ugyanmá, akarja telepíteni (és egyelőre csak bízunk benne, hogy annak a javítása is benne volt).
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
Az a baj, hogy mobilon is van browser, simán beforgatod az egy bites juzert egy kamu oldallal aminek a linkjét ugyanúgy lekattintja mint pc-n és elkezdi benne megadni az adatokat gondolkodás nélkül.
Aki meg ért hozzá, annak a pc-je sincs tele backdoor-ral és tudja hogy a banki oldalt bookmarkból nyitjuk, stb.
Tudod, hogy mennyire fel lennének ezen háborodva az ügyfelek?
Sőt, ha nagyot akarnánk előre lépni IT security terén (is), akkor 2FA-ból, bankolásból, elektronikus fizetésből, digitális ügyintézésből (e-kormányzat) is kompletten ki kellene tiltani az EOL/EOS eszközöket. Igen, az Android alapú eszközök nagyon rosszul jönnének ki ebből.
Biztos lehet úgy kommunikálni, hogy a telefonjuk gyártója a geci, hogy nem tájékoztatta őket, hogy ez a telefon csak 0-2 évig lesz biztonságosan használható, nem a bank. Meg amúgy ez az igazság.
Sajnos azt kell mondjam, hogy a telefonok gyártói mocskos szemétládák. A fogyasztói társadalom rabjai vagyunk....
EU például ilyen dologgal is foglalkozhatna végre. Érdemben.
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiativ…
Muter nokia 3310-et használ kb. Azt is?
Gondolom wap-os webbank már nincs sehol, arról nem lépsz be a bankodba. Szerintem inkább azzal lehet a baj, ha egy EOL Androidra/IOS-re bejutnak egy stragefright szerű buggal valamikor, majd megtalálják a google/apple felhőbe szinkronizált belépési adatokat/figyelik a böngészőt majd elkapják a második faktort is.
Pont el kellene felejteni, hogy mobilról intézel mindent. Éppen az lenne a lényeg, hogy egyik eszközzel lépsz be (pl. PC) és egy másikkal hagyod jóvá és akkor máris nem egy fizikai eszközt kell kompromittálni, hanem kettőt.
De ez nem elég kényelmes a usereknek, igy nem erre halad a világ...
Stagefright a tisztességes neve először is. Másodszor olyan régi Android mobilokat érint, amelyek iPhone kortársai annál is súlyosabb javítatalan sebezhetőségek által fenyegetettek.
Régóta sandboxban megy minden codec Androidon.
A hup egyik fórumán nemrég azon ment a törpölés, hogy melyik használt mobilbolt jó és szép. Ha használt mobil az már régen rossz. Amennyiben a költségvetés szűk tényező, egy használt iPhone minden esetben gyengébb és kockázatosabb megoldás lesz mint egy új Android.
Remélem nem leplek meg vele, de újabb androidos (meg iOS-es) telefonokra is léteznek zero-day hibák, meg olyanok, amik ugyan nm zero-day-hibák, de az ismertté válás és a javítás megjelenése között azért telt el némi idő. Ha jól vettem ki haver szavaiból, a BlastPass javítás még nem volt ott a Pixelen, amikor már publikus volt a leírása.
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
És mi lenne a csízió? Ez ugye nem az ezer éves bakelit Stagefright?! Az NSO célkeresztjében ugyanúgy benne vannak az iPhoneok.
tekintve, hogy a bankok nem vallalnak felelosseget a toresbol szarmazo karokert, nekik tokmindegy, mit futtat a user.
amugy meg kerdezz meg egy random bankot, hogy mi az "ajanlott", es latni fogod, hogy kb. a 'security 101' checklist fog visszakoszonni rad.
a gond nem ez. hanem az emberek altalanos tudatlansaga, nemtorodomsege. az az eletvitel, miszerint a tanulas az iskolaban veget ert.
hihetetlen, de az emberek kb. haromnegyede ugy el a vilagban, hogy halvany lila fingja sincs arrol, mi zajlik korulotte, hogy mukodik az, amit nap mint nap hasznal, amire az elete megtakaritasat is rabizza alkalomadtan.
ez az igazi gond.
Ez nem feltétlen igaz. Ha igazolható, hogy 1) a felhasználó körültekintően járt el 2) a törés a banki hibájából történt, akkor kártérítenek. Volt már erre precedens.
https://www.vg.hu/vilaggazdasag-magyar-gazdasag/2023/06/figyelmeztet-a-…
Igen, ez jól megfigyelhető itt a HUP-on is. Félelmetes, hogy ezek az emberek hogyan tudnak túlélni egyik napról a másikra.
trey @ gépház
Nem hinném. Telefonon a MobilKincstár ujjlenyomat azonosítást használ, nem SMS-t.
trey @ gépház
És az nem megy patcheletlen telefonon?
SMS-ről van szó. Asztali gép lesz ez. Vén faszról van szó, nem valószínű, hogy okostelefonja van.
trey @ gépház
Ah, értem.
Mondjuk okosteló attól még simán lehet, ráadásul jellemzően a gyerek régi levetett cucca, vagy vmi ezer éves olcsó fos, ami addig megy, míg szét nem esik. És simán lehet, hogy nincs rajta ujjlenyomat olvasó, vagy nincs beállitva.
Butafonhoz jutni egyre nehezebb, meg élnék a gyanúperrel, hogy azt megbaszni is nehezebb lett volna.
https://www.emag.hu/search/id%C5%91seknek+val%C3%B3+telefon
https://euronics.hu/telefon-tablet-okosora/telefonok/nyomogombos-mobilt…
https://www.mediamarkt.hu/hu/category/_nyom%C3%B3gombos-telefonok-50480…
És vannak szolgálatok, ahol lehet igényelni időseknek telefont. Onnan tudom, hogy van 94 éves közeli rokon (nem az én családi ágamon, de mindegy) aki egyedül él és használ ilyet.
trey @ gépház
Ezek nálam már csak félig buták, de az valószínűleg igaz, hogy jó eséllyel ezekre sincsenek annyira felkészülve a csalók, meg nyilván nehezebb megtörni, ha nem is netezik.
Ezzel együtt kicsit sánta a sztori.
Ezeken nem fut a MobilKincstár app. Ezeket számítógépekkel együtt használják az idősek. Főleg azért, mert a számítógép nagy monitorát látják, az okostelefont meg akár szemüveggel se, illetve a finom motoros készségeik nem igazán működnek, nehezen kezelik az "ízületes" ujjaikkal az érintőképernyőt.
trey @ gépház
Azt én teljesen jól értem, meg látok én is időset mobilt használni. És persze, értem azt is, hogy nem ezen fut, hanem a weben lép be, ide csak az sms jön, pusztán a készülék ehhez szükséges komprommitálásának nehézségén merengtem.
Meglepődnél, ha tudnád, milyen sok 'vén fasznak' van okostelefonja.
Addig vén faszozunk míg rá nem jövünk hogy már minket is úgy neveznek XD
Ezen a szinten én már túl vagyok :)
Amikor a huszon éves csajok csókolommal köszönnek, az lesz majd a szívás. :)
Középiskolás voltam, még az "átkosban", úgyhogy ifivezetőként volt egy általános iskola hetedikes osztályhoz szerencsém, ahol elvétve voltak csak fiúk. Na ott kaptam meg a lányoktól kórusban a "csókolom"-ot először :-) Oké, poénnak szánták, de akkor is :-D Mint ahogy mi is annak szántuk negyedikes gimnazistaként a frissen odakerült egyik matektanárnak a "csókolomtanárúr" köszönést :-)
Erre az adekvát válasz: Nekem bizonyíték kell, nem ígéret :)
áldozathibáztatás 3 2 1 :)))
Ha a 2FA ugyanazon eszközön van, akkor valójában csak másfél FA. :-)
Amúgy tényleg nem hülyeség tartani egy butamobilt, ami két dolgot tud: beszélni akárkivel és SMS-t fogadni.
Csak az ugye kényelmetlen, amiről mindenki tudja, hogy a biztonság ellen kényelemmel lehet a legjobban védekezni. :-)
Néha jó lenne, ha lehetne használni ezekhez is pl. Yubikeyt.
Nem is értem miért nem lépte már meg egyik bank sem.
Product nezopontbol retegigeny. Ugyfelek 2%-a hasznalna, mikozben az ugyfelek 30%-at a funkcio puszta letezese is megzavarna.
Inkabb jo lenne, ha a buntetoeljarasok utolernek vegre es batortalanitanak az elkovetoket. De azt nehezebb megoldani, mint az ugyfeleket megzavaro felmegoldasok, foleg, hogy orszagoknak kene osszehangoltan bunuldozniuk.
Tisztában voltam már a komment megírásakor is, hogy rétegigény. De ha kap egy erős marketiget, akkor az emberek megveszik és használják. Ilyen volt anno a chip kártya (vagy az egyedi token) is, ami sztem. teljesen jó biztonság érzetet adó megoldás volt átlag felhasználó számára. Gondolom útjában volt a mobilon történő bankolásnak, ezért kapott SMS-t, mint 2FA. Most viszont már visszahozhatnák, mert biztonságosabb, mint az SMS.
Mert penzbe kerul, es
/vagyaz ott dolgozok nem ertenek hozza.Már jeleztem a bankom felé, éppen a Yubikey-t felhozva, mint példa, hogy felvehetnék a 2FA közé a hardveres biztonsági kulcsokat.
Szóval javaslom mindenkinek a levelet a bankja felé, hátha kevésbé lesz probléma a fejlesztés, mint a sok email olvasgatása. :)
Miután a smartcardokat mindegyik kivezette?
Szerintem előbb lesz emoji hozzárendelése utaláshoz, minthogy a szegény usereknek "bonyolítsák" az életét.
Mar nem bonyolitas. Regen tenyleg az volt. De webauthn kb mindenhol tamogatott mar. Igy meg inkabb konnyites.
Jaja, a CIB-nél sincs már Secure ID RSA token
Aláírás _Franko_ miatt törölve.
neut @
Azon a ponton, ahol a bankok foglalkoznak azzal, hogy össze ne zavarják a usert, azért felnevettem.
Pusztán csak kurva drága, ha neki kell baszódni a smartcardokkal beszerzésestől, logisztikástól mindenestől, aztán mikor már nem csak a nagy céges ügyfél akart otthonról bankolni, hanem az összes paraszt, akkor úgy döntöttek, hogy jó lesz az az sms...
MNB nagyon részletesen szabályozza a bank IT-t, lehet hogy ez is meg van határozva (erről zeller talán többet tud).
+1, lehetne az ügyfélkapuhoz, bankhoz, stb. egy rossz vicc, hogy a webauthnt mégcsak beállítani se tudom.
Aztán az mit segítene a tudatlan öregemberen? Átvették a képernyőjét, a telefonon utasítják, hogy mi csináljon:
- "Rendben, most dugja a gépébe azt az eszközt, amit a bejelentkezéshez használ és érintse meg, amikor világít."
Ez social engineering/megtévesztés, ez ellen csak az oktatás és a tudatlanság felszámolása segít.
trey @ gépház
+1, valamikor írtam blogot hogy scammer betalált és húztam az idejét. Utána ez a sztori körbement a családban nagy röhögések közepette, azóta már betalálták mamámat meg nővéremet is, ők is remekül elszórakoztatták a delikvenst, nagymamám volt a legjobb, állítólag másfél órán át csevegtek amíg főtt az ebéd :)
Esetleg link, csak hogy más családok is nevetve tanuljanak meg védekezni?
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
Itt írtam róla. Nyilván nem minden eset lesz ugyanolyan, de nagyon könnyen ki lehet szúrni a dolgot, kapásból a "beazonosításnál" kamut adsz meg és ha azt mondják hogy oké akkor indulhat a móka szabadidő függvényében.
Engem azzal találtak meg a napokban telefonon, hogy gyanús mozgást tapasztalnak a számlámon...na most álmomból keltettek fel, de hát ez még úgy is nagyon átlátszó volt, mondtam nekik h én mozgattam a pénzemet :-D Erre letették. Alapból felvesz mindent a telefonon, de pont most lefagyott az app. Mondjuk el kellett volna velük beszélgetni még egy kicsit h egy feljelentés megálljon.
De megvan már a megoldás a problémára: mivel a bankok üzemeltetnek egy olyan rendszert ami nem biztonságos, nekik kell érte a felelősséget vállalni! Kész. Ez a megoldás - megtoldva még azzal, h minimálisan korlátlan ingyenes készpénzfelvételt kell biztosítaniuk, de maximálisan azzal h a fizetéseket kötelező készpénzben folyósítani. Szóval az emberek nem kényszertve lennének a bankok használatára, akkor nem tennék be a pénzüket egy olyan rendszerbe ami lehetőséget ad a kifosztásukra és utána még cinikusan őket teszi felelőssé ezért - ami pofátlanság netovábbja. Másfelöl ha mégis történne ilyen sajnálatos eset, akkor is a banknak kell kötelezően kártalanítania. Így bankok kerülnének abba a présbe, hogy az emberek felé vonzó szolgáltatást kell nyújtaniuk, másfelöl pedig a saját jólfelfogott érdekükben kell a biztonságos rendszert üzemeletetniük. Ezeknek a feltételek egyikének sem felelnek meg aktuálisan. Tehát nem bonyolíthanák túl a biztonságot - mert akkor nem lenne vonzó, de mégis kénytelenek lennének felelőséget vállani érte. És ez a prés, vagy ellentmondás bőven belefér abba, amit üzleti kockázatnak nevezhetünk, és így teljesen tisztességes a bankok felé - akik mondjuk nem igazán érdemelnek a társadalom részéről tisztességes viszonyulást. Szal még bőven nagylelkűek lennénk!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Már hiányoztál. Repülőgép jöhet?
Amenniyben szállít egy olyan rendszert, ahol nem az elkövető,csaló van kizárólag biztonságban, jöhet! De addig még a banké legyen a kár!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
"a bankok üzemeltetnek egy olyan rendszert ami nem biztonságos, nekik kell érte a felelősséget vállalni" - Azaz a bank adjon neked mobil device-t, azon mobilnetet (célszerűen saját zárt APN-nel), amin keresztül csak a banki felületet tudod elérni, és amire sem te, sem más nem tud programokat felrakni, maximum a bank az eszközbe bedrótozott CA-val aláírt alkalmazást...
"ingyenes készpénzfelvétel" - És ki a tök fizesse annak a költségét, te nagyonokos? A készpénzlogisztika nagyon-nagyon-nagyon-nagyon drága.
"maximálisan azzal h a fizetéseket kötelező készpénzben folyósítani." - ezt is kiveséztük, te nagyon korlátolt, készpénzlogisztika+őrzés+a pénzkezelés költségét ki állja?
Te ugye nagyon távol vagy az informatika minden ágától? Merem remélni minden érintett érdekében...
> Azaz a bank adjon
Bank felel az általa üzemeletett rendszerért. Ha ez a rendszer igénybe vesz olyan eszközöket, hálózatot whatever amik nem biztonságosak, akkor ezt a bank döntésének kell tekinteni, ami így a felelősségi körébe tartozik. A felelősség objektív. Magyarán mindenért felel. Nem érdekelnek a kifogások, tessék jó irányba felülni a lóra! (nem úgy van az, h csak profitot húznak abból, h minél szélesebb körben elérhetővé teszik a szolgáltatásukat, ami már a biztonság rovására megy, felelőséggel tartzonak érte!)
> ki a tök fizesse annak a költségét
Egy üzelti vállalkozás az adott szabályozási környezetben köteles működni. Vagy dönthet úgy h bezár. Ha tipp kell tölem, akkor kártyás fizetési infrastruktúra megszüntetésével felszabaduló erőforrásokat használhatja erre.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Ha a készpénzhasználat miatt megnövekszik a rablások/gyilkosságok száma, akkor az kinek a felelőssége?
Miert novekedne meg? Regen tobb volt? Sok telefon ma tobbet er, mint a _havi_ utcai keszpenz igenyem, megsem raboljak el oket lepten nyomon.
Nem az a kérdés, hogy mennyit költesz most kp, hanem az, hogy mennyit költesz összesen? És ezt szeretnéd e mind kp magadnál tartani?
Én nem költök sokat, mégszem szeretnék kp-vel rohangálni.
Na ezért van nekem még mindig tamagotchim és nem a mobilom használom internet bankolásra.
Minden hulla a Mount Everesten valamikor egy nagyon motivált ember volt.
"A csalók azzal telefonáltak Ferencnek ..."
1. számú hiba. Terrorizmus ellenes harc jegyében rendszeresen mindenkit azonosítania kell a szolgáltatóknak, hogy adott számnak ki az előfizetője. A számhoz tartozó előfizető adatainak birtokában már ki is szállhat a TEK, hogy kérdőre vonja a telefonálót.
"A csalók tehát feltörték Ferenc számláját, majd onnan több bank több számlájára utalták el a pénzt ..."
2. számú hiba. A bankoknak pontosan tudniuk kell, hogy ki a számla tulajdonosa. A tulajdonos adatainak birtokában már ki is szállhat a TEK, hogy kérdőre vonja a számla tulajdonosát.
Ez az elmélet. Gyakorlatban meg miért is nem tudni ki telefonálgat és kinek utalgat?
Hajléktalannal vetettek egy SIM kártyát meg nyitottak egy folyószámlát.
És sehol nem kell lakcímet megadni,meg bemutatni az iratokat?
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Lakcímkártyát állandó(!) lakcímmel konkrétan bármikor, bárhová szerezhetsz. Szépen aláírod a tulajdonos helyett, nem is kell hogy ott legyen a kormányablakban. Meglobogtatod a bejelentőt, kapod a kártyát.
echo crash > /dev/kmem
Szállasadói regisztráció elnevezés alatt fut, kormányablakban szemèlyesen vagy online ügyfélkapun készíthető el.
https://www.nyilvantarto.hu/ugyseged/SzallasadoiKerelemInditasa.xhtml
Azután már online tudod be és kijelenteni az embereket a címről. Illetve kérhetsz sms és-vagy email riasztást ha valaki a tudtodon kívül bejelentkezik az általad felügyelt címre. Ez utóbbi szolgáltatás az előbbiekkel szemben viszont már nem ingyenes, éves díja van és évente kell megújítani az előfizetést.
Se telefonszám, se bankszámlaszám alapján nem tudnak elkapni senkit, szerintem inkább szarnak rá, minthogy foglalkoznának vele. Vagy ha tényleg nem lehet tudni, hogy ki tartozik ezekhez, akkor meg ez az egész beazonosítási dolog egy értelmetlen baromság.
Egyébként nem úgy van, hogy az államkincstárnál egy saját számlád lehet, amit valahogy igazoltál, és oda tudsz csak kiutalni? De nem emlékszem, hogy volt. Egyébként mindenki mindenhova utalgatna ingyen.
Szóval sántít is Ferenc története. :)
Nem. :)
Mármint úgy értem, hogy egy számlaszámot adhatsz meg, amire az államkincstáros számládról utalhatsz. Amit számlanyitáskor meg kell adnod. - valamiért ezt így tudtam.
Egyet meg kell adni szamlanyitaskor, de utana megadhatsz akarmennyit (olyat is, ami nem a tied) a webes feluleten.
volt is egy cikk a kiszamolo.hu -n, hogy mennyire iszonyat gagyi a biztonsaga; konkretan le kellett vennie, mert annyira konnyen kihasznalhato.
pre-2000 szinten van kb.
Valahogy valakinek van már tudomása arról, hogy történt az eset? Mert csak találgatás megy.
Szerintem egy "idős fasznak" sokkal több effort, hogy pc-n kapja meg az sms-t, inkább megkapta mobilon, de hogyan szedték ki (és léptek be helyette!!!!) a jelszót?
A legvalószínűbb, hogy kémprogram volt a telefonján hetekig, amit ő maga telepített egy fertőzött linkre kattintva, majd onnan letöltve a kártevőt. Ugye?
Jókat szoktam mosolyogni, amikor a telefontársaságtól, vagy a banktól felhívnak, mert szeretnének valamit, és megkérnek, hogy azonosítsam magam.
Ilyenkor el szoktam magyarázni, nem, először Ő azonosítsa magát. Nem szokott sikerülni.
A legutóbbi még el is küldött a q anyámba, mikor közöltem vele, h ez a trükk most nem fog összejönni. Asszem ez elég egyértelmű, h mégsem a banktól hívtak. :)
Ugyebár banki szokás, hogy kéri az adataidat azonosításhoz.
Egy ismerőst nem a megszokott bankára hívta, hanem annak egy kollégája, más számról, akinek "cigány hangja volt". Konkrétan lecigányoza és elküldte az anyjába szerencsétlent :D
Később hívta a bankára, hogy a kolléga volt. Hát így járt, alapvetően jogos a félelem, de sztem kicsit paranoiás volt :D
Szerintem a mai világban nincs "kicsit". - Csak egészséges paranoia van!
(Egyébként meg tényleg érdekes az "azonosítás" azon "korszerű" módja, hogy mondjam anyám nevét és a születési dátumomat. (Miközben a mobilon ott a "szuper-biztonságos", folyamatosan frissített banki app. - Valamint még pár "számtech pápa"-cég authentikátor appja is.)
Én nem voltam bunkó egyszer sem, csak elmagyarázom, hogy ha én azonosítani tudom magam ezekkel az adatokkal, aki bárki azonosítani tudja magát vele, az én nevemben. Nem fogom egy random telefonálónak megadni.
Persze volt, hogy a kolléga a banktól vagy telefontársaságtól utána nem tudta leplezni, hogy "na, még egy okostojás ügyfél".
Sajnos komolyan felhívnak, nem csak csalók, de pl a bank is, hogy van egy nagyon jó ajánlata. Nem paranoia kérdése, még csak mérlegelni sem kell, ilyen egyszerűen nem létezhet.
Engem egyszer hívtak ilyesmivel. Asszem valami szuper hitelt akartak a nyakamba sózni. Megkértem, h ilyen soha többé ne legyen, különben bankot váltok. Megértették, azóta nem hívtak. Csak csalók. :)
Ez is egy olyan cikk, amiből teljesen biztosan egy dolgot tudunk meg az újságírótól. Van Ferenc akit nem Ferencnek hívnak. Banki szakember pedig sejtelmesen mosolyog:" Ferenc közel jár az igazsághoz" , mondja és megy dolgára, hiszen délre már ragyognia kell a folyosóknak.
https://blog.claryel.hu
A Telex sem a régi már ...
trey @ gépház
Ferenc tud úgy bankot választani, hogy a netbank/mobilbank minden tranzakcióhoz hardware tokent használjon. Jó lenne ha kincstárat is lehetne ilyet választani... végülis lehet... még EU tagok vagyunk...
trey @ gépház
-1
Komoly :D
trey @ gépház
Ez az egész egy vicc. Az öreg jobban járt volna ha a párnája alatt tartja a megtakarításait KP-ban vagy aranyba. Egyre kevésbé érzem ezt cikinek.
A hülye-aki-szerint-az-sms-kétfa szöveget toló kollégáknak javaslom, hogy vegyék fel a kapcsolatot a PayPal - al, mert sajnos még ők sem tudják...
Error: nmcli terminated by signal Félbeszakítás (2)
Ha Ferenc butatelefont használt volna, az egész problémája nem létezne. Ellenben Ferenc okostelefont használ, tehát Ferenc buta. :)
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
Session hijack butatelefonnal is működik.
Hmm, ez erdekelne, marmint a modszer. Annal is inkabb mert most pont egy telefont erre a celra toltam be a banki dolgaim ala, ami sehol mashol nincs megadva, tobbek kozott kapcsolattartokent sem. Tehat a telefon csak kétfa dolgokra van használva. Az az eset persze elképzelhető, hogy valaki a szám ismeretében átveszi magát a telefont -kihoz egy SIM -et a szolgaltatotol-, de ehhez ugye ismerni kellene a szamot.
Error: nmcli terminated by signal Félbeszakítás (2)