| Data: 2013-08-28 10:56:13 | |
| Autor: wiatrak | |
| ING "mÄ…dry inaczej" | |
|
Mam chwilowo ROR w ING. Wszyscy wiemy, że Śląski autoryzuje przelewy kodami sms wybiórczo. Bardzo wybiórczo. Na kilkanaście przelewów przyszły mi chyba ze dwa smsy. Nawet gdy przelewałem do obcego banku kilkanaście tysięcy i był to pierwszy przelew na to konto, i nie miałem go wsród swoich odbiorców, to poszło bez smsa.
Dzisiaj przeszli samych siebie.Przelewam kilka tysięcy na moje konto w Aliorze. Ten sam nadawca co i odbiorca. Wysłali smsa. Wtłukłem go w okieneczko. Poszłoo..... Ale chwila, chwila. Otworzyło się następne czerwone okienko , w którym napisali, że ponieważ jest to przelew WYSOKIEGO RYZYKA, muszę wpisać jeszcze jeden sms, który przyjdzie mi na komórkę. Rozumiem, że bank może mieć wątpliwości. Ale co daje wysłanie drugiego smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z komórki, to będzie też chyba umiał wpisać drugiego smsa. (Jeżeli ma moja komórkę) Jakiś inny sposób upewnienia się bym zrozumiał. Ale tego nie rozumiem. Czy ktos moze mnie oświeci? Bo ja nie kumam tego systemu ING. |
|
| Data: 2013-08-28 11:01:36 | |
| Autor: sqlwiel | |
| ING "mÄ…dry inaczej" | |
|
W dniu 2013-08-28 10:56, wiatrak pisze:
smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z Nie Ty jeden :) Już to roztrząsałem parę lat temu. O ile chwilami można łyknąć brak autoryzacji przy drobnych kwotach - np. <100zł dla PayU, który poniekąd może być "globalnie zaufanym odbiorcą", to ten podwójny SMS na ten sam telefon nie ma najmniejszego merytorycznego uzasadnienia. Gdyby np żądało "nazwiska panieńskiego matki", najlepiej wybranych 2-3 liter - to bym jeszcze rozumiał. Ale algorytm "kiedy żądać SMSa" jest tajny i nic się w banku nie dowiesz. Ot - taki folklor. Faktycznie "mądry inaczej". Tfurca systemu dobrze się zabezpieczył, żeby trudniej było mu zarzucić partactwo. -- Dziękuję. Pozdrawiam. sqlwiel. |
|
| Data: 2013-08-28 13:21:06 | |
| Autor: jg | |
| ING "mÄ…dry inaczej" | |
|
Dnia Wed, 28 Aug 2013 10:56:13 +0200, wiatrak napisa³(a):
Ale co daje wys³anie drugiego smsa na ta sam± komórkê. Skoro z³odziej wpisa³ pierwszego smsa z komórki, to bêdzie te¿ chyba umia³ wpisaæ drugiego smsa. niekoniecznie. w miedzyczasie moze zejsc np. na zawal serca... wtedy jestes uratowany... cwane i przebieg³e... -- jg |
|
| Data: 2013-08-28 18:28:05 | |
| Autor: Borys Pogore³o | |
| ING "mÄ…dry inaczej" | |
|
Dnia Wed, 28 Aug 2013 10:56:13 +0200, wiatrak napisa³(a):
Rozumiem, ¿e bank mo¿e mieæ w±tpliwo¶ci. Ale co daje wys³anie drugiego smsa na ta sam± komórkê. Skoro z³odziej wpisa³ pierwszego smsa z komórki, to bêdzie te¿ chyba umia³ wpisaæ drugiego smsa. (Je¿eli ma moja komórkê) Jaki¶ inny sposób upewnienia siê bym zrozumia³. Ale tego nie rozumiem. Podejrzewam, ¿e chodzi o zabezpieczenie antyphishingowe. W ten sposób blokujesz formularze i wirusy zbudowane tak, by wy³udziæ tylko jedno has³o jednorazowe. -- Borys Pogore³o borys(#)leszno,edu,pl |
|
| Data: 2013-08-28 19:56:49 | |
| Autor: wiktor | |
| ING "mÄ…dry inaczej" | |
|
Dnia Wed, 28 Aug 2013 18:28:05 +0200, Borys Pogore³o napisa³(a):
Dnia Wed, 28 Aug 2013 10:56:13 +0200, wiatrak napisa³(a): Nie rozumiem. To znaczy wiem, jak dzia³aj± strony phishingowe, ale nie rozumiem, jak wysy³anie kolejnego has³a ma przed nimi zabezpieczaæ. Od strony banku wygl±da³oby to przecie¿ tak, ¿e wysy³a (pierwsze) has³o do u¿ytkownika, ale ju¿ od niego nie otrzymuje tego has³a w formie wpisanej w formularzu powi±zanym z tym has³em. (bo przejmuje je strona phishingowa, by wykorzystaæ w innym celu). W takim razie sk±d bank ma wiedzieæ, czy ju¿ ma wys³aæ drugie has³o? Je¶li u¿ytkownik wpisa³ (pierwsze) has³o, to znaczy, ¿e hakierom nie uda³o siê tego has³a przechwyciæ, albo zrobili to nieudolnie, bo u¿ytkownik autoryzowa³ to, co mia³ autoryzowaæ i has³a nie uda siê z³oczyñcom wykorzystaæ ponownie. Po co s³aæ drugie? w. |
|
| Data: 2013-08-28 20:07:44 | |
| Autor: MarekZ | |
| ING "m±dry inaczej" | |
|
U¿ytkownik "wiktor" napisa³ w wiadomo¶ci grup dyskusyjnych:r7pl2rcvmoso$.1tzpiewld87e5$.dlg@40tude.net...
Nie rozumiem. To znaczy wiem, jak dzia³aj± strony phishingowe, ale nie [...] Tak jak napisa³ Borys. Pomimo ewentualnego u¿ycia przejêtego has³a przez skrypt, akcja która ma zostaæ przez to has³o "obs³u¿ona" nie zostanie wykonana, bo skrypt nie jest w stanie obs³u¿yæ ¿±dania jakiego¶ dodatkowego has³a. |
|
| Data: 2013-08-28 20:38:15 | |
| Autor: wiktor | |
| ING "m±dry inaczej" | |
|
Dnia Wed, 28 Aug 2013 20:07:44 +0200, MarekZ napisa³(a):
U¿ytkownik "wiktor" napisa³ w wiadomo¶ci grup dyskusyjnych:r7pl2rcvmoso$.1tzpiewld87e5$.dlg@40tude.net... Wyja¶ni³e¶ dok³adnie zero. Nie chce mi siê pisaæ ponownie moich zastrze¿eñ. Z bogiem! |
|
| Data: 2013-08-28 18:40:38 | |
| Autor: Grzexs | |
| ING "mÄ…dry inaczej" | |
Czy ktos moze mnie oświeci? Bo ja nie kumam tego systemu ING. To ja jeszcze dorzucę swoje 3 grosze. Dziś próbowałem zastrzec kartę. Dzwonię i mówię, że chce zastrzec, a pani na to, że z jakiego powodu, no to ja, że karta przestała mi być potrzebna i już jej nie chcę. Na to pani, że ona nie może zastrzec, bo tylko w przypadku zgubienia lub kradzieży i zaprasza do oddziału. Ba, gdybym miał w mieście oddział, to bym nie zastrzegał, tylko od razu zlikwidował! No to bez większego problemu i pytań zastrzegłem przez www. -- Grzexs |
|
| Data: 2013-08-29 19:33:30 | |
| Autor: Andrzej Kubiak | |
| ING "mÄ…dry inaczej" | |
|
Dnia Wed, 28 Aug 2013 18:40:38 +0200, Grzexs napisa³(a):
Dzwoniê i mówiê, ¿e chce zastrzec, a pani na to, ¿e z jakiego powodu, no to ja, ¿e karta przesta³a mi byæ potrzebna i ju¿ jej nie chcê. Na to pani, ¿e ona nie mo¿e zastrzec, bo tylko w przypadku zgubienia lub kradzie¿y i zaprasza do oddzia³u. Ba, gdybym mia³ w mie¶cie oddzia³, to bym nie zastrzega³, tylko od razu zlikwidowa³! Podobnie jest w BZWBK. Gdy konsultantka wy³uszczy³a swoje procedury, g³osem pe³nym ¿alu stwierdzi³em, ¿e karta w³a¶nie wypad³a mi przez okno i j± zgubi³em, a na nie¶mia³y protest stwierdzi³em, ¿e rozmowa siê nagrywa i je¶li odmówi zastrze¿enia, a kto¶ dokona transakcji moj± kart±, bêdzie mia³a k³opoty. Dalej posz³o g³adko, aczkolwiek pani chyba siê obrazi³a. :) AK |
|
| Data: 2013-09-03 14:17:26 | |
| Autor: Grzexs | |
| ING "m±dry inaczej" | |
Dzwoniê i mówiê, ¿e chce zastrzec, a pani na to, ¿e z jakiego powodu, no Dok³adnie to samo przysz³o mi do g³owy. A ¿e przechodzi³em przez most, to przecie¿ karta mog³aby wpa¶æ w nurty. A potem kto¶ by j± wy³owi³ na wyspach Tuvalu i u¿y³. -- Grzexs |
|
| Data: 2013-08-30 10:24:50 | |
| Autor: Arek | |
| ING "mÄ…dry inaczej" | |
|
wiatrak napisał(a) w wiadomości: ...
[...] Ktoś nie przemyślał procedur. O ile pamiętam kiedyś dobił mnie sposób aktywacji kanałów dostępu - info przez SMS włączyć można było tylko przez internet a nie mozna było w oddziale... Może nieco mniej głupie ale równie irytujące - próba założenia lokaty w Meritum po zmianie nr telefonu, pisałem kiedyś na grupie: http://www.finanse.egospodarka.pl/grupy/procedury-Meritum,t,380675,8.html# Arek |
|