Założyłem konto,
utworzyłem odbiorcę,
zleciłem przelew wewnętrzny na konto innej osoby w ING,
zrealizowane.

Ani razu nie proszono mnie o kod SMSowy, czy to norma w ING? Czyli jak ktos wbije na konto ING to znając hasło główne może wyprowadzić pieniądze z banku?!

W dniu 2013-06-19 18:32, az.anonim pisze:

Ani razu nie proszono mnie o kod SMSowy, czy to norma w ING?

Tak. Tzn "tajny algorytm". Nie zawsze żąda drugiej autoryzacji.

Czyli jak ktos wbije na konto ING to znając hasło główne może wyprowadzić pieniądze z banku?!

Jak będzie miał szczęście... :)



--

Dziękuję. Pozdrawiam.   Zgred.

Użytkownik "zgred"  napisał w wiadomości grup dyskusyjnych:51c1df51$0$1230$65785112@news.neostrada.pl...

Jak będzie miał szczęście... :)

I odpowiednie IP.

W dniu 2013-06-19 19:53, MarekZ pisze:

Użytkownik "zgred" napisał w wiadomości grup
dyskusyjnych:51c1df51$0$1230$65785112@news.neostrada.pl...

Jak będzie miał szczęście... :)

I odpowiednie IP.

A jaki jest "odpowiedni" przy korzystaniu z mobilnego?


--

Dziękuję. Pozdrawiam.   Zgred.

Przy małych kwotach 10 - 50 zł z reguły mnie nie pyta o smskod, przy kwotach rzędu 200 - 500 zł jest duże szanse że zapyta, a przy dużych kwotach (np. 10000 zł) zwłaszcza do osób do których wcześniej nie był robiony przelew potrafiło dla równowagi zapytać dwa razy i dwa razy kazać potwierdzać. Reasumując: raczej to koniec końców bezpieczne chociaż moją pierwszą reakcją również była irytacja.

C.

W dniu 2013-06-19 20:51, C. pisze:

Przy małych kwotach 10 - 50 zł z reguły mnie nie pyta o smskod, przy kwotach rzędu 200 - 500 zł jest duże szanse że zapyta, a przy dużych kwotach (np. 10000 zł) zwłaszcza do osób do których wcześniej nie był robiony przelew potrafiło dla równowagi zapytać dwa razy i dwa razy kazać potwierdzać.

Reasumując: raczej to koniec końców bezpieczne chociaż moją pierwszą reakcją również była irytacja.

C.

przy kwotach do 2000zł pytało chyba raz na 10 razy - przynajmniej przy koncie firmowym. Ale to było pół roku temu, po wykryciu przeze mnie tej luki najszybciej jak mogłem przestałem z tego konta korzystać.

--
Pozdrawiam
Lukasz

Dnia Wed, 19 Jun 2013 20:31:06 +0200, zgred napisał(a):

A jaki jest "odpowiedni" przy korzystaniu z mobilnego?

Nie chodzi tutaj o "jaki" czy tam "odpowiedni". Podejrzewam, że ich system robi sobie profil dla każdego klienta osobno i przykładowo, jeżeli logujesz się cały czas z tego samego adres IP, tej samej przeglądarki etc no można sobie dużo takich kwalifikatorów wymyślić, to decyduje czy potrzeba dodatkowej autoryzacji czy nie.



--
xbartx

W dniu 2013-06-20 17:47, xbartx pisze:

Dnia Wed, 19 Jun 2013 20:31:06 +0200, zgred napisał(a):

A jaki jest "odpowiedni" przy korzystaniu z mobilnego?

Nie chodzi tutaj o "jaki" czy tam "odpowiedni". Podejrzewam, Ĺźe ich
system robi sobie profil dla każdego klienta osobno i przykładowo, jeżeli
logujesz się cały czas z tego samego adres IP, tej samej przeglądarki etc
no można sobie dużo takich kwalifikatorów wymyślić, to decyduje czy
potrzeba dodatkowej autoryzacji czy nie.

Owszem. Ten algorytm może być całkiem sensowny i sam tu kiedyś pisałem, że odpowiada mi to, że płacąc w PayU nie muszę łapać za telefon i przeklepywać hasła z SMSa.
Być może ktoś korzystający z mobilnego / dynamicznego nie ma takich udogodnień, albo ma je dużo rzadziej.

Jednak przelew na pierwszy raz zasilan konto z dynamicznego IP powinien ZAWSZE wymagać autoryzacji. Czy ktoś miał przypadek temu przeczący?

A hasła do logowania trzeba pilnować. (Kropka). A jak jest maskowane, to ma podwyższoną odporność. No i zmieniać czasem też nie zaszkodzi.



--

Dziękuję. Pozdrawiam.   Zgred.

Dnia Thu, 20 Jun 2013 18:03:25 +0200, zgred napisał(a):

Owszem. Ten algorytm może być całkiem sensowny i sam tu kiedyś pisałem,
że odpowiada mi to, że płacąc w PayU nie muszę łapać za telefon i
przeklepywać hasła z SMSa.
Być może ktoś korzystający z mobilnego / dynamicznego nie ma takich
udogodnień, albo ma je dużo rzadziej.

Jednak przelew na pierwszy raz zasilan konto z dynamicznego IP powinien
ZAWSZE wymagać autoryzacji. Czy ktoś miał przypadek temu przeczący?

Wiesz IP może być jedną z kilkunastu albo i więcej składowych, które decydują. Można np. sprawdzać czy jest zawsze z puli tego samego operatora. Poza tym jeżeli chodzi o aplikację mobilną, to ona sama z siebie może generować unikalne ID czy coś tam na zasadzie konto<>telefon. No jak wspomniałem pole do popisu jest ogromne, więc nie ma co tak demonizować tego ING i jego algorytmu, bo chyba jak na razie to jeszcze nikt się na nich nie poskarżył, że ktoś obcy kasę z konta przelał, nie wiadomo jak?



--
xbartx

W dniu 2013-06-20 20:10, xbartx pisze:

Jednak przelew na pierwszy raz zasilan konto z dynamicznego IP powinien
ZAWSZE wymagać autoryzacji. Czy ktoś miał przypadek temu przeczący?

Wiesz IP może być jedną z kilkunastu albo i więcej składowych, które
decydują. Można np. sprawdzać czy jest zawsze z puli tego samego
operatora.

No i dowiesz się z whois, że "Telekomunikacja Polska". :) Jakieś drobne 30% użytkowników internetu w PL. :)

Poza tym jeżeli chodzi o aplikację mobilną, to ona sama z

siebie może generować unikalne ID czy coś tam na zasadzie konto<>telefon.

Nie wiem na ile przeciętnym użytkownikiem jestem, ale uzywam w necie kilku komputerów i 2 telefonów. Owszem, to nadal jest jakaś pula tych ID-ów, ale to się mnoży przez ilość używanych urządzeń.

Powtarzam: pomysł z heurystycznym algorytmem jest OK, ale niegłupie byłoby jakieś "forum" do wrzucania pomysłów na scenariusze fraudów, cy-cóś.

No jak wspomniałem pole do popisu jest ogromne, więc nie ma co tak
demonizować tego ING i jego algorytmu, bo chyba jak na razie to jeszcze
nikt się na nich nie poskarżył, że ktoś obcy kasę z konta przelał, nie
wiadomo jak?

p.b.b to jeszcze nie 100% klientów banku, a jeśli by doszło do wyrwania kasy, to bank będzie stawał na uszach, żeby to się nie rozniosło. Np. "uznamy reklamację, a pan zobowiąże się do zachowania zdarzenia w tajemnicy".




--

Dziękuję. Pozdrawiam.   Zgred.

W dniu 2013-06-20 18:03, zgred pisze:

Jednak przelew na pierwszy raz zasilan konto z dynamicznego IP powinien
ZAWSZE wymagać autoryzacji. Czy ktoś miał przypadek temu przeczący?

neostrada=zmienne IP. Jak już napisałem przelewy do ok 2000zł- wykonywane pierwszy raz- dość często przechodziły bez potwierdzania (2000zł nie jestem pewny, ale na pewno poszły tak kwoty rzędu >1000zł)

O ile w przypadku konta prywatnego na które wpływało by np. 2000zł miesięcznie zniknięcie gotówki jest łatwe do zauważenia, o tyle na firmowym, gdzie jest uruchomione ileś tam zleceń stałych, poleceń zapłaty i co chwilę przychodzą płatności sprawdzanie czy przypadkiem dziś nie zostałem okradziony było dla mnie zbyt absorbujące...

--
Pozdrawiam
Lukasz

Dnia Fri, 21 Jun 2013 10:40:41 +0200, ddddddd napisał(a):

O ile w przypadku konta prywatnego na które wpływało by np. 2000zł
miesięcznie zniknięcie gotówki jest łatwe do zauważenia, o tyle na
firmowym, gdzie jest uruchomione ileś tam zleceń stałych, poleceń
zapłaty i co chwilę przychodzą płatności sprawdzanie czy przypadkiem
dziś nie zostałem okradziony było dla mnie zbyt absorbujące...

No ale zauważ, że to Ty zalogowałeś się do swojego konta i zrobiłeś prawidłowe przelewy. Ok wygląda to dziwnie ale jakby na to nie patrzeć działa tak jak należy :)



--
xbartx

Dnia Fri, 21 Jun 2013 20:45:32 +0000 (UTC), xbartx napisał(a):

Dnia Fri, 21 Jun 2013 10:40:41 +0200, ddddddd napisał(a):

O ile w przypadku konta prywatnego na które wpływało by np. 2000zł
miesięcznie zniknięcie gotówki jest łatwe do zauważenia, o tyle na
firmowym, gdzie jest uruchomione ileś tam zleceń stałych, poleceń
zapłaty i co chwilę przychodzą płatności sprawdzanie czy przypadkiem
dziś nie zostałem okradziony było dla mnie zbyt absorbujące...

No ale zauważ, że to Ty zalogowałeś się do swojego konta i zrobiłeś prawidłowe przelewy. Ok wygląda to dziwnie ale jakby na to nie patrzeć działa tak jak należy :)

Po to wymagaja drugiej autoryzacji, ze widac jedna to za malo.

Mozna sie zastanawiac czy druga potrzebna - ale naszemu koledze sie
wydaje i wiekszosci bankow sie wydaje.
Biorac pod uwage wszelkie hackerow mozliwosci, to wydaje sie raczej
sensowna.

Wiele ma liste "zaufanych odbiorcow", do ktorych nie trzeba. Ale zdefiniowanie takiego wymaga drugiej autoryzacji.

J.

W dniu 2013-06-22 14:09, J.F. pisze:

Dnia Fri, 21 Jun 2013 20:45:32 +0000 (UTC), xbartx napisał(a):

Dnia Fri, 21 Jun 2013 10:40:41 +0200, ddddddd napisał(a):

O ile w przypadku konta prywatnego na które wpływało by np. 2000zł
miesięcznie zniknięcie gotówki jest łatwe do zauważenia, o tyle na
firmowym, gdzie jest uruchomione ileś tam zleceń stałych, poleceń
zapłaty i co chwilę przychodzą płatności sprawdzanie czy przypadkiem
dziś nie zostałem okradziony było dla mnie zbyt absorbujące...

No ale zauważ, że to Ty zalogowałeś się do swojego konta i zrobiłeś
prawidłowe przelewy. Ok wygląda to dziwnie ale jakby na to nie patrzeć
działa tak jak należy :)

Po to wymagaja drugiej autoryzacji, ze widac jedna to za malo.

Mozna sie zastanawiac czy druga potrzebna - ale naszemu koledze sie
wydaje i wiekszosci bankow sie wydaje.
Biorac pod uwage wszelkie hackerow mozliwosci, to wydaje sie raczej
sensowna.

Wiele ma liste "zaufanych odbiorcow", do ktorych nie trzeba.
Ale zdefiniowanie takiego wymaga drugiej autoryzacji.

W WBK zdefiniowanie nawet niezaufanego odbiorcy wymaga autoryzacji ;-). Bezsens.

Dnia Sat, 22 Jun 2013 14:37:18 +0200, Klebespachtel napisał(a):

W dniu 2013-06-22 14:09, J.F. pisze:

Wiele ma liste "zaufanych odbiorcow", do ktorych nie trzeba.
Ale zdefiniowanie takiego wymaga drugiej autoryzacji.

W WBK zdefiniowanie nawet niezaufanego odbiorcy wymaga autoryzacji ;-). Bezsens.

A moze nie taki bezsens ? Ktos ci sie wlamie w chwili nieuwagi, zmieni, albo usunie i zdefiniuje
na nowo, a potem bedziesz wysylal i autoryzowal przelewy do niego ..

J.

Dnia Sat, 22 Jun 2013 14:09:47 +0200, J.F. napisał(a):

Po to wymagaja drugiej autoryzacji, ze widac jedna to za malo.

Mozna sie zastanawiac czy druga potrzebna - ale naszemu koledze sie
wydaje i wiekszosci bankow sie wydaje.
Biorac pod uwage wszelkie hackerow mozliwosci, to wydaje sie raczej
sensowna.

Wiele ma liste "zaufanych odbiorcow", do ktorych nie trzeba.
Ale zdefiniowanie takiego wymaga drugiej autoryzacji.

Ja to wszystko rozumiem. Mi chodzi tylko o to nieszczęsne ING, które na grupie robi trochę za kozła, bo ma inną filozofię niż cała reszta. Wszyscy podają przykłady jak robili tak albo tak i nie chciano od nich nic (w sensie nie chciano drugiej autoryzacji). Tylko, że te wszystkie przykłady są jak najbardziej prawidłowe i każdy jeden potwierdza właśnie to, że algorytm czy tam usługa ING działa w pełni poprawnie i jak trzeba. Niech ktoś w końcu pod przykład, że zalogował się na nie swoje konto i porobił ileś przelewów bez drugiej autoryzacji, to będzie można wtedy dopiero podyskutować.



--
xbartx

Dnia Sun, 23 Jun 2013 04:53:10 +0000 (UTC), xbartx napisał(a):

Dnia Sat, 22 Jun 2013 14:09:47 +0200, J.F. napisał(a):

Po to wymagaja drugiej autoryzacji, ze widac jedna to za malo. [...]

Niech ktoś w końcu pod przykład, że zalogował się na nie swoje konto i porobił ileś przelewów bez drugiej autoryzacji, to będzie można wtedy dopiero podyskutować.

Myslisz ze tak zrobil i napisze ? Predzej przeczytamy ze "ktos mi wyslal z konta przelewy i nawet nie
wiem jak".

Ktos podejrzy twoje haslo, moze przy pomocy programu, a potem bedzie
przelewal drobne kwoty. Wirusa odbierzesz, zalogujesz sie,
przegladarka przy nacisnieciu "wyloguj" sama wysle. Zalogujesz sie w pracy, blysnie, trzasnie, zgasnie ... a to byla sesja
VNC, ktora teraz ktos dalej obsluguje. Zeby jeszcze ING wzial takie przypadki "na klate" - rzadkie, na
niewielkie kwoty, ubezpieczenie zwroci, to mozemy klientowi ulawic,
ale widzisz jak z kartami postepuja - bank nie moze byc stratny :-)

J.

Dnia Sun, 23 Jun 2013 11:57:20 +0200, J.F. napisał(a):

Myslisz ze tak zrobil i napisze ?

Jakkolwiek by o tym nie napisał, to przynajmniej tutaj na grupie jeszcze nic nie było ani z autopsji ani linkowania do wrzutki artykuły/notatki a przynajmniej ja sobie nie przypominam. W teorii różnica między teorią i praktyką nie istnieje, niestety w praktyce już nie bardzo.




--
xbartx

W dniu 2013-06-23 14:35, xbartx pisze:

Dnia Sun, 23 Jun 2013 11:57:20 +0200, J.F. napisał(a):

Myslisz ze tak zrobil i napisze ?

Jakkolwiek by o tym nie napisał, to przynajmniej tutaj na grupie jeszcze
nic nie było ani z autopsji ani linkowania do wrzutki artykuły/notatki a
przynajmniej ja sobie nie przypominam. W teorii różnica między teorią i
praktyką nie istnieje, niestety w praktyce już nie bardzo.

no tak, ale ile w ogóle jest informacji o włamaniach do czegokolwiek? od czasu do czasu pojawi się jakiś artykuł (może max kilka razy w roku), jak komuś ukradną hasło do konta bo będzie miał trojana to wina i tak będzie użytkownika... a hasła smsowe mają przed tym zabezpieczyć, wystarczy pewność że potwierdzamy swoją operację...
Mi tam zwisa to czy ktoś zobaczy ile mam na koncie czy nie, więc nie boję się utraty hasła do normalnego banku (choć je zabezpieczam) bo wiem, że jedynie może zrobić przelew do zaufanych odbiorców- więc tam, gdzie kasę uda mi się odzyskać. W ING takiej pewności nie miałem.
O przekrętach związanych z płatnościami zbliżeniowymi też nikt nie pisze, a scenariusz odczytu karty w tramwaju wydaje się dość realny (może jest jakieś utrudnienie od strony operatorów terminali i nikt jeszcze tego nie próbował?).

--
Pozdrawiam
Lukasz

Dnia Mon, 24 Jun 2013 13:04:36 +0200, ddddddd napisał(a):

no tak, ale ile w ogóle jest informacji o włamaniach do czegokolwiek? od
czasu do czasu pojawi się jakiś artykuł (może max kilka razy w roku),
jak komuś ukradną hasło do konta bo będzie miał trojana to wina i tak
będzie użytkownika... a hasła smsowe mają przed tym zabezpieczyć,
wystarczy pewność że potwierdzamy swoją operację...
Mi tam zwisa to czy ktoś zobaczy ile mam na koncie czy nie, więc nie
boję się utraty hasła do normalnego banku (choć je zabezpieczam) bo
wiem, że jedynie może zrobić przelew do zaufanych odbiorców- więc tam,
gdzie kasę uda mi się odzyskać. W ING takiej pewności nie miałem.
O przekrętach związanych z płatnościami zbliżeniowymi też nikt nie
pisze, a scenariusz odczytu karty w tramwaju wydaje się dość realny
(może jest jakieś utrudnienie od strony operatorów terminali i nikt
jeszcze tego nie próbował?).

Jesteś kolejną osobą, która snuje teorie mniej lub bardziej spiskowe/
wykonalne tudzież absurdalne. Pogadajmy może wtedy jak ktoś w końcu obnaży słabość systemu ING inaczej dyskusja jest bez sensu, stąd też z mojej strony EOT.



--
xbartx

W dniu 2013-06-24 23:33, xbartx pisze:

Jesteś kolejną osobą, która snuje teorie mniej lub bardziej spiskowe/
wykonalne tudzież absurdalne. Pogadajmy może wtedy jak ktoś w końcu
obnaży słabość systemu ING inaczej dyskusja jest bez sensu, stąd też z
mojej strony EOT.

wyglądasz na pracownika tego banku :)
Podobnie wykonalna i równie absurdalna jest kradzież Porsche Cayman- znajdź mi informację o jego kradzieży - nie ma, to znaczy że go się nie da ukraść?
Instalacja trojana+keylogger+tunel czy cokolwiek innego na komputerze ofiary wydaje mi się bardzo realna, znam osoby które byłyby w stanie coś takiego zrobić, dlatego bardzo realne wydaje mi się takie włamanie. Oczywiście jest też bardzo małe prawdopodobieństwo, że trafi właśnie na mnie.
Ale ja z tych, co w tylnej kieszeni pieniędzy nie noszą, a idąc do pubu zbędną gotówkę i karty zostawiają w domu

--
Pozdrawiam
Lukasz

W dniu 2013-06-25 08:08, ddddddd pisze:

W dniu 2013-06-24 23:33, xbartx pisze:

Jesteś kolejną osobą, która snuje teorie mniej lub bardziej spiskowe/
wykonalne tudzież absurdalne. Pogadajmy może wtedy jak ktoś w końcu
obnaży słabość systemu ING inaczej dyskusja jest bez sensu, stąd też z
mojej strony EOT.

wyglądasz na pracownika tego banku :)

Nie obrażaj zasu(sz^H)żonego członka :)

Wiem, że my-tu na p.b.b stanowimy 0.001% klientów tego banku i wołanie "kogo o...li?" jest mało efektywne.

Podobnie wykonalna i rĂłwnie absurdalna jest kradzieĹź Porsche Cayman-
znajdź mi informację o jego kradzieży - nie ma, to znaczy że go się nie
da ukraść?

Oczywiście (że nie znaczy). Idąc dalej - stwierdzenie "nie znaleźliśmy u pana raka" wcale nie oznacza, że "nie ma pan raka". Implikacja działa tylko w drugą stronę.
Jednak my-tu-sobie roztrząsamy skuteczność zabezpieczenia systemu transakcyjnego ING przed fraudem. A nie znamy (i nie poznamy) przypadkĂłw takich, Ĺźe jest fraud, klient się skarĹźy, bank rozpatruje na korzyść klienta, pokrywa mu stratę z kasy zaoszczędzonej na niedouszczelnieniu systemu i kaĹźe klientowi podpisać cyrograf "cicho-sza".  Nom-to-loto, byle-by działało.
Tylko bank wie na ile system jest szczelny i co się bardzie opłaca - wycierać podłogę z kapiącej uszczelki, czy wymienić instalację.

Instalacja trojana+keylogger+tunel czy cokolwiek innego na komputerze
ofiary wydaje mi się bardzo realna, znam osoby które byłyby w stanie coś
takiego zrobić, dlatego bardzo realne wydaje mi się takie włamanie.
Oczywiście jest też bardzo małe prawdopodobieństwo, że trafi właśnie na
mnie.

Oczywiście. Ale trzeba mieć świadomość, że jak już Cię wezmą na celownik, to standardowe bankowe zabezpieczenia nie wystarczą, bo są przewidziane, uwzględnione i rozpracowane. Trzeba mieć trzecią [i czwartą...] linię obrony.

Ale ja z tych, co w tylnej kieszeni pieniędzy nie noszą, a idąc do pubu
zbędną gotówkę i karty zostawiają w domu

Bardzo istotna uwaga. :)
Z bliskich mi historii: Facet przyjechał z Niemiec, wymienił 1000€, poszedł z kolegą (moim) na piwo, oczywiście za piwo zapłacił machając tymi 4kołami. Wypili po dwa piwa. Mój kolega zupełnie nie pamięta tego wieczoru, do domu został doniesiony przez tego "Niemca". Mój kolega posłużył za falochron...




--

Dziękuję. Pozdrawiam.   Ten Maruda

W dniu 2013-06-23 06:53, xbartx pisze:

Wszyscy podają przykłady jak robili tak albo tak i nie chciano od nich
nic (w sensie nie chciano drugiej autoryzacji). Tylko, Ĺźe te wszystkie
przykłady są jak najbardziej prawidłowe i każdy jeden potwierdza właśnie
to, że algorytm czy tam usługa ING działa w pełni poprawnie i jak trzeba.

To i ja podam:
  - pierwszy (od otwarcia konta) przelew wychodzący
  - odbiorca bluecash
  - kwota ~50zł

Bank nie widzi podstaw do dodatkowej autoryzacji transakcji. Jak dla mnie dziwne... przy pierwszym przelewie na dany rachunek (a w tym przypadku pierwszym przelewie w ogóle) bank mógłby się bardziej postarać.

Czyżby ING wykryło wiśniobranie i stwierdziło, że nie warto chronić środków takiego klienta? ;)

Dnia Mon, 24 Jun 2013 17:37:07 +0200, osa napisał(a):

To i ja podam:
  - pierwszy (od otwarcia konta) przelew wychodzący - odbiorca bluecash

Przelew tak ale czy pierwsze logowanie?


--
xbartx