Data: 2017-05-04 19:12:55 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
28.04 zlecane koszykiem było kilka przelewów, dzisiaj loguję się i widzę, że nie wyszły i mają status "zablokowany rachunek". Kogo - czy nadawcy czy odbiorcy nie wiadomo. Dzwonię na mlinię, dowiaduję się, że 27.04 "system mbanku wykrył aktywnoś8 wirusa" na moim koncie i automatycznie zablokował rachunek. Nie używam windowsa i nigdy nie używałem więc uznałem to za jakieś brednie aczkolwiek zacząłem podejrzewać pewne wyjasnienie zdarzenia ale o tym później. Zarządałem zdjęcia blokady. Zostałem poinformowany, że muszę na głos powtórzyć formułę, że,z
-- Marek |
|
Data: 2017-05-04 19:43:55 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Thu, 04 May 2017 19:12:55 +0200, Marek <fake@fakeemail.com> wrote:
poinformowany, że muszę na głos powtórzyć formułę, że "zwalniam mBank z odpowiedzoalnosci za wyprowadzenie srodkow" z powodu działania wirusa. Czy w świetle ostatnich spraw sądowych omawianych tu na grupie, takie oświadczenie ma jakieś znaczenie w świetle argumentacji sądu że tylko ten, który jest strona umowy bankowej jest autoryzowany do zlecenia przelewów? Ale to nie koniec. Jak wcześniej wspomniałem zacząłem się domyślać co zaszło i moje podejrzenia spadły na mojego pełnomocnika , który ma też dostęp do tego rachunku (własnym loginem rzecz jasna). Okazało się, że owszem tamtego dnia dostał smsem informację o blokadzie swoich rachunkow, przeskanował komputer i nic nie znalazł. Po tym zadzwonil na mlinię by zdając blokady. Clue sprawy: mbank nie informuje TEŻ właściciela rachunku, gdy pełnomocnik zablokuje "wirusem" własne rachunki i przy okazji nie swoje, do których ma dostęp.... ręce.opadają... -- Marek |
|
Data: 2017-05-05 00:33:25 | |
Autor: sczygiel | |
mBank znowu podnosi ciśnienie | |
W dniu czwartek, 4 maja 2017 19:43:58 UTC+2 użytkownik Marek napisał:
On Thu, 04 May 2017 19:12:55 +0200, Marek <fake@fakeemail.com> wrote:Mialem ostatnio podobną akcję. Robilem przelew, odszedłem na chwile po zrobieniu przelewu i jak wróciłem to sesja byla wylogowana. Po zalogowaniu sie okazalo sie ze nie moge zrobic kolejnego przelewu bo konto zablokowane a lista haseł jednorazowych usunieta (była wykorzystana w połowie). Trzeba było sprawdzić kompa, sieć, modem, certyfikaty, odblokowac konto, zamowic liste haseł, aktywować. Tylko 10 dni całośc zajęła... Probowalem sie dowiedzieć co spowodowało zablokowanie konta. Nie powiedzieli mi. Stwierdzili ze system bezpieczeństwa wykrył dziwne aktywnosci. Napisalem do niebezpiecznik.pl. Napisali ze zapytają ale chyba sie wiele nie dowiedzieli. Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się zgadzają. I co ciekawe dokopać sie do opublikowanych poprawnych certyfikatów jakie powinny byc jest trudno. Bo to ze mi sie certyfikat wyswietla poprawnie w przegladarce i ma poprawny ciąg certyfikatów zaufanych to nie znaczy ze jest dobrze. Antywirusy podmieniają certyfikaty i też to wyglada dobrze. W sytuacji rootkita czy wirusa nie mozna wierzyć temu co sie widzi w przegladarce. A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie oszukał. Ale to tak nawiasem... Efekt: 10 dni bez konta, pol dnia zmarnowane na szukanie syfu i odblokowywanie konta, 20pln na nowa liste haseł jednorazowych (no 10pln bo ta co byla to juz w polowie zuzyta)... |
|
Data: 2017-05-05 01:20:59 | |
Autor: Dawid Rutkowski | |
mBank znowu podnosi ciśnienie | |
Bardzo lubię historię kochających mBąk miłością BDSM (albo się za takich podających trolli - oczywiście wtedy, gdy wymyślą coś interesującego).
|
|
Data: 2017-05-05 13:38:46 | |
Autor: J.F. | |
mBank znowu podnosi ciśnienie | |
Użytkownik "Dawid Rutkowski" napisał w wiadomości
Bardzo lubię historię kochających mBąk miłością BDSM (albo się za takich podających trolli - oczywiście wtedy, gdy wymyślą coś interesującego). A gdzie lepiej ? Jak to w zyciu - jedni sa zadowoleni, inni wk*, ale niewiele, niektorych dotknie jakis pech dotkliwie. Poza tymi nowymi interfejsami, to w zasadzie nie mam co narzekac na mbank. J. |
|
Data: 2017-05-06 16:06:37 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Fri, 5 May 2017 01:20:59 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:
Bardzo lubię historię kochających mBąk miłośc Rozwiń bo to ciekawe. -- Marek |
|
Data: 2017-05-08 01:34:44 | |
Autor: Dawid Rutkowski | |
mBank znowu podnosi ciśnienie | |
> Bardzo lubię historię kochających mBąk miłośc Ale chodzi Ci o BDSM czy o trollowanie? |
|
Data: 2017-05-08 16:35:50 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Mon, 8 May 2017 01:34:44 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:
Ale chodzi Ci o BDSM czy o trollowanie? Chyba pomyliłeś grupy... -- Marek |
|
Data: 2017-05-09 00:50:55 | |
Autor: Dawid Rutkowski | |
mBank znowu podnosi ciśnienie | |
> Ale chodzi Ci o BDSM czy o trollowanie? Może rozwinę, skoro zajrzenie do poprzedniego postu w wątku jest za trudne... Chodzi o kochających mBąk miłością BDSM i skarżących się potem na grupach, jakie to numery robi im ukochana instytucja, czy też o trollujących w celu zrobienia mBąkowi czarnego PR - i wymyślających czasem nawet ciekawe historie, których bohaterem mógłby być każdy bank, a jest ten, za który akurat jest płacone? Który z tych tematów mam rozwinąć, gdyż Cię zainteresował? |
|
Data: 2017-05-17 22:46:53 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Tue, 9 May 2017 00:50:55 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:
Chodzi o kochających mBąk miłością BDSM i skar? Nie mam.pojęcia o czym piszesz, ja jestem zmuszony do uzywania tego banku z zupełnie.innych powodów niż możesz sobie wyobrazić. -- Marek |
|
Data: 2017-05-18 01:28:11 | |
Autor: Dawid Rutkowski | |
mBank znowu podnosi ciśnienie | |
W dniu środa, 17 maja 2017 22:46:57 UTC+2 użytkownik Marek napisał:
Nie mam.pojęcia o czym piszesz, ja jestem zmuszony do uzywania tego banku z zupełnie.innych powodów niż możesz sobie wyobrazić. Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to powody.. Rzeczywiście nie potrafię sobie wyobrazić, co może zmusić do używania danego banku. Są takie różne szykany jak np. wymóg wpływu wynagrodzenia przy kredycie, ale to nie znaczy, że trzeba z tego banku korzystać jako z głównego transakcyjnego - zmusza to tylko do wykonania jednego przelewu w miesiącu do jakiegoś sensowniejszego (bo sensownych nie ma) banku. |
|
Data: 2017-05-19 17:55:53 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Thu, 18 May 2017 01:28:11 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:
Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie topowody Świadczenie im usług. Podobną politykę stosował PKO BP. Obowiązek założenia konta był w warunkach umowy o świadczenie im usług. w ogłaszanych przetargach. -- Marek |
|
Data: 2017-05-19 09:27:42 | |
Autor: Dawid Rutkowski | |
mBank znowu podnosi ciśnienie | |
W dniu piątek, 19 maja 2017 17:55:58 UTC+2 użytkownik Marek napisał:
> Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to powody OK, niech będzie. Ale czy był tylko wymóg założenia konta - czy również utrzymania go przez cały czas współpracy? Oraz jakieś wymagania w stosunku do aktywności (osobną sprawą jest aktywność wymagana do ew. bezpłatności konta - bo rozumiem, że firmowe)? Lub jakieś obostrzenia - np. zakaz przelewania na swoje konto w innym banku? Choć jak firmowe to już nie ma takiej swobody wyboru innego banku (chyba że DG, do której można wykorzystywać "fizolskie" konto, choć to często w regulaminach banków zabronione) - nawet biorąc pod uwagę twierdzenie, ze backup należałoby mieć... |
|
Data: 2017-05-19 23:12:58 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Fri, 19 May 2017 09:27:42 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:
OK, niech będzie. Ale czy był tylko wymóg założeni Zapłatę za usługi będą przelewać tylko na to konto u nich, więc na jedno wychodzi. W przypadku PKO BP było tak, że wystawiłem im piierwszą fakturę na "obce" konto i przeszło, przy drugiej ktoś się zorientował i wstrzymali płatność dopóki nie wskażę konta w pko zgodnie z umową. W mBanku już nie ćwiczyłem dla świętego spokoju podawania zew. konta. Drugi powód utrzymania konta w mB p.t. "nie chcem ale.muszem" to krąg firm współpracujących, które też mają konto w mb ob dzięki temu przelewy między nami są na tychmiast co często się przydaje. Trzeci powód, to atrakcyjne warunki utrzymania rachunku dostępne tylko dla podmiotöw współpracujących z mB. -- Marek |
|
Data: 2017-05-20 07:40:09 | |
Autor: cef | |
mBank znowu podnosi ciśnienie | |
W dniu 2017-05-19 o 23:12, Marek pisze:
On Fri, 19 May 2017 09:27:42 -0700 (PDT), Dawid Rutkowski Ale czy to Cię zmusza do używania konta? Przecież mógłbyś nie używać. Jedynie robić zrzut kasy raz czy dwa na miesiąc. |
|
Data: 2017-05-20 08:39:36 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Sat, 20 May 2017 07:40:09 +0200, cef <cezfar@interia.pl> wrote:
Ale czy to Cię zmusza do używania konta?na miesiąc. Przeczytaj powód nr 2. Miesięcznie robię ok 200 przelewów między kontrahentami, którzy w większości są w mB. -- Marek |
|
Data: 2017-05-20 11:15:35 | |
Autor: cef | |
mBank znowu podnosi ciśnienie | |
W dniu 2017-05-20 o 08:39, Marek pisze:
On Sat, 20 May 2017 07:40:09 +0200, cef <cezfar@interia.pl> wrote: Cóż, 200 przelewów, to już argument. Skoro płacą dobrze (?) za niewygody. |
|
Data: 2017-05-05 13:18:23 | |
Autor: Grzexs | |
mBank znowu podnosi ciśnienie | |
A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie oszukał. Było się stamtąd wypisać w momencie, gdy zmienili interfejs na ten koszmarny. Mam wrażenie, że wtedy zaczęło się psuć. Ja tak zrobiłem i cieszę się. -- Grzexs |
|
Data: 2017-05-05 05:44:50 | |
Autor: sczygiel | |
mBank znowu podnosi ciśnienie | |
W dniu piątek, 5 maja 2017 13:18:14 UTC+2 użytkownik Grzexs napisał:
> A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie oszukał.Jak kto lubi. Mi tam nie przeszkadza bo taka akcja to pierwsza od 10 czy 15 lat jak tam konto mam. Pretensji nie mam bo lepiej pomęczyc się tak niz jakby mi ktos miał wypompowac kase z konta. Feler tylko taki ze dowiedziec sie od nich nie da czemu sie system wzbudził. |
|
Data: 2017-05-06 16:07:40 | |
Autor: Marek | |
mBank znowu podnosi ciśnienie | |
On Fri, 5 May 2017 13:18:23 +0200, Grzexs <gwtx@ussun-to-go2.pl> wrote:
Było się stamtąd wypisać w momencie, gdy zmienili interfejs na ten koszmarny. Mam wrażenie, że wtedy zaczęło się psuć. Ja tak zrobiłemi cieszę się. gdzieś jeszcze jest w ogóle prosty interfejs? -- Marek |
|
Data: 2017-05-06 17:07:45 | |
Autor: wiatrak | |
mBank znowu podnosi ciśnienie | |
Jest. W Lukasie. Tfu! W krokodylu. |
|
Data: 2017-05-07 11:23:34 | |
Autor: Tomaszek | |
mBank znowu podnosi ciśnienie | |
W dniu 2017-05-06 o 17:07, wiatrak pisze:
Alior. Też nie ma wynalazków. -- t0maszek #nie lubię tego: tvn#wosp#facebook#gazeta# |
|
Data: 2017-05-08 20:25:50 | |
Autor: Grzexs | |
mBank znowu podnosi ciśnienie | |
Było się stamtąd wypisać w momencie, gdy zmienili interfejs na teni Do niedawna był w bankach spółdzielczych, ale ostatnio też jakieś - niewielkie - wodotryski dodali. W Toyocie i VW są dość prostackie, w BZWBK ujdzie. Za to najbardziej popaprane to Getin z kafelkami i Idea z... hmmm... przesuwkami? Oba można ogarnąć, ale nie są wygodne. -- Grzexs |
|
Data: 2017-05-08 23:30:48 | |
Autor: Alf/red/ | |
mBank znowu podnosi ciśnienie | |
W dniu 06.05.2017 o 16:07, Marek pisze:
gdzieś jeszcze jest w ogóle prosty interfejs? BOŚ ma dość posty, nawet prostszy niż dawny m. -- Alf/red/ |
|
Data: 2017-05-09 01:00:23 | |
Autor: Dawid Rutkowski | |
mBank znowu podnosi ciśnienie | |
Pytanie jeszcze, jaki to ma być ten "prosty" interfejs.
Można liczyć kliknięcia potrzebne do wykonania danej operacji, można też zliczać ilość danych, jakie trzeba w tym celu przesłać - to szczególnie widać przy korzystaniu np. przez aero2. Ja cenię sobie db - mam nadzieję, że zadziała ich słynny anty-refleks i starego ST jeszcze długo nie wyłączą - bo zrobili sobie nowy, wydaje się identyczny jak etn w BOŚ i wg mnie jest kretyński. VW wygląda paskudnie, ale jest szybki i po krótkiej nauce można szybko wszystko zrobić. Inteligo też jest fajny i całkiem szybki. citi zrobił sobie nowy i stary wyłączył - stary był brzydki i pełen błędów, ale ten nowy nie lepszy, jeszcze nie testowałem na aero2 (ale nie chcę się denerwować), za to mają fajną apkę pod android. IKA całkiem szybki i niegłupi (aż dziw, że to alior - ale system zupełnie inny niż "duży" alior) - i jak ktoś nie potrzebuje debetówki to może mieć darmowe konto z przelewami i obsługą kasową. |
|
Data: 2017-05-09 11:50:48 | |
Autor: janek z pola | |
mBank znowu podnosi ciĹnienie | |
Alf/red/ wrote:
W dniu 06.05.2017 o 16:07, Marek pisze: Interfejs BOŚ ma konkretne wady: * na wszystkich ekranach gdzie możesz mieć potencjalnie kilka elementów - np. lista kont, etc. - nawet jak jest jeden element to trzeba go wybrać, żeby zrobić na nim operację - czyli np. otwarcie historii konta wymaga 3 kliknięć: 1) konta, 2) oznaczenie na liście jedynego konta, 3) historia; jest to bardzo upierdliwe; * na wielu ekranach z listami elementów kliknięcie w nazwę elementu wybiera nieoczywistą czynność - np. szablony przelewów - spodziewam się, że kliknięcie w nazwę szablonu powinno otworzyć przelew według danego szablonu; tymczasem otwiera coś innego; i znowu - żeby zrobić przelew na dany szablon mając na ekranie listę szablonów trzeba zrobić tak: 1) oznaczyć na liście dany szablon, 2) z przycisków na dole wybrać "wykonaj"; * no i jeszcze takie pierdołki jak to, że przelewy zlecone w sesji dziennej i przelewy zlecone poza sesją pokazują się w historii w innej zakładce - te poza sesją są to "Przelewy Odroczone"; Ale ma też plusy: * praktycznie wszystkie operacje można wrzucić w koszyk - także na koncie dla fizoli - i podpisać jednym użyciem nzarzędzie autoryzacyjnego; -- Wysłane z pola. |
|
Data: 2017-05-08 12:39:11 | |
Autor: janek z pola | |
mBank znowu podnosi ciĹnienie | |
sczygiel@gmail.com wrote:
[...]
[...] Generalnie spójrz proszę na całą sytuację w taki sposób: bank ma jakieś rozwiązanie, które podejmuje decyzję odnośnie tego czy logowanie jest fraudowe czy nie. Ten system bankowy nie jest doskonały i generuje pewną liczbę false positives - tak jak u Ciebie - nie miałeś prawdopodobnie wirusa, ale system podjął decyzję że miałeś i doszło to blokady. No i tak - wyobraź sobie, że na 1000 przypadków gdy system podejmuje decyzję pozytywną (wykrywa wirusa) 980 to są true positive (prawidłowe działanie systemu) a 20 to są false positive (wszczyna alarm mimo że nie masz wirusa). Przy czym każde z true positives oznacza stratę dla jakiegoś klienta w wysokości od 3.000 do 50.000 złotych. Teraz rozumiesz dlaczego czasami się zdarzają false positives i jest to akceptowalne? -- Wysłane z pola. |
|
Data: 2017-05-08 03:46:51 | |
Autor: sczygiel | |
mBank znowu podnosi ciśnienie | |
W dniu poniedziałek, 8 maja 2017 12:39:15 UTC+2 użytkownik janek z pola napisał:
sczygiel@gmail.com wrote:Ja to rozumiem, zauważ że nigdzie nie narzekam że mnie to spotkało bo wiem dlaczego te systemy istnieją i jak działają oraz to ze falsepositivy to ich specyfika i zawsze będą sie pojawiać. Mnie smuci to ze mbank nie powie mi co spowodowało blokade (powiedzieli ze wirus ale mówia to wszystkim). Ja wiem dlaczego mi nie powie (zeby złoczyńcy nie wiedzieli jak lepiej udawać grzecznego klienta). Ale nadal mi smutno bo wirusa nie mialem komputer czysty i nie wiem czy niebawem znowu mi dostepu nie zablokują... |
|
Data: 2017-05-08 12:57:56 | |
Autor: janek z pola | |
mBank znowu podnosi ciĹnienie | |
sczygiel@gmail.com wrote:
W dniu poniedziałek, 8 maja 2017 12:39:15 UTC+2 użytkownik janek z pola [...] Ja to rozumiem, zauważ że nigdzie nie narzekam że mnie to spotkało bo wiem Z tym jest niestety problem we wszystkich bankach. Ale z drugiej strony mogliby w sumie powiewdzieć tylko tyle - przykładowo: "Nasza bankowość elektroniczna wykrywa pewne schematy nietypowego wykorzystania i w Pana przypadku doszło do dopasowania jednego z takich schematów". Taka odpowiedź w sumie by Tobie nie pomogła się ustrzec przed kolejną blokadą. Możesz spróbować wystawić odpowiednią reklamację - nie wiem jak to działa w mBanku ale czasami jest tak, że reklamacja przechodzi przez zespół biznesowy od danego systemu (np. od bankowości elektornicznej). Wówczas może będzie tam z ich strony jakaś refleksja. -- Wysłane z pola. |
|
Data: 2017-05-13 23:08:51 | |
Autor: Krzysztof Halasa | |
mBank znowu podnosi ciśnienie | |
sczygiel@gmail.com writes:
Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się zgadzają. Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera, nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne oprogramowanie, to niczego nie możemy być pewni. A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i I to by miało coś gwarantować? Jeśli ktoś boi się, że jego komputery opanowały wirusy i rootkity, to lepiej przynajmniej przejść na kody SMSowe (i używać telefonu bez podobnych "atrakcji"). Listy kodów jednorazowych + zawirusowany komputer - "nie mieszać". Z tym, że w mBanku chyba jest jakaś droga uzyskania większego/pełnego dostępu, jeśli znamy tylko dane do logowania (np. z wirusa)? Ostatnio był taki temat, a może już to załatali? -- Krzysztof Hałasa |
|
Data: 2017-05-14 07:00:52 | |
Autor: sczygiel | |
mBank znowu podnosi ciśnienie | |
W dniu sobota, 13 maja 2017 23:08:55 UTC+2 użytkownik Krzysztof Halasa napisał:
sczygiel@gmail.com writes: Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji. Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to widzisz scieżkę i wszystko jest zielnie i wogóle cacy. Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze zrobiony ale oszukany. Jak masz wirusa to jaki problem aby on do przeglądarki naładował ze 3-4 certyfikaty powiązane ze soba i wyglądające na poprawne? > A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co powinno być widoczne w przeglądarce. Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc trudne... Jeśli ktoś boi się, że jego komputery opanowały wirusy i rootkity, to No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez są hackowane i po bezpieczeństwie nici. W takim wypadku tylko hasla jednorazowe i token. Jesli komputer jest zawirusowany to po ptokach Z tym, że w mBanku chyba jest jakaś droga uzyskania większego/pełnego w mbanku mamy id klienta i hasło do interfejsu webowego plus telekod do logowania sie przez telefon. I do kompletu pare danych które mozna pamietac (nazwisko panienskie matki) albo nie pamietac (czy korzystasz z porduktu kredytowego - czy jakos tak). Tak czy siak, mialem taki problem i szukalem na stronie banku opublikowanych certyfikatów aby je porównać z tymi widzianymi w komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym... |
|
Data: 2017-05-16 20:18:32 | |
Autor: Krzysztof Halasa | |
mBank znowu podnosi ciśnienie | |
sczygiel@gmail.com writes:
Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera, Nie, nie jest to potrzebne. Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root CA" (zawierający w szczególności root CA, od którego zaczyna się "ścieżka"). Ew. korzystne może też być wykluczenie certyfikatów korzystających z MD5, ostatnio było to dość mocno atakowane. Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje. Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch https://pl.wikipedia.org/wiki/Infrastruktura_klucza_publicznego https://pl.wikipedia.org/wiki/Certyfikat_klucza_publicznego > A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała dokładnie taki obrazek "jak powinien być" jest już zupełnie proste. No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko samego komputera, o którym wiemy, że jest "zawirusowany". W takim wypadku tylko hasla jednorazowe i token. Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły" token. Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo bardziej bezpieczny. Tak czy siak, mialem taki problem i szukalem na stronie banku BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie czegokolwiek tego typu na stronie banku to nieporozumienie (niezrozumienie idei PKI). -- Krzysztof Hałasa |
|
Data: 2017-05-17 02:30:08 | |
Autor: sczygiel | |
mBank znowu podnosi ciśnienie | |
W dniu wtorek, 16 maja 2017 20:18:36 UTC+2 użytkownik Krzysztof Halasa napisał:
sczygiel@gmail.com writes: Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to robią. Malware tez to moze zrobic. > Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie musi byc on poprawny i taki sam jak wystawiany przez bank. Wtedy dobrze jest móc znaleźć poprawny ciąg certyfikacji którego malware nie podmieni. > Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch No i co z tego? Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa? > Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i umiescila na imgurze. Tego wirus nie podmieni... > No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi środkami na koncie. > W takim wypadku tylko hasla jednorazowe i token. Ano. Taki urok chyba kazdej uslugi ze "man in the middle" narobi problemów. Czy to ludzik z pałką czy z hakerskim komputerem... > Tak czy siak, mialem taki problem i szukalem na stronie banku Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy. A PKI jest fajne o ile nie masz po drodze firmowego proxy czy antywirusa. http://www.thesafemac.com/avasts-man-in-the-middle/ Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest wsparta mozliwoscia zewnetrznego sprawdzenia - recznie. Co da sie zrobic ale albo trzeba miec zaufany komputer i przepatrzec czy sie numery seryjne i modulo zgadzaja albo miec mozliwosc uzyskania lancucha certyfikacyjnego w sposob który moze nie byc kontrolowany przez malware... |
|
Data: 2017-05-19 16:01:32 | |
Autor: Krzysztof Halasa | |
mBank znowu podnosi ciśnienie | |
sczygiel@gmail.com writes:
Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS? Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego? Malware tez to moze zrobic. Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał cokolwiek. Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie Może też być taki sam. Jakbyś był autorem takiego "wirusa", to co byś wybrał? Pokazywanie ścieżki certyfikatów takiej jak normalnie w przypadku prawdziwego banku, czy pokazywanie czegoś innego? Bo nakład pracy jest taki sam. Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony także może być inny. Ale poleganie na tym to IMHO kiepski pomysł. No i co z tego? Nie. Szczerze mówiąc nie do końca rozumiem o co chodzi z tymi antywirusami w kontekście PKI i HTTPS. Natomiast widziałem strony podmienione przez "wirusy", oraz podmienione certyfikaty CA, i nie wyobrażam sobie ich skutecznej weryfikacji, jeśli nie mamy (ograniczonego, ale wystarczającego) zaufania do komputera. Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała Nie, autor wirusa nawet nie będzie o tym wiedział, i co z tego? Zrozum, autor wirusa nie musi zmieniać żadnego certyfikatu. Tak działają proxy, które nie mają możliwości modyfikacji oprogramowania w pececie. Autor wirusa musi po prostu spowodować, by "jego" oprogramowanie wyglądało tak samo jak oryginał. Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać w lepszy sposób (np. tak, by trudniej było namierzyć odbiorcę). Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych (lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie środki na koncie, ew. limity kredytowe itp. W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do kogoś innego. BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że Certyfikat może się zmienić nawet bez malware. A PKI jest fajne o ile nie masz po drodze firmowego proxy czy Firmowy proxy przepakowujący HTTPS? A nie boisz się raczej tego proxy? No bo chyba nie przepuszczasz dostępu do konta firmy przez proxy firmowe? Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie Nie, idea PKI tu po prostu w ogóle nie pomaga, i nie może pomóc. Zrozum to, na malware na pececie żadne certyfikaty nie pomogą. -- Krzysztof Hałasa |
|
Data: 2017-05-19 17:03:08 | |
Autor: sczygiel | |
mBank znowu podnosi ciśnienie | |
W dniu piątek, 19 maja 2017 16:01:36 UTC+2 użytkownik Krzysztof Halasa napisał:
sczygiel@gmail.com writes: Tak. Aby ochronić przeglądarke przed tym na co jest nie połatana. Albo aby wychwycić załaczniki w poczcie (dla programów pocztowych). Dodałem ci linki, tam jest zajawka jak sie to dzieje. Dzis to dosyc popularna funkcja AV. > Malware tez to moze zrobic. Ano może. Ale gdzies trzeba załozyć że istnieje granica.. Zakładam że malware nie będzie szukać we wszystkich obrazkach jakie user otwiera informacji o numerkach modulo certyfikatów publicznych. Ale tak, komputer z rootkitem jest zupełnie niewiarygodny jesli chodzi o zasade. Ale praktycznie w części działa tak jakby działał bez rootkita czy innego malware. > Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie Jakbym byl tworca to bym na bieżąco produkował ścieżkę certyfikatów z nazwami takimi samymi jak produkuje oszukiwana strona. Nadanie nazw certyfikatom jest proste. Nadanie numerków modulo juz nie. Nie jest problemem zbudowanie ciagu certyfikacji takiego jak ma mbank. To jakieś 5-10 minut roboty ręcznie lub pare sekund skryptu. Oczywiście trzeba głowe ciągu certyfikatów umiescic w przegladarce ale zakladamy ze malware ma wladze nad oprogramowaniem usera więc to zrobic może. Chyba że by mi sie nie chciało to bym zrobil tylko jeden certyfikat glowny, wsadzil go do przegladarki a potem kazda strone podpisywal certyfikatem z jego nazwa. Pewnie wiekszosc userow nie zaglada w "kłódeczke" w przegladarce jak jest ona zielona. A jak user podejżliwy to i tak juz po ptokach i z oszustwa nici... Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony Poszperaj sobie w sieci pod tym katem, jeden link ci przyslalem ale pewnie znajdziesz więcej tego typu stronek. W moim przypadku mialem sytuacje gdzie nie wiedzialem czy mam komputer zarazony czymś czy modem/router sieciowy mial podmienione dns-y. na szybko chcialem sprawdzic czy mam poprawnie zaszyfrowana komunikacje i nie znalazlem innego info niz po prostu ciag certyfikacyjny wczytany na innym urządzeniu. Poprosilem znajomego aby mi zrobil zrzuty ekranu i umiescil na imgurze. Upierdliwe a mozna bylo by takie obrazki umiescic gdzies w internecie aby zainteresowani mogli sie skonsultować. >> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała Możesz podac przyklad takiego wirusa? Bo oczywiscie to mozliwe ale czy już realizowane? O takim przypadku nie słyszałem. Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli No nie. Sporo przypadków było kiedy ludziom zawirusowano komórki (równiez przez sms-y których nawet nie otwarli) i spokojnie w ciagu nocy oczyszczono konto wieloma przelewami. >> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że Takie są. Ja nie korzystam z banku w pracy ale mechnizm jest i działa. Dlatego temat poruszyłem bo widze że wiara w skutecznośc łańcucha certyfikacji jest silna ale swiadomosc ze sama zielonosc "kłódki w przeglądarce" to nie jest 100% sukcesu. > Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie Na wszystkie malware nie. Ale na niektóre tak. W tym watku tylko o tym wspominam i tylko pod tym katem. Rodzajów oszustw realizowanych przez malware jest sporo ale narazie nie są one strasznie wyszukane. Mam wrażenie że dzisiejsze malware są sporo słabsze technicznie niż wirusy z czasów dosa czy win95 bo wtedy były to bardzo zgrabnie pisane programiki a dziś to w praktyce skrypty montowane z dosyć duzych klocków. |
|
Data: 2017-05-21 17:27:32 | |
Autor: Krzysztof Halasa | |
mBank znowu podnosi ciśnienie | |
sczygiel@gmail.com writes:
Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał Owszem, ale ta granica jest w zupełnie innym miejscu. A przynajmniej powinna być. Poprosilem znajomego aby mi zrobil zrzuty ekranu i umiescil na imgurze. Upierdliwe a mozna bylo by takie obrazki umiescic gdzies w internecie Chyba po to, by dać im fałszywe poczucie bezpieczeństwa. Możesz podac przyklad takiego wirusa? Bo oczywiscie to mozliwe ale czy Chciałbyś sprawdzić to na sobie, gdy już będzie realizowane? No nie. Sporo przypadków było kiedy ludziom zawirusowano komórki No jednak tak. Oczywiste jest, że pisałem o przypadku, w którym zawirusowany był tylko pecet. Jeśli ktoś jest na tyle nierozgarnięty (albo ma na tyle zdeterminowanych wrogów), że wykonuje przelewy używając zawirusowanego" komputera ORAZ jednocześnie zawirusowanego telefonu (jako końcówki do kodów "SMS"), i dodatkowo oba "wirusy" współpracują ze sobą (muszą się ze sobą lub z atakującym komunikować, komórka musi wiedzieć co ma wyświetlić, albo musi przesłać SMSa komputerowi), to rzeczywiście ryzyko tej sytuacji jest zasadniczo takie samo jak w przypadku kodów papierowych i zawirusowanego "tylko" komputera. BTW wystarczy do tego 1 przelew. Takie są. Ja nie korzystam z banku w pracy ale mechnizm jest i działa. Ale jest tykającą bombą, to "mechanizm" dla samobójców. Dlatego temat poruszyłem bo widze że wiara w skutecznośc łańcucha Prawda jest zupełnie inna. PKI jest zawodne. Słabe strony PKI znajdują się jednak w zupełnie innych miejscach - to jest słabość procedur stosowanych przez poszczególne CA, podatność na wyłudzenia certyfikatów, podatność na działania np. służb itd. Prawidłowo wystawiony certyfikat nie gwarantuje, że jego użytkownik jest tym, za kogo się podaje (chociaż prawdopodobieństwo jest znaczne). Natomiast porównywanie słabości PKI do sytuacji z malware na komputerze, i recepta w postaci sprawdzania łańcucha certyfikatów (w czasie każdego żądania?) to, nazwijmy to, nieporozumienie. -- Krzysztof Hałasa |
|
Data: 2017-05-21 02:20:26 | |
Autor: J.F. | |
mBank znowu podnosi ciśnienie | |
Dnia Fri, 19 May 2017 16:01:32 +0200, Krzysztof Halasa napisał(a):
sczygiel@gmail.com writes: A propos - mBank wlasnie zmienil certyfikat ... i chyba nie ostrzegl, ze zmienia. Czy po prostu mam wirusa ? Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi Chyba, ze wirus siegnie tez telefonu. Wtedy znow mozna stracic wszystko, i nawet sie nie dowiedziec kiedy. J. |