@Pienio69: brak szacunku to mówienie pienionszki? A sałata? hajs? Każdemu gimbusowy należy dać w morde i zabrać kieszonkowe, bo brak szacunku? Czemu nie ciśniecie każdego wykopka co rzuca #!$%@? na kobiety, albo kozojebcami, czy czymkolwiek co jest brakiem szacunku, ale w tym przypadku "PIENIONSZKI TO NIECH GINIE". ( ͡°ʖ̯͡°)
Specjalnie założyłem konto na wykop.pl żeby zostawić ten komentarz. Bo te żale o 40 000 PLN ktoś próbuje podsyłać gdzie się tylko da i rzuca jakieś głupie komentarze że "mbank powinien to i to".
1. mbank nigdzie nie zawinił, jedyne co można mu zarzucić to to że nie informował o takim zagrożeniu w dostateczny sposób. Problem w tym że czeka was śmierć ze starości chcąc przeczytać o wszystkich zagrożeniach jakie mogą Was
@znudzony_programista: Dużo i mądrze napisałeś. Łap plusa. Swoją drogą jak naiwnym i beztroskim trzeba być, żeby przelać 40.000 tysięcy i nie sprawdzić smsa?! O ile sam też nigdy prawie nie czytam nru w smsie, to przy przelewach na większe kwoty sprawdzam to po 3 razy i daję żonie do weryfikacji, czy czegoś nie przeoczyłem (o ile żona może wiedzieć o tym przelewie, if you know what I mean ;).
40k ojoj, przy 4k sprawdzam kilka razy, czy numer odbiorcy sie zgadza i drazaca reka wciskam potwierdzenie zlecenia, a co dopiero przy takiej kwocie... ;-)
@paw39: Pewnie doszły do słupa, a potem rozeszły się w siną dal. Reklamacja nic nie da, bo bank zrealizował przelew na konto zlecone przez przeglądarkę. Dodatkowo zasłonią się tym, że w sms-ie pokazali fragment prawdziwego numeru konta na które trafiły pieniądze i użytkownik je zatwierdził wpisując hasło smsowe.
@paw39: Dzwoniłeś już po sesji elixir ? Tu jest sytuacja, gdy słup prawdopodobnie od razu zabrał kasę i nie było od kogo odebrać niewłaściwie wysłanych pieniędzy.
To ktoś w ogóle miał wątpliwości, że to może być wina mBanku? Na filmie widać było wyraźnie, że po stronie banku wszystko było ok, szyfrowane połączenie, certyfikat bezpieczeństwa i takie tam. To zwykłe niedbalstwo użytkownika kompa. Tyle w temacie.
Niedawno na PKO po wklejaniu numeru konta wyskakiwała informacja aby ze względu na możliwość ingerencji złośliwego oprogramowania wklejony numer porównać z tym, który chcieliśmy wprowadzić. Od kilku tygodni takiej informacji już nie ma, a szkoda bo nieobeznanym z problemem użytkownikom uaktywniała się pewna doza czujności.
Jedyne sensowne co widzę to coś w rodzaju aktywnego tokena w telefonie - takiego, który oprócz challenge ze strony banku wymagałby też np. fragmentu numeru konta (BTW, coraz więcej bankow zabezpiecza się przed copy-paste albo nie pozwalając wkleić nr konta ze schowka - albo np usuwając niektóre cyfry). Co nie zmienia faktu, że jak ktoś pwnuje waszą przeglądarkę, to pwnuje wasze konto.
A swoją drogą dalej chyba łatwiej próbować podstawić lewy numer
osoba wykrywa, że wirus podmienia numery kont i co dalej, na antywirusa nie ma co liczyć, jak znaleźć i usunąć wirusa bez robienia reinstalacji systemu?
@AppleDash: 1) Na żadnego antywirusa działającego "w tle" nie ma co liczyć - to pic na wodę wykrywający tylko najbardziej prymitywne i leciwe zagrożenia... 2) ...dlatego właśnie, gdy już stwierdzono infekcję warto jest przeskanować jakimś av z bootowalnej płytki. Zazwyczaj wykrywa i rozwiązuje przynajmniej część problemów.
Ja miałem podobny przypadek, akurat mam konto w Alior Banku. Miałem szczęście, że akurat robiłem przelew do ZUS i zdziwiło mnie, że numer konta jest w jakimś prywatnym banku. Odbiorca zapisany i zdefiniowany jako zaufany, więc nie kopiowałem i wklejałem numeru Okazało się, że wystarczyło przejechać kursorem przez okienko w którym był numer konta odbiorcy i numer się podmieniał. Normalnie czary mary ale na szczęście nie straciłem pieniędzy. Oczywiście nie winię Aliora,
@Cinzano: Kłódka w adresie oznacza bezpieczeństwo podczas podróży Twojego zlecenia z Twojego komputera do serwera bankowego. A tu atak następuje zanim przelewik wyruszy w tę podróż.
@raffi74: Rozumiem proces, chodziło mi o to, że często banki mocno podkreślają ważność kłódki, usypiając tym samym czujność czy nie informując o możliwych innych typach zagrożeń. Powinna być jasna informacja: to że widzisz kłódkę nie oznacza, że możesz w pełni bezpiecznie korzystać z bankowości internetowej.
Nie wiem czy padło to pytanie ale co jeżeli hasła do konta mam wydrukowane na karcie do zdrapania? Czy wtedy nie ma szans uchronić się przed tego typu wyłudzeniem ?
Jedno rozwiązanie bardzo proste mogłoby się sprawdzić. Bank wysyła jak zwykle sms, oprócz wygenerowanych kilku cyfr kodu dodane są np 4 ostatnie cyfry numeru konta. Po wpisaniu kodu na stronie www, dostajemy porównanie 4 ostatnich cyfr na stronie banku i w smsie. Z technicznego punktu widzenia niewiele to zmienia ale wygodne porównanie przed kliknięciem akceptuj by się przydało. Nie wiem na ile możliwe i bezpieczne byłoby automatyczne porównanie przez mechanizm strony 4
@krzemas: Wybacz ale nie rozumiem co to zmienia... Skoro wirus czy cokolwiek siedzi na komputerze może ingerować w treści wyświetlane w przeglądarce, wówczas wszelkie zabezpieczenia zakładające weryfikację "wzrokową" przez użytkownika bazującą na danych wyświetlanych w oknie przeglądarki - są niewiarygodne. Weryfikacja automatyczna po stronie banku będzie zaś zawsze poprawna - o to dba wirus. Jedyne sensowne zabezpieczenie bazuje na użyciu dwóch odrębnych kanałów kontaktu z klientem - dane wyświetlane w przeglądarce
w Irlandii w bank daje do pobrania dodatkowy antywirus, do potwierdzenia przelewu potrzebny jest kod z "kalkulatora " do którego wkładam kartę wpisuję kod ze strony do kalkulatora, z kalkulatora na stronę po weryfikacji strona się odświeża i dwa razy trzeba potwierdzić, potem przychodzi SMS z zapytaniem czy to ja robiłem przelew, trzeba tylko bezpłatnie odpisać tak lub nie
@arturfartur: I też byś się dał okraść, bo w tej sprawie to właściciel rachunku robił przelew, a wirus miąchał tylko przy numerze rachunku odbiorcy ;-) To nie kalkulator, tylko token, takie urządzenia są też w Polskich bankach dostępne :)
@Jar0sz: Tak to jest niezła opcja, o ile nie da się takiego tokena złamać (nie mam pojęcia czy to możliwe brak mi wiedzy w tym zakresie), ale musiałby być to token do którego wprowadza się zawsze losową część numeru konta bo można się nadziać na podstawianie konta z konkretną czwórką cyfr i token by wtedy nie pomógł (fałszywe konto miałoby te same x cyfr które ma oryginalne i oba autoryzowałby ten
@lobo: Token nie ma żadnych interfejsów oprócz klawiatury i wyświetlacza - żadnego GSM, WiFi etc. Nie da się go w sensowny sposób zaatakować zdalnie. Włamanie (tzn. wydobycie sekretu z pamięci tokena i ustalenie algorytmu liczenia odpowiedzi) jest możliwe tylko po uzyskaniu dostępu fizycznego (kradzież), ale pod względem technicznym nie jest to łatwe.
Inną metodą ataku na token może być podsłuchanie wyzwań i odpowiedzi (wirus szpiegujący). Atakujący znając algorytm działania tokena może
No bo wina banku żadna. Klient powinien upewnić się, że wprowadzony numer konta jest prawidłowy.
Tyle że bank mógłby przy tym nieco pomóc. Np. w ING jest taka opcja, że jak przekleja się numer rachunku to trzeba i tak ręcznie uzupełnić dwie ostatnie cyfry konta. Dzięki temu unika się właśnie tego typu podmianek. Bardzo fajne, eleganckie i skuteczne rozwiązanie które inne banki też mogłyby wprowadzić.
@enzojabol: Nie, nie unika się to jest złudne bo te 2 ostatnie cyfry też może wirus podmienić. Tylko weryfikacja konta w sms jest w miarę bezpiecznym zabezpieczeniem.
Komentarze (394)
najlepsze
1. mbank nigdzie nie zawinił, jedyne co można mu zarzucić to to że nie informował o takim zagrożeniu w dostateczny sposób. Problem w tym że czeka was śmierć ze starości chcąc przeczytać o wszystkich zagrożeniach jakie mogą Was
Swoją drogą jak naiwnym i beztroskim trzeba być, żeby przelać 40.000 tysięcy i nie sprawdzić smsa?! O ile sam też nigdy prawie nie czytam nru w smsie, to przy przelewach na większe kwoty sprawdzam to po 3 razy i daję żonie do weryfikacji, czy czegoś nie przeoczyłem (o ile żona może wiedzieć o tym przelewie, if you know what I mean ;).
jestes w dupie a o tym ze jestes w dupie dowiadujesz sie po akceptacji przelewu gdy system generuje pdf
#linux #roklinuxa #foreveralone #links
Jakby ktoś chciał sprawdzić sam, może to wrzucić w konsolę:
sum = 0; $('b:contains("KsiegaRekordowSzutki")').each(function(i, el){sum += parseInt($(el).parents('.author').find('.vC').attr('data-vcm'))}); sum
A swoją drogą dalej chyba łatwiej próbować podstawić lewy numer
Komentarz usunięty przez moderatora
2) ...dlatego właśnie, gdy już stwierdzono infekcję warto jest przeskanować jakimś av z bootowalnej płytki. Zazwyczaj wykrywa i rozwiązuje przynajmniej część problemów.
Okazało się, że wystarczyło przejechać kursorem przez okienko w którym był numer konta odbiorcy i numer się podmieniał. Normalnie czary mary ale na szczęście nie straciłem pieniędzy.
Oczywiście nie winię Aliora,
Weryfikacja automatyczna po stronie banku będzie zaś zawsze poprawna - o to dba wirus.
Jedyne sensowne zabezpieczenie bazuje na użyciu dwóch odrębnych kanałów kontaktu z klientem - dane wyświetlane w przeglądarce
I też byś się dał okraść, bo w tej sprawie to właściciel rachunku robił przelew, a wirus miąchał tylko przy numerze rachunku odbiorcy ;-) To nie kalkulator, tylko token, takie urządzenia są też w Polskich bankach dostępne :)
Inną metodą ataku na token może być podsłuchanie wyzwań i odpowiedzi (wirus szpiegujący). Atakujący znając algorytm działania tokena może
Komentarz usunięty przez moderatora
http://www.wykop.pl/link/2897873/podmiana-numerow-kont-w-mbank-czyli-jak-zostalismy-oszukani-na-40-000-00-zl/
Zabezpieczenie banku nic tu nie mają do rzeczy skoro zainfekowana jest lokalna przeglądarka której się używa.
To co pochodzi z banku jest prawidłowe - treść SMS czy wydruk potwierdzenia przelewu.
I nie bank kazał ci otwierać zakażone załączniki z maili czy oglądać dziwne strony.
Tyle że bank mógłby przy tym nieco pomóc. Np. w ING jest taka opcja, że jak przekleja się numer rachunku to trzeba i tak ręcznie uzupełnić dwie ostatnie cyfry konta. Dzięki temu unika się właśnie tego typu podmianek. Bardzo fajne, eleganckie i skuteczne rozwiązanie które inne banki też mogłyby wprowadzić.
mam antywirusa
mam uwierzytelnianie na token
jak do jasne cholery mam sie jeszcze upewnic ?
czy ty masz godnosc czlowieka
ci ludzi zostali oszukani, nie sa mgr it security sa zwyklymi cebulakami jakich jest milliardy na swiecie, a oni jeszcze mieli popularnego antywirusa
i pokaz no mi w polsce choc jedna osobe ktora zapuszcza linuxa livecd zeby puscic przelew, wiekszosc typowych ludzi nawet nie wie co to jest
to
Komentarz usunięty przez moderatora