» »

NLB mora povrniti škodo zaradi phishinga

NLB mora povrniti škodo zaradi phishinga

NLB Klik

vir: RTV Slovenija
RTV Slovenija - Okrajno sodišče v Ljubljani je včeraj razsodilo, da je uporabnik spletne banke Klik od NLB upravičen do povračila škode v višini 5000 evrov, ki jo je utrpel zaradi zlorabe njegovega spletnega bančništva.

Uporabnik je decembra 2009 opazil, da ima na bančnem računu negativno stanje, zato je preveril transakcije. Ugotovil je, da je bilo z njegovega računa na neznani račun nakaznih 5000 evrov. Napadalci so lahko to transakcijo izvedli, ker je uporabnik na lažni strani, ki se je pretvarjala, da gre za vstopno stran v NLB Klik (klasični napad phishing), vnesel svoje prijavne podatke. Takoj po odkritju goljufije je to takoj naznanil banki ter naročil blokado spletne banke in obvestil policijo.

Zakon o plačilnih storitvah in sistemih (ZPlaSS) v 120. členu banke zavezuje, da morajo uporabniku povrniti škodo v višini nad 150 evrov, ki je nastala zaradi neodobrenih transakcij, ki so posledica ukradenega ali zlorabljenega plačilnega instrumenta. Vendar pa ta isti člen določa, da se banka povračilu izogne, če je zloraba posledica uporabnikove prevare ali pa gre za hudo malomarnost. In običajno se banke sklicujejo prav na to določilo, ko se želijo izogniti povračilu škode.

Tudi v tem primeru je bilo tako, a je uporabnik vztrajal. Banka je trdila, da z obiskom lažne spletne strani in nezaščitenim računalnikom uporabnik ni izkazal zadostne mere skrbnosti, zato naj do povračila ne bi bil upravičen. Ta pa se je obrnil na Zvezo potrošnikov Slovnije in z njeno pomočjo vložil pritožbo pri poravnalnem svetu Združenja bank Slovenije. Trdil je, da je imel na računalniku nameščen protivirusni program in program za odstranjevanje zlonamerne programske opreme (malware), kar je zadostna zaščita. Svet mu je ugodil, a je vseeno pravico poiskal na sodišču.

To mu je pritrdilo in NLB naložilo povračilo škode. Sodba še ni pravnomočna, zato je stranke še ne komentirajo. Če bo obveljala, bo to vsekakor prvi primer, ko bo slovenska banka žrtvi internetne goljufije prek spletne banke povrnila škodo. Doslej so banke vračale le škodo, ki je nastala z zlorabo fizične kartice.

128 komentarjev

«
1
2 3

Tigorsami ::

Koliko lahko zaupate banki, ob obisku katere dobite sporočilo:

klik.nlb.si uporablja neveljavno digitalno potrdilo.

Digitalno potrdilo ni vredno zaupanja, ker tudi njegov izdajatelj ni.
Mimogrede, izdajatelj potrdila je NLB.

Seveda je treba za nadaljevanje dodati izjemo in kako naj običajni uporabnik ve, da je enkrat to dobro, drugič pa ne.
Samo zato, ker se banki zdi škoda dobrih sto evrov za certifikat z zeleno naslovno vrstico.:|

alexa-lol ::

Glede na to koliko davkoplačevalskega denarja so dobili v zadnjih nekaj letih je to da povrnejo stroške minimalno kar lahko naredijo... še posebej ker je to njihova krivda, ker niso zagotovili ustrezne varnosti.

Sam uporabljam SKB spletno bančništvo z dvojno avtentifikacijo.

Zgodovina sprememb…

Boone ::

Kako se lahko sklicujejo na malomarnost, če pa certifikatov nimajo urejenih?
Razen če so jih imeli urejene decembra 2009...

Nummy ::

alexa-lol je izjavil:

Glede na to koliko davkoplačevalskega denarja so dobili v zadnjih nekaj letih je to da povrnejo stroške minimalno kar lahko naredijo... še posebej ker je to njihova krivda, ker niso zagotovili ustrezne varnosti.

Sam uporabljam SKB spletno bančništvo z dvojno avtentifikacijo.

Jup, SKB ima zelo dobro narejeno prijavljanje. Dobiš fizični avtentikator in 2x vpišeš kodo notri, ki je vsakič drugačna. :) V praksi ti lahko hacknejo v račun samo če prestrezajo podatke, pa še takrat imajo na voljo samo eno kratko sejo in kot uporabnik bi tudi opazil da nekaj ne štima (nenalaganje strani, čudno obnašanje,...)

Boone je izjavil:

Kako se lahko sklicujejo na malomarnost, če pa certifikatov nimajo urejenih?
Razen če so jih imeli urejene decembra 2009...

Trust me niso imeli. LEtos sem zamenjal NLB in šel k SKB in vedno je bilo potrdilo "neveljavno". Edino potrdilo, ki mi je kdajkoli delalo je bilo od faksa in sigenca.

Zgodovina sprememb…

  • spremenilo: Nummy ()

alexa-lol ::

Nummy je izjavil:

alexa-lol je izjavil:

Glede na to koliko davkoplačevalskega denarja so dobili v zadnjih nekaj letih je to da povrnejo stroške minimalno kar lahko naredijo... še posebej ker je to njihova krivda, ker niso zagotovili ustrezne varnosti.

Sam uporabljam SKB spletno bančništvo z dvojno avtentifikacijo.

Jup, SKB ima zelo dobro narejeno prijavljanje. Dobiš fizični avtentikator in 2x vpišeš kodo notri, ki je vsakič drugačna. :) V praksi ti lahko hacknejo v račun samo če prestrezajo podatke, pa še takrat imajo na voljo samo eno kratko sejo in kot uporabnik bi tudi opazil da nekaj ne štima (nenalaganje strani, čudno obnašanje,...)


Verjetno imajo zaščiteno da lahko samo ena seja izvaja transakcije.

Dober sistem in ne preveč zahteven za uporabnika. Nameščanje certifikatov je kar zahtevno za povprečnega uporabnika + kaj boš če nisi doma in moraš nekaj nujno plačati (se mi je že zgodilo).

Boone ::

Ko prideš na skb.net te pozdravi zelena naslovna vrstica in "Verified by: thawte, Inc".
Na kliku pa: "This Connection is Untrusted". Super, res...

roCkY ::

A tole lahk nekdo mal prevede. No pove po domače.
N
Vsaka nova verzija FF (in še kdaj vmes) se upira uporabit NLB potrdilo. V tistem hipu se prek IE normalno logira. Seveda je verzija IE pač trenutna up to date.
Kdo je tu kriv/odgovoren za to, da je potrebno vedno dodati izjemo.

Boone ::

Gre se zato, da je certifikat,ki ga uporablja skb.net izdan s strani zaupanja vrednega CA, klik si je pa certifikat izdal sam, oz. ga je dobil od nekega "levega" CA.
ACNLB (ki je izdal certifikat za klik) pač ni na seznamu "zaupanja vrednih" CA, zato Firefox na to opozori.

Zgodovina sprememb…

  • spremenil: Boone ()

alexa-lol ::

Če ima lahko slo-tech izdan certifikat od zaupanja vrednega CA, to samo pomeni da so v NLB ali neverjetno malomarni ali pa leni.

Kakšne prednosti ima to da sam izdajaš certifikat? Edina težava bi bila če bi CA shekali in bi potem podpisovali neveljavne certifikate ampak verjetnost tega ne vem kakšna je. Se je že zgodilo v preteklosti ampak če se tega bojijo naj preprosto uvedejo sistem kot ga ima SKB s fizičnim kalkulatorčkom in dvostopenjsko auth.

Nummy ::

alexa-lol je izjavil:

Nummy je izjavil:

alexa-lol je izjavil:

Glede na to koliko davkoplačevalskega denarja so dobili v zadnjih nekaj letih je to da povrnejo stroške minimalno kar lahko naredijo... še posebej ker je to njihova krivda, ker niso zagotovili ustrezne varnosti.

Sam uporabljam SKB spletno bančništvo z dvojno avtentifikacijo.

Jup, SKB ima zelo dobro narejeno prijavljanje. Dobiš fizični avtentikator in 2x vpišeš kodo notri, ki je vsakič drugačna. :) V praksi ti lahko hacknejo v račun samo če prestrezajo podatke, pa še takrat imajo na voljo samo eno kratko sejo in kot uporabnik bi tudi opazil da nekaj ne štima (nenalaganje strani, čudno obnašanje,...)


Verjetno imajo zaščiteno da lahko samo ena seja izvaja transakcije.

Dober sistem in ne preveč zahteven za uporabnika. Nameščanje certifikatov je kar zahtevno za povprečnega uporabnika + kaj boš če nisi doma in moraš nekaj nujno plačati (se mi je že zgodilo).


SKB ima dobro zaščito.
Nalaganje certifikatov niti ni problem, večji problem je potem, ko ti v brskalniku še vedno kaže rdeče oz. da certifikat ni veljaven. Skratka NLB ima zelo zelo slabo varnost in me ne čudi da se take stvari dogajajo pri njih.

Na koncu je pa vedno najbolje, da si bookmarkaš stran banke in potem vedno vstopaš preko bookmarka.

alexa-lol je izjavil:

Če ima lahko slo-tech izdan certifikat od zaupanja vrednega CA, to samo pomeni da so v NLB ali neverjetno malomarni ali pa leni.

Kakšne prednosti ima to da sam izdajaš certifikat? Edina težava bi bila če bi CA shekali in bi potem podpisovali neveljavne certifikate ampak verjetnost tega ne vem kakšna je. Se je že zgodilo v preteklosti ampak če se tega bojijo naj preprosto uvedejo sistem kot ga ima SKB s fizičnim kalkulatorčkom in dvostopenjsko auth.

To da ena banka ni sposobna zrihtati certifikatov samo pokaže koliko so sposobni in koliko dajo na svoje stranke ter njihovo varnost...

Zgodovina sprememb…

  • spremenilo: Nummy ()

Gladi ::

Očitno se sam men zdi da je to povračilo bullshit. Tip je bil sam kriv, da je padel na foro phisinga. Podobno, kot če bi me kakšen Romun okradel, jaz bi pa tožil državo da mi ni zagotovila ustrezne varnosti v naši državi.

MrStein ::

Če bi okoli prenašal 5000 EUR brez ustreznega varovanja, potem ja. Ampak tu se ni to zgodilo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Boone ::

Odvisno kako je prišel na phising site. Če je klikal na linke v čudnih mailih ali pa na nekih tretjih straneh, potem si je sam kriv. Če je na phising site prišel preko nlb.si (malo verjetno, ampak OK), potem je kriv NLB in povračilo ni bullshit.

Phantomeye ::

Mene tudi zanima nek konkreten razlog, zakaj je banka kriva. Navsezadnje ne more vedet za obstoj vsake phising strani, razen če gre res za cross script phising (potem JE kriva banka).

MrStein ::

Glede certidikata:
- Firefox jamra, ker oni ne zaupajo slovenskim CA (zaupajo pa raznim turškim, nizozemskim, indonezijskim in podobno...)
- IE nič ne jamra in vse dela OK
- zdaj pa nadgradno vprašanje: A naj NLB zaupa CA, ki je že izdajala ponarejena potrdila, ali raje sebi?
- vprašanje 2: kje boš dobil osebni certifikat od Thawte? Za kako ceno?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Gandalfar ::

NLB ima svoj CA. Pomojem zato, ker jim to omogoča več fleksibilnosti in kontrole pri client certifikatih. Podobna fora kot ima država svoj CA (SIGEN). Tu je pomojem bolj na mestu krivit browserje, ki imajo tako okorel sistem certifikatov, da če ne plačaš varščine enemu od parih velikih te ne spustijo zraven.

Zgodovina sprememb…

MrStein ::

Phantomeye je izjavil:

Mene tudi zanima nek konkreten razlog, zakaj je banka kriva. Navsezadnje ne more vedet za obstoj vsake phising strani, razen če gre res za cross script phising (potem JE kriva banka).

Kako pa potegneš mejo, kje je kriva banka in kje ni?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Brane22 ::

Tigorsami je izjavil:


Digitalno potrdilo ni vredno zaupanja, ker tudi njegov izdajatelj ni.
Mimogrede, izdajatelj potrdila je NLB.

Seveda je treba za nadaljevanje dodati izjemo in kako naj običajni uporabnik ve, da je enkrat to dobro, drugič pa ne.
Samo zato, ker se banki zdi škoda dobrih sto evrov za certifikat z zeleno naslovno vrstico.:|


Točno s tem sem ime probleme par dni nazaj. Kličem na NLB in tehnik mi pravi "ah kar dodaj izjemo".

Ja pizda cela fora avtentifikacije je da korespondentu NE verjamem na lepe oči.

Oni mi pa pravijo da naj to storim že v prvem koraku. In ne samo to, če tale ACNLB potem izda tudi druge gnile ali kriminalne certifikate, jih bo moj stroj požrl.

Poleg tega se mi zadnje čase ne FF ne Chrome ne povežeta na NLB. Oba vztrajata na tem, da med vzpostavitvijo https ne izpogajata zadovoljivo varnega protokola.

Odgovor tehnika: Zamenjaj OS in uporabljaj IE.;((

Alternativa: Lahko bi namesto tega zamenjal recimo banko. KAr se zdi čedalje bolj verjetno.

MrStein ::

Brane22 je izjavil:


Oni mi pa pravijo da naj to storim že v prvem koraku. In ne samo to, če tale ACNLB potem izda tudi druge gnile ali kriminalne certifikate, jih bo moj stroj požrl.

Ne bo.
Požrl bo le tisto, kar sam eksplicitno določiš.

Razen, če uvoziš njihov korenski certifikat, samo potem pa nobenih izjem ne rabiš dajat.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Brane22 ::

NLB ima svoj CA. Pomojem zato, ker jim to omogoča več fleksibilnosti in kontrole pri client certifikatih. Podobna fora kot ima država svoj CA (SIGEN). Tu je pomojem bolj na mestu krivit browserje, ki imajo tako okorel sistem certifikatov, da če ne plačaš varščine enemu od parih velikih te ne spustijo zraven.


Fajn. Ampak če se gredo varnostne jebade vsakič, ko ti pošljejo novo kartico ( pin posebej itd itd), zakaj potem taka ležernost pri prevzemu certifikata ? Če ga že ročno prevzameš, a ne bi bilo fajn da imaš neko paralelno pot ročne preverbe signaturea, če te to skrbi ?

MrStein ::

Brane22 je izjavil:


Poleg tega se mi zadnje čase ne FF ne Chrome ne povežeta na NLB. Oba vztrajata na tem, da med vzpostavitvijo https ne izpogajata zadovoljivo varnega protokola.

Dela z Chrome. Preverjeno. Z Firefox tudi.


Alternativa: Lahko bi namesto tega zamenjal recimo banko. KAr se zdi čedalje bolj verjetno.

Kaj še čakaš??? ;)

Brane22 je izjavil:

NLB ima svoj CA. Pomojem zato, ker jim to omogoča več fleksibilnosti in kontrole pri client certifikatih. Podobna fora kot ima država svoj CA (SIGEN). Tu je pomojem bolj na mestu krivit browserje, ki imajo tako okorel sistem certifikatov, da če ne plačaš varščine enemu od parih velikih te ne spustijo zraven.


Fajn. Ampak če se gredo varnostne jebade vsakič, ko ti pošljejo novo kartico ( pin posebej itd itd), zakaj potem taka ležernost pri prevzemu certifikata ? Če ga že ročno prevzameš, a ne bi bilo fajn da imaš neko paralelno pot ročne preverbe signaturea, če te to skrbi ?

Za tvoj certifikat nimaš ene, ampak kar dve zaščitni kodi, poslani po različnih poteh.
Za njihov cert pa bi lahko po telefonu vprašal, da ti thumbprint zdrdra, če imaš dvome.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Gandalfar ::

> Ja pizda cela fora avtentifikacije je da korespondentu NE verjamem na lepe oči.

Ja, saj je simple. Gres na njihovo stran: https://elba.nlb.si/ac-nlb-prevzem-klik
(ki je podpisana s strani Verisigna) in si uvozis njihov root certifikat v browser. Lahko bi se pa tudi s tehnikom zmenil po telefonu, da ti pove signature.

Brane22 ::

To sem pričakoval, pa mi tehnik tega ni omenil.

Zdelo semu je hitreje, če zamenjam OS in browser.

Gandalfar ::

Ja saj je. Se posebaj, ce se delas da si res glup user ;)

lanko ::

1. Po mojem mnenju ni banka nič kriva. Model je bil tarča phising napada. Prav pa je, da banka nudi neko zavarovanje tudi v takih primerih. Do sedaj je bilo teh primerov nekaj na leto, a v prihodnosti jih bo več, saj se cyber kriminalci navajajo na "slovenščino". Banke bi morale dati več na ozaveščanje svojih uporabnikov.

2. NLBCA - je neke vrste samooklicani izdajatelj certifikatov, eni brskljalniki ga podpirajo, drugi ne. V vsakem primeru pa ne bi zaupal nobenemu CA-ju vsaj dokler lahko vidijo tvoj zasebni ključ. Vsi CA-ji bi morali delovati tako, da podpišejo ključe, ki jih generiraš sam in ne tako, da ti jih generira CA in da ima fizični stik s tvojim ključi. Certificate signing request @ Wikipedia

3. 2 factor avtorizacija se smatra kot najbolj varna, a ni ravno praktična, če moraš kalkulator oz. ključek (npr. yubikey) nositi povsod s seboj. Kalkulatorjem izdanih iz strani RSA ravno tako nebi zaupal saj zelo radi prejemajo sponzorska sredstva od NSA. Specifikacije in programska oprema na ključkih / kalkulatorjih bi morala biti odprtokodna, drugače niso vredna zaupanja. http://arstechnica.com/security/2013/12...

4. Splošni certifikati po standardu x.509, delujejo praktično povsod na telefonih, tablicah in računalnikih. Povsem normalno pa je, da moraš samooklicane CA-je dodati na seznam zaupanja vrednih. Vprašanje je le ali jim zaupaš.

5. Vsi certifikati kateri so nameščeni na računalnik, na katerem je bila oz. je nameščena škodljiva programska oprema, bi se morali nemudoma preklicati.

Zgodovina sprememb…

  • spremenil: lanko ()

Brane22 ::

4. Splošni certifikati po standardu x.509, delujejo praktično povsod na telefonih, tablicah in računalnikih. Povsem normalno pa je, da moraš samooklicane CA-je dodati na seznam zaupanja vrednih. Vprašanje je le ali jim zaupaš.


Poleg vprašanja ali zaupaš telefonom, tablicam itd itd. Ki SPLOH ni tako nepomembno, kot nam potrjujejo sveži dogodki. Sam nikoli ničesar takega ne bi tlačil v te naprave, ker pač sploh niso namenjene tem zadevam in ker interesi njihovih proizvajalcev pomembno odstopajo od topoglednih interesov uporabnikov.

Looooooka ::

Če ima lahko slo-tech izdan certifikat od zaupanja vrednega CA, to samo pomeni da so v NLB ali neverjetno malomarni ali pa leni.

Kakšne prednosti ima to da sam izdajaš certifikat? Edina težava bi bila če bi CA shekali in bi potem podpisovali neveljavne certifikate ampak verjetnost tega ne vem kakšna je. Se je že zgodilo v preteklosti ampak če se tega bojijo naj preprosto uvedejo sistem kot ga ima SKB s fizičnim kalkulatorčkom in dvostopenjsko auth.

Ni res.
Certifikat kot ga ima slo-tech kupis za par eur.
Ce zelis izdajati certificate uporabnikom(kar nlb dela) je ta strosek bistveno vecji. In te stroske bi na koncu seveda krili uporabniki NLB-ja.
Varnost ob tem ne bi bila PRAV NIC boljsa. Niti za 1%.
Naprave so spet nepotrebna bedarija in dodaten strošek. Glede na to, da ima skoraj vsakdo telefon bi lahko vse banke omogočile dodatno geslo preko smsa. Stroški so minimalni.
Če je imel nlb tisto "osebno sporočilo" ob času, ko je ta butelj izgubil podatke...potem fuj fej za naše sodstvo.

arjan_t ::

lanko je izjavil:


2. NLBCA - je neke vrste samooklicani izdajatelj certifikatov, eni brskljalniki ga podpirajo, drugi ne. V vsakem primeru pa ne bi zaupal nobenemu CA-ju vsaj dokler lahko vidijo tvoj zasebni ključ. Vsi CA-ji bi morali delovati tako, da podpišejo ključe, ki jih generiraš sam in ne tako, da ti jih generira CA in da ima fizični stik s tvojim ključi. Certificate signing request @ Wikipedia


to ne resi nicesar, oni si lahko izdajo in podpisejo nov certifikat ki ga uporabijo za MITM (ali karkoli), da oni ne vidijo tvojega zasebnega kljuca ne poveca zaupanja niti malo

bluefish ::

A NLB v 2009 še ni imel sistema za vnos dveh naključnih znakov ob izvedbi nakazila? Če je, potem si je bil dotični osebek sam kriv.

gruntfürmich ::

uporabnik je očitno totalen loj in banka mu gre na roko...
same lepe zadeve se dogajajo v sloveniji.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

aerie ::

Ampak OK. Prek phishing strani je napadalec dobil geslo. A osebni certifikat tudi al kako?

roCkY ::

LOL ali ne ??
Vsake tolko browser zateži, da je treba dati izjemo. Kako naj vem kaj točno dodajam. Saj prvič in drugič mal pogledaš. Nato je to rutina. Ponavadi se itak naredi, ko se mudi in samo OK tolčeš. In nekdo bo rekel da sem kriv, ker sem potrdil. Ja sem. Ampak zakaj je tega treba. Prvič sem počakal par dni, če bo zadeva postala privzeta in sem raje prek dugega browserja delal. nato ne več.
In prav je, da je banka kaznavona. Da bo zadeve rešila v korist posameznika, da do tega ne bo več prihajalo.

Sicer pa z NLB kar dostikrat pokličejo, če je bilo plačilo res vnešeno z moje strani. Prav tako preverijo plačilo prek mastercarda. Sploh na variante, ko recimo oddaš neko terminsko plačilo in sistem sune z računa kak dolar, ki ga nato vrne. To početje s strani nekaterih bank v tujini se mi zdi kar nočna mora za banke komitentov, ki nakazujemo raznorazne letne ali mesečne članarine. Tak unikat v SLO pa tudi nisem, da bi bil prvi in edini in bi le preverjali verodostojnost računa na drugi strani.

Zgodovina sprememb…

  • spremenil: roCkY ()

bluefish ::

aerie je izjavil:

Ampak OK. Prek phishing strani je napadalec dobil geslo. A osebni certifikat tudi al kako?
Zgleda. Pa še prej omenjeni celoten niz znakov, od katerih moraš ob nakazilu vnesti dva naključno izbrana.

eVro ::

SKB ima tudi še eno finto, ki je še nisem videl nikjer drugje, in sicer je to read only dostop do računa preko m.skb.net, kjer potrebuješ le štirimestni PIN. Za nahitro preverit stanje in transakcije je super, avtentikacija z geslom pa se mi zdi dovolj varna za read only, ker jo lahko tudi izklopiš.

Zgodovina sprememb…

  • spremenil: eVro ()

technolog ::

Pozor!

Ne se prosim slepit, da je SKB kaj bolj varen, ker je treba kao dvakrat pisat neko kodo. Niti pikice bolj.

Le uporabniki jih v pizdo pošiljajo, ker rabiš 5 minut, da se sploh prijaviš. Seveda lahko izklopiš, ampak na lastno škodo. Logike itak nima nihče nobene.

Edina pametna rešitev je, da dajo uporabnikom osebne certifikate. Tega pa seveda nihče ne bi.

Zgodovina sprememb…

Izi ::

Tukaj je pa sodišče močno brcnilo v temo. Se vidi, da se sodniki ne spoznajo na te zadeve.

Tale zadeva z phishingon in prenakazanim denarjem je popoln bullshit. Tudi če jaz na internetu objavim svoje geslo za Banko mi nihče ne more ukrasti denarja.
Prva stvar je, da se brez certifikata ne moreš prijaviti v banko, tudi če veš geslo. Certifikat pa se lahko ukrade samo fizično iz računalnika. Se pravi EDINA možnost je, da so mu denar prenakazali iz njegovega računalnika, ki je imel nameščen certifikat. Torej ali so mu vlomili v hišo ali pa mu ukradli prenosnik. Kje je tukaj kriva banka?
Pa tudi v tem primeru se lahko samo povežeš na banko, še vedno pa ne moreš prenakazati denarja, ker rabiš vpisati še dvomestno zaščitno kodo, ki je ne more vedeti nihče razen lastnik. Se pravi, da so mu morali zraven ukrasti še tisti listek s kodami za nakazila.

Tukaj je pa že toliko čejev in nelogičnosti, da lahko zaključimo, da je ta uporabnik sam nakazal svoj denar na nek drug svoj račun in potem prijavil denar kot ukraden. Naivno sodišče pa mu je verjelo.
Skratka ta uporabnik je nategnil državo in si namesto povračila denarja zasluži zapor.

NLB Klik je štirikrat varovan.
1. Certifikat
2. Geslo
3. Osebno sporočilo
4. Varnostna koda (dvomestna), ki je ob vsakem nakazilu drugačna

Če si še tako neumen in nevešč ti nihče ne more ukrasti denarja, če mu sam ne dovoliš.

Zgodovina sprememb…

  • spremenil: Izi ()

sensei ::

Ne se prosim slepit, da je SKB kaj bolj varen, ker je treba kao dvakrat pisat neko kodo. Niti pikice bolj.

Do elaborate.

technolog ::

sensei je izjavil:

Ne se prosim slepit, da je SKB kaj bolj varen, ker je treba kao dvakrat pisat neko kodo. Niti pikice bolj.

Do elaborate.


Predstavi en argument, zakaj bi bil. Nekdo je že nekaj napisal, zato ga bom refutal:

Jup, SKB ima zelo dobro narejeno prijavljanje. Dobiš fizični avtentikator in 2x vpišeš kodo notri, ki je vsakič drugačna. :) V praksi ti lahko hacknejo v račun samo če prestrezajo podatke, pa še takrat imajo na voljo samo eno kratko sejo in kot uporabnik bi tudi opazil da nekaj ne štima (nenalaganje strani, čudno obnašanje,...)


Seveda prestrezajo podatke. Saj to phishing je. Tip MITM napada.
Kakšno kratko sejo? V času pod 10ms pingov in metgabitnih povezav naj bi user opazil en dodaten "proxy"? Moram pa vprašat, kakšno čudno obnašanje?

Zgodovina sprememb…

sensei ::

U bistvu si ti na vrsti za obrazložitev, ker glej, ti si nekaj trdil, jaz pa sem te zgolj prosil, če lahko to obrazložiš, da ne bom slučajno slepo verjel nekomu, ki se na nekem x forumu predstavlja z nekim y nickom.

MuadDib ::

Kdo se pa sploh uporablja slovensko banko???

Pred nekaj casa sem zamenjal banko in zdaj uporabljam Easybank. Zakaj? Ker tam spostujejo svoje stranke in nas ne gledajo tako kot v slovenskih bankah (kot da sem jaz kot stranka dolzan banki kaj, pa ceprav imam nekaj denarja na racunu - v plusu). Zraven tega je moj bancni racun popolnoma brezplacen - ni stroskov vodenja racuna, ni stroskov pri placevanju poloznic (po celi evropi, se razume) in ni nobenih stroskov pri dvigovanju gotovine na kateremkoli bankomatu po evropi.

Ce se potrebuje se kaksna kreditna kartica, je le-ta brezplacno zraven!

Ce pa se kdo raje odloci za kaksno prepaid kartico (mastercard), pa je pravi odgovor Kalixa (enkratni znesek 10 eur in imas kartico za vecne case for free - nalaganje preko nakazila, po poteku veljavnosti posljejo novo kartico brezplacno).

Torej jaz sem odprl oci in zacel uporabljat raje kaksno drugo banko v evropi, saj ne dam teh € 2,60 vsak mesec za "vodenje racuna in bank@net-a", zraven tega pa se tistih par eur za placilo vseh poloznic! Saj ne recem da je veliko, vendar pa imam enake pogoje, ce ne celo boljsih pri drugi banki, pa se teh stroskov nimam, in se pol vprasam kdo koga zdaj tu za nos vlece (oz. za denarnico).

Malo off topic, pa vseeno je to s tem certifikatom in (nehotelim) vracilom denarja "dober" znak kako je bankam do strank!!!

technolog ::

To je skor taka naloga, kot da hočeš, da dokažem neobstoj boga. Vi (in SKB) trdite, da je dodaten korak kaj bolj varen, kot če ga ni.

Jaz trdim, da je za nekoga, ki sedi na povezavi povsem neodvisno, koliko "tja in nazaj" avtentikacijskih zahtevkov se opravi, dokler lahko on hijacka sejo, ko je uporabnik enkrat prijavljen. To je moj argument.

sensei ::

Hvala za razlago, technolog, torej gre za MITM napad, ki je možen tudi pri SKB, kljub tistemu avtentikatorju? Nikjer nisem trdil, da je SKB varnejši od ostalih, samo kot laiku mi je zaradi dodatne fizične naprave tako izpadlo. Niti nisem uporabnik spletnega bančništva.

technolog ::

Predstavljaj si MITM napad kot nekega strica, ki kuka v povezavo. Bodisi je ta dostop dobil, da ima nekje "dostop do kabla" (ta primer prepreči uporaba HTTPS / SSL) ali pa to, da je uporabnik nasedel na njegovo phishing stran, ki deluje kot nek transparenten proxy.

Ne glede na to, kako dolg in zakompliciran je avtentikacijski postopek, lahko ta stric prevzame sejo in ti naredi kakršno koli štalo, ko si enkrat prijavljen.

p.s.: Zgornji "dostop do kabla" je metaforično rečeno, dovolj je vsak dostop do komunikacijskega kanala.

Zgodovina sprememb…

Izi ::

technolog je izjavil:

Predstavljaj si MITM napad kot nekega strica, ki kuka v povezavo. Bodisi je ta dostop dobil, da ima nekje "dostop do kabla" (če ni HTTPS) ali pa to, da je uporabnik nasedel na njegovo phishing stran, ki deluje kot nek transparenten proxy.

Ne glede na to, kako dolg in zakompliciran je avtentikacijski postopek, lahko ta stric prevzame sejo in ti naredi kakršno koli štalo, ko si enkrat prijavljen.

Na NLB Klik tudi v tem primeru ne bi mogel prenakazati, ker varnostno geslo pred vsakim novim nakazilom NI ELEKTRONSKO.
Banka ti postavi vprašanje (Na primer: vpiši drugo in osmo kodo varnostnega gesla). In to varnostno geslo ni nikjer na računalniku ampak ga ima le lastnik v fizični obliki doma.

Kar hočem reči, je, da pri NLB Klik ti nihče ne more prenakazati denarja, četudi imaš ti Banko odprto na računalniku, nekdo pride v tvojo sobo, te udari po glavi in se vsede za tvoj računalnik. Še vedno bo moral preiskati celo tvoje stanovanje, da bo našel tisto 8 mestno varnostno kodo. Če je ne bo našel lahko samo občuduje tvoje stanje na bančnem računu, ukrasti ti pa ne more nič.

technolog ::

Če je to res, da je treba pred vsakim nakazilom na novo vpisovat potrditveno kodo, potem je NLB še bolj varen kot SKB, ki tega nima.

Ampak tud to ni za zihr, ker se lahko naredi tale scenarij: Ti narediš nakazilo 10EUR za nove čevlje, vpišeš kodo. V resnici pa napadalec namesto tebe naredi 5000EUR nakazilo offshore.

Vpisovanje kode ponovno kot potrditev nakazila preprečuje samo proti temu, če greš ti samo pogledat sredstva, da ti oni v tem primeru kej ukradli. Ko pa enkrat narediš nakazilo in vpišeš kodo, lahko pa oni v ozadju naredijo poljubno drugačno nakazilo kamorkoli.

Zgodovina sprememb…

Izi ::

technolog je izjavil:

Če je to res, da je treba pred vsakim nakazilom na novo vpisovat kodo za dostop, potem je NLB še bolj varen kot SKB, ki tega nima.

To ni koda za dostop, ampak koda za potrditev nakazila.
Je vsakič drugačna, vpisovati pa jo je treba samo za vsako nakazilo na nek nov račun. Če nakazujaš mesečne položnice na vedno isti račun, potem te ne vpraša za kodo, ker smatra, da gre za varno transakcijo, ki si je že večkrat izvedel.

technolog ::

Ja OK, koda za potrditev nakazila. Osredotoči se raje na to, kar sem napisal, ne na besedne lapsuse.

bluefish ::

Jah, tisto, kar si napisal, v primeru Klika pač ni možno.

Zgodovina sprememb…

  • spremenil: bluefish ()

technolog ::

Seveda je možno. Če ti nazažeš 10EUR sosedi Micki in vpišeš potrditveno kodo, lahko MITM napadalec v ozadju naredi s to isto kodo poljubno nakazilo.

Sem kaj spregledal? Ne uporabljam Klika, tko da ne vem čist točno, kako delujejo stvari tam.

Zgodovina sprememb…

«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Poizkus zlorabe bančne kartice

Oddelek: Informacijska varnost
163595 (2721) K3kec
»

Obrali so me za 1000€ prek spleta !! pomoč/izkušnje!? (strani: 1 2 )

Oddelek: Loža
7518140 (13620) Daedalus
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23291577 (84788) sisemen 

Več podobnih tem