Slo-Tech - Višje sodišče je potrdiloprvostopenjsko sodbo, s katero je okrajno sodišče lani razsodilo, da mora NLB komitentu vrniti pet tisoč evrov, ki so mu jih neznani storilci ukradli z zlorabo spletne banke.
Gre za spor iz leta 2009, ki se je začel, ko je komitent na bankomatu opazil, da je stanje na njegovem računu negativno. Ugotovil je, da so neznani storilci z njegovega računa nakazali 5150 na neznan bančni račun, zaradi česar je takoj blokiral spletno banko, kaznivo dejanje prijavil policiji in od banke zahteval povrnitev škode. Tu pa se je zapletlo, ker je banka trdila, da je uporabnik za zlorabo kriv sam in do povračila škode ni upravičen.
Komitent je namreč podatke o svoji elektronski banki izdal v napadu z ribarjenjem (phishing), ko je nevede obiskal stran, ki se je pretvarjala, da gre za legitimno vstopno stran v spletno banko. Banka je trdila, da je to huda malomarnost, ker da uporabnik ni poskrbel za zaščito svojega računalnika in za varovanje osebnih podatkov. S tem se je banka lahko sklicevala na 120. člen Zakona o plačilnih storitvah in sistemih, ki bankam nalaga povračilo škode nad 150 evri, razen če dokažejo hudo malomarnost ali uporabnikovo prevaro. V sodnem postopku je oškodovanec dokazoval, da je ravnal z zadostno skrbnostjo, saj je imel na računalniku nameščen protivirusni program in program za odstranjevanje škodljive programske opreme (antimalware).
Po zavrnitvi na banki se je skupaj z Zvezo potrošnikov Slovenije obrnil na poravnalni svet Združenja bank Slovenije, ki mu je pritrdil. Ker banka škode ni želela povrniti, je pravico iskal tudi na sodišču, ki mu je lani decembra ugodilo na prvi stopnji. NLB se je pritožila in izgubila, tako da je sodba sedaj pravnomočna. To je prva razsodba v Sloveniji, po kateri mora banka komitentu vrniti škodo, ki je nastala z zlorabo spletne banke.
Po mojem mnenju tudi. Noben antivirusni in antimalware ali kaj podobnega te ne reši proti phising strani. Uporabnik lahko največ glede tega naredi tako da si spletno stran shrani med zaznamke in od tam dostopa do nje.
Tako da jaz bi tudi rekel da je bil uporabnik kriv.
Glih zaradi takih napadov je NLB uvedla osebno sporočilo PRED vpisovanjem gesla. Je pa tudi res, da če te neka stran vpraša za certifikat, pa jim ga prijazno ponudiš... :)
Osebno mislim, da bi moral plačati proizvajalec protivirusne opreme na računalniku oškodovanca, če že kdo. Banka pa nikakor.
A ima ta analogija smisel: najamem službo za varovanje, lopovu dam ključ od stanovanja. In ko me lopov okrade, je služba za varovanje kriva, ker ni ustrezno izpolnila svojih nalog. ?
V sodnem postopku je oškodovanec dokazoval, da je ravnal z zadostno skrbnostjo, saj je imel na računalniku nameščen protivirusni program in program za odstranjevanje škodljive programske opreme (antimalware).
Mene pa zanima, kako dokažeš, da si imel res v času vdora inštaliran in aktiviran antivirusni program (ter požarni zid)? Lahko ga je namestil tudi po vdoru...
od zdaj naprej hodim od hiše do hiše oblečen v NLB majico in stare bake prosim, da mi dajo svojo bančno in PIN, da preverim, če sistem banke deluje pravilno. Itak bo bo banka kriva, ker mi bodo bake verjele zaradi majice.
Po mojem mnenju tudi. Noben antivirusni in antimalware ali kaj podobnega te ne reši proti phising strani. Uporabnik lahko največ glede tega naredi tako da si spletno stran shrani med zaznamke in od tam dostopa do nje.
Tako da jaz bi tudi rekel da je bil uporabnik kriv.
No dejansko so neke zadeve sposobne zaznat tovrstne strani...
Si predstavljate, kaj bo to zdaj potegnilo za sabo?! Vsak, keri se malo boljše razume vustroj delovanja banke, bo sedaj lahko "prijavil" vdor in mu bo banka morala vse plačat. Mislim, to še bo veselica.
Banka je itak zavarovana za take neumnosti, ce pa slucajno ni, bo pa pset kaksna dokapitalizacija iz strani drzavljanov.
Kar se pa odgovornosti banke tice je pa v nocivi link na Uradni list v katerem pise, da ti _mora_ banka povrniti skodo, nastalo zaradi neodobrene placilne transakcije (nekdo je ogoljufal tebe preko tvoje banke), _RAZEN_ ce je bilo nakazilo izvrseno na podlagi ukradenega dokumenta ali slampaste varnosti uporabnika. Potem pa naprej se pise da je banka kriva ce ni dovolj pridno uporabnike obvescala o varnostnih prijemih, itd.
Skratka zakon je napisan tako, da se mora banka zelo zelo zelo potruditi, da lahko opravlja placilen promet. Ce kaj pri tem zajebe, potem tudi krije skodo. Je pa v zakonu se cel kup enih izjem in odlocb, ki zadevo zakomplicirajo v 3PM. Sklepam da zato, da bi povprecend rzavljan cimprej obupal in pustil banko pri miru.
Navsezadnje banke slzijo dnar s tem da premikajo bite iz enega racuna na drugega, neko odgovornost za to pa morajo prevzeti. Ce pa niso sposobni zagotavljati varnosti v elektronske poslovanju pa naj grejo nazaj na papir.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Navsezadnje banke slzijo dnar s tem da premikajo bite iz enega racuna na drugega, neko odgovornost za to pa morajo prevzeti. Ce pa niso sposobni zagotavljati varnosti v elektronske poslovanju pa naj grejo nazaj na papir.
Vau, en razumen komentar.
Bankam gre še predobro, da bi jih še "cartali" na sodiščih.
Še enkrat, kako so se zlikovci prijavili v Klik brez certifikata?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
V zakonu nic ne omenjajo poslovnih rezultatov bank, ampak vsem bankam nalagjo odgovornost, da so v vecini primerov same krive za zlorabe na racunih njihovih komitentov, razen ce jim _dokazejo_ malomarnost ali goljufijo. Dokazno breme lezi na banki, komitent je po defaultu nedolzen. Jaz si zakon razlagam tako, do mora banka loviti tudi phishing strani in vso drugo nesnago, ki ima lahko vpliv na varnost njihovega sistema. Tako kot morajo cuvati trezorje pred nepooblascenim vstopom, tako morajo covati svoje serverje. Tako si jaz razlagam zakon.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Ja, in ta debata je stara skoraj toliko kot so stare plačilne kartice. Osnova je nekako taksna: banke bi lahko dosegle večjo varnosti plačil, vendar bi bili dodatni stroški večji kot je skoda zaradi zlorab. Iz tega sledi, da naj banke teh stroškov ne prelagajo na uporabnike, saj imajo od njihovega zmanjševanja koristi predvsem one (banke).
Toliko kot imajo pickpocket cigoti na morju z njihovim trezorjem. Dovlj da jim zakon nalaga, da so aktivni glede varnosti, ne pa da sedijo in cakajo in upajo na najboljse. Privilegij da lahko delajo z nasim dnarjem skoraj vse kar jim pase jih "kosta" to, da morajo ornk poskrbeti za varnost svojih komitentov in njihovih sredstev. Ce vam tak zakon ni vsec lahko komot izvolite koga ki ga bo spremenil na nacin, da ti lahko banka pokrade vse kar hoce (kako jim bos dokazal da so bli oni??), ti pa ne dobis niti centa. Me zanima kako blagodejno bi tak zakon vplival na poslovanje bank...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Sej cudno, da niso banki se nalozili placilo izobrazevanja slampastemu folku o varnosti na internetu. Kot da bi se peljal po nasprotni strani avtoceste in se potem zgovarjal, da si v CPPju to pozabil prebrat. Banka ima vec kot dovolj opozoril, kako se izognit podobnim zadeva, samo ce folk ne bere, je to kako krivda banke?
... Tako kot morajo cuvati trezorje pred nepooblascenim vstopom, tako morajo covati svoje serverje. Tako si jaz razlagam zakon.
Kaj pa ima phishing stran z njihovimi serverji?
Tele komentatorje je treba označit, da v tehničnih temah ne zgubljaš časa z razpravljanjem o stvareh, ki jih očitno ne razumejo :)
Lepo, da majo zdej tisto dodatno geslo ampak v tem primeru je PAČ kriv uporabnik. Tko kot si kriv ti če se zaletiš z avtom od zadaj v mojega. Pa kljub temu, da sem PAČ jaz hitro zabremzal. Če bi mel ti dovolj velko varnostno razdaljo ne bi blo problema. Oziroma če ta osebek ne bi bil bebec in bi preveril če je vstopna stran res nlb-jeva....ne bi blo problemov.
Ne verjamem, da bi kdorkoli zagovarjal NLB, ce bi bil samo kancek suma, da so oni nardil nekaj narobe. V tem primeru gre zgolj za clovesko neumnost, sodba je pa tako absurdna, da zelo spominja na ameriske zgodbe iz sodisc.
Zlikovec dejansko ni nič ukradel stranki ampak je preko njegovega računa oropal banko. Stvar je podobna, kot da bi stal na blagajni pred banko in bi v banko stopil ropar. Ker sem že popisal papirje za dvig denarja je ta ropar oropal banko ali je oropal mene in banka nima nič pri tem?
Precej je treba vedeti, preden opaziš, kako malo veš.
Sej cudno, da niso banki se nalozili placilo izobrazevanja slampastemu folku o varnosti na internetu.
Zakon jim nalaga, da morajo svoje uporabnike redno informirati o varnosti. Ce bi dali dovolj obvestil na svoj homepage in napisali kaksno na to temo v mesecne izpiske (namesto da jih zafilajo z reklamami) pa bi na sodiscu mogoce prisli ceneje skozi. Pa tega niso naredili, kljub temu da jim zakon to nalaga. Kako potem niso krivi??
A so tud mlekarne krive, da prdiš, ker ti piješ mleko, čeprav si alergičen na laktozo?
A pise v zakonu da so?
ampak v tem primeru je PAČ kriv uporabnik
Mogoce v vaski gostilni, pred sodici je pa po zakonu kriva banka. In grem stavit da banke presneto dobro poznajo zakone ki regulirajo njihovo poslovanje, tudi ce jih komitenti ne (kar je razvidno iz tega foruma).
Kot da bi se peljal po nasprotni strani avtoceste in se potem zgovarjal, da si v CPPju to pozabil prebrat.
Bolj je to podobno temu, da v nalivu na cesti nagazis na luknjo, v kateri razbijes feltno, razcefras gumo in se kaj. Zdej pa pejd pogledat kdo je za to kriv: voznik ali kdo drug?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Navsezadnje banke slzijo dnar s tem da premikajo bite iz enega racuna na drugega, neko odgovornost za to pa morajo prevzeti. Ce pa niso sposobni zagotavljati varnosti v elektronske poslovanju pa naj grejo nazaj na papir.
Vau, en razumen komentar.
Bankam gre še predobro, da bi jih še "cartali" na sodiščih.
Še enkrat, kako so se zlikovci prijavili v Klik brez certifikata?
Sicer dejansko ničesar ne vemo kako je bila zadeva v tem primeru speljana tako da malo ugibam ampak... Saj se niso prijavili brez certifikata. Problem je ker je NLB sam svoj CA in so njihovi certifikati v bistvu self signed. Nepridiprav komot generira svoj strežniški certifikat in se izdaja za "ACNLB" ter postavi neko napadalno spletno stran, ki se izdaja za klik.nlb.si. Ko bo uporabnik priletel na tako stran ga bo seveda pričakalo opozorilo ala "The site security certificate is not trusted!" in user bo jasno kliknil "add exception" (ista procedura je, ko s clean browserjem prvič prideš na stran od klika). Napadalna stran nato lahko s pomočjo javascripta kriptira poljubne requeste (ki jih uporabnik jasno ne vidi) na uporabnikovi strani in jih posreduje naprej pravemu kliku. Uporabnikova krivda je v tem primeru samo to, da se je strinjal z novim zaupanja nevrednim server side certifikatom. Na kar ga je pa NLB v bistvu že navadila še preden je sploh začel uporabljat klik. Po tem so na klik naštrikal še to "Osebno sporočilo" na katero mora bit uporabnik pozoren in pa potrjevanje vsake transakcije z delom nekega fixed private gesla in virtualne tipkovnice. Ta primer se mi zdi da je še izpred teh zadnjih dveh preprek.
Ne verjamem, da bi kdorkoli zagovarjal NLB, ce bi bil samo kancek suma, da so oni nardil nekaj narobe. V tem primeru gre zgolj za clovesko neumnost, sodba je pa tako absurdna, da zelo spominja na ameriske zgodbe iz sodisc.
A res? Daj citiraj absurdne dele, da bomo še mi videli.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Problem je ker je NLB sam svoj CA in so njihovi certifikati v bistvu self signed. Nepridiprav komot generira svoj strežniški certifikat in se izdaja za "ACNLB" ter postavi neko napadalno spletno stran, ki se izdaja za klik.nlb.si. Ko bo uporabnik priletel na tako stran ga bo seveda pričakalo opozorilo ala "The site security certificate is not trusted!" in user bo jasno kliknil "add exception" (ista procedura je, ko s clean browserjem prvič prideš na stran od klika).
Ne ni, AC NLB je trusted. (razen na kakem open sours softveru, ki raje zaupa raznim Comodo-m in podobno... ).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zlikovec dejansko ni nič ukradel stranki ampak je preko njegovega računa oropal banko. Stvar je podobna, kot da bi stal na blagajni pred banko in bi v banko stopil ropar. Ker sem že popisal papirje za dvig denarja je ta ropar oropal banko ali je oropal mene in banka nima nič pri tem?
S temle si pa ubistvu zmagal debato Zlikovci so preko racuna komitenta oropali banko, ce smo eksaktni. Zakaj naj bi lahko banka pobrala denar komitentu samo zato, ker imajo zanic porihtano varnost?
Sicer se strinjam da je bil komitent v tem primeru racunalnisko nepismen, ampak to lahko recemo tudi za precejsen del sodelujocih na temle forume, neglede na to da naj bi bil racunalnisko usmerjen. Ampak neumnost zaenkrat se ni kazniva, je pa kazniva malomarnost, ki pa je banka ni uspela dokazati.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Phishing is the attempt to acquire sensitive information such as usernames, passwords, and credit card details (and sometimes, indirectly, money) by masquerading as a trustworthy entity in an electronic communication.[1][2] Communications purporting to be from popular social web sites, auction sites, banks, online payment processors or IT administrators are commonly used to lure unsuspecting public. Phishing emails may contain links to websites
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
"Life is hard; it's even harder when you're stupid."
... Tako kot morajo cuvati trezorje pred nepooblascenim vstopom, tako morajo covati svoje serverje. Tako si jaz razlagam zakon.
Kaj pa ima phishing stran z njihovimi serverji?
Tele komentatorje je treba označit, da v tehničnih temah ne zgubljaš časa z razpravljanjem o stvareh, ki jih očitno ne razumejo :)
Lepo, da majo zdej tisto dodatno geslo ampak v tem primeru je PAČ kriv uporabnik. Tko kot si kriv ti če se zaletiš z avtom od zadaj v mojega. Pa kljub temu, da sem PAČ jaz hitro zabremzal. Če bi mel ti dovolj velko varnostno razdaljo ne bi blo problema. Oziroma če ta osebek ne bi bil bebec in bi preveril če je vstopna stran res nlb-jeva....ne bi blo problemov.
glede na odločitev sodišča se motiš, mogoče je tvoj komentar za označit, tebi pa v velik razmislek
No saj vemo, da je vsak novopečeni forumaš bolj pameten od cele ekipe pravnih in tehničnih strokovnjakov (v dveh instancah). Posebej tisti, ki se sklicujejo na lastno avtoriteto in argumentirajo z žaljenjem.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
Še enkrat... Kako si predstavljaš, da bo ena zagamana banka nadzirala CEL internet in vsakodnevno prečesavala vse obskurne domene tipa dfgsdrtghojpohijdtpoert.com, če je katera od njih slučajno podobna vstopni strani Klika?
In kakšno zvezo ima to z njihovimi serverji, ki poganjajo KlikNLB?
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
Še enkrat... Kako si predstavljaš, da bo ena zagamana banka nadzirala CEL internet in vsakodnevno prečesavala vse obskurne domene tipa dfgsdrtghojpohijdtpoert.com, če je katera od njih slučajno podobna vstopni strani Klika?
In kakšno zvezo ima to z njihovimi serverji, ki poganjajo KlikNLB?
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
Še enkrat... Kako si predstavljaš, da bo ena zagamana banka nadzirala CEL internet in vsakodnevno prečesavala vse obskurne domene tipa dfgsdrtghojpohijdtpoert.com, če je katera od njih slučajno podobna vstopni strani Klika?
In kakšno zvezo ima to z njihovimi serverji, ki poganjajo KlikNLB?
resna banka lahko to preveri vsako uro
Torej, vsako uro lahko prečešejo VSE domene, ki so dosegljive na internetu? Svaka čast. Ti si Bog.
Kako si predstavljaš, da bo ena zagamana banka nadzirala CEL internet....
A me mora zanimat, kako banka to pocne? Upravlja z mojim denarjem, za kar mi zaracunava ter ima se posredne koristi od tega. Torej ali upravlja z mojim denarjem varno ali pa naj tega ne pocne. Ce pa upravlja malomarno, naj povrne skodo.
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
Še enkrat... Kako si predstavljaš, da bo ena zagamana banka nadzirala CEL internet in vsakodnevno prečesavala vse obskurne domene tipa dfgsdrtghojpohijdtpoert.com, če je katera od njih slučajno podobna vstopni strani Klika?
In kakšno zvezo ima to z njihovimi serverji, ki poganjajo KlikNLB?
resna banka lahko to preveri vsako uro
Torej, vsako uro lahko prečešejo VSE domene, ki so dosegljive na internetu? Svaka čast. Ti si Bog.
no vse ne, lahko pa search omejiš na imena podobna tvoji domeni brez težav, poleg tega lahko dnevno čekiraš spam maile ter linke, če kateri kažejo na podoben strani, preverjaš informacije od podjetij ki se ukvarjajo s tem ter dodatno informiraš ter zavaruješ neuke uporabnike
). 
Zlikovci so preko racuna komitenta oropali banko, ce smo eksaktni. Zakaj naj bi lahko banka pobrala denar komitentu samo zato, ker imajo zanic porihtano varnost?
V mislih sem imel lažno stran.