» »

Obremenitev TRR-ja s strani amazona

Obremenitev TRR-ja s strani amazona

1
2
3

AndrejO ::

St235 je izjavil:

Pri tem je potrebno poudarit, da pri direktnih bremenitvah (pa tudi kreditnih karticah) in zlorabah le teh, je ravno zato dokazno breme v veliki meri obrnjeno.

Ahem. Pri direktnih bremenitvah (SEPA DD - CORE, ki je relevanten za potrošnike, B2B je druga zgodba) ni "dokaznega bremena".

Stranka lahko v roku 8 tednov izjavi, da zavrača transakcijo brez navedbe razloga.
Stranka lahko v roku od 8 tedno do 13 mesecev izjavi, da zavrača transakcijo zaradi zlorabe.

V obeh primerih je banka prejemnica dolžna spoštovati zavrnitev in brez odlašanja vrniti sredstva.

Od banke prejemnice je odvisno kaj bo storila in kako, da si bo ta sredstva povrnila. Običajno to pomeni, da jih vzame nazaj od podjetja, ki je sprožilo SDD zahtevek, to podjetje pa potem račun naslovi neposredno na stranko - tukaj šele se lahko začne pravda in ta pravda bo civilna in v njej bo podjetje dokazovalo, da je upravičeno do plačila oziroma terjalo dolg. Tukaj seveda ni govora o kakšnem "obračanju" dokaznega bremena, temveč o običajni pravdi, kadar stranka nekaj vzame, potem pa "pozabi" plačati. V Sloveniji je lahko to v končni fazi tudi eIzvršba na podlagi verodostojne listine.

St235 je izjavil:

Kaj se bo zgodilo z morebitnimi obrestmi zaradi prekoračitve, zaračunanimi stroški zavrnjenih SDD nalogov in podobno, zakonodaja mislim, da ne govori.

na konkretnem primeru zlorabe debetne VISE so bili v celoti povrnjeni vsi stroki, ki so nastali zaradi prekoračitve dovoljenega limita.

Ali v Sloveniji velja kakšen predpis na to temo?

imagodei je izjavil:

Kako je ta "pull" model sploh lahko dopusten? Torej, zgubim kartico, kjer je seveda zapisan IBAN skupaj z mojim imenom in priimkom, pa lahko nekdo z malo iznajdljivosti odkrije moj naslov in direktno bremeni moj račun?

Nehaj se obremenjevati z naslovom, ker ta za vzpostavitev SDD sploh ni potreben.

imagodei je izjavil:

OK, izgubo kartice bom hitro pogruntal ... Mi pa pridejo na misel scenariji, kjer kakšni nepošteni referenti v računovodstvih podjetij, ki zagotavljajo kakšne javne storitve (elektro, komunala, ogrevanje) pridejo do teh podatkov, pa iz kakšnega računa iz tujine direktno bremenijo kakih 1000 strank...

Scenarijev je ničkoliko. Morda bi bil čas, da se pri svoji banki pozanimaš glede možnosti blokiranja SDD mandatov - blacklisting, whitelisting, popolna blokada novih, ipd ... Banke so strankam v skladu s predpisi dolžne ponuditi vsaj nekatere izmed teh možnosti.

Zgodovina sprememb…

  • spremenil: AndrejO ()

St235 ::

no comment je izjavil:

AndrejO je izjavil:


Izvorni greh SDD pa je tako ali tako "pull" model, kjer prejemnik "potegne" denar namesto "pull" modela, kjer pošiljatelj "porine" denar. To je dejansko razlika med današnjimi direktnimi bremenitvami in trajnimi nalogi (trajniki) iz preteklosti.

Huh?! Ti si na starih trajnikih "porival" denar na datum?! To potem pač ni bil trajnik.

Direktne bremenitve in trajniki so nastali ravno zaradi tega, da prejemnik ni odvisen od dobre volje dolžnika.

Zgodbe o tem kako nekdo pobere tvoj IBAN in nakaže denar nekemu XY društvu (ki za to sploh ne ve) so pa pravljice. SAMO prejemnik direktne bremenitve lahko zahteva sprovedbo transakcije (na svojo banko določeno število dni prej pošlje nalog (tako kot npr. navadni plačilni nalog) z vsemi detajli (ime, št. soglasja...)). Torej tisto XY društvo mora sodelovati v raboti. In ker pri sebi nima tvojega soglasja, mu bo banka najprej pobrala denar, potem pa ga bodo obiskali možje v modrem. Če bo potem tako društvo iz zraka "sproduciralo" tvoje soglasje, bo pa odgovorna oseba na koncu najverjetneje objela kako rešetko (od znotraj).


Še en revež, ki ne loči med direktno bremenitvijo in trajnikom.

Pri trajniku je plačnik tisti, ki da banki soglasje, da avtomatično poravna račune XY podejtje.

Pri direktni bremenitvi pa XY podjetje sporoči banki, da je od tega in tega prejelo soglasje za plačilo računa.

Sam lahko hitro ugotoviš kje so večje možnosti zlorabe.

V konkretnem priemru, ki ga omenjaš pozabljaš, da je neka oseba tista, ki določenemu društvu posreduje podatke in je odvisno od tega društva/podjetja kako verodostojni so ti podatki. XY podjetje ali društvo tako ne rabi sodelovati pri kršitvi ampak se znajde dejansko v vlogi oškodovanca.

zlorabe so tako možne na dveh nivojih:
Ena je da nekdo preko direktne bremenitve vzpostavi bremenitev na XY TRR. Potem pobaže robo/storitev in nategne tako ponudnika, kot lastnika TRR.
Drugo pa je, da nekdo dejansko vzpostavi podjetje (andrej je omenil UK), ustvari fiktivne direktne bremenitve in pravičasno dvigne denar in spakira kufre.

Primer z društvom je bil zgolj "dobronamerna šala", ko se je Jeremy hvalil, a z njegovim TRR ne morejo nič.

Ahem. Pri direktnih bremenitvah (SEPA DD - CORE, ki je relevanten za potrošnike, B2B je druga zgodba) ni "dokaznega bremena".

Stranka lahko v roku 8 tednov izjavi, da zavrača transakcijo brez navedbe razloga.
Stranka lahko v roku od 8 tedno do 13 mesecev izjavi, da zavrača transakcijo zaradi zlorabe.

V obeh primerih je banka prejemnica dolžna spoštovati zavrnitev in brez odlašanja vrniti sredstva.

Od banke prejemnice je odvisno kaj bo storila in kako, da si bo ta sredstva povrnila. Običajno to pomeni, da jih vzame nazaj od podjetja, ki je sprožilo SDD zahtevek, to podjetje pa potem račun naslovi neposredno na stranko - tukaj šele se lahko začne pravda in ta pravda bo civilna in v njej bo podjetje dokazovalo, da je upravičeno do plačila oziroma terjalo dolg. Tukaj seveda ni govora o kakšnem "obračanju" dokaznega bremena, temveč o običajni pravdi, kadar stranka nekaj vzame, potem pa "pozabi" plačati. V Sloveniji je lahko to v končni fazi tudi eIzvršba na podlagi verodostojne listine.


želel sem poudariti (zato sem tudi govoril širše kot samo SEPA DD - CORE), da je odgovornost za verodostojnost tranzakcije na podlagi tistega ki plačilo zahteva oziroma ga sprovede in ne na strani imetnika TRR/kartice.

Zgodovina sprememb…

  • spremenil: St235 ()

AndrejO ::

no comment je izjavil:

AndrejO je izjavil:


Izvorni greh SDD pa je tako ali tako "pull" model, kjer prejemnik "potegne" denar namesto "pull" modela, kjer pošiljatelj "porine" denar. To je dejansko razlika med današnjimi direktnimi bremenitvami in trajnimi nalogi (trajniki) iz preteklosti.

Huh?! Ti si na starih trajnikih "porival" denar na datum?! To potem pač ni bil trajnik.

Izvedba trajnika je bila takšna, da si ti svoji banki dal soglasje, da je smela kontaktirati prodajalca in mu sporočiti, da ji pošlje podatke za plačilo, ki ga je potem izvršila v tvojem imenu. To je "push" v smislu tega, da je banka dobila račun in na podlagi računa vnesla nalog za prenos sredstev. "Pushnila" je denar.

Sedanja ureditev je takšna, da ti daš prodajalcu soglasje, ki ga ta shrani. Ko pride čas za račun, bo ta račun potoval k tebi (ne pa tudi k tvoji banki), svoji banki pa bo prodajalec daj v izvršbo nalog za transakcijo. Če je nalog pravilno izpolnjen (vsebuje vsa zahtevana polja, označuje pravilen IBAN), ga bo ob prejemu tvoja banka neposredno izvršila brez sprememb ali odpiranja novih nalogov. To pomeni, da je prodajalčeva banka "pullnila" sredstva iz tvojega računa.

no comment je izjavil:

Direktne bremenitve in trajniki so nastali ravno zaradi tega, da prejemnik ni odvisen od dobre volje dolžnika.

Sistem prej in sistem sedaj predvidevata, da lahko dolžnik transakcijo zavrne še preden se izvrši. Toliko glede "odvisnosti od dobre volje".

Kako pa ti sicer zavrneš in reklamiraš previsok račun za telefon?

no comment je izjavil:

Zgodbe o tem kako nekdo pobere tvoj IBAN in nakaže denar nekemu XY društvu (ki za to sploh ne ve) so pa pravljice. SAMO prejemnik direktne bremenitve lahko zahteva sprovedbo transakcije (na svojo banko določeno število dni prej pošlje nalog (tako kot npr. navadni plačilni nalog) z vsemi detajli (ime, št. soglasja...)). Torej tisto XY društvo mora sodelovati v raboti.

Ja. Sodeluje v tem, da ti ponudi obrazec, kjer lahko vneseš svoje podatke za vzpostavitev SEPA DD mandata za mesečno doniranje 5EUR na račun društva.

To ni pravljica, je samo ilustracija kako lahko krimnalna združba vzpostavi podjetje in preko njega nabije toliko SDD-jev, kolikor jih pač lahko, pobere denar in ponikne v zemljo. Podatkov oz. verodostojnost strinjanja za SDD ne preverja nobena banka, dokler ne pride do zlorabe.

no comment je izjavil:

In ker pri sebi nima tvojega soglasja, mu bo banka najprej pobrala denar, potem pa ga bodo obiskali možje v modrem. Če bo potem tako društvo iz zraka "sproduciralo" tvoje soglasje, bo pa odgovorna oseba na koncu najverjetneje objela kako rešetko (od znotraj).

Pozabil si na kriminalne združbe, ki bodo preko podjetja na ta način pobrale nekaj denarja in izginle. Seveda jih bodo obiskali možje v modrem, ki bodo na naslovu podjetja našli nepozidano parcelo, direktor podjetja pa je domnevno mrtev že od 30. aprila 1945.

St235 ::

Kaj se bo zgodilo z morebitnimi obrestmi zaradi prekoračitve, zaračunanimi stroški zavrnjenih SDD nalogov in podobno, zakonodaja mislim, da ne govori.

na konkretnem primeru zlorabe debetne VISE so bili v celoti povrnjeni vsi stroki, ki so nastali zaradi prekoračitve dovoljenega limita.

Ali v Sloveniji velja kakšen predpis na to temo?

Mislim, da to pokriva Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED) iz lasnkega leta. Prejšnji zakon je bil glede ta precej vague in je tudi določal višjo stopno odgovornosti (150€) posameznika. Sedaj je to znižano mislim, da na 50€, oziroma 0€ če tranzakcija ni zaščitena z močne avtentikacijo stranke.

Konkretno glede stroškov, pa imam v glavi, primer še iz prejšnjega zakona. Šlo je za vdor v spletno banko NLB preko phisihinga, kjer je sodišče sodišče precedančno presodilo, da banka nosi vse stroške, ki so vezano na ta incident nastali. Mislim, da je bilo to 2014-2015, ampak pišem iz glave, ker nimam možnosti pogledat.

no comment ::

St235 je izjavil:


Še en revež, ki ne loči med direktno bremenitvijo in trajnikom.

Pri trajniku je plačnik tisti, ki da banki soglasje, da avtomatično poravna račune XY podejtje.

Pri direktni bremenitvi pa XY podjetje sporoči banki, da je od tega in tega prejelo soglasje za plačilo računa.

Sam lahko hitro ugotoviš kje so večje možnosti zlorabe.

V konkretnem priemru, ki ga omenjaš pozabljaš, da je neka oseba tista, ki določenemu društvu posreduje podatke in je odvisno od tega društva/podjetja kako verodostojni so ti podatki. XY podjetje ali društvo tako ne rabi sodelovati pri kršitvi ampak se znajde dejansko v vlogi oškodovanca.

zlorabe so tako možne na dveh nivojih:
Ena je da nekdo preko direktne bremenitve vzpostavi bremenitev na XY TRR. Potem pobaže robo/storitev in nategne tako ponudnika, kot lastnika TRR.
Drugo pa je, da nekdo dejansko vzpostavi podjetje (andrej je omenil UK), ustvari fiktivne direktne bremenitve in pravičasno dvigne denar in spakira kufre.

Primer z društvom je bil zgolj "dobronamerna šala", ko se je Jeremy hvalil, a z njegovim TRR ne morejo nič.

Pojma nimaš.

Tako pri trajnikih kot pri SEPA DD mora prejemnik pridobiti imeti soglasje (pri SEPA DD ga mora hraniti pri sebi, pri trajnikih je bil pri banki). Nalog za SEPA DD lahko prejemnik iniciira samo SAM. NE more ga nekdo drug v njegovem imenu. Enako kot nekdo ne more na banko poslati elektronskega UPN naloga v breme računa tretje osebe.

AndrejO ::

no comment je izjavil:

Nalog za SEPA DD lahko prejemnik iniciira samo SAM. NE more ga nekdo drug v njegovem imenu.

Nihče ne trdi, da nekdo tretji sproži proces v imenu prejemnika sredstev, zato se lahko nehaš zaletavati v tega slamnatega možiclja.

Zato malo ustavi konje in še enkrat preberi kdo, kaj in kako.

St235 ::

Nalog za SEPA DD lahko prejemnik iniciira samo SAM. NE more ga nekdo drug v njegovem imenu. Enako kot nekdo ne more na banko poslati elektronskega UPN naloga v breme računa tretje osebe.


To si ti privlekel v debato. Sem ti lepo napisal, da gre za dva tipa zlorab:

- ali nekdo "nategne" ponudnika blaga/storitev, da to zaračuna na napačen TRR - to bi bilo lahko tudi v konkretnem primeru OP
- ali pa nekdo vzpostavi slamnato podjetje, pomolze kar lahko, dvigne denar in izgine preden možje v modrem pridejo na ogled travnika na katerem je prijavil podjetje.

Zgodovina sprememb…

  • spremenil: St235 ()

AndrejO ::

Pa še za tiste, ki jih zanima zakaj vztrajno omenjam UK.

Register poslovnih subjektov v UK vodi Companies House. Ena izmed najbolj zanimivih lastnosti tega registra je, da se vpisanih podatkov sploh ne preverja. Ja. Kdor želi lahko registrira podjetje z lastnikom Janezom Janšo, za prokurista pa da Milana Kučana. Ni problema. V praksi se menda imena izbira bolj premišljeno, vendar pa je končen rezultat še vedno isti. V UK je najlažje, najhitreje in najceneje vzpostaviti podjetje z lažnimi podatki in na ta način zabrisati večino sledov za seboj, ko pridejo "plavi" na obisk.

Kratek tragikomičen povzetek o tem, zakaj je UK največja davčna oaza na planetu (OK, morda druga največja, če pomislim na Delaware), pa ima kar Guardian.

no comment ::

          je izjavil:


Pred leti se je s tem hvalil nek novinar in v svoji kolumni objavil svoj TRR, rekoč da mu nanj itak lahko samo nakažejo denar. Nekdo od bralcev se je malo pošalil in na njegov račun dal direktno obremenitev neki dobrodelni organizaciji.


St235 je izjavil:


V konkretnem priemru, ki ga omenjaš pozabljaš, da je neka oseba tista, ki določenemu društvu posreduje podatke in je odvisno od tega društva/podjetja kako verodostojni so ti podatki. XY podjetje ali društvo tako ne rabi sodelovati pri kršitvi ampak se znajde dejansko v vlogi oškodovanca.

Zgodovina sprememb…

St235 ::

no comment je izjavil:

          je izjavil:


Pred leti se je s tem hvalil nek novinar in v svoji kolumni objavil svoj TRR, rekoč da mu nanj itak lahko samo nakažejo denar. Nekdo od bralcev se je malo pošalil in na njegov račun dal direktno obremenitev neki dobrodelni organizaciji.


St235 je izjavil:


V konkretnem priemru, ki ga omenjaš pozabljaš, da je neka oseba tista, ki določenemu društvu posreduje podatke in je odvisno od tega društva/podjetja kako verodostojni so ti podatki. XY podjetje ali društvo tako ne rabi sodelovati pri kršitvi ampak se znajde dejansko v vlogi oškodovanca.


Ja, tole sodi pod:
- ali nekdo "nategne" ponudnika blaga/storitev, da to zaračuna na napačen TRR - to bi bilo lahko tudi v konkretnem primeru OP.

V konkretnem primeru je šlo za načelno zadevo. Posameznik, ki je to stroril tega ni naredil z namenom okoriščanja (da bi sam prišel do denarja) ampak je novinarju samo dokazal, da zlorabe zgolj na podlagi TRR so možne. Društvu je podal napačne podatke in le to je povsem dobronamerno ta denar tudi zahtevalo in dobilo.

Praktično enako bi lahko namesto dobrodelnega nakazila na amazonu kupil nov mobilni telefon, ga pobral na črpalki in izginil nezano kam.

Zgodovina sprememb…

  • spremenil: St235 ()

no comment ::

Če za sdd zadaj nimaš dokumenta IN soglasja, sdd ne smeš sprovesti.

Če neko društvo kar sprovaja sdd-je brez preverbe... No, se bodo že naučili.

AndrejO ::

no comment je izjavil:

Če za sdd zadaj nimaš dokumenta IN soglasja, sdd ne smeš sprovesti.

Če neko društvo kar sprovaja sdd-je brez preverbe... No, se bodo že naučili.

Kaj se sme vs. kaj kriminalci res počno sta dve različni stvari.

Smurf ::

no comment je izjavil:

Če za sdd zadaj nimaš dokumenta IN soglasja, sdd ne smeš sprovesti.

Če neko društvo kar sprovaja sdd-je brez preverbe... No, se bodo že naučili.

Facebook to gladko pocne ze precej casa :). Med drugim.

no comment ::

AndrejO je izjavil:

Kaj se sme vs. kaj kriminalci res počno sta dve različni stvari.

Ja, točno.

Imaš ljudi, ki vse stvari "najdejo" in društva, ki si "dobronamerno" pustijo nakazat sredstva.

Ne spremeni dejstva, te "šale" so nezakonite. Tako kot bi bilo nezakonito, če bi bralec (ki je drugače referent v banki) novinarju rekel, da niti ne rabi njegovega TRR-ja, pa bo vseeno društvo dobilo donacijo... Hvala bogu, novinar v obeh primerih ne more ostati brez denarja (če opazi sumljivo transakcijo).

xxxul ::

AndrejO je izjavil:

Pa še za tiste, ki jih zanima zakaj vztrajno omenjam UK.

Register poslovnih subjektov v UK vodi Companies House. Ena izmed najbolj zanimivih lastnosti tega registra je, da se vpisanih podatkov sploh ne preverja. Ja. Kdor želi lahko registrira podjetje z lastnikom Janezom Janšo, za prokurista pa da Milana Kučana. Ni problema. V praksi se menda imena izbira bolj premišljeno, vendar pa je končen rezultat še vedno isti. V UK je najlažje, najhitreje in najceneje vzpostaviti podjetje z lažnimi podatki in na ta način zabrisati večino sledov za seboj, ko pridejo "plavi" na obisk.

Kratek tragikomičen povzetek o tem, zakaj je UK največja davčna oaza na planetu (OK, morda druga največja, če pomislim na Delaware), pa ima kar Guardian.


odličen link, svaka čast. čeprav, bodmo realni, če hoče zlikovec z firmo odpret bančni račun bo pa mogu dat podatke...

al pa tud ne...
https://www.cashplus.com/landing/busine...

Utk ::

no comment je izjavil:

Če za sdd zadaj nimaš dokumenta IN soglasja, sdd ne smeš sprovesti.

Če neko društvo kar sprovaja sdd-je brez preverbe... No, se bodo že naučili.

Ja, krasti se tudi ne sme. A je kdo napisal, da se sme? Pravimo, da je tehnično možno in da občasno kdo to izkoristi. Soglasje ima v rokah SAMO baraba, banka ne ve, če ga ima res ali ne. Baraba samo mora rečt "majkemi, da ga imam".

Zgodovina sprememb…

  • spremenil: Utk ()

St235 ::

no comment je izjavil:

AndrejO je izjavil:

Kaj se sme vs. kaj kriminalci res počno sta dve različni stvari.

Ja, točno.

Imaš ljudi, ki vse stvari "najdejo" in društva, ki si "dobronamerno" pustijo nakazat sredstva.

Ne spremeni dejstva, te "šale" so nezakonite. Tako kot bi bilo nezakonito, če bi bralec (ki je drugače referent v banki) novinarju rekel, da niti ne rabi njegovega TRR-ja, pa bo vseeno društvo dobilo donacijo... Hvala bogu, novinar v obeh primerih ne more ostati brez denarja (če opazi sumljivo transakcijo).


Pogovarjamo se o ranljivostih sistema in možnih zlorabah, če nisi opazil. In ja, društvo je lahko v dani situaciji ravnalo povsem legalno, pa bi vseeno lahko prišlo do zlorabe.

Phantomeye ::

no comment je izjavil:

Če za sdd zadaj nimaš dokumenta IN soglasja, sdd ne smeš sprovesti.

Če neko društvo kar sprovaja sdd-je brez preverbe... No, se bodo že naučili.


Dejansko si napisal

"Ropar me na ulici ne sme oropati, če nima mojega soglasja" :D

Zgodovina sprememb…

no comment ::

St235 je izjavil:


Pogovarjamo se o ranljivostih sistema in možnih zlorabah, če nisi opazil. In ja, društvo je lahko v dani situaciji ravnalo povsem legalno, pa bi vseeno lahko prišlo do zlorabe.

Ne. Lahko se tolaži, da je v "dobri veri" nelegalno sprovedlo sdd. Še vseeno je bilo nelegalno*.

* Razen, če se je "vicmaher" ekstra potrudil pri kraji identitete.

Phantomeye je izjavil:

Dejansko si napisal

"Ropar me na ulici ne sme oropati, če nima mojega soglasja" :D

In dejansko to tudi mislim.

Zgodovina sprememb…

St235 ::

Ne. Lahko se tolaži, da je v "dobri veri" nelegalno sprovedlo sdd. Še vseeno je bilo nelegalno*.

Kako si prišel do tega zaključka? Društvo je bilo lahko prav tako ogoljufano. In to je ena od ranljivosti sistema o kateri smo se pogovarjali, dokler nisi začel bluzit.

In dejansko to tudi mislim.

vso srečo pri implementaciji te neumnosti.

no comment ::

St235 je izjavil:

In dejansko to tudi mislim.

vso srečo pri implementaciji te neumnosti.

Vso srečo pri implementaciji obveznega najema osebnega varovanja vsakič, ko zapustiš (strogo varovano) stanovanje. In če te slučajno najdejo brez varovanja, te pospravijo v varen zapor.

Tak svet ti je ljubši?

St235 ::

ne, svet ki bi bil meni ljub je tisti v katerem redno jemljete tablete, ki so vam predpisane, ker se je potem bistveno lažje pogovarjat.

Zgodovina sprememb…

  • spremenil: St235 ()

Phantomeye ::

Phantomeye je izjavil:

no comment je izjavil:

Če za sdd zadaj nimaš dokumenta IN soglasja, sdd ne smeš sprovesti.

Če neko društvo kar sprovaja sdd-je brez preverbe... No, se bodo že naučili.


Dejansko si napisal

"Ropar me na ulici ne sme oropati, če nima mojega soglasja" :D


no comment (pa ne mislim tebe, ampak tvoje razmišljanje).

Če bi te vprašal in posledično dobil tvoje dovoljenje - potem ni to ropar. Ropar je nekdo, ki bo naredil nekaj v vsakem primeru.

telexdell ::

V razmislek dnevno se dogajajo kraje osebnih podatkov, gesel...na dark netu se prodaja na milijone številk kreditnih kartic... Le kako neumni so lopovi dandanes, da si ne postrežejo preko sepa direktnih bremenitev?

PS Prodam hišo, položim denar na banko in preko sepe spraznim svoj račun. V roku 8 tednov zahtevam vrnitev denarja. In kar naenkrat se mi kupnina za hišo podvoji. Potem odprem račun pri drugi banki in spet od začetka...
Precej je treba vedeti, preden opaziš, kako malo veš.

Utk ::

Če ti uspe skrit kam je šel original denar si zmagal.

AndrejO ::

no comment je izjavil:

St235 je izjavil:


Pogovarjamo se o ranljivostih sistema in možnih zlorabah, če nisi opazil. In ja, društvo je lahko v dani situaciji ravnalo povsem legalno, pa bi vseeno lahko prišlo do zlorabe.

Ne. Lahko se tolaži, da je v "dobri veri" nelegalno sprovedlo sdd. Še vseeno je bilo nelegalno*.

Ja, kul. Povej OP-u, da je vse OK, ker je Amazon nekaj storil nelegalno.

no comment je izjavil:

* Razen, če se je "vicmaher" ekstra potrudil pri kraji identitete.

Ne pri SEPA DD. Če v kanti za smetje najdem en sam izpisek bančnega računa npr. v obliki, kot ga pošlje ABanka (s polno in nezakrito št. IBAN), potem lahko poskrbim, da bo ZPMS začel tej nesrečni osebi trgati iz TRR za katerega izmed njihovih zgodb. Ali pa poskrbim, da bo Amazon poslal 65" OLED TV kar nekam.

Tukaj ni govora o tem, da se bi moral nekdo posebej "truditi" pri kraji identitete in to žal zato, ker je arhitektura sistema preprosto nevarna. Možne so nekatere ublažitve težav (npr. na Irskem bo banka poslala pisno obvestilo o prejetem prvem ali edinem SDD nalogu, izpiski nikoli ne prikazujejo polne št. računa, itd...), ampak zgoda je v osnovi nevarna pri vsaki hitrosti.

AndrejO ::

telexdell je izjavil:

V razmislek dnevno se dogajajo kraje osebnih podatkov, gesel...na dark netu se prodaja na milijone številk kreditnih kartic... Le kako neumni so lopovi dandanes, da si ne postrežejo preko sepa direktnih bremenitev?

Si kar lepo strežejo.

telexdell je izjavil:

PS Prodam hišo, položim denar na banko in preko sepe spraznim svoj račun. V roku 8 tednov zahtevam vrnitev denarja. In kar naenkrat se mi kupnina za hišo podvoji. Potem odprem račun pri drugi banki in spet od začetka...

Saj je lepo, ampak še vedno boš moral najprej spraviti skupaj kriminalno združbo, da boš lahko preko SEPA spraznil svoj račun tako, da boš denar znova dobil v svoje lastne roke. Kar pomeni, da boš moral računati s stroški režije in še česa, tako da ne boš mogel ravno v vsakem trenutku podvojiti, ravno tako pa banka tudi ne bo mirno gledala kako vedno znova reklamiraš zahtevek, temveč bo SDD na tvojem TRR blokirala ali pa omejila višine zneskov zaradi "tvoje lastne varnosti".

No, ampak če si se že toliko pomujal, da si skupaj spravil celo kriminalno združbo, potem b.v., da jemlješ samo svoj denar. Potem je bolje, če greš še en korak naprej in zaposliš armado klošarjev, ki bodo naokoli preiskovali smetnjake in začneš množično obračunavati 10 EUR tu in 10 EUR tam za vsak TRR, ki si ga tako pridobiš. Za ime podjetja predlagam "FURS Plc".

In hej, ko smo že pri stvari... Odkar so drekači pri ABanki onesposobili primaren mehanizem preprečevanja MITM napadov na njihovo spletno banko, tudi po smetnjakih ne rabiš več brskati. Postaviš MITM sistem in si s podatki postrežeš kar neposredno iz njihove spletne banke. Kot točko optimizacije, to pomeni, da lahko znesek na SDD nalogu kar avtomatično prilagodiš višini sredstev na TRR.

Čista zmaga!

Abančni idioti.

Zgodovina sprememb…

  • spremenil: AndrejO ()

telexdell ::

Le zakaj bi moral brskati po smetnjakih in potem pobirati drobiž z računov fizičnih oseb? Na spletu najdeš milijone računov podjetij. Na spletu najdeš aplikacije centralnih bank kamor vpišeš račun in ti povedo vse podatke o tem računu (naslov firme, banko,...). Še več, v te aplikacije lahko kar sam vpisuješ številke računov, in če boš napisal pravo, boš dobil vse ostale podatke. In če to delaš z laptopa tam okrog Novosibirska...
Precej je treba vedeti, preden opaziš, kako malo veš.

Phantomeye ::

telexdell je izjavil:

Le zakaj bi moral brskati po smetnjakih in potem pobirati drobiž z računov fizičnih oseb? Na spletu najdeš milijone računov podjetij. Na spletu najdeš aplikacije centralnih bank kamor vpišeš račun in ti povedo vse podatke o tem računu (naslov firme, banko,...). Še več, v te aplikacije lahko kar sam vpisuješ številke računov, in če boš napisal pravo, boš dobil vse ostale podatke. In če to delaš z laptopa tam okrog Novosibirska...



smo dali že skozi, podjetja imajo te zadeve vnaprej blokirane.

Pač glej na to kot da si kupil router. Router lahko priklopiš in uporabljaš ... ali pa prej spremeniš admin admin v nekaj bolj varnega.

Drobiž pa pobiraš zato, ker te težje dobijo, če tisoč ljudem mesečno vzameš 1 eur kot, če desetim jemlješ 100 eur na mesec. Jaz sem bil enkrat ponesreči subscribed na eno storitev za 3€ na mesec. ENO leto sem rabil, da sem opazil. Sploh zato, ker sem storitev preklical, ampak so me nategnil z uporabniškim vmesnikom.

no comment ::

AndrejO je izjavil:


Ja, kul. Povej OP-u, da je vse OK, ker je Amazon nekaj storil nelegalno.
Zakaj? Sej mu je to isto povedala že banka.

ALT ::

Phantomeye je izjavil:

telexdell je izjavil:

Le zakaj bi moral brskati po smetnjakih in potem pobirati drobiž z računov fizičnih oseb? Na spletu najdeš milijone računov podjetij. Na spletu najdeš aplikacije centralnih bank kamor vpišeš račun in ti povedo vse podatke o tem računu (naslov firme, banko,...). Še več, v te aplikacije lahko kar sam vpisuješ številke računov, in če boš napisal pravo, boš dobil vse ostale podatke. In če to delaš z laptopa tam okrog Novosibirska...



smo dali že skozi, podjetja imajo te zadeve vnaprej blokirane.

Tudi iz poslovnega NLB TRR se da enostavno vzpostaviti direktno bremenitev na amazonu, nic ni blokirano po defaultu.

AndrejO ::

Yikes!

thramos ::

Glede na to, da so direktne bremenitve že kar nekaj časa aktivne, se te zlorabe že množično dogajajo? Al so samo kriminalci preveč za časom?

Invictus ::

SEPA je preveč transparentna, da bi se te zadeve množično dogajale.

Ne moreš si dvigniti gotovine, takoj ko nakažeš drugam, je pa že jasno kdo je lastnik računa na prejemnikovi strani.

Ni najboljše za kriminalce ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

no comment ::

Ni res. Slo-tech je ravnokar odkril široko zevajočo luknjo!

Gremo vsi nazaj na trajnike. Če se ti spremeni naročnina za telefon za par centov, greš stat v vrsto na banki, podpišeš goro papirjev, plačaš 10 eur in uživaš v (namišljenem) miru, da sedaj te pa RES nihče ne more oropati. To vajo ponoviš naslednji mesec, vsakič ko hočeš kaj plačati s PayPalom, narediti top-up kakšne druge "denarnice", ipd. Seveda lahko tudi vse delaš ročno preko UPN naloga...

Skratka, odpovedali smo se blaženosti in vse kar smo dobili je armada kriminalcev, ki praznijo račune!

Zgodovina sprememb…

St235 ::

damn, ampak to so pa res močne tablete.

Smurf ::

ALT je izjavil:


Tudi iz poslovnega NLB TRR se da enostavno vzpostaviti direktno bremenitev na amazonu, nic ni blokirano po defaultu.

Se huje je to, da na bankah sploh ne moras blokirati direktne obremenitve. Lahko samo zahtevas blokado dolocenega podjetja.

:/

AndrejO ::

thramos je izjavil:

Glede na to, da so direktne bremenitve že kar nekaj časa aktivne, se te zlorabe že množično dogajajo? Al so samo kriminalci preveč za časom?

Dobro vprašanje. BEUC podatkov nima ali pa jih skriva, kot kača noge. Menda se bo to sedaj spremenilo, ko imamo PSD2, ki zahteva redno poročanje o zlorabah. V perspektivi je bil sistem, kot ga je predpisala SEPA, že prej v uporabi in recimo za UK se za l. 2010 najdejo podatki, da je bilo zlorabljenih cca. 26.000 prebivalcev UK, ki so v povprečju izgubili 540 GBP preden so opazili zlorabo. Če je to veliko ali malo, ne vem.

Ostalo so zaenkrat anekdote na internetu, podobne tej OP-ovi zgodbi. Npr. še ena z Amazonom.

AndrejO ::

Smurf je izjavil:

ALT je izjavil:


Tudi iz poslovnega NLB TRR se da enostavno vzpostaviti direktno bremenitev na amazonu, nic ni blokirano po defaultu.

Se huje je to, da na bankah sploh ne moras blokirati direktne obremenitve. Lahko samo zahtevas blokado dolocenega podjetja.

Sem na BS poslal vprašanje glede tega, kateri mehanizmi so v Sloveniji obvezni in kateri so opcijski ... pa da vidimo, če bo ven pricurljala kakšna informacija.

Potica09 ::

Ne vem kakšne pogoje imajo v tujini, vendar v Sloveniji ti mora banka odobriti, da lahko postaneš prejemnik SDD. Kar pa ni nujno, da naredijo, vsaj ne nekemu Odprem_poberem_zaprem d.o.o. Sem preveril pogodbo, ki jo imamo z eno izmed bank in je potrebno določiti predvideno št transakcij, višine transakcij, mesečni maksimum,... in če greš preko teh limitov (lahko) enostavno zavrnejo pakete. Če želimo več, mora banka odobriti. In dejansko glede na pogoje NKBM, ki sem jih pogooglal, je izpostavljena banka prejemnika plačila:

4.9 Vračilo denarnih sredstev
V primeru, ko banka plačnika zahteva vračilo zneska SDD od banke prejemnika plačila in je prejemnik plačila že prejel
plačilo, obremenitev plačilnega računa plačnika pa ni bila možna, je prejemnik plačila dolžan prejeta denarna sredstva
takoj povrniti banki prejemnika plačila.


Dodatno:

7 Zavarovanja
Banka prejemnika plačila lahko zahteva od prejemnika plačila primerno dodatno zavarovanje, če se:
- po sklenitvi pogodbe poveča obseg posla ali
- po oceni banke prejemnika plačila poslabša finančni položaj prejemnika plačila ali
- pride do spremembe v pravnoorganizacijski obliki prejemnika plačila ali spremembe lastništva, tako da se
poveča nevarnost, da ob zapadlosti terjatve po tej pogodbi ne bi bile poravnane.
Prejemnik plačila je dolžan banki prejemnika plačila zagotoviti dodatno zavarovanje na prvi poziv banke.
Banka prejemnika plačila in prejemnik plačila se lahko s posebno pogodbo dogovorita o obsegu in pogojih dodatnega
zavarovanja.
Prejemnik plačila ne more zahtevati ukinitve zavarovanja pred potekom 15 mesecev po zadnji izvršeni SDD v primeru
odpovedi pogodbe.

no comment ::

NEEEEE!!! Samo zmedel boš ljudi z informacijami!

imagodei ::

Ne smeši se, no. AndrejO ti je povedal, da nimajo vsi v EU takšne ureditve, kot v Sloveniji in da če dobi slovenska banka SDD, izpolnjen po mednarodnih predpisih, ga ne sme zavrnit.

Kaj se je zares dogajalo v OP-jevem primeru, lahko zaenkrat samo ugibamo; a scenarij, ki ga predlaga AndrejO se zdi vsaj možen, če ne verjeten.

Kaj se sme in kaj ne tu nima dost veze. Z avtom tudi ne smeš pešca zbit, pa se to vseeno dogaja.
- Hoc est qui sumus -

thramos ::

Sej ne govori o tem, da bi nekatere banke lahko zavračale izvedbo SDDja, ampak o tem, kako se banke prejemnice zavarujejo pred potencialno goljufivimi prejemniki.

In glede na to, da so te banke izpostavljene izgubi sredstev v primeru zlorab, zelo verjetno podobno počnejo vse banke. Verjetno dokaj učinkovito, glede na to, da ni (znanih) množičnih primerov zlorab.

jernejl ::

thramos je izjavil:

Sej ne govori o tem, da bi nekatere banke lahko zavračale izvedbo SDDja, ampak o tem, kako se banke prejemnice zavarujejo pred potencialno goljufivimi prejemniki.

Kako je pri direktnih bremenitvah sicer ne vem iz prve roke, so me pa iz banke že klicali po telefonu ob plačevanju s kreditno kartico, ko se jim je transakcija zdela sumljiva in so želeli preveriti, če je to res moje plačilo.
Sklepam, da bi zlahka naredili enako, če bi se pojavila kakšna nenavadna direktna bremenitev iz kake zanimive države.

AndrejO ::

Kar se tiče odnosa med banko in podjetje, je to čisto res. Banke so konzervativne pri tem, s kom bodo podpisale pogodbo in kaj vse b v pogodbi. Potem pa pride ven vprašanje kako so konzervativne v kateri državi, kako imajo zavarovana poslovna tveganja in kako velika mora biti zloraba, preden registrirajo kaj se jim je zgodilo. Pred PSD2 so bili ti podatki skriti, od PSD2 naprej morajo banke te podatje zbirati in o njih poročati, kar bi moralo zelo dobro razkriti obseg problema na tem nivoju.

Kar se tiče komunikacije med komitentom in banko, pa si domišljam, da bi morala banka pred prvo ponavljajočo se bremenitvijo oz. pred prvo enkratno bremenitvijo, komitenta na primeren način obvestiti o tem, kaj se šele bo zgodilo. Primeren način bi bila navadna pošta (to npr. dela moja AIB), elektronska pošta, pop-up v mobilni bančni aplikaciji, SMS, ... veliko možnosti je, da se bi to izvedlo in s tem poskrbelo, da se prenos sredstev sploh prepreči. Kaj in kako se na to temo počne v Sloveniji, ne vem. To bo moral povedati kdo drug.

V splošnem si mislim, da je v državah, kjer se je že prej uporabljal ta sistem, takšno obveščanje že utečena praksa in so tveganja znana in obvladovana tudi na ta način. V državah pa, kjer je šele SEPA uvedla to smer bremenitve, pa se morda še malo lovimo in stvari mogoče še niso tako dobro vpeljane, kot bi morale biti.

Mavrik ::

Saj mogoče sem zgrešil v debati, ampak: Kaj je sploh bil razlog za tako bizarno zdizajniran sistem? S tem sistemom imaš zdaj skrivni podatek (TRR), kar se s stališča varnosti nikoli ne konča na dober način. Kaj je narobe s pristopom, kjer moraš ti kot plačnik na svoji banki urediti push plačevanja? Kaj je bil razlog za spremembo?

Recimo tu v Švici imajo svoj eBills sistem, kjer na svoji spletni banki vpišeš prejemnika plačil (zvarovalnico, elektro podjetje) in vpišeš ustrezen ID, potem pa se ti zahtevek za plačilo pojavi v inboxu vsak mesec.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

no comment ::

Tu v EU imamo pa še malo bolj strankam prijazno.

(Je pa res, da so smo zato vsi v EU ostali brez denarja na računih. Baje.)

AndrejO ::

Mavrik je izjavil:

Saj mogoče sem zgrešil v debati, ampak: Kaj je sploh bil razlog za tako bizarno zdizajniran sistem? S tem sistemom imaš zdaj skrivni podatek (TRR), kar se s stališča varnosti nikoli ne konča na dober način.

V času načrtovanja sta Nemčija in UK že uporabljali ta način za svoje domače transakcije. Ali je potem potrebno še kaj posebej razlagati zakaj je bil na koncu izbran ta način tudi za SEPA?

V bistvu bodo stvari znova zanimive, ker je ECJ v začetku septembra objavil sodbo v zadevi C-28/18, kjer je razsodil, da podjetja ne smejo zavračati SDD plačil za osebe, ki imajo naslov izven države, kjer se nahaja podjetje in to tudi ne na način, kjer bi zahtevali uporabo računa, ki ni odprt v državi, kjer se podjetje nahaja. V konkretnem primeru je DB to omejeval (sedaj pa tega več ne sme), ker je ocenil, da pri čezmejni SDD nima dovolj mehanizmov, da bi zagotovil, da bo storitev dejansko plačana, ima pa to možnost pri kupcih iz Nemčije z računom v Nemčiji - z uporabo mehanizmov, ki nimajo s SEPA čisto nič.

Pod črto je to signal, da niso vsa podjetja navdušena nad SDD in, da se poskušajo zavarovati z uporabo drugih mehanizmov, ki pa ne delujejo na ravni celotne EU oz. SEPA območja. Hkrati pa SEPA takšne diskriminacije v plačilnem prometu ne dovoljuje. Bomo videli, kako se bodo odločili pri DB oz., če bodo umaknili omejitve ali pa umaknili možnost SDD plačila.

Mavrik je izjavil:

Kaj je narobe s pristopom, kjer moraš ti kot plačnik na svoji banki urediti push plačevanja? Kaj je bil razlog za spremembo?

Enoten sistem. Zaradi enostavnosti se je moralo izbrati enega in izbralo se je tistega, ki je bil všečen najmanj dvema finančno pomembnima državama članicama EU.

Mavrik je izjavil:

Recimo tu v Švici imajo svoj eBills sistem, kjer na svoji spletni banki vpišeš prejemnika plačil (zvarovalnico, elektro podjetje) in vpišeš ustrezen ID, potem pa se ti zahtevek za plačilo pojavi v inboxu vsak mesec.

Kar je sicer lepo, ampak v državi članici tudi neizvedljivo. Švica se je kot zunanja članica SEPA zavezala uporabljati SDD in SCT tako, kot to počno preostale države v SEPA za transakcije v EUR, hkrati pa ima še vedno lastno valuto, ki ne zapade v isti okvir omejitev in tudi država je izven EU in se ni dogovorila za to, da se ostale sheme prenosa sredstev ukine in zamenja izključno s SEPA. Članice EU namreč k temu zavezuje notranja regulacija v EU, ki pa ji Švica v tem primeru ni podložna.

St235 ::

Se najblizje temu je e-racun, ki dobis nepoaredno v spletno banko.

AndrejO ::

St235 je izjavil:

Se najblizje temu je e-racun, ki dobis nepoaredno v spletno banko.

Razlika med e-računom in švicarsko rešitvijo, kot je bila opisana, je po moji izkušnji ta, da sta to pri nas dva ločena in očitno nepovezana produkta. Meni npr. TS prijazno dostavlja račune v Abanko, plačujem jih pa s SEPA DD iz svojega irskega bančnega računa.
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo

Facebook nateg? (strani: 1 2 )

Oddelek: Loža
759313 (6876) MadMax
»

Direktna obremenitev in tuja banka

Oddelek: Loža
132315 (1799) Mare2
»

Uporaba TRR številke (strani: 1 2 )

Oddelek: Loža
7023351 (21118) BlaY0
»

Kredit, zakaj kopijo TRR 3 mesecev (strani: 1 2 )

Oddelek: Loža
8526907 (24413) krneki0001
»

kako "reversat" bančno nakazilo ? (strani: 1 2 3 )

Oddelek: Loža
11018169 (10806) lexios

Več podobnih tem