Komitentki NLB so prihranki v eni noči izpuhteli v neznano

"Dopoldne, okoli pol desete ure, so me iz klicnega centra NLB obvestili, da se na mojem bančnem računu in računu moje mame, katerega pooblaščenka sem, dogajajo velike transakcije. Hkrati so mi predlagali, da mi takoj blokirajo osebni račun.

Torej "dogajajo" pomeni preteklik zate?

WizzardOfOZ je 3. jun 2024 ob 20:58 izjavil:

"Dopoldne, okoli pol desete ure, so me iz klicnega centra NLB obvestili, da se na mojem bančnem računu in računu moje mame, katerega pooblaščenka sem, dogajajo velike transakcije. Hkrati so mi predlagali, da mi takoj blokirajo osebni račun.

Torej "dogajajo" pomeni preteklik zate?

Dopoldne, okoli pol desete ure, so me iz klicnega centra NLB obvestili, da se na mojem bančnem računu in računu moje mame, katerega pooblaščenka sem, dogajajo velike transakcije. Hkrati so mi predlagali, da mi takoj blokirajo osebni račun. Ker sem bila od banke oddaljena le dve minuti, nekako pa nisem zaupala sogovornici na drugi strani, sem jo prosila, da ostane z menoj na zvezi, dokler ne pridem do banke. V dravograjski poslovalnici NLB je potem sogovornica po telefonu bančni uslužbenki pojasnila, kaj se je dogajalo z najinimi bančnimi računi,"

In zakaj gladko ignoriraš nadaljevanje in kje je ona zavrnila blokado. A je to preveč informacij zate, da bi lahko razumel kaj se je dogajalo.
In že nekaj dni vztrajaš pri svoji nepopolni zgodbi

Kdo je reku, da UK ni več v sepa? Če si moraš res izmišljevat stvari, da bi potrdil svoje teorije, potem tvoje teorije ne držijo.

WizzardOfOZ je 4. jun 2024 ob 02:09 izjavil:

Napisano je da so jo klicali in jo vprašali, če lahko blokirajo, ker se nekaj z računi dogaja. Ker pa ni zaupala sogovornici preko telefona, ...

Tu ni problema, če potrdiš blokado, dokler ne zahtevajo nato še dostopnih podatkov, 2FA kode ipd.

Je pa očitno bilo že prepozno, tudi če bi takoj blokirali, ker jim varnostni sistem očitno zelo šepa in rabi tudi človeka za potrditev.

Logičen sklep je, če te nekdo, kliče za blokado transakcije, tebi pa ni jasno za kako transakcijo gre, da odgovoriš z "blokiraj".

Zdaj, sumljivo bi bilo edino, če bi se zahtevalo neke login podatke. Za vse ostalo, blokiraj...

c3p0 je 4. jun 2024 ob 07:31 izjavil:

WizzardOfOZ je 4. jun 2024 ob 02:09 izjavil:

Napisano je da so jo klicali in jo vprašali, če lahko blokirajo, ker se nekaj z računi dogaja. Ker pa ni zaupala sogovornici preko telefona, ...

Tu ni problema, če potrdiš blokado, dokler ne zahtevajo nato še dostopnih podatkov, 2FA kode ipd.

Je pa očitno bilo že prepozno, tudi če bi takoj blokirali, ker jim varnostni sistem očitno zelo šepa in rabi tudi človeka za potrditev.

Te bom vprašal drugače?
Ali lahko vzamem nekje neko stvar in jo odplačujem s položnicami? lahko ane. Vzamem stvar na 10 položnic. Eno sem že plačal. Kaj pa če jaz potem dobim en znesek, ker sem nekaj zaslužil in vse preostale položnice naenkrat plačam. Seveda samo prvo poskeniram in plačam, potem pa eno in isto uporabim še za preostalih 8. Vse imajo isti sklic, vse imajo isto napisano. Ali mi mora banka blokirat taka plačila? Ne sme, saj sem jih plačal jaz in potrdil plačilo.

Ali pa se sedaj odločim in grem kupit avto. Na varčevalnem imam 50k, pa grem v trgovino, prenesem iz varčevalnega računa 45k in si za to kupim avto. Mi mora banka blokirat plačilo? Ne, ne sme.

In nič drugače ni bilo tukaj pri tej ženski, le da ona ni imela nadzora nad NJENIM telefonom, ampak nekdo, ki ji je telefon "ugrabil". In tukaj banka težko kaj naredi.

delavec44 je 4. jun 2024 ob 10:26 izjavil:

Banka je pa kriva prvotno, da je vzpostavila tak sistem, da z nadzorom nad telefonom lahko delaš kar hočeš. 2fa tu čisto odpove in bi moral biti ločen. Zakaj v spletni banki rabim računalnik in telefon, v mobilni je pa telefon čisto zadosti? Zakaj se v mobilni sploh dovoljujejo tako velike transakcije.

To ste pa uporabniki tako hoteli. Če bi vam pa banka dala kalkulatorček, kjer bi dobili kodo za prijavo, bi pa spet večina uporabnikov norela, češ da tega nočejo in da hočejo samo telefon, ker telefon in kalkulatorček pa ne gresta skupaj v žep metrotovih hlač.

Na koncu se bo pa ugotovilo, da ima ženska rootan telefon, kjer ji je sine računalničar vse nastavil, da bo bolj varno.

Prekomplicirano je. Z besedami UroŠa iz Jokerja: "Folk je načeloma glup."

Načinov je zelo veliko. Eden je bil na primer kalkulator, ki ga je uporabljal SKB, potem imaš zunanje avtentikatorje kot je Yubico. Problem vseh teh rešitev je, da niso praktične in se ljudje čez njih na veliko pritožujejo. Enako kot jokajo, če jim banka blokira transakcijo, ki jo nujno morajo naredit itd...

delavec44 je 4. jun 2024 ob 10:26 izjavil:

Banka je pa kriva prvotno, da je vzpostavila tak sistem, da z nadzorom nad telefonom lahko delaš kar hočeš. 2fa tu čisto odpove in bi moral biti ločen. Zakaj v spletni banki rabim računalnik in telefon, v mobilni je pa telefon čisto zadosti? Zakaj se v mobilni sploh dovoljujejo tako velike transakcije.

Meni jih ne.

Še med meni lastnimi računi mi banka ne dovoli na telefonu prenašati večjih količin denarja.

Ko sem nakazoval za aro za bajto, sem moral pa celo iti na banko...

"Mene recimo moti, zakaj mora to biti v google walletu? Zakaj ne more biti v lastnem. Sej so že imeli na NLB lastno zadevo. Zakaj je sedaj googlu na vpogled vse?"

To moti tudi mene. Razlog je, da je uprava požrešna in očitno je Google za firmo cenejši.

Se pa da živeti tudi samo z NLB Pay, brez Google walleta, le da je pri začetni inštalaciji NLB Payja treba ignorirati poziv za nastavitev GW-ja, mislim, da ga poslajdaš na dol in tako skriješ. Nato pa imaš polno delujoč NLB Pay "kot po starem".

Jaz sem pred kratkim prenašal večje zneske iz NLB na drugo banko in me nihče ni kontaktiral glede tega. Zakaj bi tudi me, če pa gre za vnos med hitrimi plačili z zgodovino, ki nikoli ni bila sporna? Ne ga srat s predlogi začasnih blokad - bo še kateri od tistih lolekov pri njih dejansko šel implementirat kakšno bedarijo v tej smeri. Mislim, SEPA Instant je ena izmed redkih dobrih lastnosti Novega NLB Klika.

WizzardOfOZ je 4. jun 2024 ob 09:28 izjavil:

c3p0 je 4. jun 2024 ob 07:31 izjavil:

WizzardOfOZ je 4. jun 2024 ob 02:09 izjavil:

Napisano je da so jo klicali in jo vprašali, če lahko blokirajo, ker se nekaj z računi dogaja. Ker pa ni zaupala sogovornici preko telefona, ...

Tu ni problema, če potrdiš blokado, dokler ne zahtevajo nato še dostopnih podatkov, 2FA kode ipd.

Je pa očitno bilo že prepozno, tudi če bi takoj blokirali, ker jim varnostni sistem očitno zelo šepa in rabi tudi človeka za potrditev.

Te bom vprašal drugače?
Ali lahko vzamem nekje neko stvar in jo odplačujem s položnicami? lahko ane. Vzamem stvar na 10 položnic. Eno sem že plačal. Kaj pa če jaz potem dobim en znesek, ker sem nekaj zaslužil in vse preostale položnice naenkrat plačam. Seveda samo prvo poskeniram in plačam, potem pa eno in isto uporabim še za preostalih 8. Vse imajo isti sklic, vse imajo isto napisano. Ali mi mora banka blokirat taka plačila? Ne sme, saj sem jih plačal jaz in potrdil plačilo.

Ali pa se sedaj odločim in grem kupit avto. Na varčevalnem imam 50k, pa grem v trgovino, prenesem iz varčevalnega računa 45k in si za to kupim avto. Mi mora banka blokirat plačilo? Ne, ne sme.

In nič drugače ni bilo tukaj pri tej ženski, le da ona ni imela nadzora nad NJENIM telefonom, ampak nekdo, ki ji je telefon "ugrabil". In tukaj banka težko kaj naredi.

Lahko se bi uvedle dodatne varovalke za take primere, potrjevanje transakcij nad XYk obvezno na banki, ipd. Storitev seveda ustrezno obračunana in marsikomu miren spanec. Opt-in ali opt-out, meni osebno vseeno.

Invictus je 4. jun 2024 ob 12:20 izjavil:

Jaz sploh ne plačujem preko telefona, saj nisem nor.

Telefon imam izključno za generiranje kod za online banko in plačevanje položnic s QR kodo.

Ostalih stvari na telefonu ne delam...

Jaz tudi, ampak če ima nekdo nadzor nad tvojim telefonom, pa si lahko kaj tudi prenakaže (2FA preko SMS :facepalm:), ne glede, da ti le QR kode skeniraš, a ne?

tony1 je 4. jun 2024 ob 11:28 izjavil:

Se pa da živeti tudi samo z NLB Pay, brez Google walleta, le da je pri začetni inštalaciji NLB Payja treba ignorirati poziv za nastavitev GW-ja, mislim, da ga poslajdaš na dol in tako skriješ. Nato pa imaš polno delujoč NLB Pay "kot po starem".

To ne dela več. Sem v petek dobil novo kartico in jo moraš dat v google wallet, če hočeš plačevat z njo preko telefona/nfc-ja.

Kakšna je po vaši oceni verjetnost, da to, kar se je zgodilo nesrečni komitentki NLB, pokrije eden od naslednjih dveh scenarijev:
- računa je spraznil nekdo, ki je imel fizično dostop do telefona in poznal PIN (npr. kak sorodnik)
- gospa je uporabljala Android, katerega ji je ob nakupu novega telefona predal kak nadobudni sine, ki je pa imel pred tem Androida 'rahlo customized'?
In so kje povedali, od koga je tisti slovenski račun, kamor je tudi šel denar?

Zakaj so potem v članku poimensko navedene zlonamerne aplikacije iz google stora, če vse to po vaše nima veze in je sigurno denar ukradel sorodnik?

Verjetno so vsaj teoretično preverili, da trojanec lahko prebere sms in izvede transakcijo.

Če bi kak heker napisal tako sofisticirani trojanec pol bi se teh napadov zgodilo več. Zagotovo bi tega trojanca imeli tudi na SiCert in bi nas opozarjali nanj. Podobno bi storila policija in pa NLB. Tako pa je le zmanjkal denar, kode zlonamernega programa nekako ni. Hčerko zaneslo in je zapravila denar matere sedaj pa vali krivdo na kogarkoli, le nase ne.

WizzardOfOZ je 4. jun 2024 ob 21:58 izjavil:

Jaz se nagibam k tem:
- računa je spraznil nekdo, ki je imel fizično dostop do telefona in poznal PIN (npr. kak sorodnik)

Skoraj 100%.

Teh scamov je tako malo danes, da je to praktično nemogoče, če uporabnik ne sodeluje. Ne glejte in ne verjemite toliko filmom.

delavec44 je 4. jun 2024 ob 22:34 izjavil:

Zakaj so potem v članku poimensko navedene zlonamerne aplikacije iz google stora, če vse to po vaše nima veze in je sigurno denar ukradel sorodnik?

Verjetno so vsaj teoretično preverili, da trojanec lahko prebere sms in izvede transakcijo.

Novinarji nimajo pojma, upam, da je to že zdaj vsakomur jasno, in preveč gledajo hekerske filme, kak računalničar, ki spet nima pojma, pa še potencira zadevo.

In članki so vedno v stilu, uporabnik ni nič kriv...

Nihče ne trdi, da ni kraja ali da ni goljufija. Ampak, če ti nekdo v domačem okolju zaradi tvoje malomarnosti pajsne denar, to ni odgovornost banke.

Tudi če ti shekajo ni "odgovornost" banke. Je pa odgovornost banke, da te (policijo) pripelje do tistega, ki je to naredil, do tistega h katermu je šel denar. Če tega ne more, potem pa to postane odgovornost banke, ker bi morala poznat svojo stranko.

To je srž te debate. Do kje gre odgovornost banke, kadar pride do zlorabe. In tukaj si precej mimo brcnil, ker da, v številnih primerih zlorab je banka odgovorna. Izjema je kadar se dokaže huda malomarnost uporabnika.

No, če ti vderejo na tvoj telefon ali računalnik, da pridobijo tvoja gesla, generator, itd., ni banka kriva, vseeno ti pa mora pomagat prit do krivca.

normalno, in banka bo policiji predložila vsa dokazila o tem kam je šel denar, tako da ne vem od kje ideja, da banka tega ne bi storila.

Jaz ne bi bil tako prepričan. Še par let nazaj je NLB čisto normalno nakazovala denar na račun Miki Miške. Tu pa je njena odgovornost... In če pride do tega, ne more banka rečt, jah, tu imate IP ali nekaj iz katerga je bila povezava, zdaj se pa znajte.

Misliš da ti kopirajo osebno na banki tako za hec?

Ne, jo pa mora imet britanska banka.

In ko gre potem denar v Bosno? Na kajmasnke otoke? V nigerijo? Kaj ti tocnonpomaga ce zves da je tvoj denar koncal na racunu Unbogota v Nigeriji?

Nima veze. Vsaka banka znotraj SEPA se mora držat istih pravil. Tist, ki je zadnji prejemnik znotraj SEPA, je zelo težko nevede nakazal v Nigerijo, in brez da bi banka to malo bolj preverila, tudi če se izkaže, da so vsi SEPA računi prek katerih je šlo enako "shekani".

Kot ze recno, povsem si zadevo zgresil. Ja, banka je odgovorna ce pride do vdora, razen ce lahko pokazejo hudo malomarnost uporabika. Sodna praksa je jasna, en konkreten primer imas na zacetku teme.

Če banka ne bi prišla do tistega, do katerga je šel denar, bi težko vdor, ali pa malomarnost, kdorkoli dokazal. Če pa pridemo do končnega prejemnika, se hitro izkaže kaj je na stvari.
Ker drugače bi res lahko vsak nakazal v Nigerijo, polovico dobil nazaj, banka ti bi pa povrnila vse.

Utk je 5. jun 2024 ob 08:45 izjavil:

In ko gre potem denar v Bosno? Na kajmasnke otoke? V nigerijo? Kaj ti tocnonpomaga ce zves da je tvoj denar koncal na racunu Unbogota v Nigeriji?

Nima veze. Vsaka banka znotraj SEPA se mora držat istih pravil. Tist, ki je zadnji prejemnik znotraj SEPA, je zelo težko nevede nakazal v Nigerijo, in brez da bi banka to malo bolj preverila, tudi če se izkaže, da so vsi SEPA računi prek katerih je šlo enako "shekani".

Kot ze recno, povsem si zadevo zgresil. Ja, banka je odgovorna ce pride do vdora, razen ce lahko pokazejo hudo malomarnost uporabika. Sodna praksa je jasna, en konkreten primer imas na zacetku teme.

Če banka ne bi prišla do tistega, do katerga je šel denar, bi težko vdor, ali pa malomarnost, kdorkoli dokazal. Če pa pridemo do končnega prejemnika, se hitro izkaže kaj je na stvari.
Ker drugače bi res lahko vsak nakazal v Nigerijo, polovico dobil nazaj, banka ti bi pa povrnila vse.

ok, tukaj si me popolnoma zgubil. Kako vezo ima SEPA in po kaki logiki so bančna nakazila omejena samo na SEPA območje? Kaj ima sedaj to ali banka lahko identificira končnega prejemnika z odgovornostjo? Kaka pooblastila si domišljaš, da imajo banke, da pridobivajo podatke o nakazilih za dva tri korake naprej? In kaj konkretno se spremeni, če se uspe ugotovit da je Unbogo dobil denar v Nigeriji? Kaj točno se spremeni, če banka ugotovi, da je šlo nakazilo Johnu v London, ki je denar dvignil in ga zagonil v prvem kazinoju? Če je John mula, ki pobere 10% ostalo pa povsem legitimno prenakaže v Nigerijo, kaj točno se spremeni glede odgovornosti banke?

Odgovornost banke, je da zaščiti uporabnika pred zlorabami. Te odgovornosti se lahko razreši samo če dokaže, da je zloraba posledica hude malomarnosti uporabnika. Ko denar enkrat zapusti banko, ne more ta banka nič kaj dosti več naredit glede tega. Ravno tako kje in kako konča denar pet korakov naprej bore malo vpliva na odgovornost prve banke do svojega komitenta.

V konkretnem primeru je popolnoma irelevantno kje je denar končal in kako daleč bo policija uspela prit pri iskanju denarja. Tukaj je ključno vprašanje ali je do zlorabe prišlo zaradi hude malomarnosti uporabnika (sem bi sodilo na primer to, da je sorodniku omogočila uporabo spletne banke oziroma je imela recimo podatke o login zapisane na mestu, kjer bi jih sorodnik enostavno odstopal. Sem bi IMO tudi sodil primer kjer bi stranka nameščala nepreverjene programe ali dovolila oddaljen dostop tretji osebi...). Ali pa je zloraba posledica pomanjkljivih varovalk banke. Tukaj se potem pojavi vprašanje, kako so bili nastavljeni limiti nakazil, ali je bil sistem 2FA dovolj robusten, ali je res temeljil na SMS sporočilih, kako se je sistem odzval na nenavadnen promet...