» »

Komitentki NLB so prihranki v eni noči izpuhteli v neznano

Komitentki NLB so prihranki v eni noči izpuhteli v neznano

OutOfTheBox ::


Se res vprašam, kdo je tu bad guy in kdo debil...


Verjetno banka kar oboje glede na to pri drugih slovenskih bankah takih problemov (še) ni zaznati in kljub softwerskim omejitvam, banki še zmer rata da jim nekdo spizdi 70 jurjev, kot da ni nič.

Zgodovina sprememb…

BuDi79 ::

V drugih novicah:

NLB obvešča, da bo za uporabo NLB Pay od zdaj zahtevan Android 9.0. in ne več 8.1.

Legon ::

OutOfTheBox je izjavil:


Se res vprašam, kdo je tu bad guy in kdo debil...


Verjetno banka kar oboje glede na to pri drugih slovenskih bankah takih problemov (še) ni zaznati in kljub softwerskim omejitvam, banki še zmer rata da jim nekdo spizdi 70 jurjev, kot da ni nič.


Hočeš povedat, da se zlorabe dogajajo samo pri NLB? Vzorec za to je pa ena zgodba iz Večera?

Zgodovina sprememb…

  • spremenilo: Legon ()

OutOfTheBox ::

Legon je izjavil:

OutOfTheBox je izjavil:


Se res vprašam, kdo je tu bad guy in kdo debil...


Verjetno banka kar oboje glede na to pri drugih slovenskih bankah takih problemov (še) ni zaznati in kljub softwerskim omejitvam, banki še zmer rata da jim nekdo spizdi 70 jurjev, kot da ni nič.


Hočeš povedat, da se zlorabe dogajajo samo pri NLB? Vzorec za to je pa ena zgodba iz Večera?


Nikakor, verjamem pa da druge banke pri podobnih zlorabah aktivno sodelujejo s komitenti, tako da ni potreba nekega medijskega pompa.

NLB obvešča, da bo za uporabo NLB Pay od zdaj zahtevan Android 9.0. in ne več 8.1.


To je novica? Resno? Iz prastarodavnega dinozavra na dinozavra. Android 9.0 je 6 let star sistem in market share v Sloveniji ni niti 4%. Že NovaKBM trenutno podpira minimum Android 10 (2019).

App file size na iOS, NLB klik 250MB, Nova KBM 120MB :O

Tale zgodba je en sam smeh.

Zgodovina sprememb…

Legon ::

O kakšnem medijskem pompu točno govoriš? Enem članku v Večeru?

To je novica? Resno? Iz prastarodavnega dinozavra na dinozavra. Android 9.0 je 6 let star sistem in market share v Sloveniji ni niti 4%. Že NovaKBM trenutno podpira minimum Android 10 (2019).

Seveda, in kot je navada pri teh stvareh, se bo našel folk, ki bo jokal, kako mora kupit nov telefon, ker ga banka sili v to. Videno več kot enkrat.

Recimo "medijski pomp" na to temo:
https://vecer.com/slovenija/jeza-zaradi...
https://www.zurnal24.si/slovenija/ostal...

pač klasika, kup kričanja in pritoževanja, če banka ne podpira 10 let starih OS, poglej samo jokanje zgoraj o windows telefonih, ali pa če bančna aplikacija zahteva odstranitev kakšne aplikacije, ali pa bog ne daj teži, ko imaš rootan telefon... Ko pa pride do zlorabe, pa je seveda grda grda banka, ker ni dovolj naredila za zaščito taistega uporabnika, ki se je pol ure nazaj drl, da njemu banka pa že ne bo diktirala kaj lahko počne s svojim denarjem in telefonom.

Zgodovina sprememb…

  • spremenilo: Legon ()

delavec44 ::

Naj blokirajo mobilno banko kakor želijo, da pa ne moreš niti do enkratnega gesla za spletno banko je pa sporno.

OutOfTheBox ::

Legon je izjavil:

O kakšnem medijskem pompu točno govoriš? Enem članku v Večeru?

To je novica? Resno? Iz prastarodavnega dinozavra na dinozavra. Android 9.0 je 6 let star sistem in market share v Sloveniji ni niti 4%. Že NovaKBM trenutno podpira minimum Android 10 (2019).

Seveda, in kot je navada pri teh stvareh, se bo našel folk, ki bo jokal, kako mora kupit nov telefon, ker ga banka sili v to. Videno več kot enkrat.

Recimo "medijski pomp" na to temo:
https://vecer.com/slovenija/jeza-zaradi...
https://www.zurnal24.si/slovenija/ostal...

pač klasika, kup kričanja in pritoževanja, če banka ne podpira 10 let starih OS, poglej samo jokanje zgoraj o windows telefonih, ali pa če bančna aplikacija zahteva odstranitev kakšne aplikacije, ali pa bog ne daj teži, ko imaš rootan telefon... Ko pa pride do zlorabe, pa je seveda grda grda banka, ker ni dovolj naredila za zaščito taistega uporabnika, ki se je pol ure nazaj drl, da njemu banka pa že ne bo diktirala kaj lahko počne s svojim denarjem in telefonom.


Vsekakor bolje kot "medijski pomp" na račun izgubljenih EUR, sploh ko se bodo tile uporabniki naučili da se pri drugih bankah zahtevajo še novejši OS-ji. Hitreje pozabiš nakup novega telefona za par sto EUR (ker to itak s sabo prinaša še druge dobre stvari), kot pa izgubljen keš na varčevalnem računu.

Jaz sem "all in" za to da se naredi vse kar se tiče varnosti oz. kar banka smatra za dobrobit varnosti, bodisi je to novejši OS, bodisi je to "ne-rootan" telefon ipd.

Drugo pa je da banka gladko ignorira komitenta kadar ima problem.

Zgodovina sprememb…

Legon ::

kar ne nehaš presenečat, koliko background informacij o komunikaciji med konkretno uporabnico in NLB imaš, ki jih ostali, ki razpolagamo samo z enim člankom v Večeru žal nimamo.

blue ::

Mene zanima katere applikacije imajo accessibility permission na njenem telefonu..

Legon ::

In koliko aplikacij si je ta dovoljenja dodalo brez vednosti uporabnika.

PersonaRuda ::

delavec44 je izjavil:

Naj blokirajo mobilno banko kakor želijo, da pa ne moreš niti do enkratnega gesla za spletno banko je pa sporno.

To tudi mene moti. Sicer nisem na NLB in bi najraje izbrisal aplikacijo za bančne storitve in vse delal preko spleta. Pa žal ne morem, ker potrebujem enkratno geslo, katerega pa dobim samo v aplikaciji. In kako se naj sedaj odpovem aplikaciji? Ne morem. In slej kot prej bom primoram, da si kupim dodatni telefon, naredim nek xy mail s katerim ne bom povezan s trenutnim gmail računom in imel dodatno preplačniško sim kartico.

Sami problemi in mesečno dodatni strošek (drugi telefon + predplačniški sim) okoli 4-5€ mesečno samo zato, ker banka več ne omogoča dostopa do spletne banke brez aplikacije in da bom imel na primarnem telefonu vse za vsakdanjo uporabo, na sekundarnem pa aplikacijo za spletno banko in internet, wifi na off oz. si ga ročno vklopil, ko som potreboval dostop do bančnega računa.

pirate2024 ::

OutOfTheBox je izjavil:



NLB obvešča, da bo za uporabo NLB Pay od zdaj zahtevan Android 9.0. in ne več 8.1.


To je novica? Resno? Iz prastarodavnega dinozavra na dinozavra. Android 9.0 je 6 let star sistem in market share v Sloveniji ni niti 4%. Že NovaKBM trenutno podpira minimum Android 10 (2019).

App file size na iOS, NLB klik 250MB, Nova KBM 120MB :O

Tale zgodba je en sam smeh.

Niti ne...

Veliko starejših je telefon dobilo od otrok/vnukov, ki imajo star Android.

Meni se ne zdi to nič posebnega...

Očitno imajo na NLB druge podatke, da so se tako odločili.

World market share tukaj nima veze...

Gospod ::

PersonaRuda je izjavil:

delavec44 je izjavil:

Naj blokirajo mobilno banko kakor želijo, da pa ne moreš niti do enkratnega gesla za spletno banko je pa sporno.

To tudi mene moti. Sicer nisem na NLB in bi najraje izbrisal aplikacijo za bančne storitve in vse delal preko spleta. Pa žal ne morem, ker potrebujem enkratno geslo, katerega pa dobim samo v aplikaciji. In kako se naj sedaj odpovem aplikaciji? Ne morem. In slej kot prej bom primoram, da si kupim dodatni telefon, naredim nek xy mail s katerim ne bom povezan s trenutnim gmail računom in imel dodatno preplačniško sim kartico.

Sami problemi in mesečno dodatni strošek (drugi telefon + predplačniški sim) okoli 4-5€ mesečno samo zato, ker banka več ne omogoča dostopa do spletne banke brez aplikacije in da bom imel na primarnem telefonu vse za vsakdanjo uporabo, na sekundarnem pa aplikacijo za spletno banko in internet, wifi na off oz. si ga ročno vklopil, ko som potreboval dostop do bančnega računa.

Ne potrebuješ nobene dodatne SIM kartice z netom se povežeš z domačim wi-fi
Lp.

PersonaRuda ::

Gospod je izjavil:

Ne potrebuješ nobene dodatne SIM kartice z netom se povežeš z domačim wi-fi

Ja, imaš prav.

OutOfTheBox ::

kar ne nehaš presenečat, koliko background informacij o komunikaciji med konkretno uporabnico in NLB imaš,


Kadar so odvetnik (in mediji) vmes, potem dost direktne komunikacije ni, ker vsaj ena stranka pri rešitvi problema noče sodelovat.

pirate2024 je izjavil:

OutOfTheBox je izjavil:



NLB obvešča, da bo za uporabo NLB Pay od zdaj zahtevan Android 9.0. in ne več 8.1.


To je novica? Resno? Iz prastarodavnega dinozavra na dinozavra. Android 9.0 je 6 let star sistem in market share v Sloveniji ni niti 4%. Že NovaKBM trenutno podpira minimum Android 10 (2019).

App file size na iOS, NLB klik 250MB, Nova KBM 120MB :O

Tale zgodba je en sam smeh.

Niti ne...

Veliko starejših je telefon dobilo od otrok/vnukov, ki imajo star Android.

Meni se ne zdi to nič posebnega...

Očitno imajo na NLB druge podatke, da so se tako odločili.

World market share tukaj nima veze...


Drži. 4% so podatki za splošno slovensko populacijo, kar pa ne pomeni da ta številka velja tudi za NLB uporabnike. Hvala za pomembno opazko.

Drgač pa.. another one bites the dust. Mamo epidemijo scamov.

Zgodovina sprememb…

Legon ::

Ziher spet banka ni naredila dovolj, da jo zaščiti samo pred sabo.

mtosev ::

Tukaj krivim userja. Neverjetno je, da nekdo nekomu nakaže 20.000EUR.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

tony1 ::

blue je izjavil:

Mene zanima katere applikacije imajo accessibility permission na njenem telefonu..


Najbolj koristen post v temi. To talanje permišnov, ki jih zahteva kar vsak app je rak rana Androida, in argument proti njegovi uporabi.

OutOfTheBox ::

Legon je izjavil:

Ziher spet banka ni naredila dovolj, da jo zaščiti samo pred sabo.


Drži. Popularne elektronske banke, bi ob zaznani anomaliji blokirali transakcijo in počakali da impulzivnost mine.

Če vsak mesec ne zapravi ravno 10 jurjev in to paše v vzorec zapravljanja uporabnika, je odobritev take transakcije preko mobilne banke popolna neumnost.

Dej povej mi - kakšna je verjetnost da ne gre za scam, ko nekdo, sploh če je dedek ali babica vrže na random dan 20 jurjev na random nepovezan račun preko mobilne banke.


Scammerji so se fejst upgrejdali - vi , skupaj z bankami se še niste, zato je pa 11M EUR škode na leto v Sloveniji na račun scamov

Zgodovina sprememb…

Legon ::

Vedno pozabim na tvoje jasnovidne sposobnosti...

Ker jaz sem naivno mislil, da je šlo za klasičen scam, kjer je scammer po korakih zvlekel denar od žrtve. Ampak hvala za razjasnitev, da je šlo za enkratno 20k nakazilo. Še dobro, da imamo tebe, da pojasniš stvari, ki jih še članek zgreši.

Recimo tole, očitno napačno informacijo iz članka:

Oškodovanka je neznani osebi večkrat nakazala denar v skupni višini okoli 19.500 evrov, vendar obljubljene vsote denarja ni prejela.

In kako lepo, da svoje sposobnosti uporabljaš za tako jasne in prepotrebne analize, kot je tole puhlo projiciranje na koncu.

Zgodovina sprememb…

  • spremenilo: Legon ()

IL_DIAVOLO ::

Se en sparavidna mamika, ki se zivi v Jugi ko so talali marke kar tak, ker bi nekdo rad da tocno ti obogatis :))

https://www.24ur.com/novice/slovenija/v...
Con il Milan nel cuore!
https://www.youtube.com/watch?v=fS58IQczWWE&ab_channel=MariusMotora
Forza ragazzi!

mtosev ::

Neverjetno kako so ljudje naivni.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

WizzardOfOZ ::

Problem ni, ker bi bilo samo par naivnih, ampak jih je ogromno. To se tudi kaže v teh 11 milijonov pokradenih evrov.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Legon ::

IL_DIAVOLO je izjavil:

Se en sparavidna mamika, ki se zivi v Jugi ko so talali marke kar tak, ker bi nekdo rad da tocno ti obogatis :))

https://www.24ur.com/novice/slovenija/v...


saj ne, da se že 2 uri pogovarjamo o tem...

tony1 ::

WizzardOfOZ je izjavil:

Problem ni, ker bi bilo samo par naivnih, ampak jih je ogromno. To se tudi kaže v teh 11 milijonov pokradenih evrov.


Moj vtis je, da je zadaj hudo znanje človeške psihologije. Koraki so točno naštudirani in znano je, da bo nek % ljudi padel na finto. In obdelujejo folk tako dolgo, da se najde žrtev.

(Zdaj, tukaj bi lahko napisal še, da na isti način privržence išče republikanska poltika na primeru peciv, pa ne bom, ker bo šla spet tema v franže. :-D)

Utk ::

Meni ni jasno kako jih ne dobijo. Če jih ne.

telexdell ::

PersonaRuda je izjavil:

delavec44 je izjavil:

Naj blokirajo mobilno banko kakor želijo, da pa ne moreš niti do enkratnega gesla za spletno banko je pa sporno.

To tudi mene moti. Sicer nisem na NLB in bi najraje izbrisal aplikacijo za bančne storitve in vse delal preko spleta. Pa žal ne morem, ker potrebujem enkratno geslo, katerega pa dobim samo v aplikaciji. In kako se naj sedaj odpovem aplikaciji? Ne morem. In slej kot prej bom primoram, da si kupim dodatni telefon, naredim nek xy mail s katerim ne bom povezan s trenutnim gmail računom in imel dodatno preplačniško sim kartico.

Sami problemi in mesečno dodatni strošek (drugi telefon + predplačniški sim) okoli 4-5€ mesečno samo zato, ker banka več ne omogoča dostopa do spletne banke brez aplikacije in da bom imel na primarnem telefonu vse za vsakdanjo uporabo, na sekundarnem pa aplikacijo za spletno banko in internet, wifi na off oz. si ga ročno vklopil, ko som potreboval dostop do bančnega računa.

Zakaj si pa na PC ne naložiš nek Android emulator pa nanj instaliraš NLB klik za generiranje gesel? Sam uporebljam Bluestack in dela povsem OK.
Precej je treba vedeti, preden opaziš, kako malo veš.

bciciban_ ::

telexdell je izjavil:

PersonaRuda je izjavil:

delavec44 je izjavil:

Naj blokirajo mobilno banko kakor želijo, da pa ne moreš niti do enkratnega gesla za spletno banko je pa sporno.

To tudi mene moti. Sicer nisem na NLB in bi najraje izbrisal aplikacijo za bančne storitve in vse delal preko spleta. Pa žal ne morem, ker potrebujem enkratno geslo, katerega pa dobim samo v aplikaciji. In kako se naj sedaj odpovem aplikaciji? Ne morem. In slej kot prej bom primoram, da si kupim dodatni telefon, naredim nek xy mail s katerim ne bom povezan s trenutnim gmail računom in imel dodatno preplačniško sim kartico.

Sami problemi in mesečno dodatni strošek (drugi telefon + predplačniški sim) okoli 4-5€ mesečno samo zato, ker banka več ne omogoča dostopa do spletne banke brez aplikacije in da bom imel na primarnem telefonu vse za vsakdanjo uporabo, na sekundarnem pa aplikacijo za spletno banko in internet, wifi na off oz. si ga ročno vklopil, ko som potreboval dostop do bančnega računa.

Zakaj si pa na PC ne naložiš nek Android emulator pa nanj instaliraš NLB klik za generiranje gesel? Sam uporebljam Bluestack in dela povsem OK.


Ker je to za kake starše ali stare starše nerodna rešitev.

In je glupo da moreš za bankin web app imet njihov mobile app.
Zakaj ne podprejo mfa aplikacij od drugih ponudnikov.
Imaš Google authenticator, Cisco Duo, MS authenticator...

telexdell ::

bciciban_ je izjavil:


Ker je to za kake starše ali stare starše nerodna rešitev.

In je glupo da moreš za bankin web app imet njihov mobile app.
Zakaj ne podprejo mfa aplikacij od drugih ponudnikov.
Imaš Google authenticator, Cisco Duo, MS authenticator...

Sem tako starš kot stari starš, pa ne vidim nobene težave. Klikneš na ikono NLB klika na namizju pa se ti zažene App. Vpišeš pin in si v kliku, kjer vidiš stanje, plačaš položnico, nakaš vnuku za sladoled... Le kako težko je to za nekoga, kateri zna klikniti na miško?
Precej je treba vedeti, preden opaziš, kako malo veš.

Atos ::

Mislim, da v tej temi manjka kar nekaj znanja o tem, kaj 2FA sploh je. 2FA ni (nujno) SMS sporočilo. 2FA pomeni samo to, da se uporabita dva neodvisna kriterija za ugotavljanje istovetnosti. V primeru uporabe mobilne aplikacije jaz osebno sploh nimam izkušnje, da bi 2FA pomenilo uporabo SMS sporočila. Od kje vam ta informacija?

V primeru uporabe mobilne aplikacije 2FA po mojem vedenju v splošnem pomeni naslednji dve metodi ugotavljanja istovetnosti uporabnika: nekaj kar imaš (mobilni telefon) IN nekaj kar veš (PIN) ali nekaj kar si (biometrija). Če se v primeru NLB Klika uporablja SMS tudi v primeru uporabe mobilne aplikacije je to seveda narobe, vendar v to močno dvomim, ker vsaj pri meni to nikoli ni res. Če bi uporabljali SMS na mobilni aplikaciji, to niti NI 2FA, ampak samo eno faktorska avtentikacija. SMS se namreč uporablja za to, da se določi, če imaš telefon res pri sebi - kriterij "nekaj kar imaš". V primeru mobilne aplikacije je to brezpredmetno, ker očitno imaš telefon pri sebi, če uporabljaš mobilno aplikacijo. Zato je v tem primeru nujno, da vpišeš ali PIN (kriterij "nekaj kar veš") ali pa daš prstni odtis ("nekaj kar si").

Nadalje, PIN in biometrijo implementira OS, zato aplikacija ne dela implementacije, ampak zaupa pravilni implementaciji na ravni OS-a. Če se je to nekako zlomilo je to potem na Androidu oziroma proizvajalcu telefona, ne na aplikaciji.

Edino težavo, ki jo vidim je v primeru root-anja telefona. V primeru, da je do zlorabe prišlo zaradi tega, bi mogoče lahko rekli, da je kriva NLB, ker bi morala pred namestitvijo aplikacije preveriti, če je telefon root-an. Oziroma to preveriti pred vsakim zagonom aplikacije. Ampak tudi v tem primeru obstajajo rešitve, ki lahko zakrijejo dejstvo, da je telefon root-an. Tako da je tudi ta argument na trhlih nogah.

OutOfTheBox ::

V primeru mobilne aplikacije je to brezpredmetno, ker očitno imaš telefon pri sebi, če uporabljaš mobilno aplikacijo.


Ne drži, če ima nekdo drug tvoje login podatke in on dostopa preko druge naprave v tvoj račun.

V primeru, da je do zlorabe prišlo zaradi tega, bi mogoče lahko rekli, da je kriva NLB, ker bi morala pred namestitvijo aplikacije preveriti, če je telefon root-an.


Sej preverja, zato pa majo vsi take probleme zadnje čase dostopat v NLB klik ker majo rootane telefone oz. nameščene aplikacije za oddaljen dostop.

Zgodovina sprememb…

Atos ::

OutOfTheBox je izjavil:

V primeru mobilne aplikacije je to brezpredmetno, ker očitno imaš telefon pri sebi, če uporabljaš mobilno aplikacijo.


Ne drži, če ima nekdo drug tvoje login podatke in on dostopa preko druge naprave v tvoj račun.


Ne drži. Če govorimo o mobilni aplikaciji je ta vezana na specifično napravo. Ne moreš uporabljati mobilne aplikacije na drugi naprava kar tako. To je celoten proces, da omogočiš uporabo mobilne aplikacije na drugi napravi.

Razen, če se je na mobilni napravi do Klika dostopalo preko spleta (brskalnika). V tem primeru bi lahko 2FA pomenila naslednja dva kriterija: nekaj kar veš (login podatki) in nekaj kar imaš (mobitel, kar potrdiš s SMS sporočilom). Ampak tudi v tem primeru je potem napadalec moral vedeti tvoje prijavne podatke. V tem primeru pa potem vsekakor ne moremo govoriti, da je težava mobilna aplikacija, ker se sploh ne uporablja. Tukaj pa je potem lahko legitimen pomislek, zakaj se za 2FA uporablja SMS. Ampak na enak način lahko napadalec uporabi Google Authenticator.

OutOfTheBox je izjavil:

Sej preverja, zato pa majo vsi take probleme zadnje čase dostopat v NLB klik ker majo rootane telefone oz. nameščene aplikacije za oddaljen dostop.


Priročno si "pozabil" citirati del, kjer govorim o tem, da lahko napadalec tudi zamaskira, da je telefon root-an. Tako da dvomim, da lahko to kar tako naprtiš izdelovalcu aplikacije, ker tudi v primeru root-anega telefona ne moreš popolnoma omejiti tega dela tveganja.

Zgodovina sprememb…

  • spremenil: Atos ()

Legon ::

Tukaj pa je potem lahko legitimen pomislek, zakaj se za 2FA uporablja SMS. Ampak na enak način lahko napadalec uporabi Google Authenticator.
V konkretni primerjavi je sms problematicen, ker ga je lazje prestrec kot dobit dostop do google authenticatorja.

Ampak pridno se pa ignorira dejstvo, da je v veliki vecini zlorab uporabnik tisti, ki naivno posreduje podatke scammerju. Situacije, kjer nekdo povsem neodvisno pridobi dostop so izjemno redke in zapletene. Nobena aplikacija iz app storage po defaults tega ne more.

In potem spet pridem ndo osnovnega vprasanja te teme. Kje se konca odgovornost banke in zacne huda malomqrnost uporabnika.

Atos ::

Legon je izjavil:

Tukaj pa je potem lahko legitimen pomislek, zakaj se za 2FA uporablja SMS. Ampak na enak način lahko napadalec uporabi Google Authenticator.
V konkretni primerjavi je sms problematicen, ker ga je lazje prestrec kot dobit dostop do google authenticatorja.

Ampak pridno se pa ignorira dejstvo, da je v veliki vecini zlorab uporabnik tisti, ki naivno posreduje podatke scammerju. Situacije, kjer nekdo povsem neodvisno pridobi dostop so izjemno redke in zapletene. Nobena aplikacija iz app storage po defaults tega ne more.

In potem spet pridem ndo osnovnega vprasanja te teme. Kje se konca odgovornost banke in zacne huda malomqrnost uporabnika.


Da, prestrezanje SMS-a je zagotovo problematično in zato uporaba SMS-a za zadovoljitev kriterija "nekaj kar imaš" verjetno ni najbolj primerna. Ampak se verjetno vseeno uporablja ravno zato, ker moraš zadovoljiti še vsaj en drug kriterij. Če pa govorimo o mobilni aplikaciji pa se SMS zagotovo ne uporablja.

Vsekakor zadeve niso tako enoplastne, kot to prikazuje recimo OutOfTheBox. Posebej, če se ne razume dobro, kako te zadeve dejansko delujejo. Ne pravim, da banka ni kriva, vendar na vrat na nos na podlagi članka v časopisu pripisovati krivde vsekakor ni primerno. Komurkoli.

OutOfTheBox ::

To je celoten proces, da omogočiš uporabo mobilne aplikacije na drugi napravi.


Danes je zadeva dost bolj enostavna - 3 tedne nazaj sem zamenjal telefon in sem novo napravo vezal na aplikacijo v nekaj korakih, ki so se kajkopak odvijali preko SMS-jev.



Torej na koncu če ima napadalec login podatke bo dobil pa še tisti žeton za registracijo naprave.

c3p0 ::

Atos je izjavil:


Da, prestrezanje SMS-a je zagotovo problematično in zato uporaba SMS-a za zadovoljitev kriterija "nekaj kar imaš" verjetno ni najbolj primerna. Ampak se verjetno vseeno uporablja ravno zato, ker moraš zadovoljiti še vsaj en drug kriterij. Če pa govorimo o mobilni aplikaciji pa se SMS zagotovo ne uporablja.


Kako to misliš? Seveda se uporablja.

OutOfTheBox ::


Vsekakor zadeve niso tako enoplastne, kot to prikazuje recimo OutOfTheBox. Posebej, če se ne razume dobro, kako te zadeve dejansko delujejo.


Niso enoplastne in vsekakor dobro razumem kaj se dogaja - slovenske banke se niso prilagodile novemu načinu scamanja (ko komitenti prostovoljno talajo velike količine keša na druge račune, potem pa jočejo da so jih oropal), medtem ko so druge tuje banke oz. vsaj elektronske 10 let pred nami in delujejo na podlagi vzorcev delovanja posameznika.

Zdej mi lahko rečemo, "survival of the fittest", to je en način, drugi način mogoče bolj human je da se ljudi, sploh ranljive skupine do ene mere zaščiti.

Zgodovina sprememb…

Atos ::

c3p0 je izjavil:

Atos je izjavil:


Da, prestrezanje SMS-a je zagotovo problematično in zato uporaba SMS-a za zadovoljitev kriterija "nekaj kar imaš" verjetno ni najbolj primerna. Ampak se verjetno vseeno uporablja ravno zato, ker moraš zadovoljiti še vsaj en drug kriterij. Če pa govorimo o mobilni aplikaciji pa se SMS zagotovo ne uporablja.


Kako to misliš? Seveda se uporablja.


Jaz ga zagotovo še nikoli nisem uporabil na mobilni aplikaciji. Če se uporablja, potem je to vsekakor težava, da. Ampak potem to ni 2FA že po definiciji. V tem primeru bi seveda takoj rekel, da je kriva ustanova, ki je izdala / izdelala mobilno aplikacijo.

@OutOfTheBox

Ok, ampak tudi v tem primeru si svojo istovetnost potrdil na dva ločena načina. Kar pomeni, da mora napadalec pridobiti dostop do tvoje naprave (ali prestreči SMS sporočilo) IN poznati tvoje login podatke.

vsekakor dobro razumem kaj se dogaja


Iskreno, glede na napisano, jaz osebno tega nebi mogel reči. Se pa seveda lahko motim :)

Zgodovina sprememb…

  • spremenil: Atos ()

OutOfTheBox ::

Ni treba ne prestreči in ne pridobit dostopa do naprave. Ljudje to kar sami povejo.

Legon ::

OutOfTheBox je izjavil:

Ni treba ne prestreči in ne pridobit dostopa do naprave. Ljudje to kar sami povejo.

Samo potem je debata ali je banka res odgovorna povsem na mestu. Do kake mere mora banka scitit uporabnika pred lastno neumnostjo? Hocem kupit tablete za povecenje penisa in mi mora banka blokirat transakcijo in mi sporocit naj premislim in ce sem res preprican, lahko poskusim se enkrat cez 14 dni? A je res banka tista, ki je odgovorna da mi prepreci nigerijskemu princu nakazat denar? A potem jih lahko tozim za vse potencialne milijone, ki sem jih izgubil?

Pa da ne bo pomote, v veliki meri se strinjam s tabo. Predvsem na podrocju odstopanja od vzorcev lahko banka ogromno naredi. Samo po drugi strani pa pac nisem naiven in ko berem taksne clanke, je bolece ocitno, da jeoskodovanec prikazan kot boga nedolzna ovcka, ki jo zatirajo korporacije. Ampak vsak ki sisteme vsaj malo pozna ve, da se kar iz nic taka zloraba zelo zelo zelo tezko zgodi.

Zgodovina sprememb…

  • spremenilo: Legon ()

Legon ::

OutOfTheBox je izjavil:

To je celoten proces, da omogočiš uporabo mobilne aplikacije na drugi napravi.


Danes je zadeva dost bolj enostavna - 3 tedne nazaj sem zamenjal telefon in sem novo napravo vezal na aplikacijo v nekaj korakih, ki so se kajkopak odvijali preko SMS-jev.



Torej na koncu če ima napadalec login podatke bo dobil pa še tisti žeton za registracijo naprave.

Kako pa si sprozil potek registracije novega telefona? Mati je pri NLB morala osebno na banko, jaz pri Unicredit pansem moral uporabit loceno unikatno geslo in uporabnisko ime, ki sem ga dolocil pri kreiranju trr. Sele potem so poslali sms. Torej ne v enem ne v drugem primeru nekdo tretji ne bi mogel kar tako registration banke na random telefon.

Zgodovina sprememb…

  • spremenilo: Legon ()

OutOfTheBox ::

Kako pa si sprozil potek registracije novega telefona?


Preko "pozabljeno mGeslo", ker vedno uporabljam biometrično prijavo in nisem imel pojma ne kakšno geslo in uporabniško ime imam, nato sem vse resetiral preko podane davčne številke - tudi linkal novo napravo. Zdej a je to namensko ali bug, ne vem, se pa spomnim da sem tudi jaz moral na banko, takrat ko sem banko na prejšni telefon nastavljal.

Telefona sicer nisem menjal 7 let tako da nimam pojma kako so se procedure vmes spreminjale glede tega.

Sicer v teoriji, če bi nekdo vedel mojo davčno, ki načeloma sploh ni skrivnost, in imel dostop do telefona, bi izi prišel v račun banke.

Fejst je blo ker sem takoj zadevo nastavil, z vidika varnosti pa ni lih dobra zadeva. Ampak ok, še vedno je treba v telefon pridet, kar je pa praktično nemogoče.

Zgodovina sprememb…

WizzardOfOZ ::

Legon je izjavil:

Mati je pri NLB morala osebno na banko,


Ne rabiš. Pokličeš na kontaktni center (delajo 24/7) in tam dobiš vse, da na novo postaviš aplikacijo na drugi telefon.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

tony1 ::

Drži, meni so tako vse zrihtali v par minutah.

Legon ::

WizzardOfOZ je izjavil:

Legon je izjavil:

Mati je pri NLB morala osebno na banko,


Ne rabiš. Pokličeš na kontaktni center (delajo 24/7) in tam dobiš vse, da na novo postaviš aplikacijo na drugi telefon.


Možno, da se je kaj spremenilo, ali pa da je bila razlika za poslovni račun. Ampak pod črto point je v tem, da brez dodatnih korakov praviloma ne moreš namestiti banke na nov telefon.

telexdell ::

c3p0 je izjavil:

Atos je izjavil:


Da, prestrezanje SMS-a je zagotovo problematično in zato uporaba SMS-a za zadovoljitev kriterija "nekaj kar imaš" verjetno ni najbolj primerna. Ampak se verjetno vseeno uporablja ravno zato, ker moraš zadovoljiti še vsaj en drug kriterij. Če pa govorimo o mobilni aplikaciji pa se SMS zagotovo ne uporablja.


Kako to misliš? Seveda se uporablja.

Ma dobro- a sploh imate NLB klik ali le nabijate v tri krasne.
V aplikacijo na telefonu vstopaš tako, da vpišeš pin ali se identificiraš s prstnim odtisom (ali obrazom).
V PC verzijo pa vstopaš tako, da na telefonu poženeš generator kod, katerega odkleneš s kodo pin ali prstnim odtisom in potem v spletni obrazec vpišeš uporabniško ime in to kodo. SMS se pri PC dostopu uporablja zgolj tako, da na telefon dobiš sporočilo:"Pravkar ste se uspešno prijavili v NLB Klik." In to sporočilo prileti prej, kot se odpre pozdravno okno v Kliku.

Torej je lahko problem daljinski nadzor na telefonu in shekan pin. Če uporabljaš biometrijo tudi nadzor nad telefonom ne pomaga kaj dosti.
Precej je treba vedeti, preden opaziš, kako malo veš.

WizzardOfOZ ::

Legon je izjavil:

WizzardOfOZ je izjavil:

Legon je izjavil:

Mati je pri NLB morala osebno na banko,


Ne rabiš. Pokličeš na kontaktni center (delajo 24/7) in tam dobiš vse, da na novo postaviš aplikacijo na drugi telefon.


Možno, da se je kaj spremenilo, ali pa da je bila razlika za poslovni račun. Ampak pod črto point je v tem, da brez dodatnih korakov praviloma ne moreš namestiti banke na nov telefon.

To je že nekaj let tako. Prej je bil pa aam.nlb.si, kjer si se prijavil in si dobil nove kode za telefon. To se je ugasnilo, na žalost.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

OutOfTheBox ::

Another one bites the dust. Isti kontekst, druga zgodba.

Zgodovina sprememb…

Legon ::

In spet tipicen primer, ki ga banka prakticno ne more preprecit, brez rigoroznega omejevanja poslovanja na splosno.

OutOfTheBox ::

Praktično ne obstaja zadeva ki bi jo lahko naredil fool proof (vedno se bo dobil nekdo, ki mu nekaj ni ok), ampak to še ne pomeni da lahko jasne indikatorje ki se pojavljajo v scamih kot banka ignoriraš.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nova KBM in Abanka težave pri novi kartici (strani: 1 2 3 417 18 19 20 )

Oddelek: Loža
996153849 (43115) V-i-p
»

Predplačniška visa (strani: 1 2 3 4 )

Oddelek: Loža
15041039 (19195) sbawe64
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23297720 (90931) sisemen 

Več podobnih tem