Komitentki NLB so prihranki v eni noči izpuhteli v neznano

Vsega ne znajo. In aplikacija mora bit tako narejena, da je varna, ali pa naj banka odgovarja za škodo.

Če ti to veš, jaz to vem, bi morala tudi banka to vedet in naredit sistem, ki bi tudi pod takimi pogoji deloval.

Absolutne varnosti na internetu ni. Ampak ne moremo "mi" potem nosit posledice, če imajo pa banke vse možnosti (in obveznosti), da vejo komu se je kaj nakazalo. Točno se ve na kater račun je šel denar, in banka tistega računa MORA vedet čigav je.

dt711 je 31. maj 2024 ob 10:49 izjavil:

Da bi pa imeli bank appe na ločenem starem telefonu, ki ga vključimo po potrebi, in ga ne uporabljamo za nič drugega, pa še ni nihče pomislil?

Stari telefoni (sicer nisi povedal kako stare si imel v mislih) ne podpirajo več novih android verzij in posledično ti aplikacija, ki ne podpira več starih verzij, ne bo delala.
Če imaš srečo, so kakšni zanesenjaki naredili kak lineageOS za tvoj model, ampak skupaj z googlovimi storitvami (ki jih zahteva aplikacija) bo delalo vse zelo počasi, če sploh.

feryz je 31. maj 2024 ob 11:05 izjavil:

Jaz redno odpiram telefon, vpisujem v aplikacijo zneske po par 10 jurjev in me nikoli popolnoma nihče ne kliče ali karkoli podobnega.
Super nevarna aplikacija. Ok, če zanemarimo dvostopenjsko potrjevanje.

Ne razumem ljudi, ki javno pišejo s kakšnim denarjem operirajo. Prav prosijo, da se jim kaj zgodi. Potem pa slišiš po novicah, kako so kakega podjetnika zavedli, da je nakazal vse svoje prikr... pridelano premoženje nekam v tri krasne, ker so targetirali točno njega, ker jim je sam dal povod s takimi izjavami. Takšni imajo nažalost seveda veze in poznanstva na bankah, in moramo potem vsi ostali pokrivat ukraden denar.

Zakaj Googla nihče tukaj ne prime za jajca? Kako so sploh spustili take nevarne aplikacije, ki jih je omenil kamiKaZaA, v svoj store?

A ima kdo seznam aplikacij, ki so po mnenju nlb zlonamerne? Sem brisal teamview pa še klik vedno ne deluje....

NLB-jev gatekeeper

kow je 31. maj 2024 ob 10:16 izjavil:

Banka ne more vedeti, ce si ti kupil kripto. Verjetno si hotel reci, da si nakazal denar na racun kripto menjalnice.

saj nisem nikjer napisal, da mi je banka povedala, da kupujem kripto? oziroma kje si to prebral.

napisal sem, da ko sem kupoval kripto, me je banka poklicala in povprašala o transakciji, če je bila izvedena iz moje strani....nič niso govoril kam pa kaj...samo znesek, datum, ura in država....to je bilo vse kar je bilo omenjeno

Varnostni SMS ob vstopu v NLB Klik še vedno pošiljajo samo ob prijavi prek webappa, na Android appu pa ne. Logično, ne?

Spura je 31. maj 2024 ob 11:19 izjavil:

Ma glup je sistem. Ves folk so sfurali iz certifikatov na mobitele za 2fa, potem pa naredijo mobilno aplikacijo. Torej zdaj imas 2fa in prijavo na istem deviceu, kar naredi velik problem.

Naceloma lahko imas na telefonu v NFC kartice in to je dost za placilni promet in potem spletno banko iz laptopa uporabljas in potem je bolj varno. Ajde. Uresnici bi ze davno morali narediti standarde za hardware za potrjevanje transakcij. Rabim EdDSA key na donglu, bluetooth, pa en majhen ekran kjer se napisejo polja ki jih podpisujem (IBAN, znesek). Tehnicno ni tezko to naredit, problem je sforsirat te standarde, da imas adoption, drugace to pade vse v vodo.

To! Podpišem! +1

To, da je 2FA na isti enoti je... Milo rečeno smešno.
Potreben je nek FIDO key. Nekaj karkoli kar je fizično ločeno in je v posesti uporabnika. In prisloniš in ima shranjen ključ.

Slovenska osebna ima recimo certifikate na čipu. Edino pač čitalec rabiš.

Koliko ljudem bi to prišlo prav?
In koliko ljudi bi na drugi strani poživinilo, če bi morali za vsako plačilo na telefonu, še nekaj prisloniti k njemu?
In vse to zgolj zato, ker se bo vedno našlo par kretenov, ki jih bodo osušili, ne glede na vse varnostne elemente. Ker če lahko totalni idiot plačuje s svojim telefonom, bo tudi drugi lahko z njegovim. Samo v roke ga mora dobiti. Ali v dostop.

karafeka je 31. maj 2024 ob 11:18 izjavil:

Ne razumem ljudi, ki javno pišejo s kakšnim denarjem operirajo. Prav prosijo, da se jim kaj zgodi. Potem pa slišiš po novicah, kako so kakega podjetnika zavedli, da je nakazal vse svoje prikr... pridelano premoženje nekam v tri krasne, ker so targetirali točno njega, ker jim je sam dal povod s takimi izjavami. Takšni imajo nažalost seveda veze in poznanstva na bankah, in moramo potem vsi ostali pokrivat ukraden denar.

Poznam firmo, ki so ji ukradli 300k. Kako?
Direktor je bil paranoičen, pa je rekel, da bo sam nakazoval denar. Računovodja (eksterni) mu naj samo položnice pripravi za Proklik. Firma je imela sigurno med 300 in 500k EUR nakazil na mesec (BREZ plač).
Nakar računovodja en mesec odpre nekih par računov po SLO, nakar direktorju podtakne XML, kjer je vse v redu, sklic v redu, naziv v redu - edino TRR je drug.

Prvi mesec sploh ni nihče nič opazil. Računovodja je uspel nekako izmakniti opomine, ter podtakniti še eno rundo plačil, ki je bila plačana.

Tretji mesec je poklical iz elektro firme direktorja, nek personalni prijatelj in je rekel, da pač to je treba plačati, drugače jih izklopijo. Takrat se je klobčič odvil.

Računovodjo so obsodili, celo v zapor je šel, sam denarja pa niso dobili nazaj, razen nekaj malega.

Po moji sodbi je napaka, da je Proklik nekritično vzel XMLje za znane prejemnike denarja in ni preverjal, če je TRR drug. Računovodja ni kradel samo tu, kradel je še eni šoli, tam pa je kar nekaj let kradel iz nekega sklada samopomoči ali nekaj takega. Pokradel je toliko, da šola ni imela za plače, oz. so zamujale. Obkrivili so pa sicer ravnateljico, ker se je računovodja izgovoril, da mu je ravnateljica to naročila. Podpisi na virmanih so.. ravnateljičini. Ona je tudi bila old school. Da se plača kar ona OSEBNO PODPIŠE. Nakar ji je kekec podtikal TRRje od nekih svojih računov.

Tako da... Ni to redkost v Sloveniji.

Likalnik je 31. maj 2024 ob 12:06 izjavil:

kow je 31. maj 2024 ob 10:16 izjavil:

Banka ne more vedeti, ce si ti kupil kripto. Verjetno si hotel reci, da si nakazal denar na racun kripto menjalnice.

saj nisem nikjer napisal, da mi je banka povedala, da kupujem kripto? oziroma kje si to prebral.

napisal sem, da ko sem kupoval kripto, me je banka poklicala in povprašala o transakciji, če je bila izvedena iz moje strani....nič niso govoril kam pa kaj...samo znesek, datum, ura in država....to je bilo vse kar je bilo omenjeno

Aha, direktno s kartico si kupoval kripto, ce te prav razumem. Folk, ki ga poznam, kupuje/prodaja kripto na CEXih.

feryz je 31. maj 2024 ob 12:34 izjavil:

Verjeti ali ne, jaz počnem enako.
Punca mi pripravi xml za banko, jaz ga uvozim in na podlagi njega plačujem.

Ampak, vem da mi ne boš verjel, vsako plačilo v paketu pogledam. Če je kaj nejasnega, s punco skupaj pregledava podlago.
Pravljica o podtaknjenih TRR pa itak ne pije vode. Vse banke preverjajo skladnost TRR z nazivom prejemnika.
Ne moreš napisati da je plačilo za firmo AAA in dati račun od firme BBB. Ali pa celo od fizičarja.
To lahko ti komu drugemu prodaš.

Vseeno mi je, če ti to verjameš ali ne.
Proklik sem uporabljal tudi jaz (zdaj ga že dolgo ne), ter se je enkrat pripetilo, da je ena sodelavka dobila namesto svoje plače še plačo druge sodelavke (+ svojo). Enak primer, naziv od ene sodelavke, trr od druge.
XML je bil izvožen iz programa, ki se mu je reklo Birokrat. Napako je naredil naš računovodja, nenamerno.

Je ta druga sodelavka vrnila preplačilo in smo potem drugič prav nakazali. Ampak je mogoče in vsaj takrat Proklik ni nič preverjal.

LeyaPrive je 31. maj 2024 ob 12:39 izjavil:

feryz je 31. maj 2024 ob 12:34 izjavil:

Verjeti ali ne, jaz počnem enako.
Punca mi pripravi xml za banko, jaz ga uvozim in na podlagi njega plačujem.

Ampak, vem da mi ne boš verjel, vsako plačilo v paketu pogledam. Če je kaj nejasnega, s punco skupaj pregledava podlago.
Pravljica o podtaknjenih TRR pa itak ne pije vode. Vse banke preverjajo skladnost TRR z nazivom prejemnika.
Ne moreš napisati da je plačilo za firmo AAA in dati račun od firme BBB. Ali pa celo od fizičarja.
To lahko ti komu drugemu prodaš.

Saj verjetno ni bilo na firmo ampak na fizično osebo. PRi fizičnih osebah tega preverjanja ni. ČE pri firmi vpišeš trr, ti samodejno lahko vpiše tudi naziv firme.

Poskusi uvoziti XML.

Invictus je 31. maj 2024 ob 12:16 izjavil:

feryz je 31. maj 2024 ob 12:01 izjavil:

V bistvu to vse skupaj nima nobene veze z NLB-jem.
Razen tega, da kretenom nočejo podariti denarja.
Res bi ga lahko, da bi tudi ostali lahko delali tako. Preko noči izpraznili račune in drug dan zahtevali povračila od bank.

Točno to.

Nekdo je imel dostop do računa, izvedel transakcije na OSEBNI RAČUN v SLOVENIJI, prenakazal denar v VB, banka poklicala za sumljive transakcije, uporabnik zavrnil storitev, zdaj pa jamra...

Članka sploh razumeli niste, verjetno niti prebrali. Oni so to ugotovili zjutraj ob 9:30 oz. takrat je komitentka dobila klic uslužbenke, kartico pa bi blokirali sedaj ko je že vsega konec (transakcije so se zgodile ponoči). Žrtev je bila 2 minuti od banke in to da bi kartico sedaj blokirali, ne bi imelo nobene veze.

In zakaj sploh vprašat če kartico sedaj blokirat, če pa veš da se dogajajo sumljive transakcije, zakaj jo ne blokira sistem?

Skratka šalabajzerska banka, samo madman zagovarja banko v tem primeru - milijon alarmov a oni ne jebejo.

feryz je 31. maj 2024 ob 12:19 izjavil:

In vse to zgolj zato, ker se bo vedno našlo par kretenov, ki jih bodo osušili, ne glede na vse varnostne elemente.

Varnostnih elementov sploh ni bilo. Mi lahko našteješ enega?

Zakaj govoriš o blokadi kartice? Niso bile delane sepa transakcije na drug TRR?

So že drugi skoraj vse napisali.

1) 2fa, kjer sta oba faktorja na isti napravi, je bolj 1.25fa. To bi ljudje morali vedeti sami. Banka pa tudi.
2) To da banka nima spodobno rešenega limita je njihov (bankin) problem.
3) Je pa potrebno banko razumeti, da:
a) Stranke hočejo plačevati čim bolj enostavno. Kar seveda povečuje možnost zlorab. Lahko bi stranke na to vsaj aktivno opozarjali.
b) Če povrnejo denar nekomu, ki mu je "ponoči nekdo preklikal denar na nek kriptoračun", bo meni takoj naslednji dan "nekdo" preklikal denar na kriptoračun.

OutOfTheBox je 31. maj 2024 ob 16:19 izjavil:

Ne ni bilo to navadno SEPA plačilo, ki ponavadi traja lahko en dan oz. počasneje kot pa "Sepa Instant Payment", kot je bilo uporabljeno v tem primeru

Plačila na britanski račun pa so bila izvedena kot takojšnja plačila (instant payment), ki so prav tako na voljo 24 ur na dan in vse dni v letu in pri katerih prejemnik plačila denar prejme v nekaj sekundah po odreditvi s strani plačnika.

Se vedno pa ni jasno o kaksnih karticah govoris.

OutOfTheBox je 31. maj 2024 ob 16:25 izjavil:

b) Če povrnejo denar nekomu, ki mu je "ponoči nekdo preklikal denar na nek kriptoračun", bo meni takoj naslednji dan "nekdo" preklikal denar na kriptoračun.

Nope ne bo, ker je to kaznivo dejanje in kot drugo sledi pred forenziki ne boš skril. Samo kreten bi dobil motivacijo da to sploh preizkusi v praksi lol.

Sam to je treba najprej dokazat, zakaj bi banka morala verjet stranki na prvo besedo?

OutOfTheBox je 31. maj 2024 ob 16:25 izjavil:

b) Če povrnejo denar nekomu, ki mu je "ponoči nekdo preklikal denar na nek kriptoračun", bo meni takoj naslednji dan "nekdo" preklikal denar na kriptoračun.

Nope ne bo, ker je to kaznivo dejanje in kot drugo sledi pred forenziki ne boš skril. Samo kreten bi dobil motivacijo da to sploh preizkusi v praksi lol.

Glej, jaz sem na slo-tech-u. "Forenziki" s popolanskega šnel-kurza mi ne morejo nič. Tudi če so si kupili črn hoodie.

In itak, da mi na pamet ne pade, da bi osebno počel kaj takega. In itak da bi parim hitro padlo na pamet, da bi počeli točno to*. Kar banki prinese kup težav. Če nič drugega stroške in slabo javno podobo.

(*) enim se razstreljevanje bankomatov sprejemljivo tvegano početje

Meni so zdaj poslali da dam podatke za Pošto Slovenije, seveda na naslednji strani je neko manjše plačilo, razumem zakaj bi se kaka nevešča starejša oseba nategnila, in dala kartico, ko večina čaka neke pakete!

Zanimivo,da sem preden sem dobil od Pošte Slovenije pravo sporočilo sem dobil 1h prej phishing kot da je naša pošta, rekel bi da nekdo lahko znotraj pošilja ven podatke!

In če imaš 2FA na istem telefonu, ki je bil kompromitiran? Je potem to še čudno?

Saj ti piše, da ga zna primeren app prebrati in zbrisati, da zakrije sledi. Sms kot 2fa pač ni ustrezen.

Jaz bi tako velike transakcije dovoljeval le preko spletne banke kjer ti telefon zgenerira enkratno potrditveno geslo. Preko mobilne banke je pa to vse ista naprava in ne rabiš nič.

Scaramouche3 je 31. maj 2024 ob 18:40 izjavil:

Zanimivo,da sem preden sem dobil od Pošte Slovenije pravo sporočilo sem dobil 1h prej phishing kot da je naša pošta, rekel bi da nekdo lahko znotraj pošilja ven podatke!

Zato pa pametni telefoni za starejše ljudi niso. Ti se kar zivijo v Jugoslaviji, kjer se jim ni bilo vcepljeno v glavo, da je vsak prodajalec/ponudnik storitev nategun.

100k jim lahko gre iz racuna, pa ne bodo vedeli za kaj se gre, dokler ni prazen racun. Tako dolg miselni proces je za njih, pogledati bancni racun večkrat na teden.

Ko so iz banke to gospo klicali, bi moral takoj potrditi blokiranje računov in denar nebi šel nikamor.
Zadnje čase je pa res polno fake mailov in sms-ov in ženska je definitvno nekako dala vse podatke, da so ji lahko vse pokradli. Brez tega ne gre.

Zgodba smrdi in tej zgodbi ne verjamem prav dosti. Sam niti položnice ne morem plačat, brez da bi plačilo potrdil s prstnim odtisom. In nobenega prenosa denarja med računi ne morem narediti brez, da nebi bi za to dobil vsaj sms o nakazilu na račun. In če naredim 5 prenososv dobim 5 smsov.

dronyx je 31. maj 2024 ob 23:23 izjavil:

Spura je 31. maj 2024 ob 11:19 izjavil:

Ma glup je sistem. Ves folk so sfurali iz certifikatov na mobitele za 2fa, potem pa naredijo mobilno aplikacijo. Torej zdaj imas 2fa in prijavo na istem deviceu, kar naredi velik problem.

Točno to. Čim ima nekdo remote dostop do telefona 2fa nič ne pomaga, ker vidi tudi SMS. Če imaš ključek, ki prikazuje številke, si z remote desktopom ne more pomagat, ker mu moraš povedati ali sam prepisat številke. Kot sem slišal poteka proti NKBM neka tožba, ker so eni ponoči iz računa ukradli 75.000 EUR. Ne vem pa kako so to izvedli, oziroma poteka menda še forenzična preiskava telefona.

Ali ni to blo na NLB? (vsaj po postih zgoraj). NKBM in ostale pa so še na vrsti za napade?
Če je vse res, je zlo slaba reklama za bančni sektor.