Komitentki NLB so prihranki v eni noči izpuhteli v neznano

Tkole na hitro in površno prebrano bi rekel, da je tu deljena krivda. Ko sem sam enkrat želel na Delavaski hranilnici nakazati večjo vsoto danarja, ga ni bilo načina da bi to uredil brez posredovanja banke - pa niti nisem vedel za limite. 5000€ bi lahk v enem dnevu nakazal in to je to. Več ni spustilo. Če je NLB (in da uporabnik ni izrecno morebitne omejitev odstranil) dopustil, da se prenakaže v enem dnevu 75000€, potem je to tudi njihova krivda in naj odgovarjajo. Uporabnik je pa kriv za del, ko so ga klicali za sumljive transakcije in tega ni želel preklicati. To moraš biti pa res glup u pičk.u maternu, da to narediš Jbg ampak davek na zabitost tudi mora nositi uporabnik. To, da so jih pohekal, pa jaz ne bi valil le na uporabnika. Metode postajajo tako sofisticirane in prepričljive, da te nategnejo pa se ne veš kaj. Banka mora to vzeti v zakup in se zavarovati. NLB se očitno ni. Šalabajzerji eni NLBjevski - pa naj plačajo (odšteto za davek neverjetne zabitosti uporabnika).

Upam, da je gospa že v pokoju, drugače bo imela težave na delovnem mestu.

Kibernetski kriminal v Sloveniji @ Wikipedia
NLB Klik
Leta 2002 je Kranjčan Robert Škulj izdelal program, ki je z izkoristkom varnostne luknje lahko vdrl v takratni plačilni sistem Klik banke NLB. Škulj je program, z rešitvijo vred banki ponudil v odkup za pol milijona evrov.[62] Banka ga je prijavila policiji, ta mu je program zasedla. Ta je napovedal tožbe proti NLB, državi in Microsoftu v vrednosti 200 milijonov tolarjev (834.585 evrov leta 2023) ter jih tudi nepravnomočno dobil.[63] Škulj je avgusta leta 2003 storil samomor, tako on kot njegovo dekle pa sta imela zaradi programa težave na delovnem mestu.[64] Škuljeva programska oprema v nasprotju s prepričanji NLB ni bila zlonamerna, saj je ta preko Internet Explorerja zaobšel varnostne mehanizme banke. Program naj ne bi bil tipičen virusni program, saj bi ga uporabnik pognal sam in bi ta predstavljal skriptno priredbo programskih ukazov oz. ključnih besed.[65]

ps:
vir 65 je slo-tech
https://slo-tech.com/clanki/var01/var01...

DePalmo je 1. jun 2024 ob 08:23 izjavil:

Nekam velik ljudi naredi samomore ko najdejo varnostne luknje v NLBju. Naključje?

Koliko pa jih je naredilo samomor?(seveda razen zgoraj omenjenega zloglasnega primera).

Ja, scamerji imajo kar precej avtomatizirano to zadevo. Mediji premalo opozarjajo na vse te zadeve, zato pa tile kradejo kot srake.

Scam?

DePalmo je 1. jun 2024 ob 08:23 izjavil:

Nekam velik ljudi naredi samomore ko najdejo varnostne luknje v NLBju. Naključje?

To ves da sta obe novici o isti osebi?

primoz4p je 1. jun 2024 ob 07:30 izjavil:

Upam, da je gospa že v pokoju, drugače bo imela težave na delovnem mestu.

Kibernetski kriminal v Sloveniji @ Wikipedia
NLB Klik
Leta 2002 je Kranjčan Robert Škulj izdelal program, ki je z izkoristkom varnostne luknje lahko vdrl v takratni plačilni sistem Klik banke NLB. Škulj je program, z rešitvijo vred banki ponudil v odkup za pol milijona evrov.[62] Banka ga je prijavila policiji, ta mu je program zasedla. Ta je napovedal tožbe proti NLB, državi in Microsoftu v vrednosti 200 milijonov tolarjev (834.585 evrov leta 2023) ter jih tudi nepravnomočno dobil.[63] Škulj je avgusta leta 2003 storil samomor, tako on kot njegovo dekle pa sta imela zaradi programa težave na delovnem mestu.[64] Škuljeva programska oprema v nasprotju s prepričanji NLB ni bila zlonamerna, saj je ta preko Internet Explorerja zaobšel varnostne mehanizme banke. Program naj ne bi bil tipičen virusni program, saj bi ga uporabnik pognal sam in bi ta predstavljal skriptno priredbo programskih ukazov oz. ključnih besed.[65]

ps:
vir 65 je slo-tech
https://slo-tech.com/clanki/var01/var01...

Kaj ima gospa, ki je domnevno zrtev scama, s tem da je nekdo razvil program za vdor v bancni sistem in poskusil s tem izsiljevat banko da mu placa 500k EUR?

Tudi jaz se oproščam, ampak bo zgleda v nekem obdobju za posedovanje veljavne telefonske številke potrebna nedvoumna osebna identifikacija.
Vsaj na območju "civiliziranega sveta". Potem pa dodajanje možnosti blokade vse komunikacije s področja "manj civiliziranega sveta".
In bi scammerjem precej otežili delovanje.

Na nivoju ponudnika storitev bi šlo (npr. bi obstajali tudi dodatni tagi, če je tel. številka verificirana ipd.). Je pa spet sedanje stanje posledica tega, da politiki s prevelikim libertanstvom ustvarijo problem, ki ga potem ne znajo učinkovito reševati.

No, mogoče bi dodali samo "tag", da je kartica/številka z določenega območja oz. "verificirana".
Potem bi lahko določeni uporabniki storitev po potrebi blokirali kar vse, od koder pričakujejo zlonamernost in prijavili "shekano" številko.
Sam osebno ne pričakujem in ne potrebujem komunikacije iz Nigerija, Gane, Rusije, Indije oz. z nekih sumljivih številk.

Men je tukaj najbolj fascinantno, da po 15:30 ne morem plačati položnice, ampak lahko pa izgubim 70k, brez da bi vedel za to.

DamijanD je 1. jun 2024 ob 09:33 izjavil:

Men je tukaj najbolj fascinantno, da po 15:30 ne morem plačati položnice, ampak lahko pa izgubim 70k, brez da bi vedel za to.

Zato ker uporabljaš SEPA namesto SEPA Instant, kar je bilo uporabljeno tudi v tem primeru. Ob potrditvi uporabnika gre transakcija takoj skoz. Če maš malware inštaliran, ti pa 2fa iz iste naprave (kot smo tukaj že večkrat omenili) ne pomaga dost, ker ima napadalec kontrolo tudi nad to zadevo.

Legon je 1. jun 2024 ob 08:42 izjavil:

Scam?

DePalmo je 1. jun 2024 ob 08:23 izjavil:

Nekam velik ljudi naredi samomore ko najdejo varnostne luknje v NLBju. Naključje?

To ves da sta obe novici o isti osebi?

primoz4p je 1. jun 2024 ob 07:30 izjavil:

Upam, da je gospa že v pokoju, drugače bo imela težave na delovnem mestu.

Kibernetski kriminal v Sloveniji @ Wikipedia
NLB Klik
Leta 2002 je Kranjčan Robert Škulj izdelal program, ki je z izkoristkom varnostne luknje lahko vdrl v takratni plačilni sistem Klik banke NLB. Škulj je program, z rešitvijo vred banki ponudil v odkup za pol milijona evrov.[62] Banka ga je prijavila policiji, ta mu je program zasedla. Ta je napovedal tožbe proti NLB, državi in Microsoftu v vrednosti 200 milijonov tolarjev (834.585 evrov leta 2023) ter jih tudi nepravnomočno dobil.[63] Škulj je avgusta leta 2003 storil samomor, tako on kot njegovo dekle pa sta imela zaradi programa težave na delovnem mestu.[64] Škuljeva programska oprema v nasprotju s prepričanji NLB ni bila zlonamerna, saj je ta preko Internet Explorerja zaobšel varnostne mehanizme banke. Program naj ne bi bil tipičen virusni program, saj bi ga uporabnik pognal sam in bi ta predstavljal skriptno priredbo programskih ukazov oz. ključnih besed.[65]

ps:
vir 65 je slo-tech
https://slo-tech.com/clanki/var01/var01...

Kaj ima gospa, ki je domnevno zrtev scama, s tem da je nekdo razvil program za vdor v bancni sistem in poskusil s tem izsiljevat banko da mu placa 500k EUR?

Skupno je:
1. NLB
2. močna, bogata organizacija se z argumentom moči namesto z močjo argumentov spravi na posameznika
3. v obeh primerih ne gre za izsiljevanje banke, ampak banka izsiljuje
* v prvem Škulj ponudi NLB "program, z rešitvijo vred banki ponudil v odkup za pol milijona evrov". Ne izsiljuje; nobeno sodišče ne ugotovi tega. Ne oškoduje banke; glede IT banke pa ...
* v drugem starejša (Matilda oz. evtanazija pred vrati) gospa ("domnevno zrtev scama ???") ostane brez sredstev (prihrankov) naj se gre forenziko in tožbe (sodni zaostanki pa še to). Za NLB bi morala biti forenzika rutina. Stroški vodenja računa ni so zanemarljivi (zakaj sploh so?!). Poleg tega je forenzika pogoj, da se odkrije in zakrpa luknje, če se že dobronamernih zunanjih računalničarjev ne upošteva. Sicer pa, ali lahko trdimo, da je omenjena gospa edina.

primoz4p je 1. jun 2024 ob 09:54 izjavil:

Legon je 1. jun 2024 ob 08:42 izjavil:

Scam?

DePalmo je 1. jun 2024 ob 08:23 izjavil:

Nekam velik ljudi naredi samomore ko najdejo varnostne luknje v NLBju. Naključje?

To ves da sta obe novici o isti osebi?

primoz4p je 1. jun 2024 ob 07:30 izjavil:

Upam, da je gospa že v pokoju, drugače bo imela težave na delovnem mestu.

Kibernetski kriminal v Sloveniji @ Wikipedia
NLB Klik
Leta 2002 je Kranjčan Robert Škulj izdelal program, ki je z izkoristkom varnostne luknje lahko vdrl v takratni plačilni sistem Klik banke NLB. Škulj je program, z rešitvijo vred banki ponudil v odkup za pol milijona evrov.[62] Banka ga je prijavila policiji, ta mu je program zasedla. Ta je napovedal tožbe proti NLB, državi in Microsoftu v vrednosti 200 milijonov tolarjev (834.585 evrov leta 2023) ter jih tudi nepravnomočno dobil.[63] Škulj je avgusta leta 2003 storil samomor, tako on kot njegovo dekle pa sta imela zaradi programa težave na delovnem mestu.[64] Škuljeva programska oprema v nasprotju s prepričanji NLB ni bila zlonamerna, saj je ta preko Internet Explorerja zaobšel varnostne mehanizme banke. Program naj ne bi bil tipičen virusni program, saj bi ga uporabnik pognal sam in bi ta predstavljal skriptno priredbo programskih ukazov oz. ključnih besed.[65]

ps:
vir 65 je slo-tech
https://slo-tech.com/clanki/var01/var01...

Kaj ima gospa, ki je domnevno zrtev scama, s tem da je nekdo razvil program za vdor v bancni sistem in poskusil s tem izsiljevat banko da mu placa 500k EUR?

Skupno je:
1. NLB
2. močna, bogata organizacija se z argumentom moči namesto z močjo argumentov spravi na posameznika
3. v obeh primerih ne gre za izsiljevanje banke, ampak banka izsiljuje
* v prvem Škulj ponudi NLB "program, z rešitvijo vred banki ponudil v odkup za pol milijona evrov". Ne izsiljuje; nobeno sodišče ne ugotovi tega. Ne oškoduje banke; glede IT banke pa ...
* v drugem starejša (Matilda oz. evtanazija pred vrati) gospa ("domnevno zrtev scama ???") ostane brez sredstev (prihrankov) naj se gre forenziko in tožbe (sodni zaostanki pa še to). Za NLB bi morala biti forenzika rutina. Stroški vodenja računa ni so zanemarljivi (zakaj sploh so?!). Poleg tega je forenzika pogoj, da se odkrije in zakrpa luknje, če se že dobronamernih zunanjih računalničarjev ne upošteva. Sicer pa, ali lahko trdimo, da je omenjena gospa edina.

Pri tako prvšnem branju ni čudno, da prideš do takih zaključkov.

Pol milijona evrov plače prvega moža NLB?

Po neuradnih informacijah je prvi mož banke nadzornemu svetu predlagal, da njegova letna plača doseže 500.000 evrov bruto. Toliko naj bi znašali prejemki predsednikov uprav primerljivih finančnih ustanov, na primer matične banke v skupini Addiko, ki deluje na podobnih trgih kot NLB, le da je pol manjša in sistemsko manj pomembna.

Je to predlog izhodišče za pogajanje ali izsiljevanje?

primoz4p je 1. jun 2024 ob 10:19 izjavil:

Pol milijona evrov plače prvega moža NLB?

Po neuradnih informacijah je prvi mož banke nadzornemu svetu predlagal, da njegova letna plača doseže 500.000 evrov bruto. Toliko naj bi znašali prejemki predsednikov uprav primerljivih finančnih ustanov, na primer matične banke v skupini Addiko, ki deluje na podobnih trgih kot NLB, le da je pol manjša in sistemsko manj pomembna.

Je to predlog izhodišče za pogajanje ali izsiljevanje?

Sej na koncu nima veze. Dejstvo je da so zaspali na področju kibernetske varnosti in keša niso vlagali tja kamor bi ga pač morali.

IT strokovnjaka so iskali šele po tem dogodku.

karafeka je 1. jun 2024 ob 10:20 izjavil:

primoz4p je 1. jun 2024 ob 10:12 izjavil:

Seveda visoki stroški vodenja računa so kot visoki davki, da se počutimo varne. Dejanska varnost pa? Zanjo zmanjka sredstev oz. niso niti predvidena.

Take razlage pa moram priznati še nisem slišal, da se zaradi visokih stroškov bančnega računa počutijo ljudje bolj varne.
Razlog za tako visoke stroške je samo en 💰

Sem mislil, da je zaznati ironijo v mojem zapisu.

Sicer pa, tega se nisem sam spomnil. Nastalo je v vladi Alenke B. Citat prilepim, ko se spomnim vira.

Drugače pa, bolj v rokavicah
Višji davki, več sreče?

OutOfTheBox je 1. jun 2024 ob 10:24 izjavil:

primoz4p je 1. jun 2024 ob 10:19 izjavil:

Pol milijona evrov plače prvega moža NLB?

Po neuradnih informacijah je prvi mož banke nadzornemu svetu predlagal, da njegova letna plača doseže 500.000 evrov bruto. Toliko naj bi znašali prejemki predsednikov uprav primerljivih finančnih ustanov, na primer matične banke v skupini Addiko, ki deluje na podobnih trgih kot NLB, le da je pol manjša in sistemsko manj pomembna.

Je to predlog izhodišče za pogajanje ali izsiljevanje?

Sej na koncu nima veze. Dejstvo je da so zaspali na področju kibernetske varnosti in keša niso vlagali tja kamor bi ga pač morali.

IT strokovnjaka so iskali šele po tem dogodku.

Je pri tej gospe, kaj drugače?
Kdaj bodo iskali ustreznega (IT) strokovnjaka?
Stroški vodenja računa pač ne morajo biti samo za direktorjovo plačo, ali?

Ampak, če ti piše v članku, da se limitov ni dalo nastaviti.

Pa tudi, če bi se jih. Že da ti 50EUR lahko ukradejo ni prav.

primoz4p je 1. jun 2024 ob 12:13 izjavil:

Verjetno se tudi depozita ni dalo nastaviti, da bi bila privarčevana sredstva bolj zavarovana in višje (?) obrestovana.
Ampak celotni račun, dolgoletnega varčevanja, se je pa lahko izpraznil čez noč?!

Sicer ne vem, kakšno varčevanje je bilo to "varčevanje", ampak spomnim se časov, ko sem imel velik presežek likvidnosti, dal sem vezati denar, denarja sploh ni bilo na računu, za eno leto, oz. če nisi avtomatsko podaljšal pogodbe, so ti denar vrnili na TRR. Poznal sem ljudi, ki so tako imeli vezave vsaj 5+ let, verjetno pa še dlje.

Pogodbe nisi mogel prekiniti, brez da greš v banko, tam pač so ti obračunali neke penale in si lahko denar dobil predčasno.

To po moje sploh ni bil nek varčevalni račun, prej vloga na vpogled, kar nekdo interpretira kot "varčevanje".

kaj ima varnost banke tukaj z glupim uporabnikom, ki se ni naučil zaščitit svojega telefona in ni prepoznal scam maila, preko katerega se je prijavil in dal vse podatke scamerju?


Podobno, kot v primeru tistega hekerja. Naredil ni programa, ampak skripto, ki je znala prebrat kaj je internet explorer naprej proti banki poslal in je uspešno v stringu zamenjal račun s svojim.
Bug je bil na nivoju microsoftove aplikacije. In je bil tudi izdan popravek, tako da njegov "software" ni več delal, pa je tip potem samomor naredil, ko ni mogel več izsiljevat, banka ga je pa tožila zaradi zlorabe računa.

WizzardOfOZ je 1. jun 2024 ob 17:44 izjavil:

kaj ima varnost banke tukaj z glupim uporabnikom, ki se ni naučil zaščitit svojega telefona in ni prepoznal scam maila, preko katerega se je prijavil in dal vse podatke scamerju?


Podobno, kot v primeru tistega hekerja. Naredil ni programa, ampak skripto, ki je znala prebrat kaj je internet explorer naprej proti banki poslal in je uspešno v stringu zamenjal račun s svojim.
Bug je bil na nivoju microsoftove aplikacije. In je bil tudi izdan popravek, tako da njegov "software" ni več delal, pa je tip potem samomor naredil, ko ni mogel več izsiljevat, banka ga je pa tožila zaradi zlorabe računa.

Mene pa zanima ali ima kak scammer dostop do branja kaj gre v pošti ali pa v telefonu?
Ker jaz sem dobil 1h preden je pošta meni poslala da imam paket, scammer pošta slo,da moram spremenit neke stvari, pa seveda doplačilo, smešno padt na tako for, samo ali imajo oni hakano pošto,telefon ali pa nekoga ki od znotraj pošilja podatke scammerju?

Jaz domnevam, da je na telefonih in računalnikih dejansko nameščene veliko več zlonamerne programske opreme, kot jo je dejansko potem zlorabljeno. S pridobljenimi prijavnimi podatki lopovi preverijo račun žrtve, in se za par tisočakov ne grejo izpostavljat in izdat svoje prisotnosti. Za par 10 tisočakov pa že.

Nobeden ne omenja odgovornosti app tržnice. Nobeden ne omenja operacijskega sistema, ki omogoča dostop do določenih pravic na telefonu.

Žrtev naj zahteva povrnitev storškov od razvijalca programa. Ni znan? Potem je odgovoren Google, naj se terja njega. Ali operacijski sistem omogoča dostop do low level ukazov na telefonu? Naj se terja razvijalca operacijskega sistema. Seveda, če sam sistem v osnovi ni zasnovan tako da to omogoča, pa imaš pač zraven nekaj koleterarne škode.

Odgovornost NLB je sorazmerna (koliko naj presodijo sodniki na podalgi zakonov in bančne pogodbe) ker niso blokirali sumljivih transakcij. Ne more pa biti odgovorna da nekdo, ki je (kakorkoli že) pridobil dostop do telefona ali računalnika, prazni račun žrtve.

Banka nikakor ne more biti odgovorna za transkacije, ki jih izvede uporabnik. Če bi bilo drugače, dam jaz na licitacijo dostop do mojega računalnika, telefona, kavnega aparata, karkoli bo kdo izrazil željo, pa si naj najboljši ponudnik nastavi kar želi in sprazni moj račun. Izklicna cena, ajd... 20 % stanja na računu. Za ostalo naj najvišji ponudnik poskrbi sam. Meni bo (tko vas zastopim) banka vse povrnila??!!

Seveda je pa banka odgovorna za površno spisano svojo aplikacijo. In če je to razlog, da je nekdo nekomu spraznil račun, pa bi seveda potem morala banka polno kriti stoške zlorabe. Sicer pa ne.

To sem tudi jaz študiral...in je tudi najbolj realno.

Nedavno tega sem klical na NLB, če se da ukiniti SEPA direktne bremenitve. Stvar je namreč v tem, da lahko podjetje samo z ročnim podpisom stranke (beri brez dejanske overitve) vzpostavi SEPA direktne bremenitve na račun nekega imetnika bančnega računa, če pozna le njegov IBAN.

Proof-of-concept: Registriraj se za storitev BicikeLJ (izposoja ljubljanskih koles). Vprašajo te za IBAN in še nekaj osebnih podatkov, toda nič pretirano zasebnega, nakar ti lahko trgajo iz bančnega računa. Tudi 300, če izgubiš kolo. Vse brez kakršnegakoli posredovanja banke.

Uslužbenko na banki sem po telefonu povprašal, če lahko ukinem vse nove SEPA bremenitve, uslužbenka pa ni hotela razumeti, da klik na gumb na obrazcu na spletni banki lahko stori kdorkoli. Skratka, SEPA bremenitev se ne da onemogočiti, niti se ne da onemogočiti izdelave novih bremenitev.

Prav tako ne poznam nobene omejitve zneska ene SEPA direktne bremenitve. Slednji lahko, kot mi je povedala uslužbenka, celo preseže stanje na računu, ki nima omogočenega limita (poslovanja v rdečem). Takrat se pač računu pripiše negativna vrednost, četudi to drugače ni mogoče.

Doslej najlažji način, da nekomu, čigar IBAN naslov poznaš, ukradeš tisočaka je, da skleneš BicikeLJ naročnino v njegovem imenu in izgubiš nekaj aluminijastih konjičkov.

dronyx je 31. maj 2024 ob 23:23 izjavil:

Spura je 31. maj 2024 ob 11:19 izjavil:

Ma glup je sistem. Ves folk so sfurali iz certifikatov na mobitele za 2fa, potem pa naredijo mobilno aplikacijo. Torej zdaj imas 2fa in prijavo na istem deviceu, kar naredi velik problem.

Točno to. Čim ima nekdo remote dostop do telefona 2fa nič ne pomaga, ker vidi tudi SMS. Če imaš ključek, ki prikazuje številke, si z remote desktopom ne more pomagat, ker mu moraš povedati ali sam prepisat številke. Kot sem slišal poteka proti NKBM neka tožba, ker so eni ponoči iz računa ukradli 75.000 EUR. Ne vem pa kako so to izvedli, oziroma poteka menda še forenzična preiskava telefona.

Ta "kljucek ki prikazuje stevilke", to je TOTP keyfob, tudi ni dokoncna resitev, Ker vpisana koda deluje z vsemi nakazili v tistem trenutku. Lahko pocakajo, da poskusis izvesti nakazilo in zadaj spremenijo request, da gre na drug IBAN in da gre ves denar. Ne morejo pa sami transakcije narest. Zato sm pa rekel da bi moral imet keyfob, ki bi podpisoval kljucne podatke v zahtevi za nakazilo. Folk je pac pretrd.

Dihaj. NLB ima potrjevanje kartičnih nakupov v ločenem appu, tega se ne počne več z SMSi.

Imajo pa težavo, ker furajo ločen app za kartične nakupe in za bančništvo. Že pred časom sem pizdil, da je to drobljenje nepotrebno... No, pa so v vmesnem času v ločeno (sicer spletno) aplikacijo iz Klika izločili še trgovanje z vrednostnimi papirji...

Gre za žongliranje med zahtevami trga (ultimativno enostavna uporaba in še super varnost; pa je jasno, da oboje ne gre), šparanjem na fertik (Brodnjak bi rad kupil ves svet), zatečenim stanjem glede lastnih appov in še zahtevami regulatorja in njihovo interpretacijo v praksi (tako so za kartične nakupe odjebali SMSe, ne morejo se jih znebiti pri bančnem poslovanju; po drugi strani pa so odjebali lastne certifikate).

Stvari so kompleksne in če samo pri eni od naštetih točk niso zraven izključno samo modri ljudje dobiš... paprikaš. Ki ga gledamo.