Komitentki NLB so prihranki v eni noči izpuhteli v neznano

telexdell je 6. jun 2024 ob 19:20 izjavil:

Ma dobro- a sploh imate NLB klik ali le nabijate v tri krasne.
V aplikacijo na telefonu vstopaš tako, da vpišeš pin ali se identificiraš s prstnim odtisom (ali obrazom).
V PC verzijo pa vstopaš tako, da na telefonu poženeš generator kod, katerega odkleneš s kodo pin ali prstnim odtisom in potem v spletni obrazec vpišeš uporabniško ime in to kodo. SMS se pri PC dostopu uporablja zgolj tako, da na telefon dobiš sporočilo:"Pravkar ste se uspešno prijavili v NLB Klik." In to sporočilo prileti prej, kot se odpre pozdravno okno v Kliku.

Torej je lahko problem daljinski nadzor na telefonu in shekan pin. Če uporabljaš biometrijo tudi nadzor nad telefonom ne pomaga kaj dosti.

Debata je že zdavnaj šla izven okvirjev le NLB.

mBankanet ima možnost biometrične prijave, to pa vedno lahko prekličeš in se vpišeš z geslom.

"2FA" pa je spet le SMS za fizične osebe in posebni 2FA app za Poslovni bankanet, kar je oboje dosegljivo nekomu z nadzorom telefona.

Scamerji najbolj ciljajo na NLB, zato je največ težav okrog tega.

OutOfTheBox je 7. jun 2024 ob 20:22 izjavil:

Verjetno ciljajo na starejše in verjetno ravno največji delež starejših je na NLB.

Le zakaj bi leta igrala vlogo, da si bedak? Tako mlajši kot starejši, kateri niso najbolj vešči sodobnih tehnologij so zaradi tega še veliko previdnejši. Vede namreč, da če bodo kliknili kaj mimo ustaljene rutine se jim bo vse zmešalo in bodo morali iskati pomoč pri drugih. Po drugi strani pa bolj vešči sodobnih tehnologij vedno iščejo nove poti in jemljejo nove prijeme. Tu zopet pride do razlike, saj starejši prej dvakrat premislijo preden enkrat kliknejo medtem ko mlajši najprej dvakrat kliknejo pol pa nič ne premislijo.
Tak da- tolaži se!

OutOfTheBox je 7. jun 2024 ob 21:16 izjavil:

Le zakaj bi leta igrala vlogo

Zato ker večina nategov, preko spleta ali pri prodaji na domu, se zgodi ravno pri starejših.

Zgleda si stopil mački na rep.

OutOfTheBox je 7. jun 2024 ob 21:28 izjavil:

Ni moj namen koga provocirat ampak dejmo govorit o dejstvih. Maš vrsto študij o tem in tisti ki imajo starejše doma študij niti ne potrebujejo, da na prvo žogo vidijo kako padajo na take ali drugačne natege. Zlate kuverte "zadeli ste,..", pa prodajalci ki prodajajo sesalce in seveda zdravila (konopljina mazila ipd). Vse to potem stoji tam, škode pa več tisoč € na leto. Tudi če se jim pove, ne razumejo ali pa pozabijo ker imajo demenco.

In ja, tudi mi bomo pač enkrat stari, naše kognitivne sposobnosti bodo padle, scami se bodo še razvili v nekaj kar danes ne poznamo in smo tam.

Imaš povsem prav pri osebnem stiku ali preko telefona ali preko družbenih omrežij (otrok potrebuje operacijo, samski vojak v Afaganistanu... nekaj denarja, da prisem na obisk...) ali kakšen oglas na Facebooku za kakšen SMS klub. Nimaš pa prav pri sodobnih tehnologijah- PC in telefoni. Elektronske pošte ne uporabljajo. Telefon uporabljajo le za klice in družbena omrežja. Če že rabijo kakšno aplikacijo jim jo naložijo vnuki... Če pa ne rabijo vnukov za aplikacije pol je pa marsikateri starejši precej bolj vešč sodobnih tehnologij kot pa vase zagledan mladec. Nenazadnje- kdo je pa tem mladcem izdelal tehnologijo in jih jo naučil uporabljati?

PS seveda pa lahko verjameš da boš od danes naprej vsak dan bolj butast in boš znal manj uporabljati računalnik in telefon. Kdo sem jaz, da te bom prepričeval o nasprotnem?

bbbbbb2015 - Pusti tako kot je, je pomenilo, da zakonodaja o deviznih vlogah še ni bila sprejeta, v nekaj mesecih si lahko dvignil komplet devize v kateri koli valuti. Sem imel sam $CND, CHF, DEM in Shiling. Še danes na istem računu v drugačnem obsegu, razen DEM, ki so bile spremenjene v €. Ja lažeš, da nisi dobil izplačanih deviz, če pa si jih hotel takoj pa pač ne.

telexdell - Ve se, ker tisti, ki ga je na HR in SLO prinesel, v A sedi. Če ga nebi dal, tudi kriv nebi bil po avstrijski zakonodaji.

Legon - Osebno sem pizdil pred leti, ko so uvedli to zmedo od programov za iOS in Android ter izključili M$. Imel sem namreč lumio950xl, ki je bila tisočkrat varnejša, kot googleshit pa ni pomagalo, zaradi banke sem moral menjat telefon is se sedaj zajebavam s tem Androidom, na srečo se nisem odločil za Sramsung, temveč za Realme, na katerega programe nameščam sam, ne, da je že 200 spam programov nameščeno po defaultu in vsako minuto kaj piska in jamra.

Solatko: na Samsungu odstraniš ali onemogočiš vse kar ti ne paše v parih minutkah, ccc...

SI-CERT opozarja:
https://www.cert.si/okuzbe-s-trojanskim...

...da ne bodo banke spet krive...

c3p0 je 7. jun 2024 ob 16:58 izjavil:

"2FA" pa je spet le SMS za fizične osebe in posebni 2FA app za Poslovni bankanet, kar je oboje dosegljivo nekomu z nadzorom telefona.

Temu se reče 2FA gone bad. Đabe ti 2FA, če se tako prvi kot drugi faktor izvajata na eni in isti napravi. Isto kot dve ključavnici na istih vratih, panti pa zaen k.

BlaY0 je 10. jun 2024 ob 22:14 izjavil:

c3p0 je 7. jun 2024 ob 16:58 izjavil:

"2FA" pa je spet le SMS za fizične osebe in posebni 2FA app za Poslovni bankanet, kar je oboje dosegljivo nekomu z nadzorom telefona.

Temu se reče 2FA gone bad. Đabe ti 2FA, če se tako prvi kot drugi faktor izvajata na eni in isti napravi. Isto kot dve ključavnici na istih vratih, panti pa zaen k.

Špila za silo, dokler bančnega appa nimaš na telefonu. Tako kot je, je pa katastrofa. Banke niti ne pisnejo na to temo. Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem. Jaka varnost.

Še zmeraj isto meljete? Zaščita je popolnoma ok.
Če najdete telefon na tleh in z njim sunete denar z banke lastnika, si zaslužite medaljo in ves denar, ki je na računu.
V realnosti boste z njim lahko samo mizo podložili da se ne guga.

Isto, kot bi trdili, da je bančni sef za en k..., ker ga je neki amaterski lopovček izpraznil.
To, da ga je sef pričakal odklenjen in odprt, pa prikladno pozabili omeniti.

Saj če jo ne uporabljaš na telefonu, drži.
Kdo pa pravi, da jo moraš?
Jej, ampak ni 2FA, zgolj 1FA.

Btw, za eno banko imam jaz še vedno otp kalkulator.
Lahko pa tudi telefonski otp. Kar je pri roki.

feryz je 11. jun 2024 ob 15:45 izjavil:

Še zmeraj isto meljete? Zaščita je popolnoma ok.
Če najdete telefon na tleh in z njim sunete denar z banke lastnika, si zaslužite medaljo in ves denar, ki je na računu.
V realnosti boste z njim lahko samo mizo podložili da se ne guga.

Isto, kot bi trdili, da je bančni sef za en k..., ker ga je neki amaterski lopovček izpraznil.
To, da ga je sef pričakal odklenjen in odprt, pa prikladno pozabili omeniti.

A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.

delavec44 je 11. jun 2024 ob 16:08 izjavil:

A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.

Tudi shekan ni problem. Do sedaj so, baje, shekali enega ali dva na celem planetu. Pa še o tem se je ogromno razpravljalo, ali so ga res, ali so imeli backdoor pomoč.

Verjetno misliš, da je problem telefon v rokah idiota. Ki bodisi zaupa svojcem ali tujcem in jim da proste roke.

BlaY0 je 11. jun 2024 ob 15:59 izjavil:

OTP generator je edino OK, ker je čisto neodvisen. Telefonska je že bad, ker je isti telefon ki je shekan in na katerem imaš app. Nepridiprav ki ima dostop do tvojega tlefona ti namesti aplikacijo, ki prestreza telefonske klice.

Kaj je ok, človek nikoli ne ve.
Sem pa probal, otp in telefon ponudita vsak svojo vstopno kodo za vstop na banko in obe primeta. In verjetno še kakšna, četrta, peta, šesta in še in še.
V bistvu je edina zaščita elektronske banke blokada števila napačnih vnosov. In upanje, da ti na slepo ne uspe uganiti cifre. Pardon, ene izmed cifer.

delavec44 je 11. jun 2024 ob 16:08 izjavil:

A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.

Seveda je problem.

Meni sta 2 službi odvisni od telefona. Če ga izgubim, se ne morem več prijaviti in cel setup za nov telefon traja 1 meswec...

Preveč sanjate o tem kako se da telefon shekat... Ja, v filmih...

Ob normalni uporabi nemogoče...

MojsterX je 12. jun 2024 ob 07:42 izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.

Če danes da banka ključek ali generator kod poleg aplikacije, bo 90% ljudi skočilo v zrak in se pritoževalo nad tem.

napiši v google: 2 - factor authenticator generator key in boš mel izgled fizičnih generatorjev kode.

Da se veljavna otp šifro izračuna, rabiš geslo/biometrijo, če drugače ne, za dostop do Authenticator app.

feryz je 12. jun 2024 ob 07:55 izjavil:

MojsterX je 12. jun 2024 ob 07:42 izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.

Kako pa izgleda 2FA?
Ker jaz ga nimam. Imam en prstni odtis ali eno pin kodo.
Razen če je prvi FA uporabniško ime.

Seveda ga imas, rece se mu telefon. Torej prvi element je sam aparat (nekaj kar imas) in drugi je geslo (nekaj kar ves) ali pa biometrija (nekaj kar si).

Tukaj pac manjka osnovno razumevanje kaj 2fa sploh je.

MojsterX je 12. jun 2024 ob 08:33 izjavil:

ja včasih je bilo bolj varno, ker fizični ni noben mogel dostopat do ključka, ko sem plačeval, sem moral preko dodatnega koraka pri vsakem plačilu vnesti kodo iz generatorja kode. Zdaj pa sam potrdiš in vpišeš isto kodo kot za vstop v banko. torej kdor se dokoplje do gesla za vstop v mobilno banke, ma tud 2fA dostop.

Kar seveda ni res. Vcasih je bilo povsem enako. Za vdor je bilo potrebno poznat geslo in imet fizicen dostop do generators kod. Vcasih je to pomenilo kljucek/kalkulatorcek, danes pa to pomeni mobitel.

Kjer je danes varnost slabsa je v dejstvi da ljudje na telefone namescamo boga in dva, jih tovorimo s sabo vsepovsod in so posledicni bolj ranljivi. Kalkulatorcek je ponavadi lezal nekje doma v predalu.

Ampak tukaj pridemo do naslednje razlike. Banke so vcasih laufale na stacionarnih masinah in si pac enkrat na 14 dni se povezal, vzel kalkulator iz predala in to je to. Zdaj pa hocemo imet dostop do banke 24/7 kjerkoli na planetu. In to dela zadevo ranljivo, ne pa spremenjen nacin 2fa.

Včeraj se žena ni mogla prijaviti v klik po sporočilu o napaki in po klicu na support - moraš odstraniti vse aplikacije za oddaljeni dostop. Ji je rekla: poglejte, če imate teamviewer, anydesk,... to imajo ponavadi stranke nameščeno in odstranite. Upam, da ne bo še kaj takšnega DH banki prišlo na misel.

Invictus je 12. jun 2024 ob 07:33 izjavil:

delavec44 je 11. jun 2024 ob 16:08 izjavil:

A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.

Seveda je problem.

Meni sta 2 službi odvisni od telefona. Če ga izgubim, se ne morem več prijaviti in cel setup za nov telefon traja 1 meswec...

Preveč sanjate o tem kako se da telefon shekat... Ja, v filmih...

Ob normalni uporabi nemogoče...

Shekan v smislu da uporabnik nevede namesti zlonamerno aplikacijo.

Nov telefon pa za bančništvo ni problem, urediš takoj. Služba pa ni tema.

OutOfTheBox je 11. jun 2024 ob 15:31 izjavil:

Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem.

In v čem je problem? Če bi te pustil prijavljenega in bi ti nepridipravi maznili sešen token kar bi jim dalo dostop do tvoje banke, potem pa spet ne bi bilo prav.

Če maš nepridiprave za hrbtom in tega ne veš, imaš večje težave.

apcm je 12. jun 2024 ob 14:38 izjavil:

OutOfTheBox je 11. jun 2024 ob 15:31 izjavil:

Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem.

In v čem je problem? Če bi te pustil prijavljenega in bi ti nepridipravi maznili sešen token kar bi jim dalo dostop do tvoje banke, potem pa spet ne bi bilo prav.

Če maš nepridiprave za hrbtom in tega ne veš, imaš večje težave.

Ali pa trojanca na računalniku ki se je ravno prej izdajal za PDF datoteko.

Poguglaj, če se ne motim je imela nazadnje vsaj NKBM pa še kakšna.

Moja hranilnica ima preko Rekono, ki ima potem naprej 2FA preko ali osebne ali SIGENce.

Legon je 12. jun 2024 ob 16:02 izjavil:

energetik je 12. jun 2024 ob 15:05 izjavil:

MojsterX je 12. jun 2024 ob 07:42 izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.

Če je to standardni TOTP, kot ga npr. uporablja Google, Paypal, Binance itd, ga komot še vedno generiraš v npr. Keepass, na kateri koli napravi si izmisliš. Magari na namenskem starem telefonu, ki ga imaš 24/7 v letalskem načinu. Ali pa na Raspberryju samo za ta namen.

Problem je zgolj, ker banke še naprej vztrajajo na SMS 2FA ali 2FA preko njihove aplikacije. Npr. vse kriptoborze, Trading212, Paypal - to vse uporablja standardni TOTP.

Sicer pa - na banki imam zgolj za sproti in nekaj malega železne rezerve. Vse ostalo je drugje.

Pa kje imamo ta famozni 2fa s SMS? Za vstop v katero bančno aplikacijo?

NKBM ima to trenutno. Geslo je omejeno na 6 številk, poleg gesla je še 6-številčni SMS OTP za prijavo v banko.

energetik je 12. jun 2024 ob 15:05 izjavil:

MojsterX je 12. jun 2024 ob 07:42 izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.

Če je to standardni TOTP, kot ga npr. uporablja Google, Paypal, Binance itd, ga komot še vedno generiraš v npr. Keepass, na kateri koli napravi si izmisliš. Magari na namenskem starem telefonu, ki ga imaš 24/7 v letalskem načinu. Ali pa na Raspberryju samo za ta namen.

Problem je zgolj, ker banke še naprej vztrajajo na SMS 2FA ali 2FA preko njihove aplikacije. Npr. vse kriptoborze, Trading212, Paypal - to vse uporablja standardni TOTP.

Sicer pa - na banki imam zgolj za sproti in nekaj malega železne rezerve. Vse ostalo je drugje.

Problem je ravno v tem, da to ponavadi NI standarden TOTP, kot ga omenjaš, temveč neka čudna implementacija, ki je uradno dostopna le preko uradne bančne aplikacije. Toda obstajajo neuradne alternative, gugle za poizvedbo "odprtokodni nlb avtentikator" najde eno neuradno alternativo.