"Azonnal lépj, ha ilyen sms-t kapsz – folytatjuk a Revolutról ellopott 800 ezer forint történetét"

HUP cikkturkáló

Előzmények: https://hup.hu/node/181479

Folytatás: https://forbes.hu/penz/revolut-ugy-csalas-folytatas/

  • 4657 megtekintés

( STP | 2023. 05. 09., k – 08:17 )

„Miután észrevette a lopást, azonnal befagyasztotta a kártyáit (egy hagyományos és egy virtuális kártyája volt)” - első hiba. Amit nem használok, azt fagyasztani kell.

„Melinda mindeközben az Apple-t is megkereste, ha már a Revolut folyton az Apple Payre hivatkozva hárít. Itt annyit tudott meg, hogy a csalók minden bizonnyal valamilyen módon áttették a kártyáját egy másik Apple-eszközre, és sikerült is magukat azonosítaniuk a kétfaktoros azonosítás ellenére.” - második hiba, az xPay. Sokba kerül a lustaság.

Olvasd tovabb.

Nem Melinda kapcsolta be az Apple Pay-t. A csalok kapcsoltak be, es figyeltek ki az SMS-eit backdoorral. Nem Melinda iPhone-jan volt a kartya Apple Pay-es valtozata. A csalok iPhone-jan volt. Melinda lehet, hogy nem is tudja, hogy tud Apple Pay-t a kartyaja/telefonja, a csalok akkoris ugyanide jutnak, sot.

Kulon erdekes, hogy az Apple ha 2FA kodot erzekel az SMS-ben, nem olyan hangosan notify-ol, igy nehezebb eszrevenni.

Nem tudom a masik csalonal volt-e ilyen SMS, de ugy nez ki igen.

Megneztem legutobbi Apple Pay bekapcsolasnal mit csinal az en high street bankom.

Okosabban csinalja: nem egy, hanem 3 SMS jon. A masik kettoben nincsen kod, igy nem kerulgeti az Apple-os notification rendszert. Es a masik ketto (utobbi laggolva) kulom kiemeli, hogy milyen szamot hivjak ha en nem regisztraltam ma Apple Pay-t.

Ahogy gelei irta a masikban: dEhAt OtT a ChAt UgYfElSzOlGaLaTnAk

Most mar mind latjuk miert gunyolodott jogosan gelei: annyit is ert az a chates ugyfelszolgalat.

Meg a litvan felugyeleti szerv is ertektelen. Ez is kiderult a cikkbol.

Talan az Apple-nek erdemes elkuldeni egy listat hogy ok mit kerjenek ki a Revoluttol.

Mit nem ertesz?

A Revolut legalabb ne auto top upoljon. Meg jo lenne ha kuldene masodik SMS-t, frissen megvaltoztatott telefonszam eseten a regire is, hogy biztos te kapcsoltad-e be. Amig ezt nem csinalja, lehet jobb otlet nem hasznalni.

Az Apple Pay-jel semmi baj nincs, hasznalhatod nyugodtan. Csak STP nem fogta fel, hogy ez nem az ApplePay hibaja.

Amire figyelj meg: ha olyan masodik faktor kodot kapsz, amit nem kertel: azonnal tiltasd az osszes kartyad a picsaba, logoutolj minden sessionbol, valtoztass jelszot, stb.

Ugye a Revolutnak nem kötelessége/felelőssége, hogy a számítógéped/tableted/telefonod intact-ságát biztosítsa?

No de ki baszta akkor el?
1) Revolut, mert xarul figyeli a tranzakciókat és basszák meg a q anyjukat.
2) Litvánok, mert basszák meg a q anyjukat.
3) User, mert hüjje volt, és nem élt minden rendelkezésre álló egyszerű lehetőséggel, hogy megvédje a pénzét. Ráadásul volt akkora looser, hogy szemmel látható összeget tárolt rajta, miközben semmilyen kontrollja nincs a litván pénzügyi rendszerrel kapcsolatban. És így igaza lett az MNB-nek.
4) Apple, mert simán lehet transzferálni a az ApplePay-rendszerben a kártyát, anélkül, hogy komolyabban azonosítani kellene magát a tulajdonosnak.

De én vagyok a helikopter.

Azert vagy helikopter, mert a user lehet hogy be se kapcsolta az Apple Pay-t (~= "sokba kerul a lustasag"). Lehet nem is tudta, hogy az iPhone-ja tud olyat. Sot, meg akkor is meg tudjak ezt csinalni csalok, ha nem iPhone-ja van.

Ezekutan azt mondani, hogy az a hulye aki bekapcsolja az Apple Pay-t, nem helyenvalo allitas.

Igen, csak ugy hangzott, hogy annak, aki bekapcsolja: lasd "aldozathibaztatas"

Annak is, aki az is lehet, hogy nem is iPhone-t hasznal, sot, bem kizarhato, hogy sebezheto Androidos telefonrol olvastak le az SMS-t.

Az egyetlen hiba amit az aldozat elkovet: nem gyanakszik es cselekszik ha keretlen 2FA kodot kap.

Az egyetlen hiba amit az aldozat elkovet: nem gyanakszik es cselekszik ha keretlen 2FA kodot kap.

Q-ra nem. Az a baja, mint a hülye szőkének, aki kapott egy 911-est és 40e km környékén kinézett a hengerfej, hogy hol az olaj? Aztán amikor mentek panaszra a bikával a Porschéhoz, akkor szépen kilistázták nekik mp pontossággal, hogy mikor szólt az autó hogy hát olaj kéne és mikor nyugtázta azt a szőkeség.

Szóval ha pénzügyeket kezelek egy eszközön, akkor ahhoz érteni is kellene. És nem mosdatni, hogy nem ért hozzá eléggé.

Bizonyára nem jött le számodra, hogy szerintem is szügyig xaros a Revolut. (ahogy korábban is írtam a „q anyjukat”)

De míg a Revolut működésére a R1 usernek nincs ráhatása, - max annyi, hogy otthagyja - addig a saját balfaszságán azért érdemes lenne elgondolkozni.

1) Revolut, mert xarul figyeli a tranzakciókat és basszák meg a q anyjukat.

Igen.

2) Litvánok, mert basszák meg a q anyjukat.

Nem/talán - lehetne olyan, hogy nem kaphatna minden jöttment banki engedélyt, vagy előírhatna komolyabb kontrollokat.

3) User, mert [...] szemmel látható összeget tárolt rajta

Nem, mert nem ez történt. Olvasd el az előzmény threadet. Máshol lehetett PEBKAC a sztoriban, nem tudom.

Apple, mert simán lehet transzferálni a az ApplePay-rendszerben a kártyát

Talán, de nem értem, mi az, hogy transzferálni a kártyát. Nincs olyan, hogy az egyik telefonon azt mondod, hogy másoljon át egy kártyát egy másik iPhone-ra. Ahhoz meg kell csinálni a tokenizációt a másik telefonon is, ahol ugyebár a banknak meg kellene fogni az illetéktelen próbálkozásokat.

Ugye a Revolutnak nem kötelessége/felelőssége, hogy a számítógéped/tableted/telefonod intact-ságát biztosítsa?

Egyáltalán nem vagyok biztos benne, hogy a Revolut-nak nem kötelesség minden tőle telhetőt megtenni a csalások elkerülése végett.
Ha semmilyen kockázati elemzés nincs a top-up folyamatukban, akkor szerintem nem tettek meg mindent.

A Revolut legalabb ne auto top upoljon.

Az auto top-up, mint feature nem feltétlenül probléma, na de annak már fenn kellett volna akadni valami szűrőn, hogy pár percenként meg kell terhelni a mögöttes kártyát.

Az Apple Pay-jel semmi baj nincs, hasznalhatod nyugodtan. Csak STP nem fogta fel, hogy ez nem az ApplePay hibaja.

Imho az előzmény-thread jelentős része is arról szólt, hogy az emberek nem értik, mi az a Google/Apple Pay. :)

Nade csókolom. Az autotop mögötti kártyán mekkora volt a napi limit, hogy az egyik esetben 800k hufot, a másikban pedig EUR 5k-t sikerült leszippantani hirtelen? A magyar bankok nem arról híresek, hogy levennék a limitet, vagy ilyen 150-300k-nál nagyobb legyen a default napi limit. Még a 23:59 vs 00:01-es terhelést összeadva is kevesebb, mint amit lehúztak.

Lehet jönni azzal, hogy dehát áldozathibáztatás, de mindenkinek oda kéne figyelnie a pénzére, átgondolni, hogy mi történik, és úgy csinálni. Sajnos nagyon felsejlik, hogy a kényelmesség, kapkodás, rohanás, úgyfelejtés dolgok miatt is alakult így. Az hab a tortán, hogy egy malware jellegű fertőzés, és a mindenféle szolgáltatók ilyenolyan működése miatt ez hogyan használható ki. Sajnos olyan időket élünk, hogy egy bármikori malware bekapása, az csak roppant körültekintéssel védhető ki.

Az autotop mögötti kártyán mekkora volt a napi limit, hogy az egyik esetben 800k hufot, a másikban pedig EUR 5k-t sikerült leszippantani hirtelen?

Nem biztos hogy magyar kártyáról top-up-olt, Revolut esetén pl. nem is tudsz online limitet beállítani.
Vagy kikapcsolod a kártyát, vagy nincs limit.

Lehet jönni azzal, hogy dehát áldozathibáztatás, de mindenkinek oda kéne figyelnie a pénzére,

Szerintem egy átlagembernek már egyszerűen túl bonyolult a világ.
Már az is problémát jelent hogy átlássa hogy egy bankártyához milyen módon lehet hozzáférni,
a hozzátartozó kockázatok és védelmek pedig átláthatatlan számára, főleg ha több szolgáltatón keresztül proxyzzák ét a pénzt.

Nekem sem volt triviális azt megérteni pl. hogy a CVC nem követelmény sok esetben, ahol mégis bekérik ott sok esetben ellenőrzés sincs.

Nem biztos hogy magyar kártyáról top-up-olt, Revolut esetén pl. nem is tudsz online limitet beállítani.
Vagy kikapcsolod a kártyát, vagy nincs limit

Nem a Revolut limitje itt a kérdés, hanem annak a kártyának a limitje, amiről automatikus top-up volt beállítva. Revolut esetén a kártyán csak havi limitet tudsz beállítani, ami szerintem marhaság. Viszont amit a Revolut számla mögé beállítasz, hogy ha az egyenleg lecsökken adott szint alá, arról top-upoljon automatikusan, feltehetőleg lehet napi limitet beállítani. Ha van ilyen, nem tudja a Revolut feltölteni korlátlanul.

Meg tudja tenni persze. Vajon az elmúlt évek mindenféle hírei kapcsán (csak a klasszikus kártyacsalásokra elég gondolni) ellenőrizzék, hogy a bankos kártyájukon van-e és ha igen akkor milyen napi vagy bármilyen limit?

A Revolut esetén még az eredeti cikknél hívta fel a figyelmem egy ismerős a "Location security" dologra. A Revolut app GPS helyzetéhez képest figyeli, hogy hol volt kártyás tranzakció. Bővebben: https://help.revolut.com/help/card-payments-withdrawals/ping-other-card…

A Revonak valszin sokkal jobban kéne ezeket propagálnia a juzerei felé ahelyett, hogy ilyen toborzókampányokkal zizegtet. :(

Kérlek, akkor oszd meg velem hogy az internetes vásárlási kihegyezett Virtual kártyák esetén hogyan tudok limitet meghatározni az internetes vásárlások esetén.

Spending limit csak debit kártya esetén van, ott sem az internetes vásárlásokra, hanem a teljes forgalomra.

A virtual kártyán tudsz, az egyszer használatosnál nem tudsz limitet állítani. Viszont az egyszer használatost csak akkor tudod használni, ha hozzáférsz az alkalmazáshoz, lévén azt nem tudod Apple Pay, Gpay stb. alá betenni. Ha meg hozzáférsz az alkalmazáshoz, akkor semmit nem érsz a limittel, mert át tudod állítani.

Szóval kérlek, oszd meg, hogy az egyszer használatos kártyánál mi értelme van a limit meghatározásának.

Nem biztos hogy magyar kártyáról top-up-olt, Revolut esetén pl. nem is tudsz online limitet beállítani.
Vagy kikapcsolod a kártyát, vagy nincs limit

Nem a Revolut limitje itt a kérdés, hanem annak a kártyának a limitje, amiről automatikus top-up volt beállítva. Revolut esetén a kártyán csak havi limitet tudsz beállítani, ami szerintem marhaság. Viszont amit a Revolut számla mögé beállítasz, hogy ha az egyenleg lecsökken adott szint alá, arról top-upoljon automatikusan, feltehetőleg lehet napi limitet beállítani. Ha van ilyen, nem tudja a Revolut feltölteni korlátlanul.

A Revolut-ot mindenképp felejtsd el jelen állás szerint, illetve csak annyi pénzt tarts a kártyán, amit nem sajnálsz ha elbuksz. Revolut és Apple infrastruktúra a cikk alapján különösen életveszélyes az eszközök (laptop, mobil, tablet, stb.) közötti szinkronizálás miatt, ha bármelyik eszközt törik, akkor mindent vihetnek. Az Apple ilyen szempontból egy security rémálom, teljesen nyilvánvaló, hogy vagy nem történt meg a threat modeling, vagy megtörtént, de lesz.rták.

Hát ezt gondold át.

 

- A normál banknál van lehetőséged jogorvoslatra

JFYI Revolut egy bank, ugyanolyan eséllyel van lehetőséged jogorvoslatra, de nem látom adott esetben ez mit segítene, a jogi vitát nem lehet itt megnyerni.

- A normál bank mögött van egy működő bankfelügyelet

JFYI Revolut egy bank, van mögötte működő bankfelügyelet, nem látom azonban az adott esetben ez mit segítene.

- A normál bank költ rendesen fraud ellenőrzésre (lokáció, ismeretlen tranzakció, és a többi)

Te biztos tudod mennyit költ melyik bank, gondolom van valami összehasonlító adatod is. (hint a Revolut is utasít vissza tranzakciókat). 

- A normál banknál történik rendes személyazonosítás (a küldj telefonnal befényképezett dolgokat egy vicc, nem azonosítás)

Oké, valid pont... Ja bocs pont ez a lényeg ugye?

- A normál banknál le lehet tiltani MINDENT is ha gáz van

Kezdem azt hinni fingod nincs arról amiről beszélsz. A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól

- A normál bank nem fog szórakozni neked pár ezer $ esetén ha történik egy ilyen esemény, hanem csont nélkül visszaadja a pénzed

De fog, csak nem hallasz róla.

- A normál banknál nem egy nyomorult harmadik világbelivel kell beszélni

Jah, az mindjárt más :) Nem beszélsz nyelveket nem kell külföldivel szerződni.

Kezdem azt hinni fingod nincs arról amiről beszélsz. A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól

Többnyire. Viszont az, hogy a kártya esetén nincs napi limit beállítási lehetőség, csak havi, szerintem kifejezetten hátrányos.

Nekem az app-ban, a fizikai kártyánál:

  • Limit
    • Kiadási limit
  • Testreszabás
    • Bankkártya felcimkézése
  • PIN-kód
    • PIN-kód megjelenítése
    • PIN-kód vagy CVV-kód feloldása
  • Vásárlás
    • Hozzáadás Google-fiókhoz
    • Google Pay
  • Biztonság
    • Online tranzakciók (on/off)
    • Helyalapú biztonság (on/off)
    • Lehúzásos fizetések (on/off)
    • Készpénzfelvétel ATM-ből (on/off)
    • Érintéses fizetés (on/off)
    • Érintésmentes limit
  • Bankkártya cseréje
  • Bankkártya megszüntetése

Virtuális kártya csak Online tranzakciókra képes, gondolom azért nem jelennek meg azok a beállítások, amik nem vonatkoznak rá.

Ha jól látom itt 800eFt és EUR5500 volt a tét ahol a 800eFt folyamatos topup a EUR5500 direkt költési célra lett elkülönítve. Nem mondom, hogy nem lenne kényelmesebb, de ha ezek az illetők nem értették mit tesznek. Közel sem biztos, hogy egy (akár alapban bekapcsolt) napi limit megállított volna valakit is.

Szerintem eleve a "Location security" opció fogta volna egy részét a dolgoknak napi limit nélkül is. Ha szuperkényelem kell, akkor a napi limitet fel lehet tenni jó magasra, mert esetleg egy default 1k EUR olyan kis "feszes"... Na innentől megint ott vagyunk ahol a part szakad.

"JFYI Revolut egy bank, ugyanolyan eséllyel van lehetőséged jogorvoslatra"

Litván vitarendezési fórumokon, litván nyelven és a litván jogrend szerint eljárva, szükség szerint a litván jogszabályokat ismerő, ott jogi képviseletet ellátni jogosult ügyvédet igénybe véve.

"A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól"

Milyen lehetőség van napi limitre? Milyen lehetőség van n darab tranzakcióra vonatkozó összeghatár beállítására (a következő 3 tranzakció összesen lehet 123456Ft)? Mindezt mobilos alkalmazásból...?

"Nem beszélsz nyelveket nem kell külföldivel szerződni."

Lovon fordítva ülés esete: ha adott országban szolgáltatást nyújt, akkor elvárható lenne az ország hivatalos nyelvén elérhető kompetens ügyfélszolgálat. (Plusz az adott országban legyenek rendezhetők a jogviták - ja, hogy ebben az esetben magyarországi jogi entitással is kellene rendelkeznie a revolut-nak, és a hatályos hazai jogi szabályozásbak, valamint az MNB ajánlásoknak is meg kéne felelni...?)

Litván vitarendezési fórumokon, litván nyelven és a litván jogrend szerint eljárva, szükség szerint a litván jogszabályokat ismerő, ott jogi képviseletet ellátni jogosult ügyvédet igénybe véve.

Kihúzással, de ameddig nem ír meg egy sima complaint levelet addig csak sipákoló.

Milyen lehetőség van napi limitre

"Ja az mind van, de mi a helyzet a XYYZTvel"  aha...

Lovon fordítva ülés esete: ha adott országban szolgáltatást nyújt

Nem az országban nyújt szolgáltatást, hanem az ország polgárai számára. Biztos vagyok érted mi a különbség. (nagyon pozitív ha ad, de korántsem "várható el").

Továbbolvasva értettem meg:

Plusz az adott országban legyenek rendezhetők a jogviták

Hogy nem érted mégsem mik a határon átnyúló szerződések.  

Ingyen regisztralhatsz magadnak szamlat, ingyen tehetsz rapenzt, tarolhatod rajta, ha nem hasznalod, nem ker enni. Az adataiddal pedig sokra nem mennek. Ha valtogatsz, akkor nyilvan felszamit sajat koltseget, de melyik bank nem? Raadasul sokkal kevesebbet, mint barmelyik hazai bank. Mellette tozsdezhetsz, kriptozhatsz, egyszer hasznalatos szamlaszam, virtualis kartyak, jo az app, nfc-pay, stbstb. Mindez az ingyenes regisztracioval - tehat I-EN-GYE-E-EN, azaz nem penzert, hanem ingyen (nem fizetsz erte egy petakot sem, tehat nem kerul penzedbe, mert ingyen van.) :)

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

ugyanolyan eséllyel van lehetőséged jogorvoslatra

Nem, ez egy urban legend. És itt a Revolut lecserélhető tetszőleges külföldi bankra. Mindenféle túlzás nélkül állíthatom, hogy az emberek 99%-ánál jobban értem a hitelintézetek világát, beleértve a releváns magyar jogszabályokat: Hpt, MNB tv, stb.  És még így sem triviális "jogorvoslati lehetőségek" keretén belül bármilyen eredményre jutnom, vitás kérdés esetén. 

Fejeld ezt meg külföldi banknál az idegennyelvi követelményekkel, az idegen jogszabályi környezettel, stb., aztán majd látod, hogy ez a "jogorvoslati lehetőség" mennyit ér a gyakorlatban.

Ok. Meg vagyok róla győződve, nem én vagyok az egyetlen akinek volt már ügye külföldön és eredményt ért el. De lehet, hogy a te saját magadból kiinduló feltételezésed az igaz..

Az ugyanolyan itt egy szófordulat volt, mivel itt az a szituáció, hogy miután XY tokenizálta a kártyáját utána már a Revolut  nem kíván vele foglalkozni és a legtöbb bank sem foglalkozik vele meg CRM alatt sem. 

Az amit itt látunk az csalás amit információs rendszer felhasználásával az emberünk ellen követtek el. Elég szar világ lenne, ha minden órás/telefonos fizetést elkezdene ellenőrizni a szolgáltató. (szerintem)

A jogos panasz itt az lenne, ha a Revolut kártya adataival történt volna a vásárlás. 

Meg vagyok róla győződve, nem én vagyok az egyetlen akinek volt már ügye külföldön és eredményt ért el

Nincs itt semmi ellentmondás. Azt mondtam, hogy ha hazai, ismerős környezetben a sikeres kimenetel esélye P(hazai), és külföldi pereskedésnél ugyanez P(külföldi), akkor P(külföldi) < P(hazai).

Valoszinuleg eletedben nem lattal meg kozelrol banki/fizetesi rendszert, elarulom hogy igen, minden egyes tranzakciora mindig lefut valamilyen szintu threat detection a penzugyi szolgaltatoknal. Es ahogy a cikkben kiemeltek igen komoly problema hogy a Revolut risk assesmentje egy szar, teljesen eletszerutlen helyen es idoben torteno kolteseket siman atenged.

A Revoluttol keri le az adatakot es oda kuld a Revolut SMS-t. Nem az Apple, hanem a Revolut kuldi ki az SMS-t. Az ugyfel szamara. Aztan kuldi az Apple-nek az adatokat, hogy "sikeresen azonositottam az ugyfelet, createApplePayToken hivhato"

A csalas resze hogy a 2FA SMS-t backdoorral leolvassak. Esetleg olyat is el tudok kepzelni, hogy megvaltoztatjak a telefonszamot.

Cikk szerint „Ezen a ponton egy hetekkel korábban érkezett sms-nek is nagy jelentősége lehet”

Tehát jól értem e? Nem vagyok ApplePay használó, de kapok egy ApplePay-jel kapcsolatos, kódokat tartalmazó SMS-t. Ami még figyelmeztetést is tartalmaz. És ignorálom.
Tehát szívem joga nem gyanakodni (mint amikor az ajtózáramon jól látható karc nyomok vannak), aztán amikor kár ér, nézek csak nagy boci szemekkel?

 

Ha meg backdoor van a gépemen, akkor a bank a hibás?

A csalo a hibas, meg mindenki, akinek bar van ra hatalma, de nem tesz meg mindent, hogy ezeket vegre elkapjak es batortalanitsak torvenyileg.

Es semmi keppen sem a kenyelmi funkcio letezese a hibas.

Az ugyfel max annyiban hibas, hogy nem gyanakodott keretlen 2FA SMS-re (ha egyaltalan rendes notification jott rola).

A backdoor, "virust kaptam" aldozatai hogy mennyire hibasak arrol meg mar megannyi parttalan vita volt, ne kezdjuk el itt is. :)

Mondjuk a 2FA SMS-sel - meg úgy általában az SMS-sel - az a baj, hogy nem garantált a kézbesítése.
Nem is értem, hogy ha Revolut ügyfél az illető, akkor miért kell neki SMS-t küldeni? Kaphat(na) az APP-ban is üzenetet, amihez biometria azonosítás rendelhető. => @Revolut q anyjukat, ahogy már párszor írtam.

Amikor hozza akarom adni a Google Wallethez, a telefon megkerdezte, hogy appos belepessel, vagy SMS koddal hagyom jova a kartya digitalizalasat. iOS-nel Apple Pay-hez mintha nem valositottak volna meg, csak az SMS kodot (nem emlekszem, hogy mi volt legutobb). OTP-bank eseteben pl valaszthatok, hogy vagy felhivom a bankot, vagy SMS kodot kerek.

Az Apple sehonnan. A kartya szama alapjan az Apple rendszere megkeresi a kibocsajto rendszeret, es itt van egy authentikacios lepes, majd ha ezt lejatszotta a felhasznalo, akkor kap az Apple rendszere visszajelzest a banktol es azutan mukodik a digitalizalt kartya. A jovahagyas modjat, ha tobb felet implementalt a kartyakibocsajto, akkor azt a felhasznalo valaszthatja ki. Talalkoztam mar telefonhivasos aktivalassal, ahol a bank emberevel kellett beszelni es o aktivalta, talalkoztam mar SMS koddal, illetve talalkozta mar olyannal, hogy a banki app kapott notifikaciot, hogy engedelyezzem az Apple Pay hozzaadast az adott kartyaszamra.

Ha SMS kuldes van, azt sem az Apple kuldi, hanem a kibocsajto.

Almás környezetben az SMS szinkronizálódik a Almás gépére is, ahol egy kártevő el tudja fogni, fel tudja használni, és tudja törölni is - ahogy a cikkben van - ennek a kockázata döntően az ügyfélé. Ha nincs sms-szinkronizálás, és/vagy a 2FA nem SMS, hanem push, amit a mobilos alkalmazás kap el, akkor ez a támadási mód nem működik.

Nem. Hiszen teljesen szabvanyos, Bluetooth-on keresztuli notifikacio megosztasrol, illetve notifikaciora adott akciokrol van szo. Parositanod kell a telefonodan egy bluetooth kepes eszkozzel, majd ha mind a ketto tamogatja a notifikaciok megosztasanak a protokolljat, akkor a telefonon lesz opcio arra, hogy engedelyezd a megosztasat a notifikacioidnak. A Windowson futo szoftver, igy ha a szamitogep kozeleben vagy, megkapja az ebben az idoszakban megerkezo notifikaciokat (ahogyan az okosorak, kijelzok, stb is megkapjak). Semmi "varazslat" nincs benne, de a mukodeset az usernek explicite engedelyeznie kell magan, a mobilkeszuleken.

Szerk: Mivel a notifikaciokra lehet valasz akciokat visszakuldeni, az MS ugy valositotta meg az uzenetkuldest, hogy valaszol egy korabbi notifikaciora a megfelelo akciokoddal. Van valamennyi karakterlimit mind a ketto iranyba, plussz mediatartalom sem kuldheto, mert ezek nem mennek at a notifikaciokban.

Talan el, talan nem.

iOS eseten az MS megoldasa a notifikaciok szoveges tartalmat kapja el, amire lehetoseget nyujt a Bluetoothban levo Alert Notification Profile. Tehat, ossze kell parositani a ketto eszkozt. Ezt a profilt mar nagyon sok Windows Mobile PDA is ismeri 20+ evvel ezelottrol. Pl. az olyan Bluetooth fulesek, amelyek rendelkeztek kijelzovel, azok ezen profil segitsegevel mutattak meg a notifikaciokat (pl. hogy leveled erkezett a Pocket Outlook Express-be).

Tehat ezen profilt alkalmazva, el tudja kapni a szoveges tartalmi reszet a push uzenetnek a masik eszkoz (pl. Windows 11).

Az SMS eleje (ahany karakter elfer a profil adatcsomagjaban) igy elerhetove valik, ha ebbe a kod belefer, akkor a kod is. Viszont a Revolut app, ha appon beluli jovahagyast valasztassz, akkor csak annyit tartalmat kozol a szoveges notifikacioban, hogy "Revolut: Card authorization for Google", that ugy nem megy at semmilyen kod, hiszen, az appba belepve sem kell kodot utni, csak gombot nyomni, hogy engedelyezed (ofkorsz, az maga az app hitelesit teged elotte/kozbe).

Tehát a user megtehette volna, hogy secure csatornát választ a 'kommunikációra', de nem ezt tette. Vagy rosszul látom megint?

jól látod, csak itt a user nem a számla tulajdonos, hanem a bűnöző. Aki természetesen azt a csatornát választja, amihez már van hozzáférése.

Az igazi megoldás az lenne, ha a bank pl. nem ajánlaná fel az SMS-t. Push az appban, vagy kód az authentikátor appból, meg hasonlók lennének csak.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

"Az igazi megoldás az lenne, ha a bank pl. nem ajánlaná fel az SMS-t. Push az appban, vagy kód az authentikátor appból, meg hasonlók lennének csak."

 

Az a baj, hogy az egyszeri felhasználóknak még az SMS-es megerősítés is sokszor embert próbáló feladat. AZ ilyen appok beállítása, használata, mentése meg pláne az lenne, mert amit nem ment az iCloud, az az életben nem lesz lementve. Én is örülnék, ha az Authenticator-os 2FA általánossá válna, de jelenleg a GitHub-on, OVHCloud-on, Gmail-ben és hasonló helyeken használom, az egyszerű mindennapi oldalakon az a csoda, ha lehet hosszabb a jelszó mint 8 karakter és mégnagyobb csoda, ha lehet benne minden karakter amit elsőre generál a Bitwarden.

TheAdam

Azt kerdezted az elobb, hogy el lehet-e kapni a Push uzeneteket. Leirtam, hogy el lehet. Illetve leirtam azt is, hogy hogyan van ez a megoldas kivitelezve pl. a Windows 11-ben.

Nem ertem, hogy hogy jon ide az user csatornavalasztasa.

De, hogy a csatorna valasztasra is reagaljak, amikor a Walletbe adod hozza a kartyat, ott, az az eszkoz kerdezi meg, hogy hogyan akarod magadat hitelesiten, amelyknel a folyamatot elkezdted. Azaz, ebben az esetben, a tamadonal levo keszulek kerdezte meg, az azonositas modjat. Az elerheto hitelesitesi modok listaja pedig a kartyakibocsajtotol jon. Van kibocsjato aki ezt, van aki azt implementalta. Itt, ha a tamado az SMS-es hitelesitest valasztja, akkor az a keszulek kap SMS uzenetet, aminek a szamat ismeri a kartyakibocsajto (tehat a szamot nem a tamado adja meg). Ezt, az eredeti felhasznalohoz erkezo SMS-t csakliztak el valahogyan az aldozat geperol.

Amikor csapatos keszulekcsere utan adogatom hozza a kartyaimat a keszulekekhez, akkor 2-3. eszkore torteno hozzaadas utan, azt hiszem mar csak a telefonalasos aktivalast kinalta fel a telefonom, amikor az OTP kartyakat adogattam hozza. De mivel nem figyeltem meg, hogy mas bankok kartyajanal mi volt.

„Talan el, talan nem.” - írtad.

És a konklúzió(m) az volt, hogy bár valszeg el lehet kapni, de max annyi történhet, hogy nem kapok értesítést arról, hogy hitelesítenem kellene a készülékemen egy tranzakciót. És ha nem hitelesítem, akkor nem történik semmi. Azonban ha csak arról kapok üzenetet, hogy helló, valaki elvitte a kártyádat, majd a pénzedet, tudj róla, akkor ott valami q nagy workflow probléma van.

Itt megint csak azt tudom mondani, hogy tobb helyrol van kartyam, van kozte valodi bank, van kozte mas, penzzel foglalkozo intezet is, de azt hiszem, az OTP az egyetlen, aki kuldott egy SMS-t, hogy hozaadtam egy kartyat a wallethez. Viszont ha az SMS utvonal fertozott, akkor ahogy a cikkben is irva van, az uzenetet is ki tudjak torolni. 

Ebben a topicban már vagy egy tucatszor elhangzott, hogy az SMS - mint csatorna - és az SMS szinkronizálás nem biztos, hogy kellően jó megoldás, tehát ez nem érdemes tovább vesézni.

Tehát akkor, milyen módon lehet a cikkben írt lenyúlásnak elejét venni? Főleg, ha az R1 gépe fertőzött.

Amikor megjelenik a 2FA keres abban a webviewban, ahol eppen fizetnel, ott nincs egy SMS failback link, mint ami van az OTP-nel,  volt a K&H-nal (nincs kh-m amiota van 3DS az OTP-nel), van a Revolutnal? Ezek mind pusholnak alapbol, de ha nem tudsz reagalni a pushra, pont ugyonugy kerhetsz SMS failbacket, ahogyan kerhettem SMS azonositast a Push azonositas helyett, amikor par oraval ezelott, beraktam a Walletbe a Revolutos kartyamat kiprobalas celjabol.

Ez alapvetően egy cybersecurity kérdés, és azon belül is risk management. NIST környékén érdemes nézelődni hogy ezt hogyan kis kellene jól csinálni, illetve a systems engineering-ben egy elég fontos terület úgy általában a risk kezelés, nem csak cyber, hanem "hagyományos" rizikók esetében is.

Mint felhasználó túl sok mindent nem tudsz tenni. Természetesen lehet azt csinálni hogy külön leválasztod a banki műveletekhez használt eszközt a mindennapi eszköztől, de ezt kevesen fogják megtenni. Hogy második faktort mit használ az adott szolgáltató, az sajnos sokszor nem rajtad múlik (és sms-re fallback nagyon sokszor van). Ami téged védeni tud, az a bank saját fraud detection system-je, illetve ha olyan folyamatuk van, amelyben inkább visszautalják a pénzt, mintsem hogy elkezdjenek szórakozni, a bizalom miatt.

Olvasnivaló:

https://csrc.nist.gov/publications/detail/sp/800-160/vol-1-rev-1/final

https://csrc.nist.gov/projects/risk-management/about-rmf

https://www.nasa.gov/seh/6-4-technical-risk-management

https://ndiastorage.blob.core.usgovcloudapi.net/ndia/2004/cmmi/CMMIT1Mo…

Véleményem szerint egyértelműen a Revolut felelőssége annak a rendszernek a kialakítása, hogy a kártyabirtoklás azonosítása egyértelműen megtörténjen. Az egy döntés hogy ők milyen technológiát választanak,  és az SMS választása esetén a risk analízis elvégzése. Egy normál bank esetén ez alapvetően úgy fog kinézni, hogy tudjuk, hogy egyébként nem tökéletesen biztonságos, de van annyira erős fraud detection-ünk, illetve van annyi tőkénk, hogy ha gond van, akkor az ügyfelet csont nélkül kártalanítjuk: fenntartva a bizalmat.

A Revolut úgy döntött, hogy még ha az ügyfél be is szívja, akkor sem foglalkoznak vele, arra építve, hogy ha az ügyfél végigfutja a köröket és perre viszi, akkor majd megegyeznek.

Ez alapján döntse el mindenki hogy akar-e egy ilyen céggel üzletelni.

A Revolut úgy döntött, hogy még ha az ügyfél be is szívja, akkor sem foglalkoznak vele, arra építve, hogy ha az ügyfél végigfutja a köröket és perre viszi, akkor majd megegyeznek.

Magam is így gondolom. Folyamatosan veszteséges, égeti a pénzt a cég, erre nincs már kerete valszeg. De ez nem jelenti azt, hogy ésszel ne lehetne használni a szolgáltatását.

cseszegetheted a revolutot, ha megint csak az derült ki, hogy a biometrikus azonoítás miatt hitelesként kezelt apple pay-ben van lyuk, mert laptopra átszinkroninálta az sms-eket és a laptopja lehetett fertőzött és így már nincs biometrikus azonosítás. Szóval mégiscsak az apple pay kapcsán van egy olyan use-case, ami kihasználható, főleg ha az ügyfél bekapcsol ilyen kényelmi szolgáltatásokat. Ez egyébként azt hiszem android és windows esetén is létezhet, a win11 telepítő is kínálgatta emlékeim szerint, hogy kapcsoljam össze telefonnal.

A biometrikus azonositas a fizetesnel van, az ellopott OTP SMS pedig a kartya hozzaadasnal van, a ketto egymastol fuggetlen.

Tulajdonkeppen, a bank a hozzaadas utani authentikacional bizonyosodik meg arrol, hogy a kartya hozzaadasat jogosult szemely kovette el, a fizetesnel torteno biometrikus/passcode azonositassal pedig az Apple/Google bizonyosodik meg arrol, hogy a keszulek hasznaloja hasznalja a kartyat. 

Itt alapvetoen az most a bibi, hogy a bank lett becsapva tulajdonkeppen.

mert laptopra átszinkroninálta az sms-eket

ezt hogy tudom ellenőrizni, állítani?
Beállítások, iCloud, iCloudot használó appok, Összes megjelenítése. sose volt bekapcsolva. Tárcát bezzeg synceli, holott új telefonra nem bírja átvinni a bankkártyákat.

nincs aláírásom

hiba. Amit nem használok, azt fagyasztani kell.

Alapvetően igaz, de azért nem ilyen egyszerű a helyzet.

Én régebben volt, hogy valami kártyát (talán Revolut, talán Curve) fagyasztottam, aztán valahol fizettem volna és nem ment, mert persze elfelejtettem. Kb. azóta nem is használtam ezt a lehetőséget. A legnagyobb bajom az volt, hogy a terminál nem mondta, hogy fagyasztott kártya, csak azt, hogy sikertelen a tranzakció. Megpróbáltam 2-3 alkalommal, mindig visszadobta. Fizettem máshogy, aztán amikor megnyitottam az appot, hogy megnézzem, látok-e valami gyanúsat, akkor találtam rá, hogy hát be van fagyasztva.

Most, ezt a topic-ot olvasgatva viszont elhatároztam, hogy a sok nem használt kártyámat tényleg befagyasztom. Nos, mérsékelt a siker.

Befagyasztottam a debit kártyámat, a Revolutot és a Curve-öt, befagyasztottam néhány nem használt (csak fiókban heverő) hitelkártyát. Volt, amit egyszerű volt, volt, ahol az ügyfélszolgálatnak kellett végigvinnie a menükön, mert el volt dugva.

De van olyan (pl. Erste HU), ahol nem találtam befagyasztási lehetőséget. Meg olyan is van (AmEx), ahol be lehet fagyasztani egyszerűen, viszont 7 nap múlva automatikusan kiolvasztja, és erről nem lehet lebeszélni.

A mindennap használt kártyát meg nem akarom befagyasztani, mert nem akarok minden egyes buszra szállás előtt mobilbankot indítani, remélni, hogy van mobilnet, olvasztani, érinteni, fagyasztani. Ugyanez minden boltban, minden online fizetéskor. Túl sok macera.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( sz332 v | 2023. 05. 09., k – 08:49 )

Nagyon érdekes a cikk, ez alapján a Revolut-ban megbízni a világ legnagyobb ostobasága. Értem én ezt a fintech dolgot, de ha nincs mögötte bizalom,

akkor megette a fene az egészet.

Így van, de a leírtak alapján a Revolut használata egyáltalán nem biztonságos, csak annyi pénzt tartson ott bárki, amit ha elbukik, az nem fáj nagyon.  A litvánokon egyébként én is berágtam, gondolkodtam régebben ilyen Fintech megoldásokban, de nem, köszönöm szépen, az a havi 1000 forint nem vág földhöz amennyibe egy bankszámla kerül, cserébe viszont van rendes felügyeleti szerv és jogvédelem.

( bazso | 2023. 05. 09., k – 09:22 )

Ez egy "mindenki tehetett volna többet" helyzet.

1. A tulaj: a revolut egy rakás korlátozó beállításra ad lehetőséget, ha épp nem kocsit akar venni, minek van ennyi pénz egyben a fő számlán. Miért egy korlát nélküli kártyát használ online (mivel gépen keresztül lopták el, legalább egyszer bepötyögte az adatait)

2. Apple: pöpec kényelmes dolog ez az üzenet tükrözés, de azért rendesen hazavágja az sms mint 2fa biztonságát (ami amúgy is a béka feneke alatt van)

3. Revolut: sms mint 2fa egy fintech cégnél konkrét szégyen. Az ügyfélszolgálat meg a másik fele (mondjuk mostanában a bankoknál is sikerült többször olyat kifogni hogy csoda hogy szobatiszta volt)

De ennek a háromnak egyszerre kellett hibádznia. 

Secu alapelvek:

Zero trust: ne bízz egyik résztvevőben sem, akkor sem ha banknak látszik

Oszd meg és uralkodj: revoluton 10mp feltölteni pénzt, tegyél mögé két független bankot, így 3 önállóan védett helyre tudod szétosztani a pénzt, és a revolut mint frontharcos csak annyit kap amennyi feltétlen szükséges a következő 1-3 napon. Egyszeri fizetésre eldobható kártya, ismétlődő fizetésre az adott célra dedikált virtuális kártya havi limittel (ez abban is segít hogy egyből kiderül melyik szolgáltatótól került ki az adata)

Pár gombnyomásra korlátozható pénz, lokáció limitek. Alapból ingyenes számlavezetés többféle pénznemben. NFC támogatásban is le volt maradva némelyik bank.  Az, hogy van aki korlátlan világjeggyé alakítja a fiókját és korlátlan pénzleszívásra állítja be a banki fiókját is, az már nem a revolut hülyesége. Lassan, több év késéssel és kókányabb módon működő appokkal kezdik közelíteni azt a bankok, amit revolutban lehetet évekkel ezelőtt.
A magyar bankok és a magyar bankadóztató rendszer ott húz le, ahol csak tud és cserébe fapados, mint az állat.

Lehet ki kellene egesziteni a fenti kerdeseket azzal, hogy ezek a dolgok mely bankoknal erhetoek el anelkul, hogy be kelljen menni az irodaba szemelyesen.

Szamlanyitas mukodik online (kulfoldrol is), a tobbi dolog szerintem nem annyira evidens. Pl. szerintem szamlat megszuntetni online nem is lehet (mondjuk ez lehet, hogy nem mindig hatrany).

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

ezek a dolgok mely bankoknal erhetoek el anelkul, hogy be kelljen menni az irodaba szemelyesen.

Gyerekenként egyszer kell bemenni, hogy számlát nyiss nekik. Én nem ez alapján választanék bankot, de értem, hogy kényelmesebb anélkül.

Szamlanyitas mukodik online (kulfoldrol is)

Én nagyon-nagyon ritkán nyitok új bankszámlát, néhány évente egyszer. Külföldről még sosem nyitottam számlát, így nekem ez nem érték. Ha valakinek igen, akkor nyilván limitáltabbak a lehetőségeid.

szerintem szamlat megszuntetni online nem is lehet (mondjuk ez lehet, hogy nem mindig hatrany).

Hát, ez Revolutnál sem triviális, mert van 0.34 forintom a számlán, és nem hajlandók addig megszüntetni az accountomat, amíg onnan ki nem utalom. :)

Gyerekenként egyszer kell bemenni, hogy számlát nyiss nekik. Én nem ez alapján választanék bankot, de értem, hogy kényelmesebb anélkül.

Ha a gyerek is kulfoldon el es normal esetben nem Bp-re mesz haza (ahol minden banknak van fiokja) akkor sokkal kenyelmesebb tud lenni...

Én nagyon-nagyon ritkán nyitok új bankszámlát, néhány évente egyszer.

En is ritkan, ennel ritkabban, de amikor kellett akkor nagyon kenyelmes volt.

Hát, ez Revolutnál sem triviális, mert van 0.34 forintom a számlán, és nem hajlandók addig megszüntetni az accountomat, amíg onnan ki nem utalom. :)

Vegyel vele valami kriptot es par nap mulva nullara redukalodik az osszeg :) De amugy az ilyen normal bankoknal is van, csak ott a penztarban a kezedbe nyomjak a penzt (de ugye szemelyesen jelen kell lenned hozza, jo kis oraber).

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ha a gyerek is kulfoldon el es normal esetben nem Bp-re mesz haza (ahol minden banknak van fiokja) akkor sokkal kenyelmesebb tud lenni...

Ha életvitelszerűen külföldön élek, akkor miért nyitnék magyar számlát a gyereknek? De ha már szőrszálakat hasogatunk, akkor az osztrák határtól Sopronnál 8 km-re van OTP, Kőszegnél meg 5 km-re. 

De amugy az ilyen normal bankoknal is van, csak ott a penztarban a kezedbe nyomjak a penzt

Mármint mit? A 34 fillért? Ne viccelj már. :)

Ha életvitelszerűen külföldön élek, akkor miért nyitnék magyar számlát a gyereknek?

Revolutrol is szo volt, Revoluton csinaltam neki :) De ha M.orszagon akartam volna akkor csak szemelyesen lehet. Amugy lehet hasznos ha amugy magyar allampolgar. A magyar hatar kicsit messzebb van tolem mint 8-10km.

Mármint mit? A 34 fillért? Ne viccelj már. :)

Akkor hogy csinaljak egyebkent? Fogalmam sincs, gondolom jogszabaly szerint nem tehetik csak ugy zsebre, kiadni eleg nehez, akkor? Ala kell irnod valamit, hogy nekik adomanyozod? :D

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

De ha M.orszagon akartam volna akkor csak szemelyesen lehet.

A kérdésem pont az volt, hogy miért akartad volna pont Magyarországon, ha ilyen messze laktok?

Akkor hogy csinaljak egyebkent?

Általában olyasmi a workaround, hogy az üzletszabályzat szerint a bank felszámolhat díjat a számla megszüntetéséért, pl. ezer forintot, de max a számlaegyenleg erejéig. Ez a gyakorlatban azt jelenti, hogy a 0.34 forintot "befizeted" a banknak, költségtérítésként. :)

A kérdésem pont az volt, hogy miért akartad volna pont Magyarországon, ha ilyen messze laktok?

El tudok kepzelni olyan szituaciot amikor fontos vagy erdemes. Nekem ilyen nem all fenn jelenleg, de pl. van a gyereknek babakotvenye, lehet ahhoz majd kell kesobb szamla, hogy elutaljak valahova (gondolom neki es nem a szuloknek), de az meg jo par ev. Erre akar egy Wise is jo lehet amugy, ahhoz nem kell szemelyes jelenlet, viszont 18 eves kor betoltese feltetele a szamlanyitasnak.

Kozben utana is neztem:
"Ugyanis a Babakötvényt eladni és a megtakarított összeget felvenni kizárólag a gyermekünk tudja majd azt követően, hogy betöltötte a 18. életévét." (forras)

Ez a gyakorlatban azt jelenti, hogy a 0.34 forintot "befizeted" a banknak, költségtérítésként. :)

Okos :)

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

El tudok kepzelni olyan szituaciot amikor fontos vagy erdemes.

Nem kötekedésből rugózok rajta ennyire. :)

A babakötvényes példánál például pont nem vagy előrébb Revoluttal, mivel a Revolutnak nincs Giro számlaszáma, a gyereked nem tudja Revolut számlára kiutalni a babakötvényes pénzét.

pont nem vagy előrébb Revoluttal

Ez pontosan igy van (Wise meg jatszhat). De arrol (is) volt szo, hogy szivas az ha be kell menni kulfoldrol szemelyesen magyar banknal szamlat nyitni es milyen jo mar, hogy sok (neo)banknal lehet ezt online csinalni.

Amugy a babakotvenyes pelda eseten ha mar 18 eves elmult akkor lehet online szamlat nyitni magyar banknal is, de ez csak egy pelda volt. Masik pelda lehetne, hogy orokolsz hirtelen es kell egy forint szamla, de nem M.orszagon elsz. Nem tudom mi eletszeru.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

(Wise meg jatszhat)

Hát az is érdekes. Pont tegnapi eset. Nem a saját, hanem a a feleségemmel közös számláról akartam utalni rá pénz. A befizetést pausolták (hehe), majd kérték küldjek az utalásról bizonylatot. Elküldtem de nem tetszett nekik, mert nincs rajta az account név. Erre elküldtem a havi zárást (kifestve a forgalmi részleteket.) sárgával kiemelve a nevem, meg a számlaszámot, hogy lássák ez ua miről lett küldve a pénz. Ez se tetszett nekik, küldjek screenshotot, amin rajta van együtt az egész. Elküldtem, a fejlécben, hogy a nevemmel vagyok bejelentkezve, és az utalás részletei az előreugrott ablakban. Rá 15 percre megint jött hogy küldjek amin rajta van az account név meg az account szám. Na itt sokkaltam be és írtam nekik, hogy amit tudtam elküldte, ha nem kell az pénzem, küldjék vissza, és befejeztük, lefogyasztom kártyával ami van és vége.

Nem értem a kérdést? Nekik vagy nekem security?

Amúgy elgondolkodtam rajta, mi van ha nem én, hanem, testvérem, barátom, ügyfelem,... akármi akar erre a számlára pénzt küldeni, attól is megkérdezik mikor cserélt alsóneműt.

Egy olyan csapat aki -elvileg- az utalásokból él.

Nem tudjuk mekkora osszeg volt, esetleg utaltal elotte X ido alatt milliokat oda es ez az utolso verte ki naluk a biztositekot? Sok oka lehet, termeszetesen nem kellemes, szerencsere velem meg nem fordult elo, ha utalok oda akkor sajat szamlarol (ami nem kozos neven van), lehet azert?

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Százezres nagyság és forint. Általában a saját számláról is ez az összeg szokott lenni. Szóval semmi különös.

Szerintem is a közös számla, az ami megakasztotta a dolgokat. Ha igen, akkor az azért komolytalan, hogy nem tudják értelmezni, hogy a nevem mellett ott szerepel a feleségemé is.

Ha igen, akkor az azért komolytalan, hogy nem tudják értelmezni, hogy a nevem mellett ott szerepel a feleségemé is.

Honnan kellene tudniuk, hogy a feleseged? Kuldtel nekik errol valami dokumentumot? Lehet a szomszedod is. De egyebkent nem tudom mi az oka annak amikor nekik megszolal a riasztas a kozpontban. En nem utalassal szoktam amugy feltolteni.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

És ha szomszédommal van közös számlám? Nem mindegy. Az a lényeg, hogy a nevem ott van a számlabirtokosok között és tudok rendelkezni felette. De még egyszer nem lehet idegennek utalni a számlámra? Szóval ha dolgozok valakinek, nem adhatom meg a wise számlát, hogy utalja rá pénzt?

Szóval ha dolgozok valakinek, nem adhatom meg a wise számlát, hogy utalja rá pénzt?

Ezt a Wise-tol kellene megkerdezni, kivancsi lennek a valaszra. Hozzam nem jon bejovo utalas mastol igy nem vagyok kompetens a temaban, de furcsallom.

De még egyszer nem lehet idegennek utalni a számlámra?

Lehet az volt a baj, hogy nem "teljesen idegen" volt? Csak talalgatok, megmondtak vegul az okot? Lehet a feleseged nevere riasztott be naluk valami?

És ha szomszédommal van közös számlám? Nem mindegy.

Ha a szomszedod valami illegalis tevekenyseggel szerzi a penzt lehet nem mindegy. Egyebkent talaltam valamit a kozos szamlakrol.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Én voltam a balfasz. Tegnap is tanultam.

Ezentúl nem foglalkozok azzal, hogy a honlapra felmenjek (vagy az appban, de azt nem szeretem), s csomót kattingatva " bejelentsem" hogy pénzt küldök a számlámra. Hanem egyszerűen a forintszámlára - mint idegen- elküldöm. Ugyanis eddig mindig a legelső alkalommal használt számra küldtem a pénzt, lusta módon sablonozva lett az utalás. Az viszont a Wise számlára küldi a pénzt és a kísérőszövegben lévő azonosító alapján pakolja a számlámra. De van nekem külön saját számom (forint és euro). (Ezeket kell megadni külső személynek ha rá akarok küldetni.)

Amúgy a kérdésedre a válasz: természetesen az alsót.

( zrubi v | 2023. 05. 09., k – 10:03 )

Szerkesztve: 2023. 05. 09., k – 10:05

A csalok kapcsoltak be, es figyeltek ki az SMS-eit backdoorral.

Tök jó, hogy mindenki a revolutot meg a apple pay-t szapulja, miközben, ha már egyszer feltörték a telefont/számítógépet, és ott van rajta a backdoor, akkor kvára mindegy, hogy melyik app mit akar és hány faktoros authentikáció, meg beazonosítással próbálja lehetetlenné tenni a valós felhasználók életét... innentől csak idő kérdése, és mindenhez is hozzáférnek, ami a kompromittált gépen (keresztül) történik. pont.

(főleg, ha a gyakorlatban a  'több faktor' az mind uygan azon a telefonon futó vacak)

 

Nagyon egyszerű levezetéssel a következő lépéssorozat történik:

  1. Megfertőződik a számítógép.

 

Nem véletlen van az a mondás, hogy amint a vírusos a gép/telefon: Game over.

Persze, ezt nem szeretik elfogadni, sem a userek, sem a cégek. De ettől még ez a helyzet - és amint látszik, az okosabb és türelmesebb hackerek ezt ki is használják.

 

Ha pedig célzott támadásról van szó:

https://xkcd.com/538/

 

szerintem.

zrubi.hu

Tök jó, hogy mindenki a revolutot meg a apple pay-t szapulja, miközben, ha már egyszer feltörték a telefont/számítógépet, és ott van rajta a backdoor, akkor kvára mindegy, hogy melyik app mit akar és hány faktoros authentikáció, meg beazonosítással próbálja lehetetlenné tenni a valós felhasználók életét... innentől csak idő kérdése, és mindenhez is hozzáférnek, ami a kompromittált gépen (keresztül) történik. pont.

+1, elég durva, amit sikerült összehozni a témában egy "szakmai" fórumon. Ilyenkor azért eszembe jut, hogy mekkora álszentség azt mondani, hogy a user miért nem értett hozzá jobban.

Nem véletlen van az a mondás, hogy amint a vírusos a gép/telefon: Game over.

Osztom ezt a véleményt. Lehet bármilyen kétfaktoros vagy akár nyolcfaktoros azonosítás vagy akár biometrikus azonosítás is, ha az összes faktor ellenőrzését a telefon végzi el és az vírusos lesz, akkor ezek már semmit sem érnek. Lehet, hogy túl konzervatív vagyok, de emiatt én az összes mobilbankos applikációra úgy tekintek, mintha azok csak egyfaktoros azonosítást nyújtanának. Csak azokat a megoldásokat tartom több faktorosnak, amelyeknél a második és az esetleges további faktorok azonosítását egy fizikailag különálló eszköz végzi el. Pl. 1. faktor: netbank jelszavas belépés PC-n, 2. faktor: SMS vagy valami authentikátor alkalmazás telefonon. Régen ez volt a divat. Aztán megjelentek a mobilbank alkalmazások. Lehet, hogy kényelmesebbek, de szerintem kevésbé biztonságosak, mert az összes faktor azonosítása egy eszközön történik. Tudom, hogy szoftveresen el van az SMS, az authentikátor app, meg a többi app egymástól különítve, de ez addig ér valamit, ameddig ezt a védelmet ki nem kerülik.

A mobil app+biometria teljesen jó lehet - ha sem login, sem jóváhagyás (push-ban érkezve) nem hajtható végre biometria nélkül, akkor erősen emberi/felhasználói hülyeség (és közreműködés) kell ahhoz, hogy valakinek leszipkázzák a pénzét a számlájáról...

Ehhez az is hozzatesz (veletlenul szembesultem vele), ha hozzaadsz ujlenyomatot a mobilhoz, akkor kikapcsolja a biometrikus azonositast minden appban. Igy nem lehet "titokban" masnak hozzaferese. Termeszetesen ha a kodot/jelszot tudja akkor ez sokat nem segit. Ezutan mar az adott apptol fugg, hogy mennyire bonyolitja meg a biometrikus azonositas visszakapcsolasat.

Lehet amugy okoskodni, hogy a mobil banki app ne legyen a telefonon vagy egy butatelefonra menjen az SMS, stb. De ha belegondol az ember, a lakas v. auto kulcsat sem tartjuk egy lezart dobozban a taskaban mert ugy biztonsagosabb.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

( prion | 2023. 05. 09., k – 11:41 )

Más bank miért védettebb ez ellen, mint a Revolut?

Csak itt a kommentek egy jó része azt mondja, hogy Revolutot ne, hagyományos bankokat igen. És a cikkből nekem sem látszott, hogy mi itt a különbség. Esetleg vannak rá példák, hogy normál bank simán fizet ilyen esetekben? (ami annyiból elég kérdéses, hogy feltört gépekről van szó. szóval ha fizet a bank erre, akkor arra megint egy külön csalás ágazatot lehet alapítani, ahol beengedi az "ügyfél" a vírus, a számlán meg nincs limit, de sok pénz)

szerk:

Még két kérdés:

- vajon miért csak a revolut kártyájukkal éltek vissza és a többivel nem? csak azt használta a gyakorlatban a többi helyre nem lépett be az adott időszakban?

- nem használok ilyen apple, meg google payt szóval nem annyira értem ez, hogy működik. de itt egyáltalán soha nem kell pin kódot megadni már a vásárláskor, mint ahogy ha érintve vásálok az ember a kártyával, néha, vagy nagyobb összegnél kell.

A különbség:

- A normál banknál van lehetőséged jogorvoslatra

- A normál bank mögött van egy működő bankfelügyelet

- A normál bank költ rendesen fraud ellenőrzésre (lokáció, ismeretlen tranzakció, és a többi)

- A normál banknál történik rendes személyazonosítás (a küldj telefonnal befényképezett dolgokat egy vicc, nem azonosítás)

- A normál banknál le lehet tiltani MINDENT is ha gáz van

- A normál bank nem fog szórakozni neked pár ezer $ esetén ha történik egy ilyen esemény, hanem csont nélkül visszaadja a pénzed

- A normál banknál nem egy nyomorult harmadik világbelivel kell beszélni

- vajon miért csak a revolut kártyájukkal éltek vissza és a többivel nem? csak azt használta a gyakorlatban a többi helyre nem lépett be az adott időszakban?

Első lépésként meg kell szerezni a kártya összes adatát (kártyaszám, lejárat CVV). Akinek Revolut fiókja van, feltehetőleg Revolut kártyát használ netes fizetésre. (ilyen szempontból biztonságosabb lenne az eldobható kártyát használni, mert annak az adatait csak egyszer lehet felhasználni)

- nem használok ilyen apple, meg google payt szóval nem annyira értem ez, hogy működik. de itt egyáltalán soha nem kell pin kódot megadni már a vásárláskor, mint ahogy ha érintve vásálok az ember a kártyával, néha, vagy nagyobb összegnél kell.

Nem kell, az azonosítást maga az eszköz (telefon, óra, stb.) végzi el, ezt fogadja el a rendszer.

Akinek Revolut fiókja van, feltehetőleg Revolut kártyát használ netes fizetésre.

Ezt miből gondolod?

Nekem pl. van Revolut fiókom, online fizetésre általában Google Pay-t vagy Paypalt használok. Ha ilyen úri huncutságok nem érhetőek el, akkor a hitelkártyám számát begépelem.

Használhatnék Revolut kártyát, de azon kívül, hogy van egyszer használatos virtuális kártya (ami jó dolog), nem látom semmi előnyét, viszont extra kényelmetlenséget hoz: fizetés előtt rá kell tölteni pénzt.

Most megnéztem, mikor használtam Revolutot. Utolsó online fizetés (repülőjegy vásárlás) július közepén volt. Azóta használtam a fizikai kártyát boltban, ATM-ben, vettem devizát, utaltam pénzt. De az összes online vásárlásom (amiből azért elég sok van minden hónapban) más módon történt.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

 ... de azon kívül, hogy van egyszer használatos virtuális kártya (ami jó dolog), nem látom semmi előnyét ...

Pont az egyszer használatos virtuális kártya miatt gondoltam. Valóban van olyan fizetés, amihez nem a Revolut kártyámat használom, viszont azok jellemzően olyan helyek, amelyekben vagy megbízom, vagy az volt az előny, hogy a kártyaadatokat el lehetett menteni. Nem a szolgáltatónál, hanem az alkalmazásban. (BudapestGo, MÁV menetrend). Az eseti vásárlásokat webshopban szinte mindig az egyszer használatos kártyával intézem.

Nem. Ha a kényelmes fizetési módok, ahol nem kell minden alkalommal kártyaszámot beírni, nem érhetőek el, akkor beírom a kártyaszámomat.

Ugye onnan indultam, hogy valamit fizetni akarok online. Adott weboldalon. Ha megsértődnék, mert nincs Paypal, és ezért büntiből/paranoiából nem írom be a kártyaszámomat, akkor nem fogom tudni a fizetést végigvinni.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( Sixday v | 2023. 05. 09., k – 13:22 )

Mindenki azon porog hogy ki mit hogy tort fel, kozben itt van az igazi problema:
"Gyanúsnak jelez teljesen természetes eseményeket, mint egy online múzeumjegy-vásárlás 38 euróért, de simán elsiklik egy atomrobbanás méretű, 2000–5000 eurós csalárd tranzakciósorozat felett, ami életszerűtlen időpontokban és helyszíneken történik."

Magyarul nyugodtan ki lehet mondani hogy a Revolut threat detectionja egy darab szar.

> Magyarul nyugodtan ki lehet mondani hogy a Revolut threat detectionja egy darab szar.

 

Lehet.

Én röhögőgörcsöt kaptam, amikor Vakarékszövetkezetemnek/MTB/MBH, korai tavalyi fizetési próbálkozásaim Oroszország felé különböző kazah egyéb bankokokon keresztül, nem a sok sikeres/sikertelen kísérlet lett gyanús, hanem a helyi bérlet megvétele kártyás fizetéssel.

Érdekes módon a PIN bekérése sem akkor történik amikor havi bevásárlásokat végzem majd száz kilóért, hanem amikor szaros műanyag öngyújtót veszek vagy egy doboz cigit.   

( theadam | 2023. 05. 09., k – 13:23 )

Ami nekem feltűnt a cikkből, az eszközök közti szinkron. Én ezt a mai napig kerülöm rendszer szinten, bár a Windows meg iOS közt amúgy is problémás, de én csak azt rakom össze, ami kell. Ilyen a Vaultwarden belső hálón, VPN-nel, self-signed cert-tel, a fájlaimat ugyan csak védett Samba storage-en érem el.

 

Nem bombabiztos, de ha más nem, az illúzió az enyém, hogy mennyivel kontrolláltabb a rendszerem. Amit lehet selfhostolok és csak VPN-ben, főképp Wireguard mert telón az a legoptimálisabb.

 

Igaz, ami időm ezekkel elment, abból már multimilliomos lehetnék vagy két kézzel építhettem volna fel egy házat:D de szeretek vele mókolni.

TheAdam

az eszközök közti szinkron. Én ezt a mai napig kerülöm

Az rendben, hogy te kerülöd, de a cikk szerint, ahol ezt nem kapcsolta be a user, ott a trójai bekapcsolta saját magának.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem használom semmi eszközön, csak a cikk alapján írtam. Ők írták, hogy a számítógépet megfertőző trójai kapcsolta be ezt a szolgáltatást. Akkor... hülyeséget írt a cikk?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Hogy KONTROLLÁLTAB(!), azzal nem vitatkoznék, de hogy éppen ki álltal, az megérne további sok kommentet.  :)  (Mert a világunkban az online biztonság bármilyen fajtája először is egyfajta elköteleződés, és ezen túl már csak a személyes bizalom és a hit marad.)

( joco01 v | 2023. 05. 09., k – 14:14 )

Kérdés úgy általában az NFC-s fizetési rendszerekkel kapcsolatban.

Tegyük fel, hogy az én bankkártyám rákerül egy csaló telefonjára. Hogyan tudom leszedetni onnan? Mivel nyilván nem az én fiókom és telefonom. A bank tud ilyet? Vagy csak a kártya letiltása segít?

Nyilván bárminek csak akkor van értelme, ha a hiba megismétlődése ellen teszünk valamit. Engem most konkrétan a kártyakezelés technikai oldala érdekelne, hogy mit tesz lehetővé.

Issuing banks have the ability to control tokens associated with their physical cards. This allows, for example, to block or remove a card from a digital wallet with a simple remote command!

Innen van:

https://www.hst.com.br/tokenization-of-cards-what-it-is-how-it-works-an…

  • In case of losing the mobile phone, it is necessary to contact the Bank immediately in order to block the Token.

Ez meg innen : 

https://www.acba.am/en/individuals/choose-a-card/advices-to-cardholders…

Ebből nekem az jön le, hogy a Bank vissza tudja vonni a tokeneket.

Revolut esetén szintén beállítható az online vásárlás, az NFC, a mágnescsík, az ATM készpénzfelvétel, egyedül a chipes fizetést nem tudod külön letiltani (persze a kártyát magát letilthatod), ezen kívül még ott van a helyalapú biztonság, tehát ha a kártyát ellopják és máshol fel akarják használni, mint ahol a telefonod van, akkor ez nem lesz sikeres.

( nsandoragy | 2023. 05. 15., h – 10:32 )

!Félig off-topic

Elektronikus bankból (nem app, hanem a webes felület) indított átutalásoknál lehet napi limitet kérni/beállítani? Ha igen melyik banknál vagy?

Hétvégén "auditáltam" az online pénzügyi szokásainkat - részben ennek a postnak a hatására, részben az egyre mocskosabb módszerek miatt - és ennyi kérdés maradt bennem, de a banki tanácsadóm szerint ilyet nem lehet.

Az attack vector amiről szó van, hogy a támadó hozzáfér az elektronikus banki fiókomhoz és kimenő utalást kezdeményez. A közelmúltban lakásvásárlásnál azt láttam, hogy 8 jegyű összeget ugyanolyan utalni, mint kétezer forintot, nincs semmi extra security.

K&H-nál vagyok amúgy.

( zrubi v | 2023. 05. 15., h – 11:37 )

hogy a támadó hozzáfér az elektronikus banki fiókomhoz

innentől a támadó azt csinál amit csak akar, DE:

CIB-nél pl OTP (one time password #whithkey) és/vagy biometrikus megerősítés kell minden átutaláshoz.

Tehát, ha 'csak' az internetbankhoz szereztek valahogy hozzáférést, de telefonodhoz nem, akkor nem tudnak utalni.

zrubi.hu

Igen, valóban azt csinál, amit akar, hacsak nincs mondjuk egy utalási limit, amit ő nem tud megváltoztani, csak mondjuk telefonon vagy személyesen lehet ügyfélhitelesítés után (mint ahogy a telefonos appban van is ilyen 50k HUF a limit alapból) és ez egyfajta blast radius lenne. Vagy nem teljesülne azonnal és/vagy limit fölött jönne róla email vagy telefonos megkeresés.

K&H-nál is van OTP és/vagy biometrikus azonosító, használom is őket. Ilyen azonosításra feljogosított eszközt úgy lehet csinálni, hogy megadod a username/pass-t és aztán kapsz SMS 2FA-t a regisztrált telefonszámra. Tehát elméletben a username/pass (amit mondjuk tarthatsz a telefonod password managerében) és a telefonszámom (ilyen eltérítésekre is van példa lásd ez a cikk) a szűk keresztmetszet, ha ezt megkerülik valahogy, akkor máris tud csinálni egy authorized device-t saját biometrikus azonosítóval. Tudom, sok mindennek kell együtt állnia, de ki tudja... ezért gondolom, hogy a limitek mindeképpen jók ha feltételezzük, hogy minden törhető és akkor legalább tudod minimalizálni a kárt.

Az utalás instant és bár lehet követni hova ment, de mi van ha hajléktalan számlája? Ha jól tudom a mostani szabályozás szerint nekem kellene bizonyítani, hogy nem én voltam és a hibás utalás visszavonásához a fogadó félnek is bele kell egyeznie.

Akkor ha jól értem erre más bankoknál sincs nyilvánvaló megoldás?