„Miután észrevette a lopást, azonnal befagyasztotta a kártyáit (egy hagyományos és egy virtuális kártyája volt)” - első hiba. Amit nem használok, azt fagyasztani kell.
„Melinda mindeközben az Apple-t is megkereste, ha már a Revolut folyton az Apple Payre hivatkozva hárít. Itt annyit tudott meg, hogy a csalók minden bizonnyal valamilyen módon áttették a kártyáját egy másik Apple-eszközre, és sikerült is magukat azonosítaniuk a kétfaktoros azonosítás ellenére.” - második hiba, az xPay. Sokba kerül a lustaság.
Nem Melinda kapcsolta be az Apple Pay-t. A csalok kapcsoltak be, es figyeltek ki az SMS-eit backdoorral. Nem Melinda iPhone-jan volt a kartya Apple Pay-es valtozata. A csalok iPhone-jan volt. Melinda lehet, hogy nem is tudja, hogy tud Apple Pay-t a kartyaja/telefonja, a csalok akkoris ugyanide jutnak, sot.
Kulon erdekes, hogy az Apple ha 2FA kodot erzekel az SMS-ben, nem olyan hangosan notify-ol, igy nehezebb eszrevenni.
Nem tudom a masik csalonal volt-e ilyen SMS, de ugy nez ki igen.
Megneztem legutobbi Apple Pay bekapcsolasnal mit csinal az en high street bankom.
Okosabban csinalja: nem egy, hanem 3 SMS jon. A masik kettoben nincsen kod, igy nem kerulgeti az Apple-os notification rendszert. Es a masik ketto (utobbi laggolva) kulom kiemeli, hogy milyen szamot hivjak ha en nem regisztraltam ma Apple Pay-t.
Ahogy gelei irta a masikban: dEhAt OtT a ChAt UgYfElSzOlGaLaTnAk
Most mar mind latjuk miert gunyolodott jogosan gelei: annyit is ert az a chates ugyfelszolgalat.
Meg a litvan felugyeleti szerv is ertektelen. Ez is kiderult a cikkbol.
Talan az Apple-nek erdemes elkuldeni egy listat hogy ok mit kerjenek ki a Revoluttol.
A Revolut legalabb ne auto top upoljon. Meg jo lenne ha kuldene masodik SMS-t, frissen megvaltoztatott telefonszam eseten a regire is, hogy biztos te kapcsoltad-e be. Amig ezt nem csinalja, lehet jobb otlet nem hasznalni.
Az Apple Pay-jel semmi baj nincs, hasznalhatod nyugodtan. Csak STP nem fogta fel, hogy ez nem az ApplePay hibaja.
Amire figyelj meg: ha olyan masodik faktor kodot kapsz, amit nem kertel: azonnal tiltasd az osszes kartyad a picsaba, logoutolj minden sessionbol, valtoztass jelszot, stb.
Ugye a Revolutnak nem kötelessége/felelőssége, hogy a számítógéped/tableted/telefonod intact-ságát biztosítsa?
No de ki baszta akkor el?
1) Revolut, mert xarul figyeli a tranzakciókat és basszák meg a q anyjukat.
2) Litvánok, mert basszák meg a q anyjukat.
3) User, mert hüjje volt, és nem élt minden rendelkezésre álló egyszerű lehetőséggel, hogy megvédje a pénzét. Ráadásul volt akkora looser, hogy szemmel látható összeget tárolt rajta, miközben semmilyen kontrollja nincs a litván pénzügyi rendszerrel kapcsolatban. És így igaza lett az MNB-nek.
4) Apple, mert simán lehet transzferálni a az ApplePay-rendszerben a kártyát, anélkül, hogy komolyabban azonosítani kellene magát a tulajdonosnak.
Azert vagy helikopter, mert a user lehet hogy be se kapcsolta az Apple Pay-t (~= "sokba kerul a lustasag"). Lehet nem is tudta, hogy az iPhone-ja tud olyat. Sot, meg akkor is meg tudjak ezt csinalni csalok, ha nem iPhone-ja van.
Ezekutan azt mondani, hogy az a hulye aki bekapcsolja az Apple Pay-t, nem helyenvalo allitas.
Az egyetlen hiba amit az aldozat elkovet: nem gyanakszik es cselekszik ha keretlen 2FA kodot kap.
Q-ra nem. Az a baja, mint a hülye szőkének, aki kapott egy 911-est és 40e km környékén kinézett a hengerfej, hogy hol az olaj? Aztán amikor mentek panaszra a bikával a Porschéhoz, akkor szépen kilistázták nekik mp pontossággal, hogy mikor szólt az autó hogy hát olaj kéne és mikor nyugtázta azt a szőkeség.
Szóval ha pénzügyeket kezelek egy eszközön, akkor ahhoz érteni is kellene. És nem mosdatni, hogy nem ért hozzá eléggé.
1) Revolut, mert xarul figyeli a tranzakciókat és basszák meg a q anyjukat.
Igen.
2) Litvánok, mert basszák meg a q anyjukat.
Nem/talán - lehetne olyan, hogy nem kaphatna minden jöttment banki engedélyt, vagy előírhatna komolyabb kontrollokat.
3) User, mert [...] szemmel látható összeget tárolt rajta
Nem, mert nem ez történt. Olvasd el az előzmény threadet. Máshol lehetett PEBKAC a sztoriban, nem tudom.
Apple, mert simán lehet transzferálni a az ApplePay-rendszerben a kártyát
Talán, de nem értem, mi az, hogy transzferálni a kártyát. Nincs olyan, hogy az egyik telefonon azt mondod, hogy másoljon át egy kártyát egy másik iPhone-ra. Ahhoz meg kell csinálni a tokenizációt a másik telefonon is, ahol ugyebár a banknak meg kellene fogni az illetéktelen próbálkozásokat.
Ugye a Revolutnak nem kötelessége/felelőssége, hogy a számítógéped/tableted/telefonod intact-ságát biztosítsa?
Egyáltalán nem vagyok biztos benne, hogy a Revolut-nak nem kötelesség minden tőle telhetőt megtenni a csalások elkerülése végett.
Ha semmilyen kockázati elemzés nincs a top-up folyamatukban, akkor szerintem nem tettek meg mindent.
Az auto top-up, mint feature nem feltétlenül probléma, na de annak már fenn kellett volna akadni valami szűrőn, hogy pár percenként meg kell terhelni a mögöttes kártyát.
Az Apple Pay-jel semmi baj nincs, hasznalhatod nyugodtan. Csak STP nem fogta fel, hogy ez nem az ApplePay hibaja.
Imho az előzmény-thread jelentős része is arról szólt, hogy az emberek nem értik, mi az a Google/Apple Pay. :)
Nade csókolom. Az autotop mögötti kártyán mekkora volt a napi limit, hogy az egyik esetben 800k hufot, a másikban pedig EUR 5k-t sikerült leszippantani hirtelen? A magyar bankok nem arról híresek, hogy levennék a limitet, vagy ilyen 150-300k-nál nagyobb legyen a default napi limit. Még a 23:59 vs 00:01-es terhelést összeadva is kevesebb, mint amit lehúztak.
Lehet jönni azzal, hogy dehát áldozathibáztatás, de mindenkinek oda kéne figyelnie a pénzére, átgondolni, hogy mi történik, és úgy csinálni. Sajnos nagyon felsejlik, hogy a kényelmesség, kapkodás, rohanás, úgyfelejtés dolgok miatt is alakult így. Az hab a tortán, hogy egy malware jellegű fertőzés, és a mindenféle szolgáltatók ilyenolyan működése miatt ez hogyan használható ki. Sajnos olyan időket élünk, hogy egy bármikori malware bekapása, az csak roppant körültekintéssel védhető ki.
Az autotop mögötti kártyán mekkora volt a napi limit, hogy az egyik esetben 800k hufot, a másikban pedig EUR 5k-t sikerült leszippantani hirtelen?
Nem biztos hogy magyar kártyáról top-up-olt, Revolut esetén pl. nem is tudsz online limitet beállítani.
Vagy kikapcsolod a kártyát, vagy nincs limit.
Lehet jönni azzal, hogy dehát áldozathibáztatás, de mindenkinek oda kéne figyelnie a pénzére,
Szerintem egy átlagembernek már egyszerűen túl bonyolult a világ.
Már az is problémát jelent hogy átlássa hogy egy bankártyához milyen módon lehet hozzáférni,
a hozzátartozó kockázatok és védelmek pedig átláthatatlan számára, főleg ha több szolgáltatón keresztül proxyzzák ét a pénzt.
Nekem sem volt triviális azt megérteni pl. hogy a CVC nem követelmény sok esetben, ahol mégis bekérik ott sok esetben ellenőrzés sincs.
Nem biztos hogy magyar kártyáról top-up-olt, Revolut esetén pl. nem is tudsz online limitet beállítani.
Vagy kikapcsolod a kártyát, vagy nincs limit
Nem a Revolut limitje itt a kérdés, hanem annak a kártyának a limitje, amiről automatikus top-up volt beállítva. Revolut esetén a kártyán csak havi limitet tudsz beállítani, ami szerintem marhaság. Viszont amit a Revolut számla mögé beállítasz, hogy ha az egyenleg lecsökken adott szint alá, arról top-upoljon automatikusan, feltehetőleg lehet napi limitet beállítani. Ha van ilyen, nem tudja a Revolut feltölteni korlátlanul.
Ezt értem, én arra céloztam hogy ha Revolut meg tudja tenni hogy limit állítási lehetőség nélkül ad ki kártyákat (mert nincs erre törvényi szabályozás), akkor ezt meg tudja tenni másik társaság is.
Meg tudja tenni persze. Vajon az elmúlt évek mindenféle hírei kapcsán (csak a klasszikus kártyacsalásokra elég gondolni) ellenőrizzék, hogy a bankos kártyájukon van-e és ha igen akkor milyen napi vagy bármilyen limit?
A Revolutnál van limitállítási lehetőség. Törvényi szabályozás nincs, mindenki el tudja dönteni, hogy milyen paraméterekkel köt szerződést, megteheti, hogy ha nincs limitállítási lehetőség, nem szerződik.
Kérlek, akkor oszd meg velem hogy az internetes vásárlási kihegyezett Virtual kártyák esetén hogyan tudok limitet meghatározni az internetes vásárlások esetén.
Spending limit csak debit kártya esetén van, ott sem az internetes vásárlásokra, hanem a teljes forgalomra.
Értem. Viszont ha egyszer használatos kártya használatával nem kell limit. A debit és credit esetén pedig mint írtam több példa is van, internetes limit állításra. Ha valaki nem akar interneten költeni fix 0 vagy 1Ft-ra állítja és kész.
A virtual kártyán tudsz, az egyszer használatosnál nem tudsz limitet állítani. Viszont az egyszer használatost csak akkor tudod használni, ha hozzáférsz az alkalmazáshoz, lévén azt nem tudod Apple Pay, Gpay stb. alá betenni. Ha meg hozzáférsz az alkalmazáshoz, akkor semmit nem érsz a limittel, mert át tudod állítani.
Szóval kérlek, oszd meg, hogy az egyszer használatos kártyánál mi értelme van a limit meghatározásának.
Nem biztos hogy magyar kártyáról top-up-olt, Revolut esetén pl. nem is tudsz online limitet beállítani.
Vagy kikapcsolod a kártyát, vagy nincs limit
Nem a Revolut limitje itt a kérdés, hanem annak a kártyának a limitje, amiről automatikus top-up volt beállítva. Revolut esetén a kártyán csak havi limitet tudsz beállítani, ami szerintem marhaság. Viszont amit a Revolut számla mögé beállítasz, hogy ha az egyenleg lecsökken adott szint alá, arról top-upoljon automatikusan, feltehetőleg lehet napi limitet beállítani. Ha van ilyen, nem tudja a Revolut feltölteni korlátlanul.
A Revolut-ot mindenképp felejtsd el jelen állás szerint, illetve csak annyi pénzt tarts a kártyán, amit nem sajnálsz ha elbuksz. Revolut és Apple infrastruktúra a cikk alapján különösen életveszélyes az eszközök (laptop, mobil, tablet, stb.) közötti szinkronizálás miatt, ha bármelyik eszközt törik, akkor mindent vihetnek. Az Apple ilyen szempontból egy security rémálom, teljesen nyilvánvaló, hogy vagy nem történt meg a threat modeling, vagy megtörtént, de lesz.rták.
JFYI Revolut egy bank, ugyanolyan eséllyel van lehetőséged jogorvoslatra, de nem látom adott esetben ez mit segítene, a jogi vitát nem lehet itt megnyerni.
- A normál bank mögött van egy működő bankfelügyelet
JFYI Revolut egy bank, van mögötte működő bankfelügyelet, nem látom azonban az adott esetben ez mit segítene.
- A normál bank költ rendesen fraud ellenőrzésre (lokáció, ismeretlen tranzakció, és a többi)
Te biztos tudod mennyit költ melyik bank, gondolom van valami összehasonlító adatod is. (hint a Revolut is utasít vissza tranzakciókat).
- A normál banknál történik rendes személyazonosítás (a küldj telefonnal befényképezett dolgokat egy vicc, nem azonosítás)
Oké, valid pont... Ja bocs pont ez a lényeg ugye?
- A normál banknál le lehet tiltani MINDENT is ha gáz van
Kezdem azt hinni fingod nincs arról amiről beszélsz. A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól
- A normál bank nem fog szórakozni neked pár ezer $ esetén ha történik egy ilyen esemény, hanem csont nélkül visszaadja a pénzed
De fog, csak nem hallasz róla.
- A normál banknál nem egy nyomorult harmadik világbelivel kell beszélni
Jah, az mindjárt más :) Nem beszélsz nyelveket nem kell külföldivel szerződni.
Kezdem azt hinni fingod nincs arról amiről beszélsz. A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól
Többnyire. Viszont az, hogy a kártya esetén nincs napi limit beállítási lehetőség, csak havi, szerintem kifejezetten hátrányos.
Aha, tud 50 másik dolgot, napi limitet nem. Persze nem lenne rossz ha tudna, de nem látom ebben az esetben hogy védte volna meg ezeket a felhasználókat. Hisz az elérhető egyéb védelmet se használták.
Ha van egy félmilliós napi limited, akkor elég bonyolult 8 milliót lehúzni egy éjszaka alatt. Szóval így. A havi limit szerintem tök értelmetlen dolog, az egyenértékű azzal, hogy nincs.
Az imént másoltam be, hogy mások vannak. Például location security, meg online pos tiltás, meg mindenféle. A napi limit persze nagy okosság lenne, csak azért van több megoldás is.
Itt a lényeg. Nem is értem, min vitatkoztok. A többi lehetőséget nem vitattam, van, amelyiket használom is, viszont ettől függetlenül a napi limit hasznos dolog (lenne).
csak standard és virtual: kiadási limit (havi, így nem sok értelme van), kártya címkézése, cvv zárolása, kártya megszüntetése. talán magasabb csomagban vagy fizikai kártyánál van ilyen lehetőség?
Ha jól látom itt 800eFt és EUR5500 volt a tét ahol a 800eFt folyamatos topup a EUR5500 direkt költési célra lett elkülönítve. Nem mondom, hogy nem lenne kényelmesebb, de ha ezek az illetők nem értették mit tesznek. Közel sem biztos, hogy egy (akár alapban bekapcsolt) napi limit megállított volna valakit is.
Szerintem eleve a "Location security" opció fogta volna egy részét a dolgoknak napi limit nélkül is. Ha szuperkényelem kell, akkor a napi limitet fel lehet tenni jó magasra, mert esetleg egy default 1k EUR olyan kis "feszes"... Na innentől megint ott vagyunk ahol a part szakad.
"JFYI Revolut egy bank, ugyanolyan eséllyel van lehetőséged jogorvoslatra"
Litván vitarendezési fórumokon, litván nyelven és a litván jogrend szerint eljárva, szükség szerint a litván jogszabályokat ismerő, ott jogi képviseletet ellátni jogosult ügyvédet igénybe véve.
"A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól"
Milyen lehetőség van napi limitre? Milyen lehetőség van n darab tranzakcióra vonatkozó összeghatár beállítására (a következő 3 tranzakció összesen lehet 123456Ft)? Mindezt mobilos alkalmazásból...?
"Nem beszélsz nyelveket nem kell külföldivel szerződni."
Lovon fordítva ülés esete: ha adott országban szolgáltatást nyújt, akkor elvárható lenne az ország hivatalos nyelvén elérhető kompetens ügyfélszolgálat. (Plusz az adott országban legyenek rendezhetők a jogviták - ja, hogy ebben az esetben magyarországi jogi entitással is kellene rendelkeznie a revolut-nak, és a hatályos hazai jogi szabályozásbak, valamint az MNB ajánlásoknak is meg kéne felelni...?)
A tranzakciós illeték mellett nem hiszem, hogy valaha megjelennek normálisan magyar honban. Amit a bankokkal művel a kormány (a bankok minden hibája mellett) sima útszéli rablás.
Nem kell, hogy megjelenjenek - ha a magyar nyelvű ügyfélszolgálat és magyarországi ügyfelek esetén magyar nyelvű, magyarországi vitarendező fórumok elfogadása megvan, akkor bánja kánya...
Litván vitarendezési fórumokon, litván nyelven és a litván jogrend szerint eljárva, szükség szerint a litván jogszabályokat ismerő, ott jogi képviseletet ellátni jogosult ügyvédet igénybe véve.
Kihúzással, de ameddig nem ír meg egy sima complaint levelet addig csak sipákoló.
Milyen lehetőség van napi limitre
"Ja az mind van, de mi a helyzet a XYYZTvel" aha...
Lovon fordítva ülés esete: ha adott országban szolgáltatást nyújt
Nem az országban nyújt szolgáltatást, hanem az ország polgárai számára. Biztos vagyok érted mi a különbség. (nagyon pozitív ha ad, de korántsem "várható el").
Továbbolvasva értettem meg:
Plusz az adott országban legyenek rendezhetők a jogviták
Hogy nem érted mégsem mik a határon átnyúló szerződések.
A revolut-nak van olyan szolgáltatása, amiért nem kér pénzt, valóban, de attól még nem ingyenes, csak épp az adataiddal, a náluk pihenő pénzed forgatásából származó nyereséggel és hasonló apróbb-nagyobb dolgokkal fizetsz.
Ingyen regisztralhatsz magadnak szamlat, ingyen tehetsz rapenzt, tarolhatod rajta, ha nem hasznalod, nem ker enni. Az adataiddal pedig sokra nem mennek. Ha valtogatsz, akkor nyilvan felszamit sajat koltseget, de melyik bank nem? Raadasul sokkal kevesebbet, mint barmelyik hazai bank. Mellette tozsdezhetsz, kriptozhatsz, egyszer hasznalatos szamlaszam, virtualis kartyak, jo az app, nfc-pay, stbstb. Mindez az ingyenes regisztracioval - tehat I-EN-GYE-E-EN, azaz nem penzert, hanem ingyen (nem fizetsz erte egy petakot sem, tehat nem kerul penzedbe, mert ingyen van.) :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nem, ez egy urban legend. És itt a Revolut lecserélhető tetszőleges külföldi bankra. Mindenféle túlzás nélkül állíthatom, hogy az emberek 99%-ánál jobban értem a hitelintézetek világát, beleértve a releváns magyar jogszabályokat: Hpt, MNB tv, stb. És még így sem triviális "jogorvoslati lehetőségek" keretén belül bármilyen eredményre jutnom, vitás kérdés esetén.
Fejeld ezt meg külföldi banknál az idegennyelvi követelményekkel, az idegen jogszabályi környezettel, stb., aztán majd látod, hogy ez a "jogorvoslati lehetőség" mennyit ér a gyakorlatban.
Ok. Meg vagyok róla győződve, nem én vagyok az egyetlen akinek volt már ügye külföldön és eredményt ért el. De lehet, hogy a te saját magadból kiinduló feltételezésed az igaz..
Az ugyanolyan itt egy szófordulat volt, mivel itt az a szituáció, hogy miután XY tokenizálta a kártyáját utána már a Revolut nem kíván vele foglalkozni és a legtöbb bank sem foglalkozik vele meg CRM alatt sem.
Az amit itt látunk az csalás amit információs rendszer felhasználásával az emberünk ellen követtek el. Elég szar világ lenne, ha minden órás/telefonos fizetést elkezdene ellenőrizni a szolgáltató. (szerintem)
A jogos panasz itt az lenne, ha a Revolut kártya adataival történt volna a vásárlás.
Ha a jogvita vitarendezési szinten van, akkor erősen javasolt, ha meg perré alakul, akkor meg egyértelműen kell a helyi jogrenddel tisztában lévő, jogi képviselet ellátására jogosult segítő (ügyvéd)...
Meg vagyok róla győződve, nem én vagyok az egyetlen akinek volt már ügye külföldön és eredményt ért el
Nincs itt semmi ellentmondás. Azt mondtam, hogy ha hazai, ismerős környezetben a sikeres kimenetel esélye P(hazai), és külföldi pereskedésnél ugyanez P(külföldi), akkor P(külföldi) < P(hazai).
Valoszinuleg eletedben nem lattal meg kozelrol banki/fizetesi rendszert, elarulom hogy igen, minden egyes tranzakciora mindig lefut valamilyen szintu threat detection a penzugyi szolgaltatoknal. Es ahogy a cikkben kiemeltek igen komoly problema hogy a Revolut risk assesmentje egy szar, teljesen eletszerutlen helyen es idoben torteno kolteseket siman atenged.
„Nem Melinda kapcsolta be az Apple Pay-t. A csalok kapcsoltak be, es figyeltek ki az SMS-eit backdoorral.” Az csak feltételezés részedről, hogy nem volt ApplePay-je.
Node, az lenyegtelen a tortenet szempontjabol. Ha megvannak a kartya adataid (nev, cvv, lejarati datum, szam) es hozzaferek az ellenrozo kodot fogado SMS-hez, akkor be tudom rakni a kartyat xPay-be, de tudok vele online is vasarolni.
A Revoluttol keri le az adatakot es oda kuld a Revolut SMS-t. Nem az Apple, hanem a Revolut kuldi ki az SMS-t. Az ugyfel szamara. Aztan kuldi az Apple-nek az adatokat, hogy "sikeresen azonositottam az ugyfelet, createApplePayToken hivhato"
A csalas resze hogy a 2FA SMS-t backdoorral leolvassak. Esetleg olyat is el tudok kepzelni, hogy megvaltoztatjak a telefonszamot.
Cikk szerint „Ezen a ponton egy hetekkel korábban érkezett sms-nek is nagy jelentősége lehet”
Tehát jól értem e? Nem vagyok ApplePay használó, de kapok egy ApplePay-jel kapcsolatos, kódokat tartalmazó SMS-t. Ami még figyelmeztetést is tartalmaz. És ignorálom.
Tehát szívem joga nem gyanakodni (mint amikor az ajtózáramon jól látható karc nyomok vannak), aztán amikor kár ér, nézek csak nagy boci szemekkel?
Ha meg backdoor van a gépemen, akkor a bank a hibás?
Mondjuk a 2FA SMS-sel - meg úgy általában az SMS-sel - az a baj, hogy nem garantált a kézbesítése.
Nem is értem, hogy ha Revolut ügyfél az illető, akkor miért kell neki SMS-t küldeni? Kaphat(na) az APP-ban is üzenetet, amihez biometria azonosítás rendelhető. => @Revolut q anyjukat, ahogy már párszor írtam.
Amikor hozza akarom adni a Google Wallethez, a telefon megkerdezte, hogy appos belepessel, vagy SMS koddal hagyom jova a kartya digitalizalasat. iOS-nel Apple Pay-hez mintha nem valositottak volna meg, csak az SMS kodot (nem emlekszem, hogy mi volt legutobb). OTP-bank eseteben pl valaszthatok, hogy vagy felhivom a bankot, vagy SMS kodot kerek.
Az Apple sehonnan. A kartya szama alapjan az Apple rendszere megkeresi a kibocsajto rendszeret, es itt van egy authentikacios lepes, majd ha ezt lejatszotta a felhasznalo, akkor kap az Apple rendszere visszajelzest a banktol es azutan mukodik a digitalizalt kartya. A jovahagyas modjat, ha tobb felet implementalt a kartyakibocsajto, akkor azt a felhasznalo valaszthatja ki. Talalkoztam mar telefonhivasos aktivalassal, ahol a bank emberevel kellett beszelni es o aktivalta, talalkoztam mar SMS koddal, illetve talalkozta mar olyannal, hogy a banki app kapott notifikaciot, hogy engedelyezzem az Apple Pay hozzaadast az adott kartyaszamra.
Ha SMS kuldes van, azt sem az Apple kuldi, hanem a kibocsajto.
Nem ertelek. Hogy erted, hogy ha neked nincs, akkor nem lehet transzferalni? Ha tudom a kartyad adatait, be tudom rakni a te kartyadat az en Walletomba.
Ez a mondat értelmetlen. Neked nincs Apple Pay-ed, de ha én tudom a te kártyaszámod, és hozzáférek a te 2FA csatornádhoz, akkor az én telefonomon tudom tokenizálni a te kártyádat.
Almás környezetben az SMS szinkronizálódik a Almás gépére is, ahol egy kártevő el tudja fogni, fel tudja használni, és tudja törölni is - ahogy a cikkben van - ennek a kockázata döntően az ügyfélé. Ha nincs sms-szinkronizálás, és/vagy a 2FA nem SMS, hanem push, amit a mobilos alkalmazás kap el, akkor ez a támadási mód nem működik.
Nem. Hiszen teljesen szabvanyos, Bluetooth-on keresztuli notifikacio megosztasrol, illetve notifikaciora adott akciokrol van szo. Parositanod kell a telefonodan egy bluetooth kepes eszkozzel, majd ha mind a ketto tamogatja a notifikaciok megosztasanak a protokolljat, akkor a telefonon lesz opcio arra, hogy engedelyezd a megosztasat a notifikacioidnak. A Windowson futo szoftver, igy ha a szamitogep kozeleben vagy, megkapja az ebben az idoszakban megerkezo notifikaciokat (ahogyan az okosorak, kijelzok, stb is megkapjak). Semmi "varazslat" nincs benne, de a mukodeset az usernek explicite engedelyeznie kell magan, a mobilkeszuleken.
Szerk: Mivel a notifikaciokra lehet valasz akciokat visszakuldeni, az MS ugy valositotta meg az uzenetkuldest, hogy valaszol egy korabbi notifikaciora a megfelelo akciokoddal. Van valamennyi karakterlimit mind a ketto iranyba, plussz mediatartalom sem kuldheto, mert ezek nem mennek at a notifikaciokban.
iOS eseten az MS megoldasa a notifikaciok szoveges tartalmat kapja el, amire lehetoseget nyujt a Bluetoothban levo Alert Notification Profile. Tehat, ossze kell parositani a ketto eszkozt. Ezt a profilt mar nagyon sok Windows Mobile PDA is ismeri 20+ evvel ezelottrol. Pl. az olyan Bluetooth fulesek, amelyek rendelkeztek kijelzovel, azok ezen profil segitsegevel mutattak meg a notifikaciokat (pl. hogy leveled erkezett a Pocket Outlook Express-be).
Tehat ezen profilt alkalmazva, el tudja kapni a szoveges tartalmi reszet a push uzenetnek a masik eszkoz (pl. Windows 11).
Az SMS eleje (ahany karakter elfer a profil adatcsomagjaban) igy elerhetove valik, ha ebbe a kod belefer, akkor a kod is. Viszont a Revolut app, ha appon beluli jovahagyast valasztassz, akkor csak annyit tartalmat kozol a szoveges notifikacioban, hogy "Revolut: Card authorization for Google", that ugy nem megy at semmilyen kod, hiszen, az appba belepve sem kell kodot utni, csak gombot nyomni, hogy engedelyezed (ofkorsz, az maga az app hitelesit teged elotte/kozbe).
"Az igazi megoldás az lenne, ha a bank pl. nem ajánlaná fel az SMS-t. Push az appban, vagy kód az authentikátor appból, meg hasonlók lennének csak."
Az a baj, hogy az egyszeri felhasználóknak még az SMS-es megerősítés is sokszor embert próbáló feladat. AZ ilyen appok beállítása, használata, mentése meg pláne az lenne, mert amit nem ment az iCloud, az az életben nem lesz lementve. Én is örülnék, ha az Authenticator-os 2FA általánossá válna, de jelenleg a GitHub-on, OVHCloud-on, Gmail-ben és hasonló helyeken használom, az egyszerű mindennapi oldalakon az a csoda, ha lehet hosszabb a jelszó mint 8 karakter és mégnagyobb csoda, ha lehet benne minden karakter amit elsőre generál a Bitwarden.
Azt kerdezted az elobb, hogy el lehet-e kapni a Push uzeneteket. Leirtam, hogy el lehet. Illetve leirtam azt is, hogy hogyan van ez a megoldas kivitelezve pl. a Windows 11-ben.
Nem ertem, hogy hogy jon ide az user csatornavalasztasa.
De, hogy a csatorna valasztasra is reagaljak, amikor a Walletbe adod hozza a kartyat, ott, az az eszkoz kerdezi meg, hogy hogyan akarod magadat hitelesiten, amelyknel a folyamatot elkezdted. Azaz, ebben az esetben, a tamadonal levo keszulek kerdezte meg, az azonositas modjat. Az elerheto hitelesitesi modok listaja pedig a kartyakibocsajtotol jon. Van kibocsjato aki ezt, van aki azt implementalta. Itt, ha a tamado az SMS-es hitelesitest valasztja, akkor az a keszulek kap SMS uzenetet, aminek a szamat ismeri a kartyakibocsajto (tehat a szamot nem a tamado adja meg). Ezt, az eredeti felhasznalohoz erkezo SMS-t csakliztak el valahogyan az aldozat geperol.
Amikor csapatos keszulekcsere utan adogatom hozza a kartyaimat a keszulekekhez, akkor 2-3. eszkore torteno hozzaadas utan, azt hiszem mar csak a telefonalasos aktivalast kinalta fel a telefonom, amikor az OTP kartyakat adogattam hozza. De mivel nem figyeltem meg, hogy mas bankok kartyajanal mi volt.
És a konklúzió(m) az volt, hogy bár valszeg el lehet kapni, de max annyi történhet, hogy nem kapok értesítést arról, hogy hitelesítenem kellene a készülékemen egy tranzakciót. És ha nem hitelesítem, akkor nem történik semmi. Azonban ha csak arról kapok üzenetet, hogy helló, valaki elvitte a kártyádat, majd a pénzedet, tudj róla, akkor ott valami q nagy workflow probléma van.
Itt megint csak azt tudom mondani, hogy tobb helyrol van kartyam, van kozte valodi bank, van kozte mas, penzzel foglalkozo intezet is, de azt hiszem, az OTP az egyetlen, aki kuldott egy SMS-t, hogy hozaadtam egy kartyat a wallethez. Viszont ha az SMS utvonal fertozott, akkor ahogy a cikkben is irva van, az uzenetet is ki tudjak torolni.
Ebben a topicban már vagy egy tucatszor elhangzott, hogy az SMS - mint csatorna - és az SMS szinkronizálás nem biztos, hogy kellően jó megoldás, tehát ez nem érdemes tovább vesézni.
Tehát akkor, milyen módon lehet a cikkben írt lenyúlásnak elejét venni? Főleg, ha az R1 gépe fertőzött.
Amikor megjelenik a 2FA keres abban a webviewban, ahol eppen fizetnel, ott nincs egy SMS failback link, mint ami van az OTP-nel, volt a K&H-nal (nincs kh-m amiota van 3DS az OTP-nel), van a Revolutnal? Ezek mind pusholnak alapbol, de ha nem tudsz reagalni a pushra, pont ugyonugy kerhetsz SMS failbacket, ahogyan kerhettem SMS azonositast a Push azonositas helyett, amikor par oraval ezelott, beraktam a Walletbe a Revolutos kartyamat kiprobalas celjabol.
Ez alapvetően egy cybersecurity kérdés, és azon belül is risk management. NIST környékén érdemes nézelődni hogy ezt hogyan kis kellene jól csinálni, illetve a systems engineering-ben egy elég fontos terület úgy általában a risk kezelés, nem csak cyber, hanem "hagyományos" rizikók esetében is.
Mint felhasználó túl sok mindent nem tudsz tenni. Természetesen lehet azt csinálni hogy külön leválasztod a banki műveletekhez használt eszközt a mindennapi eszköztől, de ezt kevesen fogják megtenni. Hogy második faktort mit használ az adott szolgáltató, az sajnos sokszor nem rajtad múlik (és sms-re fallback nagyon sokszor van). Ami téged védeni tud, az a bank saját fraud detection system-je, illetve ha olyan folyamatuk van, amelyben inkább visszautalják a pénzt, mintsem hogy elkezdjenek szórakozni, a bizalom miatt.
Véleményem szerint egyértelműen a Revolut felelőssége annak a rendszernek a kialakítása, hogy a kártyabirtoklás azonosítása egyértelműen megtörténjen. Az egy döntés hogy ők milyen technológiát választanak, és az SMS választása esetén a risk analízis elvégzése. Egy normál bank esetén ez alapvetően úgy fog kinézni, hogy tudjuk, hogy egyébként nem tökéletesen biztonságos, de van annyira erős fraud detection-ünk, illetve van annyi tőkénk, hogy ha gond van, akkor az ügyfelet csont nélkül kártalanítjuk: fenntartva a bizalmat.
A Revolut úgy döntött, hogy még ha az ügyfél be is szívja, akkor sem foglalkoznak vele, arra építve, hogy ha az ügyfél végigfutja a köröket és perre viszi, akkor majd megegyeznek.
Ez alapján döntse el mindenki hogy akar-e egy ilyen céggel üzletelni.
A Revolut úgy döntött, hogy még ha az ügyfél be is szívja, akkor sem foglalkoznak vele, arra építve, hogy ha az ügyfél végigfutja a köröket és perre viszi, akkor majd megegyeznek.
Magam is így gondolom. Folyamatosan veszteséges, égeti a pénzt a cég, erre nincs már kerete valszeg. De ez nem jelenti azt, hogy ésszel ne lehetne használni a szolgáltatását.
cseszegetheted a revolutot, ha megint csak az derült ki, hogy a biometrikus azonoítás miatt hitelesként kezelt apple pay-ben van lyuk, mert laptopra átszinkroninálta az sms-eket és a laptopja lehetett fertőzött és így már nincs biometrikus azonosítás. Szóval mégiscsak az apple pay kapcsán van egy olyan use-case, ami kihasználható, főleg ha az ügyfél bekapcsol ilyen kényelmi szolgáltatásokat. Ez egyébként azt hiszem android és windows esetén is létezhet, a win11 telepítő is kínálgatta emlékeim szerint, hogy kapcsoljam össze telefonnal.
A biometrikus azonositas a fizetesnel van, az ellopott OTP SMS pedig a kartya hozzaadasnal van, a ketto egymastol fuggetlen.
Tulajdonkeppen, a bank a hozzaadas utani authentikacional bizonyosodik meg arrol, hogy a kartya hozzaadasat jogosult szemely kovette el, a fizetesnel torteno biometrikus/passcode azonositassal pedig az Apple/Google bizonyosodik meg arrol, hogy a keszulek hasznaloja hasznalja a kartyat.
Itt alapvetoen az most a bibi, hogy a bank lett becsapva tulajdonkeppen.
ezt hogy tudom ellenőrizni, állítani?
Beállítások, iCloud, iCloudot használó appok, Összes megjelenítése. sose volt bekapcsolva. Tárcát bezzeg synceli, holott új telefonra nem bírja átvinni a bankkártyákat.
Alapvetően igaz, de azért nem ilyen egyszerű a helyzet.
Én régebben volt, hogy valami kártyát (talán Revolut, talán Curve) fagyasztottam, aztán valahol fizettem volna és nem ment, mert persze elfelejtettem. Kb. azóta nem is használtam ezt a lehetőséget. A legnagyobb bajom az volt, hogy a terminál nem mondta, hogy fagyasztott kártya, csak azt, hogy sikertelen a tranzakció. Megpróbáltam 2-3 alkalommal, mindig visszadobta. Fizettem máshogy, aztán amikor megnyitottam az appot, hogy megnézzem, látok-e valami gyanúsat, akkor találtam rá, hogy hát be van fagyasztva.
Most, ezt a topic-ot olvasgatva viszont elhatároztam, hogy a sok nem használt kártyámat tényleg befagyasztom. Nos, mérsékelt a siker.
Befagyasztottam a debit kártyámat, a Revolutot és a Curve-öt, befagyasztottam néhány nem használt (csak fiókban heverő) hitelkártyát. Volt, amit egyszerű volt, volt, ahol az ügyfélszolgálatnak kellett végigvinnie a menükön, mert el volt dugva.
De van olyan (pl. Erste HU), ahol nem találtam befagyasztási lehetőséget. Meg olyan is van (AmEx), ahol be lehet fagyasztani egyszerűen, viszont 7 nap múlva automatikusan kiolvasztja, és erről nem lehet lebeszélni.
A mindennap használt kártyát meg nem akarom befagyasztani, mert nem akarok minden egyes buszra szállás előtt mobilbankot indítani, remélni, hogy van mobilnet, olvasztani, érinteni, fagyasztani. Ugyanez minden boltban, minden online fizetéskor. Túl sok macera.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
A téma szempontjából nagyjából már tisztázódott, hogy attól, hogy valakinek nincs Apple Paye, még ugyanúgy megszívathatják, ha a kártya összes adatát és a 2FA csatornát megszerzik, mintha lenne. Tehát a 'sokba kerül a lustaság' kitétel egy marhaság.
Így van, de a leírtak alapján a Revolut használata egyáltalán nem biztonságos, csak annyi pénzt tartson ott bárki, amit ha elbukik, az nem fáj nagyon. A litvánokon egyébként én is berágtam, gondolkodtam régebben ilyen Fintech megoldásokban, de nem, köszönöm szépen, az a havi 1000 forint nem vág földhöz amennyibe egy bankszámla kerül, cserébe viszont van rendes felügyeleti szerv és jogvédelem.
1. A tulaj: a revolut egy rakás korlátozó beállításra ad lehetőséget, ha épp nem kocsit akar venni, minek van ennyi pénz egyben a fő számlán. Miért egy korlát nélküli kártyát használ online (mivel gépen keresztül lopták el, legalább egyszer bepötyögte az adatait)
2. Apple: pöpec kényelmes dolog ez az üzenet tükrözés, de azért rendesen hazavágja az sms mint 2fa biztonságát (ami amúgy is a béka feneke alatt van)
3. Revolut: sms mint 2fa egy fintech cégnél konkrét szégyen. Az ügyfélszolgálat meg a másik fele (mondjuk mostanában a bankoknál is sikerült többször olyat kifogni hogy csoda hogy szobatiszta volt)
De ennek a háromnak egyszerre kellett hibádznia.
Secu alapelvek:
Zero trust: ne bízz egyik résztvevőben sem, akkor sem ha banknak látszik
Oszd meg és uralkodj: revoluton 10mp feltölteni pénzt, tegyél mögé két független bankot, így 3 önállóan védett helyre tudod szétosztani a pénzt, és a revolut mint frontharcos csak annyit kap amennyi feltétlen szükséges a következő 1-3 napon. Egyszeri fizetésre eldobható kártya, ismétlődő fizetésre az adott célra dedikált virtuális kártya havi limittel (ez abban is segít hogy egyből kiderül melyik szolgáltatótól került ki az adata)
mi a bakkecskéért kell a revolut? mire képes, amire egy közönséges magyar bank nem? ott van a magyar bank, szuper megbízhatóan működik: a 1855 ft-os e-on számlámat engedélyezni kellett az app-ban, a 33 ezres alibaba költést csengetés nélkül átengedte :D
Fel lehet venni a kártyáját a Google Pay-be és így nem kell a bank "sajátmárkás" appját használni erre a célra. Bár ez bankváltással is orvosolható. ;)
Pár gombnyomásra korlátozható pénz, lokáció limitek. Alapból ingyenes számlavezetés többféle pénznemben. NFC támogatásban is le volt maradva némelyik bank. Az, hogy van aki korlátlan világjeggyé alakítja a fiókját és korlátlan pénzleszívásra állítja be a banki fiókját is, az már nem a revolut hülyesége. Lassan, több év késéssel és kókányabb módon működő appokkal kezdik közelíteni azt a bankok, amit revolutban lehetet évekkel ezelőtt.
A magyar bankok és a magyar bankadóztató rendszer ott húz le, ahol csak tud és cserébe fapados, mint az állat.
Lehet ki kellene egesziteni a fenti kerdeseket azzal, hogy ezek a dolgok mely bankoknal erhetoek el anelkul, hogy be kelljen menni az irodaba szemelyesen.
Szamlanyitas mukodik online (kulfoldrol is), a tobbi dolog szerintem nem annyira evidens. Pl. szerintem szamlat megszuntetni online nem is lehet (mondjuk ez lehet, hogy nem mindig hatrany).
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Gyerekszámlákat amikor néztem mind vicc kategória volt. Azt nem tudom, hogy mobilbankok kezelik-e rendesen. Revolut egyszerű gyerek (ek)nek is nekem is. Joint - magyar banknál nem láttam még olyat, hogy két tulajdonos.
ezek a dolgok mely bankoknal erhetoek el anelkul, hogy be kelljen menni az irodaba szemelyesen.
Gyerekenként egyszer kell bemenni, hogy számlát nyiss nekik. Én nem ez alapján választanék bankot, de értem, hogy kényelmesebb anélkül.
Szamlanyitas mukodik online (kulfoldrol is)
Én nagyon-nagyon ritkán nyitok új bankszámlát, néhány évente egyszer. Külföldről még sosem nyitottam számlát, így nekem ez nem érték. Ha valakinek igen, akkor nyilván limitáltabbak a lehetőségeid.
szerintem szamlat megszuntetni online nem is lehet (mondjuk ez lehet, hogy nem mindig hatrany).
Hát, ez Revolutnál sem triviális, mert van 0.34 forintom a számlán, és nem hajlandók addig megszüntetni az accountomat, amíg onnan ki nem utalom. :)
Gyerekenként egyszer kell bemenni, hogy számlát nyiss nekik. Én nem ez alapján választanék bankot, de értem, hogy kényelmesebb anélkül.
Ha a gyerek is kulfoldon el es normal esetben nem Bp-re mesz haza (ahol minden banknak van fiokja) akkor sokkal kenyelmesebb tud lenni...
Én nagyon-nagyon ritkán nyitok új bankszámlát, néhány évente egyszer.
En is ritkan, ennel ritkabban, de amikor kellett akkor nagyon kenyelmes volt.
Hát, ez Revolutnál sem triviális, mert van 0.34 forintom a számlán, és nem hajlandók addig megszüntetni az accountomat, amíg onnan ki nem utalom. :)
Vegyel vele valami kriptot es par nap mulva nullara redukalodik az osszeg :) De amugy az ilyen normal bankoknal is van, csak ott a penztarban a kezedbe nyomjak a penzt (de ugye szemelyesen jelen kell lenned hozza, jo kis oraber).
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ha a gyerek is kulfoldon el es normal esetben nem Bp-re mesz haza (ahol minden banknak van fiokja) akkor sokkal kenyelmesebb tud lenni...
Ha életvitelszerűen külföldön élek, akkor miért nyitnék magyar számlát a gyereknek? De ha már szőrszálakat hasogatunk, akkor az osztrák határtól Sopronnál 8 km-re van OTP, Kőszegnél meg 5 km-re.
De amugy az ilyen normal bankoknal is van, csak ott a penztarban a kezedbe nyomjak a penzt
Ha életvitelszerűen külföldön élek, akkor miért nyitnék magyar számlát a gyereknek?
Revolutrol is szo volt, Revoluton csinaltam neki :) De ha M.orszagon akartam volna akkor csak szemelyesen lehet. Amugy lehet hasznos ha amugy magyar allampolgar. A magyar hatar kicsit messzebb van tolem mint 8-10km.
Mármint mit? A 34 fillért? Ne viccelj már. :)
Akkor hogy csinaljak egyebkent? Fogalmam sincs, gondolom jogszabaly szerint nem tehetik csak ugy zsebre, kiadni eleg nehez, akkor? Ala kell irnod valamit, hogy nekik adomanyozod? :D
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
De ha M.orszagon akartam volna akkor csak szemelyesen lehet.
A kérdésem pont az volt, hogy miért akartad volna pont Magyarországon, ha ilyen messze laktok?
Akkor hogy csinaljak egyebkent?
Általában olyasmi a workaround, hogy az üzletszabályzat szerint a bank felszámolhat díjat a számla megszüntetéséért, pl. ezer forintot, de max a számlaegyenleg erejéig. Ez a gyakorlatban azt jelenti, hogy a 0.34 forintot "befizeted" a banknak, költségtérítésként. :)
A kérdésem pont az volt, hogy miért akartad volna pont Magyarországon, ha ilyen messze laktok?
El tudok kepzelni olyan szituaciot amikor fontos vagy erdemes. Nekem ilyen nem all fenn jelenleg, de pl. van a gyereknek babakotvenye, lehet ahhoz majd kell kesobb szamla, hogy elutaljak valahova (gondolom neki es nem a szuloknek), de az meg jo par ev. Erre akar egy Wise is jo lehet amugy, ahhoz nem kell szemelyes jelenlet, viszont 18 eves kor betoltese feltetele a szamlanyitasnak.
Kozben utana is neztem:
"Ugyanis a Babakötvényt eladni és a megtakarított összeget felvenni kizárólag a gyermekünk tudja majd azt követően, hogy betöltötte a 18. életévét." (forras)
Ez a gyakorlatban azt jelenti, hogy a 0.34 forintot "befizeted" a banknak, költségtérítésként. :)
Okos :)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Még az MKB bankban úgy történt a folyószámla megszüntetés, levonták az utolsó díjakat és megadtam egy számlaszámot amire átutalták 30 nap után a maradékot <3000Ft volt. Szóval semmi adományozás meg benyelés, korrekt volt.
El tudok kepzelni olyan szituaciot amikor fontos vagy erdemes.
Nem kötekedésből rugózok rajta ennyire. :)
A babakötvényes példánál például pont nem vagy előrébb Revoluttal, mivel a Revolutnak nincs Giro számlaszáma, a gyereked nem tudja Revolut számlára kiutalni a babakötvényes pénzét.
Ez pontosan igy van (Wise meg jatszhat). De arrol (is) volt szo, hogy szivas az ha be kell menni kulfoldrol szemelyesen magyar banknal szamlat nyitni es milyen jo mar, hogy sok (neo)banknal lehet ezt online csinalni.
Amugy a babakotvenyes pelda eseten ha mar 18 eves elmult akkor lehet online szamlat nyitni magyar banknal is, de ez csak egy pelda volt. Masik pelda lehetne, hogy orokolsz hirtelen es kell egy forint szamla, de nem M.orszagon elsz. Nem tudom mi eletszeru.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Hát az is érdekes. Pont tegnapi eset. Nem a saját, hanem a a feleségemmel közös számláról akartam utalni rá pénz. A befizetést pausolták (hehe), majd kérték küldjek az utalásról bizonylatot. Elküldtem de nem tetszett nekik, mert nincs rajta az account név. Erre elküldtem a havi zárást (kifestve a forgalmi részleteket.) sárgával kiemelve a nevem, meg a számlaszámot, hogy lássák ez ua miről lett küldve a pénz. Ez se tetszett nekik, küldjek screenshotot, amin rajta van együtt az egész. Elküldtem, a fejlécben, hogy a nevemmel vagyok bejelentkezve, és az utalás részletei az előreugrott ablakban. Rá 15 percre megint jött hogy küldjek amin rajta van az account név meg az account szám. Na itt sokkaltam be és írtam nekik, hogy amit tudtam elküldte, ha nem kell az pénzem, küldjék vissza, és befejeztük, lefogyasztom kártyával ami van és vége.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
Amúgy elgondolkodtam rajta, mi van ha nem én, hanem, testvérem, barátom, ügyfelem,... akármi akar erre a számlára pénzt küldeni, attól is megkérdezik mikor cserélt alsóneműt.
Nem tudjuk mekkora osszeg volt, esetleg utaltal elotte X ido alatt milliokat oda es ez az utolso verte ki naluk a biztositekot? Sok oka lehet, termeszetesen nem kellemes, szerencsere velem meg nem fordult elo, ha utalok oda akkor sajat szamlarol (ami nem kozos neven van), lehet azert?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Százezres nagyság és forint. Általában a saját számláról is ez az összeg szokott lenni. Szóval semmi különös.
Szerintem is a közös számla, az ami megakasztotta a dolgokat. Ha igen, akkor az azért komolytalan, hogy nem tudják értelmezni, hogy a nevem mellett ott szerepel a feleségemé is.
Ha igen, akkor az azért komolytalan, hogy nem tudják értelmezni, hogy a nevem mellett ott szerepel a feleségemé is.
Honnan kellene tudniuk, hogy a feleseged? Kuldtel nekik errol valami dokumentumot? Lehet a szomszedod is. De egyebkent nem tudom mi az oka annak amikor nekik megszolal a riasztas a kozpontban. En nem utalassal szoktam amugy feltolteni.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
És ha szomszédommal van közös számlám? Nem mindegy. Az a lényeg, hogy a nevem ott van a számlabirtokosok között és tudok rendelkezni felette. De még egyszer nem lehet idegennek utalni a számlámra? Szóval ha dolgozok valakinek, nem adhatom meg a wise számlát, hogy utalja rá pénzt?
Ezentúl nem foglalkozok azzal, hogy a honlapra felmenjek (vagy az appban, de azt nem szeretem), s csomót kattingatva " bejelentsem" hogy pénzt küldök a számlámra. Hanem egyszerűen a forintszámlára - mint idegen- elküldöm. Ugyanis eddig mindig a legelső alkalommal használt számra küldtem a pénzt, lusta módon sablonozva lett az utalás. Az viszont a Wise számlára küldi a pénzt és a kísérőszövegben lévő azonosító alapján pakolja a számlámra. De van nekem külön saját számom (forint és euro). (Ezeket kell megadni külső személynek ha rá akarok küldetni.)
Amúgy a kérdésedre a válasz: természetesen az alsót.
A csalok kapcsoltak be, es figyeltek ki az SMS-eit backdoorral.
Tök jó, hogy mindenki a revolutot meg a apple pay-t szapulja, miközben, ha már egyszer feltörték a telefont/számítógépet, és ott van rajta a backdoor, akkor kvára mindegy, hogy melyik app mit akar és hány faktoros authentikáció, meg beazonosítással próbálja lehetetlenné tenni a valós felhasználók életét... innentől csak idő kérdése, és mindenhez is hozzáférnek, ami a kompromittált gépen (keresztül) történik. pont.
(főleg, ha a gyakorlatban a 'több faktor' az mind uygan azon a telefonon futó vacak)
Nagyon egyszerű levezetéssel a következő lépéssorozat történik:
Megfertőződik a számítógép.
Nem véletlen van az a mondás, hogy amint a vírusos a gép/telefon: Game over.
Persze, ezt nem szeretik elfogadni, sem a userek, sem a cégek. De ettől még ez a helyzet - és amint látszik, az okosabb és türelmesebb hackerek ezt ki is használják.
Tök jó, hogy mindenki a revolutot meg a apple pay-t szapulja, miközben, ha már egyszer feltörték a telefont/számítógépet, és ott van rajta a backdoor, akkor kvára mindegy, hogy melyik app mit akar és hány faktoros authentikáció, meg beazonosítással próbálja lehetetlenné tenni a valós felhasználók életét... innentől csak idő kérdése, és mindenhez is hozzáférnek, ami a kompromittált gépen (keresztül) történik. pont.
+1, elég durva, amit sikerült összehozni a témában egy "szakmai" fórumon. Ilyenkor azért eszembe jut, hogy mekkora álszentség azt mondani, hogy a user miért nem értett hozzá jobban.
Nem véletlen van az a mondás, hogy amint a vírusos a gép/telefon: Game over.
Osztom ezt a véleményt. Lehet bármilyen kétfaktoros vagy akár nyolcfaktoros azonosítás vagy akár biometrikus azonosítás is, ha az összes faktor ellenőrzését a telefon végzi el és az vírusos lesz, akkor ezek már semmit sem érnek. Lehet, hogy túl konzervatív vagyok, de emiatt én az összes mobilbankos applikációra úgy tekintek, mintha azok csak egyfaktoros azonosítást nyújtanának. Csak azokat a megoldásokat tartom több faktorosnak, amelyeknél a második és az esetleges további faktorok azonosítását egy fizikailag különálló eszköz végzi el. Pl. 1. faktor: netbank jelszavas belépés PC-n, 2. faktor: SMS vagy valami authentikátor alkalmazás telefonon. Régen ez volt a divat. Aztán megjelentek a mobilbank alkalmazások. Lehet, hogy kényelmesebbek, de szerintem kevésbé biztonságosak, mert az összes faktor azonosítása egy eszközön történik. Tudom, hogy szoftveresen el van az SMS, az authentikátor app, meg a többi app egymástól különítve, de ez addig ér valamit, ameddig ezt a védelmet ki nem kerülik.
A mobil app+biometria teljesen jó lehet - ha sem login, sem jóváhagyás (push-ban érkezve) nem hajtható végre biometria nélkül, akkor erősen emberi/felhasználói hülyeség (és közreműködés) kell ahhoz, hogy valakinek leszipkázzák a pénzét a számlájáról...
Ehhez az is hozzatesz (veletlenul szembesultem vele), ha hozzaadsz ujlenyomatot a mobilhoz, akkor kikapcsolja a biometrikus azonositast minden appban. Igy nem lehet "titokban" masnak hozzaferese. Termeszetesen ha a kodot/jelszot tudja akkor ez sokat nem segit. Ezutan mar az adott apptol fugg, hogy mennyire bonyolitja meg a biometrikus azonositas visszakapcsolasat.
Lehet amugy okoskodni, hogy a mobil banki app ne legyen a telefonon vagy egy butatelefonra menjen az SMS, stb. De ha belegondol az ember, a lakas v. auto kulcsat sem tartjuk egy lezart dobozban a taskaban mert ugy biztonsagosabb.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Csak itt a kommentek egy jó része azt mondja, hogy Revolutot ne, hagyományos bankokat igen. És a cikkből nekem sem látszott, hogy mi itt a különbség. Esetleg vannak rá példák, hogy normál bank simán fizet ilyen esetekben? (ami annyiból elég kérdéses, hogy feltört gépekről van szó. szóval ha fizet a bank erre, akkor arra megint egy külön csalás ágazatot lehet alapítani, ahol beengedi az "ügyfél" a vírus, a számlán meg nincs limit, de sok pénz)
szerk:
Még két kérdés:
- vajon miért csak a revolut kártyájukkal éltek vissza és a többivel nem? csak azt használta a gyakorlatban a többi helyre nem lépett be az adott időszakban?
- nem használok ilyen apple, meg google payt szóval nem annyira értem ez, hogy működik. de itt egyáltalán soha nem kell pin kódot megadni már a vásárláskor, mint ahogy ha érintve vásálok az ember a kártyával, néha, vagy nagyobb összegnél kell.
És a magyarországi bírói gyakorlat szerint az ügyfél lehet tetszőleges mértékben hülye (sms-ben érkezett kódot megadja harmadik félnek pl.), akkor is a bank a hibás...
- vajon miért csak a revolut kártyájukkal éltek vissza és a többivel nem? csak azt használta a gyakorlatban a többi helyre nem lépett be az adott időszakban?
Első lépésként meg kell szerezni a kártya összes adatát (kártyaszám, lejárat CVV). Akinek Revolut fiókja van, feltehetőleg Revolut kártyát használ netes fizetésre. (ilyen szempontból biztonságosabb lenne az eldobható kártyát használni, mert annak az adatait csak egyszer lehet felhasználni)
- nem használok ilyen apple, meg google payt szóval nem annyira értem ez, hogy működik. de itt egyáltalán soha nem kell pin kódot megadni már a vásárláskor, mint ahogy ha érintve vásálok az ember a kártyával, néha, vagy nagyobb összegnél kell.
Nem kell, az azonosítást maga az eszköz (telefon, óra, stb.) végzi el, ezt fogadja el a rendszer.
Akinek Revolut fiókja van, feltehetőleg Revolut kártyát használ netes fizetésre.
Ezt miből gondolod?
Nekem pl. van Revolut fiókom, online fizetésre általában Google Pay-t vagy Paypalt használok. Ha ilyen úri huncutságok nem érhetőek el, akkor a hitelkártyám számát begépelem.
Használhatnék Revolut kártyát, de azon kívül, hogy van egyszer használatos virtuális kártya (ami jó dolog), nem látom semmi előnyét, viszont extra kényelmetlenséget hoz: fizetés előtt rá kell tölteni pénzt.
Most megnéztem, mikor használtam Revolutot. Utolsó online fizetés (repülőjegy vásárlás) július közepén volt. Azóta használtam a fizikai kártyát boltban, ATM-ben, vettem devizát, utaltam pénzt. De az összes online vásárlásom (amiből azért elég sok van minden hónapban) más módon történt.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
... de azon kívül, hogy van egyszer használatos virtuális kártya (ami jó dolog), nem látom semmi előnyét ...
Pont az egyszer használatos virtuális kártya miatt gondoltam. Valóban van olyan fizetés, amihez nem a Revolut kártyámat használom, viszont azok jellemzően olyan helyek, amelyekben vagy megbízom, vagy az volt az előny, hogy a kártyaadatokat el lehetett menteni. Nem a szolgáltatónál, hanem az alkalmazásban. (BudapestGo, MÁV menetrend). Az eseti vásárlásokat webshopban szinte mindig az egyszer használatos kártyával intézem.
Nem. Ha a kényelmes fizetési módok, ahol nem kell minden alkalommal kártyaszámot beírni, nem érhetőek el, akkor beírom a kártyaszámomat.
Ugye onnan indultam, hogy valamit fizetni akarok online. Adott weboldalon. Ha megsértődnék, mert nincs Paypal, és ezért büntiből/paranoiából nem írom be a kártyaszámomat, akkor nem fogom tudni a fizetést végigvinni.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Mindenki azon porog hogy ki mit hogy tort fel, kozben itt van az igazi problema:
"Gyanúsnak jelez teljesen természetes eseményeket, mint egy online múzeumjegy-vásárlás 38 euróért, de simán elsiklik egy atomrobbanás méretű, 2000–5000 eurós csalárd tranzakciósorozat felett, ami életszerűtlen időpontokban és helyszíneken történik."
Magyarul nyugodtan ki lehet mondani hogy a Revolut threat detectionja egy darab szar.
> Magyarul nyugodtan ki lehet mondani hogy a Revolut threat detectionja egy darab szar.
Lehet.
Én röhögőgörcsöt kaptam, amikor Vakarékszövetkezetemnek/MTB/MBH, korai tavalyi fizetési próbálkozásaim Oroszország felé különböző kazah egyéb bankokokon keresztül, nem a sok sikeres/sikertelen kísérlet lett gyanús, hanem a helyi bérlet megvétele kártyás fizetéssel.
Érdekes módon a PIN bekérése sem akkor történik amikor havi bevásárlásokat végzem majd száz kilóért, hanem amikor szaros műanyag öngyújtót veszek vagy egy doboz cigit.
Ami nekem feltűnt a cikkből, az eszközök közti szinkron. Én ezt a mai napig kerülöm rendszer szinten, bár a Windows meg iOS közt amúgy is problémás, de én csak azt rakom össze, ami kell. Ilyen a Vaultwarden belső hálón, VPN-nel, self-signed cert-tel, a fájlaimat ugyan csak védett Samba storage-en érem el.
Nem bombabiztos, de ha más nem, az illúzió az enyém, hogy mennyivel kontrolláltabb a rendszerem. Amit lehet selfhostolok és csak VPN-ben, főképp Wireguard mert telón az a legoptimálisabb.
Igaz, ami időm ezekkel elment, abból már multimilliomos lehetnék vagy két kézzel építhettem volna fel egy házat:D de szeretek vele mókolni.
iPhone esetén a telefonon tudod beállítani, hogy melyik eszközre menjen tovább az üzenet, nem pedig a számítógépen. Persze a trójai bemehet a telefonra is, de akkor úgyis mindegy.
Nem használom semmi eszközön, csak a cikk alapján írtam. Ők írták, hogy a számítógépet megfertőző trójai kapcsolta be ezt a szolgáltatást. Akkor... hülyeséget írt a cikk?
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Hogy KONTROLLÁLTAB(!), azzal nem vitatkoznék, de hogy éppen ki álltal, az megérne további sok kommentet. :) (Mert a világunkban az online biztonság bármilyen fajtája először is egyfajta elköteleződés, és ezen túl már csak a személyes bizalom és a hit marad.)
Kérdés úgy általában az NFC-s fizetési rendszerekkel kapcsolatban.
Tegyük fel, hogy az én bankkártyám rákerül egy csaló telefonjára. Hogyan tudom leszedetni onnan? Mivel nyilván nem az én fiókom és telefonom. A bank tud ilyet? Vagy csak a kártya letiltása segít?
Nyilván bárminek csak akkor van értelme, ha a hiba megismétlődése ellen teszünk valamit. Engem most konkrétan a kártyakezelés technikai oldala érdekelne, hogy mit tesz lehetővé.
Issuing banks have the ability to control tokens associated with their physical cards. This allows, for example, to block or remove a card from a digital wallet with a simple remote command!
Revolut esetén szintén beállítható az online vásárlás, az NFC, a mágnescsík, az ATM készpénzfelvétel, egyedül a chipes fizetést nem tudod külön letiltani (persze a kártyát magát letilthatod), ezen kívül még ott van a helyalapú biztonság, tehát ha a kártyát ellopják és máshol fel akarják használni, mint ahol a telefonod van, akkor ez nem lesz sikeres.
Elektronikus bankból (nem app, hanem a webes felület) indított átutalásoknál lehet napi limitet kérni/beállítani? Ha igen melyik banknál vagy?
Hétvégén "auditáltam" az online pénzügyi szokásainkat - részben ennek a postnak a hatására, részben az egyre mocskosabb módszerek miatt - és ennyi kérdés maradt bennem, de a banki tanácsadóm szerint ilyet nem lehet.
Az attack vector amiről szó van, hogy a támadó hozzáfér az elektronikus banki fiókomhoz és kimenő utalást kezdeményez. A közelmúltban lakásvásárlásnál azt láttam, hogy 8 jegyű összeget ugyanolyan utalni, mint kétezer forintot, nincs semmi extra security.
Igen, valóban azt csinál, amit akar, hacsak nincs mondjuk egy utalási limit, amit ő nem tud megváltoztani, csak mondjuk telefonon vagy személyesen lehet ügyfélhitelesítés után (mint ahogy a telefonos appban van is ilyen 50k HUF a limit alapból) és ez egyfajta blast radius lenne. Vagy nem teljesülne azonnal és/vagy limit fölött jönne róla email vagy telefonos megkeresés.
K&H-nál is van OTP és/vagy biometrikus azonosító, használom is őket. Ilyen azonosításra feljogosított eszközt úgy lehet csinálni, hogy megadod a username/pass-t és aztán kapsz SMS 2FA-t a regisztrált telefonszámra. Tehát elméletben a username/pass (amit mondjuk tarthatsz a telefonod password managerében) és a telefonszámom (ilyen eltérítésekre is van példa lásd ez a cikk) a szűk keresztmetszet, ha ezt megkerülik valahogy, akkor máris tud csinálni egy authorized device-t saját biometrikus azonosítóval. Tudom, sok mindennek kell együtt állnia, de ki tudja... ezért gondolom, hogy a limitek mindeképpen jók ha feltételezzük, hogy minden törhető és akkor legalább tudod minimalizálni a kárt.
Az utalás instant és bár lehet követni hova ment, de mi van ha hajléktalan számlája? Ha jól tudom a mostani szabályozás szerint nekem kellene bizonyítani, hogy nem én voltam és a hibás utalás visszavonásához a fogadó félnek is bele kell egyeznie.
Akkor ha jól értem erre más bankoknál sincs nyilvánvaló megoldás?
Hozzászólások
„Miután észrevette a lopást, azonnal befagyasztotta a kártyáit (egy hagyományos és egy virtuális kártyája volt)” - első hiba. Amit nem használok, azt fagyasztani kell.
„Melinda mindeközben az Apple-t is megkereste, ha már a Revolut folyton az Apple Payre hivatkozva hárít. Itt annyit tudott meg, hogy a csalók minden bizonnyal valamilyen módon áttették a kártyáját egy másik Apple-eszközre, és sikerült is magukat azonosítaniuk a kétfaktoros azonosítás ellenére.” - második hiba, az xPay. Sokba kerül a lustaság.
Olvasd tovabb.
Nem Melinda kapcsolta be az Apple Pay-t. A csalok kapcsoltak be, es figyeltek ki az SMS-eit backdoorral. Nem Melinda iPhone-jan volt a kartya Apple Pay-es valtozata. A csalok iPhone-jan volt. Melinda lehet, hogy nem is tudja, hogy tud Apple Pay-t a kartyaja/telefonja, a csalok akkoris ugyanide jutnak, sot.
Kulon erdekes, hogy az Apple ha 2FA kodot erzekel az SMS-ben, nem olyan hangosan notify-ol, igy nehezebb eszrevenni.
Nem tudom a masik csalonal volt-e ilyen SMS, de ugy nez ki igen.
Megneztem legutobbi Apple Pay bekapcsolasnal mit csinal az en high street bankom.
Okosabban csinalja: nem egy, hanem 3 SMS jon. A masik kettoben nincsen kod, igy nem kerulgeti az Apple-os notification rendszert. Es a masik ketto (utobbi laggolva) kulom kiemeli, hogy milyen szamot hivjak ha en nem regisztraltam ma Apple Pay-t.
Ahogy gelei irta a masikban: dEhAt OtT a ChAt UgYfElSzOlGaLaTnAk
Most mar mind latjuk miert gunyolodott jogosan gelei: annyit is ert az a chates ugyfelszolgalat.
Meg a litvan felugyeleti szerv is ertektelen. Ez is kiderult a cikkbol.
Talan az Apple-nek erdemes elkuldeni egy listat hogy ok mit kerjenek ki a Revoluttol.
Akkor felejtsük el a Revolutot? Vagy/és az ApplePay-t?
Mit nem ertesz?
A Revolut legalabb ne auto top upoljon. Meg jo lenne ha kuldene masodik SMS-t, frissen megvaltoztatott telefonszam eseten a regire is, hogy biztos te kapcsoltad-e be. Amig ezt nem csinalja, lehet jobb otlet nem hasznalni.
Az Apple Pay-jel semmi baj nincs, hasznalhatod nyugodtan. Csak STP nem fogta fel, hogy ez nem az ApplePay hibaja.
Amire figyelj meg: ha olyan masodik faktor kodot kapsz, amit nem kertel: azonnal tiltasd az osszes kartyad a picsaba, logoutolj minden sessionbol, valtoztass jelszot, stb.
Ugye a Revolutnak nem kötelessége/felelőssége, hogy a számítógéped/tableted/telefonod intact-ságát biztosítsa?
No de ki baszta akkor el?
1) Revolut, mert xarul figyeli a tranzakciókat és basszák meg a q anyjukat.
2) Litvánok, mert basszák meg a q anyjukat.
3) User, mert hüjje volt, és nem élt minden rendelkezésre álló egyszerű lehetőséggel, hogy megvédje a pénzét. Ráadásul volt akkora looser, hogy szemmel látható összeget tárolt rajta, miközben semmilyen kontrollja nincs a litván pénzügyi rendszerrel kapcsolatban. És így igaza lett az MNB-nek.
4) Apple, mert simán lehet transzferálni a az ApplePay-rendszerben a kártyát, anélkül, hogy komolyabban azonosítani kellene magát a tulajdonosnak.
De én vagyok a helikopter.
Azert vagy helikopter, mert a user lehet hogy be se kapcsolta az Apple Pay-t (~= "sokba kerul a lustasag"). Lehet nem is tudta, hogy az iPhone-ja tud olyat. Sot, meg akkor is meg tudjak ezt csinalni csalok, ha nem iPhone-ja van.
Ezekutan azt mondani, hogy az a hulye aki bekapcsolja az Apple Pay-t, nem helyenvalo allitas.
Nos, én nem írtam ilyet. Azt írtam, hogy sokba kerül.
Igen, csak ugy hangzott, hogy annak, aki bekapcsolja: lasd "aldozathibaztatas"
Annak is, aki az is lehet, hogy nem is iPhone-t hasznal, sot, bem kizarhato, hogy sebezheto Androidos telefonrol olvastak le az SMS-t.
Az egyetlen hiba amit az aldozat elkovet: nem gyanakszik es cselekszik ha keretlen 2FA kodot kap.
Q-ra nem. Az a baja, mint a hülye szőkének, aki kapott egy 911-est és 40e km környékén kinézett a hengerfej, hogy hol az olaj? Aztán amikor mentek panaszra a bikával a Porschéhoz, akkor szépen kilistázták nekik mp pontossággal, hogy mikor szólt az autó hogy hát olaj kéne és mikor nyugtázta azt a szőkeség.
Szóval ha pénzügyeket kezelek egy eszközön, akkor ahhoz érteni is kellene. És nem mosdatni, hogy nem ért hozzá eléggé.
-
Valahogy igy nezel most ki:
Nem ertem mi tortent, ezert az aldozatot hibaztatom, amiert biztosan tul kenyelmesen akart elni, mert leteznek kenyelmi funkciok.
Bizonyára nem jött le számodra, hogy szerintem is szügyig xaros a Revolut. (ahogy korábban is írtam a „q anyjukat”)
De míg a Revolut működésére a R1 usernek nincs ráhatása, - max annyi, hogy otthagyja - addig a saját balfaszságán azért érdemes lenne elgondolkozni.
Igen.
Nem/talán - lehetne olyan, hogy nem kaphatna minden jöttment banki engedélyt, vagy előírhatna komolyabb kontrollokat.
Nem, mert nem ez történt. Olvasd el az előzmény threadet. Máshol lehetett PEBKAC a sztoriban, nem tudom.
Talán, de nem értem, mi az, hogy transzferálni a kártyát. Nincs olyan, hogy az egyik telefonon azt mondod, hogy másoljon át egy kártyát egy másik iPhone-ra. Ahhoz meg kell csinálni a tokenizációt a másik telefonon is, ahol ugyebár a banknak meg kellene fogni az illetéktelen próbálkozásokat.
Egyáltalán nem vagyok biztos benne, hogy a Revolut-nak nem kötelesség minden tőle telhetőt megtenni a csalások elkerülése végett.
Ha semmilyen kockázati elemzés nincs a top-up folyamatukban, akkor szerintem nem tettek meg mindent.
Az auto top-up, mint feature nem feltétlenül probléma, na de annak már fenn kellett volna akadni valami szűrőn, hogy pár percenként meg kell terhelni a mögöttes kártyát.
Imho az előzmény-thread jelentős része is arról szólt, hogy az emberek nem értik, mi az a Google/Apple Pay. :)
Jajj de utálom hogy előbb leírod, mint amit akartam. :(
Nade csókolom. Az autotop mögötti kártyán mekkora volt a napi limit, hogy az egyik esetben 800k hufot, a másikban pedig EUR 5k-t sikerült leszippantani hirtelen? A magyar bankok nem arról híresek, hogy levennék a limitet, vagy ilyen 150-300k-nál nagyobb legyen a default napi limit. Még a 23:59 vs 00:01-es terhelést összeadva is kevesebb, mint amit lehúztak.
Lehet jönni azzal, hogy dehát áldozathibáztatás, de mindenkinek oda kéne figyelnie a pénzére, átgondolni, hogy mi történik, és úgy csinálni. Sajnos nagyon felsejlik, hogy a kényelmesség, kapkodás, rohanás, úgyfelejtés dolgok miatt is alakult így. Az hab a tortán, hogy egy malware jellegű fertőzés, és a mindenféle szolgáltatók ilyenolyan működése miatt ez hogyan használható ki. Sajnos olyan időket élünk, hogy egy bármikori malware bekapása, az csak roppant körültekintéssel védhető ki.
Nem biztos hogy magyar kártyáról top-up-olt, Revolut esetén pl. nem is tudsz online limitet beállítani.
Vagy kikapcsolod a kártyát, vagy nincs limit.
Szerintem egy átlagembernek már egyszerűen túl bonyolult a világ.
Már az is problémát jelent hogy átlássa hogy egy bankártyához milyen módon lehet hozzáférni,
a hozzátartozó kockázatok és védelmek pedig átláthatatlan számára, főleg ha több szolgáltatón keresztül proxyzzák ét a pénzt.
Nekem sem volt triviális azt megérteni pl. hogy a CVC nem követelmény sok esetben, ahol mégis bekérik ott sok esetben ellenőrzés sincs.
Nem a Revolut limitje itt a kérdés, hanem annak a kártyának a limitje, amiről automatikus top-up volt beállítva. Revolut esetén a kártyán csak havi limitet tudsz beállítani, ami szerintem marhaság. Viszont amit a Revolut számla mögé beállítasz, hogy ha az egyenleg lecsökken adott szint alá, arról top-upoljon automatikusan, feltehetőleg lehet napi limitet beállítani. Ha van ilyen, nem tudja a Revolut feltölteni korlátlanul.
Ezt értem, én arra céloztam hogy ha Revolut meg tudja tenni hogy limit állítási lehetőség nélkül ad ki kártyákat (mert nincs erre törvényi szabályozás), akkor ezt meg tudja tenni másik társaság is.
Meg tudja tenni persze. Vajon az elmúlt évek mindenféle hírei kapcsán (csak a klasszikus kártyacsalásokra elég gondolni) ellenőrizzék, hogy a bankos kártyájukon van-e és ha igen akkor milyen napi vagy bármilyen limit?
A Revolut esetén még az eredeti cikknél hívta fel a figyelmem egy ismerős a "Location security" dologra. A Revolut app GPS helyzetéhez képest figyeli, hogy hol volt kártyás tranzakció. Bővebben: https://help.revolut.com/help/card-payments-withdrawals/ping-other-card…
A Revonak valszin sokkal jobban kéne ezeket propagálnia a juzerei felé ahelyett, hogy ilyen toborzókampányokkal zizegtet. :(
Location security semmilyen védelmet nem nyújt az internetes tranzakciók esetén.
A Revolutnál van limitállítási lehetőség. Törvényi szabályozás nincs, mindenki el tudja dönteni, hogy milyen paraméterekkel köt szerződést, megteheti, hogy ha nincs limitállítási lehetőség, nem szerződik.
Kérlek, akkor oszd meg velem hogy az internetes vásárlási kihegyezett Virtual kártyák esetén hogyan tudok limitet meghatározni az internetes vásárlások esetén.
Spending limit csak debit kártya esetén van, ott sem az internetes vásárlásokra, hanem a teljes forgalomra.
KH és MBH debit és credit kártyáira is állítható internetes vásárlási limit ami <= napi vásárlási limit.
Pont azon nem lehet állítani, amit internetes vásárlásokra találtak ki.
Értem. Viszont ha egyszer használatos kártya használatával nem kell limit. A debit és credit esetén pedig mint írtam több példa is van, internetes limit állításra. Ha valaki nem akar interneten költeni fix 0 vagy 1Ft-ra állítja és kész.
A virtual kártyán tudsz, az egyszer használatosnál nem tudsz limitet állítani. Viszont az egyszer használatost csak akkor tudod használni, ha hozzáférsz az alkalmazáshoz, lévén azt nem tudod Apple Pay, Gpay stb. alá betenni. Ha meg hozzáférsz az alkalmazáshoz, akkor semmit nem érsz a limittel, mert át tudod állítani.
Szóval kérlek, oszd meg, hogy az egyszer használatos kártyánál mi értelme van a limit meghatározásának.
Nem a Revolut limitje itt a kérdés, hanem annak a kártyának a limitje, amiről automatikus top-up volt beállítva. Revolut esetén a kártyán csak havi limitet tudsz beállítani, ami szerintem marhaság. Viszont amit a Revolut számla mögé beállítasz, hogy ha az egyenleg lecsökken adott szint alá, arról top-upoljon automatikusan, feltehetőleg lehet napi limitet beállítani. Ha van ilyen, nem tudja a Revolut feltölteni korlátlanul.
A Revolut-ot mindenképp felejtsd el jelen állás szerint, illetve csak annyi pénzt tarts a kártyán, amit nem sajnálsz ha elbuksz. Revolut és Apple infrastruktúra a cikk alapján különösen életveszélyes az eszközök (laptop, mobil, tablet, stb.) közötti szinkronizálás miatt, ha bármelyik eszközt törik, akkor mindent vihetnek. Az Apple ilyen szempontból egy security rémálom, teljesen nyilvánvaló, hogy vagy nem történt meg a threat modeling, vagy megtörtént, de lesz.rták.
Mostmár csak annyit árulj ell mennyivel jobb egy másik bank ebben az esetben.
https://hup.hu/comment/2917060#comment-2917060
Hát ezt gondold át.
JFYI Revolut egy bank, ugyanolyan eséllyel van lehetőséged jogorvoslatra, de nem látom adott esetben ez mit segítene, a jogi vitát nem lehet itt megnyerni.
JFYI Revolut egy bank, van mögötte működő bankfelügyelet, nem látom azonban az adott esetben ez mit segítene.
Te biztos tudod mennyit költ melyik bank, gondolom van valami összehasonlító adatod is. (hint a Revolut is utasít vissza tranzakciókat).
Oké, valid pont... Ja bocs pont ez a lényeg ugye?
Kezdem azt hinni fingod nincs arról amiről beszélsz. A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól
De fog, csak nem hallasz róla.
Jah, az mindjárt más :) Nem beszélsz nyelveket nem kell külföldivel szerződni.
Akkor olvasd el a cikket, és utána fuss neki újra.
Én olvastam a cikket...
Többnyire. Viszont az, hogy a kártya esetén nincs napi limit beállítási lehetőség, csak havi, szerintem kifejezetten hátrányos.
Ja. Napi limit és tranzakciószám nem ártana. Limit kp felvétre, online és kártyás tranzakcióra.
Aha, tud 50 másik dolgot, napi limitet nem. Persze nem lenne rossz ha tudna, de nem látom ebben az esetben hogy védte volna meg ezeket a felhasználókat. Hisz az elérhető egyéb védelmet se használták.
Ha van egy félmilliós napi limited, akkor elég bonyolult 8 milliót lehúzni egy éjszaka alatt. Szóval így. A havi limit szerintem tök értelmetlen dolog, az egyenértékű azzal, hogy nincs.
Az imént másoltam be, hogy mások vannak. Például location security, meg online pos tiltás, meg mindenféle. A napi limit persze nagy okosság lenne, csak azért van több megoldás is.
Itt a lényeg. Nem is értem, min vitatkoztok. A többi lehetőséget nem vitattam, van, amelyiket használom is, viszont ettől függetlenül a napi limit hasznos dolog (lenne).
ezt hol lehet beállítani?
nincs aláírásom
Revolut app, Bankkártyák, beállítások alatt.
csak standard és virtual: kiadási limit (havi, így nem sok értelme van), kártya címkézése, cvv zárolása, kártya megszüntetése. talán magasabb csomagban vagy fizikai kártyánál van ilyen lehetőség?
nincs aláírásom
Nekem az app-ban, a fizikai kártyánál:
Virtuális kártya csak Online tranzakciókra képes, gondolom azért nem jelennek meg azok a beállítások, amik nem vonatkoznak rá.
Ha jól látom itt 800eFt és EUR5500 volt a tét ahol a 800eFt folyamatos topup a EUR5500 direkt költési célra lett elkülönítve. Nem mondom, hogy nem lenne kényelmesebb, de ha ezek az illetők nem értették mit tesznek. Közel sem biztos, hogy egy (akár alapban bekapcsolt) napi limit megállított volna valakit is.
Szerintem eleve a "Location security" opció fogta volna egy részét a dolgoknak napi limit nélkül is. Ha szuperkényelem kell, akkor a napi limitet fel lehet tenni jó magasra, mert esetleg egy default 1k EUR olyan kis "feszes"... Na innentől megint ott vagyunk ahol a part szakad.
Ha card not present (jellemzően netes "vásárlás") volt, akkor nem.
Viszont ha az a helyzet, amit itt leírtak, hogy Apple Payjel tokenizálták a kártyát, akkor nem CNP volt, hanem bolti vásárlás.
"JFYI Revolut egy bank, ugyanolyan eséllyel van lehetőséged jogorvoslatra"
Litván vitarendezési fórumokon, litván nyelven és a litván jogrend szerint eljárva, szükség szerint a litván jogszabályokat ismerő, ott jogi képviseletet ellátni jogosult ügyvédet igénybe véve.
"A Revolut tranzakció kontrol (költési maximum, széf, fagyasztás, stb, lokáció alapú költés) terén fényévekkel előbb van _minden_ magyar (nem csak) banktól"
Milyen lehetőség van napi limitre? Milyen lehetőség van n darab tranzakcióra vonatkozó összeghatár beállítására (a következő 3 tranzakció összesen lehet 123456Ft)? Mindezt mobilos alkalmazásból...?
"Nem beszélsz nyelveket nem kell külföldivel szerződni."
Lovon fordítva ülés esete: ha adott országban szolgáltatást nyújt, akkor elvárható lenne az ország hivatalos nyelvén elérhető kompetens ügyfélszolgálat. (Plusz az adott országban legyenek rendezhetők a jogviták - ja, hogy ebben az esetben magyarországi jogi entitással is kellene rendelkeznie a revolut-nak, és a hatályos hazai jogi szabályozásbak, valamint az MNB ajánlásoknak is meg kéne felelni...?)
A tranzakciós illeték mellett nem hiszem, hogy valaha megjelennek normálisan magyar honban. Amit a bankokkal művel a kormány (a bankok minden hibája mellett) sima útszéli rablás.
https://naszta.hu
Nem kell, hogy megjelenjenek - ha a magyar nyelvű ügyfélszolgálat és magyarországi ügyfelek esetén magyar nyelvű, magyarországi vitarendező fórumok elfogadása megvan, akkor bánja kánya...
Kihúzással, de ameddig nem ír meg egy sima complaint levelet addig csak sipákoló.
"Ja az mind van, de mi a helyzet a XYYZTvel" aha...
Nem az országban nyújt szolgáltatást, hanem az ország polgárai számára. Biztos vagyok érted mi a különbség. (nagyon pozitív ha ad, de korántsem "várható el").
Továbbolvasva értettem meg:
Hogy nem érted mégsem mik a határon átnyúló szerződések.
Határon átnyúló szolgáltatás mellé adhatna határon átnyúlóan, helyi nyelven, támogatást az ügyfeleknek...
Ingyen.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
A szolgáltatás árába férjen bele...
Marmint az ingyenbe?
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Van ára a szolgáltatásnak, csak nem tételesen fizeted meg.
Marmint az ingyennek?
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
No free beer.
Az nincs is, ellenben a revoluttal...
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
A revolut-nak van olyan szolgáltatása, amiért nem kér pénzt, valóban, de attól még nem ingyenes, csak épp az adataiddal, a náluk pihenő pénzed forgatásából származó nyereséggel és hasonló apróbb-nagyobb dolgokkal fizetsz.
Ingyen regisztralhatsz magadnak szamlat, ingyen tehetsz rapenzt, tarolhatod rajta, ha nem hasznalod, nem ker enni. Az adataiddal pedig sokra nem mennek. Ha valtogatsz, akkor nyilvan felszamit sajat koltseget, de melyik bank nem? Raadasul sokkal kevesebbet, mint barmelyik hazai bank. Mellette tozsdezhetsz, kriptozhatsz, egyszer hasznalatos szamlaszam, virtualis kartyak, jo az app, nfc-pay, stbstb. Mindez az ingyenes regisztracioval - tehat I-EN-GYE-E-EN, azaz nem penzert, hanem ingyen (nem fizetsz erte egy petakot sem, tehat nem kerul penzedbe, mert ingyen van.) :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Mekkora a látra szóló kamat az ott elhelyezett összegre?
Mit akarsz meg ingyenert? :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Szerintem pont ugyanúgy 0% körüli mint a legtöbb honi bankban amik 0,1%-t is adnak.
A fizetős csomagban van ilyen szolgáltatás? Vagy miért rugóztok ennyit azon, hogy ingyen kell-e?
hol fizetem meg?
Legalabb olyan sema letezhetne, hogy a nyomozas koltseget visszakapod, ha nem a te hibad volt, es behajtjak a bunoson.
De a gyakorlat es a jog ehhez tulsagosan elter egymastol, utobbi ilyen esetekben pont annyira hatasos, mint egy vallas.
Nem, ez egy urban legend. És itt a Revolut lecserélhető tetszőleges külföldi bankra. Mindenféle túlzás nélkül állíthatom, hogy az emberek 99%-ánál jobban értem a hitelintézetek világát, beleértve a releváns magyar jogszabályokat: Hpt, MNB tv, stb. És még így sem triviális "jogorvoslati lehetőségek" keretén belül bármilyen eredményre jutnom, vitás kérdés esetén.
Fejeld ezt meg külföldi banknál az idegennyelvi követelményekkel, az idegen jogszabályi környezettel, stb., aztán majd látod, hogy ez a "jogorvoslati lehetőség" mennyit ér a gyakorlatban.
Ok. Meg vagyok róla győződve, nem én vagyok az egyetlen akinek volt már ügye külföldön és eredményt ért el. De lehet, hogy a te saját magadból kiinduló feltételezésed az igaz..
Az ugyanolyan itt egy szófordulat volt, mivel itt az a szituáció, hogy miután XY tokenizálta a kártyáját utána már a Revolut nem kíván vele foglalkozni és a legtöbb bank sem foglalkozik vele meg CRM alatt sem.
Az amit itt látunk az csalás amit információs rendszer felhasználásával az emberünk ellen követtek el. Elég szar világ lenne, ha minden órás/telefonos fizetést elkezdene ellenőrizni a szolgáltató. (szerintem)
A jogos panasz itt az lenne, ha a Revolut kártya adataival történt volna a vásárlás.
Ha a jogvita vitarendezési szinten van, akkor erősen javasolt, ha meg perré alakul, akkor meg egyértelműen kell a helyi jogrenddel tisztában lévő, jogi képviselet ellátására jogosult segítő (ügyvéd)...
Nincs itt semmi ellentmondás. Azt mondtam, hogy ha hazai, ismerős környezetben a sikeres kimenetel esélye P(hazai), és külföldi pereskedésnél ugyanez P(külföldi), akkor P(külföldi) < P(hazai).
A valószínűségnek ebben a specifikus kérdésben szerintem semmi szerepe nincs.
Lock
Valoszinuleg eletedben nem lattal meg kozelrol banki/fizetesi rendszert, elarulom hogy igen, minden egyes tranzakciora mindig lefut valamilyen szintu threat detection a penzugyi szolgaltatoknal. Es ahogy a cikkben kiemeltek igen komoly problema hogy a Revolut risk assesmentje egy szar, teljesen eletszerutlen helyen es idoben torteno kolteseket siman atenged.
Soha nem láttam még ilyen rendszereket:) Ésszerű következtetés.
azt se értem miért áll le valaki ilyen revolut/wise -okkal!?
Hát ez az. Nem érted.
„Nem Melinda kapcsolta be az Apple Pay-t. A csalok kapcsoltak be, es figyeltek ki az SMS-eit backdoorral.” Az csak feltételezés részedről, hogy nem volt ApplePay-je.
Node, az lenyegtelen a tortenet szempontjabol. Ha megvannak a kartya adataid (nev, cvv, lejarati datum, szam) es hozzaferek az ellenrozo kodot fogado SMS-hez, akkor be tudom rakni a kartyat xPay-be, de tudok vele online is vasarolni.
De ha nekem nincs ApplePay-em, q nem lehet transzferálni a kártyámat. ;)
transzferalni sem kellett :)
Akkor honnan a f@ßból tudja az Apple, hogy kinek kell SMS-t küldeni, ha soha nem volt 'ApplePay fiókja'?
A Revoluttol keri le az adatakot es oda kuld a Revolut SMS-t. Nem az Apple, hanem a Revolut kuldi ki az SMS-t. Az ugyfel szamara. Aztan kuldi az Apple-nek az adatokat, hogy "sikeresen azonositottam az ugyfelet, createApplePayToken hivhato"
A csalas resze hogy a 2FA SMS-t backdoorral leolvassak. Esetleg olyat is el tudok kepzelni, hogy megvaltoztatjak a telefonszamot.
Tehát jól értem e? Nem vagyok ApplePay használó, de kapok egy ApplePay-jel kapcsolatos, kódokat tartalmazó SMS-t. Ami még figyelmeztetést is tartalmaz. És ignorálom.
Tehát szívem joga nem gyanakodni (mint amikor az ajtózáramon jól látható karc nyomok vannak), aztán amikor kár ér, nézek csak nagy boci szemekkel?
Ha meg backdoor van a gépemen, akkor a bank a hibás?
A csalo a hibas, meg mindenki, akinek bar van ra hatalma, de nem tesz meg mindent, hogy ezeket vegre elkapjak es batortalanitsak torvenyileg.
Es semmi keppen sem a kenyelmi funkcio letezese a hibas.
Az ugyfel max annyiban hibas, hogy nem gyanakodott keretlen 2FA SMS-re (ha egyaltalan rendes notification jott rola).
A backdoor, "virust kaptam" aldozatai hogy mennyire hibasak arrol meg mar megannyi parttalan vita volt, ne kezdjuk el itt is. :)
Mondjuk a 2FA SMS-sel - meg úgy általában az SMS-sel - az a baj, hogy nem garantált a kézbesítése.
Nem is értem, hogy ha Revolut ügyfél az illető, akkor miért kell neki SMS-t küldeni? Kaphat(na) az APP-ban is üzenetet, amihez biometria azonosítás rendelhető. => @Revolut q anyjukat, ahogy már párszor írtam.
biztos velem van a baj, de nekem a revolut egyetlen SMS-t sem küldött.
Amióta az App telepítve és működőképes, mindig push üzenetben jelezte ha jóvá kell hagyon valamit...
zrubi.hu
Amikor hozza akarom adni a Google Wallethez, a telefon megkerdezte, hogy appos belepessel, vagy SMS koddal hagyom jova a kartya digitalizalasat. iOS-nel Apple Pay-hez mintha nem valositottak volna meg, csak az SMS kodot (nem emlekszem, hogy mi volt legutobb). OTP-bank eseteben pl valaszthatok, hogy vagy felhivom a bankot, vagy SMS kodot kerek.
Volt az állítás, amire reagáltam. Ha nálad nincs SMS, akkor nincs SMS(ed). Az indító cikkben meg volt SMS.
mobilnet probléma esetén az a fallback. Észre sem veszed, mire bevillan elintézi a háttérben
Lehet ezért nem ereszti el az Apple a 'classic' SMS-t? :)
Az Apple sehonnan. A kartya szama alapjan az Apple rendszere megkeresi a kibocsajto rendszeret, es itt van egy authentikacios lepes, majd ha ezt lejatszotta a felhasznalo, akkor kap az Apple rendszere visszajelzest a banktol es azutan mukodik a digitalizalt kartya. A jovahagyas modjat, ha tobb felet implementalt a kartyakibocsajto, akkor azt a felhasznalo valaszthatja ki. Talalkoztam mar telefonhivasos aktivalassal, ahol a bank emberevel kellett beszelni es o aktivalta, talalkoztam mar SMS koddal, illetve talalkozta mar olyannal, hogy a banki app kapott notifikaciot, hogy engedelyezzem az Apple Pay hozzaadast az adott kartyaszamra.
Ha SMS kuldes van, azt sem az Apple kuldi, hanem a kibocsajto.
Ja, itt figyelmetlen voltam.
Nem ertelek. Hogy erted, hogy ha neked nincs, akkor nem lehet transzferalni? Ha tudom a kartyad adatait, be tudom rakni a te kartyadat az en Walletomba.
https://hup.hu/comment/2916919#comment-2916919
Ez a mondat értelmetlen. Neked nincs Apple Pay-ed, de ha én tudom a te kártyaszámod, és hozzáférek a te 2FA csatornádhoz, akkor az én telefonomon tudom tokenizálni a te kártyádat.
És ha kapok erről egy SMS-t, akkor q-ra tudni fogom, hogy komoly zavar van az erőben.
Továbbra is az a kérdésem, hogy a 2FA csatorna hozzáférés kompromittálódása a Revolut vagy a user felelőssége?
Almás környezetben az SMS szinkronizálódik a Almás gépére is, ahol egy kártevő el tudja fogni, fel tudja használni, és tudja törölni is - ahogy a cikkben van - ennek a kockázata döntően az ügyfélé. Ha nincs sms-szinkronizálás, és/vagy a 2FA nem SMS, hanem push, amit a mobilos alkalmazás kap el, akkor ez a támadási mód nem működik.
Pont ugyonennyire egyszeuren bekapcsolhato szolgaltataskent erheto ez el Windows 11 eseten is, Android es iOS telefonokhoz is.
De ehhez kell valamilyen app a telefonra, nem?
nvm, úgy látszik, rosszul tudtam
Nem. Hiszen teljesen szabvanyos, Bluetooth-on keresztuli notifikacio megosztasrol, illetve notifikaciora adott akciokrol van szo. Parositanod kell a telefonodan egy bluetooth kepes eszkozzel, majd ha mind a ketto tamogatja a notifikaciok megosztasanak a protokolljat, akkor a telefonon lesz opcio arra, hogy engedelyezd a megosztasat a notifikacioidnak. A Windowson futo szoftver, igy ha a szamitogep kozeleben vagy, megkapja az ebben az idoszakban megerkezo notifikaciokat (ahogyan az okosorak, kijelzok, stb is megkapjak). Semmi "varazslat" nincs benne, de a mukodeset az usernek explicite engedelyeznie kell magan, a mobilkeszuleken.
Szerk: Mivel a notifikaciokra lehet valasz akciokat visszakuldeni, az MS ugy valositotta meg az uzenetkuldest, hogy valaszol egy korabbi notifikaciora a megfelelo akciokoddal. Van valamennyi karakterlimit mind a ketto iranyba, plussz mediatartalom sem kuldheto, mert ezek nem mennek at a notifikaciokban.
Akkor meg a pécén kell blútyúk dugó - na az szerencsére nekem nincs :-)
Tehát a sok kényelmi szolgáltatás miatt olyan sec.hole-ok vannak a desktop/mobile rendszerben, hogy ahhoz képest az ementáli sajt egy bazaltkocka.
Tessék csak használni sokat!! :D
Mert a push notification-t nem lehet elkapni? (Nem vagyok mobil fejlesztő, tehát ez kérdés.)
Talan el, talan nem.
iOS eseten az MS megoldasa a notifikaciok szoveges tartalmat kapja el, amire lehetoseget nyujt a Bluetoothban levo Alert Notification Profile. Tehat, ossze kell parositani a ketto eszkozt. Ezt a profilt mar nagyon sok Windows Mobile PDA is ismeri 20+ evvel ezelottrol. Pl. az olyan Bluetooth fulesek, amelyek rendelkeztek kijelzovel, azok ezen profil segitsegevel mutattak meg a notifikaciokat (pl. hogy leveled erkezett a Pocket Outlook Express-be).
Tehat ezen profilt alkalmazva, el tudja kapni a szoveges tartalmi reszet a push uzenetnek a masik eszkoz (pl. Windows 11).
Az SMS eleje (ahany karakter elfer a profil adatcsomagjaban) igy elerhetove valik, ha ebbe a kod belefer, akkor a kod is. Viszont a Revolut app, ha appon beluli jovahagyast valasztassz, akkor csak annyit tartalmat kozol a szoveges notifikacioban, hogy "Revolut: Card authorization for Google", that ugy nem megy at semmilyen kod, hiszen, az appba belepve sem kell kodot utni, csak gombot nyomni, hogy engedelyezed (ofkorsz, az maga az app hitelesit teged elotte/kozbe).
Akkor nézzük újra a topic indító cikket. Nem volt push notification, nem volt biometrikus azonosítás, volt ignorált SMS és eltűnt pénz.
Tehát a user megtehette volna, hogy secure csatornát választ a 'kommunikációra', de nem ezt tette. Vagy rosszul látom megint?
jól látod, csak itt a user nem a számla tulajdonos, hanem a bűnöző. Aki természetesen azt a csatornát választja, amihez már van hozzáférése.
Az igazi megoldás az lenne, ha a bank pl. nem ajánlaná fel az SMS-t. Push az appban, vagy kód az authentikátor appból, meg hasonlók lennének csak.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Az a baj, hogy az egyszeri felhasználóknak még az SMS-es megerősítés is sokszor embert próbáló feladat. AZ ilyen appok beállítása, használata, mentése meg pláne az lenne, mert amit nem ment az iCloud, az az életben nem lesz lementve. Én is örülnék, ha az Authenticator-os 2FA általánossá válna, de jelenleg a GitHub-on, OVHCloud-on, Gmail-ben és hasonló helyeken használom, az egyszerű mindennapi oldalakon az a csoda, ha lehet hosszabb a jelszó mint 8 karakter és mégnagyobb csoda, ha lehet benne minden karakter amit elsőre generál a Bitwarden.
TheAdam
Azt kerdezted az elobb, hogy el lehet-e kapni a Push uzeneteket. Leirtam, hogy el lehet. Illetve leirtam azt is, hogy hogyan van ez a megoldas kivitelezve pl. a Windows 11-ben.
Nem ertem, hogy hogy jon ide az user csatornavalasztasa.
De, hogy a csatorna valasztasra is reagaljak, amikor a Walletbe adod hozza a kartyat, ott, az az eszkoz kerdezi meg, hogy hogyan akarod magadat hitelesiten, amelyknel a folyamatot elkezdted. Azaz, ebben az esetben, a tamadonal levo keszulek kerdezte meg, az azonositas modjat. Az elerheto hitelesitesi modok listaja pedig a kartyakibocsajtotol jon. Van kibocsjato aki ezt, van aki azt implementalta. Itt, ha a tamado az SMS-es hitelesitest valasztja, akkor az a keszulek kap SMS uzenetet, aminek a szamat ismeri a kartyakibocsajto (tehat a szamot nem a tamado adja meg). Ezt, az eredeti felhasznalohoz erkezo SMS-t csakliztak el valahogyan az aldozat geperol.
Amikor csapatos keszulekcsere utan adogatom hozza a kartyaimat a keszulekekhez, akkor 2-3. eszkore torteno hozzaadas utan, azt hiszem mar csak a telefonalasos aktivalast kinalta fel a telefonom, amikor az OTP kartyakat adogattam hozza. De mivel nem figyeltem meg, hogy mas bankok kartyajanal mi volt.
„Talan el, talan nem.” - írtad.
És a konklúzió(m) az volt, hogy bár valszeg el lehet kapni, de max annyi történhet, hogy nem kapok értesítést arról, hogy hitelesítenem kellene a készülékemen egy tranzakciót. És ha nem hitelesítem, akkor nem történik semmi. Azonban ha csak arról kapok üzenetet, hogy helló, valaki elvitte a kártyádat, majd a pénzedet, tudj róla, akkor ott valami q nagy workflow probléma van.
Itt megint csak azt tudom mondani, hogy tobb helyrol van kartyam, van kozte valodi bank, van kozte mas, penzzel foglalkozo intezet is, de azt hiszem, az OTP az egyetlen, aki kuldott egy SMS-t, hogy hozaadtam egy kartyat a wallethez. Viszont ha az SMS utvonal fertozott, akkor ahogy a cikkben is irva van, az uzenetet is ki tudjak torolni.
Ebben a topicban már vagy egy tucatszor elhangzott, hogy az SMS - mint csatorna - és az SMS szinkronizálás nem biztos, hogy kellően jó megoldás, tehát ez nem érdemes tovább vesézni.
Tehát akkor, milyen módon lehet a cikkben írt lenyúlásnak elejét venni? Főleg, ha az R1 gépe fertőzött.
Nem kersz bankkartyat semmilyen kibocsajtotol?
Hogyne.
Neked van barmilyen mas otleted? Netalantan, tudsz olyan kartyakibocsajtorol, akinel nincs SMS?
Pl a raiffeisen-től q régen kaptam SMS-t, amióta az app-juk a 2FA eszköz.
(Mondjuk ott is van baj bőven...)
Amikor megjelenik a 2FA keres abban a webviewban, ahol eppen fizetnel, ott nincs egy SMS failback link, mint ami van az OTP-nel, volt a K&H-nal (nincs kh-m amiota van 3DS az OTP-nel), van a Revolutnal? Ezek mind pusholnak alapbol, de ha nem tudsz reagalni a pushra, pont ugyonugy kerhetsz SMS failbacket, ahogyan kerhettem SMS azonositast a Push azonositas helyett, amikor par oraval ezelott, beraktam a Walletbe a Revolutos kartyamat kiprobalas celjabol.
Lehet, hogy van. Azt írtam, hogy már rég nem kaptam.
Ez alapvetően egy cybersecurity kérdés, és azon belül is risk management. NIST környékén érdemes nézelődni hogy ezt hogyan kis kellene jól csinálni, illetve a systems engineering-ben egy elég fontos terület úgy általában a risk kezelés, nem csak cyber, hanem "hagyományos" rizikók esetében is.
Mint felhasználó túl sok mindent nem tudsz tenni. Természetesen lehet azt csinálni hogy külön leválasztod a banki műveletekhez használt eszközt a mindennapi eszköztől, de ezt kevesen fogják megtenni. Hogy második faktort mit használ az adott szolgáltató, az sajnos sokszor nem rajtad múlik (és sms-re fallback nagyon sokszor van). Ami téged védeni tud, az a bank saját fraud detection system-je, illetve ha olyan folyamatuk van, amelyben inkább visszautalják a pénzt, mintsem hogy elkezdjenek szórakozni, a bizalom miatt.
Olvasnivaló:
https://csrc.nist.gov/publications/detail/sp/800-160/vol-1-rev-1/final
https://csrc.nist.gov/projects/risk-management/about-rmf
https://www.nasa.gov/seh/6-4-technical-risk-management
https://ndiastorage.blob.core.usgovcloudapi.net/ndia/2004/cmmi/CMMIT1Mo…
Ahhoz a mobilt kell törni/kompromittálni...
Véleményem szerint egyértelműen a Revolut felelőssége annak a rendszernek a kialakítása, hogy a kártyabirtoklás azonosítása egyértelműen megtörténjen. Az egy döntés hogy ők milyen technológiát választanak, és az SMS választása esetén a risk analízis elvégzése. Egy normál bank esetén ez alapvetően úgy fog kinézni, hogy tudjuk, hogy egyébként nem tökéletesen biztonságos, de van annyira erős fraud detection-ünk, illetve van annyi tőkénk, hogy ha gond van, akkor az ügyfelet csont nélkül kártalanítjuk: fenntartva a bizalmat.
A Revolut úgy döntött, hogy még ha az ügyfél be is szívja, akkor sem foglalkoznak vele, arra építve, hogy ha az ügyfél végigfutja a köröket és perre viszi, akkor majd megegyeznek.
Ez alapján döntse el mindenki hogy akar-e egy ilyen céggel üzletelni.
Magam is így gondolom. Folyamatosan veszteséges, égeti a pénzt a cég, erre nincs már kerete valszeg. De ez nem jelenti azt, hogy ésszel ne lehetne használni a szolgáltatását.
Igy van, és ez esetben egyébként megvéd téged a bank ha hamis tranzakció történt. Ez az, ami viszont nincs meg egy fintech cég esetében.
cseszegetheted a revolutot, ha megint csak az derült ki, hogy a biometrikus azonoítás miatt hitelesként kezelt apple pay-ben van lyuk, mert laptopra átszinkroninálta az sms-eket és a laptopja lehetett fertőzött és így már nincs biometrikus azonosítás. Szóval mégiscsak az apple pay kapcsán van egy olyan use-case, ami kihasználható, főleg ha az ügyfél bekapcsol ilyen kényelmi szolgáltatásokat. Ez egyébként azt hiszem android és windows esetén is létezhet, a win11 telepítő is kínálgatta emlékeim szerint, hogy kapcsoljam össze telefonnal.
A biometrikus azonositas a fizetesnel van, az ellopott OTP SMS pedig a kartya hozzaadasnal van, a ketto egymastol fuggetlen.
Tulajdonkeppen, a bank a hozzaadas utani authentikacional bizonyosodik meg arrol, hogy a kartya hozzaadasat jogosult szemely kovette el, a fizetesnel torteno biometrikus/passcode azonositassal pedig az Apple/Google bizonyosodik meg arrol, hogy a keszulek hasznaloja hasznalja a kartyat.
Itt alapvetoen az most a bibi, hogy a bank lett becsapva tulajdonkeppen.
ezt hogy tudom ellenőrizni, állítani?
Beállítások, iCloud, iCloudot használó appok, Összes megjelenítése. sose volt bekapcsolva. Tárcát bezzeg synceli, holott új telefonra nem bírja átvinni a bankkártyákat.
nincs aláírásom
Alapvetően igaz, de azért nem ilyen egyszerű a helyzet.
Én régebben volt, hogy valami kártyát (talán Revolut, talán Curve) fagyasztottam, aztán valahol fizettem volna és nem ment, mert persze elfelejtettem. Kb. azóta nem is használtam ezt a lehetőséget. A legnagyobb bajom az volt, hogy a terminál nem mondta, hogy fagyasztott kártya, csak azt, hogy sikertelen a tranzakció. Megpróbáltam 2-3 alkalommal, mindig visszadobta. Fizettem máshogy, aztán amikor megnyitottam az appot, hogy megnézzem, látok-e valami gyanúsat, akkor találtam rá, hogy hát be van fagyasztva.
Most, ezt a topic-ot olvasgatva viszont elhatároztam, hogy a sok nem használt kártyámat tényleg befagyasztom. Nos, mérsékelt a siker.
Befagyasztottam a debit kártyámat, a Revolutot és a Curve-öt, befagyasztottam néhány nem használt (csak fiókban heverő) hitelkártyát. Volt, amit egyszerű volt, volt, ahol az ügyfélszolgálatnak kellett végigvinnie a menükön, mert el volt dugva.
De van olyan (pl. Erste HU), ahol nem találtam befagyasztási lehetőséget. Meg olyan is van (AmEx), ahol be lehet fagyasztani egyszerűen, viszont 7 nap múlva automatikusan kiolvasztja, és erről nem lehet lebeszélni.
A mindennap használt kártyát meg nem akarom befagyasztani, mert nem akarok minden egyes buszra szállás előtt mobilbankot indítani, remélni, hogy van mobilnet, olvasztani, érinteni, fagyasztani. Ugyanez minden boltban, minden online fizetéskor. Túl sok macera.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
”második hiba, az xPay. Sokba kerül a lustaság”
érdekes, több mint 5 éve használom és egy plusz forintomba nem került eddig az apple pay. az ismeretségi körömben ez mindenkivel így van. 😂😂😂
A tema szempontjabol ketfele user van, aki meg nem szivta meg es aki mar igen.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
A téma szempontjából nagyjából már tisztázódott, hogy attól, hogy valakinek nincs Apple Paye, még ugyanúgy megszívathatják, ha a kártya összes adatát és a 2FA csatornát megszerzik, mintha lenne. Tehát a 'sokba kerül a lustaság' kitétel egy marhaság.
Szerintem erre celoztam en is.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Vagyis arra céloztál, hogy a kijelentésed marhaság volt? El tudom fogadni, bár kissé fura hozzáállás :)
Arra celoztam, hogy barki megszivhatja, az semmit nem jelent hogy eddig meg nem szivta meg.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ezzel szemben én erre reagáltam folyamatosan:
Ok.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nagyon érdekes a cikk, ez alapján a Revolut-ban megbízni a világ legnagyobb ostobasága. Értem én ezt a fintech dolgot, de ha nincs mögötte bizalom,
akkor megette a fene az egészet.
A Revolutnak se sokat kene tennie, hogy ez ritkabban fordulhasson elo pedig.
Engem inkabb a litvan felugyeleti szerv baszott fel. Az o viselkedesukre tenyleg nincs semmilyen mentseg.
Így van, de a leírtak alapján a Revolut használata egyáltalán nem biztonságos, csak annyi pénzt tartson ott bárki, amit ha elbukik, az nem fáj nagyon. A litvánokon egyébként én is berágtam, gondolkodtam régebben ilyen Fintech megoldásokban, de nem, köszönöm szépen, az a havi 1000 forint nem vág földhöz amennyibe egy bankszámla kerül, cserébe viszont van rendes felügyeleti szerv és jogvédelem.
Bankfiok, ahova besetalhatok, es le tudjak olvasni az arcomrol, hogy tenyleg vetlen aldozat vagyok.
Az általam ismert bankok a fiókban csak jegyzőkönyvet vesznek fel és ugyanúgy egy arctalan backoffice valaki dönt a papírra vetett infók alapján
A formot az ugyintezo tolti ki - aki ki tudja ugy tolteni ranezve az arcomra, hogy eredmenyes legyen.
Meg onmagaban a tudat: szarba kerultem es ember foglalkozott velem, nem egy gep vadolt azzal hogy en is gep vagyok es access denied.
sőt, ha normális bankhoz mész, akkor a havi 1000 ft-ot is megspórolod (vagy legalább kapsz érte szolgáltatást) nem csak az otp létezik :)
Az OTP (smart) listaáron az egyik legolcsóbb csomag az országban, szerintem nem ezen múlik. :)
Ez egy "mindenki tehetett volna többet" helyzet.
1. A tulaj: a revolut egy rakás korlátozó beállításra ad lehetőséget, ha épp nem kocsit akar venni, minek van ennyi pénz egyben a fő számlán. Miért egy korlát nélküli kártyát használ online (mivel gépen keresztül lopták el, legalább egyszer bepötyögte az adatait)
2. Apple: pöpec kényelmes dolog ez az üzenet tükrözés, de azért rendesen hazavágja az sms mint 2fa biztonságát (ami amúgy is a béka feneke alatt van)
3. Revolut: sms mint 2fa egy fintech cégnél konkrét szégyen. Az ügyfélszolgálat meg a másik fele (mondjuk mostanában a bankoknál is sikerült többször olyat kifogni hogy csoda hogy szobatiszta volt)
De ennek a háromnak egyszerre kellett hibádznia.
Secu alapelvek:
Zero trust: ne bízz egyik résztvevőben sem, akkor sem ha banknak látszik
Oszd meg és uralkodj: revoluton 10mp feltölteni pénzt, tegyél mögé két független bankot, így 3 önállóan védett helyre tudod szétosztani a pénzt, és a revolut mint frontharcos csak annyit kap amennyi feltétlen szükséges a következő 1-3 napon. Egyszeri fizetésre eldobható kártya, ismétlődő fizetésre az adott célra dedikált virtuális kártya havi limittel (ez abban is segít hogy egyből kiderül melyik szolgáltatótól került ki az adata)
mi a bakkecskéért kell a revolut? mire képes, amire egy közönséges magyar bank nem? ott van a magyar bank, szuper megbízhatóan működik: a 1855 ft-os e-on számlámat engedélyezni kellett az app-ban, a 33 ezres alibaba költést csengetés nélkül átengedte :D
Fel lehet venni a kártyáját a Google Pay-be és így nem kell a bank "sajátmárkás" appját használni erre a célra. Bár ez bankváltással is orvosolható. ;)
Ha normális helyen bankolsz, akkor ott is van Google Pay.
Pár gombnyomásra korlátozható pénz, lokáció limitek. Alapból ingyenes számlavezetés többféle pénznemben. NFC támogatásban is le volt maradva némelyik bank. Az, hogy van aki korlátlan világjeggyé alakítja a fiókját és korlátlan pénzleszívásra állítja be a banki fiókját is, az már nem a revolut hülyesége. Lassan, több év késéssel és kókányabb módon működő appokkal kezdik közelíteni azt a bankok, amit revolutban lehetet évekkel ezelőtt.
A magyar bankok és a magyar bankadóztató rendszer ott húz le, ahol csak tud és cserébe fapados, mint az állat.
Melyik banknál van <18 és Joint funkcionalitás?
Melyik banknál van applikációból használható single use virtuális kártya?
Melyik banknál van pillanat alatt létrejővő szinte bármilyen pénznemben devizaszámla?
CIB, Erste, Gránit, KH, MKB, OTP, Unicredit, csak ami így hirtelen eszembe jut
Bármelyiknél kb.
Lehet ki kellene egesziteni a fenti kerdeseket azzal, hogy ezek a dolgok mely bankoknal erhetoek el anelkul, hogy be kelljen menni az irodaba szemelyesen.
Szamlanyitas mukodik online (kulfoldrol is), a tobbi dolog szerintem nem annyira evidens. Pl. szerintem szamlat megszuntetni online nem is lehet (mondjuk ez lehet, hogy nem mindig hatrany).
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Gyerekszámlákat amikor néztem mind vicc kategória volt. Azt nem tudom, hogy mobilbankok kezelik-e rendesen. Revolut egyszerű gyerek (ek)nek is nekem is. Joint - magyar banknál nem láttam még olyat, hogy két tulajdonos.
Gyerekenként egyszer kell bemenni, hogy számlát nyiss nekik. Én nem ez alapján választanék bankot, de értem, hogy kényelmesebb anélkül.
Én nagyon-nagyon ritkán nyitok új bankszámlát, néhány évente egyszer. Külföldről még sosem nyitottam számlát, így nekem ez nem érték. Ha valakinek igen, akkor nyilván limitáltabbak a lehetőségeid.
Hát, ez Revolutnál sem triviális, mert van 0.34 forintom a számlán, és nem hajlandók addig megszüntetni az accountomat, amíg onnan ki nem utalom. :)
Ha a gyerek is kulfoldon el es normal esetben nem Bp-re mesz haza (ahol minden banknak van fiokja) akkor sokkal kenyelmesebb tud lenni...
En is ritkan, ennel ritkabban, de amikor kellett akkor nagyon kenyelmes volt.
Vegyel vele valami kriptot es par nap mulva nullara redukalodik az osszeg :) De amugy az ilyen normal bankoknal is van, csak ott a penztarban a kezedbe nyomjak a penzt (de ugye szemelyesen jelen kell lenned hozza, jo kis oraber).
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ha életvitelszerűen külföldön élek, akkor miért nyitnék magyar számlát a gyereknek? De ha már szőrszálakat hasogatunk, akkor az osztrák határtól Sopronnál 8 km-re van OTP, Kőszegnél meg 5 km-re.
Mármint mit? A 34 fillért? Ne viccelj már. :)
Revolutrol is szo volt, Revoluton csinaltam neki :) De ha M.orszagon akartam volna akkor csak szemelyesen lehet. Amugy lehet hasznos ha amugy magyar allampolgar. A magyar hatar kicsit messzebb van tolem mint 8-10km.
Akkor hogy csinaljak egyebkent? Fogalmam sincs, gondolom jogszabaly szerint nem tehetik csak ugy zsebre, kiadni eleg nehez, akkor? Ala kell irnod valamit, hogy nekik adomanyozod? :D
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
A kérdésem pont az volt, hogy miért akartad volna pont Magyarországon, ha ilyen messze laktok?
Általában olyasmi a workaround, hogy az üzletszabályzat szerint a bank felszámolhat díjat a számla megszüntetéséért, pl. ezer forintot, de max a számlaegyenleg erejéig. Ez a gyakorlatban azt jelenti, hogy a 0.34 forintot "befizeted" a banknak, költségtérítésként. :)
El tudok kepzelni olyan szituaciot amikor fontos vagy erdemes. Nekem ilyen nem all fenn jelenleg, de pl. van a gyereknek babakotvenye, lehet ahhoz majd kell kesobb szamla, hogy elutaljak valahova (gondolom neki es nem a szuloknek), de az meg jo par ev. Erre akar egy Wise is jo lehet amugy, ahhoz nem kell szemelyes jelenlet, viszont 18 eves kor betoltese feltetele a szamlanyitasnak.
Kozben utana is neztem:
"Ugyanis a Babakötvényt eladni és a megtakarított összeget felvenni kizárólag a gyermekünk tudja majd azt követően, hogy betöltötte a 18. életévét." (forras)
Okos :)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Még az MKB bankban úgy történt a folyószámla megszüntetés, levonták az utolsó díjakat és megadtam egy számlaszámot amire átutalták 30 nap után a maradékot <3000Ft volt. Szóval semmi adományozás meg benyelés, korrekt volt.
Nem kötekedésből rugózok rajta ennyire. :)
A babakötvényes példánál például pont nem vagy előrébb Revoluttal, mivel a Revolutnak nincs Giro számlaszáma, a gyereked nem tudja Revolut számlára kiutalni a babakötvényes pénzét.
Ez pontosan igy van (Wise meg jatszhat). De arrol (is) volt szo, hogy szivas az ha be kell menni kulfoldrol szemelyesen magyar banknal szamlat nyitni es milyen jo mar, hogy sok (neo)banknal lehet ezt online csinalni.
Amugy a babakotvenyes pelda eseten ha mar 18 eves elmult akkor lehet online szamlat nyitni magyar banknal is, de ez csak egy pelda volt. Masik pelda lehetne, hogy orokolsz hirtelen es kell egy forint szamla, de nem M.orszagon elsz. Nem tudom mi eletszeru.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Hát az is érdekes. Pont tegnapi eset. Nem a saját, hanem a a feleségemmel közös számláról akartam utalni rá pénz. A befizetést pausolták (hehe), majd kérték küldjek az utalásról bizonylatot. Elküldtem de nem tetszett nekik, mert nincs rajta az account név. Erre elküldtem a havi zárást (kifestve a forgalmi részleteket.) sárgával kiemelve a nevem, meg a számlaszámot, hogy lássák ez ua miről lett küldve a pénz. Ez se tetszett nekik, küldjek screenshotot, amin rajta van együtt az egész. Elküldtem, a fejlécben, hogy a nevemmel vagyok bejelentkezve, és az utalás részletei az előreugrott ablakban. Rá 15 percre megint jött hogy küldjek amin rajta van az account név meg az account szám. Na itt sokkaltam be és írtam nekik, hogy amit tudtam elküldte, ha nem kell az pénzem, küldjék vissza, és befejeztük, lefogyasztom kártyával ami van és vége.
Screenshot, mint bizonyíték: security lvl 9999
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
Nem értem a kérdést? Nekik vagy nekem security?
Amúgy elgondolkodtam rajta, mi van ha nem én, hanem, testvérem, barátom, ügyfelem,... akármi akar erre a számlára pénzt küldeni, attól is megkérdezik mikor cserélt alsóneműt.
Egy olyan csapat aki -elvileg- az utalásokból él.
Nem tudjuk mekkora osszeg volt, esetleg utaltal elotte X ido alatt milliokat oda es ez az utolso verte ki naluk a biztositekot? Sok oka lehet, termeszetesen nem kellemes, szerencsere velem meg nem fordult elo, ha utalok oda akkor sajat szamlarol (ami nem kozos neven van), lehet azert?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Százezres nagyság és forint. Általában a saját számláról is ez az összeg szokott lenni. Szóval semmi különös.
Szerintem is a közös számla, az ami megakasztotta a dolgokat. Ha igen, akkor az azért komolytalan, hogy nem tudják értelmezni, hogy a nevem mellett ott szerepel a feleségemé is.
Honnan kellene tudniuk, hogy a feleseged? Kuldtel nekik errol valami dokumentumot? Lehet a szomszedod is. De egyebkent nem tudom mi az oka annak amikor nekik megszolal a riasztas a kozpontban. En nem utalassal szoktam amugy feltolteni.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
És ha szomszédommal van közös számlám? Nem mindegy. Az a lényeg, hogy a nevem ott van a számlabirtokosok között és tudok rendelkezni felette. De még egyszer nem lehet idegennek utalni a számlámra? Szóval ha dolgozok valakinek, nem adhatom meg a wise számlát, hogy utalja rá pénzt?
Ezt a Wise-tol kellene megkerdezni, kivancsi lennek a valaszra. Hozzam nem jon bejovo utalas mastol igy nem vagyok kompetens a temaban, de furcsallom.
Lehet az volt a baj, hogy nem "teljesen idegen" volt? Csak talalgatok, megmondtak vegul az okot? Lehet a feleseged nevere riasztott be naluk valami?
Ha a szomszedod valami illegalis tevekenyseggel szerzi a penzt lehet nem mindegy. Egyebkent talaltam valamit a kozos szamlakrol.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Itt melyiket választottad? https://i.imgur.com/Bmi6Kpn.png
Én voltam a balfasz. Tegnap is tanultam.
Ezentúl nem foglalkozok azzal, hogy a honlapra felmenjek (vagy az appban, de azt nem szeretem), s csomót kattingatva " bejelentsem" hogy pénzt küldök a számlámra. Hanem egyszerűen a forintszámlára - mint idegen- elküldöm. Ugyanis eddig mindig a legelső alkalommal használt számra küldtem a pénzt, lusta módon sablonozva lett az utalás. Az viszont a Wise számlára küldi a pénzt és a kísérőszövegben lévő azonosító alapján pakolja a számlámra. De van nekem külön saját számom (forint és euro). (Ezeket kell megadni külső személynek ha rá akarok küldetni.)
Amúgy a kérdésedre a válasz: természetesen az alsót.
Tök jó, hogy mindenki a revolutot meg a apple pay-t szapulja, miközben, ha már egyszer feltörték a telefont/számítógépet, és ott van rajta a backdoor, akkor kvára mindegy, hogy melyik app mit akar és hány faktoros authentikáció, meg beazonosítással próbálja lehetetlenné tenni a valós felhasználók életét... innentől csak idő kérdése, és mindenhez is hozzáférnek, ami a kompromittált gépen (keresztül) történik. pont.
(főleg, ha a gyakorlatban a 'több faktor' az mind uygan azon a telefonon futó vacak)
Nem véletlen van az a mondás, hogy amint a vírusos a gép/telefon: Game over.
Persze, ezt nem szeretik elfogadni, sem a userek, sem a cégek. De ettől még ez a helyzet - és amint látszik, az okosabb és türelmesebb hackerek ezt ki is használják.
Ha pedig célzott támadásról van szó:
https://xkcd.com/538/
szerintem.
zrubi.hu
+1, elég durva, amit sikerült összehozni a témában egy "szakmai" fórumon. Ilyenkor azért eszembe jut, hogy mekkora álszentség azt mondani, hogy a user miért nem értett hozzá jobban.
Osztom ezt a véleményt. Lehet bármilyen kétfaktoros vagy akár nyolcfaktoros azonosítás vagy akár biometrikus azonosítás is, ha az összes faktor ellenőrzését a telefon végzi el és az vírusos lesz, akkor ezek már semmit sem érnek. Lehet, hogy túl konzervatív vagyok, de emiatt én az összes mobilbankos applikációra úgy tekintek, mintha azok csak egyfaktoros azonosítást nyújtanának. Csak azokat a megoldásokat tartom több faktorosnak, amelyeknél a második és az esetleges további faktorok azonosítását egy fizikailag különálló eszköz végzi el. Pl. 1. faktor: netbank jelszavas belépés PC-n, 2. faktor: SMS vagy valami authentikátor alkalmazás telefonon. Régen ez volt a divat. Aztán megjelentek a mobilbank alkalmazások. Lehet, hogy kényelmesebbek, de szerintem kevésbé biztonságosak, mert az összes faktor azonosítása egy eszközön történik. Tudom, hogy szoftveresen el van az SMS, az authentikátor app, meg a többi app egymástól különítve, de ez addig ér valamit, ameddig ezt a védelmet ki nem kerülik.
A mobil app+biometria teljesen jó lehet - ha sem login, sem jóváhagyás (push-ban érkezve) nem hajtható végre biometria nélkül, akkor erősen emberi/felhasználói hülyeség (és közreműködés) kell ahhoz, hogy valakinek leszipkázzák a pénzét a számlájáról...
Ehhez az is hozzatesz (veletlenul szembesultem vele), ha hozzaadsz ujlenyomatot a mobilhoz, akkor kikapcsolja a biometrikus azonositast minden appban. Igy nem lehet "titokban" masnak hozzaferese. Termeszetesen ha a kodot/jelszot tudja akkor ez sokat nem segit. Ezutan mar az adott apptol fugg, hogy mennyire bonyolitja meg a biometrikus azonositas visszakapcsolasat.
Lehet amugy okoskodni, hogy a mobil banki app ne legyen a telefonon vagy egy butatelefonra menjen az SMS, stb. De ha belegondol az ember, a lakas v. auto kulcsat sem tartjuk egy lezart dobozban a taskaban mert ugy biztonsagosabb.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Más bank miért védettebb ez ellen, mint a Revolut?
Nem vedettebb.
Csak itt a kommentek egy jó része azt mondja, hogy Revolutot ne, hagyományos bankokat igen. És a cikkből nekem sem látszott, hogy mi itt a különbség. Esetleg vannak rá példák, hogy normál bank simán fizet ilyen esetekben? (ami annyiból elég kérdéses, hogy feltört gépekről van szó. szóval ha fizet a bank erre, akkor arra megint egy külön csalás ágazatot lehet alapítani, ahol beengedi az "ügyfél" a vírus, a számlán meg nincs limit, de sok pénz)
szerk:
Még két kérdés:
- vajon miért csak a revolut kártyájukkal éltek vissza és a többivel nem? csak azt használta a gyakorlatban a többi helyre nem lépett be az adott időszakban?
- nem használok ilyen apple, meg google payt szóval nem annyira értem ez, hogy működik. de itt egyáltalán soha nem kell pin kódot megadni már a vásárláskor, mint ahogy ha érintve vásálok az ember a kártyával, néha, vagy nagyobb összegnél kell.
A különbség:
- A normál banknál van lehetőséged jogorvoslatra
- A normál bank mögött van egy működő bankfelügyelet
- A normál bank költ rendesen fraud ellenőrzésre (lokáció, ismeretlen tranzakció, és a többi)
- A normál banknál történik rendes személyazonosítás (a küldj telefonnal befényképezett dolgokat egy vicc, nem azonosítás)
- A normál banknál le lehet tiltani MINDENT is ha gáz van
- A normál bank nem fog szórakozni neked pár ezer $ esetén ha történik egy ilyen esemény, hanem csont nélkül visszaadja a pénzed
- A normál banknál nem egy nyomorult harmadik világbelivel kell beszélni
És a magyarországi bírói gyakorlat szerint az ügyfél lehet tetszőleges mértékben hülye (sms-ben érkezett kódot megadja harmadik félnek pl.), akkor is a bank a hibás...
Az a baj, hogy úgy nyilatkozol, hogy nem ismered amiről beszélsz (legalábbis az írásod alapján)
https://hup.hu/comment/2917275#comment-2917275
Első lépésként meg kell szerezni a kártya összes adatát (kártyaszám, lejárat CVV). Akinek Revolut fiókja van, feltehetőleg Revolut kártyát használ netes fizetésre. (ilyen szempontból biztonságosabb lenne az eldobható kártyát használni, mert annak az adatait csak egyszer lehet felhasználni)
Nem kell, az azonosítást maga az eszköz (telefon, óra, stb.) végzi el, ezt fogadja el a rendszer.
Ezt miből gondolod?
Nekem pl. van Revolut fiókom, online fizetésre általában Google Pay-t vagy Paypalt használok. Ha ilyen úri huncutságok nem érhetőek el, akkor a hitelkártyám számát begépelem.
Használhatnék Revolut kártyát, de azon kívül, hogy van egyszer használatos virtuális kártya (ami jó dolog), nem látom semmi előnyét, viszont extra kényelmetlenséget hoz: fizetés előtt rá kell tölteni pénzt.
Most megnéztem, mikor használtam Revolutot. Utolsó online fizetés (repülőjegy vásárlás) július közepén volt. Azóta használtam a fizikai kártyát boltban, ATM-ben, vettem devizát, utaltam pénzt. De az összes online vásárlásom (amiből azért elég sok van minden hónapban) más módon történt.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Pont az egyszer használatos virtuális kártya miatt gondoltam. Valóban van olyan fizetés, amihez nem a Revolut kártyámat használom, viszont azok jellemzően olyan helyek, amelyekben vagy megbízom, vagy az volt az előny, hogy a kártyaadatokat el lehetett menteni. Nem a szolgáltatónál, hanem az alkalmazásban. (BudapestGo, MÁV menetrend). Az eseti vásárlásokat webshopban szinte mindig az egyszer használatos kártyával intézem.
szóval ha a biztonságos fizetési módok nem érthetőek el, te beírod a hitelkártyád adatait. 🤣🤣🤣🤣🤣🤣🤣
egy vicc ez a topic 🤣😂🤣
Nem. Ha a kényelmes fizetési módok, ahol nem kell minden alkalommal kártyaszámot beírni, nem érhetőek el, akkor beírom a kártyaszámomat.
Ugye onnan indultam, hogy valamit fizetni akarok online. Adott weboldalon. Ha megsértődnék, mert nincs Paypal, és ezért büntiből/paranoiából nem írom be a kártyaszámomat, akkor nem fogom tudni a fizetést végigvinni.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
High street bank kesobb is kuldott SMS-t, hogy biztos en kapcsoltam-e be az Apple Pay-t.
De ezt implementalni a Revolutnak se lenne nagy melo.
És ha az SMS-hez az eszköz feltörésével jutottak hozzá, és tudják törölni az üzenetet, akkor ezt is tudják törölni.
Mindenki azon porog hogy ki mit hogy tort fel, kozben itt van az igazi problema:
"Gyanúsnak jelez teljesen természetes eseményeket, mint egy online múzeumjegy-vásárlás 38 euróért, de simán elsiklik egy atomrobbanás méretű, 2000–5000 eurós csalárd tranzakciósorozat felett, ami életszerűtlen időpontokban és helyszíneken történik."
Magyarul nyugodtan ki lehet mondani hogy a Revolut threat detectionja egy darab szar.
> Magyarul nyugodtan ki lehet mondani hogy a Revolut threat detectionja egy darab szar.
Lehet.
Én röhögőgörcsöt kaptam, amikor Vakarékszövetkezetemnek/MTB/MBH, korai tavalyi fizetési próbálkozásaim Oroszország felé különböző kazah egyéb bankokokon keresztül, nem a sok sikeres/sikertelen kísérlet lett gyanús, hanem a helyi bérlet megvétele kártyás fizetéssel.
Érdekes módon a PIN bekérése sem akkor történik amikor havi bevásárlásokat végzem majd száz kilóért, hanem amikor szaros műanyag öngyújtót veszek vagy egy doboz cigit.
Ami nekem feltűnt a cikkből, az eszközök közti szinkron. Én ezt a mai napig kerülöm rendszer szinten, bár a Windows meg iOS közt amúgy is problémás, de én csak azt rakom össze, ami kell. Ilyen a Vaultwarden belső hálón, VPN-nel, self-signed cert-tel, a fájlaimat ugyan csak védett Samba storage-en érem el.
Nem bombabiztos, de ha más nem, az illúzió az enyém, hogy mennyivel kontrolláltabb a rendszerem. Amit lehet selfhostolok és csak VPN-ben, főképp Wireguard mert telón az a legoptimálisabb.
Igaz, ami időm ezekkel elment, abból már multimilliomos lehetnék vagy két kézzel építhettem volna fel egy házat:D de szeretek vele mókolni.
TheAdam
Az rendben, hogy te kerülöd, de a cikk szerint, ahol ezt nem kapcsolta be a user, ott a trójai bekapcsolta saját magának.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
iPhone esetén a telefonon tudod beállítani, hogy melyik eszközre menjen tovább az üzenet, nem pedig a számítógépen. Persze a trójai bemehet a telefonra is, de akkor úgyis mindegy.
Nem használom semmi eszközön, csak a cikk alapján írtam. Ők írták, hogy a számítógépet megfertőző trójai kapcsolta be ezt a szolgáltatást. Akkor... hülyeséget írt a cikk?
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Elképzelhető, hogy hülyeséget írt. Én megnéztem az iPhone-on, és ott az iPhone-on van a beállítás, hogy melyik eszköz(ök)re küldje.
Hogy KONTROLLÁLTAB(!), azzal nem vitatkoznék, de hogy éppen ki álltal, az megérne további sok kommentet. :) (Mert a világunkban az online biztonság bármilyen fajtája először is egyfajta elköteleződés, és ezen túl már csak a személyes bizalom és a hit marad.)
Kérdés úgy általában az NFC-s fizetési rendszerekkel kapcsolatban.
Tegyük fel, hogy az én bankkártyám rákerül egy csaló telefonjára. Hogyan tudom leszedetni onnan? Mivel nyilván nem az én fiókom és telefonom. A bank tud ilyet? Vagy csak a kártya letiltása segít?
Nyilván bárminek csak akkor van értelme, ha a hiba megismétlődése ellen teszünk valamit. Engem most konkrétan a kártyakezelés technikai oldala érdekelne, hogy mit tesz lehetővé.
a kártya letiltása, és/vagy költési limit is beállítható Revolut-on, egy-két kattintással, azonnali hatállyal...
zrubi.hu
Innen van:
https://www.hst.com.br/tokenization-of-cards-what-it-is-how-it-works-an…
Ez meg innen :
https://www.acba.am/en/individuals/choose-a-card/advices-to-cardholders…
Ebből nekem az jön le, hogy a Bank vissza tudja vonni a tokeneket.
speciel Wise kártya esetén online tudod kapcsolni, h engedélyezett-e az:
- online vásárlás
- fizikai használat
- nfc fizetés
Revolut-on is meg tudod határozni, hogy adott kártyával milyen tranzakciók végezhetők.
Revolut esetén szintén beállítható az online vásárlás, az NFC, a mágnescsík, az ATM készpénzfelvétel, egyedül a chipes fizetést nem tudod külön letiltani (persze a kártyát magát letilthatod), ezen kívül még ott van a helyalapú biztonság, tehát ha a kártyát ellopják és máshol fel akarják használni, mint ahol a telefonod van, akkor ez nem lesz sikeres.
Tök jó, akkor rendeljek külön egy kártyát az automatikusan terhelő subscription-ökre?
!Félig off-topic
Elektronikus bankból (nem app, hanem a webes felület) indított átutalásoknál lehet napi limitet kérni/beállítani? Ha igen melyik banknál vagy?
Hétvégén "auditáltam" az online pénzügyi szokásainkat - részben ennek a postnak a hatására, részben az egyre mocskosabb módszerek miatt - és ennyi kérdés maradt bennem, de a banki tanácsadóm szerint ilyet nem lehet.
Az attack vector amiről szó van, hogy a támadó hozzáfér az elektronikus banki fiókomhoz és kimenő utalást kezdeményez. A közelmúltban lakásvásárlásnál azt láttam, hogy 8 jegyű összeget ugyanolyan utalni, mint kétezer forintot, nincs semmi extra security.
K&H-nál vagyok amúgy.
Az ilyet a csalásmegelőzési vonalnak kell(ene) megfognia...
CIB-nél van napi utalási limit, de alapból elég magas összeg, talán 50 millió forint? Azaz neked kell kérni, hogy vegyék lejjebb.
innentől a támadó azt csinál amit csak akar, DE:
CIB-nél pl OTP (one time password #whithkey) és/vagy biometrikus megerősítés kell minden átutaláshoz.
Tehát, ha 'csak' az internetbankhoz szereztek valahogy hozzáférést, de telefonodhoz nem, akkor nem tudnak utalni.
zrubi.hu
Igen, valóban azt csinál, amit akar, hacsak nincs mondjuk egy utalási limit, amit ő nem tud megváltoztani, csak mondjuk telefonon vagy személyesen lehet ügyfélhitelesítés után (mint ahogy a telefonos appban van is ilyen 50k HUF a limit alapból) és ez egyfajta blast radius lenne. Vagy nem teljesülne azonnal és/vagy limit fölött jönne róla email vagy telefonos megkeresés.
K&H-nál is van OTP és/vagy biometrikus azonosító, használom is őket. Ilyen azonosításra feljogosított eszközt úgy lehet csinálni, hogy megadod a username/pass-t és aztán kapsz SMS 2FA-t a regisztrált telefonszámra. Tehát elméletben a username/pass (amit mondjuk tarthatsz a telefonod password managerében) és a telefonszámom (ilyen eltérítésekre is van példa lásd ez a cikk) a szűk keresztmetszet, ha ezt megkerülik valahogy, akkor máris tud csinálni egy authorized device-t saját biometrikus azonosítóval. Tudom, sok mindennek kell együtt állnia, de ki tudja... ezért gondolom, hogy a limitek mindeképpen jók ha feltételezzük, hogy minden törhető és akkor legalább tudod minimalizálni a kárt.
Az utalás instant és bár lehet követni hova ment, de mi van ha hajléktalan számlája? Ha jól tudom a mostani szabályozás szerint nekem kellene bizonyítani, hogy nem én voltam és a hibás utalás visszavonásához a fogadó félnek is bele kell egyeznie.
Akkor ha jól értem erre más bankoknál sincs nyilvánvaló megoldás?
Szerintem nincs. Az OTP-nél régen volt ilyen, de lehet, hogy már megszüntették. Ennek esetleg utánanézhetsz.