OTP Scam tanúsítvány

Szembe jött ma (SMS-en érkezett a +36209000677 számról) ez az átverés, miszerint valami adókompenzációt kiszámoltak nekem, és a "linket megnyitni nem kell félned jó lesz", csak add meg az adataidat.

 Google cert.-je van https-hez. Hol lehet ezt jelenteni?

https://imgur.com/a/3qAKKC3

Hozzászólások

Az komoly, az a screenshot már egész jó.

Vortex Rikers NC114-85EKLS

ilyenekkel dunát lehet rekeszteni...

szélmalomharc a jelentésük is, mert holnaptól majd egy másik randon domain-t fognak használni...

sőt, az OTP várhatóan azt mondja, hogy nekik ehhez semmi közük... nekik kéne az ügyfeleiket átverő linkekeket gyűjteni? - kétlem hogy erre egy petákot is szánnának...

 

A Google?! őt aztán végképp nem érdekli, hogy mire használják az általa adott tanúsítványt. hiszen az csak arra való, hogy a böngésző és a webszerver között titkosított legyen a kapcsolat, a (l)user meg örüljön, hogy az oldal 'biztosnágos' :)

o, hanyszor volt mar hogy a cegek ugrottak ha valami "masolta" oket (total commander vs windows, apple vs almalogos aruhaz, stb). most persze nem ugranak, mert a bank letolja az ugyfelre a felelosseget, nekik karuk ebbol nem nincs. 

ha lenne olyan szabaly, hogy a klonoldalakon lenyult penzt a bank kara, egybol utana mennenek az osszes ilyennek!

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Azért a windows commandert és társait ne keverjük ide.

Az egy konkrét fejlesztő, hivatalos alkalmazása volt, adószámmal, telefonszámmal, cégnévvel, amivel pénzt keresett. Nem végtelen számú csaló végtelen számú "kalózoldala" aminek hasonló a neve mint a banké.

Ráadásul azt se fejeltsük el, hogy ott a "nagycég" saját maga döntött úgy, hogy az érdekét sérti és jogi lépéseket tett. Te viszont köteleznéd a "nagycéget" hogy eljárjon.

Azzal szoktak takarózni, hogy kinyomtattak 400k darab szórólapot amik elérhetőek a fiókokban. (Gombócra gyűrt szemét formájában a pult szélén... megérte kivágni azt a fél erdőt...)

A mostanában felröppent hírek alapján ha benyal valaki egy ilyet, az OTP még bele is rúg.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Egy gengébb pillanata bárkinek lehet, vagy ahogy a Tankcsapda mondaná: "Itt senki se golyóálló"
Engem jobban elgondolkodtat az OTP hozzáállása, mert adja a lovat a csalók alá:

Illetve aki így védekezik: "Az OTP ezenfelül különböző médiafelületeken hívja fel az ügyfelek figyelmét az adathalászat veszélyeire, valamint 100 ezer példányban helyeztek ki szórólapokat a bankfiókokba."
Az ilyen köpjön fel és álljon alá! A remek szórólapokkal meg majd letörölheti magát.

Tegyük ehhez még hozzá a Simple-ös sztorit és vonja le mindenki a konklúziót.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

> az OTP várhatóan azt mondja, hogy nekik ehhez semmi közük... 

erről szoló dokumentáció elég nyomós érv lenne a bank felelőtlen magatartásának a megállapítására egy bírósági tárgyaláson! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ha a te fotód alapján csinálok egy teljes maszkot, és abban megyek bűnözni akkor, amikor tudom, hogy neked nincs alibid, akkor azért te vagy a felelős, az ellen neked kell tenned, hogy ez ne történhessen meg?

Az embereket a saját hülyeségüktől (jelen esetben egy randomvalamipontakármi címmel rendelkező lemásolt oldalon bármilyen valid banki adat megadása) hogyan védenéd meg? Edukáció az van, arra költenek is a bankok, sőt vannak az ilyen oldalakat pénzért kereső/kergető vállalkozások, akik vállalják, hogy keresik, és ha találnak ilyet, akkor az adminisztrálást (google kereső, domain regisztrátor, címhez tartozó abuse, stb.) is intézik.

Valóban ha a nevemben csalnak ki pénzt emberektől, ahhoz nekem semmi közöm, ugye? És ha tudomásomra jut ezzel kapcsolatos tény, akkor nekem az ég világon semmi tennivalóm nincs, ugye? Pökhendien lepattinthato aki felhívja erre a figyelmem, ugye? Na most úgy van ez ám, h az álatad is reprezentált pökhendi banki magatartás, csak és kizárólag azért lehetséges, mert a Fidesz kormányzat, miként azt megelőzőek is a bankokat a törvények felé emelték, és az általuk elkövetet gyalázatot ráerőszakolták az emberekre. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

A technikai kérdésekkel nem foglalkozom, az a bank objektív felelősségi körébe tartozik, így minden próbálkozás ami technikai kifogást próbálna rám terhelni csípőből kuka. Hasonlóan a felhasználók edukációjával próbálkozáshoz ami a valódi problémát nem megoldani hanem elleplezni hivatott: nevezetesen h bank olyan rendszert működtet ami nem biztonságos, de azt bizotnságosnak hazudja és visszaélésekért nem hajlandó felelősséget vállalni. Nem lehet itt mellé beszélni, a bankot kell felelőssé tenni mindenért! Ha a bank nem tudja megoldani az online bankolást biztonságosan akkor ne üzemeltessen online bankolást! Tudatosan ellent kell állni amikor ezt a hiátusát akár jogszabályokkal akár felhasználói edukációra hivatkozással próbálja elleplezni. Felhasználói edukációrol az után beszélhetünk, miután a bank objektív felelőssége jogszabályilag megállapításra kerül. 
Minthogy mind a NER mind azt megelőző szadeszos maszopos kormányzatok szarosnyelvű kiszolgálói a bankok gazdáinak, aligha várható kedvező fordulat jelentős állampolgári nyomás hiányában! pl. a helyzetet szabályozni próbáló törvénytervezetek a számlatulajdonos nyakába akarják majd varrni a felelősséget, a bankoké helyett. 
Természetesen vannak olyan hup tagok akik munkájuk révén érdekeltek ezen gyalázatos banki rendszer működtetésében, nekik vita helyett egy alapos önvizsgálatot javallok! Szégyeljék magukat! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

" nevezetesen h bank olyan rendszert működtet ami nem biztonságos, de azt bizotnságosnak hazudja és visszaélésekért nem hajlandó felelősséget vállalni."

Na, akkor lépjünk két lépést hátra, mert alapvető hiányosságaid vannak, hogy finoman fogalmazzak.
A netbanki felület egy "sima" weboldal, aminek a megjelenéséhez szükséges összes tartalom letöltésre kerül a kliens gépre. Ott ezeket a "darabkákat" össze lehet gyűjteni, össze lehet rakni úgy, hogy egy teljesen más kiszolgálóról elérhetővé téve ugyanúgy nézzen ki a felület, mint az eredeti _ _kivéve_ a címsorban szereplő URL-t. (Analógia: néhány Zolikát ábrázoló fotó alapján készíthető olyan maszk, ami megszólalásig hasonlít Zolikára)
Ahogy te nem tudod megakadályozni, hogy az, aki hozzájut a nyilvánosan elérhetővé tett fotódhoz, készítsen egy Zolika álarcot magának, úgy az OTP sem tudja megtenni, hogy a weboldalából valaki csináljon másolatot.

Szóval az edukáció fontos, a felhasználók biztonságtudatossága fontos, de... A megszólalásod alapján az alapvető működési ismeretekkel kell kezdeni...

> OTP sem tudja megtenni, hogy a weboldalából valaki csináljon másolatot.

BehringerZoltan | 2024. 02. 28., sze – 00:49 )
Ha a bank nem tudja megoldani az online bankolást biztonságosan akkor ne üzemeltessen online bankolást!...
@

> Szóval az edukáció fontos, a felhasználók biztonságtudatossága fontos,

BehringerZoltan | 2024. 02. 28., sze – 00:49 )
...Tudatosan ellent kell állni amikor [a bank] ezt a hiátusát akár jogszabályokkal akár felhasználói edukációra hivatkozással próbálja elleplezni
@

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Ha a bank nem tudja megoldani az online bankolást biztonságosan akkor ne üzemeltessen online bankolást!..."
Ha Zolikának baromira nincs halovány lila elkézelése sem arról, hogyan működik a web, akkor ne próbáljon okoskodni, mert az erőlködésből ugyanaz lesz, mint amikor a fajanszon ücsörögve teszi...

Szóval Zolika, jelen esetben nagyon igaz, hogy  "Si tacuisses, philosophus mansisses."

A bank biztonságos rendszert működtet. De nyilván az internet használata sok hasonló boomernek meghaladja a képességeit, nekik nyilván nem szabad internetet használniuk, lehet egyáltalán nem, de e-bankingra biztosan nem.

Nekik a bank fenntart fiókokat, ügyintézőkkel.

A probléma egyébként tökéletesen egybevág az "unokázós" csalásokra. Ott sem az unokát kell betiltani akinek a nevében megtévesztik a már korlátolt képességűeket, hanem edukálni kell utóbbiakat, hogy ne dőljenek be primitiv csalásoknak.

Mennyi pénzről beszélünk amit elloptak a betétesektől ilyen online bankos csalással? Hogy aránylik ez a megelőző időszakokhoz? Hogy változozott a bankok kártérítési hajlandósága? 
Gondolom, az a minimum h ha bankra bízom a pénzem, akkor azt nekem adja vissza és ne egy idegennek. Vagy ha neked ettől eltérő álláspontod van a bank működéséről akkor nem tiudom h tudnál meggyőzni bárkit is h betegye a bankba a pénzét!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Micsoda? Milyen felelősséget kell vállalnia azért, mert az user olyan hülye, amilyen? Ha elmész egy kamu oldalra, és ott megadod a bankkártya adataid, abban konkrétan még bíróság elött is megáll, h hülye voltál. Klasszik tanulópénz esete.

Netán azt akarod valahogy megoldani, h ne lehessen egy bankéhoz megtévesztően hasonló oldalt kreálni? Nem fog menni, bármit le lehet másolni.

Mennyi pénzről beszélünk amit elloptak a betétesektől ilyen online bankos csalással? Hogy aránylik ez a megelőző időszakokhoz? Hogy változott a bankok kártérítési hajlandósága? 
Gondolom, az a minimum h ha bankra bízom a pénzem, akkor azt nekem adja vissza és ne egy idegennek. Vagy ha neked ettől eltérő álláspontod van a bank működéséről akkor nem tudom h tudnál meggyőzni bárkit is h betegye a bankba a pénzét!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Működik ez mindenre? Akár a te szakmádra is ki lehetne terjeszteni, hogy ha valaki kiadja magát BehringerZoltánnak és lelép az ügyféltől kapott pénzzel elvégzett munka nélkül? Ilyenkor is objektív felelősséged van az átvert ügyfél felé?

Amennyiben működés során az azonosítás folyamatát, eszközeit, feltételeit magam határoztam meg, de annak biztonságos működését a tapasztalat megcáfolta, de ennek ellenére azt továbbra is üzemben tartom, mitöbb fennen hangoztatom, h az biztonságos  - akkor igen, fenn áll az objektív felelősségem. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ha a tudomásodra jut, akkor vannak jogi eszközeid, amivel tehetsz a folyamatban lévő csalás ellen, ez így van. De attól még nem vagy felelős érte, ha valaki a maszkos zolikának elhitte, hogy ő a valódi. (bővebben: a Fantomas c. nagy sikerű filmeket javaslom tanulmányozni)

A bank az aki "maszkos zolikának elhitte, hogy ő a valódi." és annak adta oda zolika pénzét. Ezek után nem akarja vállalni a kártérítési felelősséget! 
Ez egy csalás, a bank részes a csalásban mert biztonságosnak hazudja a rendszerét miközben nem az. Ebben a bank informatikai rendzserét működtetőknek, fejlesztőknek felelősségük van, ami felelősséget nem lehet munakvállalási vagy megbizási szerződéssel eliminálni! Ezen nagyon komolyan el kellene gondolkozniuk! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

>  Isten meg szereti a hülyéket, jó sokat csinál belőlük.

Feltéve, de nem elfogadva, amit állítasz, felmerül a kérdés, hogy vajon tekinthető-e szándékos csalónak az, aki olyan rendszert épít ki, mely nem veszi tekintetbe a "hülyéket", és számokra is olyan feltételeket biztosít amiket tapasztalatilag igazoltan nem tudnak teljesíteni és ezzel kárt okoz nekik? Hát milyen üzleti modell az ami nem vesz tudomást a valóságról, és arról hadovál h a valóságot kell az ő üzleti modelljeéhez igazítan azzal, h a "hülyéket" "nem-hülyévé" képzi át valaki? Természetesen a kártérítési felelősségéről mindeközben hallani sem akar! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Szerintem ezzel nem fogunk dülőre jutni. Tartom magam az álláspontomhoz, ha valaki önként kiadja harmadik félnek az adatait, az így járt.

Ha hozzád jön kamu villanyórás, vízórás, akárki, és fizetsz neki, akkor sem az igazi céget veszik elő.

Nagyon széllel szemben pisálsz.

> Ha hozzád jön kamu villanyórás, vízórás, akárki, és fizetsz neki, akkor sem az igazi céget veszik elő.

De csak azért, mert ez nem történik olyan gyakran mint az online csalások, és nincs is akkor kárérték. Met egyébként ezen esetekben is feladata lenne a kormányzatnak lépni (pl ahogy nyugdíjas termékbemutatok esetében is lépett és ott rend is lett), és olyan rendszer kiépítésére kötelezni az érintetteket ahol nem történhet csalás! Hát miért nem tiltja be annak a banknak az online bankolását a bankfelügylet ahol naponta értesülni a csalásokról?  Kurva gyorsan zárják be, és csak akkor engedjék újranyitni amikor a bank nyilatkozik arról, h a továbbiakban rendszere biztonságos és vállalja is a kártérítési felelősségét! Ezek nem értenek másból! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Képtelenség olyan rendszert kiépíteni, ahol senkit nem aszhatnak át. Mindig van olyan hülye, akinek bonyolult a rendszer, és leveri a lécet. Erre való az oktatás.

Online csalás azért van sok, mert sok a hülye, akit könnyen át lehet verni egy fél órás telefonálással.

Qrvára nem az a megoldás, h betiltjuk az online bankolást. Köszi, de én nem akarok bemenni, és sorba állni, ha pénzt akarok utalni.

> Köszi, de én nem akarok bemenni, és sorba állni

Értem. Tehát inkább fosszanak ki másokat, akik természetesen hülyék szerinted, mint h egy kis kényelmetlenséged legyen átmenetileg. Hát gratulálokehhez a morálhoz ! Jó h leirtad majd ezentúl figyelembe vehetjük ha hosszászólsz! 

Oktatásról kizárólag a bank felelősségének megállapítása után beszélhetünk. Ennek összefüggéseitől megkímélnélek, mert érzékelhetően már az eddigiek is meghaladták belátásodat. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Tehát inkább fosszanak ki másokat, akik természetesen hülyék szerinted" - Igen, hülyék. És nem csak szerinte. A hülyéket nem védeni kell a befolyásolhatatlan harmadik fél által kihasznált saját hülyeségüktől, hanem oktatni,hogy ne legyenek (annyira) hülyék.

"Oktatásról kizárólag a bank felelősségének megállapítása után beszélhetünk" - Ismét megkérdezem, mert eddig érdemi választ nem kaptam: Ha valaki a te fotód alapján készült maszkban, a te ujjlenyomatodat produkáló kesztyűben követ el bűncselekményt, azt te hogyan tudod megakadályozni, hogyan tudod megoldani, hogy külsőre B.Zoltánnak látszó humanoid B.Zoltánként átverjen másokat?

 

A felmerült kérdésre nagyon egyszerű a válasz: nem tekinthető szándékos csalónak, de még mezei csalónak sem.

És addig örüljünk amig igy van. Ha bevezetnék azt amit szeretnél és minden analfabéta félhülyének megtéritenék a kárát, akkor mi - a normális emberek - szivnánk a 100x-os banki költséget, ami fedezné a debilek kárát.

> akkor mi - a normális emberek 

Megtisztelő ahogy magadhoz emelsz! 
A banki költségek maximalizálva vannak, azokat tovább nem lehet emelni. De semmi gond ha emelik, legfeljebb még kevesebb ügyfelük lesz, így mégkevesebb embert tudnak a bank közreműködésével kifosztani.  

Mai áldozat: A Pepco kereskedelmi lánc részvényei 10 százalékot estek a tőzsdén, miután egy Magyarországról indult hackertámadás következtében mintegy 15,5 millió euró tűnt el a cég számlájáról. Egy Magyarországról indított hackertámadás eredményeként körülbelül 15,5 millió euró (6 milliárd forint) tűnt el a vállalat számlájáról.

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"De semmi gond ha emelik, legfeljebb még kevesebb ügyfelük lesz"

Ez úgy hangzik mintha csökkenne a bankok ügyfeleinek száma és mindjárt kihalnának. Biztos, hogy jó műsort nézel?

A pepco-ról bennfentes információd van, vagy megint félrebeszélsz? Majdnem biztos vagyok benne, hogy nem egy banki weboldalra hasonlitó site-ra tévedt mancika, ahol megadta a cég bankkártya adatait és éppen belefért a 6 milliárd forint a napi vásárlási limitbe.

Esélyesebb, hogy a hivatalos banki oldalon, önszántából utalta el az összeget, mert hülye/átverték. De ehhez megint mi köze a banknak?

> Ez úgy hangzik mintha csökkenne a bankok ügyfeleinek száma

Jaj ne tegyünk már úgy mintha a rohadt bankok életképes módon működnének: abban a pillanatban amint a kormányzat kötelezővé teszi a fizetések kp-s kifizetését millió számra fognak megszünni a bankszámlák! Ez a rohadt élősködő, lehúzó, kifosztáshoz asszisztáló banda, csak azért engedheti meg magának az ilyen magatartást, mert olyan helyzet van teremtve, h az embereknek muszáj bankszámlát nyitniuk a fizetésükhöz. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ne haragudj, de volt az a nő, aki beszívta, hogy lenyúlták a számlájáról a pénzt és még hitelt is vettek fel a nevében. Először megsajnáltam, majd amikor elmesélte, hogy hány lépésben verték át, akkor kiszaladt a számon: EZ HÜLYE! Sajnos túlzottan polkorrekt manapság a társadalom és nem lehet valakire azt mondani már, hogy hülye. Van internet, ez folyik a csapból is. Ha tettél már fel bármikor bármit is Marketplace-re, akkor már rutinosan blokkolod a scam üzeneteket. De az, hogy még a 22. ál-weboldalon sem esik le, hogy csecset raktak a szádba, na az olyan hagyja el az internetet. 

Ilyenkor gondol arra az ember, hogy ha az anyja, rokona más szerette lesz majd a bank segédkezésével kifosztva, akkor h változik a visszony ezzel az állítólagos, de aljas indokból hangosan közölt "ténnyel"?
Szánalom amit előadnak itt egyesek! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Bizzunk benne, hogy még sokáig megmarad anyukád ezen gyakorlata, és nem kell majd idővel őt is lehülyézned! Szélesebb körben kéne propagálnod a telefonszámod, h az is segítséget kaphasson, akinek nincs kit felhívnia! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Egy kicsit más szemszögből nézve:

BehringerZoltan Bank: A BehringerZoltan Bank egy felelős társaság és megtéríti a cyber bűncselekmények áldozatainak a kárát

BehringerZoltan Bank ügyfelei: Kaptam egy sms-t a BerhingerZotlan Banktól, hogy nyereményjátékon nyertem 3000000 milliárd EUR-t, rákattintok a linkre, mi baj lehet, a bank úgyis fizet, ha átvernek.

H*cker1 nyit egy folyószámlát a BerhringerZoltan Banknál, majd H*cker2 heti 5x scam üzeneteket küldözget H*cker1-nek, aki szándékosan rákattint a linkre, mindezt egy végtelen ciklusban. 

Érted már? 

Szerintem ezt tanúsítvány oldalról lehetne f.szán megfogni.  

> Érted már? 

Ezt eddig is értettem, lássuk be, nem egy komplikált dolgot vázoltál fel! 
A bank önszántából a haszonszerzés érdekében kínálja a szolgáltatásait online felületen. Erre az ég világon senki nem kötelezi. Ha úgy érzi h reklamáló ügyfél valójában bűncselekményt követett el, tehet feljelentést a rendőrségen. Ha pedig nem tud olyan rendszert kialakítani ami elfogadható szintre csökkenti az ilyen csalásokat, akkor dönthet úgy is, h nem kínálja tovább a szálgáltatásait online felületen.

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

> akkor dönthet úgy is

vagy a hulye ugyfel is donthet ugy, hogy atmegy masik bankhoz, akinek nem lehet masolni a weboldalat. ja, hogy olyan nincs.

hat akkor ne hasznalja tovabb a szolgaltatast online feluleten.

aki meg kepes megkulonboztetni a fake oldalt az igazitol, azt ne szopassuk mar a hulyek miatt.

Az ügyfél nem hülye, hanem a geci bank hazudja azt neki, h biztosnágos az online bankolás. Elsődlegesen a bank átverésének az áldozata, az által van megtévesztve ezért fel sem merül benne, h ne használja a rendszert. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Rendkivül eredeti ötlet, még nem is hallottam senkitől ezt soha! És mond nem vállalnád ezt a feladatot? Nagy segítség lenne a társadalomnak, h egy ilyen rátermett fickó előzetesen eldönthetné h ki az aki bankolhat! Na, lenne kedved? Gondold meg! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Sokadszor, te nagyonretardált... Ha bemész valahova, amiről azt hiszed, hogy tejivó, de kiderül, egy igazi betyáros csárda, akkor ki lesz a hibás? Te csárdába akartál menni (pontosabban tejcsárdába), csak épp nem sikerült a bejárat fölötti feliratot korrekten dekódolnod... (A te eddig elkövetett hozzászólásaid alapján a tejcsárda tulajdonosa lesz a hibás, mert a tejcsárdára megszólalásig hasonlító "műintézmény" is létezhet...)

Erre az ég világon senki nem kötelezi

Az ügyfelet sem kötelezi senki az online bankolásra. Ja, hogy reggelente sorban állni nyitás előtt a kerületi OTP-fiók előtt, mint ahogy az szokás volt még 10-15 évvel ezelőtt is az öreg mamiknak, az már érezhető szopás? Hát, lehet választani, ki hogyan szeretne oboázni.

A fizetésed mindenképp a bankba megy, és onnan nem is tud kivenni veszteség nélkül!

Egyrészt ehhez nem kell online bankolás, erre van kitalálva az ATM és a készpénzfelvétel.

Másrészt a munka törvénykönyve úgy fogalmaz, hogy alapesetben fizetési számlára kell utalni a munkabért, de a felek megállapodása esetén a készpénz kifizetése is teljesen megengedett:

A munkabért a munkavállaló által megjelölt fizetési számlára utalással kell megfizetni. A felek írásbeli megállapodása esetén a munkabért készpénzben kell megfizetni.

> ehhez nem kell

"Ehhez" bankszámla sem kell[ene]!

> törvénykönyve úgy fogalmaz

Többször kitárgyaltuk már mt-ben az van körülírva, h nem juthatsz kp ben a fizetésedhez. Kényszerítve vagy bankszámlát használni, ahonnan pedig nem tudod felvenni a pénzt jelentős veszteség nélkül. Limitált összegben is csak akkor, ha azt előzetesen kérelmezed a banktól.  Ezt a limitált összeget még az infláncióra tekinttel sem emelte fel a "zemberek" kormánya nehogy már a bankok egy hajszállnyival is roszabbul járjanak!  

Továbbá mind az ATM, mind a kártyahasználat további, az onlinehoz hasonlatos visszaélésekre ad lehetőséget: preparált ATM-ak, pin kóddal való idétlenkedés miközben 8 kamera vesz minden irányból stb.  ezzel lehetőséget adva a geci bankok sötétlelkű informatikusainak, hogy az ügyfeleket ezzel kapcsolatban is lehülyézhessék, és az áldozat kárán jót derüljenek! Nem kicsit undorító! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

A költségek egy elég jelentős hányada szolgáltatói számla befizetése - csoportos beszedést kell csinálni, és máris egy nagy adag sorbanállástól meg kp. felvesz, bemegy a póóóóstára, kivárja a sorát és befizeti a sárga meg fehér csekkeket tevékenységsorozat eliminálva.
Mivel (gyakorlatilag) minden, nyugtaadásra kötelezett eladónál kötelező az elektronikus fizetési lehetőséget biztosítani, így a vásárlások, szolgáltatások ellenértékének a kifizetéséhez is csak nagy ritkán van/lehet szükség készpénzre - arra meg bőven elég kell, hogy legyen a havi 150E Ft.

"preparált ATM-ak, pin kóddal való idétlenkedés miközben 8 kamera vesz minden irányból stb." - Havi egyszer azért elég alaposan meg tudod nézni a megszokott ATM-et, amikor a havi fixet veszed fel - ja, a töltés során is van checklist, plusz azért a fake ATM elég ritka jószág - mert ugye onnan indultunk, hogy a fake netbankkal verik át a zeembereket (akik nem képesek megkülönböztetni a "Kupleráj" feliratot a "Vegyesbolt" felirattól)...

A "nem juthatsz kp.ben fizetéshez" nem igaz - ha a munkáltató nem óhajtja vállalni ennek az igen jelentős költségét, illetve kockázatát, akkor keress olyat, amelyik igen. (Már leírtam máshol, de a kp.-es fizetéshez kell legalább két olyan dolgozó,a ki jogosult megismerni az összes dolgozó fizetésének összegét, és ez a legalább két fő kell, hogy elkészítse a nettó béreket tartalmazó lista alapján a címletezést, a készpénzrendelést, a szállításkor fogadja, átvegye a címletezés szerint megrendelt és leszállított készpénzt, (mindketten legalább egyszer átszámolják a teljes mennyiséget), az átvétel után dolgozókra lebontva borítékolják a fizetést (mindketten mindenkinek a borítékba kerülő fizetését át kell, hogy számolják), aztán a fizetésnapon egyesével behívva a dolgozókat mindenkinek átadják a neki járó borítékot, megvárják, hogy a dolgozó ott előttük átszámolja a kapott összeget, aláírja az átvételt. Mivel jelentős kp. készlet felügyeletéről van szó, így mindezek mellett folyamatosan biztosítani kell megfelelő számú és jogosultságú vagyonőrt is...
Ha egy dolgozó kifizetése (behív, bejön, átveszi, átszámolja, aláírja, kimegy) csak három perc, akkor egy nap egy páros (+vagyonőr) ki tud fizetni ~160 főt... De ekkor nulla szünet van a fizetést kiosztók számára, úgyhogy optimálisan egy kifizetőhelyen kb. 100-120 főnek lehet kp.-ben fizetni.

 

Minderre korábban is volt működő megoldás, most is menni fog, jobban kéne bíznod a már bevált dolgokban! Szerencsére van politikai akarat a készpénzhasználat alkotmányos joggá való nyilvánítására! És amint a mt. is átírásra kerül millió számla fog megszünni a bankoknál, mert sem az un. banki költségek (a pofátlan szabadrablás eufémisztikus megnevezése); sem a tény h bank asszisztál az ügyfele kifosztásához miközben őt lehülyézi; sem a szabályozás miszerint a banknak átadott pénzből annak visszakéréskor az további levonást eszközöl egyáltalán nem vonzó ajánlat az embernek. A kevesebb ügyfél miatt állás nélkül maradt banki dolgozók pedig elhelyezkedhetnek majd a cégeknél pénzügyesnek! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Te, én még emlékszem arra az időre, amikor a banknál nem volt költsége se a számlavezetésnek, se a kártyáknak, sőt, pénzt kaptál azért, hogy ott volt a pénzed. Tudod, hogy mi változott? Kaptak egy csomó adót, éves szinten jelenleg 500-700 milliárd adót és illetéket szed be az állam a bankokon keresztül az állampolgártól. És ha időben nem is tudsz 15 évet visszaemlékezni, akkor elég, ha térben mozdulsz el pár száz kilométert, ahol szintén azzal szembesülsz, hogy nincs költsége se a számlavezetésnek, se a kártyáknak, sőt, pénzt kapsz azért, hogy ott van a pénzed

A hülye és fogalmatlan állampolgár meg kire haragszik? Igen, a bankra.

Fúúúj b+...ezt nem kéne: képzelem h tiltakoztak a bankok amikor a kormányzat szabadráblást tett számukra lehetővé, mindenkinek bankszámlát kellett nyitnia náluk és elkezdhették végletekig lefejni a társadalmat. Hja devizahiteles svindlijük miatt egyébként km-es körzeten kerültek volna minden bankfiókot az emberek...ugye, de így. Tudod már hitelt sem vett fel senki tőlük! Baszki leáltak az épitkezések, az ingatlanfejlesztő szélhámosok az üres telekeiket bámulták dühöngve...elérkezett a világvége a gazdaságban: nincs új balek aki elvállalja hitelek fizetését a bankos  kamatos piramisjátékban! Hja akkor megint megjeletn a zemberek kormánya: ha az emberek már annyira csalódtak és féltek a bankoktól, h nem mernek hitelet fevenni, akkor majd a kormány ékelődik be hitelező és a hitelt fizetők közé, csak hogy fent lehessen tartani a banki kamatos piramisjátékot -  és az egészet el lehet majd sütni, mint családtámogatás, mert h gyerekek nélkül nincs magyar jövő! Ami persze igaz, csak h itt sem a kormányt sem bankot , na azokat végképp nem érdekli a magyar jővő, csak a piramisjáték fenntartása, megint menjen a hitelezés, forogjanak a kamatok, most közvetve fizetjük mindannyian a "magyar jővőt" abankok tulajainak, akik évről évre rekordnyereséggel zárnak!

MIndenesetree jól vissza kell emlékezni, h vázolt, a jelen körülményekkel összehasonlíthatatlanul egészségesebb paici viszonyokra találjunk. Azért nagyon annak sem kell örülni, a bank a csalás és az erkölcstelenség szinonímája mindenképpen! Nincs ezen mit szépíteni!  Pfúj!
 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

veletlen se az volt a baj, hogy a fizetoeszkozunk leertekelodott a p*aba, elinflaltak, a kormany sajat balfasz gazdasagi intezkedesei miatt, ahelyett, hogy mar vagy 15 eve euroban szamolnank :)
a Zemberek a sajat elhatarozasukbol, onkent es dalolva arfolyam-nyereszkedni akartak, aztan amikor ez nem jott be, az en penzemen megmentegettek oket, mert tulvallaltak magukat es ratettek a csaladi hazat fedezetnek... koszbaszdmeg, hogy en, aki nem voltam balfasz devizahiteles, nekem kell a balfaszok balfaszsagat megfinanszirozni!

"Minderre korábban is volt működő megoldás, most is menni fog, jobban kéne bíznod a már bevált dolgokban!" - Attól, hogy a dédapám lovaskocsival járt, még nem biztos, hogy a lovaskocsi mostanság is optimális lenne...

A banki költségek... Na ne röhögtess... Egy korsó sört nem kapok a havi banki költségemnek megfelelő összegért - miközben te arról álmodozol, hogy optimistán becsülve 20 dolgozónként egy embernapot (plusz a készpénzlogisztika nem kis költsége)  majd minden munkáltató önként és dalolva fog elkölteni a béreken felül. Lehet, de hogy ezt a plusz költséget valahol meg fogja fogni a cég (és hol máshol, mint a béreken)... És ez esélyes, hogy több lesz, mint a banki költséged - azon felül, hogy a készpénzbuzik a közüzemi számlák és egyéb rendszeres fizetnivalók kapcsán felmerülő _időt_ általában nagyvonalúan nulla költségnek szokták tekinteni...

Ja, a számlámon lévő pénzt teljes egészében fel tudom használni - a szolgáltatásért fizetek a banknak, illetve sajnos az államnak is, mert minden tranzakciót megadóztat, amit sajnos nekem kell viselnem - de ez nem a bank "sara" pláne nem a bank bevétele. Megnéztem: havi 1200Ft körüli költsége van a két számlámnak - a mérleg másik oldalán ~10-12 csoportos beszedés/állandó utalás elintézése van - ez azt jelenti, hogy nem kell havonta 3-4 alkalommal póóóstára meg bankfiókba mennem, hogy fizessem a közüzemi díjakat, vagy épp a társasházi közös költséget (amit csak a th. számlavezető bankjában tehetek meg költségmentesen, ha postai kp. átutalási megbízást szeretnék, az valami 450 vagy 500Ft - lenne, ha még lenne, mert talán a tavalyi évtől már csak utalással mehet, mert úgy a társasháznak (és ezzel nekem is) olcsóbb...

https://pki.goog/

A Google Trust Services által kibocsátott tanúsítvány pont annyit ér, mint egy Let's Encrypt tanúsítvány, ha a weboldal identitásán túl a tulajdonos identitásáról akarsz megbizonyosodni - semmit.

Szerkesztve: 2024. 02. 27., k – 14:58

Inkább csak tedd el az url-t és beszélj az idősebb rokonaiddal, szüleiddel, hogy *nagyon* legyenek észnél. Ennél többet nem tudsz tenni...

Kéne egy nagy proxy a magyar internet köré, hogy megvédhesse az állam a keményen dolgozó becsületes kisemberek népnemzeti forintjait ezektől a csaló, konspiratív, aljas vebszájtoktól. Fel is veszem a kapcsolatot az országgyűlési képviselőmmel! Esetleg blacklist helyett egy whitelist kéne a látogatható oldalakról és biztonságban lehetnénk. Végre.

Engem egy hete hívtak, telepítettem az Anydesk nevű OTP vírusírtót, kért egy 9-10 jegyű számot, adtam neki egy random 9 jegyűt, de nem tudott csatlakozni pedig vagy 8-szor lediktáltatta aztán kinyomott. Ez szomorú ez. Hogy már a banki szférában sem veszik komolyan az ügyfelet. :)

az en adomat csak en optimalizalhatom!

neked aztan fura humorod van...

mondjuk en az sms-be link kuldest tiltanam, semmi ertelme, csak spammerek hasznaljak

Mikor vodafon, yettel 2-havonta bombáz az sms-el h. má megint változott a kibaszott ászf-ük (ami kb eufémizmus arra h. mindig a havi előfizetési díj növekedését jelenti), akkor nem baj ha van konkrét link a kurva oldalukra. Nem úgy kell a direkte használhatatlan menürendszerben bolyongva kutatni azt a rohadt pdf-et.

Egy kulturországban leélsz egy életet h. a kibaszott szolgáltatók ászf-je változott volna. Itt meg szemléző alkalmazottat kéne tartani aki minden hétfőn ősszefoglalja adott héten melyik szolgáltató épp mivel húz le megint, "me' megteheti".

Az esti 23:59-es közlönyszemléző munkakört már nem is mondom.

Kár h. ez az egyetlen módja ahogy szerintük kommunikálniuk kell velem. Aztán ha kiküldik sms-ben a kommüniqét h. a havidíjat a 10x emelték csak nekem személyreszólóan, én meg nem ellenkeztem 5 munkanapon belül mert az sms ment a devnull-ba, akkor feljogosítva érezhetik magukat a 10x-es pénzt kiszámlázni nekem. Biztos benne van valamelyik heti ászf update-ben, h. ezt is meg lehet már tenni 2024-ben. Az ászf-szemléző emberem még nem hívta fel rá a figyelmemet.

Szerkesztve: 2024. 02. 28., sze – 09:26

Egy random domain... Mit szeretnél vele csinálni?

Ezért kell mindig megnézni az URL a böngészőben, meg a feladó email címet a levélnél, nem csak a titlet meg a megjelenített nevet. Ezért kiválóak az olyan debileknek szánt programok, mint a safari vagy az outlook, ami csodásan elrejti ezt by default.

"Sose a gép a hülye."

Lenne egy egyszerű kérdésem, ne nevessetek ki.
Ha beírom a böngésző címsorába egy bank címét, honnan tudom, hogy valóban a bank oldalán vagyok?
Mert ahogy itt írjátok a tanúsítvány sem biztos, megnevezi a tulajdonost, illetve a https csak a biztonságos adatátvitelt garantálja.

Most, hogy beszélünk erről, megnéztem a Pale Moon böngészőt. Színnel, megnevezéssel és felbukkanó címkével is jelzi.

Pl. az OTP zöld és "Extended Validated", a HUP kék és "Biztonságos".

Mennyivel jobb lenne a többiben is.

Az egész ugye a kulcsidentitás probléma - honnan tudod azt, hogy a kulcs, amiről a tanúsítvány szól, az kié?

Az ACME tanúsítványok esetén a tanúsítvány kiadása automatikusan, domainre történik, és valójában az azonosítást a domain regisztrátor végzi el. Ott csak abban bízhatsz, hogy nincs közbeékelődést és a https://otpbank.scammer.com az valóban a https://otpbank.scammer.com, nincs más közted és a weboldal között.

Azonban arra is van eszköz, hogy valóban azonosítsák azt, akinek a kulcsát aláírják tanúsításkor -  az EV (Extended Validation) tanúsítványok erre valók. Ilyenkor az azonosítás offline történik. https://www.digicert.com/faq/public-trust-and-certificates/what-is-an-e…

És ha megnézel egy banki weboldalt, azok mind EV tanúsítványok, a https://otpbank.hu oldalon, a https://raiffeisen.hu is EV tanúsítvány van - a tanúsítványban a Certificate Type mező értéke Extended Validation

Köszönöm a válaszokat, persicsb-nek, hogy részletesen írt róla.

Itt és máshol is előjött a bankok felelőssége, ehhez megosztok két rövid élményemet a két intézmény megnevezése nélkül.

1. eset
Az itt is feltett kérdésemére (Honnan tudom, hogy valóban a bank oldalán vagyok?) az ügyintézőnek kikerekedtek a szemei és már a kérdést sem értette. Hát látja...
Ez pedig nem az ügyintéző hibája.

2. eset
Elkezdtem olvasgatni egy kiadványt, hogyan kerülhetem el, hogy csalók áldozata legyek. A kiadvány végén ez áll:
"Győződjön meg a weboldal címének helyességéről és az adatátvitel biztonságáról! Használjon HTTPS és SSL protokollokat böngészéskor! Emlékezzen a zárt lakat szimbólum önmagában nem tesz egy honlapot hitelessé, vagy törvényessé."

Az utolsó mondat igaz, de nem ártott volna befejezni avval, amit ti válaszoltatok.

Na, itt valóban van a bankoknak és elsősorban a felügyeletüket ellátó MNB-nek felelőssége. Elég lenne egy korrekt tájékoztató. A társadalom egy jelentős része napi szinten használja a banki- és online ügyintézést úgy, hogy fogalma sincs erről. Az ő felelősségük akkor számonkérhető, ha erre felhívják a figyelmüket. Itt jelen esetben pár sor volt az egész.

az a maradék 1% ;)

 

ráadásul, ha bookmark-ból nyitnák legalább csak a fontosabb oldalakat... az ezellen is véd.

Aki keresőből nyitja, vagy emailben, sms-ben, cseten kapott linkekre kattint... azon amúgy sem lehet segíteni.

 

szerintem.

Ha csak 1% használ Firefox böngészőt. A Pale Moon helyesen jeleníti meg, a többit nem tudom hogyan viselkedik.

Mozilla Firefox 115.8.0esr (64 bites) még mindig "átverhető", de legyen itt is meg a megoldás:

about:config > network.IDN_show_punycode > true

ráadásul, ha bookmark-ból nyitnák legalább csak a fontosabb oldalakat... az ez ellen is véd.

Szerintem akkor ez már szerencsésebb: firefox webcím

Ami még ajánlható, hogy külön profil legyen és a kiegészítők mellőzése a banki bejelentkezéshez.

Szerk.:

Tévedtem, a Pale Moon is "átverhető".

Hááát, emlékeim szerint lehet unicode karaktereket küldeni SMS-ben... na most innentől elég, ha megnézed, hogy hányféle 'a' betű van a unicode-ban (homoglyphs a kulcsszó). És ugye lehet unicode-os domaint regisztrálni. Szóval szerintem az SMS-ben érkező linkkel is lehet picit mókolni: SMS-ben szereplő linkre ne bökj rá.

OTP-nél ha negszerezték a belépést csaló oldallal, utána még kell egy újabb sms-t szerezniük, a lenyúláshoz, az sms-ben pedig ott vannak az adatok, hova mennyi pénz megy majd, ha jóvá hagyod .

Vagy lehet enélkül is, nekem kéri minden tranzakióhoz az sms-ben küldött számot. Telefonszám , limit változtatáskor is.Vagy rosszul tudom ?

Egyszerűsítve szerintem ennyi az egész:
-odamegy a júzer a hamis logon oldalhoz, beírja az adatait, a túloldal ezt használva indít logint, user kap sms, beírja az oldalba.
-túloldal eztel bejelentkezik, user felé visszadobja a login oldalt, user megint login, túloldal indítja a tranzakciót, user kapja sms, úser agyatlanul beírja login sms-kódként az ismételt login során, amivel a túloldal aláírja a tranzakciót.

Szerintem is jogos, hogy az OTP időnként töltse le a teljes internetet, találja meg a csalókat, és tiltsa le őket.

...de ha ez mégse menne, akkor pl. az OTP a saját online bankján lehúzhatja a rolót és az ügyfelei kiszolgálása érdekben meg tízszerezze meg a bankfiokjainak a számát! Továbbá a kormányzat hozzon oylan munkajogi szabályozást  h a bérekhez való hozzájutás érdekében ne kelljen bankszámlát nyitnia a munkavállalóknak, hanem kötelezően kp-ben történjen a kifizetés. Így aztán jelen feltételek mellett nem raknák be az emberek  pénzüket az OTP-be, és az OTP így nem is tudná másnak kiadni a pénzüket. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Továbbá a kormányzat hozzon oylan munkajogi szabályozást  h a bérekhez való hozzájutás érdekében ne kelljen bankszámlát nyitnia a munkavállalóknak, hanem kötelezően kp-ben történjen a kifizetés." - Máshol, máskor már leírtuk neked, hogy ez milyen jelentős költségnövekedéssel járna - úgy a munkáltatók, mint az ország számára.
Ha már szabályozási oldal, akkor - Kolumbusz tojása - kötelezni kellene a bankokat arra, hogy a netbanki szolgáltatást kötelezően a bank tld-ben nyújtsák, ezzel a ramdomdomainpontcom csalóknak jóval kevesebb esélye lenne... (bank tld-be regisztráláshoz banknak, pénzintézetnek vagy hasonlónak kell lenni).

>  kötelezni kellene a bankokat arra, hogy a netbanki szolgáltatást kötelezően a bank tld-ben nyújtsák,

Nem. A bankokat egy dologra kell kötelezni: a kártérítésre. És az összes ilyen technikai dolgot rájuk kell bízni! Nekik kell megtermeteni azt a rendszert ami alkalmas arra, h az emberek hülyék, nem-hülyék és mindenki más is biztonságosan használhassa. Mivel a bank azt állítja h ő rendszere biztonságos, mégis tapasztalatilag az igazolt h ebben a biztonságos rendszerben kifosztják az ügyfeleiket - így banknak  kell felelni a kárért!

Bármiféle előírás azzal a nem kívánt hatással járna, hogy annak betartására hivatkozással a bank elháríthatná a felelősséget. Oké  a bankfelügyelet vagy tudmo is én ki, előírna a bank tld használatát. A bank teljesítené, de akkor a kifosztási módszerek is finomodnának. Viszont egy olyan helyzet állna elő, ha bank már hivatkozhat az előírás betartására, mint aki a kötelezettségét teljesítette és ezzel elhárítaná a kártérítési kötelezettséget. Ugyen ez a probléma az edukációval is. Annak is csak az a lényege h geci banki jogászok elháríthassák a kártérítést. Ahelyett h bizonságos rendszert üzemeltetnének, ilyen kártérítés elhárításban látják a kánaánt a banki oldalon. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Nem. A bankokat egy dologra kell kötelezni: a kártérítésre. " - Ha és amennyiben a súlyos gondatlanságuk bizonyítható, Márpedig abban az esetben, amikor a hozzád hasonlóan kevéssé edukált user a fiszfaszpontakarmipontcom címen bejelentkezik a akarmilyenbankponthu helyett a netbankba, mert kapott egy levelet/sms-t/telefonhívást, és minden adatot, amivel azonosítani tudja magát, megadja ugyanott, nos, ott nem a bank az, amely súlyosan gondatlanul járt el.
Te a lakáskulcsodat odaadod bárkinek, hogy lemásolja?

"Mivel a bank azt állítja h ő rendszere biztonságos, mégis tapasztalatilag az igazolt h ebben a biztonságos rendszerben kifosztják az ügyfeleiket" _NEM_ a bank rendszerében történik a kifosztás: a bank rendszere nem a zolikanagyonokospontvalamirandompontcom címen van ugyanis. Ez utóbbin egy hozzá hasonló _felület_ van, amin keresztül az adott hülyeuser azonosítsára szolgáló adatokat szerzik meg a csalók, és ezekkel a hülyeuser adatokkal élnek vissza, megszemélyesítve az adott hülyeusert a bank felé. Mintha a hülyeuser egy A4-es lapot adna a csalóknak oda, aláírva.
 

> nos, ott nem a bank az, amely súlyosan gondatlanul járt el.

Pedig de! Olyan felületen biztosítja  a bankolást ami könnyedén lemosálható. Ez pl súlyos gondatlanság a bank részéről, ami totálisan alkalmas a felhasználók megtévesztésére. Nem érdekel a technikai kifogás, hogy bárki lemásolhat egy weboldalt. Rosszul ülsz a lovon! A bank felel azért h olyan módon kínálja a szolgáltatását ami könnyen hamisítható. Mindegy h ilyen web és kész, nem lehet máshogy, a felelössége akkor is megáll a banknak. A bank a profitszerzés érdekében kínálja a szolgáltatását a webes, könnyen hamisítható felületen, és ezzel kockára teszi az ügyfelei betéteinek a biztonságát. Egyértelműen ő felelős. Nem arról van szó, h ne tudnám h működik a web, több backendet írtam mint gondolnád, hanem veled ellentétben képes vagyok banki elbeszéléstől eltérően értékelni a biztonság kérdését! Sőt tovább megyek, bennem már az is megfordult, h ezek a csalások nem függetlenek a banktól teljesen. Van bennük belsős munka. 

És ez a végtelenül primitív "hülye user edukációja" duma olyan szinten viszi félre a dolgokat, mint a pedofilbotrány az ország válságos helyzetét. Ezen a baromságon csámcsognak, közben pedig fosztják ki sorra az embereket, cégeket. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Pszichológiailag igazolhatónak kell lennie, h az emberek nagyrésze beszopja. A kapott SMS-t beírja a kamu oldalra. Tehát itt egy olyan viselkedés lenne a kártérítés megtagadásának alapja amit az emberek többsége tanusít. Cizelláltabb megközelítést igényel: régen pl csak a szerződéseket kellett aláírni. Így mindenki tudatában volt annak, h az aláírásának súlya van. Aztán elkezdtek minden faszságot aláríatni az emberekkel, jelenléti ívtől kezdve a tököm tudja mi mindent, ami azzal a pszichológiai hatással járt, h az aláírásnak - mint olyannak- a súlya csökkent. Így erre ráépülhettek csalások is, amik olyanként tüntek fel mintha valami súlytalan dolgot írna alá valaki, közben épp a veséjét adta el. Itt is ilyesmiről van szó, a bank hozzászoktatott h idegesítő sms-eket küldött, amiket már inkább kikapcsolt volna legszivesebben az ember. Közben egy ilyen súlytalan SMSen áll most az h jár-e a kártérítés vagy sem. Nyilvánvalóan aránytalan is a dolog: bejelentkezel a weboldalra eleve vársz sms-t, örülsz h megjön és nem olvasod el csak irod a kódot. Nem elég hngsúlyos h  az egyik SMS csak valami lényegtelen dolgot hagy jóvá, a másik pedig a teljes összeget utalja a csalók számlájára. Ez is a bank felelőssége h a két dolgot SMS szempontjából egyformaként kezeli és a felhasználó nem érzékeli a különbséget. Egy ilyen rendszert csak rosszként lehet jellemezni, amiért az üzemeletető felelősséggel tartozik. Tulképp ezt szándékkal sem lehetne jobban megtévesztőnek tervezni: a lényegtelen és a lényeges egyforma. 
Lehet az egyes usert hibáztatni, de amikor sorra szopják ezt be, akkor a rendszer hibáját kell felvetni! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nem. Ez egy olyan narratíva, ami tökéletesen példázza, h bank egyáltalán nem törekszik biztonságosan használható rendszert kialakítani, pusztán csak arra törekszik, h a rendszerbe olyan elemek legyenek, amiket a geci jogászaik felhasználhatnak arra h kibujjanak a kártérítés felelőssége alól. Ebből szempontból a tőkéletes a rendszerük - és majd ha az edukáció is bekerül, akkor már teljesen ki lesznek aszolgátlatva a betétesek a bank jogászainak. Ennek a narratívának eleme az áldozat hibaztatása, dehumanizálása, megalázása miszerint ő annyira hülye h inkább szégyellje magát, nem h még itten pereskedni merjen a Bank ellen!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"biztonságosan használható rendszer" - Sokadszot kérdezem, hogy hogy képzeled el azt, hogy egy webes alkalmazás ne legyen semilyen módon másolható?  Ha Szentéletú Manci a kuplerájba megy be a templom helyett (pedig ki volt rá írva hogy Templ0m), és megdugják, akkor az egyház a hibás, mert más is csinált a templomra megszólalásig hasonlító dolgot, hasonló felirattal? Vagy a Szentéletű Manci, aki nem olvasta el, nem nézte meg, hogy hova megy be?

 

> Sokadszot kérdezem, hogy hogy képzeled el azt, hogy egy webes alkalmazás ne legyen semilyen módon másolható?

Sokadszor mondom: 

Leszarom a webes alkalmzás másolhatóságának kifogását, hasonlóan a többi technikai kifogáshoz, mert ezek mind a bank objektív felelősségi körébe tartoznak. Neki kell bizonyítania, h a webes oldala nem másolható le úgy h megtévessze az embereket. Senki nem kötelezi arra h webes online bankot üzemeltessen, kizárólag a haszonszerzési céllal csinálja ezt. Ha nem tudja bizonyítani akkor ne üzemeltessen online bankot!  Jó irányba kell felülnöd a lóra végre! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

lofaszt. ha kapsz egy hamis bankjegyet, a te dolgod, hogy felismerd. ha nem sikerult, beszoptad. a hibas pedig nem az MNB, hanem aki radsozta. (meg te, aki hulye voltal)
ebben onlany es offlany sincs kulonbseg, nem tudom miert kepzeled azt, hogy ha valaki (offliany is) kreten, azt onlany a banknak kellene megmenteni az en penzemen :D
azon veletlen se gondolkoztal meg el, hogy a csalokat kene elkapni es behajtani rajtuk (tudod, mint egy rendesen mukodo demokraciaban), ugye? :)
oceania es kornyeken egyebkent erre iparag epult mar sok-sok eve (tipikus YT komment, nyertel XY-t, vedd fel velem viberen a kapcsolatot, csak a szallitast kell kifizetni...), nem tudom mit varsz olyantol, aki ilyet beszop. ha megmented, kovetkezoleg ugyanugy beszopja, mert leszarja, majd ugyis megmenti valaki. tanuljon. ha a sajat karan, hat ugy.

Dehogy butaság: csak képzeld el a tárgyalót: az alperes bemutatja a bírónak a bank weboldalának a képét és bemutatja fake oldal képét. A két kép tökéletesen egyezik. A bíró megállaptítja, h a bank olyan felületen nyújtotta a szolgáltatását ami könyeddén lemásolható volt. A bankot terheli annak bizonyítása h az eredeti és a fake oldal nem a megtévesztésig hasonló. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Erről jut eszembe:

- Jó napot kívánok, Köcsög József vagyok és fel vagyok háborodva.
- Üdvözlöm, Köcsög úr, miben segíthetek?
- A kollégám véletlenül letörölt egy fájlt és nagyon kellene!
- Semmi baj, Köcsög úr, visszaállítjuk.
- Ez még csak rendben, de ebből látszik, hogy maguk rosszul állították be a jogosultságokat!
- Nem, Köcsög úr, mi pontosan azt állítottuk be, amit ön leírt.
- Nem! Mert én azt írtam oda, hogy abból a mappából a kollégának joga van törölni!
- Igen. Pontosan.
- Nem! A kollégának, HA AKAR, akkor legyen joga törölni! De véletlenül ne tudjon! Ezt állítsák be nekem, addig nem fizetek!
- ...

 

https://www.f99.hu/blog/index.php?lap=2011okt.html

Ez úgy volt h pénzpapír hatalmas kb 1.5-2 m átmerőjü hatalmas henger formában voltak. Ilyenből azt hiszem 6 db tünt el. Az elkövetkező években kb 2 évente váltzotattak a pénzen valamit lecserélve a teljes kp állományt. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Picasso fest egy nagyon jo kepet. Valaki ezt lemasolja es eladja neked, mint "eredeti Picasso". Te megveszed, es otthon jossz ra, hogy a kep hatuljara szitazott "made in China" nem ugy ertendo, hogy ott festette az alkoto.

Ebben a sztoriban nalad hogy lesz Picasso a felelos?

Mert a picasso képen keresztül milyen szolgáltatás valósul meg, ott is lehet bankolni vagy mi? Nem igazán értem a relevanciát! Az egyik egy hamisítási ügy, a másik meg arról szól h hamisítható felületen kinálnak szolgáltatást a tömeges csalások és hatalmas kárérték ellenére nem vállalva a felelősséget.

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Egy pillanatig se gondold,h nem szamítottam a bugrisság megnyilvánulásaira amikor a bankprogramozókat szembesítettem az élethazugságukkal: gyalázat az amiben részt vesznek! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ja még sms-hez.... eszembe jutott: h éppen az áldozat róhatja fel a banknak, hogy az miért küldött neki utalást megerősítő sms-t miközben ő csak bejelentkezett? Már bocsánat, de azt az aktust, hogy az utalást jóváhagyó sms-t beírta a kamu oldalra, megelőzte az, hogy a bank kiküldte neki az sms-t, miközben ő nem kezdeményzetett utalást! Akor miért kapott ezt jóváhagyandó sms-t a banktól?
Természetesen én értem h miért. Csak hát itt éppen arról van szó, h bank nem küldhetett volan neki ilyet, hisz ő nem [nem ő]  kezdeményezett utalást. Tehát az van h elsődlegesen a bank  követi el a hibát ismét! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Akor miért kapott ezt jóváhagyandó sms-t a banktól? 

Talán azért, hogy olvasd el, Es ha nem azt látod, hogy OTP  direkt bejelentkezéshez azonositója xxxxx,  Hanem, azt látod, hogy Belföldi forint átutalást az ön  xxxx szmlájáról, yyy számlára, zzzz  HUF összegben , A jóváhagyó kód 12345. és ha ilyet nem akarsz akkor tudjálróla és ne add meg.Gondolom ez   célja.

Képzeljük el a következő scenariót:  fake oldalra link az áldozatnak > bekéri a login-jelszót  > csaló beirja az igazi oldalon a login-jelszót > sms-t megkapja az áldozat > beirja a megerősitő kódot a belépéshez a fake oldalon > a fake oldal hibát jelez, rossz a megerősítő kód; üzenet: kér e új sms-t? > közben a csaló megadja az igazi oldalon a megerősítő kódot és belép rendszerbe > az áldozat kér új sms-t > a csaló elutalja a pénzt magának > az utalás megerősítéséhez kimegy az sms az áldozatnak, aki eleve várja az új sms-t  a belépés megerősítéséhez, és ezért nem olvassa el  csak megadja a fake oldalon > a csaló megadja az utalásthoz a jóváhagyó kódot és ezzel vége is a sztorinak. 

Teljesen életszerű, ezt még az informatikusok egy része is beszopná! Nyilvánvaló, h nem megfelelő védelem az sms! Nem a felhasználó a hülye, hanem az a geci aki ilyen rendszert tervezett és ilyen látszat védelem melett gyakorlatilag terepet és lehetőséget ad arra, h kifosszák az áldozatot! 

Amennyi logikátlanságot, inkonzisztenciát tapasztalhat bárki az otp részéről (pl. az otp.hu oldarlól eldob otpbank.hu -ra) elöbb gondolna valami hibára annak kapcsán h nem olyan sms-t kapott mint amit várt, minthogy felismerje h éppen egy csalás áldozata.  Nem lehet komolyan venni, h sokmillió forint függjön egy debil sms-től. Ez teljesen aránytalan. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Sajnos egy dolgot tudsz csinálni, az sms-eket nagyon el kell olvasni.Szerintem ha 100 % elolvasná akkor 0-esetre csökkenne ez a lenyúlás. Remélem nem tévedek. 
Egy dolog nagyon jó lenne , ha a napi banki utalásokat is a bankkártyához hasonlóan lehetne limitálni. Most ez 1 millió lakossági folyószámlákon.
Válallkozói-t  nem tudom , gyanítom ott nincs limit.  Annyit tudsz tenni, hogy lekötöd a pénzedet. A felszabadítása egy tranzakció.  A bankkártyás netes vásárlást meg virtuális kártyáról szabad csinálni.

Ennek én nagyon örülnék, de nem találok ilyet, valamelyik menüpontban ott van ? Nagyon jó lenne. Nem kevered a bankkártyás limitekkel ? ÉN a folyószámláról  utalásra gondoltam. (Banki átutalás)

A limit az a LAFO-n biztos hogy 1 millió:

Napi átutalási korlát A Napi limit Bank által rögzített értéke, melynek összege 1.000.000 Ft, azon Szerződő Felek esetében, akik korábban nem, vagy ezen értéknél magasabb Napi limitet határoztak meg. Amennyiben a naponta adható átutalások összege eléri ezen összeget, az OTPdirekt internetes szolgáltatásban az OTP Bank nem teljesít további számlakörön kívüli számlák javára indított megbízást. A korlát miatt nem teljesíthető megbízásokat a Szerződő Fél a Digitális Szerződéssel elérhető OTP Internet- és Mobilbank felületén korlátozás nélkül megteheti, illetve azon Szerződő Felek, akik nem rendelkeznek Digitális Szerződéssel, ideiglenesen, de maximum 24 órát meg nem haladó időtartamra, kérhetik a Napi limit szükséges értékre történő megemelését az OTP Bank telefonos ügyfélszolgálatán a +36 (1) 366 6810 számon. Az OTP Bank fenntartja a jogot, hogy a Szerződő Fél kifejezett és megfelelően indokolt kérelme alapján a napi átutalási korlát érvényesítésétől eltekintsen.

Hát ez van, de lehet hogy az 1 millió-s limiten belül lehetne finomitani, ez is valami, de ha ez alatt be tudnál állítani pl 200 000 ezer ft-ot, azért napi-nak az is elég lenne. Mégse a teljes összeg , illtve otp-nél napi 1 milla lehet a lenyúlás. LAFO-n. Válalkozóknál, ev-k nél nincs limit szerintem.

"Teljesen életszerű, ezt még az informatikusok egy része is beszopná! " - Nem. Az olvasni nem tudók/nem akarók szopják be, illetve azok, akiknél a beérkező SMS-hez egy fertőzött gépre szinkronizálás miatt a támadó is hozzá tud férni. (Igen, a fertőzött gép az üf. sara...)

"Csak hát itt éppen arról van szó, h bank nem küldhetett volan neki ilyet, hisz ő nem [nem ő]"

A bank akkor küld ilyen üzenetet, ha valaki az ügyfél nevében sikeresen beazonosította magát (azaz a bank szempontjából ő van a túloldalon!), és elindított egy tranzakciót, amire SCA SMS-t kell küldeni.

Ha az áldozat olyan tevékenységhez kap megerősítésre szolgáló SMS-t, amit a legjobb tudomása szerint nem ő indított, akkor igen, tessék a bankot felhívni az ismert csatornákon, és jelezni, hogy ilyen üzenet érkezett, _és_ NEM felhasználni, nem továbbítani másnak az SMS-ben kapott megerősítő kódot.  ha felhasználja/továbbadja az így kapott adatot, annak a használatáért bizony ő felel.

>  ügyfél nevében sikeresen beazonosította magát 

A banktól azt várjuk el, hogy az arra jogosultnak adja át a rábízott pénzt, és ne annak aki a bank által meghatározottak szerint jogosultnak azonosítja be magát, de nem azonos a jogosulttal. A bank hatásköre az azonosítás, amiért objektíven tartzozik felőséggel. Olyan módszert kell kidolgoznia, ami olyan szinten szorítja vissza a csalások lehetőségét, h a fals azonosítás miatti káreseményekért jót tudjon állni. És ha nem képes erre, akkor nem ér ám az ügyfélre mutogatni! 

>  ügyfél nevében sikeresen beazonosította

...tehát ilyen megfogalmazás érvényesen fel sem merülhet. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"arra jogosultnak" - az pontosan az, aki az elvárt/előírt azonosítás alapján annak tekinthető. És mivel a jelszót az ügyfél harmadik félnek nem adhatja ki, illetve az SCA SMS fogadására használt SIM-et tartalmazó telefont is kizárólagosan kell használnia, így a jelszó ismerete és az eszköz birtoklása együttesen elégséges az ügyfél azonosítására. Mivel a scammer a szükséges információknak birtokában azonosította magát a bank felé, így nem különböztethető meg az eredeti ügyféltől banki oldalon. Ha az ügyfél nem képes megkülönböztetni a kedvencbankomponthu-t a kedvencbankompontrandomszarpontcom címtől, akkor ki is a hibás? És milyen ennél jobb/hatékonyabb megoldást tudsz a jelenlegi 2FA-nál ajánlani?

 

hulye vagy, leulhetsz. ponthogy beazonositotja magat a bank fele. sajat elhatarozasabol dont ugy a paraszt, hogy megadja ezeket az adatokat.
a bank tehet erre 80 auth faktort is, ha a paraszt olyan balfasz, hogy mind a 80-at megadja, anelkul, hogy olvasna a ket kis szemevel. ertds mar meg vegre, ezek azok a balfaszok, akiket eloben is ugyanugy kurnak at. ez ellen semmilyen banki hokuszpok nem ved.

"Olyan felületen biztosítja  a bankolást ami könnyedén lemosálható"

Mutass már olyan online felületet, ami nem mosálható le (sic!) könnyen... Mondom, alapvető technológiai dolgokkal nem vagy tisztában... Tudod így, 2024-ben egy másolt weblapnak bedőlni nagyjából olyan, mint a fénymásolt húszezrest elfogadni...

> . Tudod így, 2024-ben egy másolt weblapnak bedőlni nagyjából olyan, mint a fénymásolt húszezrest elfogadni.

A tények, a minden napos átverések nem ezt mutatják. Bár úgy tűnik nem ez az egyetlen dolog a valóságból amivel hadilábon állsz!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Egy bank nem jogosult annak megállítására, h ki a hülye és ki nem. Szintén nem jogosult kötelező edukációra kényszeríteni a betéteseit. Ellenben köteles a szolgáltatását olyan módon nyújtani, hogy az ügyfeleit csalók ne tudják megtéveszteni. Az ügyfeleitől átvett pénzt az arra jogosultnak a szándéka szerint kötelesek megőrizni vagy visszaadni és nem jogosult azt illetékteleneknek átadni.  A bankot objektív felelősség terheli, ő határozza meg azokat felületeket amin keresztül a szolgáltatását nyújtja, ő határozza meg, hogy mi módon történik az azonosítás. A valóságban azonban tapasztalatilag igazolt, h sem az online felület nem felel meg annak követelménynek, hogy ne lenne a megtévesztően lemásolható - megjegyzem az atm automáttkal is hasonló, bár talán kevésbé tragikus a helyzet -  továbbá az azonosítás folyamata sem megfelelő. Így tehát megállapítható h bekövetkezett káreseményekért a bank tartozik jótállni. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Ellenben köteles a szolgáltatását olyan módon nyújtani, hogy az ügyfeleit csalók ne tudják megtéveszteni" - Nem köteles szolgáltatni sem. A feltételeket valóban a bank határozza meg - de ha azt mondaná, hogy akinek nincs minimális ismerete, biztonságtudatossága, azt nem kívánja ügyfélként, akkor meg azért rinyálnál.

"az online felület nem felel meg annak követelménynek, hogy ne lenne a megtévesztően lemásolható" - Ezt a feltételt hol olvastad/hol láttad?
"az azonosítás folyamata sem megfelelő" - melyik jelenlegi előírásnak és elvárásnak nem felel meg a 2FA?

> bank nem jogosult annak megállítására, h ki a hülye és ki nem

eppenseggel de, sot...  lasd MIFID teszt, anelkul csak hulyebiztos befektetest (betet, allampapir) ajanlhat/ertekesithet az ugyfelenek. csinalhatnanak valami hasonlot a netbank hozzafereshez is, ha atmegy a teszten, kap netbankot, anelkul jarkalhat bankfiokba. bar ha azt is az ugyintezo tolti ki az ugyfel helyett, ahogy tobb bank eseten tapasztaltam a mifid-nel, akkor sz@rt sem er :)

Annak érdekében tehát, hogy az Ügyfélnek alkalmas pénzügyi eszközt tudjon az OTP Bank ajánlani, az Ügyfélnek ki kell töltenie egy ún. Alkalmassági tesztet, amely alapján az OTP Bank besorolja az Ügyfelet az öt kockázati kategória egyikébe, és ennek alapján meghatározza, hogy mely termékcsoport(ok)ba tartozó pénzügyi eszközök alkalmasak az Ügyfélnek.

csak irrelevans, mert az egyik atutalas/vasarlas a masik meg befektetesi (kockazat)elemzes, szezont a fazonnal esete.
nem IQ-ra vagy a kedves ugyfel informaciobiztonsaggal kapcsolatos tudatossagara iranyul a teszt. az alkalmassag nem az ugyfel, hanem a portfolio alkalmassaga attol fuggoen, hogy az ugyfel mit vallal be vagy nem.

tudom, hogy mas, ezert irtam:

> csinalhatnanak valami hasonlot a netbank hozzafereshez

abban a tesztben lehetnenek info bizonsagi kerdesek pl.

vagy eleg csak 3 screenshot, 1 valodi es 2 "masolat" netbank loginrol, meg tudja-e mondani melyik a valodi?

es ezzel nem mennel semmire, mert utana felhivjak es ugyanugy beszopja a telefonos scamet :D mifelenk meg szoktak volt mondogatni, hogy hulyesegre nincs orvossag... vagy ha nekem kell oktatni, 95%-ban elokerul a mondat, hogy helyetted en nem tudom megtanulni. :)
ott kellett volna az alaptanterv reszeve tenni ezeket, amikor elkeszult a gov.hu... jobban jarna mindenki, pl. hittan helyett. (disclaimer: en is jartam hittant tanulni. szabadidomben...) az "elhiszem" helyett inkabb a "szkeptikus vagyok"-ot kene eroltetni. IMHO :) vagy mondjuk nem az lmbtq-tol "megvedeni" a gyereket, hanem tudatossagra nevelni. amelyik gyerek 8-10 eves korara nem tudja mi az, hogy homoszexualis (foleg a mostani propaganda-okadmany kozepette), (folia)buborekban el...

köteles a szolgáltatását olyan módon nyújtani, hogy az ügyfeleit csalók ne tudják megtéveszteni > nem, nem koteles. a kedves ugyfel sem koteles ugy elni, hogy ne legyen balfasz es ne tevesszek meg. ez joga nekije.
visszaadni és nem jogosult azt illetékteleneknek átadni > ha a balfasz onkent es dalolva odaadja, mert megtevedt, azt a banknak kutya kotelessege megtenni. ez a dolga neki. a banknak nem dolga ketsegbe vonni a balfasz dontest (kiveve, ha arra utalo jel van, hogy ez valoszinuleg nem a balfasz ugyfel, pl. a vilag masik vegerol kezdemenyez tranzakciot, ez miatt le is szoktak tiltani a kartyat, aztan kamcsatka alsorol probalhatod visszaallittatni, amikor otthon a bankodnak nincs nyitvatartasi ideje...)
A bankot objektív felelősség terheli > nem
ő határozza meg, hogy mi módon történik az azonosítás > pontosan, es ha a balfasz onkent es dalolva beazonositotta magat es kezdemenyezett egy tranzakciot, azt kutya kotelessege vegrehajtani. szep is lenne, ha minden masodik atutalasomat megakasztana, hogy "baszdmeg, dorsy, szerintem nem te vagy, setalj be a bankfiokba", holott beazonositottam magam :D
az online felület nem felel meg annak követelménynek, hogy ne lenne a megtévesztően lemásolható > a vilagon szerinted mi az ami nem lemasolhato megtevesztethetlenul? :D hallottal mar a hamisitas fogalmarol? miben vagy, ember? :D
továbbá az azonosítás folyamata sem megfelelő > hallgatunk, mi a megfelelo, o zoltan urasaga szerint? mert eddig csak karogtal, hogy ez se jo meg az se jo, de megoldast mutattal-e? lassuk, szerinted mi a szuperhiper modi?
Így tehát megállapítható > egy lofaszt allapithato meg, mar fentebb is irtam, ha atbasztak, az a te hulyeseged es a csalo sara. a bank azt teszi, amit mondasz. ez a dolga. ha balfaszsagot mondasz, akkor azt.

De várj csak. Utcán odamegyek hozzád, lecsaplak, beduglak a kocsi csomagtartójába, kb elmaszkírozom magam, elveszem a papírjaid, bemegyek a bankba, és akkor úgy vehetem el a pénzed. Ja, tudom, zárjon be az összes bank, és mindenki kapja aranyba a fizetését. 

A kérdésem, amiről nem tudtam, az EV tanúsítvány volt. Nem az volt a gondom, hogy megtévesztésig hasonlít első blikkre, hanem hogy miért van google tanúsítványa. De most már tudom, hogy többféle tanúsítvány van, és az egyik "semmit" nem jelent (persze, azon túl, hogy a hacker és köztem nincs közbeékelt támadó :D).

Hogy lehet az, hogy ez még mindig téma?

MKB/MHB: ha utalni akarok, jön egy SMS, hogy xx-yy-zz számlaszámra akarok utalni adott összeget, ott egy kód, hogy írjam be a netbanka. Ilyen esetben, aki megadja a kódot, az elég konkrétan hozzájárult ahhoz, hogy az a pénz tőle elvándoroljon. Nincs semmi felelőssége a banknak, ha én a csaló utalását jóváhagytam, hiszen láttam, hogy kinek megy a pénz és mennyi.

UBS: ha utalni akarok, hardver tokennel kell aláírni a bankszámlaszám megadott 5 számjegyét. Ha egy csaló akar utalni, esélye sincs. A token egy offline eszköz, nyilván nem lesz aláírva, ha nem tudok róla. De ha tudnék róla, akkor sem tudnám, milyen számlaszámot kellene aláírni.

Ezek szerint az OTP-nél és más bankoknál ez nem így működik? Mert akkor az meg az ő hibájuk.

Hardver tokent szerintem egyik hazai bank se ad a lakossági ügyfeleinek, de javítson ki bárki ha tévedek. Minden bank ment az okostelefonos app irányába, h. könnyen kényelmesen elveszíthessék a népet a pénzüket, ha 1gy csaló betalálja őket.

Szóval bár nyilván megértem a bank oldalát is h. nem képesek 100%-osan védekezni, viszont azt a bicskanyitogatóan cinikus hozzáálásukat viszont semennyire nem tudom tolerálni, hogy látványosan leszarják az egész témakört. Mondjon valami egy magyar banki SOC-ot, ahol a bank emberei aktívan vadásszák lefele a scam-méreteket öltött oldalakat, webszervereket, karöltve a hazai és külföldi hatóságokkal. Biztosan nincs ilyen, de cáfoljon meg egy ott dolgozó, anonim v. direkt üzenetben.

Kettő megoldást írtam, és az egyik hazai ráadásul. Tehát ne nevezzük megoldhatatlan problémának.

És ha megoldható, akkor egyszerű a képlet: ha a bank maximálisan meggyőződik arról, hogy a számla tulaja adott számlára adott pénzt akar utalni, akkor a számla tulaja a felelős, különben a bank, mert elégtelen szinten próbált meggyőződni az utalás hitelességéről.

Ha SW-token alatt az authenikátor app-okra gondolsz, akkor nézz szét a beállításaik között... lesz olyan, hogy "backup", ami egyfelől praktikus, ha elhagyod a telefonodat vagy esetleg megsérül. Másfelől viszont ha hozzáférnek az accountodhoz, ahova menti... na az szívás.

SW-token alatt SW-tokenre gondolok, nem az authentikátor appokra. SW tokent pl. a K&H használ, ahogy említettem, de a KBC Securities is azt használ(t), és az állományát és ügyfeleit átvevő KH értékpapír is. Ezek tényleg tokenek, és ha a telefonod elvész, megsérül vagy cseréled, akkor újra kell generálni.

OTP-nél nálam így van, mindig kéri az sms-ben küldött számot. Mostanában el is olvasom. Persze lehet hogy van utalás enélkül is, az viszont gáz.
 

Olvstam a neten egy sms-s váltást, Használt cikk eladás, eladó megkapta az ár 80 %-át, maradt még pár ezer.
Kérdezte, hol a maradék, mondták semmi gond  bank ellenörzi a számlaszám hitelességét, valószínüleg fog egy számot küldeni, majd azt kell még beírni,  és minden ok.

Beírta. 
Kérdezte az eladó, hogy most mi van , eltűnt a pénze, de nem tüntek el a csalók, hanem azt mondták hogy nyilvána telefonban valami nem jó, valamelyik családtagnak mehetett a pénz ilyen ez a mobil, adja má meg azoknak is az adatait, utánanéznének.

Összeg, számlaszám ott van benne, vagy ha telefonszám vagy limit változtatás van benne kéri, illtve írja is, hogy változtatás lesz,ha egy fiókban van két saját folyószámlaszámod, akkor is kéri az sms-ben küldött számot.  Legalábbis nálam igy van. 

Ha kapsz egy SMS-t, amiben az áll, hogy ha tényleg el akarod utalni Csaló Ákosnak az összes pénzed, akkor add meg a kódot, és megadod, akkor az user error. Az ilyenek elkerülése érdekében esetleg a banknál netbanki hozzáférés feltétele lehetne, hogy vagy teszel egy online alapismeretek vizsgát, vagy csak aláírod, hogy te értesz hozzá, és vállalod a felelősséget.

Ha az SMS ettől kevesebb kontextust tartalmaz, akkor meg a bank hibája, hogy nem győződik meg a számlatulaj valódi szándékáról.

Mindenki fordítva ül a lovon, igen, csak Zolika ül rendes irányban... Sokadszor kérdezem, ha ennyire okosnak tartod magad, hogyan oldanád meg a másolhatatlan netbankot? Nem, certificate pinning-es vastagkliens nem játszik (az jó esetben a mobilos app...)

Azt az apácát, aki  nem képes _elolvasni_ hogy hova megy be, azt hogyan véded meg attól, hogy q kuplerájba tévedjen a templom helyett, ha nem olvassa el a bejárat fölé kirakott táblát? (Se...)

azt hiszi, a masolasvedett vhs kazetta/cd/dvd mintajara lehet masolasvedett weboldalt is csinalni. pedig az is milyen jo sikerult :)

vagy hogy ha megse masolasvedett elegge, akkor a cd/dvd/netbank be kell tiltani es mindenki jarjon koncertre/moziba/bankfiokba, ha akar valamit...

Az OTP akkor nem küld SMS-t, ha lementetted a kedvencek közé az utalást (név, számlaszám és opcionálisan a közlemény és az összeg) és azokkal az adatokkal utalsz (összeg és közlemény változhat) újra. Viszont mentéskor mindenképpen küld SMS-t.

azért lássuk be, a fraud utalások ritkán mennek olyan számlára, ahová egyébként is szoktál utalni.

Én eddig csak úgy tettem be bármit is a kedvencek közé, hogy az utalás végén betettem a pipát a "mentse el az utalás adatait" - van opció külön is feltölteni a "kedvenceket" ? írásodból úgy érzem, h igen - de ott is megvan a védelem - így visszajutunk oda, h user-error.

Jaja, ezt jól látod. A szívás akkor van, ha valahogy sikerül kicsalni a userből a mentős kódot.

Emlékeim szerint a "kedvencek"-be külön nem tudsz feltölteni (csak utaláskor tudsz menteni), ellenben törölni tudsz és az talán nem kér kódot, de az talán nem is akkora kockázat.

Amit mindenképp megtehetsz, hogy megnézed a képen szereplő domain whois adatait és teszel egy bejelentést valamelyik abuse címükre:
Registrar Abuse Contact Email: domain-abuse@psi-usa.info
Registrar Abuse Contact Email: registrar-abuse@psi-usa.info
https://psi-usa.info/index.php?nat=en&link=abuse/index

Ha szerencséd van, értő fülekre talál és letiltják a domaint.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Szerkesztve: 2024. 02. 28., sze – 17:39

Mar jo tiz eve be kellett volna vezetni a bank.hu ltd-ket kizarolag bankoknak, es ezeknek a jelentos resze nem menne at.

Oszinten nem csodalkozom, hogy at tudnak verni IT-hez nem ertoket, latva egy ket scam profizmusat.

Illetve azt is tiltani, hogy a bankok random telefonszamrol felhivjanak hogy azonositsd magad. A hivasos atvereseket 1:1-ben haritanam rajuk, mert emiatt a gyakorlat miatt mukodik jo reszben ez a tipusu scam.

A bank TLD-be csak bankok, pénzintézetek és ide sorolható szervezetek regisztrálhatnak, amit ellenőriz is a regisztrátor. (Az a néhány, amelyik jogosult ilyenre).

"Illetve azt is tiltani, hogy a bankok random telefonszamrol felhivjanak hogy azonositsd magad." - Erste eklatáns példa: legutóbb már a Google screening spam-nek jelezte a hívást, de azért felvettem... Aztán megerősítettem, hogy tényleg spam volt... Igen, a a hívó telefonszáma hamisítható, de az plusz egy nehezítés a telefonos csalóknak - másik oldalról persze hamis biztonság, ha mindenképp a banki cc hívószámáról kell érkeznie a hívásnak, mivel semmi nem garantálja, hogy valóban onnan is jön a hívás. A bank tld meg az arra kiadott cert (amit lehetne kötelezően HSM-ben tárolt kulcshoz kötni) azért az ilyen "vajon tényleg azzal beszélek, akinek mondja magát" dolgokat kellő biztonsággal rednezi.

 

Szerkesztve: 2024. 02. 28., sze – 20:27

nem az az oka a bank viselkedesenek, hogy ha a "karosult" es a "csalo" osszejatszik, ne tudjak lehuzni a bankot? bankrablas okosan.

neked aztan fura humorod van...

Otp ügyfélszolgálat azt mondta, küldjem el nekik az informacio@otp címre, el is küldtem, kaptam nem sokkal később egy félautomata emailt válaszként, hogy figyeljek nagyon milyen linket nyitok meg... Kösz.

 Nyilvánvaló, h nem megfelelő védelem az sms! 

OTP-nél be lehet állítani biometrikus azonositást is, a mobil appban újjlenyomat azonositást. A másolt oldalon a csalók  nrm tudnak mit beírni, kell az újjlenyonatod

OTP-nél be lehet állítani biometrikus azonositást is, a mobil appban újjlenyomat azonositást.

Nem értem. 

Adott egy web browser, amiben a webes kliensen próbálsz belépni. 2FA van, tehát egy másik készüléken fut a mobil app, ami a második faktor. Tehát adott az A gép, amin a web browser fut, és a B gép, amin a mobil app. Hogyan búbánatos pitlákban azonosít téged az A gépen a web browser ujjlenyomattal?!?!? - az nem jó, ha a B gépen a mobil app azonosít ujjlenyomattal, mert az volt a felvetés, hogy az A gép van a csalóknál, a második faktor, a B gép pedig az ügyfélnél, és az ügyfél zokszó nélkül teszi azt, amit a második faktorral kell, tehát ha ujjlenyomatot kell adni, azt adja - namost ilyenkor az ujjlenyomat olvasás hogyan véd meg?

Úgy , hogy az ujjlenyomatodat nem tudják megadni a csalók utaláshoz. Beéptek a te oldaladra , utalni akarják a számlájukra a pénzedet, de az utalás jováhagyásához kell az ujjlenyomatod is. Nem tudják bemásolni, és te sem tudod megadni , akármilyen figyelmetlen is vagy, mert nem ér el az ujjad Nigériáig. Nincs értelme A és B gépről beszélni, ha fizikailag nem vagy ott, nincs ujjlenyomat, nincs utalás. 
Nyilván ehhez ujjlenyomatolvasós laptop , telefon kell. Az otp új netbankja  ilyen. 

Szerintem nem érted a MITM lényegét.

Normál eset: user gépe -> bank. A user gépe be tud kérni egy ujjlenyomatot, és el tudja küldeni a banknak. A user gépe meg tud kapni egy SMS-t, aminek a tartalmát el tudja küldeni a banknak. Vagy valami hasonló.

MITM: user gépe -> támadó gépe -> bank. A támadó úgy tesz a user felé, mintha ő lenne a bank (lemásolja a felületet meg mindent). A bank felé meg úgy tesz, mintha ő lenne a user.

Ha a user gépe be tud olvasni egy ujjlenyomatot és továbbküldeni a bank felé, akkor a támadó gépe is képes ugyanerre. SMS-sel ugyanez, és ugye ez a tipikus eset.

Nincs előre regisztrált applikációja .  Regisztrálni kell az appot a régi adatokkal. Nem elég letölteni. 
Másolónak  ez nincs.  Ott kezdődik a történet, hogy nem is mész semmilyen weboldalra. 
Mindent fel lehet törni, a bank acélajtaját is, de van ez az axioma , hogy az sms-t tökös legény/(leány - > tökös/nemtökös) ) nem olvas.
 

Ha én a felhasználót rá tudom venni, hogy kiadjon magáról minden infót, amit a banknak küldene, és helyette ezt az infót én küldöm be a banknak, akkor ez hol megy félre? Akkor gyakorlatilag klónoztam az appját, és nem lesz megkülönböztethető az eredetitől.

MITM ellen kriptográfiai megoldásokkal lehet védekezni, de HTTPS esetén is megoldható, ha a user rábök, hogy elfogadja az új tanúsítványt.

Nem weboldalról van szó. Azt viszont nem tudom , hogy hogyan engedi, hogy két appot regisztrálj . Tegyük fel hogy ugyanúgy:

ÉS  igen, ha a felhasználó a regisztrációs sms-eket átküldi és nem olvasa el, a kapott  email-eket sem olvassa el  csak kattint és küld , megadja a régi adatait majd megadja az új adatait és jelszavát,  majd nem tűnik fel neki hogy ő már rég csak ujjlenyomattal azonosít, akkor valóban nincs mit tenni, bámuljuk a cipőnket fejcsóválva.
 

 

 

 

 

Ezért mondom, hogy kevésbé számít a technikai megoldás, inkább az a fontos, hogy a felhasználó elegendő információt kapjon arról, valójában mi történik, és a támadó ezt ne tudja elrejteni. Tehát pl. az SMS-ben legyen benne konkrétan, hogy ha a kódot átadja, akkor ennyi pénz el fog menni egy más számlára. Vagy az általam fentebb írt UBS-es megoldás is jó, mert a felhasználó csak akkor tudja aláírni, ha pontosan tudja, milyen számlára megy a pénz. Egy ujjlenyomat ebből a szempontból pont kevésbé jó, mert nincs mellette kontextus, nem látod, hogy mire adsz jóváhagyást.

Jó most ezen lehet mélázni, szerintem  nehezebben tudnak elérni  hogy kezdjél  hamis appot felrakni, még ha fel is kerül akkor egy 8-10  lépcsős email/sms/ujjnyomogatós  kombót végig zongorázz, miközben az érvényes címedre több oldalalas leveleket  kapsz. De mondom a második digitális fiók nyitásáról, egyáltalán, hogy lehetséges e,  nem tudok semmit. Akkor még arra is rá kell venni, hogy a tiédet érvénytelenítsd.

Ahol lehet kettő mobil appot regisztrálni (azaz két mobil device), ott az elsőnek a birtokában kell lennie ahhoz, hogy a másodikat a webes felületen tudja aktiválni, mert az első eszközre megy ki a push. Az SCA sms esetén meg a regisztrált telefonszámhoz tartozó SIM-nek kell a birtokában lenni, mert oda megy ki a telefonszám cseréhez szükséges megerősítő SMS.
Ha a "birtokában van" helyett csak "az oda küldött információt ismeri" áll fenn, azt a bank semmilyen módon nem tudja vizsgálni/megkülönböztetni a kettőt egymástól.

Nyilván ehhez ujjlenyomatolvasós laptop , telefon kell. Az otp új netbankja  ilyen.

Még egyszer: azt mondod, hogy nem tudok utalni a PC-mről az OTP új netbankjával, ha a PC-men nincs ujjlenyomat olvasó? Ez egy felettébb használhatatlan megoldásnak tűnik (úgy kb. nem ismerek senkit, akinek lenne ujjlenyomat olvasó a PC-jén, tehát szinte senki nem tudja ezt így használni)

Akkor megintcsak nem értem.

Nálam van az app. Kéri az ujjlenyomatot (2. faktor), mert valahol Kuala Lumpurban a hacker nyomja a PC-n a logint (1. faktor). Én, a nálam levő appnak adom az ujjlenyomatot, a hackert meg beengedi a rendszer. Hol és miben fogja ez a megoldás megakadályozni a hackert a loginban? (Onnan indultunk ki, hogy hülye vagyok, és végrehajtom a 2. faktoron, amit a hacker kér tőlem)

A scammer nem  a világ másik végén nyomkodja a bank eredeti weboldalát, hanem az R=1 user képébe tol egy, az eredetire megszólalásig hasonlító oldalt, ami jelen esetben a QR-kódot már nem "helyből", hanem a "proxizva lejátszott" login folyamat részeként a banktól kapva fogja a user képébe tolni.
Azaz user megnyitja az otpscampontrandomdomainpontvalami oldalt, ott megkapja az esetünkben OTP-s login oldal másolatát, beírja a user/pass párost, a scammer weboldala mögötti "okosság" ezekkel elmegy az otp valós weboldalához, és a visszakapott tartalmat fogja a usernek a képébe tolni, a user a már valós, ténylegesen a banktól kapott QR-kódot fogja látni és 2FA-ként az alkalmazásban leolvasni, és jóváhagyni a logint.
Az más kérdés, hogy mennyire valós igény az, hogy a böngészője, amiből a netbankba jelentkezik be lehessen geoip alapon x km-nél távolabb a 2FA-s eszközétől, illetve hogy ezt viszgálja-e egyáltalán a bank, hogy a böngésző jön kispiricsről, a mobilos jóváhagyás meg egy dél-bantusztáni szolgáltató felől...

mennyire valós igény az, hogy a böngészője, amiből a netbankba jelentkezik be lehessen geoip alapon x km-nél távolabb a 2FA-s eszközétől

Céges környezetben teljesen valid igény. Az asztali PC csak a vezetékes hálózatot láthatja, ami a céges LAN-on keresztül "valahol Kuala Lumpurban" csobban ki az Internetre, a mobil app pedig közben nem kap bebocsáttatást a céges LAN-ra, az kénytelen vagy valami guest wifin menni, vagy méginkább mobilneten. Mivel nincs asztali PC-re rakható 2. faktor, így a fenti scenárió meg sem kerülhető, ha mondjuk az a feladat, hogy a céges főkönyvelő a bank felületén a céges számlát tutujgassa, a számára kiutalt céges asztali PC-n, a jól védett céges belső hálózatból (az adatok mondjuk egy korrekt security policy miatt eleve nem is érhetők el máshonnan, így az nem is opció, hogy a PC ne a céges belső hálózatban lakjon ilyenkor).

Óvatosnak kell lenni, az se jó taktika , hogy engem nem tudnak átverni, mert át tudnak, ha nem figyelsz. El kell olvasni az sms-eket, leveleket, linkeket megnézni,
nem telepiteni , pénz lekötni, sms-t buta telefonon fogadni, ha lehet, virtuális bankkártyát , folyószámlát használni. Limiteket használni, ha kell bemenni a bankba, ha csak ott lehet kérni bizonyos limiteket. Feltörhetetlen rendszer, átverhetetlen user nincs, de nehezíteni lehet a csalók dolgát. 

Adott egy weboldal, és adott egy mobilalkalmazás. A weboldalon belépsz, megadod a usernevet, jelszavadat. A bank ezután a mobilalkalmazáson keresztül (amely hozzá van rendelve a számládhoz) azonosít (bármivel, ami az adott telefonon megszokott azonosítás, ujjlenyomat, FaceID, bármi).

K&H pl. azt csinálja, hogy megjelenít egy QR (vagy ahhoz hasonló) kódot a képernyőn, azt a telefon kamerájával rögzíted, és azonosítod magad. Nyilván itt két teljesen külön útvonal van, ha valaki beékelődik sikeresen (mondjuk egy fals weboldallal, és szinkronban meg tudja jeleníteni a kódot is), akkor elvileg be is tud lépni a nevemben, viszont amikor bármi műveletet csinálok, ahhoz is be kell olvasni egy kódot a bejelentkezéshez hasonlóan, és ott a telefon konkrétan ki is írja, hogy mi a tranzakció tartalma (összeg, számlaszám, minden benne van).