Hogyan vadásznád le a csaló MBH BANK oldalakat az Internetről?

Security-all

Ma is sikerült egy újabb, adathalász MBH BANK oldal lekapcsolását elindítanunk, de kb. annyit ért, mint vödörrel vizet hordani a sivatagba.

A “mhb-netbank.com” domain ügyében hajnalban intézkedtünk, de közben már újabb és újabb másolatok születnek, ugyanazzal a dizájnnal, logóval, csak más végződéssel.

Természetesen a támadók most is Google Trust Services által kiadott SSL-lel csapják be az embereket, és minden biztonsági illúzió adott: zöld lakat, magyar felület, banki logó, minden.

A magyar banki ügyfelek közben naponta adataikat, pénzüket veszítik.

A kamu MBH BANK-i link itt érhető el: https://www.mhb-netbank.com/eib_ib_59/loginpage.hu.html/verification/card  ( a linkben az 5-öst cseréld S-re és láthatod) 
 

Ti hogyan vadásznátok le a csaló MBH BANK oldalakat az Internetről?

– Automata domain-felderítés?
– WHOIS és Certificate Transparency monitorozás?
– Abuse spammelés?
– AI/ML szűrés, crawler, valami home-made vagy létező tool?
– Feketelista, Google/SafeBrowsing, bankszektor közös fellépés?
– Vagy teljesen reménytelen, amíg a Google/Cloudflare és a “domain farmok” adják hozzá az infrastruktúrát?

Osszátok meg a tapasztalatot, trükköt, vagy akár azt, hogyan NEM lehet ezt hatékonyan megoldani.

Ja, és nem, a banki ügyféltájékoztató nem elég. :) 

Update:

Aki kíváncsi, hogyan néz ki egy “tökéletes” csaló oldal annak a kamu MBH BANK-i link itt érhető el: https://www.mhb-netbank.com/eib_ib_59/loginpage.hu.html/verification/card  ( a linkben az 5-öst cseréld S-re és láthatod) 
– MBH logó, magyar szöveg, valid Google SSL, minden browserben zöld lakat.
– Magyar ügyfelek százai verhetik a fejüket a falba, mire rájönnek.

Forrás, cikk, screenshot is van nálam, ha kell – keresd privátban.

Ti hogyan oldanátok meg ezt a küzdelmet, hogy ne csak tűzoltás legyen, hanem rendszerszintű megelőzés?
 

Trollokat, okosokat, laikusokat és paranoiásokat is várok – ebből talán valami közösségi know-how is kijön…

  • 8754 megtekintés

( adhocsupport | 2025. 06. 20., p – 08:35 )

Az oldalt a Cloudflare kérésünk alapján - LEKAPCSOLTA! 

Szerencsére ez igy MÁR nem elérhető! 

Nem kapcsolta le. Behalt alatta a széttákolt zombie backend. :P

The IP address 185.236.228.162 has been flagged as malicious due to its association with suspicious and harmful activities. Below is an overview of the key findings related to this IP:

1. General Assessment

  • Intel Verdict: The verdict for 185.236.228.162 is malicious.
  • Assessment Label: Zombie.
  • Threat Origin: Likely linked to Trojan activity (FlyStudio malicious family) based on file samples.

2. File Analysis

  • Samples: The IP is linked to 8 samples, of which 1 sample is judged as malicious/suspicious, representing 12.5% of malicious samples.
  • Malicious Samples:
    • 59de4723a9a0a240687b28622f9b3de345288771f767625df05d3458988af302
    • 231e65e3699528094f0a5ae31bce6689c3e2f8d357946ba340f840daade07185
    • 282055852353d5879a2e438dca995773b29943ecdb799a10ffafbd40d27bb822
  • Threat Family: FlyStudio (Trojan).

3. Port and Service Mapping

  • Applications/Services: The IP hosts multiple services, including:
    • Pure-FTPd
    • OpenSSH
    • nginx
    • Dovecot imapd/pop3d
    • PowerDNS Authoritative Server
    • MySQL
    • Postfix smtpd
    • LiteSpeed httpd
    • mongodb
  • Open Ports: Includes typical ports such as 21 (FTP)22 (SSH)80 (HTTP)443 (HTTPS), and 587 (SMTP). One non-standard port is also open (27017 for MongoDB), which could be indicative of possible backdoor or secondary services exploitation.
  • A large number of open ports supports the claim of high likelihood of malicious use, but also suggests potential legitimate hosting activities.

4. SSL/TLS Certificates

  • Self-Signed Certificates: This IP utilizes several self-signed SSL certificates, which is often a red flag as these certificates are likely used to enable encrypted communication for malicious purposes.
  • Domains Associated with Malicious Certificates:
    • fucked-ur.mom
    • lunar-predictor.com
    • craghack.com
  • Certificate Details:
    • Subject: Domains like "mhb-netbank.com," "fucked-ur.mom", etc.
    • Issuer: Frequently self-issued certificates with questionable entities (e.g., "R10," "Dis").
    • Validity Status: Certificates are marked "Valid," but are expired or self-signed.

5. DNS and Domains

  • Passive DNS Intelligence:
    • The IP is associated with malicious domains, such as:
  • Whois Record Attribution: Indicates potential Whois shielding (e.g., 0c1994bc6cae49ffad85e95d5300ec01.protect@withheldforprivacy.com).

6. Vulnerabilities

Public scans on services exposed on 185.236.228.162 revealed potential high-risk vulnerabilities:

  • CVE Examples:
    • CVE-2021-3618: Vulnerabilities in vsftpd.
    • CVE-2021-23017: Nginx Controller risks.
    • CVE-2022-3638: Critical vulnerabilities in Nginx.

7. Overall Threats & Mitigation

The malicious nature of 185.236.228.162 reflects:

  1. Strong association with FlyStudio malware type (Trojan).
  2. High vulnerability exposure due to misconfigured services (e.g., MongoDB on port 27017).
  3. Potential usage of self-signed certificates for encrypted malware-driven communication.
  4. Malicious domains and DNS records tied to this IP.

Nem, még most is elérhető. Valóban elég profi pishing oldal, szinte majdnem minden rendben van vele, egyedül az URL-ben az mhb az mbh helyett árulkodik csak, de ezt tuti nem sok ember veszi észre.

Ezt egyébként nem a te feladatod üldözni, persze te is bejelentheted a böngészőknek, mint káros oldalt, és tiltólistára teszik, de legalábbis a user kap figyelmeztetést róla, mielőtt megnyitja. Ez az MBH bank feladata, hogy a nevével visszaélő, csaló oldalakat leleplezze, elérhetetlenné tegye.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( _ventura_ v | 2025. 06. 20., p – 08:38 )

hanem rendszerszintű megelőzés?

Sehogy, ez ilyen. Körültekintőbbnek kéne lenni, és nem ész nélkül kattingatni. Ez nem TIKTOK videó ...

Fedora 41, Thinkpad x280

( Czo v | 2025. 06. 20., p – 08:41 )

Sokkal egyszerubb a csalo oldalak lekapcsolasa helyett, meglatogatni a valodi oldalt... Miert nem a legkezenfekvobb megoldas a megoldas? :D

( pentike | 2025. 06. 20., p – 08:42 )

Mondjuk kezdjük azzal, hogy az ilyen cikkek első mondata az, hogy

 

!!! FIGYELEM !!! az alábbakban banki csaláshoz használt linkek vannak. Csak akkor kattints az alábbi linkekre ha nem bánod, hogy banki csalás áldozata lehetsz és ismered a kockázatokat.

( ggallo | 2025. 06. 20., p – 08:43 )

Szerintem a csaló oldalak létrejötte, működése nem előzhető meg direkt módon. Ez olyan, mintha azt kérdeznéd, hogyan akadályozzuk meg, hogy Gipsz Jakab tatabányai lakos busszal átutazzon Szekesfehérvárra. Ez pont ugyan annyira kivitelezhetetlen, mint a csaló oldalak létrejöttét próbálni megakadályozni. Ha akár AI-val kutatsz folyamatosan, akkor is csak utólag tudsz intézkedni, amikor már az oldal él, csak a létezési idejét tudnád valamennyire leszorítani.

Szerintem ott kell megfogni a problémát, hogy a bank oldalán olyan erős ügyfél hitelesítést kell létrehozni, hogy egy csaló oldal ne legyen elég a hozzáférés megszerzésére, és akkor kapásból értelmét veszti csaló oldal létrehozása.

Valamiért csak az MBH jön elő mostanában ilyen relációban, a többi kisebb, de főleg nagyobb bank nem. Lehet azoknak már olyan erős az ügyfél hitelesítése mostanra, hogy felesleges a csaló oldal létrehozásával vesződni, mert úgy sem érnek vele semmit.

A posztban pedig kicsit Google-haterkedés nekem ez a "most is Google Trust Services által kiadott SSL-lel csapják be az embereket", merthogy miképpen tehet arról bármilyen DV tanúsítvány kibocsátó, hogy egy (csaló) domain neve _hasonlít_ egy legitim domain nevére, és épp visszaélésre szeretnék használni az érintett tartományt? Ha mbhbank.hu tartományra lehetne tőlük tanúsítványt szerezni, annak lenne hater alapja, de így egy random tartományra...

A másik pedig, hogy igen is, az emberek oktatásával lehetne ezt leginkább megelőzni, de ezt az általános iskolában kellene kezdeni, nem most, felnőtt korban (merthogy az internet és a netbankok már velünk vannak olyan rég, hogy van már dolgozó generáci, aki ebbe született bele - nem újkeletű ez a dolog).
Mondjuk a kitalált-mese-történelem vagy a 900 oldalas Anna Karenina kötelező elolvastatása-megtanultatása-bemagoltatása helyett lehetne cyber-elővigyázatosság meg pénzügyi tudatosság oktatás...

Egyébként "Magyar ügyfelek százai verhetik a fejüket a falba, mire rájönnek.": ha valaki nem gondolja egy .com tartományról, hogy átverés (vagy meg sem nézi a címsort egy linkre kattintás után...), akkor ott igen is a felhasználó ismereteivel van komoly gond, amin csak ő maga tud segíteni... Ha mindenki csak annyit csinálna, hogy megtanulja annak az 1-2 banknak a címét amije van, és azt kézzel gépelné a címsorba ahelyett, hogy a Google keresőbe üti be minden alkalommal, hogy "MBH netbank" és rákattint az első találatra odafigyelés nélkül, akkor már sokkal kevesebb gond lenne. Ha pedig ezen felül nem kattintanának bankinak tűnő levélben linkre soha, akkor megszűnnének a csalások. Ezt a két dolgot kellene tudniuk, ergo igen is a felhasználók oktatásával oldható csak meg a probléma.

Valamiért csak az MBH jön elő mostanában ilyen relációban, a többi kisebb, de főleg nagyobb bank nem. Lehet azoknak már olyan erős az ügyfél hitelesítése mostanra, hogy felesleges a csaló oldal létrehozásával vesződni, mert úgy sem érnek vele semmit.

Nekem van egy teóriám. A legtöbb banknál a user már kívülről fújja a netbank URL-t, le van neki mentve könyvjelzőbe, stb.

Az MBH az elmúlt egy-két évben viszont havi szinten váltogatta a domaineket, netbank design-t, mobilappokat, stb. Szerintem még engem is át tudnának verni, ha nem figyelek egy pillanatra.

Az mbhbank.com teljesen hivatalos oldal. A többiben egyetértünk, de leginkább app-ot kell használni. Amíg ügyfél voltam teljesen megdöbbentem, hogy az mbh.hu nem működött, helyette az mbhbank.hu volt, ami azért nem magától értetődő. Erről volt itt szó még a csalások előtt.

( gelei v | 2025. 06. 20., p – 08:44 )

Ti hogyan oldanátok meg ezt a küzdelmet, hogy ne csak tűzoltás legyen, hanem rendszerszintű megelőzés?

Erre konkrétan van megoldás, a hívószó a "phishing-resistant MFA". Van belőle hard token, soft token, ilyen app, olyan app, igazából nem kell feltalálni a melegvizet, ez annyira hétköznapi dolog, hogy dobozos termékként is megvehető.

( gelei v | 2025. 06. 20., p – 08:46 )

Természetesen a támadók most is Google Trust Services által kiadott SSL-lel csapják be az embereket, és minden biztonsági illúzió adott: zöld lakat, magyar felület, banki logó, minden.

Kicsit belerondítanék az itt implikált felelősségbe, szerintem ez csak a Cloudflare által kiállított DV tanusítvány, ilyet bárki, bármilyen domainjére kaphat, amit be tud vinni CF mögé.

Két dolgot nem értek.

1. Tényleg nincsen olyan hitelesítési módszer, amivel egy tanusítvány alapján egy weboldal tényleges tulajdonosa megállapítható? Nekem egyszerűbbnek tűnik néhány közismert böngészőben az oldal hitelességének megállapítását leprogramozni, mint mindenféle védelmi szoftverstruktúrákat, tűzfalakat gyártani és az analfabéta pógárt szidni. Persze nekem könnyű ezt egyszerűbbnek gondolni, mert nem értek hozzá.

2. Mi a szent szart kezd egy ilyen hamis oldal a kétfaktoros azonosítással? Ha meg is szerzi a loginnevet és a jelszót, ha a bank megköveteli a kétfaktoros azonosítást, az egész semmire se jó.

  1. Van, hogyne lenne, az EV certeknek elvileg ez volt a lényege, de már a böngészőkben sincs benne a zöld csík, hogy "OTP Bank Nyrt", meg ugye végső soron ugyanúgy a user felelőssége volt megnézni, hogy volt-e odaírva valami, és ha igen, akkor jó helyen jár-e.

    Szerintem nem ebben a rétegben kell megfogni, hanem az authn-t kell úgy megcsinálni, hogy jó legyen. Mert mi alapján csinálod meg a whitelistet? Oké, van a böngészőnek egy listája, hogy mi hivatalos banki oldal, és mi nem (már ez is kb. lehetetlen globális léptékben). De felmész egy kamuoldalra, nyilván nem bank, mi a következő lépés? 

  2. Ül a túloldalon a humán AI, és realtime begépeli a kódodat az igazi banki weboldalon

1. Nekem változatlanul nem tűnik nagy dolognak a böngészőben elérhetővé tenni egy tanusítványellenőrzést, amely az oldal tetejére kiírja, hogy ki az azonosított magánszemély tulajdonosa a meglátogatott oldalnak. A banki honlapon erre rá lehetne dolgozni, hogy nagy betűkkel ki legyen írva: "ez a honlap Lölöé, minden gázszerelők legnagyobbikáé, figyelj oda, ha nem ezt látod a banki bejelentkezéskor, akkor nem az ő zsebébe hordod a pénzedet". Vagy valami hasonló. Ha  DNS-nél meg lehetett oldani, hogy globális legyen a névfeloldás, akkor a tanusítványok esetében ezt miért nem lehet megoldani? Aztán persze, ha valaki látja, hogy nem a saját bankjának a honlapján van és ott megadja az adatait, akkor persze rábaszik, de ez ahhoz az esetre hasonlítana, amikor a PIN kódot odaírod a bankkártyádra (kolléganőm megtette, kifosztották, addig is hisztérikus volt, onnantól méginkább). Vannak olyan esetek, amitől nem érdemes megvédeni a parasztot, mert majd megtanulja a saját kárán.

2. Nálam az SMS a kóddal a zsebembe érkezik, hogy lát bele az AI a zsebembe? Nem értem.

  1. De ez konkrétan létezik, az más kérdés, hogy vajon a böngészők mekkora része mutatja ezt a felületet, mert évek óta nem láttam ilyet sehol. Vagy B opció, senki nem vesz már EV certet, nem tudom. :)
  2. Beírod a kamu oldalon, ő megkapja ezt valahogy, majd beírja helyetted az igazin.

Ugye nekem ez logikusnak tűnik, mert mondjuk egy tucat böngésző esetében kellene rávenni a fejlesztőiket (vagy a banki honlap fejlesztőit) ennek az alkalmazására és nem sziszifuszi küzdelemmel tiltogatni próbálni a folyamatosan megjelenő huncut oldalakat. a top 12 böngésző szerintem lefedi az internetezők 99%-át. Vagy a bankolók 99,99%-át.

Ja, értem. Talán azért nem értettem elsőre, mert azokban az esetekben, amikor én használok ilyet, annyira azonos és könnyen felismerhető a felület, ahol a második azonosítást végre kell hajtani, hogy eszembe se jutott, hogy azt is meg lehet jeleníteni egy www.notmyip.com oldalon. És ott se tűnik fel, hogy ennek az oldanak a tulajdonosa más, mint a bank, akinél tartom a pénzem. Csak azt nem értem, hogy ha az ilyen esetekben a tanusítványok használhatatlanok, akkor minek az egész CA rendszer. Persze, van dokumentumhitelesítés is, nem csak weboldalról van szó, meg nem véletlen, hogy nem értem.

Mert valójában két CA világ van, amely bár technikailag ugyanúgy tanúsítványokkal dolgozik, de valójában teljesen máshogy működik.

Az SSL tanúsítványt alapvetően arra használod hogy titkosított kapcsolat jöjjön létre az ügyfél és a szervered között. Tanúsítványt pedig úgy adnak neked hogy igazolod hogy a szerver a tiéd (pl. azzal hogy feltöltesz egy a kiadó által generált fájlt). Itt nem történik személyazonosítás, se semmi, tehát ha a gonosz hacker megveszi a az-igazi-otp.hu oldalt, akkor ő erre szó nélkül fog kapni tanúsítványt, amit a böngészőben zöldként látott a felhasználó, de ez valójában csak azt jelenti hogy a kapcsolata titkosított.

Az SSL tanúsítványok azért működnek a böngészőben, mert a root cert-et belerakják, és ahhoz hogy ez ott maradjon egy csomó követelménynek kell megfelelni amit a böngésző készítő nagy cégek határoztak meg - innen ered az egyik kolléga megjegyzése, hogy ez egy gittegylet. Valójában igen, a piaci erőfölényüket kihasználva ők mondják meg hogy ők kiben biznak meg és kiben nem, és igazából mi alapján döntenek, hogyan, és miért, mi a valódi folyamat, mi a jogorvoslat, az finoman fogalmazva sem transzparens.

Az elektronikus aláírás esetében viszont van egy európai szabályozás, ez az EIDAS. Ez egy EU-s törvényekkel és azoknak a helyi jogrendbe való beemelésével működik. Az igy létrejött aláíróképességet arra lehet használni hogy dokumentumokat (vagy egyéb elektronikus dolgokat) irj alá, és ennek az aláírásnak joghatása lesz. Tehát adhatsz/vehetsz dolgokat, aláírhatsz vele munkaszerződést, meg amit szeretnél. Ez egy nagyon transzparensen szabályozott történet, ott vannak a törvények/jogszabályok, ott vannak a szabványok, az audit követelmények, le van definiálva minden, világos, és transzparens. 

A kettő között van valahol amiről te is beszélsz: hogyan igazolja magát egy weboldal, hogy ő tényleg az, akinek mondja magát, és nem csak egy "klón". 

A válasz az, hogy jelenleg sehogy.

A kettő között van valahol amiről te is beszélsz: hogyan igazolja magát egy weboldal, hogy ő tényleg az, akinek mondja magát, és nem csak egy "klón". 

A válasz az, hogy jelenleg sehogy.

Ha jól értem, amit gelei mond, akkor ennek nem technikai akadálya van, mert az eszköz ilyesmire létezik, csak valamilyen okból nem használatos?

Ez már 2019 óta (6 éve) nem létezik.

https://duo.com/decipher/chrome-and-firefox-removing-ev-certificate-ind…

És a legjobb: a google ott kardoskodik hogy ez nem kell az embereknek, miközben sorra gyűjtjük a bizonyítékokat hogy a jelszólopó banki weboldalakat reklámozó hirdetéseket nem hogy megjelenítik, de előre sorolják. 

Ezért rendesen (EU szinten) meg kéne őket b@szatni.

Én úgy csinálnám h először is kötelezően visszahoznám a zöld címkét majd utána kötelezném h bizonyítsa h a csalókat nem hogy nem rakja előre hanem direkt aktívan tesz ellenük. 

Na ez után 1-2 évvel lehetne egy rendes csekket kiállítani.

Ez minimum 5 év, tudom.

zászló, zászló, szív

Mindenesetre úgy tűnik, a biztonság ellentétes a böngészőket gyártók érdekeivel, mert a böngészőket akkor használja a felhasználó szívesen, ha nem üzenget és nem akadályoz, hanem megjelenít és a felhasználó szabadon döntheti el, hogy átbaszhatják-e.

Amikor mi elkezdtük használni a Brave-et, a kis kolleganők sorra kaptak rohamot tőle, hogy "nem lehet dolgozni vele", mert a felugráló ablakok letiltásának feloldása túlságosan megerőltető volt.

Ez jó, majdnem ezt mondtam: bank.gov.hu

A csalók előbb-utóbb ezt is megoldanák, de szerintem lekéstek, mert a hivatalos törvényes jogilag rendben levő csalók már elloptak minden ellophatót, az új versenyzőknek már csak a böri marad ha nem elég okosak.

https://www.esp8266.org/

Nem értem. Az MBH a cégjegyzékben szerepel. van adószáma, szerintem egyértelmű, hogy melyik vállalkozásnak ez a neve. 

A bank.gov.hu-ban a bank előtag pedig hasznos, mert a gov.hu állami intézményre utal, a bankok esetében az állam - ha lesz ilyen jogszabály - csak az internetes biztonság miatt kontrollálja a domain nevét.

Nem teljesen értem, hogyan lehet egy bank jogosult a gov.hu használatára. Lenne 5 állami tulajdonú bank?

Ja látom
https://hu.wikipedia.org/wiki/Magyarorsz%C3%A1gi_bankok_list%C3%A1ja
De az az 5 bank nem igazi bank, hanem kassza valamilyen kormányprogramhoz. 

Szóval a normál, kereskedelmi bankok nem használhatnak gov-os címet.

A .hu domain felett tudhat rendelkezni törvénnyel is magyar hatóság/jogalkotó, de kamu oldalakat sokszor nem magyar címen hoznak létre.
És akkor már vissz a is tértünk oda, hogy a felhasználónak kell észnél lennie, hogy ne kamu oldalra lépjen be.

Nem teljesen értem, hogyan lehet egy bank jogosult a gov.hu használatára.

Az hogy a bank.gov.hu domain kinek a részére regisztrálható, azt nyilván jogszabály kell meghatározza. Létre kell hozni egy olyan jogszabályt, hogy Magyarországon pénzügyi tevékenységi engedélyt csak ilyen domain birtokában, érvényes EV SSL tanusítvánnyal lehet végezni, elő kell írni kötelezően a használatát, meg kell határozni a regisztráció módját és rá kell bízni a bankfelügyeletre, hogy ellenőrizze a végrehajtását. Nekem ez nem tűnik bonyolultnak, talán azért mert én nem értek az ilyesmihez. Aki kamu oldalt létrehoz, nem fogja tudni használni azokat a funkciókat, amelyeket a bank a tanusítvány ellenőrzéséhez rendel.

Spanyolviasz feltalálása... Ott a bank TLD, erre van kitalálva... Persze ha ungarischeonly megoldást keres valaki (amiből jogalkotói segédlettel csilliókat lehet lenyúlni), akkor persze, lehet ilyen irányban is ötletelni... De  baromira fölösleges, mert amíg az ügyfél a ficemfacom.feltort.wordpress.akarmi.akarmi/.kdsfkjdsgfsd/Asdhfdash/mexivtad.php oldalon is minden további nélkül megadja az összes adatát, addig azzal kéne foglalkozni, hogy ilyet miért csinál, és hogy miért nem kellene ilyet csinálni... 

igen? es felugyelik a bank ltd-t hogy ne lehessen kamu neveket regisztalni? pl egy otp.bank melle egy otp-hu.bank domaint ? hogy kezelik ahol a bank tobb orszagban van? erstebank.hu erstebank.hr erstebank.me stb?

raadasul ez meg csak az egyik fele. van ilyen is: otpportalok.hu ebbol is legyen otpportalok.bank? aztan van egy erstebroker.hu, erstemarket.hu. stb.... ott is be lehet lepni, es rossz dolgokat csinalni.

szerintem erre a ltd domain megoldasra tuti nem gondoltak! jo penzert add el nekik! :D

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nem lehetne. A bank.hu-t már regisztrálta valaki, felteszem teljesen jogszerűen.

Oszt? Majd állam bácsi kártalanítja, pont ugyanúgy, mint mikor elveszik a telked mert vasút, meg autopálya kell. Még magáncégeknek is ér (lásd pl áramvezetékek), nem hogy államnak. Főleg egy olyan domainen, amin jelenleg nincs publikus webszolgáltatás 

Hogy kecske és káposzta is meglegyen, mi lenne, ha a bank TLD-be regisztrálna az állam egy hu 1st level domént (azaz hu.bank) , amit aztán már ő felügyel, és akkor egyszerre lenne benne minden a nemzetközileg erre fenntartott TLD-en, meg a magyar állam tulajdonában és fennhatósága alatt - azaz minden ugyanígy, ahogy itt megy az agyalgás, csak nem bank.hu hanem hu.bank végződéssel.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A válasz az, hogy jelenleg sehogy.

De van rá megoldás: 2 irányú SSL / mTLS. Ja, hogy ez egyből borítaná az egész Internetet - vége lenne a "céges proxyval bontsunk TLS-t, nézzünk bele a forgalomba" világnak.
Mobilalkalmazásnál ez egyszerűen megvalósítható. Számítógépnél picit nehezebben.

Mellesleg technikailag ez terhet róna a bankra is. Meg ehhez digitálisan tudatos, érett felhasználókra lenne szükség.

A kétirányú SSL azért szerintem mobilon sem egyszerű.

IOS-en szerintem nincs is olyan levelezőkliens ami képes lenne IMAPS-en kliens tanúsítványt használni. (vagy nem találtam meg :))
Androidon is csak 3rd party kliens tud (Thunderbird/Fairemail). Amikor utoljára néztem az Outlook sem likeolta.

Két helyet tudok ahol használják a Takarnet (ahol self-signed a server tanúsítványa is, ezért rinyál is lehet nem tudják, hogy nem muszáj ugyanazt a ca-t használni amivel a kliensek tanúsítványát állítják ki :)), meg az országosan használt szupertitkos titoktartásival indító "rendszer" ahol az egész országnak állítanak ki egy db. kliens certet. (biztos könnyű visszavonni ha véletlen kompromitálódik :D)

Céges proxy gond nélkül kivétellistára tudja tenni ezeket, a többit meg bontja tovább. Már említettem, nálunk a finance és merchant kategória helyből kivétellistán volt privacy okok miatt.

mTLS esetén van annyi overhead, hogy a szolgáltatónak kezelni kell a userek kulcsait, visszavonással, minden egyébbel együtt, az meg bonyolult és költséges. (igen, ezt említetted a technikai teher alatt, ha jól értem)

"Beírod a kamu oldalon, ő megkapja ezt valahogy, majd beírja helyetted az igazin."

Hát igen, de hogyan? Honnan tudja, hogy pl. mi a telefonszámom? Ha tudja, hogyan tudja megszerezni az üzenetet? (erre mondjuk vannak megoldások, de elég sok csak az adott cellában működik)

Szóval én még minding nem tudom, hogy hogyan tudna egy sms-en kapott második faktort könnyen megszerezni.

Ettől függetlenül igenis bookmark-olja be a bank eredeti címét. Nem űrtechnika ez.

Odamész az adatlopós oldalra.

Beírod a felhasználónevedet és jelszavadat. Ezt az adatlopós weboldal továbbítja az adatlopós embernek, aki a saját böngészőjén bejelentkezik a netbankba a kapott adatokkal.

Ennek hatására a bank küldi SMS-ben számodra a második faktoros kódot.

Az adatlopós weboldal kiírja neked, hogy küldtük a kódot, légyszíves írd be. Ahogy beírtad, ugyanúgy, mint a felhasználónevet, jelszót, továbbítja az adatlopós embernek.

Túlbonyolítod.

  1. Felmész a phishing oldalra
  2. Beírod a usernevet, jelszót, submit*
  3. A túloldalon a fószer** beírja ugyanezt az igazi netbankba
  4. A netbank kiküldi neked az SMS-t, hiszen a támadó belépett a valid jelszóval
  5. Te beírod a kódot a kamuoldalon, submit*
  6. A túloldalon a fószer** beírja ugyanezt az igazi netbankba
  7. Kész a működő session, lehet lopni a pénzt.

* Teljesen mindegy, hogy hogy küldi el. Lehet, hogy küld egy emailt. Lehet, hogy beírja egy SQL táblába. Lehet, hogy már van admin felületük, ahol látják a próbálkozókat. Egy HTTP POST elmegy valahova az adataiddal, ott meg valaki, valahogy feldolgozza.

** Vagy szkript.

Szerintem erre pont a DÁP-os login lesz a megoldás. Van egy auth szolgáltató (DÁP) ahol valódi személyazonosítás történt, és tudod igazolni magad vele hogy te az te vagy. A bankoknak pedig kötelező lesz megvalósítani a DÁP alapú belépést, innentől kezdve - ha ezt jól sikerül - akkor a banki oldal klónozók meg vannak lőve, mert az ő irányukban nem fog működni a DÁP belépés. 

Kötelező nem lesz, a bankoknak lesz kötelező hogy implementálják. Megjegyzés a margón: ha jól van implementálva akkor én mindenkinek azt fogom javasolni hogy ha valami oknál fogva webről terveznének belépni, azt csak és kizárólag DÁP-os azonosítás mellett tegyék. Minden más eset nem megbizható.

[szerk, mert te is szerkeszetted] A DÁP-ban meg lesz valósítva az EIDAS 2.0-ból az EU Digital Identity Wallets amely pont full nyilt szabvány, és erre ad egy nyilt megoldást.

https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDE…

https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDE…

nem ostromolják a bankokat ilyen igénnyel az ügyfelek

Mondjuk ez egy remek lehetőség lenne a jogalkotónak, hogy ne csak tranzakciós illetékkel, meg hasonlókkal baszogassa az amúgy is recsegő-ropogó magyar bankrendszert, hanem biztonságtudatos noszogatással.

Ha ma éjfélkor kijönne a közlöny, hogy az SMS 2FA esetén az ügyfelet ért károkért automatikusan helytállnak a bankok, akkor kb. kedd délelőttre lenne biztonságos alternatíva.

" ne csak tranzakciós illetékkel, meg hasonlókkal baszogassa az amúgy is recsegő-ropogó magyar bankrendszert, hanem biztonságtudatos noszogatással."

Jelenleg a DÁP-ot tolják (joggal), mivel azzal gyakorlatilag hatósági személyazonosító okmányával azonosítja magát az ügyfél. 

Bankok esetében szerintem a DÁP nem jön szóba, mert a banki ügyfelek esetében nincs (nem lehet) mindenkinek DÁP-ja. Bár a személyes azonosítás nem idegen a bankoktól, de az azért talán kizárt, hogy csak magyar állampolgárokkal álljon szóba egy nemzetközi nagybank magyarországi fiókja.

De hát ezt irjuk, hogy a DÁP az EGY belépési lehetőség. Ráadásul a DÁP-ban megvalósított EU-s EU Digital Identity Wallet miatt minden EU-s állampolgárnak lesz ilyenje, tehát egy holland a holland DÁP-pal (vagy ott akárminek is hívják) ugyanúgy tudja azonosítani magát egy magyar bank online felületén, mint ahogy te egy olasz bankban. 

Igazad van, a kínai meg kapja be, én is hajamra kenhettem náluk mindent, DÁP-ot, Visa-t, Mastercardot, csak a WeChat működik mindenre. Még a free WiFi-t is csak útlevél (vagy repülőjegy) számra kaptam meg.

Hacsak... ki nem derül, hogy a kínaiak magyarországi betétállománya nagyobb, mint az itteni native DÁP-pal rendelkező lakosságé. Legfeljebb nekik marad a mostani helyzet.

Amit te keresel az a devizabelföldi vs. nem ilyen különbsége. Mint írtuk, a DÁP az _lehetőség_, akár a szerződéskötéshez szükséges azonosításra is. Akinek nincs magyar okmánya, az magyar okmányok nélkül bankolt eddig is, és ez után is úgy fog - attól, hogy akinek van, az ezt az okmányt tudja az online térben is használni azonosításra, az egy plusz lehetőség a számára. 

Az az egyik, hogy baromira rétegigény a fido/fido2, ergo per user drága a fejlesztése. A másik, hogy a 2FA SMS fallback tiltható-e az user kérésére, vagy sem - ezt az MNB-től kéretik megkérdezni. (Az MNB-s felügyelet jellemzően úgy működik, hogy "mindent tilos,a mit nem szabad", nem pedig úgy,hogy "mindent szabad, amit nem tilos")

Mondjuk az is úgy sikerült, hogy csak a "belföldi" csalókra vonatkozik. Európán kívüli fizetésnél nincs, mert nem utasíthatja európa a világot arra, hogy legyen. És így az afrikai, indiai és más régiókból felhasznált bankkártyákat le tudják szívni, ha nincs valami más korlátozás a kártyán.
És megint ott tartunk, hogy tiltsák be az illegális tevékenységet. 

Én erre azt mondanám hogy az itthoni bankártya használók 99%-nak teljesen megfelelő lenne ha az lenne az alapbeállítás hogy az összes online vásárlásnál kérjen 3D secure-t, és ha nincs, akkor nincs fizetés.

Tovább megyek, a recurring payment terhelésnél is kérjen előzetes engedélyt (pont mint az indiaiaknál) és ha nincs, akkor nem engedélyezett a terhelés.

Nem akartam belekezdeni ebbe a témába, de ha már feldobtad, hadd szóljon.

Mi a pék faszáért van ez*, hogy amikor a névvel, születési dátummal és személyi igazolvány számmal ellátott vonatjegyet, ugyanarra a viszonylatra, ugyanazokon a hétköznapokon, ugyanabban az időpontban (+-5 perc), ugyanazzal a bankkártyával, akkor minden egyes alkalommal jön a challenge, de ha egy kínai rendelős oldalon adom meg a kártyaszámom, akkor frictionless flow-ban le lehet üríteni a számlámat??

(* Mármint tudom, hogy technikailag miért van ez, a kérdés inkább úgy helyes, hogy ki szerint volt ez jó ötlet, és miért)

Tovább megyek, miért van az, hogy ezt nem lehet a bank oldalán állítani? Én simán azt akarnám hogy minden egyes online vásárlásomnál vagy legyen 3DS challenge vagy pedig hiúsuljon meg. Ez egy teljesen valid üzleti igény szerintem. 

Üzletileg egyébként a kereskedők részéről azért szoktak 3DS challenget kérni, mert ha átmegy a fizetés akkor onnantól kezdve a bank felelőssége, ő állja a chargeback költségét. A tradeoff a conversion rate, azaz valamennyi ügyfél elveszik. Mondhatja a kereskedő hogy oké, semmi gond, akkor benyelem a jobb konverziós rátáért, vagy pedig nem, cserébe kisebb lesz a konverziós ráta.

Ez az egész történet akkor játszik hogy ha a kereskedő jó szándékú és valóban eladni akar.

Nézzünk meg egy rossz szándékú támadót. Csinálnak egy céget Kinában (vagy igazából bárhol). Amikor már beindul az üzlet, akkor azt csinálják hogy amikor te egy fizetést engedélyezel akkor valójában egy feliratkozást fogsz engedélyezni. Ezzel a feliratkozással szépen elkezdik beterhelni a kártyád azzal a céllal hogy lenullázzák. Ezeket a pénzeket pedig ezzel a lendülettel el is tüntetik: konvertálják crypto-ba, drogba, játékokba.

No, ezért kellene a kötelező 3DS challenge. 

Hát ha nincs 3DS, és azért nincs, mert én kértem, hogy ne legyen, akkor ne legyen chargeback sem és kész, lemondok róla azzal, hogy expliciten nem kérem a 3DS-t. Nem olyan bonyolult ezt megoldani sem jogilag, sem technikailag.

Nem arról van szó, hogy nem akarom a 3DS-t, de akarom mellé a chargebacket. Hanem arról, hogy felelősen hadd döntsek arról, hogy hol nem kérem a 3DS-t és mondok le a chargebackről. Ez egy felelősségvállalas a felhasználó részéről.

The 3D Secure (3DS) liability shift is a rule that protects you (the merchant) from fraudulent transactions. The liability for fraudulent chargebacks shifts from the business to the card issuer when the 3DS liability shift applies.

For example, if a shopper denies they made or authorized a purchase (lost or stolen card), the liability for the fraudulent chargeback shifts from you to the card issuer.

Tehát itt annyi történik hogy ha te vagy az kereskedő, és azt mondod hogy márpedig kérsz 3DS-t, és ez átmegy a kártyatársaságon, akkor az ezzel kapcsolatos felelősség a kártyatársaságot terheli. 

Ettől függetlenül neked mint vásárló jogodban áll reklamálni hogy bár te fizetted ki az árut, de nem kaptad meg, és ilyenkor elindul a chargeback folyamata.

Tovább megyek, miért van az, hogy ezt nem lehet a bank oldalán állítani? Én simán azt akarnám hogy minden egyes online vásárlásomnál vagy legyen 3DS challenge vagy pedig hiúsuljon meg. Ez egy teljesen valid üzleti igény szerintem. 

This, mármint eleve nevetséges az egész, hogy a kereskedőn múlik, hogy mennyire legyen biztonságos a tranzakció, nem azon, akié a pénz. De ha már ezt így sikerül megarchitektelni, akkor tényleg lehetne az az alapvetés, hogy amire nincs 3ds, azt nem kérem, köszönöm. Itt európában teljesen rendben van ez, majd ha elutazom a faszba, kikapcsolom. Meg akkor is, amikor éppen valami elfaszott kínai oldalról vásárolok függő esetben is hetente egyszer....

Azt már meg se említem, hogy a faszért nem lehet látni, hogy recurring tranzakcióra kér engedélyt, vagy nem... 

Ha jól értem a 3ds úgy van implementálva, hogy a fizetési oldalon kell rá támogatás. Na ezt euban kötelező betenni a kereskedő / fizetési szolgáltató felületébe. A többi országban pedig persze nem, hiszen nincs joghatóság.

Azt nem tudom, hogy van-e valid módja a fizetés késleltetésének, hogy legyen idő rányomni az appban akkor is, ha a kereskedőnél nincs 3ds támogatás vagy akkor röngtön elutasítja, ha nem tudja azonnal terhelni. 
De van olyan sejtésem, hogy meg lehetne oldani és talán van is olyan modernebb pénzügyi cég, akiknél 3ds nélkül is van valami fizetés előtti megerősítés a pénz gazdájának oldalán. 

Másrész eléggé oligopol a bankkártyák világa is, visa és mastercardon kívül nem sok szereplő van és az ő közetítő szolgáltatatásukban is lehetne az engedélyeztetés. 

A hagyományos bankoknál azt sem lehet tudni, hogy hány cég iratkozott fel ismétlődő fizetésre vagy egyáltalán milyen fizetés milyen módú volt.

Igen, igen, nyilván az mnb közölné, hogy a user nem tilthat le szerinte gyengének tűnő fallbacket... magyarázkodj még, magyarázkodj. :)

(Illetve egy banknak ilyen szinten fingja nincs ám az igényekről, mert nincs user, aki elmondja nekik. Max rantel egyet az ügyintéző kislánynak, aki egy szót sem ért belőle, bólogat, majd elfelejti az egészet a picsába. Az a néhány, meg aki levelet ír, miközben tudja, hogy úgyse lesz belőle semmi, az nyilván csak valami hülye aktivista...)

Nem ezt mondja, illetve nem így. Fallback kell, és erre az SMS az, ami érdemben használható, birtoklás alapú csatorna. Ha az üf. nem jut a pénzéhez (mert nincs második faktor), akkor az a baj. 

Az igényekről (itt ugye a hűdejólennekockáknakfido2) annyit, hogy próbáld megbecsülni, mennyi, ilyenre alkalmas token van ma Magyarországon magánszemélyek tulajdonában. Nem, a céges tokeneket ne számold ide. A környezetemben 20 emberből 20-nak van legalább egy bankszámlája, ellenben saját privát yubikey tokenje senkinek sincs rajtam kívül. 

 

Oké, a bank beszerzi az eszközt, megcsinálja a workflow-t, hogy hogyan lehet igányelni, kiadni, visszavenni, estébé. Személyes ügyintézés kell az eszköz kiadásához és visszavételéhez, pótlásához - ami az üf.-nek kényelmetlen, a banknak drága. Ha a token besz@rik, akkor az üf. mehet cseréltetni - azaz minden bankfiókban kell egy fél tálcányi tokent betárazni az ilyen esetekre (is). Stb. Használni is kényelmetlen(ebb), mint a push/sms/dáp megoldásokat...  Ja, okostelefon használatára senki sem kötelez - a szolgáltatásokat igénybe tudod venni okostelefon nélkül is - a kényelmi elemek nélkül, illetve jellemzően a személyes ügyfélszolgálat költségének egy részét viselve... 

Keresztkérdés: a környezetedben hány embernek van okostelefonja, és hánynak nincs? Akinek nincs, az potenciális célközönsége-e a fido2 vagy más hasonló tokenes azonosításnak? 

Nem tudom, hánynak nincs (valószínű én vagyok az egyetlen (bár nekem is van, de nem használom, csak végszükségben), meg locsemege, de ő nincs a környezetemben), de akinek van, azok közül soknak van (céges) yubikeye.

Ezt a személyes ügyintézést nem igazán veszem be, miután (más ügyben) ültem 2 bankban is pár hete 1-1 órát, és az ügyintéző többeknek is mobilbankot állítgatott, az ügyfél telefonján. Na annál biztos egyszerűbb kiadni egy céleszközt, mint a másik telefonjával szerencsétlenkedni (az egyiknél az volt a konklúzió, hogy nem tudja, miért nem megy, jöjjön vissza később). Használni se kényelmesebb, mert ezt bedugom egy USB portba, ha kér pinkódot, megadom, meg megérintem, ha szól miatta. Ennél biztosan nem egyszerűbb a QR kódos, push üzenetes szerencsétlenkedés. Különben is, mi szarik be előbb, egy telefon, vagy egy egyszerű USBs (netán NFCs) token. Ha csak azt nézem, hogy hány törött kijelzős mobillal szaladgálnak az emberek...

Egyébként félreértesz, én el tudom intézni az ügyeimet okostelefon nélkül, anélkül, hogy személyesen be kéne mennem - és jó lenne, ha ez így is maradna.

2 bankban is pár hete 1-1 órát, és az ügyintéző többeknek is mobilbankot állítgatott, az ügyfél telefonján

Van az úgy, hogy a banki fejlesztő informatikust kellene megoldásként úgy valagbarúgni, hogy a Holdig szálljon egy lendülettel. Meg a főnökét, aki alkalmazta.

Az, hogy valamit egy fiókosnak nem sikerül megoldani, az jelentheti azt is, hogy tényleg nem tud megoldást az adott problémára, mert az általa elérhető eszközök és tudás kevés hozzá. Nekem EU-s roaming helyzetben nem ment a mobilnet. Hét vége volt (szombat), csevegtem jó sokat a magenta ügyfélszolgálattal, a sokadik körben egy szinttel "feljebb" kapcsoltak - a végén hétfő délután sikerült a belső L3+ supportnak, illetve az érintett rendszer üzemeltetőinek kibogozni, hogy miért van így, és ez utóbbi terület(!) tudta a szükséges beállításokat/módosításokat megcsinálni. 

Nem sejtelmes, én is jártam úgy, ahogy fent írva van, a banki ügyintéző mobilbankot állítgatott a telefonomon az MBH fiókban.

Az okát én tömörítve ingyen így láttam:

1. Nem sikerült a fejlesztőknek kialakítaniuk egy olyan felületet, amin a különböző bankok ügyfelei egyszerűen megtalálhatnák a saját webes belépési felületüket. Ehhez nem volt meg a fejlesztői felkészültség.

2. Nem sikerült a fejlesztőknek megtalálniuk azt a megoldást, amivel a különböző bankok magán és céges ügyfelei a különböző appok között a számukra telefonon használható felületüket megtalálják. Aki ezt kiadta használatra, lehet, hogy kiváló programozó volt, de nem értett ahhoz, hogy ügyfél számára hogyan kell fejleszteni.

Nem, nem én vagyok teljesen hülye, nem csak nekem nem sikerült ez, hanem a beszámolók szerint sokan másoknak sem. Nem a mostani állapotról beszélek, hanem egy korábbiról. Megjegyzem, az egybesülést megelőző Budapest Bankos felület tényleg hibátlan volt, weben is és telefonon is, maszek is és céges környezetre is. Amikor végleg elakadtam, szerencsére a telefonos ügyfélszolgálat segített, szimpatikus hang végignavigált a honlapon a különböző opciók között és négy-öt alkalommal velem együtt röhögött, amikor rákérdeztem nála, hogy mondja, és ez nekem miből kellett volna kiderüljön, ha maga nem segít? Egy darabig működött, aztán valamit fejlesztettek és megint nem volt elérhető a bank (valami olyasmit mondott az ügyfélszolga telefonon, aki megint csak nagyon kedves, nagyon normális és nagyon segítőkész volt, hogy ha az egyik telefonos appban az ügyfél a felületen megváltoztatja a bejelentkezési módot jelszóról, mondjuk ujjlenyomatra, akkor a másikba sehogy sem fog tudni bejelentkezni, csak ha bemegy személyesen a fiókba). Cakk.

3. Felvonultam nagy erőkkel, teljes harci díszben a fiókba, ahol rövid üldögélés után a kollegina egy darabig harcolt, majd elnézést kért, hogy ez most neki sem megy, nem érti, ha lehet jöjjek vissza holnap. Nekem úgy tűnt, hogy mozgott a környezet körülötte, folyamatosan, a banki alkalmazottaknak is tele volt a töke azzal, hogy a változások folyamatosak és rosszul dokumentáltak voltak az informatikai rendszerükben. Meghát ugye, valami eleve el lett baszva, nekik azért kellett ott küzdeniük.

Így történt, másnap másik kollegina a fiókban rövid közelharcot folytatott a telefonommal, majd mosolyogva visszaadta, kész. A részleteket nem teszem ide. Azóta ViCA-t, ujjlenyomatot stb. nem merek állítani rajta, mert megszűnt a toleranciám azzal kapcsolatban, hogy ha valamit egy szakmailag felkészületlen barom elront a bankomban, akkor ne tudjam elérni a saját pénzemet. Most működik, bár minden egyes alkalommal, amikor pl. kivonatot kell letölteni, elönt a pulykaméreg, mert egészen biztos vagyok abban, hogy aki ezt  fejlesztette, még soha az életben banki rendszert nem látott. Ma is több bankkal dolgozom, van összehasonlítási alapom. Ha nem érted mire gondolok, akkor keress egy tisztességes bankot, tölts le ott egy régi kivonatot, nézd meg a tartalmát, majd hasonlítsd össze azzal, hogy ezt az MBH-nál hogyan lehet és mi az eredménye. Ha ezután sem világos, akkor a szolgáltatás innentől már fizetős.

Persze magyarázat mindenre van, de a világ boldogabbik részén azokat a gazembereket, akik az MBH-nál informatikát csináltak, oda se engedték volna a feladat közelébe és ha véletlenül mégis, mindjárt az elején úgy kirúgták volna mind, hogy a magyarázkodás, mi miért volt nehéz és mit miért nem lehetett, csak az érdektelen emlékirataikban kaphatott volna helyet. Mert magyarázat mindenre van, különösen, hogy mit miért nem lehet, az biztos.

Egy doloban biztosan tévedsz:
nem a fejlesztő dönti el, hogyan nézzen ki a felület, nem a fejlesztő dönti el, hogyan működjön a felület. 
Ez mind üzleti döntés. Ha más nem, akkor olyan értelemben, hogy nem voltak hajlandóak megfizetni jobb szakembereket. A fejlesztő csak a tecnikai megvalósításért felel, úgy, ahogyan neki előírják az üzleti vezetők. A busines logic, milyen lépésekkel és milyen folyamatokkal lehet valamit megcsinálni, az nem fejlesztői hatáskör, legfeljebb szólhat, hogy az úgy nem lesz jó, de nem bírálhatja felül.

A leírtakból talán kiderült, hogy nem, itt nem a marketinges tévedett. Lehet lenézni a frontend fejlesztést, de szerintem az is informatika, sőt, pl. egy bank esetében lehet akár szakmailag súlyosabb fejlesztési téma is, mint az adatbázis kezelés. Amiben biztosan igazad van, az a kapcsolódó "not-my-job" szindróma, ami minden elbaszott informatikai fejlesztés elválaszthatatlan része.

Nem, nagy cégnél nem lehet csak úgy saját szakállra kókányolni. Pláne nem pénzügyi területen.

Nem csak, hogy nem lehet belepiszkálni bármibe, hanem azt szabad piszkálni, amiért fizetnek. Máshoz nem szabad nyúlni. És úgy kell csinálni, ahogyan megtervezték, ahogyan jóváhagyták.

A céges tokent _nem_ használjuk magán célra és viszont. (Nekem is van egy fél maréknyi, de a cégeseket kizárólag céges, a sajátomat meg privát célra használom...). A személyes ügyintézés idő és pénz - és qrvára nem jó sem az ügyfélnek, sem a banknak. A hülye üf. a tokent sem fogja tudni hazsnálni, elfelejti a pin-kódot (vagy felírja -jobb esetben egy cetlire, rosszabb esetben a tokenre(!). A használata a telefonnak: nem kell semmit sehova sem dugni, jön a push, képernyőzár feloldása, üzenet elolvas, rábök, jóváhagy vagy elutasít. A tokent vagy eszi az adott OS/Böngésző/kótyomfitty vagy sem, jellemzően csak desktop/notebook... És baromira egyszerűen otthonhagyható/elhagyható. A telefont picit nehezebben hagyja otthon az emberfia... 
Ha a telefon tojik be, a SIM marad, tehát sms fallback megvan, új telóhoz meg maximum a telebankra van szükség, de még akár arra sem - a token elhagyása/döglése esetén meg bankfókba be, régi token letiltása, új kiadása...

A telebank/videobank jó dolog, de az is drága és jellemzően kényelmetlen.  

Biztos, sose használtam se telebankot, se videobankot.

Van ám ennek a FIDO2-nek olyan működése is, hogy a desktop gépeden kezdeményezed a logint, az meg push üzenetben jóváhagyatja a mobilon, szóval akinek ez az egyszerű(?), az csinálhatja továbbra is (talán ez a CTAP2). De rendes hardver kulcs használatához sem kell nagyon megfeszülnie a programozóknak. Ezeket nagyjából minden elterjedt böngésző, kb. minden platformon támogatja már, és ahogy elnézem a példakódokat, ezt se nehezebb lefejleszteni, mint kitalálni egy saját auth rendszert. Na de mindegy is, hisz az ügyfelek nem ostromolják ezzel a bankokat (mondjuk szerintem DÁP-pal se ostromolta senki őket, csak leszóltak fentről, hogy ez legyen).

Amúgy ha otthoni desktop gépemen használom, akkor eleve az a default, hogy otthon hagyom a hw kulcsot :D

Technikailag még csak-csak igazad van, viszont ez tipikusan az az eset amikor az informatikus a lokális maximumra törekszik, miközben meg a globális maximum a cél: személyazonosság igazolása, elektronikus aláírás képesség, központi authentikáció és adatmegosztási lehetőség, és ezer más use case. A FIDO2 ezekből összesen egy dologra ad egy részleges, helyi megoldást, míg az EU Identity Wallet amelyet a DÁP megvalósít a fenti összesre plusz egy csomó minden másra is.

Mármint 2016-ra el kell készülniük az EU szabályozásnak megfelelően. 

Közben találtam egy nagyon érdekes dokumentációt:

https://hiteles.gov.hu/letoltes/618/bsz-dap-tk_v1.2_app.pdf

Illetve itt egy csomó kérdés/választ:

https://fintechzone.hu/eazonositas-es-haasz-a-gyakorlatban-21-kerdes-es…

Ez a DÁP-TAN, DÁP-TK totál irreleváns dolog, nem az eID kompatibilis azonosításról szól.

Az mikor fog működni, hogy nem kell magammal személyit hordani, és a reptéren elfogadják a DÁP-ot? Mondjuk ha vásárlok a Tescoban egy sört, akkor elfogadja a pénztáros néni, hogy igazoljam, hogy elmúltam 18.

Erre egyik linked sem ad választ.

A fenti linked nem az eID-ről szól, hanem tök más szolgáltatásokról (az eAzonosítás nem eID kompatibilis).

A DÁP forráskódja amúgy hol érhető el?
Az eID alkalmazásoknak nyílt forráskódúaknak kell lennie:

https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=OJ:L_202401183

Az európai digitális személyiadat-tárcák átláthatósága és az azokat nyújtó szolgáltatók elszámoltathatósága kulcsfontosságú elemeket jelentenek a társadalmi bizalom megteremtéséhez és a keret elfogadottságának ösztönzéséhez. Az európai digitális személyiadat-tárcák működésének ezért átláthatónak kell lennie, és különösen lehetővé kell tennie a személyes adatok ellenőrizhető kezelését. Ennek eléréséhez a tagállamoknak nyilvánosságra kell hozniuk az európai digitális személyiadat-tárcák alkalmazásszoftver-alkotóelemeinek forráskódját, ideértve azokét is, amelyek személyes adatok és jogi személyek adatainak kezeléséhez kapcsolódnak. E forráskód nyílt forráskódú licenc keretében történő közzétételének lehetővé kell tennie a társadalom, többek között a felhasználók és a fejlesztők számára, hogy megértsék annak működését, továbbá ellenőrizzék és módosítsák a kódot.

Az első link azért volt számomra érdekes mert nem volt világos hogy hogyan is oldják meg a kulcsaktiválást az elektronikus aláíráshoz, de ezt elég jól elmagyarázza.

Az eID-t majd 2016-ig fogja a DÁP megvalósítani, és gondolom akkor majd nyilt forráskódúvá is fog válni az alkalmazás, ahogy ez elvárás.

"Az mikor fog működni, hogy nem kell magammal személyit hordani, és a reptéren elfogadják a DÁP-ot? Mondjuk ha vásárlok a Tescoban egy sört, akkor elfogadja a pénztáros néni, hogy igazoljam, hogy elmúltam 18."

Onnantól hogy lesz eID az EU-ban, tehát legalább 2016-ig várni kell vele. Az, hogy a Tesco-s néni elfogadja, az még utána valamennyi idő lesz, mert most ahogy látom azzal vannak elfoglalva hogy az alap dolgok működjenek megfelelően: elektronikus aláírás, banki belépés, eID-ra való felkészülés, stb. és ennek a környezete van kialakítás alatt.

mert most ahogy látom azzal vannak elfoglalva hogy az alap dolgok működjenek megfelelően: elektronikus aláírás, banki belépés,

Amúgy a banki belépés mitől lenne alapabb, mint mondjuk az azonosítás egy webshopban, hogy elmúltam már 18? Semmivel nem alapabb szolgáltatás a banki belépés (vagy akárhová belépés, pl. légitársasághoz), mint egy életkor-igazolás például. Miért kéne pont a bankokat priorizálni? Alakítsanak ki olyan megoldást, amihez bárki könnyen csatlakozni tud, nem kell egyes piaci szereplőket előnyben részesíteni. Mert annak könnyen az lesz az eredménye, hogy az ő igényeikre, képességeikre vannak szabva az interfészek és integrációs elvárások, a többi piaci szereplő meg szív emiatt.

Mert sokkal jobban kontrollálhatóak első körben és messze a legtöbb felhasználót lehet elérni rajtuk keresztül (nem csak bankok hanem közművek is). 

Egyébként teljesen szabványos, OpenID4VP alapuló integráció van, viszont ez valószínűleg nem triviális. 

https://openid.net/specs/openid-4-verifiable-presentations-1_0.html

és

https://docs.igrant.io/concepts/openID4vc/
 

De mivel a DÁP nem lesz kötelező (hál' Istennek), nem árt, ha van egy biztonságos fallback. Meg a személyazonosságomat a bank bejelentkezés után valószínű a saját nyilvántartásából veszi, ehhez minek a BM-től beszerezni.

Na mindegy, nekem jó az SMS-es 2nd factor, csak maradjon is meg, ha már számomra értelmes alternatívát nem adnak.

Cseréled a fizikai okmányod - okmányazonosító, lejárati dátum változik - máris újraazonosítás kell személyesen. Az sms-es 2. faktor csak és kizárólag azt igazolja, hogy képes vagy annak az információnak a megszerzésére(!), amit a megadott telefonszámra SMS-ként elindított a bank, és amit az adott időpontban az ahhoz a telefonszámhoz rendelt SIM-et tartalmazó eszközre továbbított a szolgáltató. Ez az égadta világon semmit nem mond arról, hogy ki vagy, mi vagy, nem azonosít hitelesen... A DÁP-pal minden esetben olyan a tranzakciód, mintha a személyi igazolványod bemutatásával (és a banki oldal által hatósági rendszerekben történő visszaellenőrzésével) végeznéd azt el. 

"ezt se nehezebb lefejleszteni, mint kitalálni egy saját auth rendszert."

Ne gondold, hogy mindenütt saját AAA megoldást csináltak (egyik banknál amikor átállás volt a ...-ra, egy pár percig a netbank url-jén az általuk használt 3rd party rendszer login felülete jött be), van, ahol igen, de azt masszívan folyamat és corner-case-ek tekintetében is alaposan végigrágta az architect/itsec/stb. terület, és élesedés előtt blackbox/whitebox tesztet is kapott. 

A DÁP-pal nem kell ostromolni senkit, mert való igaz, hogy elvárás a DÁP-os azonosítás. Ami egyébként például a videobankban a "mutasd meg a kamerának a személyidet" kiváltására is kifejezetten hasznos: gyakorlatilag az online térben is a személyi igazolványával azonosítja magát ilyenkor az ügyfél.
 

A videó azonosítás megfelelő implementációja egyébként egy iszonyat szivás, mert ugye kellene mutogatni a kártyát, meg magadat is, meg a kettőt együtt, és ugye a mobil első és hátsó kamerája nem ugyanolyan felbontású, ráadásul egy csomó időt el kell tölteni azzal hogy azt is igazold hogy a mindenféle csalások ellen hogyan védekezel. Ennek megvalósítása egy iszonyat nagy szivás, volt szerencsém hozzá. Ehhez képest a DÁP az elképesztően praktikus mert az állam csinálja meg a személyazonosítást, igy aki DÁP-pal sikeresen azonosítja magát, annak már el lehet hinni hogy ő az akinek mondja magát.

Ha ezt megnyitják a nem állami és államközeli rendszereknek, akkor végre lehet olyat csinálni hogy a különböző piactér szolgáltatásoknál mondjuk csak DÁP-pal azonosított eladók legyenek, amivel lényegében meg is fognak szűnni a mindenféle átverések és csalások. 

Nem ezt mondja, illetve nem így. Fallback kell, és erre az SMS az, ami érdemben használható, birtoklás alapú csatorna. Ha az üf. nem jut a pénzéhez (mert nincs második faktor), akkor az a baj. 

Magyarázhatod, ameddig akarod, hogy mer az mnb azt mondaná, hogy nem lehet kikapcsolni a user igényére, de továbbra is ki foglak ezzel röhögni. Nem, ha az ügyfél azt mondja, hogy "értem, hogy ha kikapcsolom a fallbacket, akkor nem fogok a pénzemhez jutni, ha nem megy a netbankon keresztül a cucc, mert éppen nincs netem / nálatok le van rohadva valami, többet számít nekem a biztonság", akkor nem, nem baj. És ha van olyan processz, ami szerint igen, akkor az egy határ rakás fos, és rendbe kell tenni. 

Szerinted banki ügyfél, vagy FB/Google/Microsoft/Yahoo/stb. fiókkal rendelkező emberből van több? Mert ez utóbbiak esetén használható a tokenes login, úgyhogy aki biztonságossá szerette volna/szeretné tenni ezeket a hozzáféréseit, az beruházott/beruházhat két yubikey tokenre (egyiket használja, a másikat ugyanúgy létrehozva rajta belépési kulcsokat elteszi tartalékba).

Még egyszer. A DÁP meg fogja valósítani az EU-s szabályozást. Az EU-s szabályozás szerint minden állampolgárnak lehetősége kell hogy legyen egy elektronikus wallet. Ezzel tudja azonosítani magát, digitálisan alárni, és a többi. Ezt arra is lehet használni hogy a bank felé be tudj lépni. Ezt az egészet egyébként a hanyatló nyugaton néhány ország már vagy 10 éve megvalósította. Ezt az egész történetet 2026-ig meg KELL csinálni. Itthon ez a DÁP alkalmazáson keresztül lesz elérhető. 

A bankoknak itthon a DÁP alapú belépést MEG KELL valósítani, de azt soha senki nem mondta hogy csak az kell hogy legyen. Ez egy lehetőség. Ha EU-s állampolgár vagy és valami perverzióból magyar banknál akarsz számlát nyitni akkor erre a jövőben simán használhatod majd a saját országod által kiadott DÁP-nak megfelelő alternatívát, ez itt a lényeg. Ha ilyened nincs, vagy nem akarod használni, akkor meg majd kapsz felhasználónév, jelszót, meg SMS-t.

Megint ez a hülyeség, hogy nem ostromolják a bankot...miért az ügyfélnek kéne ezzel a bankot ostromolni?

Phising-resistant authentikáció kéne a netbankra (amire tuti van ügyféligény, arra legalábbis biztos, hogy ne lopják el a pénzüket), erre pedig műszakilag egy nyílt szabványú technológia a jó megoldás - egy épeszű informatikusnak legalábbis. Ha már költségekről van szó, nem lenne olcsóbb egy már kitalált megoldást használni, mint saját kútfőből ilyen push üzenetes borzalmakat csinálni?

AES helyett nem akarnak valami saját titkosítást csinálni a banki informatikus urak? Aztán meg az AES-re átállást túl drágának találnák, és még ügyféligény se lenne rá.

Na, akkor rakjuk rendbe, mert van itt a keveredés. Cégeknek a DAP dokumentum aláírási funkciója nem működik, mert nem akarják hogy konkurenciát csináljon a meglévő bizalmi szolgáltatóknak.

Az EU digital identity wallet egyébként lehetőséget ad arra hogy azonosítsd magad cégként:

"Organisations can also get business wallets to prove company identity in B2B settings."

Tehát igen, cégek esetén is működni fog. Az itt lévő nem EU rezidens állampolgár Visa-val tartózkodhat az EU területén, és nagyjából az első dolog az hogy kap egy adott országbeli azonosító okmányt, mert egyébként kb. semmit nem tud anélkül intézni. Innentől meg lesz EU digital identity walletje is. 

Ha pedig ő egyébként mondjuk turistaként akár számlát nyitni (ha erre egyáltalán lehetőség van), akkor kapja a jó öreg felhasználónév, jelszó, SMS kombinációt, és oldja meg a biztonságot maga, vagy használja a saját országa bankjait, és ők majd megoldják. Nem az EU feladata a külföldi állampolgárok védelme, azt oldja meg a saját országuk. 

Nem a fülek süketek... Auditból kieső, egyébként mérsékelten problémás dolgokat "javító", vagy épp jogszabálykövetéshez szükséges fejlesztések az elsődlegesek, utána az ügyfelek többségét érintő funkcióbővítések... Az ügyfelek kis hányadát érintő feature request-ek meg maradnak a sor végén. És egy fido2/u2f login az nagyon a sor vége - ha csak ezt a funkciót (azonosítás/bejelentkezés) nézzük, ott a DÁP-hoz kapcsolódó kötelező fejlesztés, ami máris megelőz mindent "is"... 

Na de a többi...amikor "modernizálták" a MagNet netbjankját pl.

Én annyit vettem észre, hogy divat szerint nagyobbak lettek a betűk meg a spacing, ergo kevesebb info egy képernyőn.

A tranzakció keresés sokkal bénább lett.

Na ezt is userek tömege kérte vajon?

És biztos a többi banknál is van kismillió hülyeség, amit kétlem, hogy a felhasználók kérték volna. Azokra bezzeg vót pénz!

Az ilyen UI kinézet változtatásokat szakmailag célcsoport teszt illetve A/B teszt előzi meg, amennyiben kompetensek voltak akkor ebből esett ki. Ami érdekes lehet hogy vajon hányan bankolnak még mindig weben és hányan mobilon, sajnos ezeket az adatokat nem látjuk, de tanulságos lehet.

A bénább tranzakció keresés mögött simán lehet az hogy backend rendszert cseréltek és abban igy tudták megoldani, vagy a prio-k alapján igy tudták megoldani.

Azt kell látni hogy tetszőleges fejlesztés során van egy rakás erő (kényelem, biztonság, határidő, rendelkezésre álló erőforrások, mért igények, stb.) amelyek sokszor egymás ellen dolgoznak, és ebből kell valamilyen megoldást kitalálni.

Évekkel ezelőtt volt a váltás, már nem emlékszem, csak arra, hogy megmaradt bennem az "ehhez minek nyúltak" érzés.

Amit jelenleg hiányolok, az a preset dátumoknál az "idei év". Esetleg "előző év". Ez utóbbi hasznos lenne ha pl. a könyvelőnek el akarom küldeni a számlaforgalmamat az adóbevalláshoz.

Most minden, ami 30 napnál régebbi keresést kíván, az már "nagyon régen".

Azt írtam, hogy _szerintem_ csak a felületen kell reszelni, de mivel kellően messze vagyok (már) a webes fejlesztésektől, ez csak tipp - ettől még az igén - jóváhagyás - agilisen berakni a taszkok közé, erőforrást allokálni... megcsinálni, tesztelni (funkcionális és regressziós tesztek), stb... Nagyon könnyen a Derrick&Harry blog "csak egy mezőt kell felrakni a weboldalra" sztorihoz hasonlóra tud egy ilyen egyszerű(nek tűnő) módosítás duzzadni... 

Én sem gondolom többnek, de a jó ég sem tudja, hogy a tranzakciók adataiból pl. mennyit tárol a webes frontend mögötti db, és mik azok (időben visszafelé), amik már "csak" a számlavezetőben vannak meg... Mert ott meg kell, hogy legyen, a webes felületnek meg elsődlegesen a tömeges igényeket kell gyorsan kiszolgálni - a számlavezető rendszerbe "hátra" bekérdezni meg egészen más feladat... 

Ha valakit érdekel komolyabban: https://webgate.ec.europa.eu/fpfis/wikis/pages/viewpage.action?pageId=2…

Azért az alábbi országok már szépen implementálták az eID-t: Ausztria, Belgium, Horvátország, Ciprus, Csehország, Dánia, Észtország, Franciaország, Németország, Olaszország, Litvánia, Lichtenstein, Litvánia, Luxemburg, Málta, Hollandia, Lengyelország, Portugália, Szlovákia, Szlovénia, Spanyolország, Svédország.
EU loginnál be is tudod állítani a "Link my eID" oldalon (https://webgate.ec.europa.eu/cas/reconciliation/linkEid.cgi).

...ez ellen, mi szól: miért nem vezeti be Magyarország  ezt? 

 

Ha valakit érdekel komolyabban: https://webgate.ec.europa.eu/fpfis/wikis/pages/viewpage.action?pageId=2…

Azért az alábbi országok már szépen implementálták az eID-t: Ausztria, Belgium, Horvátország, Ciprus, Csehország, Dánia, Észtország, Franciaország, Németország, Olaszország, Litvánia, Lichtenstein, Litvánia, Luxemburg, Málta, Hollandia, Lengyelország, Portugália, Szlovákia, Szlovénia, Spanyolország, Svédország.
EU loginnál be is tudod állítani a "Link my eID" oldalon (https://webgate.ec.europa.eu/cas/reconciliation/linkEid.cgi).

A bankok ügyfeleinek jelentős részének nincsen DÁP lehetősége (vállalati ügyfelek, külföldiek stb.) Mivel nincsen "egységes banki rendszer" a világon sehol, szerintem itt a megoldást csak a banki szakemberek szakmai felelősségére lehet bízni. Ahol a bank informatikai menedzsmentje is prudens, ott kiszűrik a csalók nagy részét. Ahol felelőtlen vagy nem érti a saját szakmáját, ott meg ki fogják rabolni az ügyfeleket.

A miénk biztos nem lesz vele kompatibilis mert Brüsszel.  (A telekom qr kódja úgy kezdődik, hogy eudi-openid4vp úgyhogy lehet mégis)

Amúgy kipróbáltam a Telekomos integrációt szuperül sikerült összerendelni a DÁP-al. A mobilappban a fasorba nincs DÁP bejelentkezési opció. De legalább kiléptetett.

Maga az EV cert sz@r, mert bizony ha tudok valahol ödönbank nevű céget alapítani, akkor kapok ödönbank EV certet az általam felügyelt domainre... És ahogy már szó volt róla, az, aki az énbankomponthu helyett az énbankomponthu.feltortszerverpontakarmi/randomurl/ oldalra beírja simán az adatait, az a zöld/hupilila/akármilyen extra logót sem fogja keresni... 

Az EV Certnek azért nincs semmi értelme mert soha senki nem fogja a tanúsítvány adatait böngészni, a böngészőkből pedig a zöld részt már évek óta kivették. Szóval felhasználó szempontból semmi olyan látványos visszajelzést nem kapok, innentől kezdve meg kuka.

A kérdésem nem az volt, hogy a böngészők támogatják-e, hanem az, hogy egy banki webes alkalmazást vagy magát a honlapot fejlesztő tudja-e a tanusítványt a bank honlapján hasznosítani annak érdekében, hogy a felhasználó biztos lehessen abban, hogy nem huncut oldalon jár.

A rövid válasz: nem.

A hosszabb válasz: böngészőszinten nem oldható meg, mert a böngészők ilyet nem támogatnak, lásd a korábbi beszélgetést ebben a szálban az EV certekről. Ha meg a weboldalba ágyaznak ilyesmit, az ugyanúgy másolható, mint az eredeti banki oldal, tehát bekerülhet a huncut oldalra is, és akkor ugyanott vagyunk ahol most.

És ha - feltéve, de meg nem engedve - mégis lenne ilyen megoldás, annak ismeretét ugyanúgy el kéne hinteni az összes felhasználónál, akik jelenleg is simán megvédhetnék magukat a phishing csalásoktól, ha az URL-t nem kereső alapján szednék össze, hanem begépelnék és/vagy egyszer eltennék könyvjelzőbe, és utána csak azon keresztül használnák.

Kábé az első megjegyzésem volt ebben a témában, hogy egyszerűbb lenne 12 böngészőt rávenni arra, hogy a termékük újra dolgozzon rá az EV tanusítványokra, mint versenyezni a hackerek által teremtett fake honlapok utolérésében,  mert kb ennyi böngészővel  lefedhető az internet 99%-a. Lehet, hogy ennyi se kell, mert ha a Mozilla és a Google visszahozná, akkor a többi menne utána azonnal. Azt is értem, hogy EV tanusítványt 22 Unicreditbank nevű vállalkozás is regisztrálhat, de talán a fake regisztrációk ennek ellenére is egyszerűbben lennének szűrhetők.

Hangsúlyozom, nem értek hozzá és talán ezért tartom valószínűnek, hogy egy a ViCA-hoz hasonló megoldás simán fejleszthető lenne minden bank számára, nem túl nagy költségért az EV SSL-hez. Igen, ha ezt kötelezővé tennék a bankok, akkor sok felhasználó belekényszerülne abba, hogy biztonságosabb megoldásokat használjon bankolásra, de ha a felhasználók belekényszeríthetők a Facebook mindennapos használatába, akkor elképzelhetőnek tartom, hogy ezt a kényszert túlélné a bankrendszer.

A bank.gov.hu domaint pedig azért gondolom kitűnő ötletnek (bár ezt sem én találtam ki itt), mert a szabadságon és egyetértésen alapuló önkéntes internetes megoldások látványos kudarcait követően szerintem igencsak itt lenne az ideje olyan állami kontrollnak, ami megbízhatóan növeli a biztonságot (mint pl. a DÁP is). Öszintén szólva nem hiszek az egész internetre kiterjedő vagy akár az EU-s törvényes szabályozás racionalitásában, de hazai környezetben szerintem nagyobb rendet lehetne tenni az internetes bankcsalások ellen. Ez csak a hazai szakembereken múlik. Teljesen kiszűrni a huncutságot persze nem lehetne, de az állami kontrollon alapuló, folyamatosan javított biztonsági színvonalú internetes környezet nekem megvalósíthatónak tűnik. Legalábbis vannak erre már jó példák.

lásd a korábbi beszélgetést ebben a szálban az EV certekről.

Azt azért halkan hadd tegyem hozzá, hogy továbbra is támogatják az ev certeket, csak a zöld vs kék lakat, és az issued to címsorba kiírását vették ki (ami egyébként imho jogos, egy kalap fos volt), de ha lekattintod a lakatot, akkor ki van írva az issued to. Pár magyar banknak van is ilyen, gyors scan alapján, otp, cib, erste, bank of china (bár ők kicsit kakukktojás ugye)

1.)

én akkor pislogtam nagyokat mikor itt Londonban valaki a metrón HANGOSAN, TELEFONBAN beolvasta a bankkártya adatait egy rendeléshez... 

2.)
Hamis oldalra gépeled be az adataidat => túloldalon mindent logol => ő közben a valódi bank felületre belép => kapod a 2FA SMS => begépeled => begépeli => te homokórát látsz => ő már bent van, telefonszámot cserél, netbanki appot regisztrál, majd utalásokat kezdeményez a saját eszközeit használva 2FA-ra...

( ncc1701 | 2025. 06. 20., p – 08:56 )

Másik bankhoz kell menni, így már rögtön tudja az ember, h próbálkoznak.

( dorsy v | 2025. 06. 20., p – 09:06 )

Szerkesztve: 2025. 06. 20., p – 09:11

<okoslaikustroll mode> azert az imho eleg szar, ha egy banknak a hupra kell jarni informaciobiztonsagi kerdesekben segitsegert... mondjuk legalabb tudjuk melyikhez nem kell menni :) </okoslaikustroll mode>

eso utan koponyeg. a lenyegen pedig semmit nem valtoztat, mivel a karosultak - a mellekelt abra alapjan - nem lettek preventive felvilagositva es/vagy megfelelo technologiai eszkozokkel ellatva, hogy ilyen ne, vagy csak extrem ritka, egyedi esetben tortenhessek meg. :)
mondjuk ahol a kedves vezeto narrativaja a "#csakaka'pe'" meg "#csakabutatelefon", ott miert is varnank el, hogy legyen megfelelo oktatas az internetes/banki veszelyek tekinteteben :)
felkeszul:
prevencio a szenvedelybetegsegekkel kapcsolatban - #akocsmaafalulelke #drogprevencio - 0
szexualis felvilagositas - #apafiuanyalany #foliaburokbantartas

lehetne sorolni. nincs kedvem.
hittan meg erkolcsora legalabb van... kosz... majd az atyauristen megsegiti a karosultakat, ha elegge erkolcsosek voltak. janem.

ami hasznal:
edukacio, edukacio, edukacio
megfeleloen implementalt multifaktoros autentikacio
fraud-detection a banki rendszerben (ha gyanus dolgok mennek, stop, ugyintezo felhivja az UF-t, hogy "figyima', biztos ezt akarod?")

( lcsaszar v | 2025. 06. 20., p – 09:28 )

MBH - MHB - MKB, teljesen összezavarják az embert. Másik nevet kellett volna választani.

( ptiszai v | 2025. 06. 20., p – 09:45 )

Szerkesztve: 2025. 06. 20., p – 09:45

Mészárost kellene megkérdezni, miért csak a bankjánál létezik a probléma.

Gázszerelő, ő biztos tudja.

Ki más a hibás?

Mészáros Orbán segítségével felvásárolta a Budapest Bankot a MKB-t és abból hozták létre a MHB-t.
Kit rúgtak ki?

Hasonló a MNB 650 milliárd 5 kamu alapítványi sikkasztásához, senkit sem rúgtak ki, de attól Matolcsy Ádám vett egy dubaji, egy new yorki stb. stb. kégliket. 
Fidesznél nincs nagyobb korrupt párt.

Tiborczé az andrássy úti paloték egy része, máv régi székháza, köztévé szabadság téi palotája, Gellért szálló stb.

A tulajdonos hoz egy top managementet. A top management hoz egy vállalati kultúrát, amit aztán a middle management továbbvisz. A middle management és a beosztottak végzik el a szakmai munka nagy részét.

Egy idő után amikor közismert lesz a vállalati kultúra akkor a middle management és a dolgozók azon része marad meg akik azzal azonosulni tudnak.

Szóval igen, az elkövetett szakmai hibákért ha nem is responsible de accountable a tulajdonos (RACI mátrixban értelmezve).

zászló, zászló, szív

Így van. Elvégre a tulajdonos kockáztatja a pénzét.

Hanem... nézzük ugyanezt fordítva. Felkészült beosztott szakember vagy egy rendszerben. A főnököd kijelöl neked egy feladatot, amit neked kell megoldani. Értesz a szakmádhoz, megoldod a feladatot, adott esetben nem vagy egyedül, hanem egy munkacsoport együtt oldja meg.  Jól csináltad meg a dolgodat? Az egyik verzió szerint a legjobb tudásod szerint végezted el a munkát és szakmailag hibátlanul. A másik verzió szerint te is tudod, hogy amit csináltál, szar, nem felel meg a funkciójának, mert a rendelkezésedre álló eszközökkel, abban a környezetben egy optimumot tudtál csak elérni, de a jó megoldást nem tudtad szállítani. A harmadik verzió szerint not my job, én kipipáltam a feladatot, szaromisle, hogy az szakmailag jó volt-e vagy nem. Legfeljebb az ellenőrzés során kirúg a főnök, aki nyilván fasiszta.

Az esetek zömében a második variáns működik. Mindenki azt hiszi, hogy annál, amit csinált, az adott körülmények között lehetetlen jobbat csinálni. Balhé esetén akármilyen a menedzsment, a szervezetben mindig meg lesz győződve mindenki, hogy más a hibás.

És... a tulajdonosnak többnyire semmi köze ahhoz hogy a cégben mi működik, hogy működik, kivételek vannak (pl. egyéni vagy kisvállalkozások esetében stb). A cég irányítását a tulajdonos többnyire másokra bízza, igazgatókra, igazgatóságra, vállalati vezetőkre, akik többnyire nem egy adott szakma legkiválóbbjai, nem a konkrét funkcionális feladatkörük legjobbjai, hanem a vállalat irányításához értenek. Ahol a vezetés nem engedi meg a második variánst, mert pl. tele van a töke azzal, hogy a felkészületlen (vagy akár a kitűnően felkészült rossz produktumot előállító) munkavállaló megmagyarázza, hogy, mit miért nem lehet, ott az ilyen munkavállalót kibasszák a cégtől. A harmadik variáns szerinti lébecolókat meg be sem engedik a kapun, rossz esetben próbaidőn belül basszák ki.

Bonyolult a munkavállaló élete, "azért a pénzért" meg különösen.

-> az aki ezt a szintű problémát meg tudná oldani pontosan látja az értékrendet már kívülről is, és nem megy oda.

Itt ér véget a történet, így lesz egy kétes értékrendű tulajdonosnak lassan de biztosan kuka cége.
Mindnek, mindig. Ez nem specifikus erre a tulajdonosra.

zászló, zászló, szív

A tulajdonos értékét nem a tulajdonolt cég menedzsmentje határozza meg. Az legfeljebb a vagyonára lehet építő vagy pusztító hatással. A tulajdonos elbukhat pénzt, rossz menedzsmentet választhat, rossz döntéseket is hozhat, jókat is, ezekben semmi nem korlátozhatja, sőt, ha kedve szottyan a vesztesége háromszorosát is felteheti a kaszinóban a ruletten a pirosra. Nekem mondjuk az első harmad szimpatikusabb, de ettől még a tulajdonos értéke immunis a véleményemre.

már hogyne lenne köze. Nem csak az adóhatóságok felé, de a tulajdonosok felé is elszámolási kötelezettsége van a vezetőknek. És a tulajdonosnak döntési feladatai is vannak. Ha semmilyen formában nem felügyeli a tulajdonát, az garancia arra, hogy szétlopja valaki a céget. A nagy tőzsdei cégeknél felügyelőbizottság is van és a részvényesek (tulajdonosok) szavazhatnak is a kérdésekben.

Ha semmilyen formában nem felügyeli a tulajdonát, az garancia arra, hogy szétlopja valaki a céget.

Tévedés. A céget nem akkor nem lopják szét, ha a tulajdonos áll a kapuban, hanem akkor, ha portás van, aki megkérdezi, hova viszi a dolgozó a hóna alatt az esztergagépet. A vállalatvezetés is persze érdekelt a dologban, mert vezetői funkciók vannak arra, hogy a dolgozónak ne sikerüljön hazavinnie a kanalat a kantinból. A tulajdonosoknak általában nincsen döntési kötelezettsége. A vállalkozások messze túlnyomó többségében a tulajdonosnak fingja sincsen arról, hogy milyen döntéseket kell hoznia a vállalatát vezetőknek. Semmi köze hozzá. Kivételek vannak, ennek feltétele, hogy a tulajdonos egyáltalán azonosítható legyen. Ne keverjük a kis és középvállalkozásokat ide, ahol a tulajdonosnak ésszerű személyes közreműködése kell legyen a vállalata működésében. Ezek számosak, fontosak is, de a vagyon az nem hozzájuk koncentrálódik, hanem a nagyokhoz. A részvénytársaságok esetében a tulajdonosi (szavazati) jogok sok részvényes között oszlanak meg. Nem arról van szó, hogy a vezetés nem irányít, hanem arról, hogy a tulajdonos a vezetést szakemberekre, technokratákra bízza. A részvényesek általában komoly előterjesztéseket szavaznak meg anélkül, hogy elolvasnák a határozatokat, ha a kaja és a pia elég és jó minőségű a közgyűlésen. És büszkén vagdossák a szelvényeiket. Ez a dolguk ui.

Nem keverek ide semmilyen pici cégecskét. 

Semmilyen cég irányítása nem úgy megy, hogy teljesen szabad keze lenne a vezetésnek. Végső soron mindig a tulajdonosé a legfőbb döntési jog. 
Az a tulajdonos, amelyik nem vigyáz a tulajdonára, szimplán hülye.
A részvényeseket is részletesen tájékoztatni kell, készíteni kell beszámolókat. És a részvényesek is kérhetnek változtatást. Persze nem 1 részvénnyel kis pista, hanem valamekkora tulajdonrész támogatásával. 
Még ha revoluton keresztül vagyok tulajdonos komolyabb cégben, akkor is kapok elérést felülethez, amin keresztül akár én is küldhetek be kérdést és ha elég sok részvényarány támogatja, akkor fel is teszik.

Felügyelőbizottsági tagok változásáról is szokott lenni például szavazás. De akár ki is lehet rúgni embereket, ha elég súlyú részvény támogatja.

Értem én, csak jelzem, hogy a pénzügyi vagyon 95%-a a világban olyan részvénytársaságok kezében van, ahol a tulajdonosoknak többszáz éve semmilyen valós beleszólásuk nincsen a cégük működésébe, nem is igényelnek ilyet, mert nem is értenék, hogy nekik mi közük a döntésekhez, semmiféle személyes közreműködésük nincsen a cég működésében mert azt várják el, hogy a részvényeik értéke és hozama nőjön. Ha nem nő, eladják a tulajdoni hányadukat a tőzsdén. Amiről te beszélsz az az a speciális helyzet, amikor a tulajdonosnak személyes közreműködése is van a vállalkozásban. ami már két tulajdonos esetén is bonyolult helyzeteket teremt és csak a KKV-k esetében jellemző. Kivételek vannak. 

Mármint te azt hiszed, hogy nem szólnak bele és ezt valami kis részvényesi yolo szemléletre alapozod.

Közben az alapok, akik sokszor nagy mennyiségben birtokolnak részvényeket, rendszeresen próbálnak belszólni a cégek működésébe. Általában sikerrel, ha nincs szervezett összefogás és kellő részvénymennyiség más kézben.
Egyébként erre valóban nem sok rálátásod lehet, ha nem birtokolsz részvényeket. Néhány cég kivételével ez teljesen láthatatlan, mert nem szól róla a média. Ha tulajdonos vagy, akkor kapsz direktben információt. Külső érdeklődőként aktívan elő kell keresni.

És persze valóban léteznek cégek, ahol a vannak szavazati joggal nem rendelkező fajta részvények is, ahol csak tőzsdézhetsz, de nincs jogod beleszólni.

A részvényhez fűződő jogaidat, amiket senki nem von kétségbe, feldighatod a seggedbe, hacsak nem birtokolsz alkalmas pakkot, ami már nem fér el benne. Persze szerezhetsz magadnak döntésre alkalmas tulajdoni hányadot (pontosabban szavazati jogot), de ahhoz komoly részvénytársaságok esetében komoly tőke kell és ha akkora tőkéd lenne, amivel ezt megtehetnéd, akkor eszed ágában nem lenne saját magadnak ugrálni vele. Keresnél rá alkalmas hozzáértőket, különben hamar visszaülhetnél a Bentley Turbóból a régijó Dáciába. A rossz hírem az, hogy a befektetési alapok, magántőke alapok döntéseit is technokratákra bízzák, azokban sem a tulajdonosok hozzák a döntéseket, mert a tulajdonosoknak több eszük van annál, hogy maguk okoskodjanak ahelyett, hogy a pénzüket szakemberekre bíznák. Kivételek vannak. Nem akarlak elkeseríteni, de ahhoz, hogy ilyen helyzetbe kerülj, általában véve nulla esélyed van. Nem a szavazati jog a kérdés, hanem az irányítási jog, az pedig a világban a tulajdonosok messze túlnyomó többségének nincsen és ez nem is hiányzik nekik.

Elvégre a tulajdonos kockáztatja a pénzét. > oooo... nem. :) hacsak nem E. V. (vagy azzal egyenerteku), aki az egesz vagyonaval felel a tetteiert... :) ha a csalok kivittek a penzt a bankbol, azzal a tulajdonos mar nem (sem) rendelkezik. :) a maganvagyona meg - by default - tabu.

ha bedolt az mbh, elment a love, akkor nalad senki semmilyen formaban nem tud reszaranyosan erdeket ervenyesiteni, akkor sem, ha a dontesed (mert mondjuk szavaztal a reszvenyesek foruman) vegett tortent a kar. szemben egy ev-vel, aki mindenevel felel a tetteiert.
de ha nem erted, akkor mindegy is :)

ugyanez igaz a kifizetett osztalekokra, fizetesekre, premiumokra, whatever is! mivel attol kezdve elvesztette ceges jelleget... :)

kockazat nelkul nincs uzlet, en arrol beszelek, hogy ki mekkorat kockaztat, miert- es mivel felel, mikor el lett szabva valami.

Így van. Felelsz mindenért. saját magad látod hasznát, ha jó helyre teszed a pénzed és saját magad bukod el, ha rosszul bánsz a saját kis kapáddal vagy rossz helyre teszed a megtakarításaidat. Felelősség nélkül még levegőt sem tudsz venni, persze törekedni lehet, hogy ez sikerüljön, van akinek 3-4 percig is megy.

Elvileg lehet korlátlan vagyoni felelősség, pl. büntető ügyekben, szándékosság vagy azzal egyenértékű gondatlanság esetén (az MBH informatikusainak esete szerintem ez) vagy Bt tagjainál. A jog és a jog érvényesíthetősége külön dolog, az ember a jogot nem azért veszi komolyan, mert felelősségre vonhatják, ha nem teszi, hanem azért, mert a jogot mint jelenséget alapműveltségénél fogva fontosnak tartja. Amiből nyilván csak egyfajta értelmiségi igényesség következik, ami levethető, eldobható és semmiben nem korlátozza a huncutok számát. Csak van.

Már ott, ahol van.

Ha tudom, hogy szar, akkor jelzem a közvetlen főnökömnek, hogy nem értek egyet vele. Aztán hogy ő úgy dönt, hogy szerinte nem szar, vagy szar, de meg kell csinálni, akkor megcsinálom. Aztán hogy ő ezt felfelé is jelzi, vagy eladja, hogy kész, azzal úgyse tudok mit tenni (legfeljebb időről időre megemlítem, hogy még mindig szar).

Így van, nálam legyen meg az e-mail amiben ezt írásosan jeleztem.
Ezzel én minden lehetőt megtettem, téma lezárva.

Majd ha a szőnyeg szélére állítanak akkor előhúzom (vagy nem) az adott e-mailt. 
Ha nem húzom elő akkor a főnök "jön nekem eggyel" - és ezt mindketten tudjuk.

zászló, zászló, szív

Nem ér, te már nyugdíjas vagy, tapasztalatból beszélsz, nem a levegőbe.  ;^)

Pont az a problémám, amikor az általad bemutatott gyakorlat hiányzik. Általában mindent reszelni kell, a folyamatban egyeztetések folynak, viták, érvek, ismeretek, tapasztalatok és a végén kialakulnak kompromisszumok, amik optimálishoz közeli állapotot hoznak. Ehhez nem elég a főnökre és a körülmények kényszerítő erejére utalgatni, hanem ehhez a munkavállaló kreativitása kell. Azt pedig nem lehet fölülről elrendelni, maximum kiölni lehet a dolgozóból. Annak bukta lesz a vége.

Én ezt a gyakorlatot követtem, amikor dolgoztam. Lehet, hogy szerencsém volt, a főnökeim az ellenvetéseket nem sértésként, akadékoskodásként kezelték, így szakmai téren maradtak a viták. És igen, volt, hogy az volt a válasz, hogy tisztában van vele, hogy nem az igazi, és látja a megoldás hátrányait, de nem képes jobb megoldást kialkudni. Ezt meg én kellett, hogy elfogadjam.

https://hup.hu/comment/3197076#comment-3197076

Azt persze nem tudom, hogy konkrétan Mészáros mondta-e az IT-soknak, hogy muszáj ilyen trógerül megcsinálni az integrációt, vagy ez már inkább a köztes rétegek felelőssége. Hacsak nem úgy volt, hogy Lölő ellopta az egységes frontendet is.

Magyar bank: bank.gov.hu

De ezzel még mindig ugyanaz a gond, hogy semennyit nem használ ez ellen a támadási vektor ellen. Már most is tudnia kellene az ügyfélnek, hogy az MBH-s netbankja "mbhbank.hu"-ra végződik, mégis beszopja az olyanokat, hogy '"mbh-igazi-netbank.258914.áÉÍÓőÚű.com.org.tk"

Igen, ez necces. Edukáció kéne a propaganda helyett. Azért aki "mbh-igazi-netbank.258914.áÉÍÓőÚű.com.org.tk" ezt beszopja ott baj van a toronyban, meg az edukáció hiánya is egyben. Ha nem mbh.gov.hu akkor meg se jelenik, az agymosó gépekben (TV) meg tolni, hogy a bank, nav, egyéb lehúzós szervek *.gov.hu

https://www.esp8266.org/

Ha a felhasználó linkre kattint, akkor nem tudod teljességgel kivédeni. Lásd hasonló karakterek, ahogy itt a példában volt gov vs qov, vagy bank vs. bauk. És akkor még az eltérő karakterkészletek ugyanúgy kinéző karaktereiről szó sem volt. Meg kell tanítani mindenkit, hogy a böngészőbe be kell gépelni a helyes nevet (vagy bookmarkolni egyszer, és azt használni).

( n.balazs v | 2025. 06. 20., p – 10:58 )

<Troll on> Nem vagy te rokonságban véletlenül kikepzo fórumtárssal? Picit hajaz a stílusod az övére. <Troll off>

( n.balazs v | 2025. 06. 20., p – 11:03 )

Szerkesztve: 2025. 06. 20., p – 11:05

Teljesen vakvágányon futsz véleményem szerint.

1. Weblapot csinálni pár óra (kis túlzással).
2. Bárki csinálhat weblapot.
3. Bárki regisztrálhat domaint. Szinte (pár kivétellel) bármilyet, ami szabad. UTF-8 is megengedett már.
4. DV SSL tanúsítványt szerezni 5 perces meló.
5. CF-t (bármilyen CDN-t) szinte bárki használhat, mindenkinek elérhető.

Szóval eső után köpönyeg....

Megjegyzem: Van megoldás. Csak akkor ~15-20 évet visszarepülünk az időben.

De miért kellene gov.hu alá tenni az MBH bank weboldalát, mikor a gov.hu az állami intézmények tartománya? Tudtommal az MBH Bank nem állami...

Sokkal egyszerűbb (és helyénvalóbb) lenne valami törvénnyel az MBH-t kötelezni, hogy a többi bankhoz hasonlóan megbízható második faktoros azonosítást vezessen be a mostani kikerülhető helyett...

De miért kellene gov.hu alá tenni az MBH bank weboldalát, mikor a gov.hu az állami intézmények tartománya? Tudtommal az MBH Bank nem állami...

Mert a gov.hu domain alá tartozó regisztráció sokkal egyszerűbben kontrollálható, mint a .bank domainé.

Sokkal egyszerűbb (és helyénvalóbb) lenne valami törvénnyel az MBH-t kötelezni, hogy a többi bankhoz hasonlóan megbízható második faktoros azonosítást vezessen be a mostani kikerülhető helyett...

A hírek szerint a huncutság a világban nem egyedül csak az MBH bankot veszélyezteti.

Bár alapvetően én nem lennék ellene .bank domainnek, de őszintén szólva az elég concerning, hogy odamész az ftdl oldalára, és nincs egy member lista. Az abouton vannak páran, akik belepofpof valami advisory boardon, az is olyan kicsit érdekes. Benne van az ebf, mint európa, meg láthatólag még mindenféle random amcsi bankok. Nem lehetetlen, hogy jobb (lenne, ideálisabb körülmények között) ezt tényleg nagyobb kontroll alatt tudni tartani.

Meg hát, ha már arra verik, hogy ez itt a secu kánaán "Our mission is to offer these industry created and governed domains to shield against cyberattacks and fraud, delivering peace of mind with website and email security. We’re not just a domain registry operator, we’re your partner in achieving top-tier domain security.", szóval ahhoz képest a secu requirements, hát, nem tűnik annyira agyoncizelláltnak...

Mi van azzal? Egyrészt nem nagyon értem ezt a dolgot a gov.hu domainnel, hogy miért lennének a bankok alatta. Ott állami dolgok vannak (és hagyjuk is, hogy miért kell gov-nak hívni...)

Egyébként egy linkgyüjtemény? Egyrészt minek, mi lesz attól jobb? Akinek eddig minimális igénye volt rá, az reálisan most is tudta, hogy mi a bankja urlje, nem ez volt a baj forrása.

Másrészt én nem gondolom, hogy állambácsinak dolga volna ilyen operatív szinten belefolyni akármibe is. Neki az a dolga, hogy a szabályozás jó legyen, nem az, hogy random változásnál valami bürökratával kelljen levelezgetni. Nyilván vannak adminisztratív feladatok, de azokat is ált. szerencsésebb kiszervezni. Ha lenne bank.hu, vagy valami, nyugodtan oda lehet adni az isztnek, ahogy a többi domaint is (nyilván a megfelelő elvárások felállítása mellett). 

Tehát van egyetlen! hivatalos! oldal, amelyen a banki oldalak linkjei vannak. És ezt az egyetlen! hivatalos oldalt kommunikálják f-szom tudja, mondjuk hetekig mindenféle médiában: márminthogy ha be akarsz lépni a bankodba akkor csakis és csakis abmeg.bank.hu oldalra menj! He nem onnan indulsz ellopják nemcsak a pénzedet, de a házadat is!

Nem ertem, hogy ez hogyan fogja megoldani a problemat. Ha letrejon ez az egy igaz oldal, akkor hogyan akarod azt megoldani, ha mancika a keresobe beirja, hogy "abmeg bank be akarok lepni" majd elmegy az abmeg.bank.nu cimre? Ahova ki lesz irva, hogy megnyugodhat, jo helyen jar, ez az egy igaz banki gyujtooldal, innen nem fogjak ellopni a penzet. 

Ezzel a megoldassal csak a scammereket segited. Mert, most ugy hiszem, hogy nem talal be a scam, ha pl. az ugyfelnek nincs olyan bankszamlaja, amit a csalo marketingel. Ha viszont eleg lesz az 1 igaz gyujtooldalt lemasolni, akkor aki eddig nem kattintott az mbh scamra, mert a raiffaisennel bankol, az ezek utan bepalizhatova valik es sajat maga fogja kivalasztani azt az oldalt, amivel le szeretne magat sz...tni. 

Talán nem voltam érthető: ezt az egy kib. címet harsogja az összes média heteken keresztül és a tv reklámok, fszom tudja hol még. Tehát ha csak ez az egy hiteles cím van, akkor ne a keresőbe írja be, hogy "én nem értek hozzá, de be akarok lépni", hanem ha kb. 2 hét folyamatos, mindenhonnan áradó kommunikáció után sem érti meg, hogy mit írjon és hova: akkor meg is érdemli!

Ezért nyilvános akasztás járna a böngészőgyártóknak. Régen volt a keresőmező és az URL-hez az input mező. Aztán meginnoválták, hogy ha valami nem szabályos URL, akkor azt átdobják a keresőnek paraméterül, mert keresni kell. Innentől a felhasználónak nyilvánvaló, hogy amit oda beír, abból keresés lesz, rákattint az első találatra, ami phishing, és készen is vagyunk, mint a házi feladat. A felhasználó elől el lett fedve a keresendő kifejezés és az URL közötti különbség.

Kicsit ahhoz hasonlatos, mint a Windows Intézőben az ismert filetípusok kiterjesztésének eltüntetése, ami aztán melegágya lett a trojan.docx.exe file-ok elterjedésének. Ezért is járna egy nagy pofon az MS-nek.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Amúgy egyébként a böngészőket is megtoszhatnák egy fordítva felhelyezett ananásszal...

Kifejezetten bosszantó, hogy önhatalmúan átcserélgeti a http-t a https-re, bár ez még technikailag akár indokolható is az amatőrök védelmével.
De hogy a www.lófaszt önhatalmúlag átcseréli lófaszra, ha a www valamiért nem működik. És emellett a rohadék a valós és működő www.lófasznál elrejti a címsorból a www-t.

A napokban kért segítséget egyik kollegina, hogy nála a partner weblapja nem tölt be, hanem helyette figyelmeztetést mutat. A vírusírtó proxy-zik és és eltérítette az oldalt figyelmeztetésre. Na mondom ránézek már másik gépen is, mert van hogy fals pozitívan hisztizik valami lista alapján némelyik blokkoló. Hát nálam bejön és minden okés. De miért is hisztizik a másik gépen... hát azt mondja kinyitva a figyelmeztető oldal részleteit, hogy hibás a cert. 
Mondom oké, de nálam jó a cert. Aztán a címsorban kattintgatva látom, hogy nála www cím van, csak nem írja ki a tetves böngésző, hanem elrejti. 

Így a valós probléma az volt, hogy a lófaszra szóló certet a www.lófaszra is ráteszik az oldalon, és nem wildcart certet használnak erre. Valsz inkompetens az ottani beállító, de valsz észre sem veszik, ahogy www-s címüket kiküldik, mert a legtöbb embernél nincs olyan program feltéve, ami hisztis oldalra téríti el, hanem a böngésző önhatalmúan átugrik a www nélkülire.

" és nem wildcart certet használnak erre. Valsz inkompetens az ottani beállító, de valsz észre sem veszik,"

Abban, hogy inkompetesn valaki, teljesen igazad van, erre a normális megoldás a certificate request generálásakor a SAN mezőbe felvenni mindkét (illetve az összes) nevet, ahogy a szervert meg lehet szólítani: ha olyan a DNS beállítás, akkor igen, a domainamivanponthu és a www.domainaivanponthu kerüljön bele a SAN-ba, a CN meg legyen mondjuk a www-s.

Ennek semmi értelme :) Cserébe beteszel egy plusz banktól független szereplőt, annak mindenféle műszaki és trust kockázatával, (én pl erős visszaesésnek élném meg, ha állam bácsi kezében levő weboldalon kellene magadnom a banki azonosító adataimat. Ebből a szempontból még a DÁPos auth se valami jó)

Eddig is minden bank kommunikálta, hogy mi az url, aki erre figyel, az nyilván* nem szopik be ilyet. Aki beszopik egy ilyet, hogy mhb-netbank.com, annak ez nem segít. Olyan kellene, ami erősen tud villogni, hogy bazmeg bajvan. És ennek egyébként csak ilyen félmegoldása, ha megtanulja mindenki, hogy ami nem akarmi.bank vagy akarmi.bank.hu az szar, mert ugye lásd példa. És az meg, hogy hogyan lehetne pirosan villogni nem bankos oldalon, az nem tiszta.

*hacsak nem nagyon trükkösek barátaink, és valami hülye utf-8 charral csinálnak domain spoofingot, de ez nem jellemző, egyébként imho pont azért, mert a .hu-n esélyesen fennakadna, vagy csak mert lassú a folyamat :)

Egyrészt állambácsi igen, random +12 üzemeltető nem. Másrészt messze nem olyan részleteiben, mint a netbankom (nyilván, lenne az a törvényi lehetőség, amivel igen)

Harmadrészt ja, semmi köze... Csak ugye, ha ő adja az authot, akkor technikailag igen könnyen tud én lenni a bank számára.

Az államnak nem. A bankok felügyeleti szervének (MNB) már inkább. Államnak legfeljebb a szabályozás létrehozása (törvényalkotás, akár bele is lehetne foglalni a hitelintézeti törvénybe). A domaint pedig adminisztratív oldalról oda lehetne adni a Bankszövetségnek, ők dönthetnének arról, hogy ki és milyen subdomaint kaphat, illetve a subdomain megszüntetéséről, és az ISZT lenne a technikai végrehajtó.

Vannak olyan dolgok, amiben az állam nem csak szabályoz, hanem kötelezően operatív cselekményeket is végre kell hajtson. Ilyenek pl. a jogérvényesítés, bűncselekmények felderítése, megelőzése, nemzetvédelem, közegészségügy, járványvédelem, közrend védelme vagy hogy pénzügyi természetű példát is hozzak, ilyen az adó végrehajtás vagy akár a te saját adóbevallásod elkészítése is. Az állam ma már mindent lát rólad, akár tetszik neked, akár nem. Itt a kérdés nem a divatos liberális szabadságfelfogás érvényesülése, mert azt már régen sehol sem veszik számba, hanem a "need-to-know" pragmatikuma. Ha az állam úgy gondolja, hogy neki szüksége van arra, hogy a te bankszámládról, kinek, mikor, mire mennyit fizettél, akkor az állam ezt meg fogja tudni és ha a szükség olyan mértékű, akkor akkor is meg fogja tudni, hogy miből és mire költesz, ha nincs is bankszámlád. A reggeli első vizeleted cukortartalmát is ismerik, ha az ismeret valahol szükségesnek tűnik. A "need-to-know" az egyetlen korlát, persze az "állam" itt a legkevésbé a magyar államot jelenti (de azt is), hanem más államok Staatsrezonja játszik, vagy az unióé vagy Kínáé vagy Marikáé, mikor, miért, melyik. Ha éppenséggel a pógár azt tapasztalja, hogy az internetes banki visszaélések elszaporodtak, akkor ehhez alkalmazkodó jogszabályi, ellenőrzési és megelőzési teendőket a jól működő állam köteles megtenni, sőt, tennie kell annak érdekében is, hogy az ilyesmivel foglalatoskodó huncut tevékenységek ne legyenek sikeresek, az elkövetőit pedig kenyéren és vízen tartsák talpig vasban Kufstein magos várában, rongy életük végéig. Ez a látszat ellenére semmilyen liberális szabadságjogot nem sért hanem éppen ellenkezőleg, ez a képviseleti liberális demokrácia sok évszázados működésének látható, sok helyen már kézzel is fogható vívmánya. Csak ugye van az a pénz, amivel ártatlan vagy jól megfizetett ideologikus ellenszegülőket lehet gyártani ez ellen, akik elviszik a figyelmet a jelenségről és helyette valamiféle ál-szabadságot gondolnak népszerűsíteni. Ezek fő jellemzője hogy pl. oltásellenesek, de nem akarnak feketehimlőben elpusztulni, tudományellenesek, de sosem mondanának le a saját ingyenes egészségügyi ellátásukról és a "jogom van hozzá" fordulatot ismételgetik, de véletlenül sem Brooklynban egy szűk sikátorban megkéselve, hanem fényes nappal az Andrássy úton.

Jól mondod:  Ha éppenséggel a pógár azt tapasztalja, hogy az internetes banki visszaélések elszaporodtak, akkor ehhez alkalmazkodó jogszabályi, ellenőrzési és megelőzési teendőket a jól működő állam köteles megtenni.

Ez a jogszabályi teendő, amely megteremti ennek a kereteit. Az ellenőrzési és megelőzési teendőket pedig jogszabályi szinten delegálnia kell megfelelő szakmai szervezethez. MNB, Bankszövetség. Erre van.

Örülök a nagy bizalomnak, amit ezek iránt tanusítasz (kiválóan működő MNB, az ügyfelek érdekeire odaadó figyelemmel vigyázó bankszövetség) de mintha épp ez iránt a két intézmény iránt zakkant volna az utóbbi időben a pógár hite. Miközben a NISZ pl. viszonylag korszerű optimumokat produkál az állam nevében (NAV, DÁP, ÜK+ stb.). És itt szerintem legkevésbé szakmai normákra van szükség, ide nagy pénzzel felkészült, szervezett szakértők kellenek, akik leszarják a félművelt budapesti informatikai értelmiség általunk mindannyiunk által idetett ócska sirámait és hatékonyan fognak nagy kárt okozó bűnözőket. Ennek az alternatívája a szilárd elvi alapon álló oltásellenes szabadságharcosok tömege, "hadd hulljon a férgese" alapon, mert "a demokrácia majd megoldja a problémát" (értsd: amint mindenkinek lerabolták már a bankszámláját).

Ó, én alapvetően nem azért gondolom ezt, mert akkora szabadságharcos volnék (bár az összefüggés a kettő között korántsem ennyire egyértelmű, mint ahogy mondod, minden éremnek két oldala van, de az kétségtelen tény, hogy eleve "rossz felé lejt a pálya", a valós / vélt biztonsági benefitért bizony potenciálisan rosszul is tartható dolgokra cserélünk már most is.

De inkább abból az irányból, hogy az állam apparátus jellemzően nem túl jó gazda, általában jobb lesz a dolgok menete, ha egy adott téma szereplői maguk teszik a dolgokat, a megfelelő keretek között. És természetesen nem mind ilyen, és természetesen vannak operatív feladatai, de azért te is érzed, hogy az egy egész más szint, amiket felsoroltál, mint az, hogy most otp-bank.bank.hu, otp.bank.hu, vagy optbank.bank.hu lehet, meg landing page registration, meg a fene tudja még mi.

Ó, hát az "állam rossz tulajdonos" szlogen szerintem már lejárt, ez csak nálunk volt olyan erősen szabaddemokratailag begyökereztetve, amikor a rosszul működő hazai állami cégeinket ezzel a biztató érveléssel adtuk el jól működő külföldi állami cégeknek. Itt szerintem nem az ideológia számít, hanem a hatékony bűnüldözés, amihez felkészültség, rengetegsok pénz és alkalmas hatáskör kell, hogy mondjuk a huncut fülét fizikailag is meg lehessen ragadni, amint rátörték a házára a tölgyfaajtót és kirúgták a segge alól a gamerfoteljét. Nekem az előbb említett DÁP, NAV pl. azt mutatja, hogy jó helyen lenne ez a feladat az állam kezében, sőt, sürgősen oda kellene delegálni.

Nem tudom mit jelent a klasszikus államapparátus, feltételezem, hogy a kormánytól függő szervezeti elemek nálad a klasszikusok. Szerintem ami nincs magántulajdonban és nincs rá a profitérdeknek közvetlen befolyása, az állami (vagy önkormányzati) szervezet. A lényeg a pénz, amit a magántőke erre a célra nem fog előteremteni és a hatáskör, ami önképzőköröknek, nyugdíjaskluboknak és egyesületeknek aligha biztosítható. Hogy aztán az állami szerepvállalás szerintem nyilvánvaló szükségessége a rendőrséget teszi-e a legalkalmasabb informatikai hatósággá a bankszámláink védelmében, azt nem tudom, de elfogadom, mert a végén bizonyára valamit kell majd kezdeni a huncut fülével, ha sikerült már elkapni. Ne érts félre, nem akarlak meggyőzni, csak nem tartom racionálisnak, hogy könyökvédős tisztviselők vagy gittegyletek fognak nyerni ezek ellen a gazemberek ellen.

Elutasítod az MNB-t, pedig az sincs magántulajdonban, nincs rá a profitérdeknek közvetlen befolyása, mellesleg feladatkör szerint többek közt a bankok felügyeleti szerve, tehát az a feladata, hogy szabályozzon, ellenőrizzen. Elutasítod a Bankszövetséget, pedig nincs magántulajdonban, nincs rá a profitérdekeknek közvetlen befolyása, és igazából pont azért, mert banki ügyekről van szó, ők illetékesek abban, hogy megállapítsák, hogy adott szervezet banknak minősül, és helye van a .bank.hu domain alatt.

Helyette preferálod a NISZ-t, mer lám, a DÁP milyen kurva jó. (nem biztos, hogy a lehető legjobb, de hagyjuk, ráadásul ők csak üzemeltetik, nem fejlesztik) Szóval egyik sem közvetlen államapparátus, ilyen szempontból nincs is különbség köztük.

A rendőrség fellépése adott, nekik van nyomozati jogkörük és törvény által biztosított lehetőségük akár erőszakos fellépésre. Ez nem feltétlen könyökvédős tisztviselőket jelent, lehet nekik akár olyan részlegük is (szerintem van), amely informatikai biztonsági kérdésekben is otthon van (ha meg nincs, akkor legyen).

De miért ragaszkodunk a gov.hu-hoz? Egy tollvonásba kerülne kijelölni egy másik, második szintű domaint, amit aztán az MNB-hez lehetne delegálni. Éjfélre már benne lehetne a közlönyben. Engedjük már el ezt a gov.hu-kérdést. :)

A gov.hu semmilyen értelemben nem speciális technikailag, azon kívül legalábbis, hogy az ISZT helyett a NISZ-hez van delegálva, ők meg nem engedik oda a usereket.

( denton | 2025. 06. 20., p – 17:10 )

Engem nem akar beengedni a usernevemmel és jelszavammal. 

 

Igaz nem vagyok mbh-s.

( BehringerZoltan | 2025. 06. 20., p – 18:13 )

Szerkesztve: 2025. 06. 20., p – 18:15

Tök egyszerű a megoldás: minden ilyen esetben a bank felel a csalással bekövetkezett kárért. Kész! Semmi más szabályozással, rabló-pandur játékkal nem kell foglalkoznia a törvényhozónak. Akkor a bankok hirtelen ki tudjak majd találni, h működhet ez biztonságosan. Inernetes felüetet működtet a bank? Oké, lehet. nem tilos, de ővé a felelősség! Hajrá! Nem tud biztonságosan internetes felületet működtetni? Oké, akkor nyisson elég fiókot ahol az ügyfelek intézhetik a dolgaikat! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Erre az esetre lenne akkor egy kötelező szerződés forma Darwin-dij néven. Itt, vagyis ha a bank úgy nyilatkozik, h ő nem hajlnadó felelősséget vállalni az internetes felület biztonságos működtetéséért, és ennek ismeretében a tisztelt ügyfél mégis úgy nyilatkozik, h az internetes felületet akarja igénybe venni, akkor ebben az esetben kell ezt Darwinn-Dij szerződést megkötniük. Ilyenkor minden felelősség az ügyfélé, de az otthona kényelméből intézheti az ügyeit. 

Tehát akkor úgy módosul, h banknak nyilatkozni kell a felügyelet felé, h ő nem vállalja a felelősséget internetes felület működtetéséből beálló károkért. Ez esetben kizárólag Darwin Dij szerződéssel rendelkező ügyfeleknek biztosíthatja a szolgáltatást on-line. Mindenki másnak a bankfiókban. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Zolika! Szerintem már leírtuik neked párszor, hogy a bank a _saját_ weboldala kapcsán tud bármilyen felelősséget vállalni, a _másolását_ qrvára nem tudja megakadályozni... A darwin-díj meg ugye arról szól, hogy valaki a saját khm. "hibájából" nem fogja tudni az örökítőanyagát továbbadni. 

Csak az nem a bank hatásköre h megállapítsa, h miért kell felelősséget vállania, hanem a jogalkotóé! Nem elégséges a saját weboldalért vállalt felelősség, hanem az egész rendszerért kell vállalnia a felelősséget, ide értve a kamu oldalak kiszűrésétől kezdve mindent. De nem gond ha nem tudja vállalni!Akkor nyilatkozzon erről! Ez esetben lesz költsége a nagyszámú bank fiók létrehozásával ahol az ügyfelek intézhetik a dolgaikat és  nem folytathat online szolgáltatást kizárólag a Darwin Dijas szerződöttek részre, és ezzel majd versenyhátrányba kerül, azon bankkal szemben aki hajlandó felelősséget vállalni.

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

ide értve a kamu oldalak kiszűrésétől kezdve mindent

Ha lenne valami halvány fogalmad az Internet működéséről, akkor nem írnál ekkora baromságokat, már sokadszorra. Nem kell szépíteni a dolgot: a felelős a legtöbb esetben az egybites felhasználó! Fogalma sincs mi hogyan működik, de neki "joga van" mindent használni. Nos, akkor az ő felelőssége a károkozás is, pont. Nem kötelező a digitális platformot használni, lehet menni személyesen is a bankfiókba ügyeket intézni. Ha valaki annyira láma az ilyen dolgokhoz hogy nem tud felismerni egy adathalász e-mail üzenetet / weboldalt, akkor neki nincs keresnivalója internetbankban! Ez ilyen egyszerű.

MBH-s vagyok, valamit intéznem kellett. Bementem a legközelebbi bankfiókba, örömmel láttam, hogy alig van 1-2 ügyfél. Húztam sorszámot. 2 ügyintéző volt, gondoltam elintézik az előttem levőt, és én jövök. Az egyik ügyintéző felállt, elment ebédelni (mivel úgyis alig volt várakozó ügyfél). A másik viszont kifogott egy problémás ügyfelet, akivel sok papírt elolvastatott és átbeszélt, aláiratott, lemásolt, beszkennelt. Láthatóan mindketten élvezték. Végül már úgy gondoltam, nem hagyom veszni a várakozással eltöltött időt, nem lehet sok hátra. Aztán visszajött a kolléga az ebédből, de nem fogadott ügyfelet, valami más dolga akadhatott. Végre egy óra után sorra kerültem. Az ügyintéző első kérdése az volt: ön volt BB-s vagy Takarékbankos ügyfél? Mert itt csak a volt BB-sekkel foglakozunk. Én pont a másik vagyok, szóval így jártam.  Az én típusú fiókom nincs a kerületben, ahol lakom. Régi szép OTP-s idők, amikor a Nyugati (akkor még Marx) téri fiókban egy, max másfél óra várakozás után elintézték, amit akartál.

Ha mindenki csak úgy használhatna bármit, úgy kommunikálhatna bárhol az online térben is, hogy fizikailag rá van kötve az identitás ellenrőző készüléke, akkor talán kevesebb esély lenne csalásokra.
De a totális megfigyelést és kontrolt általában nem akarjuk. Mert valaki mindig visszaél vele.

Általában valami kompromisszum születik a költség, korlátozás és cél elérése közt. 100% nem biztosítható reálisan sosem.

Mindenki tudja h ez egy baromság! És egyetlen célja van csak, h a felelősség kérdését áttolja az ügyfélre. Nem baszki, nem az ügyfeleket kell nevelni, hanem olyan szolgáltatást kell nyújtani ami biztonságos és ezért felelősséget kell vállani!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nos van olyan gépjárművédelmi rendszert áruló szolgáltató, aki lopás esetére teljes felelősséget vállal és megtéríti a gépjármű árát - bár a tolvajok aligha vannak a felügyelete alatt. A mocsok bankokból az emberek egyből kivennék a pénzüket, ha a Kormány ami bankkartel része nem gondoskodna arról h kp felvételt olyan mértékben szankcionálja, h kénytelenek legyenek az ügyfelek a bankokban hagyni a pénzüket. Bár sztem érdemes elgondolkodni rajta, h inkább megéri bebukni a 2%ot és biztonságban tudni a pénzt a párnába varrva, mint a csaló bank gondjára bízva hagyni!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Úgy érted a tolvaj csinál a cég eredeti műhelyével teljesen megegyezőt, majd hivatalos úton behív, hogy szerviíz/upgrade szükségesés akkor ott átadom neki kulcsot? Mert h ez egyébként teljesen életszerű, h szervizben hagyott kocsival  a kulcsot is ott hagyom. Szerintem ez a cég ad magára annyit, h ilyen esetben is jótálljon. Neki többet ér a "jó híre" ennél. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Szerintem ez a cég ad magára annyit, h ilyen esetben is jótálljon.

Én nagyon meglepődnék, ha így lenne, de nézzük meg. Melyik cég ez?

Casco-nál is, ha bejelented a lopást, úgy kezdődik az ügyintézés, hogy 2 db kulcsot és 1 db forgalmit tegyél le az asztalra, egyébként mehetsz a sóhivatalba.

Felteszem minden nyitás-zárás, indítás naplózva van lokálisan és központilag is. A példa - ami analóg a banki csalással - arra vonatkozott, hogy a tulaj abban a tudatban viszi el a szervízbe a kocsit és hagyja ott a kulccsal együtt, h a valódi riasztós cég, valódi szervizébe, valódi szervizelésre kellett bevinnie. És az a kérdés, hogy mit tesz egy olyan cég ami azzal hirdeti magát h az általuk bitosított szolgáltatással védett egyetlen kocsit sem loptak még el, egy olyan szituációval, ahol a tolvajok képesek voltak elhitetni egy kamu szervízről, hogy az a valódi cégé? Szted elkezd jogászkodni és ezzel kockáztatja az újsághíreket v. inkább kicsengeti az ellopott kocsi árát a tulajnak? 
Tehát a példa arra vonatkozik, h piaci alapon az a vérlázító gyakorlat amit a bankok megegednek maguknak nem lenne életképes. Olyan mértékben nem, hogy az emberek egyből kivennék a pénzüket a bankokból ha tehetnék! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

És az a kérdés, hogy mit tesz egy olyan cég ami azzal hirdeti magát h az általuk bitosított szolgáltatással védett egyetlen kocsit sem loptak még el, egy olyan szituációval, ahol a tolvajok képesek voltak elhitetni egy kamu szervízről, hogy az a valódi cégé?

Felteszem, a szerződésben le van írva, hogy az nem számít lopásnak, ha te adod oda a kulcsot. Ugyan ügyvéd nem vagyok, de a leírt szitu jogi értelemben is inkább csalásnak tűnik, mint lopásnak. De mondom, nézzük meg a konkrétumokat, ennek az elméleti vitatkozásnak nem sok értelme van.

Még egyszer: a lopáskár ügyintézése úgy kezdődik, hogy lefotózzák a 2 db kulcsot és a forgalmit egymás mellett. Ha ez nincs meg, akkor alászolgája, nincs kifizetés.

Tehát akkor mégegyszer, akoor úgy vessük fel a dolgot, hogy egy olyna cég ami azzal hirdeti magát, h mág egy kocsit sem loptak el, amit az ő rendszere véd, mekkora blama lenne az olyan sztori, hogy viszont olyan rendszert működtet ami nem zárja ki, hogy egy kamu szervíz el tudha hitetni az ügyfelükkel, h az igazi szervíz, és berendeli magához az ügyfelet majd felszívódik a kocsival együtt?  Ez akkora balam lenne nekik, hogy utána jelentős forgalom visszaesés lenne prognosztizálható. 
Igen, valóban nem vagy ügyvéd, de a baj azzal van, hogy nem akarod megérteni, h piaci alapon a bankok jelenlegi gyakorlata teljes mértékben életképtelen. És a vita arról megy h egy életkptelen gyakorlatban ki terhel a felelősség. Naná h nem az ügyfeleket! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

es? ettol meg semelyik biztositas nem fog fizetni neked, ha ezt tetted... mint irtam is, az rohadt mindegy, hogy kicsaltak, ha te voltal a balfasz es onszantadbol mondtal le a kulcsodrol, aztan aki elvitte az nem hozta vissza. ez ilyen egyszeru. es technikailag sem lopas. amire a biztositas/megoldas szol.

Tehát akkor mégegyszer, akoor úgy vessük fel a dolgot, hogy egy olyna cég ami azzal hirdeti magát, h mág egy kocsit sem loptak el, amit az ő rendszere véd

Szerződésminta nélkül úgy érzem, körbeértünk. Szerintem nincs az a lopásgátló rendszer a világon, ami megvéd attól, hogy önszántadból odaadd valakinek a kulcsot. De ha van, akkor halljuk a nevét, még a végén én is veszek egyet.

> valakinek

Igen kellemetlen, ahogy szándékkal tekintesz el attól, hogy nem általában valakinek van odaadva a kulcs, hanem olyan valakinek aki magát a cég szervízeként igazolta. És így viszont igenis felmerül az a kérdés, hogy a cég mennyiben felelős azért, hogy olyan szolgáltatást nyújt amiben a szervíz hamisítható! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Bocsánat, ha a bank meghatározhatja azon azonosítási jegyek körét amik alapján a csalót tévesen ügyfélként azonosítja, akkor az ügyfél is elvárhatja, hogy azok az azonosítási jegyek amik a bankot felé azonosítják ne legyenek hamisíthatók! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ezt már többen leírták neked is, hogy technikailag nem megoldható.

Egy dolog van, ami nem hamisítható: maga a tanúsítvány. Ezt viszont az ügyfél - főleg, ha technikailag nem  elég képzett - nem tudja ellenőrizni. Megteszi helyette a böngésző persze, de ahhoz az kell, hogy az ügyfél ne a csaló oldalra menjen. És akkor vissza is kanyarodtunk a phishinghez.

Persze az ügyfél sok mindent elvárhat, akár irreális dolgokat is, de az nem fog megvalósulni.

Alapvetően a tanúsítvány egy dolgot biztosít: azt hogy egy adott domain és a felhasználó közötti forgalom titkosított. Semmi mást. 

Ami az igény, az valójában az, hogy a bank oldaláról biztosítva legyen hogy akivel kommunkál, az az, akinek mondja magát, illetve a felhasználó oldaláról az, hogy ha a bankolás célból adja meg az adatait akkor azt ne tudják máshol felhasználni.

Ezt a problémát egy köztes identity provider (pl. DÁP) hibátlanul megoldja.

A bank oldaláról a DÁP rendszerébe bekapcsolódva pontosan tudni fogják hogy a másik fél kicsoda, hiszen megkapják az identitást reprezentáló adatokat a sikeres DÁP belépés után.

A felhasználó pedig biztos lehet abban hogy mivel adott cég esetében egy adott célra ad engedélyt, ezért ez az engedély nem transzferálható ahogy ezt egy ellopott felhasználónév/jelszó/második faktor esetén simán megtörténhet.

"azonosítási jegyek amik a bankot felé azonosítják ne legyenek hamisíthatók"

Fogod a picike plasztiklapot, ami személyi igazolványként funkcionál, besétálsz vele a bankfiókba, a banki oldalon az okmányodat visszaellenőrzik érvényesség/körözési állapot/stb. alapján, hogy valid-e. És meg van oldva a probléma. Ja, mégsem, mert bizony a fizikailag létező okmányokat is hamisítják - igaz, sokkal nehezebb meg drágább, de van ilyenre is példa. 
De hogy jó hírel szolgáljak: a DÁP talán erre is ad megoldást (igen, tudom, mitm, de annak a kivédésére vannak "apró részletek", amik ez ellen "jó közelítéssel" védik ezt a megoldást.)

Hehe, sok éve a tévé ügyvédje műsorban mutattak egy esetet, ahol valakinek a nevében nyitottak számlát és vettek fel hitelt és ott volt az eredeti okmány fénymásolat bizonyítékul, amit ellenőriztek meg minden.
Az volt a szerencséje a palinak, hogy akkoriban változott egy felirat a plasztikkártyán, talán igazolványszámról azonosítóra, és ez az eltérés volt a bizonyíték, hogy az ő saját valódi igazolványa, ami régebben készült, nem ugyanau a valódi, újabb igazolvány, amit az ő adataival és dátumaival állított ki az okmányirodás csaló. Az újabb gyártású plasztikártyára gyártották le a visszadátumozott klón személyit.

A gépjármű nem másolható le, a banki oldal meg igen. Egyébként meg az a "teljes felelősség" akkor áll meg, ha a tulajdonos az elvárható gondossággal jár el úgy egyébként... Tehát a jármű kulcsai nála vannak, a távfelügyeletben a jármű az eltulajdonítás időszakában "lezárt" állapotban volt, stb. 

A példában a banki "weboldal" megfelelője nem a gépjármú, hanem a szervíz. Persze a nehez lemásolhatóság arra is igaz. És pont ez a lényeg. A bank könnyen lemásolható módon nyújttja a szolgáltatását amiért nem hajlnadó felelősséget vállalni. Pedig objektíven felelős az ügyfelek pénzéért.  Kutya kötelessége lenne olyan szolgáltatást biztosítania, ahol a hamisitás/lemásolás nem fordul elő, vagy ha mégis akkor azért vita nélkül jótállni tartozik! És mind ez meg is történne, ha az embereknek lehetőségük lenne kivenni a pénzüket a bankból veszteség nélkül. Bár a banki csalások olyan mértékűvé váltak, h érdemes megfontolni a pénz kivételét a bankból még veszteség árán is! Otthon nagyobb biztonságban lesz! Ráadásul készpénz birtokában a banki szolgáltatások egy részét is le lehet mondani. Az egész abszurd helyzet több összetevőből áll:

  • alapvetően az élő ember informatikai jelekként való és fordítva az informatikai jelek élő emberként való azonosítása hibával terhelt, amiért az ezt alkalmazót terheli a felelősség. Minden ilyen távszerződés és megbízás ezért eredendően csalás;
  • a bankkartel részét képező kormányzat piaci viszonyokat megszüntető intézkedése amivel a bankokba utataltatja egy ország fizetését, majd onnan nem engedi felvenni a kézpénzt további veszteség nélkül;
  • a bank tulajdonosi és vezetőségi körének amoralitása és gátlástalansága továbbá az őket kiszolgáló slepp szintén gazember-pszihéje!

Könnyen belátható h piaci alapon nem életképes egy olyan szolgáltatás, h odaadom valakinek a pénzem, és nem h kamatot nem fizet amiért használja, de amikor visszekérem levon belőle, miközben amíg nála van folyamatos veszélyeztetésnek van kitéve h ellopják, amiért az örző nem hajlandó felelősséget vállalni. Már bocsánat, de ilyen szolgáltatásra nincs szükség! Érdemes lenne végiggondolni miképpen torzultak idáig a dolgok! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Kutya kötelessége lenne olyan szolgáltatást biztosítania, ahol a hamisitás/lemásolás nem fordul elő, vagy ha mégis akkor azért vita nélkül jótállni tartozik!

Ha erre van ötleted, akkor azt semmiképpen ne írd le ide, mert milliárdokat kaszálhatsz vele, ha te csinálod meg elsőként.

Fake szervízt indítani qrva drága, egy megtört wordpress oldalra valahova belapátolni a netbanki felület pontos mását, és utána rávenni a birkákat, hogy ott jelentkezzenek be az szinte ingyen van. 
Bizonyos IQ fölött tiszta sor, hogy a weboldal könnyen másolható, alatta meg... Inkább nem kéne internetet használni....
 

internethasználati jogosítványa

végülis..

International Certification of Digital Literacy (ICDL),[1] formerly known as European Computer Driving Licence (ECDL), is a digital literacy certification program provided by ICDL Foundation,[2] a not-for-profit organisation. The ICDL / ECDL certification is a globally recognised information and communication technology (ICT) and digital literacy qualification.[3]

In 1995 the ECDL certification programme was developed through a task force of the Council of European Professional Informatics Societies (CEPIS) and was recommended by the European Commission High Level Group, ESDIS, to be a Europe-wide certification scheme.[4] The task force compared several national certification schemes and chose the CDL from Finland as the basis for piloting and later adoption into the ECDL.

https://en.wikipedia.org/wiki/International_Certification_of_Digital_Li…

( azbest | 2025. 06. 20., p – 18:20 )

Szerkesztve: 2025. 06. 20., p – 18:29

szóval a lényeg még mindig az, hogy tilcsák be az illegális tevékenységeket.

Kár, hogy pont a bűnözők nem követik a tiltások betartását.

Sajnos mindig oda fut ki minden, hogy a felhasználók tiltakoznak minden bonyolítás ellen és mindent megtesznek azért, hogy hülyeséget csinálhassanak.
Másképpen fogalmazva, a 100-as iq mindig az adott csoporton belül sorbaállított emberk közül a középső képességét jelenti. Ez azt jelenti, hogy a népesség fele hülyébb, mint ő. Már az is kész csoda, hogy a sok törvény, szabály és óvintézkedés miatt nem ölik magukat halálra tömegével a buta viselkedésükkel. Kész csoda, hogy nincs több visszaélés.

( locsemege v | 2025. 06. 20., p – 21:22 )

Bevezetném a kézlevágás intézményét. A végrehajtást pedig a település főterén, nyilvánosan hajtatnám végre. Sokat javítana a helyzeten.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( kila | 2025. 06. 22., v – 10:34 )

Szerkesztve: 2025. 06. 22., v – 10:57

Vannak olyan honlapok, amelyeket az országban működő internet szolgáltatóknak blokkolnia kell (pl. tiltott szerencsejáték stb. miatt). Ezek közé kell felvetetni a csaló oldalakat is. Ez csak a magyar szolgáltatók klienseit védi és ez is szélmalomharc, de az első tudomására jutott csalási esetet követően a banknak kellene (kellett volna eddig is) megharcolnia azt (de gondolom a feljelentést tett ügyfél is el tudja indítani, vagy feljelentéskor hivatalból a hatóság is indíthatná további bűnmegelőzés érdekében).

"a Nemzeti Média- és Hírközlési Hatóság (NMHH) az internetszolgáltatókkal együttműködve üzemeltet egy olyan rendszert, amely az adatbázisába kerülő honlapokat átmeneti jelleggel, vagy végérvényesen elérhetetlenné teszi Magyarországról.

A rendszer szakpolitikai és jogi hátterét korábban már elemeztem. Alapvetően számos bűncselekmény esetén lehetőség van arra, hogy amennyiben a tartalomszolgáltatók arra nem hajlandók, úgy a jogsértőnek vélt tartalmat a bíróságok a jogerős ítélet meghozataláig, ideiglenesen elérhetetlenné tegyék. A jogerőssé váló ítélettel ez az ideiglenes blokkolás – vagy inkább szűrés – megszüntetésre kerül, vagy a bíróság a digitális adattartalom végleges elérhetetlenné tételéről dönt."

https://jogalappal.hu/igy_mukodik_az_internetcenzura_magyarorszagon/
https://sztfh.hu/nyilvantartasok/blokkolt-honlapok/

A dohányipar is vívja a maga szélmalomharcát: "Éjjel-nappal ismeretlen ügyfeleket blokkolnak a magyar hatóságok"
https://mfor.hu/cikkek/makro/webshop-hatosag-hatarozat-ecigi-elfbar-onl…
---
Légy derűs, tégy mindent örömmel!

Nem biztos, hogy a kemény tiltás a cél, hanem az EU-s cenzúra igényeinek kiszolgálása. Akkor eleget tettünk az elvárásoknak, aki pedig meg akarja ezeket nézni, mert érdekli vagy a szakmájához tartozik - elemző, újságíró -, az meg fogja. Tehát elég a hazai szolgáltatók DNS-ében szűrni, a többség úgyis azokat használja. Ha keményebben szűrsz, arra vpn lesz a válasz. Felesleges izmozni.

A magam részéről amúgy sem értek egyet a cenzúrával. Miért ne ismerhetné meg az ember Oroszország álláspontját a háború kérdésében? Ja, mert úgy nehezebb lenne egész Európát beletolni a háborúba ellenük.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Ightorn | 2025. 06. 22., v – 15:32 )

Szerkesztve: 2025. 06. 22., v – 15:48

Rossz az alapfelvetés. Én (mi) sehogy. Megvannak a megfelelő szervek, hatóságok. Jelenteni kell nekik. És a megoldás, ami azonnal működhet:90 körüli IQ (min.) És akkor nem kattingatunk össze-vissza. Ahogy máshol elmondtam, nem hiszem, hogy minden károsult gyengénlátó, halláskárosult, vagy demens lenne. A többség b@szik rá. És még meg is sértődik.

( adhocsupport | 2025. 06. 23., h – 07:27 )

Olvasva a biztonságos BANK-i domain nevekre vonatkozó ötletek, az un. megvalósítás már élőben elérhető. 

.BANK 

CIKK a BANK domain névről https://euroastra.hu/matol-minden-bank-bank-domainon-miert-ne-lenne-tor…

A .BANK TLD-t hivatalosan 2015 májusában indították el. Ekkor vált először elérhetővé, hogy regisztrációs kérelmeket fogadjanak, de csak ellenőrzött, szabályozott pénzügyi intézményektől. Az fTLD székhelye Washington D.C.-ben (USA) található, és a szervezet az ICANN (Internet Corporation for Assigned Names and Numbers) nemzetközi domainrendszer-felügyelete alatt működik.
Az ICANN 2014-ben hagyta jóvá a .BANK TLD létrehozását és delegálását az fTLD részére. Ez az amerikai szervezet így globális jogosultságot kapott a domain kezelésére, nemcsak az USA-ban, hanem világszerte.
 

A user eddig is leszarta, hogy az MBH hivatalos domainje az mbhbank.hu. Ha átrakjuk egy másik domainre, akkor is le fogja szarni, és ugyanúgy megadja az adatait az igazi-mbh-netbank.trust-me-bro.gov.hu.tld.bank.kft.info-n

Erre amíg nem tudtok megoldást, addig felesleges a tld-n pörögni.

A cikkből:

  • Mert a bank .hu végződését bárki le tudja másolni

Ez így hülyeség. Az ismert esetekben éppenséggel nem .hu, hanem .nu, .com és más TLD-k fordultak elő, nem a .hu végződést másolták.

Az meg egy jó kérdés, hogy kötelezheti-e a magyar állam egy amerikai fenntartású domain használatára a magyar bankokat. És ha már felhoztad: a .bank TLD használatának lehetőségéről nyilvánvalóan itt szerezted az információt, minimum egy köszönöm elvárható lett volna.

( kruska v | 2025. 06. 23., h – 13:39 )

– Automata domain-felderítés?
– WHOIS és Certificate Transparency monitorozás?
– Abuse spammelés?
– AI/ML szűrés, crawler, valami home-made vagy létező tool?
– Feketelista, Google/SafeBrowsing, bankszektor közös fellépés?

Az AI/ML szűrés szerintem jó ötlet.

User rendszeresen bankol a böngésző fiókjában. Ha user megnyit egy, az előzményeihez képest tartalmilag (szövegelemekben, akár vizuálisan) hasonló más URL-en figyelő bejelentkező oldalt, akkor a böngésző azonnal dobjon egy nagy pirosat, minimum akkorát, mint amikor hiányzik a HTTPS. Egy AI alapú motornak a hasonlóság felismerése nem lehetne probléma.

Vagy: ha már léteznek desktop/mobil ökoszisztémák, használjuk ki az előnyeit: észre lehetne venni, hogy a belépés/utalás jóváhagyására szolgáló app kezdeményező párja (a támadó által használt desktop app) nem a szokott böngészőprofilból jön, és kérdezzen rá az appban a kód kiadása / belépés jóváhagyása előtt. "Biztos, hogy engedélyezed a hozzáférést az alábbi helyszínen megnyitott bejelentkező oldalnak: Guangzhou, Kínai Népköztársaság?"

Persze privacy szempontból ez sokaknak fájna, de legalább megoldást adna egy bizonyos problémára. 

Igazából még egyszerűbb is lehetne:

1. PCI-DSS-be bekerül, hogy a banki, fintech stb. szolgáltatóknak kötelező a login oldalukat regisztráltatni egy nemzetközi szervezet listájában.

2. A böngészőgyártók ezt a listát beépítik lokálisan a böngészőjükbe (mint a HSTS adatbázist). Ezen lista elemeire rendszeresen generálódhatna egy szövegalapú / vizuális fingerprint.

3. A "hasonló weboldalak detektálása" funkció pedig ebből dolgozna, ezzel hasonlítaná össze az éppen meglátogatott weboldalt, és sikítana, ha az eltérés mértéke elég kicsi.

Ez sem működő megoldás. Ugyanis honnan kéne tudnia a böngészőnek, hogy most a user scammer oldelt néz? Minden lapletöltésnél az összes oldalt össze kéne, hogy hasonlítsa a világ összes bankja összes login oldalával? Lenne vagy 2 perc minden oldalbetöltés. Baromság.

Az kéne még csak, hogy naplózzanak minden kérést hivatalosan is, és valami ismeretlen 3rd party "feldolgozza". Így is tele van spyware-rel minden platform.

Mi lenne, hogy ha magával a problémával foglalkoznánk? учиться, учиться и учиться

Számlanyitásnál kockázatértékelő kérdőív -> aki elbukja, az csak saját felelősségre bankolhat online

>  учиться, учиться и учиться

felelősségáthárítás, felelősságáthárítás és felelősségáthárítás
amit az ügyfelek képzése, vizsgáztatása jelent valójában. A bank tökéletesen megelégedne egy olyan megoldással, hogy az ügyfelek mondjuk elvégezzen egy himi-humi tanfolyamot és akkor megkapják a nagy plecsnit, h hitelesített online banki ügyfelek lehetnek, ami egyben pontosan h számukra nem előnyt hanem jogvesztést jelent. Minthogy a banki-csalók és a banki-védelem macska-egér harcában mindig a csalók vezetnek ezért kimutatható, h nincs olyan tanfolyam ami érdemi védelmet jelentene az ügyfelek számára, miközben a tanfolyam által beálló joghátrány, ha a bank mentesül a kártérítés alól kézzelfogható veszteséget jelent az ügyfelek számára: Azaz rabolják az idejüket, elavult tanannyaggal tömik fejüket, ami zéró védelmet jelent, és még ők érezzék megtisztelve magukat, h online ügyfelek lehetnek, miközben az egész tanolyamosdi valójában arra megy ki, hogy bank mentesüljön a kártérítés alól. Így hát nem! Aki ezt ügyfeleket neveljük mantrát fújja, az a bankok érdekében tevékenykedik gyalázatosan vagy ostobán!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Szerinted a banki kártérítések összegét kire fogják ráterhelni? Pont ugyanúgy, mint a devizahiteleknél, vagy a Bróker Marcsinál befeketetők esetében? Ha elég sok fogalmatlan van és nagy a felzúdulás, közvetett módon majd Állam Bácsi besegít. Így végül is, aki nem volt hülye és felelőtlen, az fizet!

Ócska demagógiával nem kéne rabolni a mások idejét! 
Piaci körülmények közt érvénytelen lenne úgy tenni, mintha a bank rendelkezésére állnának olyan opciiók amiket tovább tudna terhelni az ügyfeleire, anélkül h az kihatna a profitjára. Ez egy bugyuta hazugság.  
Amennyiben abból indulunk ki, h Magyarország nem jogállam, egyeseknek bármit meg lehet tenni, nincsenek piaci körülmények, akkor sem az a megoldás, h ezt a helyzetet eltűrjük, hanem h lázadunk ellenne. Akár a bankok ellen is! Ne felejtsük el, h bank a bizalamat árulja, aminek hiányában nincs aki rájuk bizná a pénzét. Szóval nagyon a túzzel való játék ez, mert pikk-pakk lesz olyan bankpánik, h nem győz majd helytállni betét-biztosító! De lehet h tényleg ez kell , mert másból nem értenek! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"a banki-csalók és a banki-védelem macska-egér harcában mindig a csalók vezetnek"

A banknak 100-ból 100 alkalommal sikeresen kellene védekeznie - a csalóknak 1000-ből egyszer kell sikeresen támadni... És de, tanulni, okosodni kell, nem hülyén maradni _és_ mindenért mindenki mást okolni. 

Nem lehet olyan szolgáltatás üzemeltetni, ami az ügyfelek jövőbeni és folytonos képzésének függvénye! Nem az ügyfeleket kell nevelni, hanem olyan szolgáltatást kell biztosítani amit biztonságosan tudnak használni, ez a szolgáltató felelőssége. Ha ettől eltér jót kell állnia a bekövetkezett kárért! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

hogyne lehetne. papir nelkul bizonyos munkakat sem csinalhatsz. ahogyan gepjarmuvet sem vezethetsz kozuton...
papir ahhoz nem kell, hogy bringazz(bankolj), de ha a balfaszsagod miatt elbaszatod magad a villamossal(elszorod a penzed csaloknak), akkor nehogymar mas legyen a felelos!

Nem jó a hasonlat. Kerékpárt vehetsz magadnak bármilyet, míg a bank által használható eszköz olyan, amilyen. Mondjuk olyan magas a nyereg, hogy csak részben éred el a pedált. Aztán elesel, majd a bank megjegyzi, hogy lehettél ilyen balfácán, hogy elestél, majd egy 193 cm magas fickóval reklámfilmet mutat be, hogy a járművük biztonságos. Miközben alanyunk mondjuk 164 cm magas.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

a bringadra - bizony - vonatkozik a kresz: nem mehetsz ki barmivel a fogalomba.
"ami az ügyfelek jövőbeni és folytonos képzésének függvénye!" - az alapfelvetes. igen, jogsi nelkul is be kell tartsd, sot, valtozik a kresz, senkit sem erdekel, hogy te nem edukaltad magad ebbol.

az, hogy nem er le a labad: nem vagy alkalmas netbank felelos hasznalatara, az nem mas hiabaja.
vegyel kisebb biciklit: setalgass be a fiokba utalgatni. sokan csinaljak.

Tűpontos érvelés, valóban ez lenne a valódi és jogkövető magatartás.

Azért jött létre ez a poszt is - hogy az olyan építő gondolatok is - teret kapjanak, a jelentős részében demagóg és leszólós posztok mellé.

Azon bejegyzésed, hogy " piaci körülmények között érvénytelen lenne úgy tenni " - szintén egy objektív állítás amivel ismét egyet kell érteni! 

A jogkövetés és a piaci körülmény tekintetében, komoly hiányban vagyunk, ezért van a Közösségi Érdekérvényesítés, a masszív sértetti reakció, hogy meg akarja érteni az ügyfél, mi történt vele, majd el akarja kerülni és egyben reméli, hogy a kára megtérül. Ez ahogyan Te is megfogalmaztad: emberi, törvényi alap lenne! 

Ezzel szemben van a : MAGYAR mentalitás! :( 

 

Ez hülyeség. MIFID-2-ről hallottál?
Ahhoz hogy értékpapírszámlán kereskedhess át kell menned egy kérdőíven.
Ha nem felelsz meg, nem leszel ügyfél.
És persze szó nincs arról hogy bárki állná a károdat ha szarul fektettél be és elbuktad a tőkét.

Akarsz ugyanilyet a netbankra is? 

zászló, zászló, szív

mondjuk ez is olyan, hogy az volt az érzésem a bankban ilyen felmérés kitöltésekor és a hozzá kapott kommentár kapcsán, hogy nem azt mérik fel mennyire vagyok alkalmas, hanem azt, hogy mennyire vagyok hajlandó kockázatos dolgokba belemenni. Ha kockázatkerülő vagyok, akkor nem engednek önállóan rendszert használni, ha kockázatkereső vagyok, akkor yolo, megadják a lehetőséget, hogy náluk veszítsem el a pénzemet és jól keressenek a jutalékon.
A banki befektetési tanácsadó, aki így hozzám csapódott, pedig rosszabbul ismerte az általuk kínált befektetések feltételeit, költségeit, mint én átfutva a leírását. És alapvetően csak a számára kiadott jutalékos befeketetéseket próbálta rámtukmálni.

Ez így ebben a formában butaság, már bocs.

Olyan nincs, hogy tisztán műszaki eszközökkel kell megoldnai, hogy az ügyfél/felhasználó bármekkora barom lehessen, akkor se legyen baja a saját hülyeségéből és felelőtlenségéből, hanem valaki másnak kell érte jótállni.

Mintha kiírnák, hogy vigyázz favágás, de ha Te ennek ellenére oda parkolsz a felszólítás ellenére, és utána elvárnád, hogy ha baja lesz a kocsidnak, a favágó térítse a kárt, mert neked jogod van olyant csinálni, amiből bajod lesz, de emiatt más kell viselje a terheket...

Az jó felvetés, hogy ne legyen netbank vizsga, ami után a bank háríthatná a felelősségét. Viszont az, hogy a felhasználóknak ne kelljen megérteni és megtanulni jól használni a banki rendszer rájut eső részét, és ezt a tudást ne kelljen naprakészen tartani, az elfogadhatatlan.

Az, hogy az emberek java része nem akar ezzel foglalkozni, nem jelenti azt, hogy ezt el kell fogadni. Az természetes, hogy olyan rendszernek kell születnie, ami vezeti a felhasználót és a legkisebb lazát adja neki a felelőtlenségre. De az ne legyen természetes, hogy a felhasználó bármit elront, rosszul csinál, stb. mert tudatlan és/vagy figyelmetlen, azért kötelezően más vállalja a felelősséget.

Persze jelen esetben ezek a gyenge, SMS-es második faktoros bejelentkezések nagyon problémásak, ez vitán felüli. De egy pici odafigyeléssel nagy valószínűséggel elkerülehető lenne a teljes visszaélés, és máris ott tartunk, hogy ha a felhasználó képezve lenne (tudná, hogy a netbank hol érhető el és ellenőrizné, ott van-e), akkor meg sem történhetne a visszaélés ilyen gyenge hitelesítés mellett sem.

Az SMS második faktor nem gyenge akkor sem, ha ezt mantrázzátok. Nekem desktopon butatelefonnal tökéletes, azonnal feltűnne, ha nincs térerőm, lenyúlnák a SIM-et. Jöttök itt az okostelefonok tökéletességével, aztán hogy, s hogy nem, a legtöbb átvert felhasználót okostelefonos bankolással verték át.

Szóval hagyjuk, mese.

A másik, hogy sokaknak semmi szüksége bankfiókra. Az államnak kellene biztosítani a fizetések készpénzben történő odaadását, vagy ha ez akkora gond a gazdaságnak, akkor ingyenes bankszámla biztosítását, amelyről nem lehetne semmilyen tranzakciót kezdeményezni, csak a fizetést lehetne felvenni, de azt ingyen a teljes összegig. Ne legyen már az, hogy kvázi kötelező igénybevenni egy szolgáltatást, amely teherrel, felelősséggel jár, amelyen bukok a költségek miatt, s még annyi kamat sincs, ami fedezné ezeket a költségeket.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nézd, arra is tudnál EU-s dokumentumot, hogy itt micsoda diktatúra van, szóval igen, ezt most én jobban tudom. Abból, hogy vannak trendek, egy pillanatra sem következik, hogy azok jók. A biztonság a mese része, az emberek teljes kontrollja, a pénzen, a számlák zárolhatóságán keresztül történő tönkretehetősége a valódi cél, amelyet úgy tálalnak, hogy a biztonság miatt ez kell neked és jó lesz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

nem, kurvara nem tudod jobban. pont. napi szintu az igy elkovetett bunozes. ezert szuntetik meg. neked persze linkelhetunk elo egyenes adasban feltort mobilhivast, szamhamisitast (volt mar), ignoralod. \o/
miert nem tenyekre hagyatkozol, helyette tolod a konteot?

Mi van akkor, ha van számhamisítás? > az van, hogy hulye lesz barmilyen szolgaltato bevallalni ennek kockazatat, mert az ilyenek mint te meg behringer kollega utana a rendszert szidjatok, hogy meirt nem tettek meg mindent a biztonsagert. :D es tartjatok a markotok, hogy mentsenek meg az en penzembol...

Van vele bármi dolgom? > van. felkeszulsz, hogy mire csereled le, mert inszekur es ki fogjak vezetne mindenhol szep lassan, mint a http-t. az a dolgod.

A bankok nem hibáztathatók emiatt, de az valóban nincs rendben, hogy a mobilszolgáltatók semmit sem tesznek a számhamisítások ellen. Ezt törvényalkotással ki lehetne verni belőlük. Ehelyett persze a végfelhasználót csuklóztatják.

mentsenek meg az en penzembol

Ezt tiltani kellene megint csak. A bank pénzéből. Továbbá a bank egy vállalkozás, ha bedől, akkor csak bedőlt egy vállakozás, mint a sarki közért, vagy bármelyik másik. 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A telefon bármikor tönkremehet, bármikor megszűnhet a netszolgáltatás, lemerülhet az akkumulátor, átmehet rajta az úthenger. A húszezrest kellemetlen elbukni, de minden megy tovább, a jelszavamat továbbra is tudni fogom. Hacsak nem arra a húszezresre írtam fel. :)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Semmi gond ezze, akkor majd befáradsz a bankfiókba és ott intézed a bankolást. Szépen ki fogják vezetni (törvényhozói nyomásra, nem a nép érdekében) a nem biztosnágos módszereket, és akinek nem felel meg a biztonságos bármiért, az fallback-elhet a bankfiók használatára, személyivel azonosítva magát.

#konteo
nem vagy kevesbe szabad egy biztonsagos megoldas altal. csak nagyobb biztonsagban van a vagyonod. a megoldasok egy reszehez pedig semmilyen mobil sem kell. se sms, se semmi... remelem megnezted oket! :)

Vicces, amikor egyesek még mindig ott tartanak, hogy ugyan, mi baj lehet, amikor mindenki fegyverkezik, látjuk, a múltban hova vezetett ez, és egymást érik a nagyon durva fegyveres konfliktusok. Valóságtagadásban élsz. Ha látnád a gombafelhőt, akkor is csak legyintenél, á, messze van az, mi baj lehet, csak a Facebook menjen, meg térerő legyen, meg okostelefonon minden, mert az biztonságos. Nem az. Eleve nem valódi két faktor.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

fogalmam sincs min alapul a paranoiad, de szep szembesulni ilyen lelkulettel :)

azt persze mar nem hiszed, hogy a bizonyitottan inszekur sms-ed es, hogy a szolgaltato tudja hol vagy az gaz :) vajon miert? :)
sot, az ok kb hetente valtozo AFSZ-e is teljesen rendben van. :)

teszem hozza, 2FA app-os telefonod lehet sim nelkul is. csakmondom. :)

SIM nélkül is a telefonban marad a rádió interface, a GPS/GLONASS vevő, stb. Azzal, hogy a kérdésemre visszakérdeztél, egy lényeges dolgot elmulasztottál: válaszolni. Írtam a másik topikban, te itt nem eszmecserét folytatsz, csak bármi áron görbíted a teret, hogy igazad legyen. Ugye, az megvan, hogy van a te látásmódodtól eltérő is, és más szempontrendszer szerint értékelve más gondolatoknak is lehet létjogosultsága és igazsága? Továbbra sem írtad le, mi a megdönthetetlen bizonyíték arra, hogy azt a GUI-n lévő kapcsolót átállítva ki lesz kapcsolva az adott perifériád. Minimum a forráskódot kellene elemezni ehhez, de úgy, hogy nem csak azt vizsgálva, onnan kikapcsolódik-e, hanem azt is bizonyítva, máshonnan nem kapcsolódik be.

Vedd már észre, nem az a cél, hogy mindenáron igazad legyen. Tudod, Summer* az a figura, aki annyira eltérő világnézeten van hozzám képest, neki is van egy nem egyenes stílusa, de te még rajta is túlteszel. Semmi egyebet nem teszel, mint lefoglalod a másikat, időt rabolsz tőle a semmiért, játszod a hülyét, ha jobb ötleted nincs, nem válaszolsz, ha az adja a nyerő álláspontot. Ebben a gyermeteg szkanderben nem kívánok részt venni, van jobb dolgom annál, mintsem olyanokkal vitatkozzak, akiktől sem tanulni nem lehet, sem gazdagodni, sem én nem tudom gazdagítani őt. A vita veled meddő, kötekszel egyfolytában.

Meg tudod fogalmazni, mi az a hozzáadott érték, amit itt elkövetsz? Nem muszáj, csak gondoltam, hátha.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A szolgáltatód 4G esetén igen pontosan tudja, hol van az adott SIM-et tartalmazó eszköz. És ezen adatokat a magyar hatóságok/szakszolgálatok felé meg kell osztania. A forgalmi adataidat is. (hogy még mit, azt csak az ezen információk megismerésére jogosultak tudják, de szerintem nem akarod tudni...). Tehát a magyar, veled szemben közvetlenül fellépni képes hatóságok, illetve szakszolgálatok felé mehetnek azok az információk, hogy hol, merre van a hozzád szerződéssel kapcsolt SIm, arról milyen beszélgetéseket, sms-eket adatforgalmakat intézel, de egy Google az nehogy már bármit is tudjon rólad... 
 

Pontosan. A magyar állam a magyar állampolgárok érdekeit képviseli, ellenben egy idegen ország elnyomó katonai hatalma, amelyik alig néhány napja önkényesen bombázott egy államot, nem ilyen. Komolyan jobban kellene bíznom egy agresszor államban, amelyik kedve szerint rombol, gyilkol a világban - nem csak a régmúltban, hanem napjainkban is -, mint abban az államban, amelynek állampolgára vagyok?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mi a tök köze van egy magáncégnek az államhoz? És milyen hatással lehet rád az, ha az USA hatóságai tudják, hogy rendszeresen megfordulsz a bivalytöcskölődi Pimpósborcsa kocsmában? (És milyen hatással lehet rád az, ha a magyar hatóságok tudják ezt rólad, és mondjuk azt is, hogy az említett búfelejtőben gyanús alakok is rendszeres vendégek...?)

Az iráni nukleáris létesítmények lenullázása kifejezetten jó döntés volt. Sehol sem kéne atomfegyvernek lennie, de egy vallási fanatizmussal bélelt hatalom kezében pláne nem. Úgyhogy az a pofon jó helyre került...

Az általad oly mélyen tisztelt és 100%-osan bizalmadba fogadott állam kapcsán... Remélem, nem fogsz csalódni - de sajnos a történelmi tények, ok-okozati dolgok nagyon azt mutatják, hogy olyan irányba tolódik ez a hatalom, amerre nem szerencsés... 

Nagyon mást gondolunk a történelemről, a jelenről, a szuverenitásról, ennélfogva nehéz lesz értelmes vitát folytatnunk. Én nem a magyar államtól tartok, hanem a külföldi befolyástól. Az számomra pedig egészen elképesztő, hogy egyetértesz azzal, hogy megsértsék egy ország szuverenitását, ott romboljanak, gyilkoljanak, mert valamiért így gondolja helyesnek egy erősebb állam. Illetve kettő. Nekem ez egyáltalán nem fér bele a világképembe. Ez pontosan ugyanaz, mintha rám rúgnád az ajtót, megölnéd a családomat, szétvernéd a lakásomat, mert nem tetszik, hogy másként gondolkodom a világról, mint te. Lényegében ez történt most Iránnal. Ez ugyanaz, mint amit a kitörés napja kapcsán Ilaria Salis és társai műveltek. Indokolatlanul összevertek embereket súlyos sérüléseket, maradó károkat okozva, az életüket tönkretéve. Te pontosan ezzel értesz egyet.

Ez is egyfajta erkölcsiség, de ezen az úton nem tartok veled.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tehát ha a TEK rádtör, mert a mobilszolgáltatótól kötelezően megkapott adatok alapján feltételezhető, hogy a fentebb említett búfelejtőben bűnözőkkel találkoztál, az rendben van? A "külföldi befolyás"-t részletezd már, hogy a te adataid, hogy hol kapcsoltad be a telefonodat, hogy a mobilbanki alkalmazást elindítsd rajta, hogy fogadja a push üzenetet a böngészős felületre történő bejelentkezéshez, mennyiben tud bármilyen érdemi hatással lenni az USA hatóságainak a működésére? Pláne akkor, amikor a telefonodhoz egy nemmondommegkivagyonnyasgemkukacgémélpontcom identitás van csak hozzárendelve... 

"megsértsék egy ország szuverenitását"

Olyan fegyverkezési programot tettek taccsra, ami kifejezetten veszélyes irányt vett. Igen, ha valaki elkezd köveket felszedni, hogy majd jól megdobál mindenkit, akkor jó, ha odamegy hozzá valaki, aki erősebb, és pofán veri, hogy gyorsan tegyen le a kődobálásról. Most ez történt - picit nagyobb léptékben. Ez nem másképp gondolkodás volt (ezt csak te, meg az irányított hazai médiából tájékozódók látják így) hanem valós fenyegetés volt. Ja, emberi életben annyi kár esett, amennyi az atomprogram lenullázásához szükséges volt. Az iráni rakéták meg... Ja, hogy 3-500m-es pontossággal érkeztek (már amik megérkeztek), és civil (valóban civil!) áldozatokkal jártak? (orvosi kezelésre Izraelbe érkezett kislány pl.) 

Ha neked elfogadható az a szélsőséges iszlám szellemiség, ami Irán (még) regnáló vezetését áthatja, hát tessék, lehet odaköltözni... 

 

Nincs rendben. Ugyanakkor, amikor megcsinálják a világkormányt, a Google-nél lévő adataim nagyobb problémát fognak jelenteni, de már akkor is, amikor belesodorják - mit sodorják, kényszerítik - Magyarországot egy világháborúba. Már most az a mentalitás, hogy Oroszország Ukrajnával szemben nem győzhet, az oroszokat bármi áron le kell győzni. Akár azon az áron is, hogy Európa, s nyilván elsősorban Közép-Európa menjen őket legyőzni.

Irán esetében egy lehetséges kődobálásról beszélsz. Sikerül néha kilépned a valóságtagadásból is, és látni azt, hogy Izrael és az USA esetében nem lehetséges, hanem ténylegesen megvalósult, és folyamatosan megvalósuló kődobálásról van szó? Őket ki vágja pofán? A hazai médiával meg hagyj engem, nincs TV-m. Tudom, a média nem csak TV, de egy pillanatra fogadd azt el, hogy az embernek lehet önálló, saját világnézete, igazságérzete, erkölcsi meggyőződése.

Mi a jelentősége az iráni rakéták pontosságának? És az izraeli, amerikai rakétáknak és bombáknak milyen volt a pontossága? Számít ez bármit is? Az izraeli, amerikai atomprogramot ki és mikor fogja bezúzni? Érdekelne!

Jó volna megválnod attól a mentalitástól, amellyel igyekszel elüldözni a hazámból. Látom, zavaros időkben az elsők között deportálnád a magyarokat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Oroszország agresszor, ugye? Na akkor szépen húzzon vissza az eredeti területére, nemde? Vagy neked az, amit az oroszok csinálnak, az elfogadható? Bár ahogy Irán deklarált célja(is), közte az atomprogram is tetszik neked, nem csodálkoznék, ha teljesen rendjén valónak tekintenéd azt, amit az oroszok művelnek... Oh, wait... Az orosz agresszió rendben van, az USA célzott, globális fenyegetést jelentő atomprogram ellen irányuló csapása nincs rendben? Vagy hogy is gondolod ezt? 

"Akár azon az áron is, hogy Európa, s nyilván elsősorban Közép-Európa menjen őket legyőzni."

Baromi alaposan átmosta az agyad a fidesz propagandája, gratulálok - ilyen alapon neked nagyon jó itt, nekik meg ilyen, prímán és egyszerűen manipulálható szavazókra van szükségük. 

"Mi a jelentősége az iráni rakéták pontosságának? És az izraeli, amerikai rakétáknak és bombáknak milyen volt a pontossága?"

Az Iránból indított csapásokban civilek, gyakorlatilag teljes mértékben civilek (arabok is, vegyesen muszlimok és nem) voltak az áldozatok, mert részben a rakéták célzási pontossága, részben pedig a célok kiválasztása olyan volt, amilyen. Az Iránt támadó bombák, rakéták meg nagyjából a szomszéd ház ablakaiban sem tettek kárt...  

Az összes atomfegyvert le kéne szerelni, valóban, de ahhoz egy atomfegyverektől mentes világot elérni akaró és képes világhatalom kellene. 

"Látom, zavaros időkben az elsők között deportálnád a magyarokat."

Szó nincs róla, azonban azzal a véleményeddel, azzal a mentalitásoddal ami van, úgy látom, neked nem az EU, nem Magyarország való. Persze mint fentebb írtam, amíg a fidesz van hatalmon, addig a hozzád hasonló agymosott szavazók jól érzik magukat, és azt hiszik, mert elhitették velük, hogy az, ami van az a létező legjobb, legszuperebb, és bárhol másütt csak rosszabb lehet. 

Az orosz-ukrán konfliktus analóg az izraeli-iráni konfliktussal. Az oroszoknak egzisztenciális probléma Ukrajna esetleges NATO tagsága, Izraelnek pedig Irán nukleáris hatalommá cseperedése. Mind az oroszok, mind az izraeliek megelőző csapást mértek annak érdekében, hogy a létüket veszélyeztető állapot ne következzen be.

Tehát egyfelől érthető mindkét esetben a motiváció, másfelől mégis csak az van, hogy egyeseknek jobban szabad valamit, mint másoknak. Teljességgel igazságtalan, hogy miközben az USA-nak, Izraelnek van nukleáris fegyvere, ezt rendben lévőnek gondolják egyesek, míg Irán esetében úgy beszélnek erről, mint ami botrányos és felháborító. Pedig csak annyi a különbség, hogy egy másik nép.

Továbbá el kellene dönteni - nem csak neked, nekem is -, hogyan keretezzük a történteket. Amennyiben Oroszország agresszor, mert megtámadott egy egykor szuverén államot, úgy Izrael és az USA is az, mert ugyanezt tette Iránnal. Vagy, ha elfogadjuk Izrael és az USA preventív csapásait, akkor szükségképpen el kell azt fogadnunk Oroszország részéről, hogy számukra nincs rendben Ukrajna esetleges NATO tagsága.

Mondom, mind Oroszország, mind Izrael és az USA vonatkozásában értem a motivációt, bár az agresszív katonai beavatkozást egyik esetben sem találom helyénvalónak.

Azzal a kettős mércével ne is próbálkozz, hogy az egyikkel megengedő vagy, a másikat meg elítéled. Nincs olyan, hogy a nyugati gyilkosság jó, a keleti gyilkosság rossz, a nyugati támadás jó, a keleti támadás rossz. Ugyan vannak, akik ebbe a térbe próbálják mozgatni az eseményeket, csak mind a fizikai, mind pedig az erkölcsi törvényszerűségek térben és időben állandók.

Azt bízd rám, nekem mi jó és mi nem. A jelzőidet pedig azért tartsd meg, mert hidd el, amikor az ember elcsendesedik, s elgondolkodik a világ mibenlétéről, akkor nem propaganda létezik innen vagy onnan, hanem a valóság érzékelése, következtetések levonása. Nem kell, hogy értsd, elég, ha elfogadod, vannak olyanok, akik másként gondolkodnak, mint te, s emiatt sem nem agymosottak, sem nem birkák. Tényleg van attól eltérő, valós értékrend, mint amelyet képviselsz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

...de egy pillanatra fogadd azt el, hogy az embernek lehet önálló, saját világnézete, igazságérzete, erkölcsi meggyőződése...

...majd felmondod a magyar (és így az orosz) kormánypropagandát. Bár az is lehet, hogy véletlen egybeesés, hogy szó szerint pontosan arra gontoltál, amire ők, de tőlük teljesen függetlenül. Ez valóban nem zárható ki 100%-ban.

Ráadásul pontosan úgy kommunikálsz, ahogy a kormánypropaganda: aki nem úgy gondolja, ahogy ők, az magyarellenes, belemenne a háborúba, veszni hagyná fiainkat és lányainkat (stb. baromsággal folytathatnám). Holott, nem csak ez a két lehetőség van, hogy vagy "patritóta" vagy, vagy "háborúpárti libernyák".

Szóval, egy pillanatra fogadd azt el, hogy az embernek lehet önálló, saját világnézete, igazságérzete, erkölcsi meggyőződése. Ami nem egyezik a tiéddel, de nem egyezik azzal sem, amit a szájába akarsz adni.

Próbáld elengedni azt, hogy mi propaganda. Van egy logikus érvelés. Attól, hogy azt próbálod mondani, ez orosz propaganda, Oroszországban mégis ott van az egzisztenciális szorongás, és megtámadta Ukrajnát. Nevezheted izraeli propagandának azt, hogy félnek az iráni atombombától, lényegtelen, hogy propaganda-e vagy sem, hogy mi a műfaji besorolás, attól még megtámadták Iránt.

Furcsamód nem említed a nyugati propagandát, amely még érvekre sem pazarolja az energiáit. Oroszország nem győzhet, ha győzne, megtámadja Európát. Ezt a nyugati propaganda olyan nyilvánvalóságként állítja, mintha kiolvasta volna a négyjegyű függvénytáblázatból. Egyrészt akkor megyünk át a hídon, ha már ott vagyunk. Másrészt logikusan kellene gondolkodni. Ha Oroszország legyőzi Ukrajnát, elérik céljaikat - pl. nem lesznek amerikai fegyverek Ukrajnában -, megnyugszik, s béke van. Másik lehetőség, hogy megtámadja Európát. Nem életszerű, mert egy USA-val megtámogatott Európa sem gazdaságilag, sem létszámban, sem katonai erőben nem kicsi. Továbbá mi lenne a cél? Ekkora kockázatot felvállalni azért, hogy a cukrászdák nevei cirill betűvel legyenek kiírva? Tényleg nem értem, s erre a nyugati propagandisták sem adtak választ.

Ezen felül nézzük a másik esetet. Oroszország nem győzhet, azaz előbb-utóbb Európának be kell kapcsolódni egy Oroszország elleni háborúba. Akkor is, ha az oroszok megtámadnak minket, akkor is, ha nem, akkor is, ha kiprovokáljuk, akkor is, ha sajátosan valamit ellenünk intézett támadásnak értelmezünk. Például egy atombomba bevetése Ukrajnában, mi meg azt mondjuk, hogy hát a radiaktív felhő...

Tehát épp az első esetben van arra esély, hogy Európa ne keveredjen háborúba Oroszországgal, s a második, nyugati propaganda által ismételgetett eset az, amikor mindenképpen háborúba keveredünk velük.

A nyugati propaganda olyan szinten nem lett végiggondolva, hogy amire hivatkozik, nevezetesen, hogy Oroszország azért nem győzhet, mert megtámadná Európát, éppen ez a háború biztos receptje. A másik út az, amin elkerülhető. Látszik a nyugati vezetők rosszindulata. Emészthető formába próbálják önteni, hogy beleviszik a háborúba Európát, és milliók életét teszik tönkre. Itt is és Oroszországban is.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Háát az lehet h nem 4g volt még, de egyszer volt egy ilyen rendörségi ügyem és a nyomozó azt mondta, hogy csak azt tudják utólag h mondanak egy időpontot és akkor az adott mobil átjátszó toronyra bejelentkezettek x ezer elemű listáját megkapja. De koordinátákat nem tudnak. Mondjuk hittem meg nem is. 
Szal ez - szerintem - inkább valami olyasmi lehet h emelt szinten el van rendelve a megfigyelése valakinek és akkor vannak részletesebb adatok. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Disclaimer, a 4-5Gt már nem láttam közelről, de kétlem, hogy ebben alapvető különbség lenne.

Jepp, utólag általában már csak cella azonosító van, azt az adatot tudják odaadni valamilyen szemszögből, szóval vagy tudnak listát adni, hogy egy adott környéken milyen számok voltak, vagy, hogy a te számod merre mászkált. Azt azért tudni kell, hogy sűrűbb városi területeken nem nagy ám egy cella, különösen a 4-5G-k (nézz meg egy opencellidt mondjuk. Nem hű de pontos, meg van benne szemét, de az érzést azért jól átadja).

Aktív helymeghatározásra vannak ennél pontosabb megoldások, attól függően, hogy mit hajlandó kifizetni a szolgáltató (meg, hogy ki építette a hálózatot), ahol azért már elég pontos adatot lehet tudni (én láttam olyat élesben, ami tudott pár méterest 2G-n, igaz, szerintem abból Európában nem volt), illetve meg lehet kérni a készülék GPSét (gondolom ma már a coarse locationnak titulált dolgot is), hogy legyen kedves, az elég pontos. Ezeket jellemzően 2 dologra szokták használni: segélyhívásoknál, illetve ha meg kell valakit figyelni, mert pl a rendőrség kéri. Ilyenkor nyilván mindent lehet technikailag, folyamatos meghatározástól át a hívásrögzítésig, a limit a törvényi szabályozás, nem a technológia. (Ált küzdenek/küzdöttek még valami eladható end user szolgáltatással is, de ott megette őket az android a faszba. Bulk tudnak eladni adatot trafficra tomtomnak meg ilyesmiknek)

Ill azért azt látni kell, hogy az, hogy ennyi adat van utólag, az jellemzően nem azért van, mert ne lehetne több, hanem azért, mert nem akarnak vele foglalkozni, mert bulkban megtartani ennyi szart drága, és kevés értelme van (a rendőrök fele letudják a kötelezőt, azt kész, mert az költség). Láttam én olyat is, ahol az egész control plane üzenethalmaz a hálózatról el volt téve, és simán keresett ki belőle nekem a helyi faszi teszthívást, mindenféle paraméterestül. Már abból lehetett volna pontosabbat rekonstruálni, ha ugyanezt megteszik a rádiós interfacel is, akkor meg főleg.

"Láttam én olyat is, ahol az egész control plane üzenethalmaz a hálózatról el volt téve"

És ez alapvetően csak hatósági igény kérdése, hogy kérik-e vagy sem. És ahogy a mobilszolgáltató sem rak el minden ilyen adatot, a Google sem fog minden métert minden eszközről tárolni. 

Ja, és a hatósági igényről az előfizető természetesen nem fog tudni, nem fog értesülni - ezen adatgyűjtés, mint lehetőség nincs benne (nem kell, hogy benne legyen) a szolgáltatási szerződésben...

És ez alapvetően csak hatósági igény kérdése, hogy kérik-e vagy sem

Mármint, ha egyáltalán van. Ilyen nem sok helyen van, én konkrétan egyszer láttam, pedig akkoriban láttam közelről nem kevés mobil hálózatot, és ha másnak lett volna, az is simán előkapta volna nodeokon való baszakodás helyett. 

És ahogy a mobilszolgáltató sem rak el minden ilyen adatot, a Google sem fog minden métert minden eszközről tárolni. 

A gugli sokkal több ilyen adatot tesz el, mert ő tud belőle hasznot hajtani. Nézd csak meg a location historyt. Illetve most valamit variáltak vele, talán opt-in lett, nyilván nem azért, mert valaki rájuk szólt. :) 

eID: 2026-tól lesz az EU-ban általánosan bevezetve. Idehaza gőzerővel folyik a DÁP-os logon/azonosítás fejlesztése a bankszektorban.
Security keys: korábban volt cert/token alapú azonosítás néhol - kivezették. Nem várható, hogy az eID mellé általánosan visszahoznák (fejlesztési költség, tokenek kiadása/visszavétele/kezelése, ügyfél saját tokenjének felvétele hogyan legyen lehetséges (tyúk vagy a tojás: az így használatba vett token a használatba vétel során történt azonosítás biztonságos és megbízható kialakításától függően garantálja azt, hogy az ügyfél valóban az, aki, és nem egy eltérített accounttal regisztráltak tokent a nevében)
TPM: A Windows 11 kapcsán ki fognak hullani a TPM nélküli vagy 1.2-es TPM-et használó eszközök, azaz ez a "vonal" is inkább a jövő. (Egyébként W10/TPM 1.2 párossal szépen megy a hozzáférési kulcs "gyártása" Windows alatt) Kényelmetlenség, hogy adott eszközhöz, ami jellemzően notebook vagy asztali gép köti az azonosításra szolgáló megoldást, ergo mindenképp kell mellé egy fallback vagy másik eszköz, amiben ugyanúgy létre lesz hozva a kulcs. 

Az utóbbi kettő használatához a felhasználóknak is tanulni kell, megismerni a lehetőségeket, megtanulni, hogy hogyan tudnak létrehozni/törölni belépési kulcsot/kulcsokat, hogyan tudnak ezekhez tartalék megoldást rendelni.

Aki a "nem kell tanulni, elég az SMS" irányt propagálja, az ebben a világban idővel nagyon el fog veszni... 

Szerintem nem, én biztonságban vagyok így

Senkit nem érdekel, hogy te, mint random magánszemély, mit gondolsz a saját biztonságtudatosságodról.

Van egy rendszer, amit úgy kell megcsinálni, hogy az informatikai "biztonságbanvagyok!" mágustól a funkcionális analfabétákig nagyjából mindenki tudjon használni, de azért az adott peremfeltételek mellett legyen minél nehezebb dolga a scammereknek, ha meg akarják szabadítani őket a pénzüktől.

Ez a feladat. Nem az, hogy nyolcmilliárd embernek mind külön-külön security protokollokat találjunk ki a szája íze (és tévképzetei) szerint.

A FIDO/FIDO2 nagyjából 1000 év múlva lesz támogatott szerintem - ahogy írtam, baromira rétegigény, és nem, nem fognak ilyenre fejleszteni, hogy majd talán az ügyfelek 0.x%-a egyszer talán használni fogja... A környeztedben hány emberből mennyinek van saját, privát yubikey a zsebében? És vajon hány olyan van. aki tokendugdosós megoldást választana az okostelefonos push az app-ba vagy épp a DÁP helyett? 

Szerintem se venné észre senki. Az angolok se vették észre*. Csak unalmukban tárgyalnának az EU-hoz visszacsatlakozásról, mert nincs jobb dolguk épp...

Hacsak nem kizárólag EU-n kívüli az exportcélja a cégednek, akkor nagyon is észrevenne egy kilépést másnaptól.

 

*Beszopták mint az állat a "másik" szőke idiótaságát, és kb. a kilépés másnapjától sírnak, hogy ez mekkora szívás lett a valóságban.

de érzésem szerint nem nagyon venné észre a cég, ha kilépnénk az EU-ból. 

Hirtelen drágábbak lennétek a vevőitek felé a vámok miatt, emiatt a vevőitek keresnének olcsóbb beszállítót. Illetve ha ti is vesztek az EU-ból bármilyen szolgáltatást, az is drágább lenne a vámok miatt, így a terméketek is drágább lenne önmagában is.

A kelléket házon belül gyártjuk. Abban van know-how, nem az alapanyag a drága. Azért volt érdekes, mert arra gondoltam, a műszer elviseli - talán, nem vagyok sales-es -, ha pici rajta az árrés.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hazai alapanyag, hazai energia? És a piac milyen arányban hazai/hazai de azért, mert ez EU/EU/világ többi része? Nagyon nem mindegy - az első marad, a második egy ideig marad, de a kilépés után elmegy, és a 3. csoportba kerül, a harmadik csoportnak drágul, a negyedik csoport meg vélhetően nem fog az EU-val azonos elbírálást adni egy picike ország picike gazdaságának, úgyhogy jellemzően ott is drágulni fog a vásárlók számára a terméketek. 
 

EU-n kívül készülő termékre simán olyan vámot raknak, amekkorát akarnak, illetve az alapanyag, az energia is kifejezetten drágulhat - pláne, hogy a Ft is méretes pofont kapna a kilépéssel, mert az EU-tagság valamekkora támasz a magyar gazdaság, így a Ft árfolyama számára is. 

Tehát neked teljesen megfelelne az, hogy annak a terméknek/szolgáltatásnak az árát, amiben importhányad van azt minimum negyedével-felével több munkával tudnád megkeresni? Mert nem 400Ft-ot kéne adni 1 €-ért, hanem mondjuk 500-550-et, vagy többet. A magyar gazdaság energia- és nyersanyagigénye jelentősen támaszkodik az importra, ami jelentősen drágulna (nincs olyan ágazat, ahol ne lenne importhányad), mert a Ft jelentősen leértékelődne, ez az egyik. A másik, hogy nézd meg, mik az ország jelenlegi bevételi forrásai? Export: döntően EU - onnan kilépve6kikerülve az EU belső piacának, termelőinek a védelmében azonnal vámokkal terhelten lehetne csak kereskedni - és máris nem érné meg az EU-s vevőknek magyar beszállítót választani. A kínai hátterű cégek szerinted mit csinálnának, illetve miért ide jöttek? Mert olcsó (a kormányzat intézkedései olcsón tartják, a Ft árfolyamára ható intézkedésekkel is) a munkaerő, viszont ami itt készül, itt szerelnek össze, az már EU-s termék, a teljes uniós piac nyitva áll előtte. Ha ez az ország az EU-n kívül találja magát, ez az előny teljes mértékben elvész, úgyhogy a kilépési folyamat kezdetekor már el fognak kezdeni szedelőzködni, és mielőbb áttelepülnek egy másik EU-s országba. 
Ezen felül azt is vedd számításba, hogy egy ilyen folyamat elindulása esetén a jobban képzettek azon csoportjai, akik hezitálnak, hogy menni vagy maradni nagy eséllyel mennének innen, amíg lehet. És a maradéknak kéne megtermelni azokat a javakat, amiket a mostani 45-50-es meg idősebb generáció a nyugdíjáért meg szeretne kapni. De a "resztli" nem fogja tudni ezt megtermelni, pláne egy tökönrúgott, exportpiacait elvesztett gazdasággal, úgyhogy jó esély lenne arra, hogy a nyugdíjasok életkörülményei valahova a régmúltba lépjen vissza,a mikor még gyakorlatilag nem is volt időskori ellátás. 

Ha neked jó a sz@r élet, a talmi "szabadság" égisze alatt, akkor neked valamikor a szocializmusban ragadtak az igényeid, életfelfogásod... Ott is az volt, hogy a sz@r életet adta el a hatalom úgy, hogy "jó neked nagyon", és "szabad vagy, mert szabad országban élsz, ahol mindenki azt mond, amit szabad..."

Fel kell fognod, hogy a gazdaság globális, egy, még kontinens szinten is kerekítési hiba nagyságú entitás önállóan nem tud érdemben megélni. 

konkrét személytől függetlenül fel lehet ismerni a hupos társaság egy részénél, hogy valószínűleg nyugdíjas vagy nyugdíj közeli, szovjet nosztalgiát képzelő, szakmailag nem feltételen toppon lévő, de valami legacy függés miatt elevickélő területen unaztkoznak. Szal vannak emberek, akik a mai napig egy burokban élnek, ahol még mindig a szovjet munkamorál és életstílus megy. A modern világból sem a szakmai, sem a gazdasági fejlődés nem jutott el hozzájuk és igazából igényük sincsen rá. Plusz motívum szokott lenni, hogy a skanzen buborék fenntartását bármi áron követelik, kerüljön bármibe is az a fiatalabbaknak, az már nem az ő problémájuk.

És most ezzen tényleg nem sértegetni akarom locsemegét. Azt hiszem 5-10 nicket fel lehetne sorolni, akiknél megállt az idő valamikor a 80as években. Számomra az a durva, hogy az információs technológia minden nyomulása ellenére még mindig sikerül megmaradni a buborékban. Boldogok a tudatlanok.

Csendben jegyzem meg, versenyszférában dolgozom fejlesztőmérnökként, de tetszik a prekoncepciód. Maradj is meg mellette, hiszen szeretem a meséket hallgatni, anyukám már rég mesélt nekem. :)

A törésvonal ott van, hogy a fiatalok többsége teljességgel lemond a szabadságáról, a fél veséjét is odaadná, csak Facebook legyen. Ha a hálószobádat és a fürdőszobádat bekamerázná az EU, mert ez lenne az új szabály, boldogan mennétek bele, mert trendi, mindenki ezt csinálja, csak az EU-ból ki ne lépjünk, mert akkor nem lesz öt éven belül pénz új autóra.

Van, akinek a szabadság, az önrendelkezés, a privacy érték, s akik érzékelik a veszélyt. Egy nagy entitás, az EU intézményei kezdték el a nemzetállamok jogait elvonni, egységesítik az online teret, a személyes azonosítást. Ott tartunk, hogy ujjlenyomatot kell adni személyi igazolvány elkészítéséhez, meg ott, hogy valamelyik topikban felmerült, lejárt személyivel nem juthat az ember a pénzéhez. Nem én járok le, a személyim, s azért a pénzért megdolgoztam, az az enyém, nem a bank döntésének kellene lennie normális esetben, mikor jutok ahhoz hozzá. Továbbá ott tartunk, hogy duplikáltan felvitték a szenzitív személyes, egészségügyi adatokat számítástechnikai infrastruktúrára, amely esetében az EESZT-ben korlátosan élhetek a hozzáférés korlátozásával - de nem minden esetre kiterjedően -, viszont a szakrendelő adatbázisának tekintetében nem.

Mindeközben tolnak bele egy háborúba, csúnya idők jönnek, várható egy totális diktatúra, egy világkormány egy uniformizált világban. És azt várjátok, kedélyesen mosolyogjak ahhoz, hogy napról napra szűkül a mozgásterem, lassan elvárás egy kémgép használata, különben kirekesztenek a társadalomból, ráadásul cinikusan adjam a beleegyezésem egy olyan adatvédelmi szabályzathoz, amelyre azt mondom, hogy az teljességgel kizárt, hogy ezzel egyetértsek.

Néhányan próbáljuk jelezni, hogy csak az utóbbi alig néhány évben is rengeteget szűkültek a szabadságjogok, a mozgástér, de sokan bárgyú vigyorral nézik, ezek itt mit hőbörögnek, mert ugye, titeket megfigyelhetnek, ti nem csináltatok semmi törvénybe ütközőt. Eleve nincs igényetek az intimitásra, lassan az van, hogy ki nem sz.rja le, ha az asszonyt a felügyelő előtt kell megdugni, hát úgy lesz, az se baj, csak EU legyen, mert különben drágább lesz a lángos.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

a gond, hogy ugy beszelsz privacyrol, hogy a modern vilagban fogalmad sincs, hogyan mukodik. homokba dugod a fejed, azt kepzeled a butatelefonod megved. nem, nem ved meg.

szukulnek a szabadsagjogok, csak epp nem akarod latni, valojaban ki korlatoz kit, es milyen alapon.

A versenyszférában is vannak kevésbé versenyző szereplők :) Plusz kelet-európában a szarból várat építés nagyon erősen megy, mert nincs fizetőképes ügyfélkör a minőségi munkához. Volt szerencsém részt venni már sokféle feladatban, sokféle területen és cégnek bedolgozva, így tapasztaltam a kontrasztot. És azt is, hogy sokszor kamu a felépített mítosz némelyik nemzet szorgalmáról. 

Lehet meglep, de vannak témák, amiben még egyet is értek veled a dolgok morális oldaláról.

Viszont van, amiben a zord valóság számít, mert a győztesek joga morális felsőbbséget hirdetni, a legyőzöttekkel pedig bármit megtehetnek. Keletről és nyugatról is az erősebb kutya baszik, a cukormáz csak ámítás. A motivációkban lehet különbség, de végső soron a pénz, a hatalom és az irányítás az alapjuk.

A szabadság és hasonlók már régóta csak akkor érvényesíthetőek, ha egybeesik az adott rendszer irányával. Ha nem egyszerre lépsz, akkor máris csorbulnak a jogaid és max utólag próbálhatsz jogorvoslatot kérni, de a jogaidat sértők jellemzően minősített immunitást élveznek társadalmi érdekekből. Ez keleten és nyugaton is így megy. Max a módszerek különböznek, mert más kultúrában más a hatásos.

Az EU ellenesség, kilépési szándék és hasonlók teljesen vakvágány. Pont, hogy sokkal szorosabb, központosítottab európai irányítás kéne, mert most egymás ellen dolgoznak az államok. Mégpedig azért, mert a konkurens hatalmak nagyok és központilag irányítottak keleten és nyugaton is. Egy kis ország a kerekítési hiba teljesítményével, kimutathatatlan haderejével pedig annyira független, amennyire megengedik neki. Ha pedig már választani lehetne, akkor talán inkább az európai "elnyomás" kompatibilisebb velünk, nem pedig a szovjet vagy az amcsi. Rengeteg baromságot csinál az EU, szoktam is kritizálni, hogy értelmes, belső cégeket segítő dolgok helyett folyton tudathasadásosak, a polgárokat fejik, külföldi (nem eus) cégeket segítenek, megélhetési politikusok. És valami neo-szocialista utópiát nyomnak úgy, miközben teljesen kiszolgáltatottak vagyunk európaiak már minden más hatalomnak, mert ellehetetlenítik a belső cégek számára a versenyt a külsőkkel szemben. A magyar belpolitika meg egy lófasz, kizárólag a lopásról szól, bármi áron. Amellé állank, akitől ellopható pénzt remélnek, ha egyik már nem ad több pénzt, akkor a másiknak hízelegnek.

Technikai téren pedig muszáj haladni, mert a régi rendszereket anno szarul tervezték meg és rengeteg hibájuk van. A foltozgatás helyett teljesen újra kéne tervezni és implementálni, de a régi, primitív megoldásoknak már megvan az újabb és javított változata. Nem a régit fogják újracsinálni. Sok régi technikában bizalmi alapon ment a működés, mert azt hitték mindig csak egy szűk kör fog hozzáférni és azok egymásban megbízhatnak. Viszont már mindenféle banánköztársaság és korrupt cég is bekapcsolódik ezekbe a rendszerekbe, ahol így eltéríthetik, meghamisíthatják a kommunikációt.

Nekem sem tetszik, hogy mindent mobilra akarnak nyomni. De nem azért, mert a régi primitív dolgok jobbak lennének, hanem azért mert pont a desktop felületek helyett erőltetett mobil felületeket érzem lebutítottnak, visszalépésnek. Sokszor elfedik az információt, hogy könnyebb legyen szerződésre bírni, jóváhagyásra bírni az ügyfeleket. Nem lehet könnyen egymás mellé tenni dokumentumokat, hogy jobban átnézze az ember, mert nem olyan multitaszk a mobil felület, nem lehet jól kezelni kis képernyőn, érintőképernyőn ezeket.

Hogyan lenne már biztonságos az SMS, mikor pofon egyszerűen kijátszható egy csaló oldallal.

Ha lenyúlnák a SIM-et (csalással hozzájutnak másikhoz, a Tiédet letiltja a szolgáltató), mire észreveszed, hogy nincs kapcsolat, a pénzedból már egy Forint nincs a számládon...

Ha meg akárkinek beesik figyelmetlenségből a csaló oldal, akkor az SMS-es hitelesítés második körénél tűnik el a pénze a számláról, mire gyanakszik, hogy másodszorra sem jó a beírt SMS kód, már a pénz máshol van.

Szóval ez csak a semminél jobb kicsit, de a semminél nem is nyújt sokkal több biztonságot.

Ennek az egész topiknak a lényege, hogy sok-sok ember mit keresett csaló oldalon, ahol is a nem biztonságis SMS-es második faktor miatt lenyúlták a pénzüket.

Hogy tudnánk összevezetni azt, hogy ne kerüljön senki csaló oldalra, de ne is kelljen megtanulnia a nem csaló oldal elérését és/vagy azt ellenőrizni, hogy csaló oldalon van-e... Merthogy ezt a két teljesen ellentmondó és egymást kizáró dolgot várod el az eddigek alapján.

Nem az SMS miatt nyúlták le a pénzüket, hanem azért, mert egy csaló oldalon megadták a bankkártyájuk összes adatát, meg talán a banki felület login adatait is. Talán még azt is, kivel dugott utoljára, mikor, és mit evett előtte vacsorára, illetve mikor megy legközelebb fülészhez, és hogy hívják az orvosát. De ennek semmi köze az SMS-hez.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Amennyiben az MBH bank második faktoros azonosítása olyan, mint az Erste vagy a CIB megoldása (ezt a kettőt ismerem személyesen), az nem játszható ki ilyen csaló oldallal, mert nem egy kódot kell visszütnie a felhasználónak az oldalra a név/jelszó után, így a második faktor nem ellopható ilyen módon. Szóval de, ha nem SMS-es a második faktor, akkor az MBH károsultak java részének megmarad akkor is a pénze, ha csaló oldalra megy fel...

A kártya adatok megadása csaló oldalon érinti az összes bank kártyáját, az nem bank-specifikus visszaélés. De erre is van minden normális banknál és erre specializált szolgáltatónál megoldás (ideiglenes kártya, egyszer használatos kártya, köztes megbízható fizetési szolgáltató, stb.), hogy ne kelljen a valódi, több pénzt elérő kártya adatait megadni mindenféle oldalakon. De ehhez is értelmes felhasználók kellenek, nem olyanok, akik "nem tanulok meg semmit, védjen meg a bank a saját hülyeségemtől, és fizesse a hibáimat" hozzáállásúak.

Hát, az Erste és a CIB biztosan tud ilyen szolgáltatást, ennek ismeretében írtam amit írtam.

Szerintem kb ez a kettő van, aki ad ilyesmit sajnos.

De ha valaki fogékony az ilyen szolgáltatások használatára, annak nem okoz nehézséget egy Revolut vagy Wise számla nyitása, ahol meg alap az ilyesmi.

Egyrészt ja, másrészt azok más okból olyanok, hogy inkább csak játépénzt. Harmadrészt meg értem, de ettől még sajnos láthatólag nem alap, ami szerinted az. 

> és ezt a tudást ne kelljen naprakészen tartani, az elfogadhatatlan.

Te el vagy tájolva! Semmiféle ilyne kötelezettség nem képzelhető el az ügyfelek terhére! Az a dolgok eltorzitása, h a probléma abból állna elő, h az ügfelek nem tudják megfelelően kezelni a rendszert. Nem, ez tévedés! A probléma rendszerszintű, maga a rendszer a rossz, és az ügyfelek ennek áldozatai. És amit akarsz, h az ügyfelek folyamatos képzéssel kompenzálják a rendszer hibáit. Ez az ami elfogadhatatlan, disztópikus!

Fentebb irtam: az élő ember informatikai jelekké való és fordítva az informatikai jelek élő emberré való megfeleltetése hibával terhelt. Ennek következményeit, így az ebből eredő károkat is, annak kell viselnie aki a rendszert megalkotta és üzemelteti! Minden távszerződés és megbizás alapvető CSALÁS. Egy csaló rendszert működtetnek és az ügyfélt akarják felelőssé tenni ezért! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Szóval van egy céged, ami CNC esztergákkal fémterméket gyárt. Ezt a gépet meg kell tanulni kezelnie valakinek, aki aztán gyártja vele a terméket. Namost, felveszel egy embert, aki nem tudja és nem is akarja megtanulni a gép kezelését a szakszerű és biztonságos használathoz, így hol a gép áll mert elrontotta, hogy otthon van táppénzen mert megsérült. Te persze - mert elveid vannak, ami szerint nem lehet az élő embert és az informatikát összeegyeztetni - fizeted szó nélkül a téppénzét is, meg a gépjavítást is folyamatosan. Esetleg a CNC gép gyártójával pereskedsz eközben, hogy olyan gépet gyártottak, amit meg kell tanulnia egy embernek használni, ami teljesen elfogadhatatlan hozzáállás, merthogy ez nem várható el egy CNC kezelőtől, hiszen ő egy ember, nem egy gép.

Azért, hogy érthető legyek: a CNC eszterga a netbanki app (amit meg kell tanulni kezelni, hogy ne legyen baj), az alkalmazott pedig a bank ügyfele aki netbankolni akar (de úgy, hogy semmire sem figyel és semmit sem tanul meg, mert az nem az ő dolga).

Nem jó példa, mert nem érettségizettekre, szakmunkásokra és felsőfokú végzettséggel rendelkezőkre kell tervezni egy rendszert, hanem mindenkire. Azokra is, akik még a 8 általánost sem tudták elvégezni. Tehát akik képesek lélegezni, táplálkozni, úgy általában létezni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Helyes ez kb egybevág azzal amit én javasoltam: 1) Bank nyilatkozik a felügyeletnek, h vállalja-e az objektív felelősséget az online bankjával kapcsolatban. 2a) Ha vállalja, minden oké bárki bankolhat online. 2b) Ha nem, akkor meg kell próbálnia Darwin Dij szerződést kötnie az ügyfeleivel, miszerint ő (az ügyfél) vállal minden kockázatot és akkor ebben az esetben csak a Darwin Díjas ügyfelei használhatják az online bankját! 

Én ezt javasoltam, ezzel mi a probléma? Tekintettel van mindenkinek az érdekére. Csak pont a csalást küszöböli ki. Azt a csalást amikor a bank úgy tesz mintha biztonságba lenne nála a pénzed, de aztán nem vállalja a felősséget. Na ezt kiküszöböli. Lehet előre nyilatkozni, tiszta helyzet! Lehet hozzálátni a nagyszámú bankfiók kialakításához országszerte!

Persze a valódi megoldás a készpénz korlátlan ingyenes felvételének a lehetősége. Az mindent megoldana! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Persze a valódi megoldás a készpénz korlátlan ingyenes felvételének a lehetősége. Az mindent megoldana! "

Az automatától két méterre tarkón csapnak esetre is megoldás lenne? A költségét meg ki a tök fizetné? Az, aki értelmes, felfogja, hogy hogyan biztonságos bankolni? 

Vagy ha megtámadnak az offline ukri/magyar csalók. :)

Az idős férfi levett 32 millió forintot, és átadta egy számára ismeretlen személynek, hogy helyezze biztonságba. Innentől pedig már hiába várt arra, hogy visszakapja tőle.

https://24.hu/belfold/2025/06/23/zuglo-bank-csalas-nyugdijas/

(Az emberi hülyeség ellen nem lehet védekezni...)

> aki értelmes, felfogja, hogy hogyan biztonságos bankolni

Ez logikailag nem stimmel! Azért nem képzelhető el biztonságos online bankolás, mert az a szkóp amire a biztonság értelmezve van részben hipotetikus, részben pedig megtörtént esetekre vonatkozik. Az adott pillanatban potencionális új csalási módszerekre értelemszerűen nem reagál. A figyelembe vehető lehetőségek száma véges, de a valódi lehetőségek száma a csalásra végtelen. Mindig, hangsúlyozom _mindig_ fáziskésésben lesz a "biztonság" ezért logikailag kijelenthető hogy senki, legyen az überfaszsa bizotnsági IT szaki akár, nincs biztonságban. 
Ebből következik, ahogy már korábban is utaltam rá, hogy bármiféle képzés forszirozása, ami az ügyfelek nevelését szolgálná totálisan értelmetlen. Mindig lesz technikai és social engineering ill ezek kombinációján alapuló, a megtanulandó tananyagnál frissebb módszer arra, h megtévesszék és kifosszák az ügyfeleket. Ez lehetőségként következik abból h az élő személy és informatikai jelek egymásnak való megfeleltetése hibával terhelt, és ez mint a bank által működtetett rendszer alaphibája nem küszöbölhető ki! 
Természetesen annak nincs semmi akadálya h az ügyfelek képezzék magukat, akár ehhez a bank is segítséget nyújthat, DE (!) azt kell nagyon határozottan elutasítani és megakadályozni, h ez a képzés ne fordulhasson át abba, hogy a bank a képzés elvégzésére hivatkozással át tudja tolni a felelősségét az ügyfélre. Ne legyen kétség, a képzés szükségességének a hangoztatása mögött ez az aljas szándékuk húzódik meg! 
Amiről kevésbé esik szó, de sztem ideje már figyelmet fordítani rá, az az h a bank a biztonság fokozására hivakozva egyre összetettebb módszereket kreál és követel az ügyfeleitől. Pl a különböző kódok: van már pin kód; telekód; internetes kód, login, jelszó. Meg kéne határozni annak a kereteit, h az azonosításnak a komplexitása meddig növelhető és a bankokat rászorítani arra, hogy olyan eljárásokat dolgozzanak ki az azonosításra, ami ezen kereteken belül marad. Ne tudja a bank kénye-kedve szerint növelni a komplexitást. Ezt nem gondolnám "a piacra" bízhatónak, a felügyeletnek kéne lépnie ezügyben! 

> Az automatától két méterre tarkón csapnak esetre is megoldás lenne? 

Erre vannak bevált bűnüldözői módszerek. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

A banknak milyen felelossege van abban, ha odaadod valakinek a belepesi azonositoidat, megkerve, hogy csinaljon barmit, amit akar? Egy random penzvaltonak sincs felelossege abban, ha te az utcan penzvaltasi igerettel kecsegteto csalonal valtottal penzt, es az also/felso bankon kivul, az osszes tobbi bankod lejart feherorosz bankjegy vagy egyszeru ujsagpapir lett

IQ Bajnok, vegyel egy A4-es lapot, hajtsd félbe! Az egyik felére rajzold le a bankot, a masik felére a "valakit". Nézegessed jó sokáig, amíg meg nem érted miköze a bankhoz! Ez volt a kérdésed, nem? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Akit "valakiként"  hivatkozol, nem olyan valaki mint a többi valaki általában, hanem pontosan olyan mint a bank. Ez a probléma. Ez a bank felelőssége: hogy a "valaki" pont olyan mint ő! És belépési azonosító nem az általában véve vett valakinek, hanem annak a valakinek aki pont olyan mint a bank lesz átadva! 
Gondolom most már általad sem tagadható, h megengedhetetlen csúsztatás volt részedről pusztán "valakinek" átadott azonosítóról érdeklődnöd!

pl. itt is erről van szó ugyan ebben a topikban, az előzmények között!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Miert lenen olyan, mint a bank? En semmi hasonlot nem latok, hiszen mas a cime!

Ha itt szetnezel, van egy csomo haz, ami ugyonugy nez ki, de mindegyiknek mas a cime, sott, a cimuk is igen-igen hasonlo. De tovabbmegyek, valoszinusitem, hogy az egymas felett talalhato apartmanok is egyformak, ezeknek a cimeik pedig, sokal jobban hasonlitanak. Most, akkor itt, az osszes cim egyforma? Sott, az itt levo epuletek is pont ugyonugy neznek ki, holott van koztuk vagy 200km... Viszont, itt mar a cimuk sem hasonlit. Ezek is ugyonazok? Ha az egyiket megvetted, barmelyikbe bemehetsz? Ha az egyikbe meghivnak barmelyikbe meghivtak? Ha az egyik helyen osszeszedtel valamilyen fertozest, akkor barmelyik masikat leadhatod, hogy ott szedted ossze? Hiszen vizualisan egyformak. Ha az egyikben beragadsz a liftbe, a masik epulet karbantartoja felelos erte?

Mondj már légyszíves legaláb egy, létező, bevezetett példát arra bárhonnan a világból, ahol valakinek a tudatlanságából eredő károkat valaki más vállalja magára?

Sokadszor írod le, hogy a falhasználó lehet bármilyen buta, képzetlen, nemtörődöm, akármi, a banknak akkor is állnia kellene a buktákat. Sem banknál nem dolgozom, sem nem védeném egyiket sem semmi okból, de ez objektíven nem normális elvárás.

A banki rendszernek bolond-biztosnak kell lennie! Ez a minimum feltétel. Ellenkező esetben nem működhet. Hogy ezt h oldja meg az a bank hatásköre és felelőssége, de végül nyilatkoznia kell, h vállalja az objektív felelősséget, akkor mehet az online bankja. Ha nem vállalja a felelősséget akkor csak olyan ügyfeleknek nyújthat online banki szolgáltatást, akik Darwin-Dij szerződést kötöttek a bankkal, amiben kijelenti az ügyfél h ő vállal minden az online bankolásból eredő kockázatot [a bank helyett]

Bővebben:

Nem az ügyfél határozza és tervezi meg az online bankot, nem ő üzemelteti, nincsen ráhatása a rendszer kkialakítására. Ennek a technikai részletei gyorsan változóak ahhoz, h központi felügyelet írja elő azokat. Célszerűen a bankra kell ezt bízni. A banknak úgy kell a rendszerét kialakítania h abban hamisítható vagy megtévesztő elemek ne legyenek meghatárotók! Ha olyan rendszert képes csak kialakítani aminek elemei hamisíthatók megtévesztésre alkalmasak és ennek következtében kár ér valakit, akkor naná h a bank felelős ezért. Nagyszerű dolog h küld SMS-t a bank valami kóddal. De SMS-t bárki tud küldeni, így ez alkalmas megtévesztésre, nem lehet része a banki rendszernek - most mondtam egy példát. 
 

Kérdés: van olyan útmutató a bankok részéről amiben lépésrőllépsre rögyítve van, h a különböző online banki tevékenységeknél az ügyfélnek mikor mit kell ellenőriznie, és különösen fel van-e hívva a figyelme arra, h az egyes ilyen pontoknál milyen megtévesztések lehetségesek?  Mert mindenki pofázik az ügyfél neveléséről, de valahogy nem futok bele ilyen tájékoztató anyagokba. Talán nincsenek is ilyenek? Mert ha lenne akkor az azon kivül eső megtévesztések következtében beállt kárért a banknak már mindenképp vállalnia kéne a felelősséget! Maga a rendszer alkotója és üzemeltetője nem tudja az ügyfél számára prezentálni, h mit kéne csinálnia a biztonságos bankolás érdekében?  

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

De SMS-t bárki tud küldeni, így ez alkalmas megtévesztésre

Ez nincs így. Ha küldesz nekem egy SMS-t épp jókor, s mondjuk kellően hülye vagyok, beírom a banki felületen a kódot, a bank nem enged be, mert nem jó a kód. Bosszúságot okoztál, de a pénzem megmaradt.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Bőven elég, h adott pillanatban kapsz gyors egymásutánba 8 SMS-t fals adatokkal ahhoz kellően idegállapotba kerüljél, és ne vedd észre h a valodi SMS már nem a loginhoz kér megerősítést, hanem utaláshoz. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ja, nem vagyok ilyen idegbeteg. Ha kell, egy sima akármilyen számla befizetésére szánok negyedórát, ellenőrzöm a számlaszámot is. Desktopon intézem, ahol minden kifér a kijelzőre, átlátható, nem olyan, mint azon a sz.ron, amelyet okostelefonnak hívnak.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nagyon jól teszed! Viszont elköveted azt a hibát, és ez hiba további következtetéseket is megengedhetővé tesz, hogy dolgokat úgy ítéled meg helyesnek vagy helytelennek, h magadat veszed hozzá alapul. Az emberek különböznek, valaminek a helyessége v. helytelensége elsősorban nem azon múlik, h személy szerint téged hogyan érint. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Egyfelöl számos olyan helyzet van amikor valaki másért, vagy másokért feleősséget kell vállalnod. Szóval de, igen vállalhatsz felelősséget. De másfelöl  ez elöbb nem felelősségvállalás került szóba, hanem az h képes vagy-e a dolgokat saját érintetségedtől függetlenül megítélni? Hát az elvárható értelmes embertől, h belegondoljon abba, hogy egy dolog számára nem okoz problémát, de egy másik embernek pl nagyon is tud okozni! Vegye figyelembe h lehetnek olyen helyzetek, állapotok amik mások mint az övéi! A figyelembe vétel az nem felelősségvállalás, nem is értem h jött ez ide!  

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

???

egyre nagyobb kétségbe ejtesz....

Most h hogy viszonyulok a világhoz arra annak h van-e okostelefon-mentes megoldás az online banki ügyintézésre semmi kihatása nem lehet. Micsoda marhaság ez már megint? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Kezdeményezz egy felmérést, hogy ki szánná rá azt a ~28-30E Ft-ot két yubikey-re, hogy azzal lépjen be a netbankjába és a mobilbankjába _is_. Nem vagy kezdő iparos, úgyhogy próbáld azt is megbecsülni, hogy egy meglévő, testreszabott/saját IDM-hez mennyi meló lehet fido2-t hegeszteni. Ahol mondjuk például ForgeRock  vagy KeyCloak van, ott talán egyszerűbb, de hogy melyik irány (saját hegesztésű IDM vagy "gyári")a gyakoribb, az nagyon jó kérdés... 

Segítek. Nem kötelezhetnek mások (idegenek) arra, hogy te vállalj értük is felősséget.
De igazából nem is erről van szó, csak teljesen félrevitték már a tartalmat a többiek a szálon.

A probléma az, hogy mindenkit kényszeríteni akarnak a leghülyébb szintjéhez való alkalmazkodásra. Hogy lassan már sehol sem lehet normális módon bármit csinálni, mert értelmi fogyatékos a népesség harmada és csakis hozzájuk igazított módon lehet bármit intézni.

Technikailag az sms azért lehet probléma, mert eltéríthető. Hogy a magyar szolgáltatókról nem tudjuk, hogy ők is sebezhetőek e, mint a kanadai mobilszolgáltató vagy szigorúbb módon kezelik a roaming adatátadást és itt nem működik az a fajta eltérítés. A hamisított hívószám az itt is működik, mint tapasztalni.

Igen, a leghülyébbekhez kell alkalmazkodni, mert ha erre a világra születik valaki, akkor jogában áll élnie. Ti bevezetnétek a digitális Tajgetoszt. Amúgy nem csak a leghülyébbekről van szó. Én tudnék DÁP-ot használni, csak nem áll módomban a Google adatvédelmi szabályzatát elfogadni, valamint olyan eszközzel rendelkezni, amelyben van helymeghatározó. Azért, mert sérti a privacy-t.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

nem kell a leghulyebbekhez alkalmazkodni. azoknak nyujtson segitseget a hivatal, ne engem korlatozzatok ez miatt, thx.

van mar kovetheto eszkozod. a buta mobiltelefonod.

a paranoiasok 40 eve a vezetekes telefonra mondtak, hogy lehallgatjak oket, 20 eve pedig a bunkofonra... te meg most az okosra. mi sem valtozik :)

biztos én sem fejezem ki elég érthetően magamat. De abban a részben, hogy szerintem a leghülyékhez alkalmazkodást erőltetik, pont arra gondoltam, hogy nem hagynak alternatívát. Neked lehet az sms kért alternatíva, nekem meg az, hogy ne kizárólag valami buta varázslón lehessen csak intézni bármit, hanem legyen "klasszikus" tételes lista, ahol a hozzáértő gyorsabban tud haladni, mint a hozzá nem értő a varázslójával. 

(például az e-szja felületén akadtam ki, hogy nem lehet klasszikus form nézetesen megnézni a bevallást, ahol tudom, hogy mit keresek, hanem csak szöveges keresős, mindig csak egy részletet mutatós varázslós felületen. És a megnézem az egészet egyben lehetőség is csak a kitöltött sorokat mutatja, nem pedig a komplett bevallást. Vagy eldugták a sok hülyeség közt azt a lehetőséget, ahol mindent lehet látni.)

A dápos alkalmazástól is inkább azért ódzkodok, mert mobilos felületeken eddig mindig információhiányos, lebutított felületeket láttam. Még a webes felületeik is sokszor hiányosak, hogy úgy kell másik ablakban keresgélni odavágó információkat.

Pedig ez az egyik dolog, ami civilizált emberré tesz bennünket.

Pl. felelősségem van azért, hogy a gyerekeim, a feleségem, esetlegesen távolabbi családtagjaim kellően edukáltak és műszakilag védettek legyenek hasonló próbálkozások ellen, legyen az egy phishing, egy unokázós csalás, vagy akár csak egy privacy-sértő alkalmazás. 

Ez a 20+ ember egyrészt számít rám, másrészt mekkora vérciki dolog lenne már, hogy itt van a családban egy szakember, aki nagy cégeket megvéd, de a saját családját és környezetét nem tudja (vagy nem akarja).

Én még úgy tanultam, hogy az eszközhasználat. Fantasztikusan rugalmas ez a tudomány. :)

Jó, akkor majd bátran osztogassák a csalóknak az emberek a pénzüket, nem gond, én majd odaadom az enyémet, nehogy hiányt szenvedjenek szegények valamiben. Az meg lényegtelen, velem mi lesz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Érdekesen ferdítesz. Pont azt mondtam, hogy felelősséggel tartozunk mások felé, hogy ne kerüljenek kiszolgáltatott helyzetbe. A tanítás a legjobb dolog, amit tehetünk (az én véleményem szerint).

Bár csak egy ellenőrizhetetlen forrású anekdota, de ez is egy elgondolkodtató nézőpont:

Egyszer egy diák megkérdezte Margaret Mead-et (a híres antropológust), hogy szerinte hol kezdődött a civilizáció. A diák olyan válaszokra számított, mint a kerék, az agyagcserép-töredékek, a horgok vagy más ősi eszközök. De Mead válasza meglepő volt:
„Egy barlangban, ahol egy meggyógyult és összeforrt combcsontot találtak” — válaszolta mosolyogva.
A kérdésre, hogy miért, ezt felelte:
Mert az állatvilágban, ha eltörik a lábad, meghalsz. Nem tudsz vadászni, nem tudsz elmenekülni a ragadozók elől — egyszerűen nem éled túl. De egy meggyógyult combcsont azt jelenti, hogy valaki ott maradt. Valaki segített. Valaki elég fontosnak tartott ahhoz, hogy megvédjen, etessen, és veled várjon. Valaki türelmes volt.
A civilizáció első jele nem egy találmány, drágáim — mondta nekik —, hanem az együttérzés és a türelem. A szív.

Az url sem lehet azonosító mivel nagyon is könnyen megtéveszthető vele az ügyfél. "S" helyett "5" vagy "l" helyett "1" ezt könnyű eltéveszteni. Erre nem lehet blazírozni! Ezek lennének a banki rendszer hamisíthatatlan és megtévesztésre alkalmatlan azon azonosító jegyei ami alapján az ügyfélnek el kell igazodni? Ki meri ezt állítani? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

kh.hu kb 5 perc nézelődést követően: 

annak érdekében, hogy megbizonyosodj az e-bank oldal valódiságáról ellenőrizd a zöld lakatot a keresősáv 

Nyilvánvalóan a banknak kötelessége lenne naprakészen tartani azokat az információkat amik alapján a rendszerét bemutatja az ügyfelek számára és ami információk azt a célt szolgálják, h az ügyfelek eleget tudjanak tenni a bank részéről ugyan tőlük elvárt, de részükre áttekinthetően nem prezentált ellenörzési pontokról, amiket a különböző műveletek során meg kell tenniük, nehogy aztán a bank az esetlegesen beálló kárt az ügyfél gondatlanságára hivatkozva ne térítse meg. Ime a bizonyság h a bank az aki nem tesz eleget kötelezettségének, mert nem h az egyes banki műveletekre lebontva nem ad tájékoztatást az ügyfél által elvégezni szükséges ellenörzési pontokról, de még a téma komolyságát semmibe vevő általános hablatyolásban is elavult információt közölnek. 

Most akkor mit csináljon az ügyfél? Telefonáljon be, h neki nincs zöld lakat? És akkor mit mondanak neki, h az véletlenűl úgy maradt a szövegben? Hogy gondolják ezt? Mennyire lehet ezek után komolyan venni bármit tőlük? 

Na, miket írnak még?

Tájékoztatjuk ügyfeleinket, hogy készpénz-helyettesítő fizetési eszközzel (például bankkártyával, netbankkal, mobilapplikációval) való visszaélés esetén megvizsgáljuk a kárfelelősség kérdését. A kártérítési felelősség intézményünket nem terheli, ha a vizsgálat eredményeképpen az állapítható meg, hogy az ügyfél súlyosan gondatlan magatartásával hozzájárult a kár bekövetkezéséhez. A súlyos gondatlanság fennállásának kérdésében végső döntést a bíróság hozhat.

Jó kis fenyegetést, bíróságot! Bravó! 

Még mit? 

Hogyan védekezhetünk a hamis banki SMS-ek ellen?

  • töröld az SMS-t és a K&H nevében elkövetett támadás esetén kérlek értesíts minket

Ja, nehogy már legyen bizonyítékod a majdani bírósági eljárásban. Gyorsan töröld ki! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nekem van lakatom, csak nem zöld. :) Azt amúgy én sem értem, hogy miért biztatják az embereket az adathalász e-mailek, SMS-ek törlésére. Pont az a lényeg, hogy megnézem, mit csináltak, hogyan csinálták, hova mutatnak a linkek, és így tovább. Elfér a háttértáron. Majd kitörlöm, ha megunom a nézegetését.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azért akad egypár ok rá.

Véletlenül később ne kattintson rá. Az email/SMS/bármi messaging app ne indexelje be autocomplete-re, AI ne tanulja meg, később "random" beajánlásoknak ne legyen része. Az URL esetleges in-app prefetch-elése ne tudjon folyamatosan ismétlődő módon követési lehetőséget biztosítani a támadók számára.

Drive-by attack (amikor nem kell rákattintani, a messaging app automatikusan benyalja a támadást) ellen ugyan nem véd általános esetben, mert mire a usernek lehetősége van törölni, már megtörtént a baj. De pl a manapság divatos "fileless" exploitok esetén (ami nem perzisztens, alapból csak addig él amíg nincs restartolva, cserébe rohadt nehéz utólag megtalálni a nyomait) amíg nincs kitörölve az üzenet, addig a restart után is újra és újra vissza tudja fertőzni az appot. És biztos van még pár ok, ami nem jut eszembe.

Szóval nem teljesen hülyeség, hogy kitörlöd, legalábbis csökkented a kockázatot. Meg aztán nem mindenki forensic expert, hogy tudjon bármi értelmeset kezdeni (pláne telefonon) ilyen üzenettel.

Régóta vágyok én, az androidok mezonkincsére már!

Telefon az önmagában egy veszélyes eszköz, erre akarják kényszeríteni az embereket, mint a biztonság fellegvárára. Na, mindegy.

Ezzel szemben desktopon megérkezik Claws Mail kliensre a levél, nem csinál az semmit vele, és messziről látom, hogy spam, mert a lényeges információk nincsenek „ergonomikusan” elrejtve.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

html interpreter, plugin system, stb. szeritem clawshoz is van, onnantol meg egyenes ut a boldogsaghoz ha valaki fertozne egy kis csunyasaggal vagy trackelne picit. :) a mail manapsag mar reg nem csak text, sot.
egy android telefonon pedig szofisztikaltabb az app-szeparacio es app-ok rendszer szintu permisson-kezelese, mint barmelyik mainstream desktopon. fyi.

tehat nem mondtal semmit, mert a textben tarolni barmit lehet. pont leirtad a kulcsfontossagu varazsszot: base64 :) persze ha te erzed a matrixot es neked megjelenik az abban kodolt kep a lelki szemeid elott, akkor meghajlok elotted :)
igazabol, hogy azt ascii/hex/unicode/binary/stb. formaban is meg lehet jeleniteni, irrelevans. csak a bitkolbaszt nezegeted.
a text strictly addig text, mig az emberi nyelven megfogalmazott, azok szamara ertheto/relevans, emberi - tehat nem gepi/annak szant - nyelven szuletett. (nem programkod, nem gepnek szant adat)
amig viszont az abban a textben tarolt adat es kod feldolgozasra kerul, addig az sebezhetoseg forrasa lehet. (ez persze humanokra is igaz, de azt most nagyvonaluan engedjuk el, hisz irrelevans :) ) HTH

ps: ugy gondolom potosan tudod mi a kulonbseg egy text email meg egy html/css email kozt, kulonos tekintettel arra, ha abban remote content is van (tudod, privacy), csak trollkodni volt kedved :)

Az egész üzenettörlős dologtól függetlenül ebben a részben egyetértünk: "Telefon az önmagában egy veszélyes eszköz, erre akarják kényszeríteni az embereket, mint a biztonság fellegvárára."

Különösen ilyeneket olvasva:

https://www.bleepingcomputer.com/news/security/godfather-android-malware-now-uses-virtualization-to-hijack-banking-apps/ 

https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization - különösen érdekes, hogy milyen szimplán megoldották a safetynet ellenőrzés, device rootolás checkek kiiktatását. Komolyan ha a Magisk ilyeneket tudna...

Régóta vágyok én, az androidok mezonkincsére már!

Persze valójában értem, hiszen a tapasztalat az, hogy nem lehet megbízni az emberekben.

Nagyon régen volt valami műsor a rádióban, ahol elhangzott egy hallgató részéről, hogy mobiltelefon akksiját úgy a legegyszerűbb lemeríteni, ha beteszik a mikrohullámú sütőbe. Aztán jött egy betelefonáló, hogy ez egy szörnyű butaság, mert természetesen a telefon azonnal szörnyet hal, tönkremegy.

Aki a javaslatot tette, az csak annyit mondott, tegyék a bekapcsolt telefont a mikrohullámú sütőbe, de azt nem mondta, hogy a sütőt kapcsolják is be. A logikája az volt, hogy a Faraday-kalitka akadályozza a kommunikációt, így a telefon transmittere a maximális teljesítménnyel megy adásba, csomagot ismétel, s így gyorsan remerül a telefon. Ugyanakkor explicit nem mondta ki, hogy a mikrohullámú sütőt tilos bekapcsolni.

A második betelefonáló pedig túlgondolta, s implicit beleképzelte, hogy be is kapcsolják a sütőt, s akkor valóban tönkremegy a telefon. A maga szempontjából mindkét embernek igaza volt, csak nem figyeltek eléggé egymás szavaira, illetve arra, hogy pontosan kell definiálni a mondandónkat.

Ez azért jutott eszembe, mert az emberek kiszámíthatatlanok sokszor, ezért ha biztosra akarsz menni, a kártékony kódot tartalmazó üzenetet letörölteted, s nem lesz baj.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A műsorvezető meg nem értett hozzá, előbb hajlott arra, hogy higgyen az első telefonálónak, majd a második meggyőzte a saját igazáról, és végül megállapítást nyert, hogy az első telefonáló butaságot mondott. Pedig nem. Közben végig azért szurkoltam, hogy vagy telefonáljon be újra az első betelefonáló, vagy egy harmadik, és mondják már ki végre a lényeget, hogy mi is a koncepció a telefon mikrohullámú sütőbe helyezésében, valamint azt, hogy nem kell, mi több, nem szabad a sütőt bekapcsolni! Annyira sajnáltam az első telefonálót, hogy a végére lényegében hülyének nézik, pedig csak annyi kellett volna, hogy ebben a felállásban a mikrohullámú sütő egy árnyékoló fémdoboz csupán, még a konnektorba sem kell bedugni azt.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Technikailag azért ez is lehetséges, bár az támadások 99%-a valóban nem ilyen.

Ugye a Pegasus simán 0-click módon települt, az üzenetkezelő alkalmazás hibáját exploitálva. Aztán egy komplett exploit-láncon át teljesen root szintig ownolta is a telefont. Innentől megszerezhető a banki appod privát storage részén eltárolt kulcsa, ami akkor jött létre amikor az appot párosítottad a bankszámláddal. A "feloldómintákat" a banki app maga ellenőrzi lokálisan, innentől az védelmet már nem nyújt. A támadó az app kulcsával autentikálni tud a bank API-ja fele, a 2FA push üzeneteit tipikusan szintén a banki app kezeli, így a támadó ezt is el tudja végezni. Vagyis részedről nem kell semmi interakció, és viszik a pénzedet, hacsak a bank anti-fraud rendszere nem jelöli gyanúsnak.

Ha az adott malware az első lépést nem tudja megcsinálni (éppen nincs ismert clickless sebezhetőség az adott üzenetküldő appban), akkor fog kelleni az a bizonyos "rákattintasz". Itt van rögtön példának az általam fentebb linkelt "Godfather" elemzése (https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization), ahol az "Initial Access: T1660, Phishing"-et adtak meg, tehát kell egy kezdeti interakció a felhasználótól, de onnantól már magától tudja pwnolni (saját virtualizált környezetbe bewrappolni) a telefonon az appokat.

Régóta vágyok én, az androidok mezonkincsére már!

Te minden alkalmazást, minden programmodult, ami a pécéden fut sorról sorra, forráskód szinten megvizsgálsz és csak olyat használsz, (pontosabban csak olyan futhat a gépeden(!)), ami szerinted biztonságos? Mert ugye nem bízni egy harmadik félben (Apple vagy Google) ugyanolyan, mint nem bízni az OS-es csomagjainak az összeállítóiban...

Abból, hogy téged cseppet sem zavar egy olyan készülék használata, amelyik rólad tárol és gyűjt szenzitív adatokat, miközben másnak van teljes hozzáférése, kontrollja ezen készülék fölött, ellenben épp neked nincs, nem következik, hogy ez mindenki számára normális és elfogadható.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mondjuk a PC-s online bankos weboldalon keresztül bankolni talán azért előnyösebb mert semmi nincs lementve. Jelszó a fejemben, inkognitó mód - bezárás után minden törlődik. A telefonos appnál meg ugye nem így van a fentiek szerint, ott tárolódnak azonosításhoz való adatok amik érintetlenségéért az ügyfél felel[ne]. Miközben az valamilyen exploiton keresztül megszerezhetővé válhat. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"telefonos appnál meg ugye nem így van a fentiek szerint, ott tárolódnak azonosításhoz való adatok"

TPM? Windows hello? Na ugyanez megvan a mobilban is, azaz az azonosító adat megfelelő azonosítás után lesz használható. A 2. faktor mobilos app esetén az az adott mobil device, illetve annak birtoklása, ami a bank felé regisztrálva van.

"Miközben az valamilyen exploiton keresztül megszerezhetővé válhat."

Ahogy a böngésződ memóriaterülete is támadható, session ellopható...

Igen, de az időben limitált. Alig lenne rá pár percük és akkor kéne csinálniuk amikor aktív vagyok és feltehetően észlelném is. Mondjuk ha már előzetesen preparálva lenne a gépem és készülnének rá, akkor sikerülhet. Viszont Live-USb-ról bootolva ez nagyjából kiküszöbölhető. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Live-USb-ról bootolva ez nagyjából kiküszöbölhető

Ezt hány felhasználó fogja megtenni? Hányan tudják a gép BIOS-át így beállítani? Hányan tudnak build-elni boot-olható image-et? Jó, vélhetően te meg én igen, meg a HUP-ról még sokan. 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Kell csinálni egy image-et, azt szektorosan fel kell másolni a pendrive-ra, ha azon volt fs, és automatikusan csatolódott, akkor le kell előbb csatolni, de nem szabad eltávolítani, hogy elérhető maradjon szektor szinten. Kell rá jogodnak lenni, ami tipikusan root, majd ha kész az image, a gép BIOS setup-jában olyan beállításnak kell lennie, hogy USB block eszközről boot-oljon, ráadásul a boot sorrendben ez megelőzze a belső háttértárat.

Úgy kb.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azért legaláb az utolsó lépést el lehet hagyni , a legtöbb BIOS/(U)EFI ismeri a Boot option lehetőséget valamilyen néven, azaz elég csak megnyomni az F-valami gombot, nem kell még BIOS Setup-ot túrni.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Az a probléma ezzel, hogy a fenti példa is remekül mutatja, hogy az appba beépített rootolás-ellenőrzés csak az ellen a rootolás ellen véd, amit te magad csináltál a saját eszközödön. Ha valami komolyabb malware rootolta be magának a telefonodat, azt se te, se a banki app nem fogja kiszűrni.

Nyilván a Magisk-osok (szándékosan) nem mennek el addig a szintig, amit a malware készítők csinálnak a rootolás elrejtésére. De mint láthatod a godfather malware elemzéséből, vannak nagyon hatékony technikák, a root-ellenőrzés kivédésére.

Régóta vágyok én, az androidok mezonkincsére már!

Másik oldalról nézve ez az egész safetynet/root ellenőrzése/"hivatalos" gyári rom van-e telefonon (amúgy nem baj, ha már 3 éve nincs rá support) dolog is egy jogi seggvédelem a bank részéről. Ők mondhatják, hogy "minden elvárható gondosságot megtettek", nem ők a hibásak, tudnak tovább mutogatni. 

Én már alig várom, hogy ebből egyszer tényleg per legyen, ahol kiderül végre, hogy a király meztelen, mert a Google vagy Apple valójában jogilag zéró felelősséget vállalnak az egész rendszer integritásáért. Vagyis a banknak valójában jogi értelemben nincs kire továbbhárítania a felelősséget.

A másik amit nagyon várok, hogy valahol jogilag kötelező erővel végre kimondják, hogy az NEM 2FA, ha a telefonos banki app kapja a push üzenetet és ott okézod le, hogy belépjél a... wait for it... telefonos banki appodba. És még van egy pár hasonló antipattern, amit imádnak alkalmazni. Pl telebanknál autentikációnak megfelel, ha az "appból indítod a hívást".

Régóta vágyok én, az androidok mezonkincsére már!

> Vagyis a banknak valójában jogi értelemben nincs kire továbbhárítania a felelősséget.

Jó gondolat! Vagyis azzal, h a bank olyan platformra fejleszt szolgáltatást aminek az integritása nem biztosított, veszélyezteti az ügyfeleinek a pénzét és ezért kártérítési felelősséggel tartozik. 

> NEM 2FA

Magam is meglepődtem amikor @zeller olvtárs a fentiekben előadta, h a telo feloldása lenne a második faktor az app esetében. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"mert a Google vagy Apple valójában jogilag zéró felelősséget vállalnak az egész rendszer integritásáért."

Ahogy a Linuxodért vagy a Windows-ért sem vállalja senki sem a felelősséget, hogy az nem lukas - mindenki csak a saját felelősségére használja (gyakorlatilag az összes) szoftverterméket. 

"valahol jogilag kötelező erővel végre kimondják, hogy az NEM 2FA, ha a telefonos banki app"

Birtoklás _és_ biometria, vagy birtoklás _és_ tudás (feloldókód). Ez akár hogyan is nézem, kettő faktor... 

De azzal, h rootolt eszközön nem, a gyarin pedig engedi települni és futni az appját a bank különbséget tesz biztonságos és nem biztonságos eszközök között, és ez a különbségtétel felelősségvállalást is kell h jelentsen! 
Minden esetre tényleg érdekes lenne erről egy független jogászt meghallgatni, mert nagyon nem kerek amit a bankok előadnak. A bank és az ügyfelek közti ügylet gondolom a bankra vonatkozó jogszabályok által meghatározottak, hát nehogy már kiderüljön, hogy ha ezen ügyletek a bank által előírt protokollok szerinti szoftver alkalmazásával történnek, akkor ezek a jogszabályok már nem érvényesek, hanem az ügyfél a húnyó! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ugye telo esetében egy a bank által regisztrálásra kerülő eszközről van szó, míg Linuxos Windowos PC esetében ilyen regisztráció nem történik előzetesen, ezek csak a böngésző futtatására szolgálnak az online bankolásnál - ami jelentős különbségnek tűnik!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Van az a szint - nyilván nem végfelhasználó, hanem cégek közötti szerződéseknél - ahol jogilag értelemezhető felelősségvállalás van. Ez nem az. Mégis úgy tesznek mintha az lenne, olyan megoldásokat használnak, ami 100%-ban kiszolgáltatott a kliens eszköz integritásvédelmének. Nincs második védvonal.

"Ez akár hogyan is nézem, kettő faktor... "

Ez csak becsukott szemmel nézve teljesíti a tankönyvi definícióját a két faktornak. Ahogy valójában meg van oldva, az "amit tudsz" faktor csak a közötted és a telefon között autentikál. Az "amit birtokolsz" pedig a telefon és bank között. Vagyis a csatorna egyik része sem védett két faktorral. Ha a telefon integritása sérül, akkor az "amit tudsz faktor" ott sincs, az "amit birtokolsz" meg pont kompromittálódott, a "2" faktorból rögtön 0 maradt. Értem, hogy így "kényelmes" a felhasználónak, de baromi kockázatos.

Régóta vágyok én, az androidok mezonkincsére már!

Ha a telefon integritása sérül, akkor az "amit tudsz faktor" ott sincs, az "amit birtokolsz" meg pont kompromittálódott, a "2" faktorból rögtön 0 maradt

Egyetértek, és megnyugtat, hogy nemcsak én látom így. Vagyis igazából az, hogy így működik majdnem mindenhol, az pont nem kéne, hogy megnyugtasson :)

"Ha a telefon integritása sérül" - Például azért, mert rootolt/random "főzött" rom van rajta... A desktopnak meg explicit nincs semmilyen integritása... Egyébként meg tessen megnézni, hogy a TPM hogyan működik, mennyiben probléma ha az OS "likas" mondjuk egy biometrikus azonosítás+tpm páros esetén...

Mutatsz egy olyan desktop banki alkalmazást ami:

- egyszer fixen eltárol egy titkos kulcsot ami önmagában autentikálja a bank fele

- belépéskor nem kell megadnod se usernevet, se ügyfélazonosítót, se jelszót

- a belépéshez elég egy irkafirka "feloldóábra" vagy egy 4-8 számból álló PIN kód, amit az app csak kliens oldalon ellenőriz

- a 2FA push üzenetet ugyanez az app kezeli, le se kell okéznod, hiszen ugyanoda lépsz be

- teljes számlahozzáférésed van, limitmódosítási lehetőséggel, ismeretlen új utalási célszámlák felvételével. Minden "kiemelt" művelet megerősítéséhez elég a kliens oldalon ellenőrzött feloldóábra vagy pin kód megismétlése

- az app rögtön "azonosított vonalon" fel is tudja tárcsázni a telebankot, ha esetleg bármi intéznivalód lenne, amit az app nem tud, a vonal végén az ügyintéző már semmi kérdést nem tesz fel az azonosításodra

Ugye milyen szinten abszurd lenne egy ilyen desktop appot elképzelni?! Pedig a telefonos banki appoknál ez kb az alap. Pedig "számonkérhető" integritásvédelem valójában ott sincs több.

Régóta vágyok én, az androidok mezonkincsére már!

"egyszer fixen eltárol egy titkos kulcsot ami önmagában autentikálja a bank fele" -  hint: TPM, amiből kulcsot "ki lehet kérni", és ha a beállított azonosítás (mobilon képernyőzár feloldása) sikeres, akkor adja oda az alkalmazásnak. (Azaz nem az alkalmazás ellenőriz, az csak kér egy "tokent", az ellenőrzést ez a kérés váltja ki, és az OS-hez tartozó komponens ellenőriz) És a "tokent" nem adja oda az OS bármilyen alkalmazásnak, bármilyen kérésre...

Desktop-on jelenleg még nincs általánosan elterjedve a megfelelő TPM, így a Windows Hello sem játszik a legtöbb site esetén - így a banki felületnél sem. Windows 11 esetén "must have" a TPM, abból is a 2.0, úgyhogy ez ha lassan is, de talán fog változni. (Van olyan pl. google fiókom, aminél a laptopról úgy megy/mehet a bejelentkezés, hogy az ujjlenyomatolvasón kéri az azonosítást...)

 

Ha történetesen mégis sikerül egy malwarenek valamilyen trükkel kiszednie azt a kulcsot, kié a jogi felelősség? Ki állja a kárt? Nem a főzött romról beszélek, hanem gyáriról.

A Google? Az Apple? A Samsung, a Microsoft? Mert sérült a platform aminek a feltörhetetlen integritásvédelmére alapozott a bank?

Vagy a Bank? Mert valós jogi felelősségvállalást senki nem adott neki a platform sértetlenségére, de mégis olyan appot és backendet fejlesztett ami teljesen kiszolgáltatott volt a kliens eszköz védelmének?

Vagy esetleg Te? Mert miért nem vigyáztál jobban? Miert raktál fel appokat (és ha nem raktál fel... pl telefon gyári romba beleforgatott valamelyik appban volt a 0-day, amit uninstallálni vagy rendesen letiltani sem tudsz)? Miért nem auditáltad te a gyártó frissítéseit, hogy az adott havi "Security of the device has been improved"-ba (semmi konkrétum - a kor divatjának megfelelően) nem fért bele egy ismert és kihasznált sebezhetőség javítása? Egyáltalán miért kezdted használni a banki appot (mert a bank minden lehetséges módon terelt rá téged...) mikor "tisztában kellett volna lenned a kockázataival"?

 

Értem én, hogy TPM így meg úgy, de ha kiderül hogy éppen azellen mégsem védett, akkor mindenki csak vonogatja a vállát.

Régóta vágyok én, az androidok mezonkincsére már!

nem.

az, hogy ugyfelkent van jogod es lehetoseged a jelszavaid lementesere plaintextben/posztitcetlire, aztan ugyanazt a jelszot mindenhol hasznalni, az a sajat balfaszsagod.
be is lehetne rendelettel tiltani, ahogyan kb. barmelyik biztonsagi oktatason az elso elotti pontban mondjak el Marineninek is ezt, a problema nem fog megszunni, amig Marineni szarik erre ra.

hogy kontextbe helyezzuk az egeszet: locsemege azon rinyal, hogy miert nem hasznalhat inszekur sms-t, ugyanakkor Jozsi meg azert fog, hogy miert kell neki a biometrikaval vedett telo melle egy komputer is a bankolashoz.

a biztonsagot termeszetesen a hasznalhatatlansagig lehet novelni...

Az egyetlen valódi védelem az lenne ha minden alkalommal be kellene menni a bankba, ott DNS mintát vennének amelyet összehasonlítanának a bankban tárolt, adott számlához tartozó DNS mintával majd ha ez egyezik, akkor engedélyezné a rendszer a pénzhez való hozzáférést, amit cash-ben eléd raknának. Ezzel nagyjából a teljes elektronikus kereskedelmet meg is ölnénk.

Szóval a nap végén itt nem lesz tökéletesen biztonságos megoldás, hanem rizikó analizist kell csinálni: mekkora a rizikó, ezt hogyan kezeljük, illetve hogyan aránylik a kényelem és a security egymáshoz. 

És ezt úgy kell csinálni hogy csinálsz egy threat analizist, fel kell irni a támadásokat, ennek a valószínűségét, nehézségét, és ennek a hatását, és meg kell nézni hogy ez mennyire gond vagy nem gond.

Ha mondjuk nézzük egy Samsung telefont, ott van egy elég erős integritásvédelem (Samsung Knox), ha rootolt az eszköz akkor el sem indul a bank alkalmazása, van egy erős biometrikus védelem TPM chip segítségével, ha régi az app akkor el sem indul, minden tranzakciót meg kell újra erősíteni, figyelnek gyanús használatot, illetve gyanús banki mozgásokat, hamarosan nem csak bankon belül hanem bankok között is és ott is lesz fraud detection. Ráadásul az új szabályok szerint még nagyobb felelősség lesz a bankokon. 

Ez igy együttesen garantálja hogy annak az esélye hogy lenyúlják a pénzed, nagyon nagyon alacsony, ha nem csinálsz hülyeséget. De még akkor is, az új jogi környezet valamilyen szinten meg fog védeni.

Szóval itt layerekben kell gondolkodni, nem egy, "a" tökéletes megoldást várni, mert olyan nincs.

Nem. A valódi védelem a bank kártérítési kötelezettségre szorítása a jog eszközeivel. Az összes technikai faszságot meg intézze ő a saját hatáskörében és ne terhelje rá se a felügyeletre, se az ügyfélre! Az ő rendszere, biznisze vállaja érte a felelősséget! Ha nem vállalja, akkor nem csinálhatja! 
De már csak az is elég lenne szabályozási szinten, ha az emberek költség nélkül felvehetnék a készpénzt a bankból Már az is egészségesebb viszonyokat alakítana ki! A kettő együtt lenne az igazán jó megoldás! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Törvénymódosítást kezdeményeznek az ügyfelek védelme érdekében. „Javasoljuk, hogy a nemzetközi gyakorlatnak megfelelően a bankok viseljék a kárt minden olyan esetben, amikor nem alkalmaztak megfelelő ügyfél-hitelesítést. Ahogyan javasoljuk kiterjeszteni a bankok kárfelelősségét azokra az esetekre is, amikor az ügyfelet a bank nevében bírják rá a fizetés kezdeményezésére” – összegezte az MNB vezetője."

Igen ezt örömmel olvastam korábban. De félek attól h ez végül egy elég kiherélt dolog lesz majd, ami csak arra lesz jó, h politika felmutathassa h csinált valamit, de a bankok számára kiskapu a kártérítési felelősség alól kibúvásra bent lesz hagyva a jogszabályban. Tudod elég meglepő lenne, h az a kurzus ami megszüntette a piaci viszonyokat azzal, h az ország fizetését a bankokba utaltatja ahonnan nem engedi azt felvenni költség nélkül, most hirtelen majd megfingatja a bankokat. Persze a helyzet tarthatatlan, mindannyian érezzük, h már mi IT szakik sem feltétlen tudnánk felismerni egy olyan diszfunkcionalitást ami éppen bankszámlánkhoz való illetéktelen hozzáférésről árulkodna. Így a politikának lépnie kellett, kellően populista módon tették ahogy aFidesztől ezt megszokhattuk, de a végeredmény kérdéses.

Két út lehetséges:

az egyik a központi szabályozás folyamatos monitoringal a felügyelet részéről. Ez a legszigorúbban felülvizgsálná az online bankoléssal kapcsolatos minden folyamat minden lépését, különösen ahol a felhasználói interakció történik.

Pl. megtiltaná h a különbözö műveleteket egyformán SMS-sel kellejen aláírni, mert a különböző müveletek SMS-ei, mint általában az sms-ek, egyformák nem különülnek  egymástól eléggé, h a figyelmetlen ügyfél is érzékelje, h más fajta müveletet ír alá, mint amit szándékozott volna - ami gyakori jelenség a csalásoknál. Eleve ezt az SMS dolgot el kell felejteni a picsába! Hát baszki nemrég véletlenül vettem észre egy értesítést, amiben az szerepelt, h bank ezentúl nem csak a szokásos számról, hanem más számokról is küldheti az SMS-t?  Mi van?  Hogy faszba gondolják ezt? Ki engedélyezi ezt? SMS-t bárki tud köldeni, ami szintn visszaélésekre ad lehetőséget. Nem jön meg, késve jön meg az sms. Közben az ügyfél többször próbálkozik a művelettel, nem érti miért akad meg a folyamat, aztán amikor megjönnek az SMS késve akkor már nem lehet tudni, hogy most melyik kód lesz a megfelelő. Hol vannak azok a folyamatábrák, amik minden egyes banki művelet tipus esetében külön-külön megjelenítik, hogy mit mikor hova kell beírnia az ügyflnek, milyen értesítéseket kell kapnia, azok milyen formai követleményeknek kell h megfeleljenek, és az egyes lépéseknél mit kell ellenőriznie az ügyfélnek h biztonságosan végre tudja hajtani a műveletet. Nem lehet általánosságban tájékoztatni a banknak az ügyfeleket h milyen értesítések vannak, meg h általában mire kell figyelni. Minden adott művelettípus esetében folymatábrát kell prezentálnia ami nem csak végigvezeti az ügyfelet a műveleten, hanem kitér az esetleges hibalehetőségekre is. És ennek a folymatábrának olyan teljes értékű dokumentumnak kell lennie, hogy ha az ügyfél az alapján jár el, akkor 100%-ig biztos lehet benne, h védve van és kártalanítva lesz. 

Mint látszik ez egy apró szelete a problémának, jelesül az SMS-ek kérdése, de hát látszik belőle, h bank mennyire nem szolgálja ki az ügyfeleit, hát ki tudja, h mennyi időt kell várni egy sms-re? Hogy fordulhat elő, h nincsen ez rögzítve, és minden esetben amikor SMSt küldenek erre nincs felhívva az ügyfél figyelme? Ennyi időn belül kell megkapnod, így és így kell kinéznie az SMS-nek, ha nem kapod meg akkor ezt és ezt kell tenned. Semmi ilyen nincs. Gyalázat. 

Azért írtam ennyit, h érzékleni lehessen h a központi szabályozás és monitoring miért nem járható út. Túl sok mindent kéne központilag szabályozni és aztán folyamatosan ellenőrizni. Ez nem működik. 

A másik, h az egész technikai faszságot ráhagyjuk a bankra, oldja meg, viszotn mindenért ő a felelős és csak akkor működhet ha vállalja ezt a felelősséget. Nyilatkoznia kell róla a felügyelet felé, h vállalja a felelősséget. És ha arról lenne szó, ezzel az ügyfelek élnének vissza, akkor bank tehet büntető feljelentést az ügyféllel szemben, és majd a nyomozás eldönti h mi történt. A banknak megvannak az adatok arról h mikor mi történt, hisz a rendszere naplózza és felkészült szakemberei vannak, ő tudja az érdekét érvényesíteni a csaló ügyféllel szemben. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"mert a különböző müveletek SMS-ei, mint általában az sms-ek, egyformák nem különülnek  egymástól eléggé, h a figyelmetlen ügyfél is érzékelje, h más fajta müveletet ír alá, mint amit szándékozott volna"

Elvileg általános iskolában megtanítják az embereket olvasni... Ja, aki nem érti, mit olvas, annak persze tök mindegy...

"Eleve ezt az SMS dolgot el kell felejteni a picsába!"

Ebben nincs vita...

"Hát baszki nemrég véletlenül vettem észre egy értesítést, amiben az szerepelt, h bank ezentúl nem csak a szokásos számról, hanem más számokról is küldheti az SMS-t?  Mi van?  Hogy faszba gondolják ezt? Ki engedélyezi ezt?"

Azt ne mondd, hogy a bankoknak, pénzintézeteknek megtiltanád, hogy több szolgáltatónál legyen smsküldő szerződésük, akár több küldőazonosítóval? Mondjuk onnantól, hogy az SMS tartalma a feladóval egyetemben mókolható, tényleg ott van, hogy el kéne felejteni. De mi legyen helyette, ami nem SMS, és mégis -gyakorlatilag- minden ügyfélhez el tud jutni?

"Nem jön meg, késve jön meg az sms."

Az SMS nem garantált szolgáltatás, sem a továbbításra, sem annak a késleltetésére nincs semmilyen garancia a mobilszolgáltatók részéről. Van egy célérték, hogy a feladott üzenetek mekkora hányada veszhet el, illetve mekkora hányada a, ami x időn belül továbbításra kerül, amennyiben az a SIM, aminek az azonosítójához van rendelve a sms-sel célzott hívószám az a hálózatra feljelentkezett állapotban van. (Nem, ne akard megreformálni: az SMS így működik...)

"Nyilatkoznia kell róla a felügyelet felé, h vállalja a felelősséget."

A saját IT rendszerében történteket tudja naplózni, tud és kell is azért felelősséget vállalnia, de egy harmadik fél által lemásolt oldal létezéséért nem tartozhat felelősséggel, de ezt már párszor leírtuk neked. Az MNB azt próbálja nyomni, hogy az ügyfelek összes baromságáért feleljen a bank, ami nettó marhaság - és a csalások melegágya egyébként - az elvárható figyelem és elővigyázatosság az üf. részéről is meg kell, hoyg legyen. Ahogy egyébként egy közlekedési balesetnél is egkérdezik a vétlen féltől is azt, hogy "mit tett meg ön a baleset elkerülése érdekében?" 
 

> az elvárható figyelem és elővigyázatosság az üf. részéről is meg kell, hoyg legyen

Na erre a bank akkor hivatkozhatna, ha ő maximálisan megfelelt az elvárható figyelemnek és elővigyázatosságnak, amiről ugye szó sincs, amikor pl. nem garantált szolgáltatásokra alapozza az ügyfelei pénzének védelmét! 
De van itt egy másik mintázat is, amit érdemes észben tartani, az pedig a komplexitás! Az egy taktika lesz a bank részéről, hogy úgy bonyolítsa meg az online bankolást, h direkte olyan aknák legyenek benne, amiket aztán késöbb a kártérítési pereknél felhasználhat a tárgyaláson. Minél komplikáltabb valami, minél több részletre kell figyelnie az ügyfélnek, annál könyebben és többet hibázik, és annál könyebb dolga lesz a banknak kibújnia a kártérítési kötelezettsége alól, arra hivatkozva h az ügyfél hibázott. Hát bazdmeg, pl SMS aláriásnál a művelet megjelölése is egy ilyen akna. Ki gondolná azt alapból, h amikor kapnia kell egy aláíró SMS-t, és az megjön, és nem az aművelet szerepel benne amit elindított az ügyfél, h ez annak jele h épp egy csalás áldozata?  Sokkal inkább gondol arra, h valami technikai hiba történt. A bank nem hívta fel előzetesen a figyelmét arra, h miylen mintázatú SMS-t fog küldeni, és ha nem olyat kap, akkor az nem technikai hiba, hanem csalási próbálkozás. Ez csak a tárgyaláson kerül elő, amikor a bank jogásza ki akar bújni a kártérítés alól. Előzetesen erről nem volt szó. Nekem ppl soha senki nem mondta ezt. Csak a banki csalások áldozatainak pereiről szoló sajtóhírekből döbbentem erre rá, h nem egyfomra sms-ek jönnek, és figyelni kell erre. Bár még az is lehet h eleinte egyformák jöttek, és úgy megszoktam, majd késöbb bevezették a művelet megjelölést, de arról elfelejtettek kellő nyomatékkal értesíteni valami fura oknál fogva...Sőt rémlik olyan beállítási opció is, h csak egyszer kellett alárni és utána akárhány műveletet lehetett csinálni további SMS-ek nélkül. Szóval valószínü h ezt a müvelet dolgot csak menet közben találták ki, kezdetben nem így volt.

Mondjuk a bank által küldött aláíró kódok miért nem szöveggel kezdődnek ami utal a műveletre? Bocsánat, pontosan abból áll elő a probléma, hogy az ügyfél a begépelendő kódszámokat nézi, és nem olvassa el a művelet megjelölést. Hát mi sem nyilvánvalóbb mint az a megoldás, h akkor az ügyfél olyan kódott kapjon h belépés123456 v. utalás654123 stb. Ugye!? Akkor inkább tudatosulna az ügyflben, h mi történik! Nem, ez a nyilvánvaló dolog nem lett meglépve, mert a bank a tárgyaláson pont erre hivatkozva próbál mentesülni a kártérítés alól. Olyan módon küldi a müvelet megjelölést, amit az ügyfelek nagy része nem olvas el. És bár a probléma már sokszor felmerült mégsem változtat rajta. Hát ez nem bizonyság a bank rosszindulatára? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ki gondolná azt alapból, h amikor kapnia kell egy aláíró SMS-t, és az megjön, és nem az aművelet szerepel benne amit elindított az ügyfél, h ez annak jele h épp egy csalás áldozata?  Sokkal inkább gondol arra, h valami technikai hiba történt.

Ja, persze. Tehát ha elolvasod, hogy mihez kértek kódot, de nem az van az üzenetben, akkor biztos technikai hiba, és jóváhagyod. És persze a bank a hülye, és más az ostoba. Néha tényleg gondolkodhatnál is.

Egyrészt: "Elvileg általános iskolában megtanítják az embereket olvasni... Ja, aki nem érti, mit olvas, annak persze tök mindegy..."
Másrészt a "kellő gondosság" az ügyfél részéről is elvárható és el is várják. 

"Ki gondolná azt alapból, h amikor kapnia kell egy aláíró SMS-t, és az megjön, és nem az aművelet szerepel benne amit elindított az ügyfél, h ez annak jele h épp egy csalás áldozata? "

Akinek az IQ-ja nagyjából-egészéből meghaladja egy amőbáét... Ha nem tudja megugrani azt a feladatot, hogy értelmezzen egy egyszerű mondatot, akkor fel kell tennie magának a kérdést, hogy kit válasszon gondnokául, mert az ilyen egyén csk. gondnokság alá helyezése igencsak meggondolandó lépés.
 

"Nekem ppl soha senki nem mondta ezt."

A belégzés-kilégzés megvan? Pedig szerintem azt sem mondta neked senki... 

"belépés123456" - Ez mennyivel könnyebben értelmezhető, mint a "Netbanki belépéshez szüksége kód: 123456" üzenet? AZ előbbinél hihetné azt a károsult, hogy épp a csalók által belebegtetett szolgáltatás belépési díjat rendező utaláshoz kapott kódot, nemde? 

"Olyan módon küldi a müvelet megjelölést, amit az ügyfelek nagy része nem olvas el."

Ha én válaszolok neked valamit, de te nem olvasod el, akkor az kinek is a hibája...?

 

Értem, akkor vesézzük ezt tovább! 

Tehát a bank miért aláíró/megeerősítő kódról beszél, amikor valójában nem pusztán a kódot, hanem a kódot és a müvelet azonosítását egyszerre várja az ügyféltől? Ez teljesen félrevezető. És minden bizonnyal histórikusan alakult így. Azaz eleinte csak a megerősítő kódot várta ténylegesen, és a művelet megnevezése nem is szerepelt az SMS szövegében.  Ezt megszokták az ügyfelek. Mondom volt olyan lehetőség, hogy az ember egyszer megadta a kódot belépéskor és a többi művelethez nem is küldtek SMS-t a session alaltt. Aztán valamikor a bank eszébe juthatott h bele kéne írni az SMS-be h milyen művelethez kérik a megerősítést, így is tettek, csak erről éppen nem infomrálták az ügyfelekiet olyan formában h a korábban megszkott dolog mostantól gyökeresen megváltozik, tessenek rá odafigyelni, hanem csak átírta a bank a 150 oldalas szerződéi feltételeket egyk bekezdését azt jó az úgy. Legközelebb a tárgyaláson került ez szóba, miután a csalók a banki rendszer hiányosságait kihasználva kifosztották az ügyfelet és bank ki akart bújni a kártérítés felelőssége alól. Akkor az eddig elhallgatott müvelet azonosításnak hirtelen perdöntő jelentősége lett. Hááát az ügyfél még olvasni sem tud? Meg is érdemli h kifosszák! Ez a bank és @zeller olvtárs bugrissága. 

Egy problémát nem lehet azon szinten megoldani ahol keletkezik. Az egész anomália hátterében az van, h a bank rendszere nem zárja ki annak a lehetőségét, h a csalók az ügyfél felé mímeljék a bank szolgáltatásait és online felületét, és az ilyen módon megtévesztett ügyfél hamis oldalon megadott aláíró kódjával a csalók a valódi banki oldalon lenullázák az ügyfél számláját. Lássuk már a probléma a bank szolgáltatásának hamisításának a lehetősége, méghozzá könnyű lehetősége. És ezt nem lehet azzal ellensúlyozni, h az ügyfélnek kiküldjök a müvelet azonosítot, mert a tapasztalat is azt mutatja h nem olvassák el az ügyfelek, csak írják a kódot. Most mindegy h erről kinek mi a véleménye, azt mint adottságot kell rögzíteni és ennek az adottságnak a figyelembevételével eljárni a továbbiakban. Na ez az amire a bank nem hajlandó. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

tovabbra is a bank hibajanak akarod feltunteni azt, hogy a user keptelen az ERTO olvasasra.
tovabbra sem erted, hogy a bank nem (sem) tudja azt megakadalyozni, hogy valaki keszitsen egy olyan oldalt, ami kb. olyan, mint az ove. ennek felismerese bizony a user feladata. a bank folyamatosan kommunikalja, hogy csalasok mennek, tessek figyelni. ezt tudja tenni. kepzeld! en az en bankomtol csak iden kaptam legalabb 5-10 ilyen uzenetet, kulonbozo csatornakon keresztul. csak kettot a mobilalkalmazasban.
pont ezert kellene nyitott szemmel jarni es nem mindenfele szart csuklobol, olvasas nelkul ACK-olni. ezt kellene felfogd.
a user sajat erdeke es felelossege, hogy felelosen kezelje penzugyeit es vigyazni az ertekeire.

csak a user nem hibas, mikor nem vigyazott elegge, nem volt korultekinto, nem olvasta el mi van leirva... hat persze...

pont azert tobbszaz oldal egy random koszos AFSZ, mert ha nincs valami leirva, a user jon verni az asztalt, hogy megmikrozta a macskajat, az meg nem elte tul... :)

a tapasztalat is azt mutatja h nem olvassák el az ügyfelek > PEBKAC...

ja, igen, ha ezeket mindig megmentegeted es kartalanitgatod, akkor SOHA nem fogja megtanulni. mit tanul belole? azt, hogy lehet nyugodtan kreten, ugyis a vegen valaki allja a cechet... talan pont nem ebbe az iranyba kellene edukalni :)

"Egy problémát nem lehet azon szinten megoldani ahol keletkezik. Az egész anomália hátterében az van, h a bank rendszere nem zárja ki annak a lehetőségét, h a csalók az ügyfél felé mímeljék a bank szolgáltatásait és online felületét, és az ilyen módon megtévesztett ügyfél hamis oldalon megadott aláíró kódjával a csalók a valódi banki oldalon lenullázák az ügyfél számláját. Lássuk már a probléma a bank szolgáltatásának hamisításának a lehetősége, méghozzá könnyű lehetősége."

Az egész anomália hátterében az áll, hogy az emberek nem tudnak/akarnak olvasni és nem tudják/akarják felfogni, amit leírnak nekik. Lásd a fenti agymenésed arról, hogy a "banki szolgáltatás hamisítható" - nem a szolgáltatás, hanem a weboldal tartalma másolható le, ami ellen nagyon nem tudsz védekezni (tudod: azok a bájtok, amik átmentek a dróton a kliensre, _és_ ott megjeleníthető weboldalt alkotnak, az bizony le is menthető, lemásolható - egy dolog nem másolható le, az az oldal _címe_, az URL, amit használni kell. Ja, azt is el kellene olvasni, vagy épp a kis kacsójával kéne bepötyögni, avagy elmentett könyvjelzőből kéne odakolbászolni... 

"a tapasztalat is azt mutatja h nem olvassák el az ügyfelek, csak írják a kódot. Most mindegy h erről kinek mi a véleménye, azt mint adottságot kell rögzíteni és ennek az adottságnak a figyelembevételével eljárni a továbbiakban. Na ez az amire a bank nem hajlandó. "

Te hogy oldanád meg ezt a problémát? Nem, az ügyfél nem okos, ellenben hülye, sőt debil, és csak a számokat látja meg az üzenetben, és bármi van mellette, nem érdekli, csak agyatlanul másolja azt befelé a ficemfacom.megtort.wordpree.oldal.com/_randomszemét/atebankodsecureoldala/mexívtad.php oldalra... 

(Ahogy a reakcióidat látom, te sem igazánolvasol, vagy lehet, hogy igen, de nem értelmezed, nem fogod fel, nem gondolod át azt, amit neked írnak/írunk... Igen, lassan a galambbal sakkozni jut rólad az eszembe...)

> Te hogy oldanád meg ezt a problémát? 

Bocsánat én soha nem állítittom h ez a kérdés számítástechnikai oldalról megoldható lenne. Épp ellenkezőleg, akár ebben a topikban is többször leírtam, h az élő ember [és az ő szándékai] informatikai jeleknek ill. fordítva az informatikai jelek élő embernek való megfeleltetése hibával terhelt. Minden ilyen hibáért az informatikai rendszert üzemeltetőt terheli a felelősség. Gondolom ez egy olyan állítás ami nehezen lenne vitatható, így axiomának kell tekintenünk!  

A helyzet szabályozási oldalról oldható meg, azzal ha a bank objektív felelősségét kinyilvánítjuk. Az ő rendszere, az ő biznisze a felelősség is az ővé! Köteles jótállni a bekövetkezett károkért. Ha a bank azt gondolja, h az ügyfél visszaélt a bank objektív felelősségével és csaló módon járt el, tegyen ellene büntető feljelentést a rendőrségen, majd a nyomozás kideríti mi történt! 
Ezzel egyidőben biztosítani kell, h az ügyfelek költség nélkül ki tudják venni a pénzüket a bankból, mert az egészséges piaci viszonyok csak így állíthatók helyre. A piaci viszonyok közt a béna és csaló bankok tönkremennek. A normális bankok pedig keresni fogják az ügyfelek kegyeit, nem lehülyézni fogják őket. 
Az összes technikai faszkodás ezután a bank belső ügye. Ha túlbonyolítja a rendszerét vagy az állítólagos biztonság jegyében pl. olyan sms-ekre alapítja amiket az ügyfelei nem olvasnak el és ezekből kifolyólag kár éri őket, akkor a többi ügyfel pikk-pakk átpártól a másik bankhoz a betétállományával együtt. Vagyis a normális piaci viszonyok az online - de tágabban véve az egész - bankolás jelenlegi abszurd helyzetét normalizálnák. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

pl. olyan sms-ekre alapítja amiket az ügyfelei nem olvasnak el 

A bank azt feltételezi, hogy az ügyfél elolvassa az SMS-t. Amelyik ügyfél úgy gondolja, hogy az SMS-t nem kéne elolvasni, az ne legyen ügyfél elektronikus banki ügyintézésben. Téged igazából ki kéne zárni bármely elektronikus banki ügyintézésből, és akkor a banknak is jó, meg neked is.

" az élő ember [és az ő szándékai] informatikai jeleknek ill. fordítva az informatikai jelek élő embernek való megfeleltetése hibával terhelt. Minden ilyen hibáért az informatikai rendszert üzemeltetőt terheli a felelősség."

Magyar nyelven, érthető, szöveges formában kommunikál a delikvenssel a rendszer: értelmes magyar mondatban leírja, hogy milyen céllal küldi az adott kódot, illetve a webböngésző címsorában is olvasható, hogy mely oldalon jár épp az user. Ha ezen szöveges információk meg nem értését te az üzemeltetői, illetve a szövegezést végző területre lőcsölnéd, akkor sajnos nagyon tévúton jársz. 
Ilyen alapon minden szöveges kommunikációért az feleljen, aki mond/leír valamit, akkor is, ha a másik fél, aki kapja az szándékosan vagy tudatlanság miatt félreérti? 

A bank rendszere a bankrendszereponthu oldal. A lofszjoskamegtortwebszervere/behringerzoltan/_bankrendszeremasolva.php _nem_ a banké, nincs fölötte semmilyen kontrollja, ahogy - bár az URL-ben ott szerepelsz - neked sincs. 

Ha az ügyfél nem olvas, akkor a bank fele? Te qrvára el vagy tévedve/rosszul vagy összerakva, azt tudod? 

Így van felelős érte. Ha olyan könnyű lenne a pénzt hamisítani, mint ahogy a banki weboldalakat, és olyan tömeges csalások történnének mint amik az online bankolással kapcsolatban történnek, akkor ezt mindenki be is látná, és követelné h tegyen valamit az MNB. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

a banki oldalaknak is van vizjele, ugy hivjuk URL... :) van femszal is hozza, azt pedig ugy hivjuk certificate. hogy a user ezeket ellenorzes nelkul fogadja el, nem a huszezres hibaja! aki ezt nem erti, nem tartja be, azert senki mas nem felel. se a bank, se en, se senki. es - sokadszorra - ha ezt a sajat karan sem tanulja meg, mindig megmentegetjuk oket, az arra edukalja, hogy nem kell tudatos legyen, nem kell ellenorizni, valaki ugyis allja - helyette - a cechet!

Egyrészt egyáltalán nem látom alapvetésnek, hogy több elektronikus banki csalásos, mint pénzhamisításos ügy történik (pl személy szerint olyat, aki bankot szopott már be egyet sem ismerek, olyat viszont, aki hamis kpt, meg igen).

Másrészt bár én alapvetően egyetértek azzal, hogy sokkal több felelősséget lehetne a bankokra tenni, de ezek az aboszolutiomok sosem jók. Ha a nem kell semmit elolvasni, nem kell semmit érteni, nincsen semmi felelősségem, mert az a rendszer (tm) dolga, hogy mindentől is megvédjen, akkor szerinted az mnbnek a bácsit is kártérítenie kellett volna, akitől 54 ezer forintos bankjegyekkel vették meg a birkáit? Mert azért az bizony kb a hasonló szint, mint hogy baszok elolvasni, hogy mi van az smsbe írva (megengedve, hogy az smsek egy része lehetne jobban fogalmazva)

A második résszel kapcsolatban, alapvetően igazad van. De meg kell érteni azt az alpvetést h az élő ember informatikai jeleknek és az informatikai jelek élő embernek való megfeleltetése hibával terhelt. És ezen hibákért a felelősséget az informatikai rendszer működtetőjének kell vállania. Így ezen hibákból keletkezett károkért is köteles jót állni. 

Az online bank is egy ilyen hibával terhelt rendszer, amiért az üzemeltetőjének kell vállalnia a felelősséget. És alapvetően minden olyan próbálkozást h ezt a felelősséget áttestálja másra, ideértve pl olyasmit h a felügyelet jóváhagyta.... v. az ügyfél a szerződésben vállalta... ki kell iktatni. 

Nem kötelező online bankot működtetni. Ha nem akarja a bank vállalni a felelősséget, akkor nem működtet ilyet. Ebben az esetben célszerű lenne nagyon sok bankfiokot nyitnia ország szerte, h ki tudja szolgálni az ügyfeleit. Más bankok majd úgy döntenek h ők viszont vállalják a felelősséget és akkor nekik nem kell sok bankfiokot nyitniuk. 

A banki rendszernek célszerűen bolondbiztosnak kell lennie, de ez már a bank hatásköre, h milyenné alakítja a rendszerét. 

Itt már szóba került h alapvetően két lehetőség van és h az első (ami megosztja felelősséget a bank, felügyelet, ügyfél között) miért lenne nehezen kivitelezhető. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nem alapozhatja bank olyan biztonsági megoldásra az ügyfelei pénzének a védelmét, ami egyébként érthető, logikus, de az ügyfelek mégis ignorálják valamilyen okból. Az SMS elolvasása ilyen - ugyanis tömegesne nem olvassák el az ügyfelek. Most belemehetünk mélyebben ennek a boncolgatásába, hogy milyen pszichikai tényezők miatt áll elő ez a jelenség, de különösebben nincs értelme ezt vizsgálni, mert a dolgon nem változtat. Egyszerűen a banknak tudomásul kell vennie, hogy az SMS elolvastatása NEM MŰKÖDIK. Azonban mégis jó a rndszerben hagyni, mert aki elolvassa és fel is fogja h épp egy csalási kisérlet áldozata, az el tudja kerülni a kárt. Csak azt kell a rendszerből kivezetni, bár paradoxonnak tűnik, de mégis, h az SMS el nem olvasása olyan gondatlan magatartás lenne az ügyfél részéről, ami mentesíti a bankot a kártérítés felelőssége alól. Ha ez valamiért nem járható, akkor meg kell tiltani a művelet azonosító feltüntetését az SMS-ben. Kéretik helyesen értelmezni: a bank azért felel mert olyan rendszert működtet, ami könnyen hamisítható. A felelőssége ebből ered, és nem abból h ügyfél nem olvassa el az SMS-t. A banknak olyan rendszert kéne működtetni ami nem, vagy csak nagyon nehezen hamisítható ahelyett h olyan "biztonsági" megoldásokat eröltetne, amiket az ügyfelei ignorálnak valamilyen okból.

Az URL-ról már volt szó, könnyű megtéveszteni vele az embereket, szintén nem lehet perdöntő jelentősége. 

> Ha az ügyfél nem olvas, akkor a bank fele? 

Igen, pontosan. Ha az ügyfelei nem olvasnak, akkor nem alapozhatja olvasásra a pénzük biztonságát. Mindegy h mi erről a bank vélemánye, a nem olvasást, mint adottságot kell konstatálnia, amihez alkalmazkodnia kötelessége! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Megvan a megoldás. Login után kiírja a bank oldala, hogy most megerősítteti a userrel az ebank-használatot, és küld egy SMS-t, amelynek az a szövege, hogy ha le akar iratkozni a webbank szolgáltatásról, akkor adja meg a következő kódot, ha pedig nem, akkor ne csináljon semmit. Ha a user megadja a kódot, akkor ezzel le is iratkozott a webes bankolásról, problem solved :D

nem alapozhatod arra a bank felelosseget, ha az egyebkent ertheto es logikus vedelmet az ugyfel ignoralja valamilyen okbol...

sry, de idaig olvastam, a tobbi csak blabla. :)
ha az ugyfel technikailag analfabeta, azert az ugyfel a felelos. nem mas. minden masra ott a mastercard gyamsag intezmenye.

Nem. Az ügyfél nem analfabéta. Olyan pszichikai tényezők játszanak szerepet az SMS nem elolvasásában amik tömeges jelenséggé teszik ezt a magatartást. Nem az olvasás képessége hiányzik, hanem egy olyan metódus van erőltetve ami láthatóan nem működik, mint biztonsági tényező.  Nem lehet az a célja a banknak, h a szolgáltatását jogilag esetleg védhetően, de az ügyfelek bekövetkező kárára folytassa, hanem olyan megoldásokat kell kidolgoznia és alkalmaznia, amik betöltik a szerepeküket és azt ügyfeleik megfelelően használják is. De nem ezt történik és ez a bank felelőssége! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

de, amit leirsz, az alapjan technikailag analfabeta. egyszeru mondatok befogadasara is alkalmatlan (mint egy sms)
ha az van odairva, h tranzakcio XYZ Kft. (12345), amott, hogy tranzakcio ABC Honolulu GMBH (54321), es o ezt nem kepes megkulonboztetni, arra nincs mentseg! ez altalanos iskola masodik osztalyban is megy (vagyishat kellene, hogy menjen...)! ez senki masnak nem felelossege! ahogy arra sincs mentseg, hogy ezt valamiert keptelen vagy belatni.

Akkor a lakossag harmadat gyamsag ala kene helyezni a logikad alapjan. Aztan a gyamok egy reszet is gyamsag ala helyezni.

Nincs annyi jogasz a vilagon, amennyi ennyi gyamsagot lepapirozna. Tizedannyi sincs.

El vagy rugaszkodva a valosagtol es nem vagy megoldascentrikus. Hozzateszem, ebben a temakorben szinte soha senki nem megoldascentrikus. Mar nehany ENSZ szintu alapjogot is at kene gondolni a problema hatekony megoldasahoz...

nem. edukalni kellene.
mondjuk az helyett, hogy betiltogatjuk az iskolaban.
es akkor nem vakon repulnenek nyitott szajjal.
a harmadot fingom sincs honnan veszed, en nem tudok rola, hogy az emberek harmadanak ures lenne a bankszamlaja _scamek_miatt_. de majd linkelsz forrast ra. :)
a B verzio, hogy elveszed toluk az ongondoskodas lehetoseget, mert keptelenek a felelos gondolkodasra penzugyek tekinteteben. jogallamban GLHF hozza.

jogallamban GLHF hozza

Ebben alapvetoen egyetertunk. De szerintem mar "ezt is mas miatt sajnaljuk".

Harmada: szerintem annyitol lehetne ugy elvenni penzt, hogy a lakossag legalabb ketharmada ugy erezne, hogy ok bizony at lettek verve (nemegyenlo feltetlen valodi scam). Sajat becsles, felolem kukazhatod a gondolatmenetedbol, de szerintem van ennyi "funkcionalis analfabeta" vagy "sokak szerint funkcionalis analfabeta".

De a lenyeget nem fogtad meg: a gyamsag nem arra van kitalalva, hogy csak ugy minden heten tizezresevel nyomtassak ki a gyamugyi donteseket. Szoval annak az intezmenye ezen problema megoldasara alkalmatlan. Vegkepp nem lehet minden funkcionalis analfabetat gyamsag ala helyezni, ha meg megis, minden false positive-ot emberi idon belul elbiralni.

Erteni akarod egyaltalan, mit mondok?

A vizsgalat azert jar nekik, hogy sajat hibajuk volt-e.

Legalabb "fogadhassanak" kozepes osszegben (akar hitelre), hogy nem ok hibaztak.

Lehet en is messze jarok a megoldastol, de te meg messzebb azzal, hogy automatikusan ugyfel hibaja modjara aldozathibaztatast kombinalsz valodi hulyek hibaztatasaval.

Valoban nem az. Ahogy masoknak sincs megoldasi javaslata.

Egyelore egyedul en konkretizaltam egy akadalyt, hogy nekem amugy miert nincs megoldasi javaslatom. Ezzel is kelloen tavol, de mindenki masnal kozelebb vagyok a megoldasi javaslathoz.

De legyen egy konkretabb: 60 folottiek kifosztasa legyen a Btk-ban minositett eset es 20 ev letoltendo minimum: ha virtualisan, ha fizikailag tortent. Meg ha lenne par milliardom, javasolnam, hogy ilyenekhez nemzetkozi egyezmeny reszekent ugyanugy legyen kozosen megegyezett kiadatas, mint mas sulyosabb bunokre, pl. gyilkossagra vagy erosen minositett nagyosszegu gazdasagi csalasra.

Nem lehet 20 ev letoltendo? Mert sajnaljak az adozfizetok az adojukat letoltendore, es sporolnak a birok az allam penzen es ezert sokmindenki sokmindent meguszik felfuggesztettel? Akkor ideje ujragondolni, hogy a halalbuntetest kar volt-e megszuntetni... de ahhoz az EU-nak es az ENSZ-nek is lenne egy-ket szava.

Nem tehetunk semmit. Az en javaslatom olyan, hogy talalhatok magamnak egy kicsi szigetet es talan meg tudok ott gyozni par ezer lakost, hogy legyen ez a torveny...

Nem.

A hiba a bunozesi szandeknal kezdodik.

Tul kicsi a lebukas eselye szorozva a buntetes mertekevel, mint elrettento ero.

A meg eppen gyamsag ala meg nem helyezett oregneni helyzeten nehezebb valtoztatni, mint a bunozok legalabb mar elkovetest korabban megtevo reszukon. De az is kozel lehetetlen, mert hat "bizonyitsam rajuk".

Egy aldozathibaztato seggfej vagy. Pont.

Majd ha kiirtja valaki az osszes rokonodat, mondjuk mi is azt, hogy te hibad, hogy nem vettel a feketepiacrol kalasnyikovot, amivel megvedhetted volna oket?

Leginkabb azok a hibasak, akik a buncselekmenyt elkovetik. Meg egyszer: leginkabb azok a hibasak, akik a buncselekmenyt elkovetik. Es takarodjon mostmar mindenki a jo kurva anyjaba, aki maskepp gondolja! A tarsadalmi egyutteles es a civilizacio az oletekbe hullott, de ha rajtatok mulott volna, sosem alakul ki!

Nem olvastam végig az egész szálat, de valahol mindkettőtöknek igaza van.

Fontos, hogy ha lehet, a user legyen minél elővigyázatosabb, részesüljön a legalaposabb oktatásban, legyen megadva minden lehetőség neki arra, hogy ha képes rá, kerülje el a különféle visszaéléseket.
De fontos az is, hogy a rossz szándékkal érkezőket ("bűnözők") megfelelően elrettentsük, a visszaélések elkövetését a lehetőségek szerint megnehezítsük, és legyen felelősségre vonható mindenki, aki egy visszaélésben részt vesz.

Nincs, nem is lehet olyan, hogy csak egyik vagy csak másik úton megyünk, meg az egyik fontosabb mint a másik. A felhasználóktól egyszerűen nem lehet elvárni akkora godnosságot és odafigyelést, mert egy ilyen rendszert, mint egy banki weboldal/alkalmazás nagyon sok élethelyzetben használhatnak, és egyszerűen az emberi psziché nem tud minden esetben teljesen tudatos lenni.

Lehet, hogy 1-5-10-20-50-100 embernek megy, mert sose kellett mondjuk stresszhelyzetben elérni az egyenlegét, de egy banknak alsó hangon is néhány százezertől néhány millióig terjed az ügyfeleinek a száma. Nem lesz mindenki olyan, mint az én ismerősöm, a te ismerősöd, a Kiss Mancikának az ismerőse. De őket is ugyanúgy meg kell védeni.

Nem véletlen, hogy a security egy teljesen külön iparága az IT-nek, mert nem csak a külső/belső behatolóktól kell védeni a rendszereket, hanem sok esetben az emberi figyelmetlenségtől is. Igen, nagyon sok esetben nem egyszerű technikailag bizonyítékot találni erre vagy arra, vagy indokolni ezt vagy azt. De pusztán az, hogy nehéz, ne legyen indok arra, hogy ne is próbáljuk meg (vö: "bizonyítsd rá").

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

nagyon szepeket irogattok, de ez egyik sem megoldas. :)

megintcsak: mi a faszt akarsz kezdeni a kulfoldi scammerrel meg spambottal? :) ertem en, hogy a mostani vezetes szamara akkor van egy problema elintezve, ha tudomast sem veszunk rola/eltuntetjuk/betiltjuk (mint a hajlektalansagot). nem megoldas.

a megoldas az edukacio:
hogy olyanok bankoljanak, akik nem szarnak mindenre. is.

elvegeztek az alt. isk. masodik osztalyt es kepesek az olvasott szoveg abszolvalasara, alapveto, egyszeru mondatokbol allo szovegek tartalombeli osszevetesere.

ertik azt, hogy amikor bankolnak, akkor penzzel - a sajatjukkal! - "jatsznak".

erdemes pl. itt kezdeni a dolgot. #bezzegazenidomben...

komolyan, szomoru, de ott tartunk, h mar a kommunizmusban is tobb volt az ilyen iranyu neveles (gyujtogetos betetkonyv)...

propaganda helyett, pl. tele lehetne ezzel is nyomni a szoso:lmediat, toredek osszegbol kijonne par infotainment anyag. :) dehat ez nem cel

adj halat az éhezőnek és aznap megmented a haláltól.Tanítsd meg őt halászni-örök életére jóllakott lesz, sem ő sem családja nem szenved majd hiányt

Nem sokra mennél a gigabüntetési tételeddel. Önmagában meg főleg. Ahhoz, hogy bárkit le lehessen ültetni, először el kéne kapni. Az esetszámhoz viszonyítva az esetleges lebukás esélye roppant kicsi, látod, még a pénz kimentésénél sem sikerül.

Sokkal inkább a sikeres elkövetés esélyét kell csökkenteni, azt pedig nem a bűnüldözés módszerével lehet, hanem a megelőzéssel. Ahogy a fizikai lopás, rablás ellen pl. zárakkal, az értékek megfelelő helyre rejtésével, elzárásával lehet, úgy az elektronikus csatornák esetén is csak hasonló védekezési eszközök jöhetnek elsősorban szóba.

Ez a bank oldaláról a minél biztonságosabb oldalak, valamint a minél hatékonyabb detektálási módszerek kifejlesztése (és tényleges használata), a rendőrség és kibervédelem oldaláról a minél hatékonyabb és gyorsabb intézkedési rend bevezetése (szerintem nonszensz, hogy egy bejelentés után több napig is elérhető egy-egy phishing oldal), és igen, a felhasználó oktatása is része a dolognak. Ettől ez nem áldozathibáztatás, mert nem arról van szó, hogy csak neki kell másként használni a bankot, és minden más OK.

> Te hogy oldanád meg ezt a problémát? 

Eleve nem érteni, h miért kell a teljes bankszámlát online menedzselni? Tullképp bekorlátozható lenne egy alszámlára az online hozzáférés! Hasonlóan ahogy működik a webkártya is, de ez az online bankolásra terjedne ki. A fő számla nem lenne elérhető az interneten. A fő számláról az online-alszámlára csak korlátozott módokon lehetne pénzt áthelyezni.  Bankfiokban v. bankautomata segítségével. Illetve az még jobb lenne talán, ha a főszámla látható lenne online, tranzakció is kezdeményeuhető lenne, de az csak bankfioki, bankautomatás, telefonhívásos megerősítés után hajtódna végre. Ennek az lenne az előnye, h otthon nyugodtan be tudja állítani azokat a tranzakciókat amiket el akar végezni, majd ezeket együtt elmentve késöbb gyorsan jóvá tudja hagyatni és csak akkor hajtódnának végre. De ez a főszámlára vonatkozna, az online-alszámlán nem lenne ilyen jóváhagyatási korlát, az ugyan úgy működhetne mint most. Ez felhasználói oldalról sztem vállalható kényelmetlenséggel jár, de megadja annak a bizotnságát, h csak az online-alszámlán lévő összeget lehetne kicsalni, a főszámla érintetlen maradna. A bank oldaláról nyilván ígényelne fejlesztést, de gondolom megoldható lenne. 

pl.

Valaki rendzseres utalást akarna beállítani a főszámláról az online-alszámlára, h minden hónapban legyen plnz online számlán amiből tud a neten vásárolni. 5. één kap fizetést, akkor szépen felmegy netbankba és beállíja h a főszámlájáról minden hó 6-án történjen x000.000 Ft utalás az online számlájára. Ezt a tranzakciót elmenti. Másnap pedig szépen odasétál a bank autómatájához, a bankkártyával igazolja magát, és jóváhagyja az elmentett tranzakciót. Következő hó 6-án ott lesz a pénz az online-alszámláján és arról már a jóváhagyás korlátozása nélkül tud költeni. 

 Persze ez nem megoldása az alapvető problémának, de azért nagymértékben növelné biztonságot és csökkentené az esetlegesen bekövetkező kár mértékét. 

Elkerülendő, h a felhasználó az online bankhoz hozzáférő csaló által beállított tranzakciót hagyjon jóvá akaratlanul, a tranzakció jóváhagyásának jelszó v. kérdés-válasz alapúnak kellene lennie! A jelszót/kérdés-választ a felhasználó állítaná be a tranzakció mentésekor. És a jelszó ill. a kérdéshez tartozó válasz csak az ő fejében létezne,( letárolva csak a hash lenne). Ez azt jelenti h a csaló által beállított traanzakciót nem fogja tudni jóváhagyni a felhasználó még véletlenül sem, mert nem ismeri a szükséges jelszót/választ.

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Amúgy ez lett volna a következő érvelésem, hogy eddig mi volt a helyzet a risk analízissel. Azt azért látjuk (pl a fenti godfather malware analíziséből), vannak aktívan használt módszerek a telefon integritásvédelmének megkerülésére. Igen, ezek többnyire nem Pegasus-szintű teljesen drive-by attack megoldások, sokszor igényelnek közreműködést a felhasználótól. De nem hiszem hogy sok ember ki tudná szúrni, hogy egy malware az Android accessibility API-jának a hibáira építve le tudja takarni a teljes képernyőt, majd passthru-zza a valódi (malware által sandboxba rakott) banki alkalmazás képét, így amikor a "feloldómintát" berajzolja, valójában a malware-nek adta oda TPM-ben tárolt kulcshoz a nyitókulcsot. (Megjegyzem - az ügyfelek 90%-a valószínűleg tényleg csinált valamilyen szintű hülyeséget. De objektív definíció nem nagyon volt arra, hogy mi az "elvárható gondosság" és mi az a támadás ami már egy "gondos ügyfél" számára is jogilag elfogadottan megtévesztőnek minősül)

Nyilván amit írsz egy szélsőség, én nem arra érvelek, hogy full szüntessük meg az elektronikus pénzügyeket.

Egyszerűen a bankok jelenleg némileg túlszaladtak a telefon integritásvédelmébe vetett bizalomban. Ezt megtehették, mert az _eddigi_ szabályozás lazaságában teljesen rátolhatták a kárviselést a megkárosított ügyfélre, vagyis a (valószínűség * potenciális_kár) szorzat a bank számára nem volt túl magas. Így nem nagyon kellett foglalkozni azzal, hogy az platform integritása "best effort" jellegű, jogi garancia egyáltalán nincs mögötte. Cserébe viszont versenyezhettek abban, hogy kinél "egyszerűbb", "1-touchabb", "kényelmesebb", "oda se kell figyelni rá"-bb az egész folyamat. Én reménykedek benne, hogy elindul valami visszakorrekció egy normálisabb kompromisszum fele ezen a téren.

Régóta vágyok én, az androidok mezonkincsére már!

Nem kell jönni a főzött ROM-os dolgaiddal, a többség nem használ ilyet, és nem is volt ilyenről most szó.

Ha eredeti ROM van, én akkor sem látom validnak, hogy a telefonon önmagán belül biztosabb második faktort kezelni ahhoz képest, mintha az egyik faktor az egyik készüléken lenne, a másik faktor meg egy másik készüléken.

Az almások és az sms esete... Elvileg az sms a telefonra érkezik ugye... De alma esetén ha a desktop meg van "pimpelődve", és az sms "kényelmi okból" szinkron izélődik a telefon és az almás gép között, akkor hiába a két különeszköz, az valójában mégis egy, és elég a desktop-ra disznóságnak bekerülni, máris vihető a pénz.

Értem, az Apple lehetővé teszi, hogy a telefon össze legyen kötve egy másik eszközzel. És ez úgy kapcsolódik az állításomhoz, mint a főzött ROM-os gondolatod, hogy ..., lényegében sehogy? Azért mert valami nagyjából érinti a témát, még nem lesz logikai következtetés vagy érv egyik irányban sem. Mert te most azzal érvelsz, hogyha két egymással szorosan összekötött eszköz van, akkor az kevésbé biztonságos, mint a két független eszköz. Micsoda meglepetés.

Továbbra is úgy gondolom, hogyha a két faktor két független eszközön van, az biztonságosabb, mintha egyetlen eszközön, a telefonon belül történne minden.

A mobilban egy TPM-ed van, és azzal azonosítod megad, hogy fel tudod oldani, és ez után a tpm hajlandó a megfelelő hozzáférési kulcsot odaadni az alkalmazásnak. 
Az Apple ökoszisztémában ott volt a gond, hogy az SMS, mint 2. faktor egy olyan szinten kompromittált rendszerbe (telefon+desktop) érkezett meg, ahol azt nyom nélkül tudta törölni a kártékony alkalmazás - nem, nem a telefon volt a "bibis", hanem az usernek sokkal több jogot nyújtó desktop környezet. 

Hát, ha még sokszor leírod, hogy az Apple hogy köti össze az SMS-t a desktoppal, én ezt akkor sem érzem releváns érvnek. Amit te írsz, az egy konkrét kiragadott példa arra, hogyan csökkentsük a biztonságot, és milyen meglepő, hogyha ezt csináljuk, akkor csökken a biztonság. De én sehol nem hoztam sem Apple-t, sem SMS-t.

Én annyit írtam, hogy általánosságban két független eszközön jobb a két faktor, mint egy közös eszközön. És igen, nyilván ha valamelyik fel van törve, akkor gond van.

Nem kell ész nélkül mindent telepíteni, meg begépelni a hitelesítési adatokat a kamu oldalakon. Ha ez megvan, akkor akár egy user/pass páros is lehet biztonságos.

Dedikált bankolós telefon+SIM mellett pimpelt mac-kel és iphone-nal se mész semmire.

Most szeretnèk utalni jelentös összeget,hogy kiküszöböljem a hiba fàzisokat.A kis szemtelen bankosok:fintorognak,hülyènek nèznek,felhìvnak,akadèkoskodnak.

Rèszemröl:mosoly.Majd visszakèrdez:Inkàbb ön hibàzzon ebben az àtutalàsban mint èn.Mert akkor tudok hülyèzni.Csòkolom

Kis àtutalàs:online bank/aplikàciò.

Nagy uti:megyek asztalhoz.

Tadàm.

Nem értem h ez micsoda itt! Ebben az esetben mi a szolgáltatás tárgya? És ki a szolgáltató? Most képes voltál azzal előállni, h vannak dolgok amiknek a használatát meg kell tanulni? Baszki nem hiszem el h ennyire korlátolt vagy! Persze repülőgépet is meg kell tanulnia vezetni a pilótának! 
Szóval nem úgy van az, hogy nekem minden hülyeségre reagálnom kéne itt! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Te várod el, hogy a bank minden ügyfele helyett helyt álljon ha kár keletkezik, mindezt feltételek nékül, mert az ügyfélnek joga van hülyének lenni, és a bank kutya kötelessége ezt megoldani egymaga, ügyfél együttműködés nélkül, de engem nevezel korlátoltnak... :-D

Ha nem látod a példám és a vita tárgya közötti erős párhuzamot, azon én nem tudok segíteni. Valószínű újabb példák leírásával sem kerülsz közelebb a mondandóm lényegéhez (vagy az érvelésed elvi hibájának beismeréséhez).

Ezt úgy hívják, hogy nagykorúság. Felelősségvállalás. Vagy hivatalosabban önálló cselekvésre képes személy. 

A tudatlanság nem mentesít a cselekmények következményeitől. Ha valaki nem cselekvőképes, akkor pedig gondokság alá kell helyezni, aki helyette képes eljárni. 
https://hu.wikipedia.org/wiki/Cselekv%C5%91k%C3%A9pess%C3%A9g

( hrgy84 | 2025. 06. 23., h – 19:11 )

Szerkesztve: 2025. 06. 23., h – 19:12

Na, kiderült már, hogy a posztnyitó az igazi ember vagy csak valami elszabadult AI? Vagy kell még 60 topic hogy ez kiderüljön? Mondjuk, legalább pörög a fórum, 300+ poszt, a nyitótól meg alig valami. Jól felkavarta itt az állott iszapot.

Trollokat, okosokat, laikusokat, és összeesküvés hívőket is várok a szálba!

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Volt egy erdekes mozzanat ebben, ami itt nem volt kitargyalva (eddig nem tudtam rola en sem).

A video szerint volt egy hosszabb idoszak, amikor az mbh.hu-n a certificate-et hagytak lejarni. Emiatt a Google elkezdte nem biztonsagos oldalnak jelolni es a Chrome inkabb feldobta a google keresesi talalatokat, ha ezt a cimet irtad be (*). Vagyis sok (itt lehulyezett, mert miert google keresessel megy a netbankra) user valojaban nem is igy akarta elerni a netbankjat, csak szepen ra lett terelve.

Az MBH bank allitotta, hogy nem hibaztak, az mbh.hu sosem volt hivatalos weboldaluk, ennek ellenere valamelyik karosult a videoban megtalalta valamelyik szerzodesben emlitve pontosan ezt az URL-t. Nyilvan a bankban is jobb kez nem tudta mit csinal a bal...

Vagyis ez az egesz agyrem, hogy a google talalatokban a csalo oldalak szisztematikusan meg tudtak elozni a valodi banki oldalt ES ugyfelek tomegei probaltak google keresesen at eljutni az MBH netbank feluletere, nem egeszen veletlenul alakult igy...

* Ez is de gyonyoru feature... hiaba komplett valid URL-t irtal be az address bar-ba, a bongeszo felulbiralja es inkabb a cimsorbol keresesre valt?! Ahelyett, hogy vilagosan jelezne, hogy mi a problema es biztosan szeretned-e az invalid certes oldalt megnyitni. Nyilvan a Google UX-es emberei arra jutottak, hogy a kedves felhasznalokat "megremiti" az "Ez a webhely nem biztonsagos" dorgedelem, ezert mennyivel jobb, ha silently inkabb atdobjuk egy google keresesre (2 legy egy csapasra ugye...). Ez mindig megerosit, hogy jol teszem, hogy nem hasznalok Chrome-ot es a Firefox-ban is azzal kezdem hogy az osszes lehetseges address bar-bol kereses, autocorrect, search suggestion feature-t letiltom.

Régóta vágyok én, az androidok mezonkincsére már!

Ez nem a megrémítésről szól, rengetegen elírják az URL-eket, és mivel a böngészőben ehhez nem férne el az intelligencia, hogy kitalálja, mire gondolt a kedves ügyfél, ezért inkább kitovábbítanak a keresőbe.

Nem is hinnéd, hogy hányan milyen háttérrel irnak el rendszeresen domaineket, és mennek panaszra az IT-hoz (ha van) hogy "dehát nem jön be az XY oldal mer letiltottátok ti szemetek" közben csak elütött két betűt.

Ez belsős oldalaknál fáj nagyon, amiket a google ugye NEM tud korrigálni.

A hülyeségnek sajnos tényleg nincs határa.

 

Amúgy az mbh.hu -s cucc roppant egyszerűen alakult így, valaki fogta, és az "mkb" stringet "mbh" -ra cseréltette mindenhol valami negyedrészt intelligens algoritmussal, ami azért matchelni tudta a kis/nagybetűt. Ugye korábban az MKB weboldala az mkb.hu volt, így lett belőle mbh.hu. Szóval ez is emberi hiba volt mint oly sok minden a történelemben. Ha nem akarják a teljes brandinget KÉTSZER lecserélni mindenütt két éven belül, akkor nem lett volna ebből egy hang baj se.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

"Ez nem a megrémítésről szól,"

Régen azért az volt a standard (nálam most is, mert kikapcsolok minden URL-okosító feature-t), hogy ha az oldalnak nem volt valid certje, akkor kiírt egy nagy "Nem biztonságos"-t, és eleinte volt lehetőség mégis továbbmenni.

Olyat nem csinált a böngésző, hogy _nem elírt_ URL-t figyelmeztetés nélkül, suttyomban felülbírál, csak mert nem valid a certje az oldalnak.

Azért azt vegyük észre, hogy ez egy bazinagy biztonsági kockázat, pláne a belső oldalas példádnál. Ha valaki rájön, hogy milyen belső oldalaitok vannak, amiket elírhat a user, kívül regisztrál/SEO-val benyom egy oldalt, ami a google-ben feljön a megfelelő elírásra. A user meg szépen beírja a céges SSO jelszavát a külső oldalra...

Régóta vágyok én, az androidok mezonkincsére már!

( an-dee | 2025. 06. 27., p – 18:04 )

mi van ha a posztoló is része a rendszernek és igy reklámozza? :)

( kruska v | 2025. 06. 30., h – 14:14 )

Július 1-től minden azonnali banki utalást mesterséges intelligencia vizsgál a Központi Visszaélésszűrő Rendszerben, amely valós időben elemzi a tranzakciókat, és kockázati pontszámot rendel hozzájuk, hogy kiszűrje a csalásgyanús eseteket. Az MNB öt intézkedéssel erősíti a pénzügyi biztonságot: többek között törvénymódosítással kiterjesztenék a bankok kártérítési kötelezettségét, és szigorúbban ellenőrzik a hitelintézetek védelmi intézkedéseit.

https://index.hu/gazdasag/2025/06/30/utalas-banki-csalas-kiberbiztonsag…

( locsemege v | 2025. 07. 06., v – 12:18 )

Van egy gondolatom. A világ összes bankja - de minimálisan országonként - egyetlen egy weblapról legyen elérhető, az adott oldalra belépve lehessen kiválasztani a megfelelő bankot, s ott így mindig a helyes URL szerepel majd. Ennek a közös entry point honlapnak végtelenül egyszerű URL kell, például bank.hu, azt pedig belenevelni a polgárba, hogy csak ennek böngésző címsorába írásával bankolhat, bármely banknál van is a számlája.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Minek, amikor vannak olyanok, pl. dorsy, aki mindenbe beleköt, s csak az számít, övé legyen az utolsó szó, valamint úgy görbítse a teret, hogy igaza legyen. Bármi áron. Az ilyen flame csatákat nem kívánom végigolvasni. Egyrészt lehúz, másrészt időt vesz el az életemből.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

csak mert már volt arról szó, amit felvetettél.

A bank tld alá kéne beregisztrálnia az MNB-nek vagy Magyar Államnak egy hu domaint amit felügyelne, és akkor hu.bank végződéssel mehetnének a bankok. @Zahynak jutott eszébe

Ez a @dorsy egy barom, nem kell neki válaszolni én sem fogok többé. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Legalább olvasnád el, amit írok! Külön ismétlés dorsynak, aki nem figyelt, amikor kellett volna:

azt pedig belenevelni a polgárba, hogy csak ennek böngésző címsorába írásával bankolhat, bármely banknál van is a számlája

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

ehhez kurvara semmi szukseg nincs egy igaz mindenek felett allo kozos domainre... :) ha nem megy megtanulni/felismerni, h otpbankponthu, akkor az egy igaz kozos domain szerinted menni fog? :)
szerinted a user a bongeszobe irja be a scam site url-t kezzel? :) nembaszdmeg, raklikkel :) es ez ellen a kozos egy igaz domain ugyanugy nem ved... :)
az alapproblema a buta/figyelmetlen user. ezt semmilyen technologiaval es semmilyen szerinted vilaglegjobbabb url-lel sem tudod megoldani.

user error. please, change user and press any key to continue!

tehat GOTO 10.

Ezt értem, de olykor váltanak az emberek bankot, mert jobbak a feltételek, a szolgáltatások, vagy a másik zöldebb, lényegtelen. Ne kelljen újratanulni az URL-t, mert látod, hogy képtelenek rá. De az talán menni fog, hogy

1) bankba úgy lépsz, hogy bank.hu
2) bármi ettől eltérő link, bármi az biztosan csalás, ha nem, akkor is
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

fogd fel, hogy nem old meg semmit, most is ott a lehetosege, hogy ranezzen az url barra :) meg ne klikkelgessen ra minden szemetre. ha az otpbankponthut nem ellenorzi, mibol gondolod, hogy a bankponthut fogja? :)

technikailag probalsz megoldani egy pebkac-ot. hint: nem fog menni.

Nem kell ezt túlbonyolítani.

Amikor először belogolsz a netbankba, elmented a jelszókezelőbe a usernév/jelszó párost. Lehetőleg az igazi netbankhoz. Legközelebb, ha kamuoldalra tévedsz, a jelszókezelő nem fogja felajánlani a nevet/jelszót, innen már gyanús lehet a dolog.

Vagy ugye lehetne valami phising-resistant belépési metódust használni a netbankhoz, csak ugye "ezzel nem ostromolják a bankot felhasználók tömegei". A bankot ez meg nem nagyon érdekli, azt mondja, hogy használd a mobilbankot, az a szuperbiztonságos. De persze ha a mobilbankot is a netbankon keresztül regisztrálod, akkor ugyanúgy megszívhatod.

"Amikor először belogolsz a netbankba, elmented a jelszókezelőbe a usernév/jelszó párost."

Azaz tanuld meg a jelszókezelőt (egy normálisat, nem a böngészőbe belegyógyítottat) használni, kezelni... Aztán persze mit fog csinálni az R=1 user, ha nem tölti ki automatice az adatait a bankiweboldal? Előveszi a cetlit, és bepötyögi kézzel, mert "biztos valami technikai hiba miatt..."

"Vagy ugye lehetne valami phising-resistant belépési metódust használni"

Költség-haszon elemzés alapján mi az, ami szerinted ennek _is_ megfelelne? Mert a DÁP például jó _lehet_, az ugyebár kötelezően megvalósítandó...

A DÁP nem a desktop környezetben értelmezhető funkcióhalmazzal bír elsődlegesen. Egy elektronikusan létező okmány, amivel igazolhatod magadat - akkor is, ha a túloldal még semmilyen a priori információval nem rendelkezik rólad. A DÁP azonosít, a desktop-on meg maximum hozzáférési kulcsod lehet, amit valamilyen más módon hozzád kell rendelni annál a félnél, aki felé azonosítani akarod vele magadat. És desktop esetén ez minimum TPM2-től indulhatna... 
Lehet, hogy Windows Hello-val (biometria+tpm) is meg fogja valaki csinálni a bejelentkezést mondjuk a sokelkölthetőpénzevanbank webes felületéhez, de mivel a DÁP _kötelezően_ bevezetendő azonosítási módszer, így amíg az kész nincs, és élesbe nem áll, addig szerintem minden egyéb login/azonosítás témájú ötlet/igény megy a sor végére. 

linuxonly fanboyok

Magamra ismertem :D

De ha az ujjenyomatolvasó hardveresen nem a TPM-hez kötődik, akkor mi értelme? Olyankor hogy gátolja meg a TPM hozzáférést?

A másik meg, hogy egy desktop gépen, amiben lehet TPM2, meg Win11 is, hol van ujjlenyomatolvasó? Itt bizony pinkód van.

De megint ott van ez a hülye FIDO2, ami univerzális szabvány akarna lenni, persze ezt a multis vendorok mindig próbálják a saját termékükre szabni, hogy adott szolgáltatás csak a saját implementációjukkal menjen.

A Windows Hello is egy FIDO2 implementáció:

https://fidoalliance.org/microsoft-achieves-fido2-certification-for-win…

Szóval a banknak nem kéne azon görcsölni, hogy Windows Hello vagy Ubikey, csak szabvány szerint megcsinálni az authentikációt.

Egyelőre a DÁP-ot kell qrvagyorsan megvalósítani, és nem, nincs végtelen mennyiségű erőforrás architect-től fejlesztőn át a tesztelőkig és egyén szükséges szerepkörökig, hogy "mindent is" egyszerre meg lehessen csinálni. És ha nincs nyomás az új feature kialakítására, akkor nem fog bekerülni a top prio csoportba - sokszor olyan, egyébként "must have" fejlesztések/átalakítások is mennek a "majd"-ba, amiket nagyon nagyon meg kéne csinálni - de a véges erőforrások miatt nem fér bele adott időszakba. 

"csak szabvány szerint megcsinálni az authentikációt"

Ami picit összetettebb feladat, mint felrakni egy mezőt a weboldalra - pedig a D&H blog óta tudjuk, hogy az sem öt perc... 

"És ha nincs nyomás az új feature kialakítására, akkor nem fog bekerülni a top prio csoportba - sokszor olyan, egyébként "must have" fejlesztések/átalakítások is mennek a "majd"-ba, amiket nagyon nagyon meg kéne csinálni - de a véges erőforrások miatt nem fér bele adott időszakba. "

Volt anno az user/passwd - kevés volt, lett sms 2FA (látszik, hogy értő olvasásra képtelen userek esetén kevés - bár ők pont nem fognak/akarnak FIDO2-t használni...), lett mobilos app-ba érkező push 2FA - ennél többet nem megvalósítani _üzleti_ döntés volt a bankok részéről. A "nyomás" persze valós, hogy legyen még biztonságosabb, "hülyebiztosabb" az onlány bankoklás - limitmódosítások késleltetése, aml/fraud monitoring erősítése, funkciók átalakítása, stb. jött eddig - most kötelezően ott a DÁP, amit meg kell csinálni, ki kell perkálni az eszközre, fejlesztésre, tanúsítványokra, miegyebekre a nem kevés pénzt... 
Sajnos ez _is_ olyan, mint az összes, az user/passwd/SMS szintet meghaladó, biztonságot növelő fejlesztés: a hülyeség, a nemtörődömség ellen nem véd, mert jellemzően nem azok fogják használni, akik a leginkább veszélyeztetett csoportokba tartoznak... Ahogy egy FIDO2-t sem ez a kör vá(na) el a bankoktól.

Szó volt róla, hogy legyen, lehet-e az SMS 2FA "opcionális", azaz user által letiltható fallback módszer - ennek még nem tudtam utánanézni/kérdezni...

A mobilos app aktiválási folyamatát mindenképp szabályozottabbá, biztonságosabbá kellene tenni - erre vannak ötleteim (ha nincs még mobilos app aktiválva az adott számlához, akkor "erős azonosítás" (bankfiókban, videobankon keresztül, vagy DÁP-pal bejelentkezve) után aktiválható az app. Ha van már mobilos app aktiválva, akkor abból indítható a második app aktiválása, ha a korábbi app nem érhető el, akkor goto 10: bankfiók,videobank,dáp-pal a netbankba. Igen, ez sz0pás annak, akinek Honoluluban esik bele a telefonja a klotyóba, de az ilyen eseteket tekintsük a biztonság szempontjából vállalható kockázatnak :-) 

Egyébként a DÁP hogy véd meg? Nem kötekszem, tényleg érdekel. Ha a user felmegy a fake weboldalra, ami továbbküldi a user felé a DÁP-ban neki bemutatott QR kódot, akkor azzal ugyan úgy hitelesíti a fake weboldal mögötti sessiont, mintha a sajátja lenne. Nekem legalábbis működött, hogy édesapám valamit nem tudott online elintézni, de a QR kód screenshotját elküldve neki beléptette az általam indított sessiont. Ha a DÁP-os azonotsítást kötelezően meg kell csinálni és általános lesz, akkor az időt is megéri rászánni, hogy az ehhez tartozó kódot megírja egy phising oldal.

biztonságot növelő fejlesztés: a hülyeség, a nemtörődömség ellen nem véd

tovabbra is ott tartunk, hogy az online penzezes pont ugyanolyan, mint az offline ebbol a szempontbol. amig a user onkent es dalolva adja oda a vagyonat valakinek, az ellen semmilyen* technologia nem fogja megvedeni. :)

*erre kulfoldon mar regota az megy, h ha valami gyanusat fog az algoritmus (AI), akkor zaroljak a kartyad/szamlad, es kezdheted a bankkal(kartyakibocsajtoval) lerendezni, hogy oldjak fel vagy engedjek a tranzakciot.
esugye jellemzoen ez akkor szokott tortenni mikor a vilag masik felen vagy nyaralni (ez gyanus, eddig nem onnan penzeztel!), rohadtul kene a penzed, de persze az idozonak veletlen sem esnek egybe, szoval ugyintezovel majd X ora/nap mulva tudsz beszelni, stb. :)

ez is a hasznalhatatlansagig novelt biztonsag mintapeldaja. :)

tovabbra is ott tartunk, hogy az online penzezes pont ugyanolyan, mint az offline ebbol a szempontbol. amig a user onkent es dalolva adja oda a vagyonat valakinek, az ellen semmilyen* technologia nem fogja megvedeni. :)

De, erre lenne jó a phising resistant key. A böngésző által kezelt FIDO2 token, mondjuk egy yubikey nem fog egy másik böngészőből (vagy bármi másból) indított session-t azonosítani. Szerintem - ebből a szempontból - a DÁP mostani implementációja, meg bármilyen TOTP vagy PUSH alapú token pont annyi védelmet nyújt, mint a usernév / password. Mielőtt valaki kiforgatja: nyilván előrelépés a DÁP a usernév / password azonosításhoz képest, csak nem phising resistant, a bevezetése az MBH bankosokon nem segített volna.

A kockázatelemzés a banki tranzakcióknál meg nem csak külföldön kötelező, hanem itthon is.

nem feltetlen kell masik bongeszo sem. feltalaltak mar a proxy-t, mint olyant :-)
egy malware pedig lazan viszi a session-od is. a bongeszobol. (lasd pl. honey bongeszo extension affer nemregrol, de egy forge-olt/malicious pl. adblock detto)

sokszor a penz kicsalasa teljesen valid tranzakcio, es megcsak banki oldalt sem kell hozza hamisitani. csak mondjuk egy koszos webshopot.

meg mindig ott vagyunk, hogy ha a user oda akarja adni a penzet csaloknak, erre minden lehetosege adott es azt Te vagy a bank vagy a yubi vagy a dap vagy a fido semmi modon nem tudja megakadalyozni (kivetelt lasd fentebb csillagozva).

tovabbra sem ott keresed a megoldast, ahol a problema gyokerezik. igy a megoldas sem illeszkedik ra.

Nem igazán konzisztens, amit írsz:

  • A user nem akarja odaadni a pénzét. Ő bankolni akar, csak könnyű megtéveszteni
  • Ahhoz, hogy a proxy bontsa az TLS kapcsolatot, valahogy a proxy saját tanúsítványának át kell kerülni a PC-dre, mint trusted CA. Ugyan úgy a malware-hez is kell egy user interakció és rövid időn belül ki fog bukni és bekerül az összes vírusvédelembe. Ezek célzottan esetleg működnek, de nagy tömegben sokkal nehezebb összehozni, mint a phisinget.
  • A MBH usereknél nem volt malware vagy proxy, legalábbis a támadásban nem volt szerepe.

tovabbra sem ott keresed a megoldast, ahol a problema gyokerezik. igy a megoldas sem illeszkedik ra.

Heh? Egy phising attackot létező phising resistens technológiával megakadályozni nem illeszkedő megoldás? Furcsa elképzeléseid vannak a világról.

Ügyfelek tömegeinek nincs fogalma arról, hogy ilyen technológia létezik. Az ügyfelek tömegei a bankot ostromolják azzal, hogy "oldjátok meg". Ráadásul a jogszabály módosítás óta az ügyfelek tömegének az első phising ingyen van, a bank állja a számlát. Egy FIDO2-es hardver token ára nagy tömegben véve kb. 10k HUF lehet, vagy még olcsóbb. Amint ez kevesebb, mint amit a phising miatt várhatóan ki kell fizetnie a banknak, majd bevezetik.

ami tovabbra sem ved az ellen, hogy az ugyfel hulye... erre nincs mentseg. semmilyen. csalok azota vannak, amiota a kereskedelem letezik. ertem en, hogy nektek egy vicc esetleg uj, de ne tegyunk mar ugy, mintha ez az mbh-s eset valami uj, sosem latott, egyedi dolog lenne. :)

nem vedi meg az ugyfelet attol, hogy balfasz legyen. ezt kellene felfogd. :) nemcsak a banki oldalt lehet hamisitani. remelem erted.... utana pedig tejesen valid banki tranzakcio lesz a kamu webshopbol/lottooldalbol/whateverbol.
tovabbra sem ott keresed/probalod megoldani a hibat, ahol az keletezik: a klaviatura es a szek kozt.

ajanlom figyelmedbe https://hup.hu/comment/3078435#comment-3078435 itt is le lett irva, h ha az ugyfel hiabaja, igy jart... namost ezt most szepen felrugjuk.
alig varom, hogy random ne menjenek le tranzakciok ez miatt, mert a bank felti a segget az ugyfelvedelem neveben es majd jol megfog random barmit is. :) amire persze elkolt jopar zsak penzt, amit pedig en - mint ugyfel - fogo kallni, veled, meg mindenki massal egyetemben.

a felelossegi korok osszemosasa meg soha, sehol nem vezetett jora :)

az en megoldasi javaslatom, hogy legyen egy olyan, mint a kotelezo biztinel, aki egyszer megszivja korlatozzuk a bankolasi lehetosegeit es megemeljuk a szamlavezetesi dijat, raengedjuk az accountjara az automata fraud detection lvl100-at, majd aki ennel is tobbszor, arra pedig a level1000-et, es igy tovabb. amig elmegy a kedve a random butasagtol :)

De. Bizonyos típusú balfaszságok ellen megvédi, ami ráadásul elég elterjedt. A nem banki oldalakon nem a banki hozzáférésedre vadásznak, hanem a bankkártyáéra. Ez megint más tészta.

Amúgy is, az, hogy te azonosítod magad a bank felé, egy dolog. De ha a bank kriptográfiai módszerrel azonosítja magát feléd, az üdvözlendő (az, hogy nézd meg URL-t, főleg az unicodeos világban, nem kriptográfiai eljárás - bár egy olyan helyen, ahol elektronikus aláírásnak hívják a tableten aláfirkált ákombákomot, ez biztos űrtechnikának hangzik)

ha meg nem balfasz, az az osszes balfaszsag ellen vedi meg. human errort probalsz meg adresszalni technologiai eszkozzel. nem fog menni.
hogy nézd meg URL-t, főleg az unicodeos világban > nem! ne klikkelj ra a scam url-re es akkor nem kerulsz az akombakomba. nem bonyi ez. vagy hasznald a dedikalt mobilappot.

nem a banki hozzáférésedre vadásznak, hanem a bankkártyáéra > nem. penzre vadasznak.

A kedvenc mobilos appod mitől olyan szuperbiztonságos? Hogy nem csak te azonosítod magad a bank felé, hanem a bank is azonosítja magát az app felé. Desktopon ez felesleges, csak ne kattints a scam URL-re? Az ilyen DNS poisoning és egyéb módszereket, amelyek a user háta mögött történhetnek, ne is vegyük figyelembe.

Valaki említette már a veled való vitatkozással kapcsolatban Zuzu Petalst...

DNS poisoning > app eseten tokmindegy, mert akkor ki sem epul majd a kapcsolat, hisz' a poisoned IP-n nem a bank certje fog figyelni :)
mitől olyan szuperbiztonságos? > megvedi a parasztot az URL elhibazasatol. ahonnan a gond indul, lasd a topic cimet. attol :)
szivesen, Ms. Petals! :)

Ott meg kell védeni?

Desktopon meg ne kattints scam oldalra! Miközben lenne technikai lehetőség szintén kriptográfiai azonosítást eszközölni a bank oldalára. 

poisoned IP-n nem a bank certje fog figyelni

Miért a scam oldalon a bank certje figyel?

 

Te tényleg nem látod itt a kettős mércét? Vagy na mindegy, én feladom, nyertél.

"Miközben lenne technikai lehetőség szintén kriptográfiai azonosítást eszközölni a bank oldalára."

A kliensen mi ellenőrzi, hogy tcp-kapcsolat valóban a banki kiszolgálást végző szerverrel (pontosabban a banki oldalon a TLS-t termináló eszközzel) épült ki? Ha előre ott lévő beépülő modul a böngészőbe, akkor az hogyan kerül oda? Ha az adott tcp-kapcsolatban letöltött komponens, akkor mi akadályozza meg a a MITM támadót, hogy azt a saját verziójára cserélje? 

A kliensen a böngésző ellenőrzi, lévén a webauthn tokenhez hozzá tartozik a site aláírása, mint ssh-nál a host key. Ezt ha meg tudja hamisítani a támadó, akkor ott már jóval nagyobb a baj.

Nyilván az előfeltétel, hogy a token generálás az nem kompromittált módon menjen végbe, ugyanúgy mint kedvenc mobilodon az app regisztrálás.

Hol kap/kér a böngésző tokent a DÁP-os folyamatban? És hol van kikényszerítve/megmondva neki, hogy ezt tegye?
User beírja a mexivtadponthu url-t, bejön a banki login oldal másolata. User azt mondja, hogy ő biza' DÁP-pal óhajt authentikálni, ekkor a user böngészője -> támadó útvonalon elindul a kérése, majd a támadó -> bank útvonalon a bank kap egy "dáp-ot akarok" kérést. A bank -> támadó küld qr kód meg fittyfene, támadó - > user böngészője útvonalon megy egy QR-kód, meg némi sallang, hogy az oldal megjelenjen.
User a qr-kódot bemutatja a DÁP-os alkalmazásnak, app elmegy dáp szerverekhez, dáp szerverek - bank megbeszélik, hogy adott qr kódot Gipsz Jakab csippantotta le, bank -> támadó küldi Gipsz Jakabot bejelentkeztetve az oldalt (ha kell, a banktól kapott összes adat ott van a támadónál, tehát tud rá válaszolni érdemben és helyesen), támadó -> user böngészője megy a netbanki oldal, kellően lassan, hogy közben a támadó ezt-azt meg tudjon csinálni, estébé. 

 

Hogy jön ebbe a szálba a DÁP?

Én a yubikeyes FIDO2 megoldásról írtam, ami szerintetek nem kell, mert a DÁP nagyon jó lesz. Mint most kiderült, tényleg milyen jó, hogy simán ellopják a sessiont. De legalább a böngésző mellett még a QR kóddal is szerencsétlenkedhetsz.

Jelenleg NINCS FIDO2 vagy más hasonló megoldás implementálva. Lehet_ne_ implementálni, de ahhoz az erre alkalmas eszköz nagyobb elterjedtsége kellene.
Ügyfélnek kényelmetlen, mindkét érintettnek (bank és ügyfél) költséget jelent - lehet, hogy meg fogják csinálni valahol, de amerre a neobankok mennek, esélyesebb, hogy a webes felület funkcionalitása hamarabb lesz leszűkítve/korlátozva, és a mobilos alkalmazásba terelve a bankolás... 

> nem a bankot csaptak be, hanem az ugyfelet... :)

Tevedsz.

A bankot is becsapjak: hamisan allitjak, hogy jogosultak az adott penzhez valo hozzaferesre.

[Nagyon furcsa egy faszkalap vagy: a YouTube ToS-et ne szegje meg senki szerinted, de buncselekmeny (ami sokkal sulyosabb egy ToS sertesnel, ToS sertes meg polgari perhez se feltetlen eleg) eseten mindenkit hibaztatsz, csak az elkovetot nem.]

nem. az ugyfelet verik at es veszik ra, hogy nekik adja oda az adatait, a bank helyett. :) a social engineering klasszikus esete, spammel meg kamuhirdeteses kamulinkekkel terjed. lasd link fentebb, tessek, ideznem:

Az ilyen módszert nevezzük phising-nek, vagyis adathalászatnak. Ez a módszer, az áloldalak használata, különösen veszélyes, mivel velük bizalmas adatokat lopnak az emberektől, és a megszólalásig megtévesztő kinézettel könnyűszerrel teszik ezeket. Legyenek elővigyázatosak, ha ehhez hasonló, nem várt számla érkezik, amelyről korábban nem tájékoztatták más formában, és semmiképpen ne nyisson meg a levélből távoli tartalmakat! A veszély nagyon is valós!

khm... :) 

a proxy saját tanúsítványának át kell kerülni a PC-dre > nem kell. mert nem az a domain. innen indulunk.

A MBH usereknél nem volt malware vagy proxy, legalábbis a támadásban nem volt szerepe. > es?

Heh? Egy phising attackot létező phising resistens technológiával > az ellen nem ved, hogy a user buta es csalok atverik. nevezd aminek akarod.

ugyanigy vettek anno a nyugger tomegek havi reszletre tizszeres aron laboskeszletet meg ujsagelofizetest, es jott a csekk minden honapban. lemondani meg mar nem sikerult.

vagy az okos Manci, mikor kapott emailben egy thunderbird extensiont, duplaklikk/tovabb/ok, aztan mikor a levelezokliens ujra bekerte a user/jelszo parost, szepen megadta... :) ugyanitt/ugyanigy kaphat browser extensiont is, onnantol keszen vagyunk. :)

ezeket a usereket nem menti meg a fido meg a dap. sem.

attol, hogy a csalas online megy vagy offline, semmi sem valtozik, max a modszerek finomodnak :)

tovabbra sem erted a mondandom, sot, a nagy reszet ignoralod. :)

a proxy saját tanúsítványának át kell kerülni a PC-dre > nem kell. mert nem az a domain. innen indulunk.

Ja, hogy beszop valaki egy phising linket ÉS van egy mitm proxy a hálózatában. Kiterjedt, könnyű, nagy tömegeket érintő támadási forma.

vagy az okos Manci, mikor kapott emailben egy thunderbird extensiont, duplaklikk/tovabb/ok, aztan mikor a levelezokliens ujra bekerte a user/jelszo parost, szepen megadta... :) ugyanitt/ugyanigy kaphat browser extensiont is, onnantol keszen vagyunk. :)

Persze, elméletben lehetséges. Gyakorlatban az emberek jelentős része a munkahelyi gépéről netbankozik, ahol tiltva van a browserbe az extension telepítés. Néhány napon belül pedig minden vírusirtó sikít. De adj linket olyan kiterjedt támadásra, ami ezen a módszeren alapult vagy a proxys módszeren.

tovabbra sem erted a mondandom, sot, a nagy reszet ignoralod. :)

De, értem a mondandód, létezhetnek edge case-ek, amikor a hülye usert nem mentheti meg semmi. Csak ezek általában célzott támadások és/vagy nem tudsz olyan esetet mutatni, amikor tényleg használták volna őket. Itt eddig azt hittem, hogy az MBH-ról beszélünk, ami egy sima nagy tömegű phising volt. Ami nem erre vonatkozik, az a "Lényegtelen konklúzió" érvelési hiba, ezért ignorálom.

az emberek jelentős része a munkahelyi gépéről netbankozik > rugnam is 3.14-an mindet, aki ilyet mer csinalni a ceges infraban
ha a user nem lett volna balfasz, a phishing sem tortenik meg. ebben azert remelem megegyezhetunk :)
pont attol social engineering a dolog, mert nem a technikat basszak meg (ugyfel/bank), hanem az ugyfelet verik at: veszik ra, hogy olyan helyeken adjon meg szenzitiv adatot/olyanoknak, ahol/akiknek azt nem kellene. :)

lehet ezek ellen kapalozni, de ugye ez az RBL tipikus esetehez hasonlo, ahhoz elobb az IP/domain felol rosszalkodni kell, hogy az felkerulhessen egy mondjuk egy endpoint security listara. a mai felhos vilagban, ahol ezrevel tudsz ilyet spawnolni percek alatt, hat na... eso utan koponyeg mondasa.

alap policy, h ceges eszkozt maganra nem hasznalunk. pont.
lattal te mar valaha informaciobiztonsagi oktatast? :)
normalisabb helyeken az utolso titkarnonek is kotelezo vizsgazni is belole. csakmondom.

es aki reszt vett hasonon es sikerult abszolvalnia az ott elhangzottakat eszebe nem jutna a sajat balfaszsaga miatt a bankot okolni. :)

Fejezzétek már be ezt, eddig egész pontosan 0 db olyan munkahelyem volt, ahol ne lett volna valamilyen fair use policy a céges eszközök magáncélú felhasználására. Persze, majd kirúgnak, mert a céges laptopról veszem meg a hétvégi programhoz a belépőket, ti ezt komolyan elhiszitek?

Gondolom nálatok sem fordult elő soha, hogy céges gépről néztétek a napi betevő hupot.

szerk: "lattal te mar valaha informaciobiztonsagi oktatast? :)"
Én még tartottam is – mi a kérdés pontosan?

--
Sent from my céges gép

Default tiltott a ceges gep magan celu hasznalata.
Barmelyik multinal belenezhetsz az ibisz-be ezugyben.

Lasd meg:

A munkáltató által biztosított számítástechnikai eszközökkel összefüggésben a hatályos
rendelkezésekhez képest a változás abban mutatkozik meg, hogy a magánélet ellenőrzésének
kizárása helyett a hangsúly arra kerül, hogy a munkavállaló a rendelkezésére bocsátott
számítástechnikai eszközt kizárólag a munkaviszony teljesítése érdekében használhatja, mivel
az Alaptörvényből és a Polgári Törvénykönyvről szóló törvényből is levezethető a munkáltató
azon kötelezettsége, hogy a magánélet nem ellenőrizhető. A 11/A. § (4) bekezdése alapján
tehát a munkáltató az átadott számítástechnikai eszközön tárolt adatba az ellenőrzés során
addig tekinthet be, ameddig el nem tudja dönteni, hogy az adat magáncélú adat-e.

Vagy csak nem vetted be a reggeli kavintonod. Te írtad:

az emberek jelentős része a munkahelyi gépéről netbankozik > rugnam is 3.14-an mindet, aki ilyet mer csinalni a ceges infraban

Erre kértem példát, hogy hol rúgtak ki embert azért, mert a munkahelyi gépén megnyitotta a netbankot. A "tologatod a golvonalat" céget nem ismeri a cégjegyzék.

Default tiltott a ceges gep magan celu hasznalata.

És akkor mi van? Tankönyvbe illően diszpozitív az erről szóló norma.

Plusz minden munkáltató, aki kicsit is talpraesett, az beleírja a céges policy-be a korlátozott magánhasználatot, mert ha nem írja bele, azzal csak magának szívatja a 11/A. § (3) miatt.

Olvasd el alaposan a 11.A § (3) as pontot! Ha gondolod, örömmel segítek az értelmezésében, s egy, számodra eddig ismeretlen nyelvi szerkezettel ismertetlek meg, ami nevezetesen a feltételes mód. Az, hogy a munkavállaló ellenőrizhető a munkaviszonnyal összefüggésben, nem jelenti azt, hogy a munkáltatónak kényszeresen ellenőriznie kell a dolgozót, hovatovább akár még felnőttnek is nézheti a munkavállalót, akiben esetleg még meg is bízhat. Tudom, furcsa, de vannak helyek, ahol a munkavállaló nem azonos a fizetett ellenség fogalmával.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

De jure magáncélú használat az is, ha küldök neked egy levelet, és megkérdezem, hogy hogy van a családod, vagy épp boldog születésnapot kívánok, ahogy az is, ha megemlítem, hogy hét végén pecázni megyünk, ha gondolod, csatlakozhatsz. 

És ezekre a _beérkező_ magán tartalmakra semmilyen ráhatásod nincs. 

De mondhatom a HUP-os fórumozást is: az például jogilag lehet ez is meg az is - ha a munkádhoz köthető topicot olvasol, ott vagy aktív, akkor az lehet (nem biztos, hogy az!) munkához tartozó használat, de ha egy flame-et pörgetsz, vagy a mumnkádhoz egyáltalán nem köthető kérdések boncolásában veszel részt "hobbiból", akkor az már simán kimeríti a magán célú használatot. (De jure ha excelben összerakod, hogy mire mennyit költöttél, az tisztán magán használat ugye...)

 

És hogy akadályozod meg, hogy például születésnapod alkalmából valaki privát tartalmú levelet küldjön a céges címedre? Ez lehet egy ügyfél/üzleti partner is... Vagy csak a munkához kapcsolódó tartalom mellé de jure magáncélú közlést is belerakjon a levélbe? 

hint: adatkezeles, szemelyes, szenzitiv adatok, amihez a cegnek vajmi koze van. az uzleti ugyfel boldogszulinapotja, na, az pl. pont nem ilyen.
az annal inkabb, h Bela a zasszonynak melyik webshopnak milyen piros csipkes bugyiert fizetett a szulinapjara.

ha nem allapodtal meg rola a munkaltatoddal maskepp, akkor tilos. ennyi.

11/A. § *  (1) A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.

(2) A munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert (a továbbiakban: számítástechnikai eszköz) – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja.

szoval a kolleganak kene olyan ibiszeket/munkaszerzodeseket/kollektiv szerzodeseket elokapni a sok negybetus papirjaval, ahol ez explicit engedve van... csakmondom. :)

Érzékelhető az elmozdulás a korábbi explicit tilos kijelentés felől a 'megállapodás hiányában' felé. Határozott javulás. Ennek fényében azért nem ártana felülvizsgálni korábbi harcos 'tilos' kijelentéseidet (tudom, hogy nem fogod).

A céges telefont is szabad volt nálunk magáncélra is használni, nekem nem is volt másik telefonszámom. De pl. a bérjegyzék is online volt elérhető, és a céges hálón csak a céges számítógép tudott működni, kicsit érdekes lett volna, ha nem nézhettem volna meg, mert az magáncélú használat :D

A KKV-ket nem merem tippelni (ahol épp dolgozom az KKV kategória, és le van papírozva az ellenkezője). A multiknál - magyar szemmel nézve 1000+ munkavállaló - szerintem 100%-kot közelíti ez. Jellemzően az van az ibiszben, hogy fair use-t nem tiltja a munkaadó (azért pornót ne nézz a céges notebookon), de tudomásul veszed, hogy a céges eszközön a munkaadó sem tudja technológiailag megkülönböztetni a céges és magán használatot, ezért mindkettőt megfigyelheti.

Ennek ellenére például a perimeter eszközök úgy vannak beállítva azoknál a multiknál is, akikre rálátásom volt / van, hogy a GDPR-ra hivatkozva a bank, az egészségügy és a government témájú oldalaknál nem bontja az SSL csatornát és nem elemzi a forgalmat, csak átengedi.

mismasolas. megintcsak a zavarosban halaszas esete: mi az, hogy fair use? :) ki mondja ra, hogy az vagy se? :) tudtommal pl. pornot nezni sem sert semmilyen torvenyt, akkor az miert nem fair?
scam mailbol beszopni a maganbankos hamis site-os URL-t az mar fair use? :) aztan ha ebbol -neadjisten- nyomozas lesz es jonnek lefogalni a ceges lapost nyomozashoz, az fair use volt? :)

ugyebar itt az adatkezeles a problem, foleg ha pl. keszul mentes is a munkaallomasrol. hogy valogatod szet a bongeszoelozmenyekbol mi a magan/mi nem, stb. a gond mindig ott van, h a user keptelen rendet tartani maga korul, oszt' (elo pelda) mikor telenyomjak a ceges sambat eskuvoi fotokkal, akkor meg megy a siras, hogy de azt a ceg ne kezelgesse. :)

ezert kell hatarokat szabni ennek, hogy aztan ne kelljen ilyenekkel baszakodni egy esetleges incidens felmeresekor, hogy kinek meddig mije ceges/magan.
ugye, te most informatikai/azzal fogalatoskodo vallalatokrol beszelsz? :) mert a tv. minden vallalkozasra ervenyes. :) csakmondom. en tudok olyan cegrol, ahol konkretan 0 maganhasznalat engedett a ceges gepen, es a hasznalatrol bizony screenshotok keszulnek, kb. perces gyakorisaggal. 7/24.

mashol meg byod van es pont beleszarnak, h min nezed meloidon kivul a poreszt.

Kedves Zuzu! A fair use elég jól definiálva van az ibisz-ben. Az adatkezelés azért nem probléma, mert felhívják a figyelmed rá (aláírod), hogy technikailag nem lehet szétválogatni a magán- és a céges használatot, így belenézhetnek, lemásolhatják,  menthetik, stb. a céges notebookon végzett magán célú dolgaid is. Ha ez nem tetszik, akkor lehetőséged van nem használni magán célra az eszközt.

A BYOD nem tudom, hogy jön ide.

Biztos van olyan cég, ahol 7/24-ben screenshotok készülnek (ki nézi és elemzi ezeket?), mondjuk elég nagy hülyeség. Miért nem tiltják technikai eszközökkel azt, hogy mást is meg tudjon nyitni, mint ami a munkájához kell? De biztos jól megfizetik, aki ilyen helyre megy dolgozni, én valószínűleg nem mennék. Olyat is láttam már, ahol egyszerűen nincs internet elérés a gépen, mert nincs szükség hozzá a munkához és a pornó kiadók és TV csatornák embereket alkalmaznak azért, hogy pornót nézzenek, nehogy valami olyan kerüljön adásba / streambe / forgalmazásba, ami egyébként a saját belső szabályzatuk vagy a jogszabályok tiltanak. Tehát van, aki pornót néz munkaidőben. Edge case-ek mindig vannak, de ennek ellenére a jellemző az, hogy céges telefon, céges notebook és céges autó esetén van magánhasználat.

akkor nem erted a torveny celjat sajnos. pont az a gond, hogy a munkaltatod nem kezelheti a maganeletedhez kapcsolodo adatokat. :) semmi koze hozza. es betekintesi joga is max addig van, mig ez eldol. :) es epp ezert tilos by default torvenyileg a magancel. ez egyertelmusiti a hatarokat. a legtobb ceg nem akar ezzel a valogatassal szopni. a legtobb user meg by default kreten es keptelen a rendtartasra. hint: ezert mondtam az elejen is a 3.14anrugast. (mar az internetbankolas is feladja a lecket... :)
szoval benyalni a banki scamet az fair use? :)
felreertes ne essek, ha valaki kepes az adatait es a ceges adatokat megfeleloen kezelni (a topikbeli usereknel ez erost vitathato imho), ott semmi gond.
az, h valamin van-e internet total irrelevans. maganadatod lehet egy koszos pendriveon is. meg a4-es papiron is. meg a ceges o365-ben is.

a munkaltatod nem kezelheti a maganeletedhez kapcsolodo adatokat

Ez így van és helyes.

 epp ezert tilos by default torvenyileg a magancel

Ez viszont nincs így, hülyeséget beszélsz. A munkáltató szabályozhatja ezt, ha a hátsóját védeni akarja, de csak ennyi. Másik opció az, hogy nem nézegeti a munkavállaló gépét. Miért tenné? Elkészül a feladat vagy nem? 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

olvasd el a torvenyt megegyszer :) latom nem sikerult a megertese.

eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja.

ha ti maganra is hasznaljatok, de nincs leirva sehol, akkor gyorsan szaladj a ceges jogaszhoz, hogy potolja, vagy ne csinald :)

Egyik cégünknél néhány kolléga összefogott és úgy gondolta, hogy átmennek a konkurenciához. Úgy gondolták, hogy ehhez a teljes, többéves levelezésüket, a szerződéseket, dokumentumokat és mindenféle anyagokat, amik a hálózaton a számukra elérhető volt, letöltik maguknak, gondolták jól jönnek még ezek az anyagok az új helyükön. Az IT figyelt fel a meglepő forgalomra és derítette ki, hogy a dolgozók az új munkáltatójukkal a céges hivatalos e-mail címükről egyeztették le a távozásuk és az új helyen történő munkakezdésük feltételeit és időpontját. Senki nem "nézegette" a munkavállalók levelezését egészen addig, ameddig fel nem merült, hogy mégis miért töröltek egyszerre több gigabájtnyi levelet a fiókjukból. Azt mondták, úgy gondolták, nincs szükségük már a levelekre. 

Fantasztikus egyesek azon felismerése, hogy kapitalista piacgazdaságban élünk. Egyébként olyan cégnél dolgozom, amelyik úgy jött létre, hogy egy másik cégből az egész fejlesztés egyszerre dobbantott, s létrehoztak egy új céget. Akkor még nem voltam ott, amikor ez történt.

Jó, hogy odáig nem megyünk, hogy aláíratják a munkavállalóval, hogy nem mondhat fel soha, persze a cég kirúghatja, de az csak közös megegyezéssel történhet. Így gondolod helyesnek?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Senki nem vonja kétségbe, hogy egy komplett szervezeti egység valamilyen megfontolásból egy egész céget tönkretehet és sok más egyébként a helyén maradó munkavállaló megélhetését is veszélyeztetheti. Ez a veszélyeztetés nyilván átmeneti és senki nem kíván hűségnyilatkozatot a munkavállalótól, bár az adott esetben erre is sor került, mert a távozó munkavállalók több menetben jelentették ki, hogy eszük ágában sincs a cégtől távozni.

Ugye a medencébe se hugyozik senki a strandon, de ha mégis, akkor annak is van minősített esete, amikor a vendég ezt a trambulinról teszi. Esetünkben erről volt szó, példának azért hoztam, mert az IT-nek igenis feladata a cég bizalmas anyagainak védelme és az adatvesztés megakadályozása - akkor is, ha ez az a dolgozó egyéni szabadságjogait valamilyen értelemben sérthetné. Igenis beletekinthet a levelezésbe és ha megállapítja, hogy a dolgozó bizalmas információkat továbbít illetéktelenek felé, vagy egyszerűen szokatlan esemény történik, mint az említett esetben, akkor az IT-nek intézkednie kell. Ezért megfizetik.

Ha paranoiás a munkáltató, akkor neki olyan dolgozó kell, aki munkaidőben okos, a gyárkapun kilépve mindent elfelejt, másnap a gyárba belépve újra minden eszébe jut. Továbbá a szakmájában okos, a munkajog kérdéseiben egy nyálát csorgató, tájékozatlan félkegyelmű. Ilyen nincs, ezt felejtsd el.

A problémára az a megoldás, hogy nem úgy kell kezelni a munkavállalót, mint fizetett ellenséget, hanem emberként kell vele bánni, jó munkafeltételeket és munkahelyi légkört kell teremteni. Ebben az esetben a munkavállalóban nem fognak indulatok forrni, hogy valamiféle kicsinyes bosszúvágyból hogyan teheti a legnagyobb kárt a cégnek még törvényes kereteken belül, mert azt érzi, hogy a tulajdonosok, a management célja egybeesnek a munkavállaló egyéni céljaival, ha úgy tetszik, egy hajóban eveznek.

Amúgy a példádban csak szimplán hülyék voltak a lázadók, mert ha ilyesmit terveztek, azt nem céges infrastruktúrán kellett volna egyeztetni.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mindenben egyetértünk 

A példa éppen azért jutott eszembe, mert a szóban forgó esetben a munkáltató nem volt paranoiás, nem figyelte a dolgozók levelezését, a munkavállalók kifejezetten jól érezték magukat a cégnél és maguktól eszük ágában nem lett volna kárt okozni. Az IT tette a dolgát.

a torveny is pont azert szol ugy, ahogy, mert addig ugye nincs gond, amig nincs gond :) akkor van gond, ha gond van es bele kell nezni meg el kell tarolgani az adatokat, es az tele van magan szirszarral, omlesztve. es akkor a joakaro munkavallalonak persze egybol van municioja szivatni a ceget, hogy hat mit kepzel...

ugyanakkor ez forditva is igaz, a munkaltatonak meg tilos a maganelet turkalasa, magan adat kezelgetese.

es igen, a munkaltato a BYOD eszkozokbe is belenezhet vizsgalodaskor, csak be kell csukja a szemet, mikor az asszony/gyerek meztelen kepei vagy a kecskeporno vannak a mappaban...

Hát, az attól függ, hogy értelmezed a BYOD-t. Ha behozhatod az eszközöd, csak hálózatra nem csatlakozhatsz vele, akkor igazad van. Máskülönben - általában - ugyan azt követelik meg, mint egy céges notebook esetén - és ebben benne lehet, hogy telepítened kell valami olyat rá, amivel távolról is belenézhetnek. Ugyan ez igaz a telefonokra is, ha el akarod érni a levelezést meg az egyéb céges erőforrásokat saját telefonról, akkor kénytelen vagy céges MDM-et telepíteni, ami után bármit meg lehet nézni a telefonodon. Persze minden cég és minden szerződés egyedi, szóval lehet olyan hely is, ahol ezek a kitételek nem igazak.

Inkább ez utóbbi. Azt nehéz itt többeknek elfogadnia, hogy működhet egy cégnél a bizalom, nem ellenségként kell egymásra tekinteni. Van egy saját gépem a munkahelyen, amin dolgozom, azt a gépet én adminisztrálom. Van egy céges, azt a rendszergazdák, azt lehetőleg kerülöm is. Ezen felül van az otthoni gépem, amellyel VPN-en elérem a céges hálózatot, s arról is szoktam dolgozni otthonról. Ugyanakkor nyilván pénzügyi-gazdasági adatokhoz nincs hozzáférésem, vezetői döntéselőkészítő anyagok eléréséhez nincs jogosultságom. Ha szabotőr lennék, egy néhány órával korábbi snapshotból minden visszaállítható lenne, repóból eggyel korábbi release kihúzható, szóval akkor sem tudnék kárt okozni, ha egyszerre lenne stroke-om és lennék részeg, s abban a pillanatban szállna meg a gonosz.

Szerk.: Arról nem is beszélve, hogy szándékos károkozás esetén perelhető lennék.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nagyjából ez így rendben is van, de a fenti rend szerintem nem azért létezhet, mert a felek nem tekintenek ellenségként egymásra. Persze, a munkavállaló és a munkáltató nem ellenség, hanem egymás fontos szövetségesei. De ez az egymásrautaltság nem azonos súlyú felek között köttetik. A munkáltató  pozíciója látszólag erősebb, mert a feltételeket ő szabja és a munkavállaló vagy elfogadja ezeket vagy nem, és továbbáll (kivételes eset, amikor a munkavégzés feltételeit a munkavállaló befolyásolhatja). Ugyanakkor ha a munkavállaló huncut, akkor tönkreteheti a munkáltatóját, mert a törvény a gyengébb felet, a munkavállalót támogatja szinte mindenben. Egy jól működő vállalatnál pl. nagyon nehéz egy valamilyen szempontból oda nem illő munkavállaló munkaviszonyát szabályosan megszüntetni. Egy munkahelyen a két fél igyekszik akkor is a saját pozícióját erősíteni, ha a másik fél éppenséggel nem az ellensége. A munkáltató ezért normálisan a vállalkozás érdekében teljes ellenőrzés alatt tartja a munkavállalót, de ezt nem veri nagy dobra és ha az ilyesmi ki is derül néha, vita esetén még bizonyítani se egyszerű. Ha a munkáltató ezt jól csinálja, akkor nagy a béke, bizalom és egyetértés a felek között. Ha a kontroll gyenge, akkor előbb utóbb üzletvesztés és háborúság következik.

A kártérítési pertől meg nem kell tartanod, mert eszede nem jut kárt okozni és ha mégis eszedbe jutna, a munkavállaló által okozott kárt sem egyszerű bizonyítani és ha ez sikerül is, bonyolult és korlátozott a behajtás lehetősége.

kivételes eset, amikor a munkavégzés feltételeit a munkavállaló befolyásolhatja

Szerintem nem kivételes eset. Nem a munkavállaló határozza azt meg, de kinek-kinek lehetnek egyedi kérései, amelynek a munkaadó helyt adhat, ezzel olcsón megvásárolva a munkavállaló lojalitását. Legyen az otthoni munkavégzés lehetősége, rugalmas munkaidő, olyan betegség esetén, amikor munkaképes a dolgozó, de fertőz, inkább maradjon home office-ban, ez jó a kollégáknak, jó a cégnek, hogy nem betegszik le mindenki, és jó a dolgozónak, hogy nem kap kevesebb pénzt, ahogyan ez táppénz esetén lenne. Vagy saját munkakörnyezet, eszközök és módszerek használatának engedélyezése, tekintve, hogy mindenki úgy hatékony, ha számára kényelmes környezetben dolgozik.

Egy jól működő vállalatnál pl. nagyon nehéz egy valamilyen szempontból oda nem illő munkavállaló munkaviszonyát szabályosan megszüntetni.

Ugyan, dehogy! Át kell szervezni a céget, megszűnik az adott munkakör, elbúcsúznak a dolgozótól. Ezt a törvény megengedi. Csak a cég szervezeti felépítéséről kell kiadni egy frissített ISO dokumentumot.

 Egy munkahelyen a két fél igyekszik akkor is a saját pozícióját erősíteni

Ez már egy mérgező légkört feltételez.

teljes ellenőrzés alatt tartja a munkavállalót

Ez lenne a felmondásom pillanata.

Ha a kontroll gyenge, akkor előbb utóbb üzletvesztés és háborúság következik.

Ez nincs így. Csak akkor van így, ha az a felfogás, hogy a munkavállaló fizetett ellenség.

A kártérítési pertől meg nem kell tartanod, mert eszede nem jut kárt okozni

Ez így van. A bosszú nem konfliktuskezelési eszköz, mint más kontextusban az erőszak sem. Ha valami már tarthatatlan, tovább kell állni. 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

          teljes ellenőrzés alatt tartja a munkavállalót

Ez lenne a felmondásom pillanata.

Nem véletlen, hogy a munkavállaló nem köti az ilyesmit az orrodra- Ui. a látszat ellenére semmi közöd hozzá, hogy milyen eszközökkel és milyen módon védi a munkáltatód a saját érdekeit.

Mondok egy a valóságtól egyáltalán nem elrugaszkodott példát. Egyik konkurensetek úgy dönt, hogy olyan ajánlatot tesz neked, amit nem lehet visszautasítani. Mondjuk azt ígéri, hogy váltás esetén, tehát ha munkába állsz nála, belépéskor kapsz 6 havi aláírási pénzt és onnantól a mostani fizetésed dupláját. Ennek a feltétele, hogy az osztályod, csoportod, projekted stb. stb. összes többi dolgozóját is győzd meg arról, hogy váltaniuk kell veled együtt és ők is ugyanilyen feltételekkel állhatnak munkába az új helyükön. 

Rövid vívódás után úgy gondolod, hogy te jól érzed magad itt és túl nagy kockázat lenne menni, de valamilyen megfontolásból megosztod az ajánlatot otthon a feleségeddel, aki kerek perec lehülyéz. Ez életed nagy lehetősége és kihagynád? További feltétel, hogy a jelenlegi munkáltatódnál az összes a munkavégzéshez szükséges, fontos dokumentumot, szerződést, megállapodást vidd magaddal az új helyedre úgy, hogy azoknak nyoma ne maradjon a régi munkáltatódnál. Az asszonnyal folytatott rövid beszélgetés után ez már csak azért is kézenfekvőnek tűnik, mert úgy értelmezed, hogy ez végrehajtható anélkül, hogy bárki is rájöjjön, hogy te törölted a dokumentumokat a rendszerből és ha ezt ügyesen megcsinálod, akkor azzal jelentős mértékben nőnek a saját sikered esélyei is az új helyeden. 

És máris elérkezett felmondásod pillanata. Mit tud tenni ilyenkor a munkáltatód azon kívül, hogy lehúzza a rolót?

(A példa valós, az akció neve "dömping csábítás", az átvett dolgozókat a cég a vezetőjükkel együtt rövid idő után kirúgta, a terméket a piacon átvette a tönkretett versenytársától és az akcióra fordított nem kis pénz 6 hónap alatt az értékesítésből megtérült neki. A szóban forgó vezető és az összes elcsábított kollégája együtt nem rendelkezett a témában olyan kontribúcióval, ami miatt érdemes lett volna őket megtartania az új munkáltatójuknak. A munkűltató célja a termék megszerzése volt.)

Biztos van olyan cég, ahol 7/24-ben screenshotok készülnek (ki nézi és elemzi ezeket?), mondjuk elég nagy hülyeség.

Konkrétan ismerek ilyen magyar céget. A CEO nézi. Mindenkiét. A CEO bizalmatlan mindennel és mindenkivel szemben. Percre pontosan kell elszámolnia mindenkinek a munkaidejével. Óriási a fluktuáció a cégnél emiatt is. A cég nevét jogi okokból nem írom le.
Amúgy egész jó IT szoftverterméke van a cégnek, csak hát ezek után tuti nem fogom sem használni, sem bevezetni sehol se.

mashol pedig szimplan a teljesitmenymeres resze. (ugyanugy, mint a "biztonsagi" kamera. aztan ha egyel tobbszor mentel ki cigizni vagy hugyozni, mint kellett volna, akkor meglesz kinek nem kell bejoni a felmondasi ido utan tobbet a kovetkezo leepitesnel, en ilyen ceget is ismerek)

Én pedig meglehetősen nagyot. Azon cégek 100%-a, amelyeknél dolgoztam :D

Céges eszköz magáncélú használatánál a tipikus eszközök, amelyeknél ez elsősorban szóba kerül: telefon, számítógép, jármű. Szerintem legalább egy, de inkább mindhárom esetében jellemző a magánhasználat fair use módon, tehát nem arról van szó, hogy a céges gépre felpakolják a játékokat, stb, hanem arról, hogy neten böngészés, esetenként vásárlás, bankolás arról megy, illetve a telefonon magánbeszélgetés is.

Szarok a vállalkozásokra, az én állításom az volt, hogy az összes eddigi munkahelyemen engedélyezve volt a magánhasználat. Se többet nem mondtam, se kevesebbet. Mindent mást csak ti költöttetek hozzá.

Szerinted nem szarom le magasról, hogy a Pitypang Lófasz 2000 Bt.-nél mi az IT policy? Majd ha odamegyek dolgozni, akkor elolvasom.

ha nem allapodtal meg rola a munkaltatoddal maskepp, akkor tilos. ennyi.

Igen, csak a gyakorlatban viszont nem volt olyan munkahelyem még, ahol erről ne lett volna megállapodás. Teljesen életszerűtlen.

Sőt, a céges telefonról futott a Waze a hétvégén, amikor mentünk a gyerekkel valahova. Zárjatok börtönbe, vagy vessetek a mókusok elé, vagy mittudomén. 🤡

A DÁP alkalmazás a neki bemutatott QR-kódot tudja ellenőrizni, az meg egy MITM támadó esetén is valid lesz, hiszen a támadó "elbábozza" a bank felé, hogy ő az ügyfél böngészője, a bank felől érkező választ meg kvázi egy-az-egyben odatolja a megtámadott ügyfél böngészőjének. 
A QR-kód alapján az ügyfél hitelesítése történik meg a bank felé - azt nem látom, hogy a szolgáltatót mi hitelesíti az ügyfél felé? Mert ugye pont az a gond, hogy a mexivtadpontakarmipontnu/randomstring jellegű URL-en lévő fake oldal szépen elt udja játszani az egyik irányba a böngészőt, a másik irányba meg a szervert... 

Mivel a mobilodon a DÁP nincs összekötve a böngészővel, a DÁP nem tudja, hogy a feldobott QR kódot annak a böngészőnek a "tulajdonosa" csippantotta le a mobiljával, akinek feldobta. Próbáld ki, screenshot, elküldöd emailben valakinek, az meg megmutatja a saját mobilján a DÁP-nak -> be fogja léptetni az általad indított sessiont az ő adataival.

Miért kellene jelezni, ez by design ilyen. Szerinted honnan tudja a DÁP azonosítás, amikor meghívják, hogy az kinek a böngészője, hiszen nem jelentkezett még be senki rajta?

Ps: egy geolokációt mondjuk csinálhatna IP cím alapján és ha az IP nagyon nem ott van, mint ami GPS pozíciót a mobil mutat, akkor elutasíthatná a bejelentkezést... De nem csinál ilyet sem, meg ez különben is messzire vezetne.

Ah, oké, közben rájöttem, hogy ez nem második faktor, hanem sima QR kódos belépés. Igen, ilyenkor a DÁP-pal azonosított felhasználó fog belépni, ennek van értelme. 

Közben meg is találtam a kapcsolódó olvasnivalót:

https://owasp.org/www-community/attacks/Qrljacking

Ez annyiból jó, hogy a bank pontosan tudja, ki lépett be - viszont ha én elcsípem a QR-kódot meg a teljes forgalmat, és "proxyzok" a bank és az áldozat böngészője között, akkor nagyjából az SMS szintje a dolog: bank mutat egy kódot, én mutatom ügyfélnek, ő rácsippant dáp azsongya jó'van, bank kapja infót, hogy adott qr-kódot gipszjakab csippantotta le, bank küldi gipszjakab számlaoldalát, amit én megfogok, és továbbítom az user böngészője felé - vagy azt, vagy valami egészen mást, és közben mókolhatom a számláját... 
 

A példád analóg azzal, mintha valaki átadná neked a feloldott és DÁP-ba belépett mobilját a QR-kód becsippantásához, amit a DÁP ÁSZF biztosan tilt, mint mindent amit technikai úton nem lehet megakadályozni, ilyenkor jön a jogi tilalom. Ha más nevében kell eljárni, arra van a KAÜ RNY azt használva nem titkolod el valójában ki vagy. Ez a helyzet amit bemutatsz, hogy másnak adod ki magad elrejtve a valódi azonosságod, btk-s téma nem technikai. 

Ezzel a QR kódos belépéssel ebben a formában az a baj, hogy a MITM támadás ellen nem véd, pedig ez lenne messze a legfontosabb dolog hogy az iszonyat egyszerű weboldal klónozós támadások ellen védjük az embereket. Ebben a formában ez nem segít, szóval marad továbbra is a mobilos bankolás ajánlása mint egyetlen biztonságos megoldás.

Aham, aki phising oldalt csinál (majd) úgy, hogy tovább küldi a DÁP-os QR kódot is az átvert user felé, azt biztosan érdekli, hogy ez "btk-s téma, nem technikai". A probléma az a DÁP-pal, hogy ennek az implementációja kötelező. Ha ez már implementálva lett volna MBH-nál, akkor is ugyan úgy átverik őket, mert technikailag nem erősebb a TOTP-nél vagy az SMS-nél. Holott már kitalálták WebAuthn-t, ami ezt a problémát megoldja.

Szerinted a korlát is felesleges a lépcsők mellett meg az erkélyeken, mert minek zuhant le, felnőtt, elvárható lenne, hogy tudja, hova lép.

Вár van egy technológia, ami lehetetlenné teszi, hogy hamis certtel és URL-lel be tudjanak léptetni a bankba. De ne használjuk szerinted, hanem ellenőrizzük "kézzel".

Ps: a fenti szöveg nem csak latin karaktereket tartalmaz, neked feltűnt? Ha ugyan ez egy URL-ben szerepel, feltűnik?

A bank felelős azért, hogy olyan szolgáltatást nyújt, amin nem tudja megvédeni a felhasználókat. Az is valid irány, ha nem nyújtja ezt a szolgáltatást (pl. a Revolut ezt csinálja), meg az is, ha megfelelő kockázatelemzés van a tranzakciók mögött, meg az is, ha olyan módon van megcsinálva a szolgáltatás, ami megakadályozza a phisinget. De az MBH-nál tényszerűen ebből egyk sem teljesült.

nem dolga a banknak megvedeni a felhasznalot. o a vagyon vedelmeert felel.
ajanlom figyelmedbe a telexes irast errol. pont azt mondja - milyen erdekes - amit en az utso bekezdesben.
ha azt a 10+k milliard dollart! ami globalban elmegy az online bunozes vegett mind a bankokra szeretnenk testalni, nem sokaig marad eletben a penzezes :)
kerdem en: hol vannak ilyenkor a hatosagok, akiknek meg amugy dolguk volna megvedeni a Zembereket? :)

Erősen kevered az online bűnözést a banki phisinggel, mint ahogy a "szakértő" telexes cikk is összevissza citál dolgokat: a kiberbűnözés által okozott kár globálisan tavaly 10,5 ezer milliárd dollár volt, amiben benne van az ipari kémkedéstől az adattitkosításos zsaroláson és a bitcoin lopáson át a bankkártya adatok lopásáig és a phisingig minden. Ennek nyilván egy egészen kicsi töredékéről beszélünk most. A magyar bankok azért sírnak, mert eddig nem fordítottak erőforrást erre: mivel nem kellett kártéríteni az áldozatot, így nem igazán voltak motiváltak abban, hogy a nagyon minimumnál többet tegyenek. Most meg vagy a kártérítést fizetik, vagy a banki rendszereik biztonságát fejlesztik, ami ugyan úgy pénzbe kerül, vagy kivezetik a szolgáltatást, majd a kockázatelemzőik megmondják, mindent összevetve melyik az olcsóbb.

Azért azt ugye te sem tartod normálisnak, hogy tömegesen fordul elő, hogy a telefonszám megváltoztatása után nagyobb összeget utalnak olyan számlára, amire még nem volt forgalom. Ha erre nem riaszt be a bank rendszere, akkor az lóf*szt se ér.

A hatóság meg pont a helyén van, az MNB kimondta, hogy ez a bank kockázata, oldja meg.

Erősen kevered az online bűnözést a banki phisinggel > nem keverem.
ez a bank kockázata, oldja meg. > itt van a problema, a cikk pont arrol szol, hogy ez kurvara nem csak banki dolog es nem csak az o dolguk kene legyen. cserebe most hatosagilag rajuk (ertsd jol: ram es rad es az osszes ugyfelre, mert mi alljuk a koltseget, a bank nem jotekonysagi intezmeny!) van testalva, mert a kerdeses hatosagok nem tudnak mit kezdeni a bunozessel. :) kedves NKI-s turulmadar, hol vagy ilyenkor? :)
ha olyan szarok a banki rendszerek, mint most be van allitva, miert nem lett mar reg megdadazva az osszes bank? :)
szerintem erzed hol a problema :)
tovabbra is az a velemenyem, ha a bank fogja allni a user balfaszsagaibol eredo karokat (vagy azok jo reszet), addig a problema forrasa marad, nem osztonzo hatasu arra nezve, hogy a balfasz user megvaltozzek, sot, innentol intezmenyesitjuk az alapjait a klasszikus biztositasi csalasnak. :) persze mindenki azt gondol amit akar :)
es nem, tovabbra sem mondom, hogy ne legyen biztonsagos a bankolas, csak azt, hogy amikor a user atmegy az autojaval a zarovonalon es belehajt az arokba a tokeletes muszaki allapotu gepjarmujevel, ott sincs kerdes kinek a felelossege volt a dolog. akkor is, ha eppen "idegallapotban volt".

Aztán persze mit fog csinálni az R=1 user, ha nem tölti ki automatice az adatait a bankiweboldal

Olyankor kell a fejlesztőket megrugdosni, hogy minek változtatnak a formok mezőinek ID-in. Némelyik van annyira aljas, hogy teljesen lehetetlenné teszi a jelszókezelő használatát az oldalán.

DÁP-ról meg mint locsemege írt...jó is lehetne, de mégsem az.

nekem az a része tetszik, hogy azt talán felfogja, hogy csak a bank.hu a jó, miközben évek óta köti az ebed a karóhoz, de hogy debizony a usernév password

- mindenre elég

- ő tudja, hogyan kell biztonságosan, ne akarjanak mindenfélét rátolni (jó, ez kb ugyanaz, mint amit te mondasz :))

Eleve nem kellett volna a böngészőfejlesztőknek (főleg a Chrome a főbűnös ezt illetően,) abba az irányba elmenni, hogy megszüntetik, de legalább is a kereséssel folytatott böngészést népszerűsítik, a hőskorban jól működő, könnyen használható bookmark-tárolás helyett, kiváltva a tárolt URL-ek vizuálisan is jól követhető rendszerezését.

Mert, az eredeti Opera-böngészőn felnövő felhasználóknak eszébe sem jut, hogy valamilyen speed-dial segítsége nélkül böngésszenek. És ami ott korrekten rögzítésre kerül, (sőt a saját gépen offline menthető az URL-tár is!) az mindig ugyanoda fogja vinni a felhasználót, ahol eredetileg járt és elmentette. Ebben ma a Vivaldi-böngésző is nagyon jó megoldás. -- (A kiterjesztésekkel megoldható URL-gyorsindítók biztonsági szempontból már neccesebbek nekem.)

Őszintén.., halott ember lennék az online felhasználásban, ha valaki ezeket a fejlesztéseket megszüntetné! - Igaz, "mélységes sajnálatomra" a G. nehezebben követné a kereséseimet, böngészéseimet...! -- Sőt..., egyáltalán nem, ha csak rendszeresen el nem lopja a böngészőből a gyorsindító állományomat. /Ezt persze csak halkan teszem hozzá!/

:) 

A "lustaság" az URL-mentésre, - a felhasználók által rendszeresen használt weboldalak URL-jét illetően, - éppen itt bosszulja meg magát. Ha böngészőben egy kattintással jól elérhetően, láthatóan tárolható egy cím, minek akkor kereséssel indítani a belépést, mondjuk a bankunk honlapjára(?), - nem is értem..!

( adhocsupport | 2025. 07. 10., cs – 07:20 )

SOKAN ÍRJÁTOK, HOGY A KÁROSULT A HIBÁS. OKÉ: AZTÁN LETILTJÁK KÁRTYÁJÁT, LECSERÉLIK FELHASZNÁLÓ NEVÉT ÉS...

UPSZ..jön egy ilyenből néhány tucat és felteszed a kérdést: hogyan is?   Olvasd végig, érdemes! 

Most akkor ki a hibás? 

A 2025. márciustól ÉLŐ ügyek óta,  MAI napig vannak ÚJ károsultak.

TEHÁT: mi is történik akkor ?  

Mert ugyebár, ha lecserélték a felhasználói nevét és jelszavát IS, akkor ez hogyan fordulhat elő? 

Ezt a károsulti beszámolót anonimizáltuk, érthető, 70 éves pedagógus asszony írása: 

Ügyfélbeszámoló – (ANONIMIZALTUK) -  2025 -sértett: 70 éves -saját maga által írt levél 

2025. április 21-én, kétfaktoros hitelesítés nélkül, mindössze 7 perc alatt 8 külön utalást hajtottak végre a netbankomon keresztül ugyanarra a számlaszámra, összesen 988 185 Ft értékben.

Egyik tranzakció során sem érkezett egyszer használatos kód. Az utolsó utalás már nem teljesült, valószínűleg a számlán maradt alacsony egyenleg miatt.

Az utalások után 4 perccel a bank egy SMS-t küldött, amelyben arra kértek, hogy hívjam őket gyanús tranzakció miatt – de a kérdés számomra az: miért nem ők hívtak azonnal?

Miért nem blokkolta a rendszer a szokatlan tranzakciós mintázatot?

Kb. egy órával később olvastam el az SMS-t, és azonnal hívtam a bankot. Az ügyintéző szerint még visszahívható lehet az összeg, mert „zöldet mutat a rendszer”.

Közel 36 perces adategyeztetés és panaszfelvétel következett, de végül nem sikerült visszahívni a pénzt. A netbank- és kártyaszolgáltatásaimat letiltották. Ugyanezen a napon rendőrségi feljelentést is tettem.

Feltűnő volt számomra az is, hogy a bank nem küldte meg az áprilisi számlakivonatomat, miközben a márciusi és májusi kivonatok megérkeztek.

Ezt követően új felhasználónevet és jelszót igényeltem az ANONIM-i fiókban, de a mai napig nem használtam az új belépési adatokat.

Mivel nyugdíjasként tovább dolgozom, május 9-én érkezett meg a fizetésem. Már május 10-én este két újabb próbálkozás történt, ezért ismételten le kellett tiltatnom a netbankot.

Máj. 11-én újabb öt kísérlet történt, ezúttal az alkalmazás újratelepítésére. (A netbank ekkor le volt tiltva.)

A bank előző válasza szerint az április 21-i támadás során már megtörtént az alkalmazástelepítés — ha ez igaz, miért akarták most újra? Ismét panaszt tettem és újabb rendőrségi feljelentést nyújtottam be.

A bank válasza szerint nem történt semmilyen gyanús aktivitás, noha az SMS-ek, képernyőmentések és ügyintézői visszajelzések mást mutatnak.

Június 10-én újabb három SMS-t kaptam újabb kísérletekről — annak ellenére, hogy tudomásom szerint a netbank zárolt állapotban volt.

Kértem a bank munkatársát, hogy blokkolja az SMS küldést, de azt a választ kaptam, hogy erre nincs lehetőség, csak panaszrögzítésre.

Este 20:30-kor érkezett a harmadik SMS, és a banki munkatárs is megerősítette: valóban történt újabb próbálkozás.

Azt tanácsolta, hogy véglegesen töröljem a netbank szolgáltatásomat. Ezt másnap meg is tettem — azóta nem történt újabb támadás.

Fontosnak tartom megjegyezni: az adathalász támadások minden esetben a fizetésem érkezését követő napon történtek (10-11-e körül).

Köszönöm, hogy foglalkoznak az ügyemmel.
Üdvözlettel,
FANTÁZIA NÉV

 

2025. április 21-én, kétfaktoros hitelesítés nélkül > de ugye megvan, hogy ha egyszer beszoptad, akkor arra az egyetlen megoldas a kartyad/szamlad tiltasa? es igen, altalaban nem azonnal kezdik el leuriteni, okkal.

mert ilyenkor - bizony - annyiszor vonnak, hanayszor csak akarnak, nem kell ujabb MFA megerosites hozza. gyakorlatilag felhatalmazast adott a user, hogy a csalo vigye a penzt. pont, mint mikor veszel egy havidijas szolgaltatast a bankkartyaadatokkal.

es nem, ehhez nem kell banki oldalt hamisitani, egy kamuwebshop boven eleg, ahol megadtad az adataid es egyszer atmentel a hitelesitesen.

Miért nem blokkolta a rendszer a szokatlan tranzakciós mintázatot? > mert Te minden nap szoktal nagy erteku vasarlasokat/utalasokat vegrehajtani? en nem. viszont ha besetalok egy ge'merPC-ert a webshopba/hardveraprora, ne blokkoljuk mar a vasarlasom/utalasom, csak azert, mert nem csinalom minden nap! :)

mire gondolt a kolto, amikor megjottek neki az ertesitesek?

en is nagyon sajnalom, aki ilyet benyal, de - veled ellentetben - elsodlegesen azert, hogy ennyire nincs kepben, es csak masodsorban a vagyonvesztes vegett.

ugye oket is megmentegetned? :) bocs, de en nem. sot! es ha a cimbeli harombetus ugyfele lennek, kerdes nelkul, azonnal menekulnek.

( gemnon v | 2025. 07. 12., szo – 18:41 )

Valahol amúgy lehet jelezni egy banknak , hogy az egyik ügyfele pancser volt? Vagy úgyis rájönnek.

Találtam ilyen szép sormintás valamit az MVM (fizess számlát a franciáknál) halász oldalon?

debit|Business Debit Mastercard|Mbh Bank Nyrt.
┌─ 🇭🇺 <code>54733707XXXXXXXX</code>
├ <code>XX/XX</code>
└─╼ <code>XXX</code>
BÁN SXXXXXXXXXX
〄 XXX.XXX.XXX.XXX
🔥🅜🅥🅜🔥ᴄᴏᴅ1
┌─ 54733707XXXXXXXX
└─╼ <code>XXXXXXX</code>
〄 XXX.XXX.XXX.XXX

Egyenlőre csak egy delikvens van (meg az én teszt submitem :))

Persze az X-ek helyén kártyaszám, lejárati dátum és cvc van gondolom a második stepben meg az OTP-s telekód MBH-s megfelelője.