TakarékBank SMS phishing?

Security-all

Jött egy ilyen SMS a +36 30 344 4332 számról (ma reggel), azért elég gyanúsan phishing gyanús nem?

Tisztelt Ügyfelünk! Amennyiben folytatnà hitele törlesztését, ezt nyilatkozat formàjàban is jelezheti! Kattintson a linkre: https://bit.ly/2AsZA16 Takarékbank

Linkrövidítő, ismeretlen telefonszám, az itt lévő értékelések is érdekesek: https://www.kihivott.hu/telefonszam/06303444332

a bit.ly-s rövidítés az úgy látom https://takarekbank.hu/hitel-torlesztesi-moratoriummal-kapcsolatos-info… címre old fel, akkor mégis valid SMS lenne? De bakker, ebben minden benne van ami az anti phishing tréningeken van, hogy mik a gyanús jelek.

  • Nem várt SMS (két hónapja van hitel moratórium...)
  • Linkrövidítő
  • Hibás ékezetek
  • Nincs személyes megszólítás

Szólna valaki valami illetékesnek, hogy ez azért nem kóser így?

( answ | 2020. 05. 22., p – 12:33 )

Szerkesztve: 2020. 05. 22., p – 12:36

Gondolom spórolnak (1 SMS-be beleférjen) és hülyék ahhoz hogy saját oldalukon rövid címeket tudjanak létrehozni. Az ékezeteket pedig valószínűleg nem kezeli rendesen a külföldi SMS gateway-ük vagy a külföldről vett szoftverük. Én nem várnék többet egy ilyen banktól, szóval szerintem normális.

Jó lesz ez így Béla! Nyomj már arra az igenre, mert még rendbe kell raknod a főni XP-s gépét!

( muszi v | 2020. 05. 22., p – 13:11 )

openssl s_client -connect takarekbank.hu:https -servername takarekbank.hu 2>&1 < /dev/null | \
  openssl x509 -noout -issuer -nameopt multiline,-esc_msb
issuer=
    countryName               = US
    organizationName          = Let's Encrypt
    commonName                = Let's Encrypt Authority X3

A régi titkosító algoritmusokkal az a gond, hogy nem az IT, hanem az üzlet mondja meg, mi a minimális elvárás. És ha az ügyfelek látható%-a még -mondjuk- 4.3 előtti Android-ot használ, akkor üzleti igény lesz az, hogy a régi trotyli algoritmusok is támogatottak legyenek.

Es a PCI DSS (meg hasonlok) kovetelmenyeit is felulirhatjak? Mivel netbank eseten megfelelnek annak, mi ertelme van a weboldalt alacsonyabbon hagyni (a takarekbank.hu gondolom kabw egy tok statikus vagy valami cmses weboldal, nem pci alatt uzemel, de hat akkor is)..

Domain, tárhely és webes megoldások: aWh

( Nyosigomboc v | 2020. 05. 22., p – 19:20 )

Kapcsolatban allsz veluk? Van naluk hiteled? Ha mindkettore nem a valasz, akkor ignoralhatod.

A strange game. The only winning move is not to play. How about a nice game of chess?

akkor másképp látjuk az életet :). Btw relatíve "magasan" lakom, engem nem érintene az árvíz, ennek ellenére alapvető dolognak tekintem. kb mint a márc15 hóban rekedt emberek ellátását és hasonlók. nem kell a világ túlvégére menni egy-egy "napi jótett"-ért vagy akár csak annyiért, hogy mosolyt csalj valakinek az arcára.. Ha fel tudsz venni egy általános pozitív hozzáállást másokkal szemben ("idegen"-ekkel szemben is), amíg okot nem adnak arra, hogy másképp viselkedj, egészen másképp tudod megélni a saját valóságodat a többi külső tényezőtől függetlenül

( zeller | 2020. 05. 23., szo – 10:45 )

A "hibás" ékezetes karakterek szinte biztos, hogy az SMS-küldésnél fordultak ebbe az alap sms-kódkészletben megtalálható alakra. (Van még nem egy olyan sms-gw a világon, ami csak ezt tudja...)

Erre csak azt tudom mondani, hogy 2020 van, tudjanak mar magyarul irni es utf-es sms-t kuldeni.

vagy kapjak ossze magukat es csinaljanak vegre egy ertelmes mobil appot, aztan abba is kuldhetnek uziket (nekem pl. a k&h ilyen dolgai nagyon tetszenek).

Domain, tárhely és webes megoldások: aWh

Hát be is baszna, ha a bank a saját maga által indított kommunikációt kiszámlázná nekem smsenként.

Meg hát amúgy is! Ha én korlátlanul tudok SMS-t küldeni havi 15-20 font körüli akármelyik csomaggal, akkor nehogy már egy bank ne tudjon havi fix pénzért korlátlan számú sms-t küldeni!

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Díjban nehezen. Persze ha a költségük 0, akkor lehet, az még éppen belefér a díjba szűken. 1 fillérrel több már nem férne bele.

Inkább az lehet, hogy náluk van a zsetonom, amit ők ügyesen kihelyeznek mindenféle hitelek formájában és megkapják érte a kamatot attól, aki felvette a hitelt. Aztán a kamatból kifizetik az összes sms-t.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Rohadtul észre kéne venni, hogy kismillió butafon van használatban, amelyik nem tud UTF-8 ködkészlettel érkező SMS-t értelmesen megjeleníteni. Szóval nem spórolás, és hasonló itt felsorolt baromság, csak némi racionális gondolkodás.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Bemégy tetszőleges áruházban levő GSM-boltba, és kikérsz 3 nagyifont. Abszolút noname (Ilike, Selecline, és í. t.)  eszközöket fogsz kapni, amelyek közös jellemzője, hogy relatív nagy gombjai vannak, sok esetben külön zseblámpa kapcsoló, külön vészhívó, és a legnagyobb találmányuk, hogy a "jobbak" Nokia-XYZ tipusú cserélhető akksit használnak, így lesz hozzá utángyártott darab. Van benne a célközönség számára "nélkülözhetetlen" hulladék 300 kpixeles fényképezőgép és MP3 lejátszó is. Ellenben ami a lényeg lenne - a fent említett UTF-8-as, UTF-16-os, vagy bármilyen rendes, - teljes karakterkészlet támogatás, no az alig. Sőt, az sem igazán jellemző, hogy rendesen kezelik az un. "hosszú" SMS-ket. Ettől még a nagyifon hasznos találmány. No most ha ugyanezeket a paramétereket, de normál méretű billentyűkkel találod, akkor az csak szimplán gagyifon, amire  a világnak nem lenne szüksége, de iszonyat mennyiségben vásárolják. Jellemzően nem kis és nagyobb iskolásoknak (azokat ugye a tanyai iskolában is körberöhögnék ezekkel), és pláne nem ifjú felnőtteknek, hanem inkább 50+-os embereknek, akik pl. már nem akarják megtanulni használni az érintőképernyős, ikonos, számukra sok hasznot nem jelentő okostelefonokat. De bizonyos munkákhoz sem ideális a tapiképernyő. (Félreértés ne essék: vannak szellemileg is topon levő 80-as perfekt almafón vagy robothasználók, és eldugott tanyavilágban is párszázezres 3-hete-megjelent-de-lassan-cserélem-mert-elavult emberek.)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

" ismeretlen random szám " - ez még hagyján, de amikor valamelyik bank nevében a Call center publikus tudakozóban nem szereplő számról hív hitelkártyával kapcsolatban, na az aztán az űbercuki... vayg inkább űberciki... :-P Szegény telesales/cc-s emberkék minden alkalommal meg kell, hogy hallgassák (merthogy azzal kezdik, hogy rögzített vonalról hívnak...), hogy a bankhoz nem köthető random hívószámról fölöslegesen hívnak, mert semmilyen, a krátyámhoz kapcsolódó adatot nem fogok megadni "beazonosítás" céljából - ha már ők nem tudnak olyan számról hívni, amivel legalább a hívót a bankhoz tudnám kötni... Huszonéve is műlödött az, hogy a cc vezérszámáról látszott a kimenő hívás - persze azóa fejlődött a technika :-)

Ha jól tudom, még egy Nokia 3210 is tudott UCS-2-őt. 1999-ről beszélünk.

De mindjárt kipróbálom említett nagyifonokon (kettő is van).

Szerk:
Egyiket megtaláltam: myPhone Halo 2, tökéletesen működik rajta UCS-2. ~10e Ft-os nagyifon. Nem tudom, hogy ezt tudja-e más überelni lefele :)

Sokszor az a baj hogy az informatikai megoldásokat is úgy kezelik a döntéshozók mint bármilyen más beruházást. 

Számszerűsíthetően jobb ROI-t pedig nagyon nehéz kreálni egy igényesebb megoldáshoz (merthogy az igénytelen taknyok általában olcsóbbak).

Egy olyan meg, hogy "csináljuk meg szebben" az önmagában kb. esélytelen, nem hordoz értéket. Egyrészt a fentiek miatt másrészt meg h (részben megintcsak a fentiek miatt) általában kisebb gondod is nagyobb annál minthogy milyen betűkészlettel mennek ki az SMS-ek.

Ja és az esetlegesen nem teljesen igazmondó/nem teljesen hozzáértő (tetszőleges erősebb kifejezés behelyettesíthatő) beszállítókról nem is beszéltünk.

Gábriel Ákos

( uid_18385 | 2020. 05. 27., sze – 23:48 )

Szerintem irj a banknak, hasonlokeppen tettem en is. Bar nekunk emailben kuldte a magnetbank es az is valami idiota link volt, s raadasul gmail.com-os cimrol. :)