Kiberbűnözők fosztottak ki egy fiatal magyar nőt , a bankja is perrel fenyegeti

Igen, értjük, hogy vannak olyan use-case-ek, ahol ennek még akár létjogosultsága is lehet, de ezt a jóváhagyáskor (PIN-kód megadásakor) hol látod? Honnan tudod, hogy olyan tranzakciót hagysz jóvá, ami $42, és nem is lehet több - hiszen ennyit akartál fizetni, vagy olyat, ami most csak $42, de a kereskedő később kitalálhatja, hogy inkább $542? Sehonnan, mert az egész PIN-kód elkérősdi is egy utólag ráhekkelt valami a rendszerben, eredetileg nem volt ilyen a rendszerben, eleve az volt a koncepció, hogy ha azt mondtad a kereskedőnek, hogy terhelhet, akkor a bank nem fogja megkérdőjelezni, hogy mennyit terhelhet a kereskedő, az a kereskedő dolga, hogy ne terheljen többet, mint amennyit szabad, és ha vita van, akkor majd intézze egymás között a vevő meg a kereskedő.

az atlag magyar bank appjaval mennyi ido alatt jutsz el a telefonod feloldasatol mondjuk addig, hogy latod mar a szamlaegyenleged

A jelenlegi bankkártyás fizetéshez jelentősen gyengébb authentikáció tartozik, ugye. Ha ott ez elfogadható, akkor nem értem, hogy miért kellene a standard, "omnipotens" banki műveleti jelszó authentikációs szintjét elvárnunk egy kis impakttal járó fizetési tranzakcióhoz. Ráadásul minden technikai lehetőség megvan arra, hogy a) a tranzakció összege/gyakorisága/használati mintája alapján eltérő erősségű authentikációt kérjen a rendszer (ahogy pl. a bankkártyával contactless fizetés: X forintig nulla authentikáció; felette PIN-kód, napi limit felett meg ügyfélszolgálat, hogy változtassunk limitet), b) ezeket a paramétereket az ügyfél a saját kényelem vs kockázatvállalás szintjéhez igazíthassa.

Na, ehhez meg add hozza a QR koddal valo tokolest

Felőlem lehet bármilyen más transzport protokoll is, az NFC pl. láthatóan nem okoz vállalhatatlan tökölést, ergó csak tud létezni olyan technológia, ahol nem öregszenek bele a várakozásba az emberek.

hany embernek evidens, hogy lesz mobilnet hozzaferes eppen a telefonjan, mert nem fogyott el a meregdragan vett havi kerete, meg terero is van epp ott, ahol vasarolsz

Miért, jelenleg hány embernek evidens, hogy az NFC-s megoldást kell/tudja használni? Mégis létezik, pénzt-paripát-fegyvert öltek a megoldásba.

Nekem az pont elég, ha csak azokon a helyeken, azoknál a kereskedőknél, és azok az emberek tudnak egy architekturálisan biztonságosabb és rugalmasabban kialakítható (nem utolsó sorban: kártyatársaságok és a sarcuk nélküli, tehát olcsóbban üzemeltethető) fizetési megoldást használni, ahol megvannak az adottságok erre. A többiek meg fizetnek bankkártyával, NFC-vel vagy nélküle.

Alkalomadtan merd le, az atlag magyar bank appjaval mennyi ido alatt jutsz el a telefonod feloldasatol mondjuk addig, hogy latod mar a szamlaegyenleged. Na, ehhez meg add hozza a QR koddal valo tokolest. Ha ez megvan, es meg van kerdes, akkor azt is megnezheted, hogy hany embernek evidens, hogy lesz mobilnet hozzaferes eppen a telefonjan, mert nem fogyott el a meregdragan vett havi kerete, meg terero is van epp ott, ahol vasarolsz.

Egyébként a folyamat szempontjából mennyiben különbözik ez egy kártyás tranzakcióhoz képest? Tulajdonképpen elég mindegy, hogy mit is authorizálok, és nyilván a bankos app is hozzáférhetne normálisan valami APIhoz, kb mint a google pay.

A "nincs mobilnetem" jogos.

"A banktól függ, hogy ezt mikor látja a kereskedő, de tapasztalat, hogy kb azonnal." - IG3 van mögötte, úgyhogy az "azonnal" az pár másodpercen belül kell, hogy legyen. Apró probléma ezzel, hogy a kártyás fizetés során a kereskedő felé anonim maradsz (nem kerül banki adatod a kereskedőhöz) egy IG3-as tranzakció során meg a küldő számlaszáma ott figyel a csomagban...

Disznóságot csináló oldalról bármilyen kártevő érkezhet. Jobb az ilyesmit eldobható, karanténba zárt környezetben tesztelni.

Idézd már be kérlek a Mt vonatkozó passzusát!

Igen, jól látod, nem a Munka Törvénykönyvéből idéztem, és nem véletlen, hogy illetményről ír, és nem fizetésről. Mivel nem vagyok munkaügyi jogász, ezért nem fogom tudni neked szabatosan leírni, hogy jogilag mi a különbség a fizetés, a munkabér, és az illetmény között, a jogalkotó mikor melyiket használja, vagy pld. egy jogszabályban eltérő rendelkezés hiányában a munkabér említése mit takar, stb.

A köznyelvben ugye azt mondjuk, hogy "mennyi a tanár fizetése", de ezen közalkalmazotti jogviszonyban álló pedagógus esetén általánosan az illetményét kell érteni.

Az a lényeg, hogyha (bocsánat, hogy rád hivatkozok) Behringer Zoltán közalkalmazotti jogviszonyban álló pedagógus, akkor hiába lenne lehetősége a MT alapján, hogy készpénzben vegye fel a fizetését, az ehhez szükséges írásbeli megállapodásra a munkáltatójának nincs lehetősége a fentebb idézett "2023. évi LII. törvény a pedagógusok új életpályájáról" miatt a hivatkozott esetben.

Jól gondolja, egy olyan opció, ami sok esetben nem érvényesíthető, hiába lenne meg a szándék a felek között.

ps. remélem abba senki nem köt bele, hogy én közalkalmazotti jogviszonyról írok, az idézett paragrafusban meg köznevelési foglalkoztatotti jogviszonyra hivatkoznak, akinek ez problémát okoz, annak ajánlom a törvény elolvasását, köszönöm,

A munkáltatónak a kp.-es fizetés jóval-jóval többe kerül, mint a csoportos utalás, ezt nem szabad elfelejteni - nézz utána, hogy az értékszállításnak, a készpénzlogisztikának milyen költségei vannak... Nem, nem úgy megy, hogy Mancika fogja a dupla reklámszatyrot, és beslattyog a bankba, felveszi a kp.-t, bepakolja a szatyorkába, és visszamegy a céghez, hogy kiporciózza minden érintettnek a fizetését...

Ez fókusztévesztés, ami a dolgok meg nem értéséből ered. Látszólagos konstruktivitása valójában egy óriási csapdát rejt magában! A javaslattevők [inkább közvetve, mint közvetlenül a bankok] az edukáció forszírozásával nem a valódi problémát kívánják megoldani [ugyanis az megoldhatatlan], hanem olyan eszközt keresnek, ami hivatkozási alap lehet arra, hogy a probléma megoldhatatlanságáról a figyelmet elterelje és az ő felelősségüket elhárítsa. Hasonló dolog a pin kód is! Annak is az a valódi értelme, hogy legyen a rendszerben olyan jogi hivatkozási alap, amivel el tudják hárítani maguktól a felelősséget. Totál nevetséges h 4 db szám védi a vagyonodat, miközben ennek 4 számjegynek a titokbantartása életszerűtlen pláne a több szögből bekamerázott pénztáraknál, készpénzfelvételi automatáknál bűnözők által elhelyzet az eredetivel tökéletesen egyező kinézetű nyomógombokkal amik egyből hazatelefonálnak a beütött pinkóddal, valójában erre a 4 számjegyre a bank jogászainak van szüksége, akik a számlatulajdonos felelőtlenségére hivatkozva, miszerint nem védte megfelelően a pinkódját, mentesítik a bankot a kártérítési felelőssége alól. Nem tudom h számodra, mint aki magáról önnálló életvezetésre képesként nyilatkozik érthető-e a dolog mögöttes logikája? Ami úgy tűnik mintha a számlatuljdonos védelmét szolgálná (pl. edukáció) az valójában eszköz a bank ügyvédei kezében a felelősség elhárítására. Nincs más valódi(!) megoldás csak az, h a bankot kell kötelezni arra, h vállalja a  felelősséget az általa működtetett rendszerből eredő károkért. 

Azért ennél árnyaltabb a kép, azt hiszem, hogy egy banktól, aki valójában a saját tőkék nagy részéért felel, igenis lehet elvárás, hogy minél jobban védekezzen a mindenféle támadások ellen. Természetesen nem gondolom, hogy automatikusan mindenképpen ő a hülye, de azért sokszor benne van ebben az is, hogy választják a kényelmesebbet, ügyfélmegtartóbbat (és persze erről tehetnek az ügyfelek is). Én pl halálos nyugalommal szívesen beállítanám, ha lehetne, hogy nekem nem kell SMS fallback, ha nem megy az app, élek együtt a következményeivel, de nem tehetem ezt meg.

Zolikawebshopjától meg többek közt azért várjuk ezt kevésbé, mert általában inkább szeretnénk, ha pl a pénzt nem közvetlen kezelné, hanem valaki olyannal, aki jobban fel van készülve ennek a veszélyelhárítására.

A funkciók letilthatósága kapcsán maximálisan egyetértek. Igencsak faramuci helyzet volt a cibnél is, hogy 2-3 féle párhuzamos rendszerük ment és egyik sem tudott mindent, hanem bizonyos funkció csak egyik felület egy eldugot zugában kapcsolgatható, a másik meg egy másik szolgáltatásuk mélyén. 

Leginkább azért szoktam dühös lenni, hogy szándékosan obfuszkálva van sok kondició a bankok oldalán. Tucatnyi sok oldalas, különálló pdf-ből kell összebogarászni, hogy rám mi vonatkozik. Kötelezővé tenném, hogy a saját előfizetésem paramétereit, ami rám vonatkozik, arról egy lényegi kivonatot megmutassan és max hivatkozza az ottani értékekhez, hogy melyik szabályzat melyik része miatt van úgy.

Máig nem sikerült megtanálnom egyik bank saját felületén sem azt, hogy ha én odamegyek az ő nevük alatt futó ATM-hez egy másik banktól származó kártyával, akkor vajon mekkora összere fog limitálni készpénzfelvételkor az automata. Se az ATM nem írja ki előre, sem a banki feltételek közt nem lehet megtalálni. Anno a google kidobta egy változásról szóló bejegyzésnél az egyik banknál, hogy ott akkor éppen mire változott. De azt sosem találtam meg, hogy idegen kártyával bármelyik bank ATM-je milyen feltételekkel áll szóba velem. Csak a saját kártyájuk feltételeit írják le. Az idegen kártyás feltételeket nem tudom meg, csak max kiír valami hibaüzenetet az ATM, de az sem írja ki a kondíciókat erre az esetre, csak hogy nem engedi. Néha próbálgatás alapon gyűjtött infók alapján megjelenik erről egy cikk, ami nem hivatalos és sokszor nem is teljesen úgy van már.

Egyébként nagyrészt szándékos, hogy szar a weblapjuk kereshetősége, el vannak obszufkálva információk és nem lehet magadnak megnézni infókat. Azt akarják, hogy járj be fiókba, az üzletkötőüjük próbálhasson eladni neked valamit.

Amit online "eladhat" a bank, azt nem fogja neked nem felkínálni - sajnos, viszont jó kérdés, hogy az "eladás" során megvan-e a kellő gondosság a bank részéről, illetve az ügyfél tehet-e valamit azért, hogy neki ilyesmi ne legyen felkínálva?

Nézd a bank oldaláról a dolgot: Jön az ügyfél, mancinéni/mancinénititkosjelszava/2FAkód - azaz a bank azt látja, hogy mancinéni nyomkodja a böngészőben a dolgokat.
Mancinéni jó ügyfél, van lehetősége extra bírálat és miegyéb nélkül x összegű hitelkeretet igényelni, amit meg is tesz. Kérdés, hogy ekkor pontosan mi történik, ki, milyen információkat kap? Kap-e mancinéni SMS-t az igénylés benyújtásáról/jóváhagyásáról/folyósításáról/a folyósított összegnek a számláján történő jóváírásról...? Mert ha igen, akkor a mancinéninél a felelősség, hogy nem hívta asap a bankot, hogy wtf ez a hitel? Ha meg nem (amit erősen kétlek), akkor a bankot lehet azzal támadni, hogy a kellő gondosság nem volt meg a részükről.

Dehogynem. Ezt írtad alá a netbanki szerződésben.

Hitelt folyositasni csak arra alapozva, hogy valaki be tud irni egy 6 szamjegyu kodot egy SMS-bol? Nooormalis?

Szerintem csak meg kell szoknia az embereknek ez ellen a csalas ellen is vedekezni. Ahogy nem setalsz az utcan egy koteg 20 ezrest lobogtatva vagy atlatszo szatyorban sem viszel 22 millio ft-ot keszpenzben ugy megtanulsz gyanakodni a csalokkal kapcsolatban is es inkabb 3x megnezed az URL-t a levelben vagy beirod kezzel az otp.hu-t minthogy klikkelj.

En nem banom ha a hitel, bankkarty, stb. igenyles konnyu (nem mintha kellene, de ha esetleg kell akkor lehet nem akarok ra varni ha lehetseges intezni percek alatt is).

"Hitelt folyositasni csak arra alapozva, hogy valaki be tud irni egy 6 szamjegyu kodot egy SMS-bol? Nooormalis?" - Teljes felhatalmazás a számla és az account felett ugyanezek (usernév, jelszó 2FA kód) alapján. Noormális? (magyarorszagponthu esetén még 2FA sem kell, miközben gyakorlatilag a teljes államigazgatás felé azzal tudod magad azonosítani, ide értve az AVDH-s doksik előállítását is...)

miért küldi neked már az 5. 2FA megerősítést

Ott is hagynam oket ha ilyen hulyesegek miatt nyomnak az SMS-t. Nem lenne egyszerubb ha lenne egy heti/havi/stb. limit amit nem tudsz tullepni, ha kozelited akkor jon egy uzenet, hogy "Figyu, nemsokara nem mukodik a kartya/utalas ha nem emeled a limitet". A limit emeleshez persze azonositas kell. Ennyi, akkor csak a limitnek megfelelo osszeget lehet leemelni. Vajon ha valaki ezt 20 milliora allitja akkor is kell valamit csinalni a banknak? Magatol alljon vissza 10e ft-ra? A vegtelensegig lehet jatszani a lehetosegekkel.

Van befektetési számlád? Ott ez nem zavart? :)

Volt, zavart, hogy minden sz*rert be kellett mennem szemelyesen, meg is szuntettem (azt is szemelyesen).

Ügyfélminősítés, kérem. Továbbá ha ezt a kockázatot te bevállalod, akkor oké. De Manci néni és Józsi bácsi számára ez a korlátozás nem korlátozás. :)

Majd megnezem amikor Manci neni es Jozsi bacsi a tanyarol bemegy a varosba banki ugyintezes miatt, mert nincs "minositve" :)

Fel kell hivni az emberek figyelmet a potencialis veszelyekre amennyire csak lehet.

Láthatod hogy nem tűnt fel az ügyfélnek, hogy az 5. 2FA-s SMS-t kapja.
OTP-nél jelenleg ez így néz ki:
Netbank belépés, 1 SMS, 6 számjegyű kód, ami csak bizonyos ideig érvényes, oké, épp tényleg a hamis netbank belépést csinálta, vegyük úgy hogy jogosan írta be. Mivel máshol léptek be az adataival, ezért jött egy email is, hogy belépés ismeretlen helyről, de valószínű, hogy nem mindenki hasonlítja az IP címét a saját kilépő IP-jéhez.
Átutalás: 1 SMS, 6 számjegyű kód, bizonyos ideig érvényes, az SMS-ben benne van hogy milyen művelet, milyen összeg. Ha nem ő indította, miért adta meg?
Kölcsön: Jön 1 SMS kb. az online igénylés kezdetekor, amiben benne van hogy mi történik, majd a form végigkattogtatása után jön egy 2FA SMS 6 számjegyű kóddal, ami így kezdődik: "Személyi kölcsön igénylés megerősítése", majd jön egy szöveg, hogy folyósították, majd pedig az egyenlegértesítő.
Átutalás: A hitelt el is kell utalni, szintén SMS, 6 számjegyű kód, összeg és művelet benne van az SMS-ben.

Tehát minimum 6-7 SMS-t kapott, mindegyikben benne van hogy mire vonatkozik.Több SMS-nek ez a formátuma: "Ha nem ön indította, ne adja meg a kódot. Azonosító: XXXXXX."

Szóval szerintem elég nehéz ezt benézni és erősen akarna kell az ügyfélnek.

Valamint én pl. az új alkalmazást használom, mindenről push noti jön, amit jóvá kell hagyni, nincs 6 számjegyű kód.

utana fel kell szepen hivni a rogzitett vonalas ugyintezot, es o egy ideiglenes limitet fog beallitani

Az "anyja neve" című infó alapján. Ennél azért jobban kellene dolgozniuk az azonosításon.

┌──────────────┬────┐
│              │    │
│              │    │
│              │    │
│              │    │
├──────────────┼────┤ P(B)
│              │    │
└──────────────┴────┘

              P(A)

Mondjuk azt tovabbra sem ertem, miert relevans ez. Miert nem lehet az, hogy valaki nem szeretne fallback megoldast a biztonsag rovasara?

igen igen, ezeket ne csináljuk, mert veszélyesek... bezzeg az SMS fallback! Az kell mindenkinek, meg mi lesz ha nem áll rendelkezésre a TOTP! (Amire egyébként hozhatnál egy konkrét példát, amikor egy rendszernél olyankor esik ki, amikor az SMS nem).

totp-t meg eszközt regisztrálni ne lehessen online, csak üfsz-en, személyes azonosítást követően, és akkor nem tud más beregelni.

az eg, hogy elhagyod az eszközeid és nem tiltatod le, hát hülyék mindig vannak, mint a most kifosztott nő.

Az osztott tárhely létjogosultsága szerintem a statikus fájlok szintjén ér véget. Minden, ami aktív backend, az egy szolgáltatás legyen valahol. Ha nem kapsz ilyen szolgáltatást készen, mert mondjuk a saját üzleti logikádat ott akarod megírni (szemben mondjuk azzal az esettel, hogy egy "itt írhatsz nekünk visszajelzést" c. form elég), akkor bizony kell valahol vagy egy sima vm, vagy egy FaaS megoldás (ami a végén szintén egy vm-mé fog lefordulni), amiben a saját kódod futtatható.

AWS S3, mondjuk. Vagy Azure blobstore vagy <insert your favourite cloud provider here>.

Az aktív backendre meg az igazán trendy megoldás a "serverless", amikor csak ilyen temporary futó lambda-kat definiálsz, ami pár 10-100ms alatt feléled, amikor beesik egy http request, futhat max 5 másodpercet (vagy valami ilyesmi), aztán elmegy aludni. Nyilván virtuális gép valahol van mögötte a szolgáltató oldalán, de nincs fixen hozzád allokálva, nem fizetsz folyamatosan érte, csak amikor éppen aktív request-et szolgál ki.