Fórumok
Azt értem, ha kikerülnek a bankkártya adataim, akkor azzal lenyúlhatják a számlán lévő pénzt, (a limiteken belül) , ha nincs limit akár az összeset. De minden máshoz
sms kód kell, a mobilszám megváltoztatásához is, lekötött betét feltöréséhez is sms kód kell. Hogyan tudták ezt megcsinálni, hiába léptek be az internetes fiókjába, az sms -kódot nem ők kapták. Vagy valamit rosszul tudok és kezdhetek aggódni a kétlépcsős azonositás miatt is. Valami nem kerek.
Hozzászólások
Csinálnak egy preparált weboldalt, amin keresztül bekérik a login adatokat, és a második faktort is. A bepüfölt infók meg "proxyzva" vannak a valós netbankhoz valós időben. Jófogáson, FB marketplacen rendszeres a dolog. Sajnos a legtöbb embernek (de főleg az időseknek) fogalma sincs róla, hogy a Foxpost nem küld így pénzt, úgy meg pláne nem, hogy be kelljen hozzá lépni bármilyen netbankba.
Tényleg csak megjegyzésként annyi, hogy nemrég végigklikkelgettem egy ilyet (az egyik idős rokon majdnem benyalta, de szerencsére időben kérdezett, én meg kíváncsi voltam rá, hogy pontosan mi történt). Meglepően jól meg van csinálva a design, a nyelvezet, az OTP (vagy egyéb) netbank login oldala tökéletesen le van másolva, ahogy a Foxpost is (azzal az eltéréssel hogy ott ugye nincs ilyen opció semmilyen fizetés fogadására). Egy 60+-os simán benyalja ha siet/nem figyel. Az utalás ebben az esetben egy Unicredites magyar számlaszámra ment volna, csak azért hiúsult meg, mert az utalást jóváhagyó sms szövegén már elakadt a célpont (benne volt hogy ő utal kifelé, és az összeg is elég magas volt), ekkor hívott fel engem. Többször is mondtam neki, hogy tegyen feljelentést, azért a magyar fogadó oldali számlaszám már elég jó alap, de nem tudom mi történt aztán, vagy hogy a rendőrök mennyire rázták le. Azóta nem beszéltem vele, de majd rákérdezek.
Szerk.: közben a végére értem a cikknek, úgy látom, hogy az Unicredites fogadó oldali számlaszám is mehet a levesbe mint nyom, ügyesek ezek.
Itt valószínűleg ez történt, de nem kell minden esetben preparált weboldal. Ha tudják a célpont földrajzi helyét, az adott mobilcellában lehallgatható a teljes SMS forgalom a Föld egykor legdrágább mobiljával, Nokia 1100-al. Megfelelő szériaszámú mobilok a bochumi Nokia gyárból. Úgy pedig már nem véd meg az SMS egyszeri jelszó sem. Természetesen ez már nem mai és azóta publikussá vált biztonsági rés, ami csak 2G mobil-hálózatokat érinti. De semmi garancia nincs arra, hogy mostani 4G , 5G -ken nincsenek hasonló nyitott biztonsági bécsi kapuk.
Nem fognak ilyennel leállni, felesleges, túl nagy munka, láthatóan működik ez egyszerűbben is. Pont ez a lényege az egésznek: a fotelből lehet csinálni nagy mennyiségben, automatizáltan. A célzott támadások, meg filmekbe illő célpontvadászat ezeket nem érdekli.
Ott a cikkben, csak el kell olvasni:
"Az oldal azt írta, ahhoz, hogy megkapjam a pénzt, be kell lépnem az internetbankba, és átirányított az OTP oldalára, ami – mint később kiderült – szintén hamis volt” – mesélte Eszter."
Nem kell lehallgatni semmit. A fake oldalon megadott adatokkal a rosszfiúk (simán automatizálható a belépés egyébként) a valós netbankba beléptek azon nyomban, és már el is vitték az egész hozzáférését...
Nem a 4G, 5G-ben van a fő biztonsági lyuk, hanem az SS7-ben. A control plane protokollban, amivel az egyes telefonszolgáltatók egymás között beszélik le a nemzetközi hívásindítást, a roaming-ot, meg hasonlókat.
Az SS7 alapvetően zárt, elég jól védett a külvilág felől, viszont abból a feltételezésből indul ki, hogy a telefonszolgáltatók egymásban megbíznak. Ami valid volt, amíg el nem kezdték az utolsó Chennai-alsói zug-VoIP szolgáltatókat is beengedni rá. Akik aztán rájöttek, hogy pénzt lehet abból is csinálni, hogy az ügyfeleik request-jeit befuttatják az SS7-en.
Így gyakorlatilag:
- be lehet fake-elni a hívófél telefonszámát
- remote le lehet kérdezni, hogy a telefonod éppen melyik location areaban van
- be lehet fake-elni, hogy éppen roamingolsz mondjuk Bangladesben és az SMS-eket az ottani szolgáltató SMSC-je kapja meg.
Nyilván ezek ellen legalább részben tudna a mobilszolgáltató védekezni, ha bizonyos sanity check-eket használna:
- saját hálózaton jelenlévő előfizető telefonszáma nem lehet kívülről beérkező hívófél (a külső hálózatról jövő hívófeleket viszont nem nagyon lehet ellenőrizni a számhordozás miatt)
- ha saját honos hálózatban van az előfizető, akkor semelyik külső szolgáltatónak semmi köze, hogy legutóbb melyik cellában tartózkodott (ha ténylegesen roamingolsz akkor nem segít)
- ha saját honos hálózatban 1 perccel ezelőtt jelentkezett a telefon, akkor nem hiszi el, hogy 1 percen belül Bangladesbe teleportáltál (ha ténylegesen roamingolsz akkor nem segít)
A baj ott van, hogy egyszerű userként kb esélyed sincs ellenőrizni, hogy a szolgáltatód (és/vagy roaming esetén amelyik külföldi szolgáltatóra éppen felléptél), ezeket mennyire implementálta. Simán vannak olyan szolgáltatók, ahol az SS7 ma is egy teljes átjáróház.
Régóta vágyok én, az androidok mezonkincsére már!
Karsten Nohl: Mobile self-defense 2014 (vagy YouTube-on)
En is kaptam egy ilyet. En is vegigkattintottam, hogy megis hogy mukodik. Nalam az erstebank volt, es valami egy karakterben kulonbozott az igazi weboldaltol.
Szogre ugyanugy nezett ki.
Beirod a felhasznonev+jelszot. Ezt a masik oldalon egy humanoid szinten beirja,.de.mar az igazi erstebank oldalara.
Te megkapod az SMS-t. Beirod a kodot,amit a masik oldalon levo humanoid koszoni szepen, es szinten beirja a valos erstebank honlapjaba.
Igy mire rajosz, hogy atb@sztak, addigra a penzedet elutaltak.(kb. 30 sec alatt megvannak imho).
Ket megoldas van:
1) az anuszodbol mintat vesznek minden bankolashoz (erre megy az apple, pl. az okosorajaval, csak meg felkesz).
2) van egy netes bankszamlad, es minden webes vasarlast errol intezed. Minden vasarlas elott az igazirol elutalsz ra annyi osszeget ami kell.
Civilizalt orszagban ezt a segedszamlat a bankok jofejsebol ingyen adnak a szamladhoz.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
> Civilizalt orszagban ezt a segedszamlat a bankok jofejsebol ingyen adnak a szamladhoz.
itt is ad pl. a CIB, de asszem az OTP is - keresre - kulon "netes" bankkartyat hozza rendelt kulon alszamlaval.
en is azt hasznalom mar nagyon sok eve, kizarolag csak azzal vasarolok/fizetek a neten, a rendes kartyam a fiokban hever. ehhez kepest kb 1 honapja vasaroltak a rendes kartyammal angliaban, szerencsere nem nagy osszegert. kartya letilt stb, de akkor is wtf?
a rendes kartyat meg fizikailag se hasznalom, igaz apple pay-be be van "scannelve", es igy telefonnal fizetek vele. neten soha.
erstebank nem ad, budapestbank+takarekbank (ami most mhbh tokomtudja minevu bank) szinten nem.
Szoval van itt meg mit fejlodni.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
erstebank a virtualis kartyajan 1Ft a limit. hasznalat elott kell megnovelni.
de a seged szamlahoz van kulon netbank login?
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
az a régi online számlacsomag volt a cibnél, már lehet vagy 10 éve nincs. Csak a régi ügyfeleket nem rúgták még ki róla. Az új csomagok a mindenféle bankadók után már mindenért külön pénzt kérnek és lehet nem is adnak ilyen alszámlát. Van valami virtuális eldobható kártya, de nem találtam meg a feltételeit. Plusz azt is létező számláról terhelésre hozza létre, nem új alszámlához.Tévedtem, úgy látom lehet kérni még újabb fajta csomagokhoz is cibnél és lesz elkülönített alszámlája.
Utaláshoz is kell jóváhagyás, azt hogy kapják meg? Vagy kidobnak a csaló oldalon egy, hibás kód, újraküldtük vagy hasonló üzenetet?
Az áldozatnak nem tűnik fel, hogy mi van az SMS-ben? Utalásnál be szokták irni, hogy mennyi összeg utalása, kód, stb.?
Domain, tárhely és webes megoldások: aWh
Hat ezt nem tudom. Ennyire nem voltam bator:)
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
"2) van egy netes bankszamlad, es minden webes vasarlast errol intezed. Minden vasarlas elott az igazirol elutalsz ra annyi osszeget ami kell."
Én nagyrészt erre használom a revolutot, meg nyáron azt viszem a strandra. nem tartok rajta sok pénzt.
Ha ugyanannal a banknal vezeted a segedszamlat, es a netbank hozzaferesedet lopjak el, akkor nem vagy sokkal elorebb.
Én erre használom a revolut-ot. Megspékelve azzal, hogy különböző webshopok dedikált virtuális kártyát 'kaptak'.
(Meg 75e költségmentes kp felvételre.)
Tehát a (l)user simán csak 'oddadta' a bejelentkezési adatait a bűnözőknek. Nyilván tudatlanágból....
De ezen sajnos semmilyen szabály, vagy újabb technikai megoldás nem segít.
szerintem.
zrubi.hu
K&H esetén tokenes bejelentkezés van, az utalásnál meg egy QR kódot kell elolvasni az alkalmazással, az kiírja a telefonra az átutalás összes paraméterét, utána a telefonnal engedélyezed (szintén a tokennel), nincs SMS. Ott hacsak nem tudnak veled jóváhagyatni egy új tokent, elég nehéz visszaélni.
Még a K&H-nál is van SMS-es hitelesítés, de ott is visszakapod, hogy mit hagysz éppen jóvá.
Lehet, hogy az _is_ van, de ha van mobilbank alkalmazásod is, akkor biztos nem.
Jobb esetben ügyfél által választható, hogy push vagy SMS (akkor is, ha van aktív mobilbanki alkalmazása), illetve push esetén van fallback sms-re is.
A fallbackról tudok, arról, hogy választhatnék, nem. SMS azonosítást sose használtam, kezdetben, amikor elindult a netbank, chipkártyás azonosítás volt csak, aztán amikor elindult az SMS alapú, én maradtam a kártyánál, és mióta a mobilbanki alkalmazás van a tokennel, azóta azt használom.
Aki sms-t választott az elején és azóta sem váltott, annak sms van most is.
És csak az ő választása, hogy áttér-e a tokenre. Ami mellesleg kényelmesebb is.
Mobilappon biometrikus azonosítást kér utalás indításhoz, és belépéshez is. Amióta EU-s előírás, hogy két faktorral kell védeni a dolgokat, azért jóval nehezebb a variálás.
SZVSZ irreálisan megbíznak az emberek a mobilplatformok rendszerszintű biztonságában. Márpedig ez a biometrikus azonosítósdi csak addig jó dolog, amíg valaki nem kompromittálja az OS biztonságát. Felteszem a kérdést: vajon az Apple mekkora kárértékig téríti meg a jobbágy kárát, ha a platformon van a luk, és a megtakarításait emiatt viszik el?
node azzal, hogy be tudnak lépni, hogy vettek fel hitelt a nevében? ahhoz még több közreműködés kellett a részéről.
Domain, tárhely és webes megoldások: aWh
Sok banknal tudsz netbankon hitelt igenyelni, gondolom ott nem kell ujra beirni az adatokat, mert azalatt is meggondolhatja magat a user. Azt nem tudom, hogy utana be kell-e menni alairni, nem szoktam ilyen hiteleket felvenni. Ezek szerint nem kell.
Valószinű ez lehet a helyzet.
https://blog.claryel.hu
Aki ennyire info/pénzügyi analfabéta, az inkább ne igényeljen netbankot, de tényleg...
A mai napig nem tudják sokan, hogy a számlára teszik a pénzt és nem a kártyára. Illetve láthatóan nem esik le neki, hogy ha pénzt akar kapni, akkor nem a bankkártyáját kell megadni.
Alapvetően sajnálom a nőt, de sajnos ő hibázot, marha nagyot.
Nem kell igényelnie. Kapja.
Majdnem szomszédom baromi jó fej, és bár nem lehetne alanyi jogon az MTA rendes tagja, de jó abban amit csinál, alkalmazzák, kifizetik. Bankszámlára. Őt pl simán be lehetne fordítani ezzel...
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol
Nyaron voltam egy Erste bankfiokban husolni egyet. A mellettem levo asztalnal egy fiatal leanyzo kapta elete elso bankszamlajat. Az ugyintezo szepen lassan, sokszor elismetelve elregelte neki, hogy mit ne csinaljon. Az egyik pont ez volt: soha ne lepj be olyan weblapra vagy applikacioba, amit mastol kapsz, barmit is mondjon az illeto.
Amúgy nagy ostobaság volt kiszedni a böngészőkből az EV cert kijelzést.
Nekem az addressbar nélküli ablakok a kedvencem.
Most hirtelen nem emlékszem, hogy androidon vagy pc-n láttam, de volt ilyen, ráadásul oauth-hoz. Vicc.
Van, ahol a fizetési adatokat kérik be ilyen iframe-ben (hiába a külső fizetési szolgáltató, nem látod az URL-t).
mondjuk safari nem is enged sütit tenni ilyenkor.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
az iphoneos.youtube alkalmazas is kb. egy weboldal addressbar nelkul.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
Nekem párom már megtanulta, hogy ha valami nem teljesen egyértelmű, akkor kérdez. Jön is többször, hog ez biztonságos? Itt lehet fizetni?
Szerintem az egesz online fizetesi infrastruktura egy hulladek. Honnan tudod, hogy valami egyertelmu? Egyszer fizetnem kellett valami webshopban, ami atiranyitott egy olyan URL-re, hogy verysecure.fiszemfaszom.lv. Tobb ev banki IT-s es fintech-es tapasztalattal a hatam mogott inkabb felhivtam a bankot, hogy mi a fasz ez.
Kiderult, hogy a verysecure-totally-not-scam.valamibank.lv egy Magyarorszagon is tevekenykedo nagybanknak volt az online POS-e. Ezt hogy kellene az atlag usernek megugrania?
Orommel latom, hogy nem csak en megyek neha a bankom idegeire 😊
Erre szoktam en is azt mondani, hogy ezek utan nem nagy cucc par laikust behuzni.
Szerintem az egesz online fizetesi infrastruktura egy hulladek
Nem csak az online. Az offline is az (az ősrégi, off-line, amerikai csekk-kultúrára épülő szintén off-line bankkártyás világuk átmenekítése a modern világba).
Az egész bankkártya-alapú fizetés koncepciója alapjaiban van elcseszve = "van nálam valami (kártya/azonosító), azt odaadom a kereskedőnek, ő pedig ennek birtokában akármit elkérhet a bankomtól"
Réges-rég az AFR koncepciójának kéne mennie: mindenki benyújthatja a fizetési igényét a bankomnak, én pedig ettől teljesen függetlenül, a saját bankom on-line rendszerében egyesével jóváhagyom, hogy mit óhajtok kifizetni, és mit nem.
A topic problemajan nem segit, ha megszerzik a netbank belepest utana szabadon garazdalkodhatnak. Valoszinuleg erre a felallasra is ki lehet talalni valami modszert amivel egy hamis netbanki oldalra csalnak.
Ha ez meg mindig igy mukodik akkor egyetertek, de nem leptunk mar ezen tul legalabb itt Europaban?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Többen is irjátok ezt, mint axiomát. Csakhát ez nem igaz.
Igen , ez a topic kérdése.
https://blog.claryel.hu
Az okostelefonok kora elott a bankomnal "identifier" volt es most is hasznalatos komolyabb muveletekhez. Ez egy olyan eszkoz mint egy szamologep (gombok, kijelzo) es bele kell tenni a bankkartyamat. Tehat a birtokomban kell lennie a bankkartyanak, tudnom kell a PIN kodjat (keri az elso muvelet elott).
Pl. a netbank belepes folyamata:
1. identifier a kezbe, bankkartya becsusztat, PIN kod beir
2. netbank oldalon beirom a kartya szamat (3 jegyu, a kartyara van nyomtatva)
3. beirom az identifier-be a netbank altal generalt kodot (6 szamjegy)
4. beirom a netbank weboldalra az identifier altal generalt valaszt (6 szamjegy)
Ezt nem annyira trivialis atverni, de volt ra pelda, foleg idoseket, valahogy megszereztek a kartyajukat (valamilyen indokkal elkertek, nem emlekszem pontosan) es a PIN-t is valahogy. Viszont a hamisitott weboldal itt nem jatszik a kodok miatt.
A mobillal torteno belepesnel annyi a kulonbseg, hogy az 1. pont az biometrikus azonositas a mobilon es 2. pont kimarad (azt a szamot a mobil appba irtad be telepiteskor), a 3-4. pontok helyett QR kodot kapsz amit a mobil app jelszoval (5 szamjegy) hagysz jova.
Szerintem ez eleg eros vedelem es a "felhivlak telefonon, hogy elkerjem a kodot" csalas nem mukodik hacsak az aldozat nem zongoraza vegig ez a 4 lepest es adja meg a 2-3-4 pontokban leirt kodokat (es az utalast is jova kell hagyni a 3-4 pont szerint).
Ja igen, a kartyaval kizarolag a bank oldalan lehet fizetni, a kereskedo oda iranyit, nem pedig mindenfele harmadik felhez es ugyanugy megvan a 3-4 pontban leirt jovahagyas. Nem helyi webshop-hoz hitelkartya (termeszetesen mostmar van Revolut, stb. is, de regebben csak igy lehetett vagy vehettel feltoltos visa kartyat)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
""van nálam valami (kártya/azonosító), azt odaadom a kereskedőnek, ő pedig ennek birtokában akármit elkérhet a bankomtól""
Van nálad valami, amit bemutatsz a fizetési szolgáltatónak/kártyaelfogadó banknak, hogy a kereskedő javára zároljon a kártyáa mögött álló számlán x összeget (foglalás), amire a kereskedő terhelést nyújthat be, melynek következtében a tényleges, egyszeri alkalommal történő pénzmozgás megtörténik.
A rendszeres terhelés esetén a kereskedőnél egy token lesz, amivel meghatározott összeggel tud terhelni, ha jól tudom.
A kereskedő normál esetben már rég nem kapja meg a kártyád adatait...
Igen, értem én, hogy próbáltak rápiggybackelni a meglevő infrára meg sémára valami biztonságosabb megoldást, de az alapkoncepció változatlan: megbízhatatlan harmadik félen/feleken (kereskedő/payment processor/kereskedő oldali bank/kártyatársaság) keresztül jut el a bankomhoz a "megbízás", hogy fizessen a számlámról. Ez a probléma alapja az én szememben. Egy valag security problémát komplett megoldana, ha ezt nem egy ilyen megbízhatatlan csatornán keresztül akarnánk csinálni. Azt értem, hogy ez histórikusan így működött (maga a klasszikus csekkrendszer is így ment)...
A kereskedő normál esetben már rég nem kapja meg a kártyád adatait...
Normál esetben. A rendszerben ilyen-olyan okokból kifolyólag ott figyel benne ez az opció. Mintha a TLS1.2 idejében lenne egy fallback lehetőség az SSLv3-ra...
Való életbeli példa: 2023-ban az USA-ban meglehetősen standard éttermi fizetési metódus, hogy
- nem a terminált hozzák az asztalodhoz, hanem a kártyával sétál el a pincér (ez a megoldás ugye felénk már szerencsére kezd kihalni a köztudatból),
- ha PIN-kódot kér a terminál, még meg is kér, hogy segíts (sétálj te is oda),
- ugyan elektronikus foglalás van, de a foglalás a számlás összegről szól,
- te ezután a sajtfecnin beírhatod kézzel, hogy mennyi borravalót adsz,
- ezután már nincs újabb authorizálás, többet nem is látják a kártyádat, ennek ellenére valahol valaki begépeli az új összeget, és a másnapi terhelésnél már a borravalóval növelt összeget terhelik - ennek az összes alapja a sajtfecnin levő aláírásod (macskakaparásod).
Szóval vagy valaki tárolta a kártyaadatokat, vagy a bank hajlandó többet kifizetni, mint ami elektronikusan be lett foglalva. Egy aláírásra, és a kereskedő bemondására. Ha ennek bármi köze van a securityhoz, akkor én kurtafarkú kismalac vagyok.
Úgy tudom, mikor lehúzzák először a kártyát a terminálon, akkor a végén "nyitva hagyják" a tranzakciót. Innentől fogva még valameddig (1 nap? 1hét? 20nap? fogalmam sincs) még lehet updatelni azt a tranzakciót akár plussz akár minusz irányban. Azt hiszem autókölcsönzők is ezt csinálják(ták), h. a büntetéseket, autópályadíjakat utólag húzogassák le tőled. Én is vezettem bérelt kocsit, mentünk vele párszáz km-t, aztán már rég hazajöttünk, mikor 1 hónappal később jöttek mindenféle highway terhelések arra a kártyára. Aztán emailben jött vagy 2 summary, ahol másodperc alapon ott volt h. állítólag melyik pályaszakaszon hány métert mentem mikor melyik elágazásig v. kijáratig.
Igen, értjük, hogy vannak olyan use-case-ek, ahol ennek még akár létjogosultsága is lehet, de ezt a jóváhagyáskor (PIN-kód megadásakor) hol látod? Honnan tudod, hogy olyan tranzakciót hagysz jóvá, ami $42, és nem is lehet több - hiszen ennyit akartál fizetni, vagy olyat, ami most csak $42, de a kereskedő később kitalálhatja, hogy inkább $542? Sehonnan, mert az egész PIN-kód elkérősdi is egy utólag ráhekkelt valami a rendszerben, eredetileg nem volt ilyen a rendszerben, eleve az volt a koncepció, hogy ha azt mondtad a kereskedőnek, hogy terhelhet, akkor a bank nem fogja megkérdőjelezni, hogy mennyit terhelhet a kereskedő, az a kereskedő dolga, hogy ne terheljen többet, mint amennyit szabad, és ha vita van, akkor majd intézze egymás között a vevő meg a kereskedő.
Az USA szokásait ne keverjük ide. Egy kártyás tranzakció során nem szükségszerű, hogy a kereskedő megismerje a kártyád adatait. A borravalós sztori meg nagyjából annyi, hogy adott tranzakció foglalása és a terhelése nem kvázi egyszerre történik meg, hanem két lépésben - a terhelés aza dott foglaláshoz kapcsolódóan egyszeri lehetőség a kereskedő számára, és nem a kártyád adatai vannak nála, hanem egy "egyszer használatos" foglalás adatai, amire terhelést tud benyújtani.
Az otlet egyebkent jo, de ezt peldaul egy boltban mar nem tudom elkepzelni. Gondolj bele, az aldis penztaros fel perc alatt ledaralja a futoszalagrol a teljes bevasarlast, utana meg menne a fejvakaras, amig megprobalok belepni a tetulassu bankos appba, jaj, de nincs mobilnetem, stb.
Hogyan is műxik "a mobil device-ra migrált bankkártyával fizetek NFC-n keresztül" c. fizetési metódus már most is? Ezzel állítólag boldogok a népek...
Mennyiben különbözne ez bonyolultságában és időigényében attól, ha nem úgy működne, hogy "az én készülékem odaad valamit a kereskedőnek, amit az illető továbbít a bankrendszer felé, aztán valamikor eljut a bankomhoz", hanem úgy működne, hogy "a kereskedő rendszere ad nekem információt (mik a tranzakció paraméterei: kereskedő azonosítói/számlaszáma, tranzakció azonosítója, fizetendő összeg), mondjuk QR kódon keresztül, a mobil device-on futó banki appom azt felnyalja, ellenőrzi, elémtárja, hogy akkor ezt kéne kifizetni, és ha jóváhagytam, akkor benyújtja a bankomnak, aki értesíti a kereskedőt, hogy ki van fizetve"?
A bankkartya digitalizaciojaval gyakorlatilag egy uj bankkartya jon letre, aminek sajat szama, stb. van, de nem teljesen ertem, mire gondolsz pontosan. A digitalizalt kartyak ugyanugy problemasak, mert a fizikai kartya adataival + 1 db 2FA authentikacioval lehet a tamadonak egy digitalizalt kartyaja. Es lesz is, talan az Apple/Google Pay-es scam manapsag a leggyakoribb/legegyszerubb kartyacsalas.
Alkalomadtan merd le, az atlag magyar bank appjaval mennyi ido alatt jutsz el a telefonod feloldasatol mondjuk addig, hogy latod mar a szamlaegyenleged. Na, ehhez meg add hozza a QR koddal valo tokolest. Ha ez megvan, es meg van kerdes, akkor azt is megnezheted, hogy hany embernek evidens, hogy lesz mobilnet hozzaferes eppen a telefonjan, mert nem fogyott el a meregdragan vett havi kerete, meg terero is van epp ott, ahol vasarolsz.
az atlag magyar bank appjaval mennyi ido alatt jutsz el a telefonod feloldasatol mondjuk addig, hogy latod mar a szamlaegyenleged
A jelenlegi bankkártyás fizetéshez jelentősen gyengébb authentikáció tartozik, ugye. Ha ott ez elfogadható, akkor nem értem, hogy miért kellene a standard, "omnipotens" banki műveleti jelszó authentikációs szintjét elvárnunk egy kis impakttal járó fizetési tranzakcióhoz. Ráadásul minden technikai lehetőség megvan arra, hogy a) a tranzakció összege/gyakorisága/használati mintája alapján eltérő erősségű authentikációt kérjen a rendszer (ahogy pl. a bankkártyával contactless fizetés: X forintig nulla authentikáció; felette PIN-kód, napi limit felett meg ügyfélszolgálat, hogy változtassunk limitet), b) ezeket a paramétereket az ügyfél a saját kényelem vs kockázatvállalás szintjéhez igazíthassa.
Na, ehhez meg add hozza a QR koddal valo tokolest
Felőlem lehet bármilyen más transzport protokoll is, az NFC pl. láthatóan nem okoz vállalhatatlan tökölést, ergó csak tud létezni olyan technológia, ahol nem öregszenek bele a várakozásba az emberek.
hany embernek evidens, hogy lesz mobilnet hozzaferes eppen a telefonjan, mert nem fogyott el a meregdragan vett havi kerete, meg terero is van epp ott, ahol vasarolsz
Miért, jelenleg hány embernek evidens, hogy az NFC-s megoldást kell/tudja használni? Mégis létezik, pénzt-paripát-fegyvert öltek a megoldásba.
Nekem az pont elég, ha csak azokon a helyeken, azoknál a kereskedőknél, és azok az emberek tudnak egy architekturálisan biztonságosabb és rugalmasabban kialakítható (nem utolsó sorban: kártyatársaságok és a sarcuk nélküli, tehát olcsóbban üzemeltethető) fizetési megoldást használni, ahol megvannak az adottságok erre. A többiek meg fizetnek bankkártyával, NFC-vel vagy nélküle.
Azért az AFR2-ben a fizetési kérelem, illetve a QR-kódos fizetés ott van/lesz - nem gyorsabb, hanem más megoldást jelentenek ezek is. A tokenizált kártyás fizetés (Apple/Google/Garmin Pay), mint olyan is lehet kellően biztonságos, ha a tokenizált kártyának a használata az adott eszköz birtoklásán felül igényel erős azonosítást. Ez most is megvan, lezárt telefonnal például nem minden esetben lehet fizetni.
A fizkérelem, illetve a QR-kódos megoldás ott jöhet szóba, ahol például önkiszolgáló kassza van, aminek a képernyőjére ki lehet tolni a kódot a fizetéshez - apró probléma, hogy onnantól kezdve a kasszának valamilyen interfészen keresztül a fizetési tranzakciókat fogadó számlára rá kell látnia, hogy az az adott QR-kódos fizetési igény ki lett-e egyenlítve, vagy sem? A POS+kártya esetén egyszerű, mert a POS adja a visszajelzést, a tranzakció teljesítéséről. Mindezt úgy, hogy a kereskedőnél nem lesz ott a vevő banki adataiból gyakorlatilag semmi. A QR-kódos közvetlen fizetésnél viszont a gyakorlatban egy azonnali átutalás történik, azaz a kereskedő látni fogja, hogy milyen számlaszáma van a vásárlónak.
Az egyik legnepszerubb scam manapsag, hogy a sajat telefonodra tokenizalod az aldozat kartyajat, aztan mehet a buli, mert onnantol a _te_ ujjlenyomatod kell a fizeteshez a sajat telefonodon.
Egyébként a folyamat szempontjából mennyiben különbözik ez egy kártyás tranzakcióhoz képest? Tulajdonképpen elég mindegy, hogy mit is authorizálok, és nyilván a bankos app is hozzáférhetne normálisan valami APIhoz, kb mint a google pay.
A "nincs mobilnetem" jogos.
Elso ranezesre nem sokban, csak sok ponton korulmenyesebb, mint a kartyas fizetes. Akkor is, ha mindegyik lepesnel megoldjuk a latency-t. A QR kodhoz jo latasi viszonyok kellenek, meg kell talalni a kameraval, stb., mig a kartyamat akkor is oda tudom tartani a terminalhoz, ha fejre allok es becsukom a szemem. :)
De miért kéne QR kód, miért ne mehetne az a kommunikáció az nfc-n? Az ideális pathon ez kb annyi, hogy jön valami token, azt kinyitja a banki appod, megnyomod, hogy mehet. Igen, el kell érni hozzá a bankot, de valójában ez most is így van, várunk a terminálnál a "kapcsolódás" feliratra, főleg ha valami kisebb forgalmú hely vagy fosi benzinkút, akkor minden alkalommal az egész ISDN connectet végig. :) Vannak persze kérdések a folyamatban (pl nyilván kéne valami értelmes nyugta ilyenkor vissza a kereskedőnek, hogy ez kész), de igazából én nem nagyon látom, hogy kivitelezés szinten mitől különbözne ez a helyzet olyan nagyon, ha nem a visaval kellene online egyezkedni.
De egyébként pl a lidlben sem nagyon okoz fennakadást, hogy odatartsák a qr-t a leolvasóhoz, pedig az extra balfaszul van, neked kell a screent odatartani valahova, ahova nem tudod pontosan, hogy hova.
Például abban, hogy a QR kódos fizetés esetében a fizető személynek mindenképpen kell elérés a bankjához. Kártyás fizetés esetében a fizető személynek nem kell netkapcsolat (fizikai kártya esetében semmi elektronikus eszköz sem), és sok esetben akkor is tud teljesülni, ha bármely okból a bank nem is elérhető.
Bárcsak explicit írtam volna, hogy a "A >>nincs mobilnetem<< jogos." :)
Ugye látod, hogy én nem csak annyit írtam.
Látom, de az tűnt az alapvető kérdésnek. :)
> Kártyás fizetés esetében a fizető személynek nem kell netkapcsolat
Ez ugye az:
> (fizikai kártya esetében semmi elektronikus eszköz sem)
Jep, ez így van, de ismerve a bankszektort, gondolom nem az lenne a cél, hogy az egészet egyben cseréljük, az pedig egyre kevésbé jellemző, hogy ne legyen ilyen.
> , és sok esetben akkor is tud teljesülni, ha bármely okból a bank nem is elérhető
Ugye ez többekközt pont azért lehet, mert ér később mindenféle randomfaszt foglalni a kártyára :) Nyilván fordított esetben is lehetne, bár kétségtelen tény, hogy ebben az esetben a kereskedőnek kéne megbízni a vevőben :)
Nem azt akarom állítani, hogy ezt így kell csinálni, én alapvetően arra a részére reagáltam, hogy a tranzakció átfutási idejére milyen hatással lenne.
Nem teljesen. Többek közt azért lehet, mert a legtöbb bank nem közvetlenül saját maga végzi az autorizációt.
Alapvetően hosszabb lenne. Pont a kétkörös tranzakció miatt. Eladó elkészíti a QR-t, ez mondjuk legyen ugyanannyi, mint a POS-nak átadni az összeget illetve beolvasni a kártyát. Innentől a vevő beolvassa a kódot, kapcsolatba lép a bankkal (ez meglehetősen eltérő lehet a vevő telefonjától, előfizetésétől és a térerőtől függően), elküldi a tranzakciót, a bank remélhetőleg gyorsan feldolgozza, pár másodperc alatt eljuttatja a címzett bankhoz, ott megtörténik a jóváírás, majd az eladó szintén kapcsolatba lép a saját bankjával és ellenőrzi, hogy megérkezett-e. Ezzel szemben a POS terminálon a kártyaelfogadás egy üzenetváltás.
Persze ha a teljes átfutási időre utalsz, az a POS esetében egyértelműen hosszabb, mert vásárláskor csak az autorizáció történik meg, a tényleges feldolgozoás csak a POS zárásakor. Tehát az AFR-hez kapcsolódó QR alapú tranzakció esetében az eladó hamarabb van a pénzénél, de maga a vásárlási folyamat tovább tart.
Az MNB QR kódos fizetése így működik. Nekem tudja a programom.
Számlát kiállítja az eladó, ott van a qrkód rajta. Azt beolvasva a banki appoddal ki is tudod egyenlíteni.
A banktól függ, hogy ezt mikor látja a kereskedő, de tapasztalat, hogy kb azonnal.
pch
SB-soft online ügyviteli rendszer
"A banktól függ, hogy ezt mikor látja a kereskedő, de tapasztalat, hogy kb azonnal." - IG3 van mögötte, úgyhogy az "azonnal" az pár másodpercen belül kell, hogy legyen. Apró probléma ezzel, hogy a kártyás fizetés során a kereskedő felé anonim maradsz (nem kerül banki adatod a kereskedőhöz) egy IG3-as tranzakció során meg a küldő számlaszáma ott figyel a csomagban...
"a saját bankom on-line rendszerében egyesével jóváhagyom, hogy mit óhajtok kifizetni, és mit nem."
Ezt most nem értem. Az OTP appban jön, hogy jóvá hagyom-e ezt és ezt a vásárlást. Ha igen kiegyenlítettem. De a VICA is milyen. Milyen van más!?
Szerinted azon, aki beírja a bankkártya adatait azért, hogy pénzt kapjon, segített volna, hogy nem volt kiírva, hogy OTP Bank Nyrt, pedig ki szokott írva lenni?
Ezen a szinten éppenhogy ez a maximum, amit talán észrevesz.
Szerintem ezt pont nem. Egyrészt eleve azért lett kivezetve, mert kiderült, hogy faszt nem segít gyakorlatilag a UX-en, ha nagyon akarod, előkaparom innen a topicot, ahol a tudatos kolléga elmondta, hogy hát pl erre figyelni kellett volna, én meg felvilágosítottam, hogy akkor kb 2 éve nem figyel, mert azóta nincs sehol :) Ami egyébként nem csoda, azon az interneten, ahol az alapállapot igencookieperszepersze, igeneulaperszepersze, és ha esetleg valamit csiporog egy egész kurva képernyőn valami certificates izével, az is perszepersze, i accept the risk, na itt arra hajazni, hogy majd abból tűnik fel a baj, hogy a kék lakat és a cég neve helyett csak egy rettentő ijesztő zöld lakat van... hát, szóval arról bevezetés nélkül is be lehetett volna látni, hogy hasznossága a halott és a beöntés relációjában fog mozogni.
Másrészt itt a konkrét esetben, szerencsétlen kislány azzal nem volt képben, hogy ha neki jön pénz, arra nincs szükség a bankkártyájára, teljesen életszerűtlen, hogy ez feltűnjön/megértse.
Másrészt itt a konkrét esetben, szerencsétlen kislány azzal nem volt képben, hogy ha neki jön pénz, arra nincs szükség a bankkártyájára, teljesen életszerűtlen, hogy ez feltűnjön/megértse.
Sokadjára: nem a kártyaadatait adta meg, hanem a loginját és a jelszavát + az összes utaláshoz és hitelfelvételhez szükséges második faktort. Minden egyes SMS-ben benne volt magyarul, hogy a kód amit kapott, mihez tartozik (kiutalás, kinek, mekkora összeg, stb..). Az történt, hogy nem olvasott el semmit ezekből, csak a kódot kereste a szövegben, és írta be weben, mintha nem lenne holnap.
Ez persze nem szerepel a cikkben, mert így jobban hangzik az egész sztori.
Többen is láttuk már itt ugyanezt, FB/Jófogás eladóként kapott link, lemásolt Foxpost weboldal, lemásolt OTP netbank oldal, stb.., ugyanaz a kaptafa. Ez a verzió nem kér bankkártyaadatokat, nagyon jól ki van találva, ebbe nem fér bele az, hogy zavarba hozzák az usert, hogy kétféle dolgot kérnek be tőle + még az mfa sms-eket is. A hölgy meg pont annyira és olyan pontosággal akar emlékezni az egészre, mint amennyire az én ismerősőm, akivel onnét indultunk, hogy ő nem adott meg sehol SEMMIT. Aztán elkértem a telefonját, és ott volt a halom sms az OTP-től, amiről azt állította, hogy azok csak úgy maguktól jöttek.
Csodával határos módon akkor kezdett el emlékezni, amikor közöltem vele, hogy akkor most a laptopját fertőzöttnek tekintjük, és elviszem alsó hangon 2 hétre, és nulláról újratelepítjük (ha gyorsabban szeretné, keressen mást, én így érek rá). Egyből eszébe jutott az egész sztori a Jófogással, kamu érdeklődővel, Foxposttal, és OTP loginnal, és az eredeti URL-el, amit utána egy vm-ben végig tudtam analizálni.
Minek ehhez VM?
Disznóságot csináló oldalról bármilyen kártevő érkezhet. Jobb az ilyesmit eldobható, karanténba zárt környezetben tesztelni.
Nézd, én elhiszem neked, hogy nem volt ott bankkártya adat (elég készségesen, mert én se nagyon látnám tetejét neki), ettől még egyrészt a cikkben ezt állította a néni, másrészt vedd észre kérlek, hogy a mondandóm lényege az volt, hogy aki pénzügyileg ennyire nincs képben (szerintem ilyet hazudni is csak az hazudik, aki nem fogja fel, hogy ettől mennyire tu..egyszerűnek fog tűnni) és/vagy ennyire leszarja (és csak írja, mintha nem lenne holnap), azon nem segített volna az, hogy ha még a régi módon ki lett volna jelezve az EV cert, mert abból se értene egy büdös kukkot se, és/vagy szarná le ugyanilyen magasról.
Konkrétan semmit nem érne ha lenne.
Lássuk konkrét példán hogy is működik (épp az imént capture-öltem le):
1. Webshopon vásárlok. Fizetés kiválasztom: bankkártya.
2. Máris kapok egy redirectet egy külső oldalra. Konkrét példában ez saferpay.com
Adjam itt meg a bankkártyám minden adatát, beleértve CVC kódot.
A TLS certben a következő van:
Common Name (CN): "www.saferpay.com"
Organization (O): "SIX Group AG"
Organizational Unit (OU): "<Not Available>"
(Jogos lehet a kérdés: ki a franc ez a cég, és mi a fenét akar a kártyadataimmal?!)
3. Miután megadtam, egy iframe-ben megnyílik egy oldal, amiben a bankom logója szerepel. Legyen a konkrét példában a bank az Erste. Amúgy az oldal egyáltalán nem hasonlít a netbankom kinézetére, csak egy darab png képben ott a bank logója.
Mit kér: "e-Csatorna jelszavamat". Az Erste bank esetében ez _konkrétan a netbank belépési jelszavam_ (let that sink in for a moment...)
Ha F12 network tab nyitva van, akkor meg tudom nézni, hogy az oldal honnan jött (ugye az iframe miatt az address barban még mindig a www.saferpay.com látszik.)
3ds.egcp.com a cím, a TLS certben a következő van:
Common Name (CN): "3DS.EGCP.COM"
Organization (O): "<Not Available>"
Organizational Unit (OU): "<Not Available>"
Issuer: C = US, O = "DigiCert, Inc.", CN = GeoTrust Global TLS RSA4096 SHA256 2022 CA1
Nahát ez szuper. Ez ki a franc a négyzeten. Utánakerestem, EGCP == Erste Group Card Processor. Nem hogy EV cert nincs, de még a kötelező mezők sincsenek kitöltve a certben, semmi ami utalna a valós jogi személyre a domain mögött. Minek is, hiszen iframe-ben van, úgyse látja az átlag jobbágy...
4. Submit. A következő kérdés: adjam meg az SMS-ben küldött kódot. A domain továbbra is 3ds.egcp.com (annak aki a network tabon követi...)
Annyi különbség van, hogy a normál netbank belépésnél úgy nézne ki a kód, hogy az első 3 szám előre be van írva (gondolom, hogy ne keverd össze a korábbi SMS-ben kapott kóddal), majd kötőjel, és utána kell beírni a többit számjegyet. Itt viszont nincs előre megadott 3 szám, se kötőjel, így összesen kevesebb számjegyből áll a kód. Vagyis ez a kód minden bizonnyal nem "olyan" kód, ami netbankra is jó lenne. Persze erre az apróságra nem hívják fel a jobbágy figyelmét...
5. Fizetés sikeres volt.
Ez volt a legális, nem csalásos, normális fizetés webshopon keresztül!
Fel sem akarom sorolni hány redflag van benne. Ezután az, hogy valakit beetetnek egy kamu fizetési oldallal, ami ellopja a netbank belépési adatokat, abban semmi különleges nincs. Ráadásul a folyamat payment processoronként kissé változik, a Barion-nál pl teljesen máshogy is jelenik meg, más domain-ek vannak stb. Gyakorlatilag nincs az a hozzáértés, amivel ki tudod védeni a csalást, ha a normális fizetési procedúra is így van megcsinálva.
Régóta vágyok én, az androidok mezonkincsére már!
Bónuszként egyáltalán nem minden kártyás tranzakcióra kötelező, pl. EU-n kívülire valszin nem. A Digicert-es cert az "ilyen, mert ha sima domain validated, akkor aláíráskor kicsapják belőle a bármit, amit felvittél.
A phising ritkán irányul kártyás fizetésre, mert ott a 3DS, illetve a VISA-nál a másik cucc, és azért sokat nehezít. Sokkal inkább rámennek a banki felületre, a pszihés nyomásra, és ugye telefonon hívnak fel, hogy itt "gyanús tevékenység" történt, és csinálj ezt meg azt, esetleg add meg a kártya adataid tokkal vonóval.
"A phising ritkán irányul kártyás fizetésre"
No igen, de gondolom érted a mondanivalóm lényegét: a bank megoldása és az egész külső payment processor-os rendszer gyakorlatilag trenírozza a felhasználót a rossz viselkedésre. Akkor is, ha nem pont a kártyás fizetés a célpont.
Ha hozzászoktatjuk a user-t, hogy:
- az teljesen oké, hogy pont a fizetésnél hirtelen redirectelve lesz egy számára ismeretlen külső oldalra, és adja meg ott az érzékeny adatokat
- az teljesen oké, hogy ha legalább annyi fáradtságot vesz a user, hogy megpróbálja megtalálni a külső oldal mögötti jogi személyt, akkor vagy nem talál semmit, vagy egy olyan céget talál amiről életében nem hallott
- az teljesen oké, hogy a kártyás fizetésnél (bármi olyan tranzakciónál, aminek amúgy semmi köze a netbank belépéshez) is a netbankos jelszót kell megadni
- az teljesen oké, hogy a netbankos jelszót _látszólag_ a külső payment processor oldalnak küldöd el (átlag user legfeljebb a böngésző address bar-t nézi meg, nem fog debug módban iframe-eket vadászni)
- az teljesen oké, hogy ha annyi fáradtságot vesz a user, hogy kiderítse, hogy valójában kinek is küldi el a netbankos jelszavát, akkor egy ismeretlen rövidítéses domainbe ütközik, egy olyan certtel, amiből megint nem deríthető ki, hogy a mögötte álló jogi személy kicsoda
- az teljesen oké, hogy ugyanezen a külső szolgáltatónak látszó felületen még az SMS kódot is írja be
...akkor semmi csodálkoznivaló nincs abban, ha a szerencsétlen delikvens beszopja a netbankot célzó phishing támadásokat, mert ténylegesen rá volt szoktatva, hogy a folyamat összes gyanús eleme ellenére menjen csak tovább.
Na ez itt a fő baj. És a legszomorúbb, hogy egészen kis változtatásokkal már rengeteg antipatternt ki lehetne kerülni, de valahogy ezt az érintettek, auditorok, akárkik, nem érzik fontosnak.
Régóta vágyok én, az androidok mezonkincsére már!
Ok ezt írják is a bankok, figyelmeztetnek, kint van a főoldalukon.
DE itt ezt nem értem:
Gondolom ez feltünt volna, feltételezem hogy ez már a tudta nélkül ment. Viszont ehhez újabb jóváhagyások kellenek -bár még nem igényeltem ilyen hitelt- , szóval ezt nem értem.
https://blog.claryel.hu
Nekem CIB banknál ajánlatok vannak időnként. Jön, h xyz Ft összegű kölcsönt kaphatok. Az olyankor már előbírált hitel, minden ügyintézős interakció nélkül végigpörgethető, kb 5-10 perces átfutással. Ott is a hitel a számlán utána.
OTP-nél valszeg ugyanez volt, valszeg ott on the fly bármikor beadható ilyen hiteligénylés. Ilyenhez nincs 3ds védelem. Végitolják, 10 percen belül ott a kölcsön, amit azonnal tovább is utalnak.
> Ilyenhez nincs 3ds védelem
az egesz 3ds egy vicc, csak az userek szopatasra jo, mivel csak az EU-n belul letezo dolog es ott se kotelezo.
nagy webshopok mint pl. amazon nem is hasznalja, sem az eu-n kivuli weboldalak (aliexpress stb).
bezzeg a rezsi vagy telefonszamla fizetesehez mindig kerik pedig sok eve minden honapban szinte mindig ugyannyit fizetek vele ugyanoda. egy ido utan legalabb ezeket megtanulhatna...
Hallod, minden nap ugyanakkor +-1 perc elteressel veszek vonatjegyet, nevreszoloan, szuletesi datum es szemelyi igazolvany szam megadasaval. A 300 forintos vonatjegyet persze nem adjak oda 3ds nelkul, de amikor az USA-bol rendeltem valamit, ott tudtam ugy fizetni, hogy emailben elkuldtem a bankkartyam adatait, amit ok ceruzaval rairtak egy papirra, es bementek vele a bankba.
Kipróbálhatom? Küldd el nekem is a bankkártyád adatait, én is bemegyek vele a bankba... :-D
(Bocs, nem tudtam kihagyni.)
Persze, ha arulsz olyan dolgot, amire szuksegem van, es mashogy nem tudom megvenni. :)
Egyszer nagyon régen én is rendeltem úgy az USA-ból, hogy újságból kivágott hirdetésen beírtam a bankkártyám számát, lejárati dátumát és a nevemet (CVC-t nem), aláírtam és elfaxoltam. Megjött az áru, nem ürítették le a számlámat.
Ma már azért óvatosabb lennék.
Miért? Csinálok egy virtuális kártyát, annyi korlát amennyit fizetni akarok, utána eldobom, így nem gáz, hogy kikerülnek az adatai. Így már csak abban az egy tranzakcióban kell megbízni, de gondolom nem véletlen mentél bele ilyen gyanús működésbe, kellett a cucc és nem volt más mód
Hint: "egyszer nagyon régen" - a virtuális/eldobható kártyaszámok nem biztos, hogy annyira régóta léteznek... Énmég fizettem VISA kártyával "vasalós" megoldással idehaza is - a kártyaszám, lejárat, név ott maradt a kereskedőnél - és nem ürítették le a kártyámat. Évekkel később volt szerencsém egy céges raktárban látni az akkor használthoz hasonló leselejtezett/használatból kivont eszközöket halomba rakva várni a sorsukat...
azt ugye tudod, hogy a 3ds az eu-nak kosoznhetoen kotelezo europaban? a vilag jelentosebb reszen le se szarjak
Hogyne tudnam, meg implementaltam is 3ds-t. Pontosan tudom, hogy a fenti peldaban a MAV kerhetne frictionless flow-t sajat TRA alapjan, amit a card processor vagy enged, vagy nem. Jellemzoen engedi, plane ilyen alacsony kockazatu tranzakcional.
A mocskos bank üzemeltet egy olyan rendszert ahol már lassan az informatikai képzettség sem elég ahoz h el lehessen kerülni h lenyulják a pénzt a számláról. És akkor tetü bank még a felhasználót hibáztatja meg fenyegi perrel! Itt meg egyesek pénzügyi analfabétizmusról zagyválnak! Nem kéne beszopni a bankok dumáit aztán visszaböfögni!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Mocskos MBH naponta küldenek FIGYELEMFELHÍVÓ levelet. (pedig közünk nincs hozzájuk)
Nézzük a napilinket:
hxxps://nit.edu.np/.well-known/pki-validation/MmmBvbV/mkb/signin.php
Teljesen valid pont olyan oldal amit egy hazai vagy nepáli oktatási wordpresstől elvárnánk, hisz ez a National Institute of Technology ...
Ki ne adná meg ezen (tegyük fel, hogy a történet elején vagyunk ahol a Gugli se sír érte, hogy ez nem jó....) a login adatait majd a második faktort.
Engem az zavar, hogy a nyomorult bankok erre nem lépnek semmit, hogy letörjék szerintem, ez az MBH-s vicceskedés kb fél éve megy különböző SMTP-éken és különböző megtört WP siteokon keresztül (én is csak azért látom mert a badheaders mappámba landolnak :))
Kötelezni kell a bankot a jótállásra! Ezzel meg van oldva minden! Ők az üzemeltetők, ők tartoznak felőséggel a rendzserükért, fizessenek! NIncs az 4 jegyü pinkód a bekamerázott pénztároknál ami mentesíteni őket a felelősség alól!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Nem, lenne ennek a nemzetnek egy Kibervédelmi Intézete, amit erre találtak volna ki. :) Ha az automatizált nessus scannél valaha valaki ott továbblépett volna.
Azzal lenne a legkönnyebb visszaélni. Innentől kezdve a csalók közvetlenül a bankokat ostromolnák a hamis kártérítési igényeikkel. Ezt gondold át...
A bankkartyam eltunese/ellopasa eseten a bank jotall. Nem a bejelentestol szamitva, hanem a velheto eltunestol kezdve.
Igaz, nem ott.
Átgondoltam! A bankké a felelősség, ő döntheti el milyen rendszert működtet!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Ami felett kontrollod van, azért lehetsz felelős. Ha valaki lemásolja a tartalmadat, és kirakja egy random URL-re (ami az esetek jelentős részében egyébként valami randomvállalkozás elfeledett, és azóta rommá tört weboldala volt boldogabb ifjúkorában, azért a bank hogyan vállaljon felelősséget?
nem kéne az internetre engedni ilyen embereket, akiknek fogalma sincs arrol, hogy mire való a bankkártya/bankszámla szám. ehhez nem kell informatikai képzettség.
barom
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Ezzel mit szerettél volna mondani? vagy csak bemutatkoztál?
Nem ez a megoldas, ilyen hozzaallassal az utcara sem kellene engedni senkit, ne legyunk tul radikalisak, latni kell a masik oldalt is.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Mit szeretnél még? A belépéshez van mfa mindenhol már. Ha lett volna mfa az utaláshoz, akkor azt is kicsalták volna tőle.
Nem kell hőzöngeni, nem való mindenkinek az internet. Bankoknál rendszesen mennek a hírlevelek és felhívások, hogy mire kell figyelni.
Én se veszek igénybe olyan szolgáltatást amit nem tudok használni biztonságosan.
https://www.otpbank.hu/portal/hu/Adathalaszat
Rendszeresen belefutok ilyen oldalakba, cikkekbe úgy, hogy nem is vagyok otp-s.
Azt akarom, ha a bankot kötelezzék a jótállásra! Nem érdekel a pénzügyi oktatás, nem érdekel az akárhányfaktor, nem érdekel a hirlevél, nem érdekel az adathalász felhívás - ez mind kamu, pohintés, lófing, h tereljék a felelősségüket. Ez az ő rendszerük, felelőséggel tartoznak a működéséért - ebben a rendszerben 1000vel verik át az embereket és mocsokláda bankok még azt a pofátalnságot engedik meg maguknak, h ők fenyegetőznek. Kurva anyjukat! Hőzöngeni kell bazzeg!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Vegyél repülőt, de ha lezuhansz azért mert nem értesz hozzá, akkor mutogass a gyártóra! Mocskos repülőgép gyártók!
Nem gondolnám h kötelezve vagyok a repűlő üzemeltetésére/vezetésére! Míg bankok szlgáltatásának igénybevételére vérlázító módon: igen!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Nem éppen. Nem vagy köteles netbankot használni. Lehet sima buta számlád, egy ocó kártyával, amivel minden hónapban kiveheted a teljes fizetésedet KP-ban.
A KP felvétel árát és a számlavezetési díját beépíted max a fizetési igényedbe a munkahelyeden.
SZERK:
Kártya se kötelező, mert a bankban is kiveheted a pénztárban. Akkor a kártyáért se kell fizetned.
Nem vagy kötelezve. Kérheted a fizetésed kp-ban, fizethetsz kp-ban. Főleg nem vagy kötelezve a bank internetes szolgáltatásának igénybevételére. Bemehetsz ügyintézni, átutalásokat feladni a bankfiókba is.
De hát az kényelmetlen!! Azt akarom, hogy klikkelésre hozza/vigye a futár a cipőt, jöjjön-menjen a pénz realtime. Ehhez érteni, tenni, gondolkodni nem akarok semmenyit. Ha pedig lenyúlnak, akkor a bank azonnal fizesse ki a saját pénzéből, amúgy is van nekik egy csomó! Egyébként meg régen minden jobb volt, ha részegen elhagytam egy 20 ezrest, másnap a kocsmáros 40-et adott vissza.
ez így
általánosságbannem igaz, lásd: 2023. évi LII. törvény a pedagógusok új életpályájáról https://magyarkozlony.hu/dokumentumok/8615f0642888805693ff027c1cee219e6…107. § [Az illetmény megállapítása és elszámolása]
...
(8) Az illetményt készpénzben vagy a köznevelési foglalkoztatotti jogviszonyban álló által meghatározott fizetési számlára utalással kell kifizetni. Költségvetési intézménynek minősülő munkáltató esetén az illetmény kifizetése kizárólag átutalással történhet.
szerkesztve:
ő "tudja a tutit": "Készpénz, mindig."
https://www.youtube.com/watch?v=XAt1JCDLxSA&t=1241s
szerkesztve2:
úgy néz ki, nem tudok magyarul, mert az általánosságban pont azt jelenti, hogy "általában, többnyire, rendszerint", és ugye én pont egy kivételt hoztam, amikor nem élhetsz a készpénzes lehetőséggel, vélhetőleg ez a ritkább eset, bár pld. a rendvédelmiekre vonatkozó szabályozást nem ismerem,
Ez ugye nem az Mt es nem is fizetest hanem illetmenyt kapnak.
Domain, tárhely és webes megoldások: aWh
Idézd már be kérlek a Mt vonatkozó passzusát!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Tessék, tele van a cikk kattintható hivatkozásokkal is: https://ado.hu/munkaugyek/berfizetes-modja-az-mt-modositas-tukreben/
De egy gyors idézet a lényeggel:
"A bérfizetés módját tekintve a 2023. január 1-jével módosult Mt. újítást hozott. A korábbi Mt. úgy fogalmazott, hogy a munkabért készpénzben vagy átutalással kell megfizetni a munkavállaló részére. A hatályos Mt. főszabálynak már az utalásos bérfizetést tekinti és kimondja, hogy a készpénzes fizetésre a felek írásbeli megállapodása esetében kerülhet csak sor [Mt. 158. § (1) bekezdés]. Az Mt. módosításhoz fűzött indokolás szerint a változtatás célja a korszerű és készpénzkímélő eszközök használatának ösztönzése, valamint a munkáltatók szempontjából a hatékonyabb és jobban nyomon követhető bérfizetési megoldás biztosítása volt.
A bérfizetés tekintetében a korábbi részletszabályok nem változtak; a munkabér fizetési számlára utalással történő kifizetése esetén, a munkáltatónak továbbra úgy kell eljárnia, hogy a munkavállaló munkabérével a bérfizetési napon rendelkezhessen [Mt. 158. § (2) bekezdés]. A munkáltatóknak figyelniük kell, hogy a munkavállaló fizetése mindenképpen megérkezzen a bérfizetési napon, ebben a körben tehát a tranzakció átfutásának idejét is szem előtt kell tartaniuk. Ha a bér nem érkezik meg a dolgozóhoz időben, akkor késedelmes fizetésről beszélhetünk. Kézpénzes kifizetés esetén, ha a bérfizetés napja heti pihenőnapra vagy munkaszüneti napra esik, akkor az ezt megelőző munkanapon kell kifizetni a munkabért [Mt. 159. § (2) bekezdés].
A munkabér kifizetése a munkavállalónak költséget nem okozhat, kivéve, ha a dolgozó az utalást a nem magyarországi székhellyel vagy fiókteleppel rendelkező pénzforgalmi szolgáltatónál vezetett fizetési számlára kéri [Mt. 158. § (3) bekezdés]."
Köszönöm! Akkor ugye ez alapján értjük, h miért kretén f@sz mindenki, aki a munkabér készpénzes kifizetésének lehetőségét mint alkalmazható opciót felveti! Ilyen opció nincs, csak a nincs így van körülírva. És nyomoréklelkű kommenthuszárok ezen körülírást akarják az ellenkezőjének hazudni!
Összefoglalva: A kormányzat a bankokkal összefogva arra kényszerít, hogy számlát nyissál valamelyik kereskedelmi banknál és a fizetésed oda utaltasd. A bankból a fizetésedet kpben csak vállalhatatlan költségek árán tudnád felvenni kp-ben. Innetől kezdve arra vagy kényszerítve, hogy a bank rendszerét használd a vásárlásaid során. A bank az általa müködtetett rendszerért nem vállal felelősséget. A rendszer nem véd meg a csalókkal szemben - miután kifosztanak még bank fenyeget perrel téged.
Már az idei első negyedévi számok alapján megírtuk, hogy egészen 2020-ig a károk többségét a bankok voltak kénytelenek lenyelni. Ez az arány azután fokozatosan csökkent, az idei évre pedig szabályosan bezuhant. Az első negyedévben a magánszemélyekre a visszaélések miatti veszteség nem egészen 52 százalékát, a második negyedévben viszont már majdnem 58 százalékát terhelték. Ez megközelítette az 537 millió forintot
https://azenpenzem.hu/cikkek/kapet-venne-fel-egyre-tobb-az-atveres/9663/
És van aki ennek tapsikol, mert h ő "nem hülye" és tud vásárolni a neten..... hát remélem az ilyen egyszer nagyon ráfázik, a jó kurva anyját!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Megállapodsz a munkáltatóddal írásban, hogy kp-ben kéred a munkabért. Pont.
A megállapodás az megállapodás, ha a munkáltató nem akar megállapodni, akkor nem kötelező neki. (Korábban nem megállapodás volt a szövegben, hanem a munkavállaló közölte, hogy evvan)
Akkor fel köll állni, és elmenni olyan munkáltatóhoz dolgozni, amelyik hajlandó adózottan, bejelentve készpénzben fizetni a járandóságodat...
Nem olyan jó ez a kiszolgáltatott állapot imho.
Igen, jól látod, nem a Munka Törvénykönyvéből idéztem, és nem véletlen, hogy illetményről ír, és nem fizetésről. Mivel nem vagyok munkaügyi jogász, ezért nem fogom tudni neked szabatosan leírni, hogy jogilag mi a különbség a fizetés, a munkabér, és az illetmény között, a jogalkotó mikor melyiket használja, vagy pld. egy jogszabályban eltérő rendelkezés hiányában a munkabér említése mit takar, stb.
A köznyelvben ugye azt mondjuk, hogy "mennyi a tanár fizetése", de ezen közalkalmazotti jogviszonyban álló pedagógus esetén általánosan az illetményét kell érteni.
Az a lényeg, hogyha (bocsánat, hogy rád hivatkozok) Behringer Zoltán közalkalmazotti jogviszonyban álló pedagógus, akkor hiába lenne lehetősége a MT alapján, hogy készpénzben vegye fel a fizetését, az ehhez szükséges írásbeli megállapodásra a munkáltatójának nincs lehetősége a fentebb idézett "2023. évi LII. törvény a pedagógusok új életpályájáról" miatt a hivatkozott esetben.
Jól gondolja, egy olyan opció, ami sok esetben nem érvényesíthető, hiába lenne meg a szándék a felek között.
ps. remélem abba senki nem köt bele, hogy én közalkalmazotti jogviszonyról írok, az idézett paragrafusban meg köznevelési foglalkoztatotti jogviszonyra hivatkoznak, akinek ez problémát okoz, annak ajánlom a törvény elolvasását, köszönöm,
Ezzel nincs baj, csak a premissza az fizetes volt. Szoval rendes munkavallalokrol.
Domain, tárhely és webes megoldások: aWh
Én meg azt akarom, hogy ezek az emberek járjanak cipőboltba, pékéségbe, akárhova, ahogy azt amúgy tették az életük nagyobb részében, és fizessenek kp-vel. Senki nem akadályozza meg őket ebben, senki nem kötelezi őket arra, hogy webshopokban kell vásárolgatni, meg FB marketplacen eladott cuccaikhoz online rendeljenek futárt házhoz. Főleg, hogy jellemzően azok picsognak a bonyolultság miatt, akik szerint "régen minden jobb volt". Akkor tessék, lehet gyakorolni, semmiben nem fognak hiányt szenvedni, én ma is láttam egy csomó boltot hazafelé jövet, bármit meg tudtam volna vásárolni, illetve posta is van, ahol fel tudom adni a csomagot, meg tudok pénz küldeni/fogadni. A bankba is be lehet menni, ki lehet állni a sort, lehet hitelt felvenni, stb...
Viszont azt köszönöm, de nem szeretném, hogy miattuk ne legyenek inkább ilyen jellegű online szolgáltatások, mert jajj mi lesz, ha a 70 éves Marika néni nem érti meg, és kicseszik magával. Illetve megmondom neked mi lesz: be fogják szántani a vérbe a kicsit is bonyolultabb szolgáltatásokat.
> és fizessenek kp-vel. Senki nem akadályozza meg őket ebben,
Ellenkezőleg! Következő követelésem: a fizetések kp-ban történő kifizetése Forintban - ettől érvényesen eltérni nem lehet! Ne gondoljuk már egy percig sem, h fizetések utalásával, amiről a munkáltató dönt, nem a bankok és rendszerváltó kormányok bűnszövettsége manifesztálódik! Majd az emberek eldöntik, h beteszik v sem pénzüket a mocsok bankokba!
> Viszont azt köszönöm, de nem szeretném, hogy miattuk ne legyenek inkább ilyen jellegű online szolgáltatások
Persze baszki, a kibaszott kényelmedért cserébe fosszanak ki másokat? Nem lehetsz ennyire szüklátókörű, önző alak!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Átgondoltam, igazad van, köszönöm az észrevételeket!
Kérd a fizetésed kp-ban, ha akarod, de ne kötelezz másokat erre.
Kérheti, de bizonyos esetekben a készpénzes kifizetésre jogilag sincs lehetősége a munkáltatójának, ill. semmilyen módon nem kötelezheti az erről szóló írásbeli megállapodásra.
Tudjuk, ha nem tetszik, akkor keressen más munkahelyet, mert ugye "el is lehet menni". Jah...
Nem mindenütt van házipénztár sem.
> Ellenkezőleg! Következő követelésem: a fizetések kp-ban történő kifizetése Forintban - ettől érvényesen eltérni nem lehet! Ne gondoljuk már egy percig sem, h fizetések utalásával, amiről a munkáltató dönt, nem a bankok és rendszerváltó kormányok bűnszövettsége manifesztálódik! Majd az emberek eldöntik, h beteszik v sem pénzüket a mocsok bankokba!
Azt én teljesen támogatom, hogy kaphasd így, ha neked ez jó, de ha átülünk oda, hogy a neked szimpi megoldás lesz a kötelező, az simán csak a paci másik oldala. Lehetne, hogy én igen is azt mondjam, hogy nem kérek kp-t, köszi?
> Persze baszki, a kibaszott kényelmedért cserébe fosszanak ki másokat? Nem lehetsz ennyire szüklátókörű, önző alak!
Miért fosztanának mi másokat az ő kényelméért? Ezeket a szolgáltatásokat már igazán nem kötelező használni.
Felületes szemlélve szimpatikusnak vélhetnénk ezt, és a jelenlegi szabályozáshoz képest előrelépés lenne, hogy a munkavállaló közli milyen módon kéri a fizetését, és a munkáltató pedig annak megfelelően járna el. Csakhogy a dolgot tovább kell gondolni:
A munkáltató és a munkavállaló nem két egyenrangú fél, a kormányzat helyesen mérte fel, h neki tenni valója van annak meghatározását illetően, h hogyan történjen a bérek kifizetése. Csak a probléma az, hogy annak ellenére h Fidesz "munka alapú társadalomról" beszél, valójában szándékkal munkáltató alapú társadalmat kreált, és ebben a kérdésben is a munkáltatók érdekét érvénysítette. A kedvezőbb elképzelés a munkavállaló egyoldalú nyilatkozata, nem elégéséges védelem számára, épp azért mert nincs egy fajsúlyban a munkáltatóval. Megvannak az eszkök, vagy ha még nincsenek majd kialakulnak, hogy egy ilyen nyilatkozaton alapuló szabályozás is oda vezessen, h a munkáltató tudja érvényesíteni az érdekét a munkavállalóval szemben - igaz nehezebb módon, mint amikor a kormányzat késségesen kiszolgálta az igényeit a MT módosításaival. Épp ezért a kormányzatnak a munkavállót kell támogatni, a bérek kifizetéséenk mondja rendkívüli jelentőségű dolog, melynek dimenziói az emberi szabadságjogokig terjednek. Ezt nem lehet sem megegyezés, sem egyoldalú munkavállalói nyilatkozat tárgyává tenni, a kormányzatnak kell tövényben rögzíteni a készpénzes kifizetést. Aki bankot, bankkártyát akar használni ezután betehetné bankba - amit mondjuk jelen feltételek mellett miszerint a bank majd ezután pénzért adja neki vissza, azt ami az ővé eléggé valószínütlen lenne. Tehát járulékos hatásként akkkor már bankok követelnék a kormányzattól, h szüntesse meg a készpénzfelvétel költségét, továbbá hajlandóak lennének kártérítési felelősséget is vállani az általuk üzemletetett rendszerért, és vissza is térnénk az egészségesebb viszonyokhoz.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Mármint ha permisszaként elfogadjuk, hogy a munkáltató elemi érdeke, hogy kpben kapjon pénzt, és legszívesebben mindenki azt használna. De ez max a magánvéleményed. Én maradnék annál, hogy tehessen erről mindenki egyoldalú nyilatkozatot, sokkal szívesebben kardozok azzal a mindenféle módszerrel, amivel a munkáltató esetleg mégis gecizni óhajt konkrét esetben, mint azzal, hogy mindenkinek kötelező legyen a ló másik oldalán ülni valaki (vélt vagy valós) alusapija miatt.
A munkáltatónak a kp.-es fizetés jóval-jóval többe kerül, mint a csoportos utalás, ezt nem szabad elfelejteni - nézz utána, hogy az értékszállításnak, a készpénzlogisztikának milyen költségei vannak... Nem, nem úgy megy, hogy Mancika fogja a dupla reklámszatyrot, és beslattyog a bankba, felveszi a kp.-t, bepakolja a szatyorkába, és visszamegy a céghez, hogy kiporciózza minden érintettnek a fizetését...
Egyrészt fogalmam sincs, hogy jön ez a mondandómhoz, miért gondolod, hogy nem tudom, hogy ez nem triviális.
És őszintén szólva pont ez a nem szabad elfelejteni, ami miatt én nem hagynám, hogy ebbe bele kell menni, vannak a cégvitelnek kötelező elemei, amik költségek, szerintem az is ezek közé kell tartozzon, mert különben mindenkit elhajtanak ezzel a francba.
Akkor megpróbálom mégegyszer... A készpénzes fizetés sokkal többe kerül a cégnek, amit odaadhatna neked fizetésben, cafeteria keretében, vagy épp vehetne teát-kávét-ásványvizet az irodába a dolgozóknak. Ha választhat a cégvezetés, akkor szerinted a drágább/költségesebb megoldást fogja szeretni,vagy azt,amivel kevesebb a munka, és kevesebbe is kerül? Ahol ki van szervezve a bérszámfejtés meg akár a HR is, ott ki fogja a borítékokat kiosztani? (Olyan kell, aki jogosult megismerni az érintett dolgozók fizetésének az összegét, hiszen előtte fogod megszámolni, és szólni, ha nem stimmel az összeg)
Akkor megpróbálom még egyszer: igen, értem, hogy többe kerül, és pontosan azért gondolom, hogy ezt le kell tolni a torkán a cégnek, mert ha választhat, akkor azt fogja választani, ami neki kényelmesebb, holott szerintem az fontos, hogy aki akarja, kaphassa kpban.
Igazabol tok egyszeru a megoldas, meg kell nezni, mennyibe kerul a default fizetesi mod, ez jelenleg az utalas. Ez a baseline. Ha a dolgozo mashogy keri, adjak meg neki, csak fizesse ki a kulonbozetet.
Tőlem lehet, azzal a feltétellel, hogy a baselinenak része az alapvető képesség, hogy fizetünk kpban. Szóval az ok, hogy mondjuk a konkrét tranzakciós költségeket levonják (mint pl külföldi számlánál), de az, hogy jajj, akkor nincs pénzkazettánk, meg még egy HRst is fel kell venni csak emiatt, az nem.
"a baselinenak része az alapvető képesség, hogy fizetünk kpban" - 150E ft-ig díjmentes kp. felvétel adott (aminek a teljes költségét a bankod viseli)...
"de az, hogy jajj, akkor nincs pénzkazettánk, meg még egy HRst is fel kell venni csak emiatt, az nem" - De bizony ez is a készpénzes bérfizetés költségét növeli - annak a legalább két főnek(!) az adott időre eső munkabére, ameddig a bérszámfejtéstől kapott lista alapján (opsz, a bérszámfejtőknek külön listát kell kreálni, 5Ft-ra kerekítve a nettó kifizetendő összeget) elkészítik a pénzrendelést (címletezéssel, tok.vonó), majd a kiszállított összeget átveszik, átszámolják, borítékolják, közben a cég gondoskodik a megfelelő őrzésről(!), illetve a dolgozóknak egyenként átadják, megvárják, míg átszámolja, aláírja, hogy átvette - jöhet a következő dolgozó...
Ja, a "nincs pénzkazettánk" az egy dolog - összegtől függően lehet, hogy értékszállítót kell igénybe venni, ami nem két Forint...
Játszhatjuk egy darabig azt, hogy hozol példákat, hogy hogyan rokkan bele a cég ebbe, de nem leszünk előrébb, mert nekem az a véleményem, hogy ez egy elég fontos ahhoz, hogy le legyen tolva a cégek torkán. Van még egy csomó minden, amit letolunk azon, aki céget akar csinálni, ez is bele fog férni szerintem. Nem kell velem egyetérteni (láthatólag a jogalkotó sem teszi, szóval meg lehet nyugodni), de azzal, hogy bizonygatod, hogy ez mennyire rohadt bonyolult, azzal nem fogsz meggyőzni.
Mar miert lenne a baseline resze? A kp kezelesnek van koltsege, ezt kifizeted, aztan kaphatod kp-ban a fizut. Azert meg nem kell 1 egesz HR-est felvenni, mert valaki kp-ban keri a fizeteset.
Azért, mert különben azonnal még az irodaépület HRes alá eső négyzetmétere is rá lesz terhelve az első palimadárra kibúvóként.
Sot, valakit meg be sem jelentenek, hanem boritekban kapja a fizut, de most ne azokbol induljunk ki, akik szandekosan kibasznak a sajat munkavallalojukkal. :)
igazából azokból indulok ki, akik megpróbálnák az első szerencsétlenre rátolni a teljes, hát mondjuk, hogy capex-et.
És igazából azokból érdemes ebben kiindulni, aki ha teheti, kibaszik vele 2 forintért, mert azokkal lesz a baj, az ő kezükbe nem kell fegyver.
Az adócsaló cégekre és az ott ebben társtettes dolgozókra gondolsz?
Az adocsalo cegekre mindenkeppen, arrol meg mar vitatkozhatunk, hogy a jobbagy ebben a kerdesben tettestars-e, vagy aldozat, esetleg mindketto.
Csak egy eszrevetel a temahoz: ha torvenybe foglaljuk, hogy a munkaltato koteles lehetove tenni a kp-ben torteno kifizetest a munkavallalonak akkor mit fog csinalni az aki tavmunkaban melozik masik orszagban levo cegnek? Biztosan megoldhato, lesz valami helyi ceg ami ilyen szolgaltatas kinal: osszekoti a kinti ceget az itthoni munkavallaloval, de van ertelme?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ugy kell megirni a torvenyt, hogy a magyarorszagi cegekre vonatkozzon. Mint ahogy most is van kb.
Egyrészt miért kérné ilyen esetben a munkavállaló? Másrészt lehet ennek a scopeját limitálni, és pl explicit beleírni, hogy távmunkás szerződéseknél nem.
Másrészt az MT nem nagyon tud vonatkozni külföldi cégre.
Hacsak nem kotelezi a kulfoldi cegeket magyar leanyvallalat letrehozasara ha van M.orszagi bejelentett lakcimu dolgozojuk vagy akarmi. Mint az oroszok csinaltak, ha valaki oroszoknak szolgaltat akkor ott kell lennie az adatnak. A FB-ot is megbirsagolta az EU, hiaba nem EUs ceg (gondolom az itteni leanyvallalatot). Gyakorlatilag barmilyen torvenyt lehet hozni :)
Persze a fenti csak eszmefuttatas, en nem sok ertelmet latom a kp-nek ugy altalaban. Ha leall az internet (bankkartya terminalok nem mukodnek) akkor jo ha van keznel.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ha valaki csinál az eredetire megszólalásig hasonlító behringer feliratú keverőpultot, és sz@r lesz a minőség, vagy épp áramütést kap a használója, akkor az eredeti gyártó feleljen érte? Mert a bankoktól azt várod el, hogy a lemásolt oldalakért is feleljenek...
Értékelem, hogy nem autós [vagy repülös] hasonlatot hoztál, mindazonáltal nem vállalkozom a keverőpult és a bankrendszer analógiájának megfejtésére, de értékelésem jeléül retrospektív módon tágítanám a horizontod: ugyanis a Behringer cég a múltban az eredetihez hasonló - na most hogy megszólalásig v. a megszólaláson túlig is az vita tárgya lehet - háát ha nem is kifejezetten keverőpultokat, de audiotechnikai eszközöket gyártott - azaz koppintott. pl. hangfal - Genelec https://www.genelec.com/previous-models/ht206a-b vs Behringer https://www.behringer.com/product.html?modelCode=P0135, vagy fejhallgató - Sony https://www.trustedreviews.com/reviews/sony-mdr-1r vs. Behringer https://www.thomann.de/hu/behringer_bh_470.htm
Azonban mára már megváltozott a helyzet bekebelezett ill. egyesült más cégekkel, neves fejlesztőket csábított magához.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Tehát mégegyszer... Ha valaki ártó szándékkal(!) lemásol valamit, akkor te az eredeti termék/szolgáltatás gyártóján/szolgáltatóján kérnéd számon az okozott kárt?
Hagyd a hülyegyerek "tempót" úgy sem mész vele nálam semmire! Azt várom el bankrendszeretől hogy az általa működtetett rendszerért felelősséget vállaljon! Nem cska webes környezetben, hanem pl. a pénzfelvevő automatáknál is, altalában a rendszer minden szegmenséért és függelékéért felelőséggel tartozzon. Hogy ezt h csinálja meg, az pont leszarom kategória. Ne terheljen engem problémás részletekkel. Ne próbáljon úgy tenni mintha bárki egy pillanatig is jóváhagyott volna olyasmit, hogy a bank által üzemeltett rendszer használatát meg kéne tanulni, vagy abból vizsgázni kelljen! Olyan rendszert kell üzemeltetnie és olyanért kell felelősséget vállalnia amihez nem szükséges edukáció. Ennek a rendszernek bolonbiztosnak kell lennie! Ismétlem a legkevésbé sem érdekelnek a problémás részéletek. Oldja meg, feleljen érte!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Mindenhez szükséges edukáció, különben újszülöttként már mehetnél a gyárba.
Az lenne egy előremutató kritika, hogy az iskolákban miért nincsen legalább alapvető, életvezetéshez szükséges ismeretek tanítva (akár adózás, pénzügyi alapismeretek, ügyintézésekm jogok és kötelezettségek). Persze ugyanez szülők irányában is fenn áll, ők is taníthatnák. A szülőknek meg bizony felnőtt emberként kellene magukat képezni az életképességhez. Csak az önálló életvezetésre nem képes embereknél jó kifogás, hogy nem képes megtanulni.
Ez fókusztévesztés, ami a dolgok meg nem értéséből ered. Látszólagos konstruktivitása valójában egy óriási csapdát rejt magában! A javaslattevők [inkább közvetve, mint közvetlenül a bankok] az edukáció forszírozásával nem a valódi problémát kívánják megoldani [ugyanis az megoldhatatlan], hanem olyan eszközt keresnek, ami hivatkozási alap lehet arra, hogy a probléma megoldhatatlanságáról a figyelmet elterelje és az ő felelősségüket elhárítsa. Hasonló dolog a pin kód is! Annak is az a valódi értelme, hogy legyen a rendszerben olyan jogi hivatkozási alap, amivel el tudják hárítani maguktól a felelősséget. Totál nevetséges h 4 db szám védi a vagyonodat, miközben ennek 4 számjegynek a titokbantartása életszerűtlen pláne a több szögből bekamerázott pénztáraknál, készpénzfelvételi automatáknál bűnözők által elhelyzet az eredetivel tökéletesen egyező kinézetű nyomógombokkal amik egyből hazatelefonálnak a beütött pinkóddal, valójában erre a 4 számjegyre a bank jogászainak van szüksége, akik a számlatulajdonos felelőtlenségére hivatkozva, miszerint nem védte megfelelően a pinkódját, mentesítik a bankot a kártérítési felelőssége alól. Nem tudom h számodra, mint aki magáról önnálló életvezetésre képesként nyilatkozik érthető-e a dolog mögöttes logikája? Ami úgy tűnik mintha a számlatuljdonos védelmét szolgálná (pl. edukáció) az valójában eszköz a bank ügyvédei kezében a felelősség elhárítására. Nincs más valódi(!) megoldás csak az, h a bankot kell kötelezni arra, h vállalja a felelősséget az általa működtetett rendszerből eredő károkért.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
"a dolgok meg nem értéséből ered" - ahogy a te elvárásod is. Szóval goto 10, avagy tanulj tinó...
Akár igazad is lehetne. :-D
Kis országunkban a jog igen fontos tényező, hiszen hatellemivel lehetsz parlamenti képviselő, bűnözőként köztársasági elnök vagy börtönből irányíthatsz állami intézményt. ;)
A vagyonodat pedig nem négy szám védi, hanem Te magad. Már, ha elég eszed van hozzá. Ehhez olyan apróság is szükséges, hogy az OTP, Foxpost, stb. elérhetőségét NEM fészbúkos üzenetből használod. A lakásodat is csak egy vacak zár védi, mégsem adod oda a kulcsot, még akkor sem ha kérem, miközben rendes ember vagyok.
Apám elég sokszor vizsgáztatott. Véleménye szerint az elégtelen osztályzat nem etikus, mert azzal kijelentené, hogy olyan hülye vagy, hogy soha nem tudod megtanulni. :-D Az én időmben tanították a boríték címzését és a csekk kitöltését, mert ezek hétköznapi alaptevékenységek. A bankkártyát nem tanítják. Ennyi.
Az edukáció csapda a felhasználókra nézve. Legitimál egy olyan poziciót miszerint a felhasználó lesz a számonkérhető a bank helyett! Minden ilyen próbálkozást csírájában kell elfojtani, és világossá kell tenni, hogy banknak nincs megoldása a problémára (mivel az nem megoldható), és csak a felelősséget akarja ilyen trükökkel áthárítani. Lásd rabló-pandúr esete, amikor is a rabló _mindig_ egy lépéssel a pandúr elött van - nincs az az edukáció ami ezt a lemaradást behozhatná, szemfényvesztés az egész. A banknak kell jótállnia mivel ő müködtett olyan rendszert ami nem használható biztonságosan.
De h mennyire blöff ez az eduikációs marhaság: játszunk el a gondolattal, h akkor külön vizsgázni kellene "bankolásból". Nah az ügyfelek 90% megbukna, és a banknak fel kéne mondani velük a szerződését egyidejüleg a pénzük visszaadásával! Remek, támogatom! És bankok támogatnák vajon? Ja....h igy már nem is kell az edukáció nekik, ugye?
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Bizony, létezik néhány csapada, pl. a jogosítvány, ami nélkül nem vezethetsz autót. Edukálnak, hogy utána felelősségre vonhassanak! :-D Talán ebből adódott az ECDL elnevezés is. Mint feljebb is írták, nem mindenki születik fehéren - mint Májkell Dzsekszon! - sőt, a bankolást is meg kell tanulni! Jelenleg nyithatsz számlát, mert állítólag felnőtt vagy és csak hozzádvágják a bankkártyát, mert úgy is olyan okos vagy, hogy egyből tudod használni. Sőt, jogod van online bankolni, hiszen annak is szakértője vagy!
Ha meg mégsincs így, akkor meg hüje bank!
Ha megnézed a topicnyitó horror-történetet, akkor a leányzó tuti elmebeteg. Az orvosok pedig nem a banknál, hanem egy egész más szervezetnél találhatók. ;)
Ez az általános probléma a különböző vizsgákkal - nem is akarok többé vizsgázni semmiből megj. kresz vizsgán 1 hibapontom volt, az is valami nagyon többértelmű dolog miatt.
Tehát a lényeg sokadszor, h amit meg kellene oldania a banknak, azt nem lehet megoldani. Minden hókuszpókusz itt a faktorokkal, meg edukációs javaslat stb ennek elfedését szolgálja. Tehát ezekre nemet kell mondani és a bankot kell kötelezni a jótálásra mert ő működteti a rendszert ami nem biztonságos.
Emlkszem egyszer a tvben láttam egy lakossági fórumot amikor Budaörsön benzinkutat akartak építeni a lakótelep szélére. A lakosok tiltakoztak, a megjelent beruházási képviselő kb ilyneket mondott, hogy a benzinkút jó, mert ott mindig világos van és ha bármi baj lenne akkor oda lehet menni. De hát ez persze nem nyugtatta meg az embereket. Akkor felmerült a zseniális találmány a hatástanulmány kérdése, miszerint nem készült előzetes hatástanulmány a beruházásról. És akkor az emberek elkezdték követelni a hatástanulmányt. Erre a képviselő megkérdezte, hogy amennyiben a hatástanulmány arra jut, h a beruházás megvalósítható, akkor elfogják-e fogadni az eredményt? Erre mondták, h dehogy fogadják. Akkor miért követelik jött a következő kérdés?
Szóval ez az edukáció nagyon fancy dolog, legalább anyira mint egy hatástanulmány, csak nem edukált felhasználókra kell alapozni egy rendszer biztonságos működését, hanem a rendszernek magának kell garantálnia azt.. És lehet humorizálni az áldozaton, de ne gondold, h te nem válhatsz azzá, biztos h létezik módszer amivel átverhető vagy te is - edukáltság ide v. oda.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Az az általános probléma, hogy vannak játékszabályok, amit be kell tartani. Ha látod a piros karikában az 50-est, akkor (már, ha edukált vagy) be kell tartani a sebességkorlátozást, mert különben seggbe rúgnak.
Legyen a bank a Feltörhetetlen Zár Gyártó Gyár, amelynek a garanciális termékét beszereled az ajtódba. Szerinted a zár gyártójának a feledata a biztonság biztosítása. Tehát, ha válaszolsz a "Betörő vagyok, kulcsot keresek!" apróhirdetésre és el is küldöd a betörőnek a kulcsot, akkor tök normális vagy és a zár gyártója oldja meg a biztonságot.
Ez kb. az a hozzáállás, amikor a mikró gyártóját beperelték, mert nem volt a használati utasításban leírva, hogy macskát nem szabad a mikróban szárítani. (Igaz, az edukáltabbak tudták volna értelmezni, hogy a mikróban melegíteni szokás.)
Sőt, vérig sért az a rasszista hozzáállás, hogy a bank automatikusan feltételezi, hogy el tudod olvasni akár a szerződést is! Mi a rák lesz az analfabéták esélyegyenlőségével?! Igaz, sehol soncs leírva, hogy az ügyfél nem lehet analfabéta. :-DDDDD
Ez azért nagy ötlet! Megpróbálok folyószámlát nyitni és aláírok 3 kereszttel - milyen képet vág az ügyintéző? :-D Aztán persze kiverem a balhét: Vesszen az edukálás!
Csak óvatosan, a 3 kereszt az már doktori címet feltételez!
AZVAGYOK!
Háromszorosan is!
dr. Kálvária-Domby Vizelet
Tetszik az otlet. Remelem az autogyartokat is kotelezik jotallasra balesetekkel kapcsolatban, a rendorseget is arra, hogy teritse meg a karomat ha kirabolnak, stb.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
korábban volt már repülős, keverőpultos, mikrós, ajtózáras hasonlat is > hüjje hasonlatokat kéretik a Hüjje Ajtók Hivatalában megtenni. Thx!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
A hüjje követeléseket pedig add elő a Hüjje Követelések Hivatalában. Thx.
+1000
biztos van az a pénz, amiért vállalja a user helyett a kártérítést, csak 10x 100x annyiba fog kerülni :D Persze a user úgy gondolja, hogy ugyanazon az áron, de lehetőleg ingyen vállalja más a felelősséget. S majd a bank fizeti ki. Nem a userekre hárítja a hülyék okozta kárt, "nem hárítja át" :D
"az általa működtetett rendszerért felelősséget vállaljon!" - Stimmel. A lótépébank.ponthu.com az nem az OTP Bank által működtetett rendszer, azért nem tehető felelőssé.
Ha te nyitsz egy webshop-ot zolikawevshopjaponthu néven, és valaki lemásolja zolikapontwebshopjaponthupontcom néven, és átveri az embereket, akik oda tévednek, akkor ugye te is vállalod a felelősséget érte? Mert ezt várod el a netbank/mobilbank szolgáltatások üzemeltetőitől...
Azért ennél árnyaltabb a kép, azt hiszem, hogy egy banktól, aki valójában a saját tőkék nagy részéért felel, igenis lehet elvárás, hogy minél jobban védekezzen a mindenféle támadások ellen. Természetesen nem gondolom, hogy automatikusan mindenképpen ő a hülye, de azért sokszor benne van ebben az is, hogy választják a kényelmesebbet, ügyfélmegtartóbbat (és persze erről tehetnek az ügyfelek is). Én pl halálos nyugalommal szívesen beállítanám, ha lehetne, hogy nekem nem kell SMS fallback, ha nem megy az app, élek együtt a következményeivel, de nem tehetem ezt meg.
Zolikawebshopjától meg többek közt azért várjuk ezt kevésbé, mert általában inkább szeretnénk, ha pl a pénzt nem közvetlen kezelné, hanem valaki olyannal, aki jobban fel van készülve ennek a veszélyelhárítására.
A bankok egyébként vagy saját maguk, vagy szolgáltatásként igénybe véve figyelik/keresik a fake oldalakat, és a jog adta lehetőségeken belül igyekeznek tenni ezeknek a "lekapcsolásának" az érdekében. Az SMS fallback akkor van, ha explicit kéred/jelzed, hogy ne push, hanem sms érkezzen. Egyébként meg mindegy, mert ugyanaz az eszköz végződteti mindkettőt...
Tudom, ez egy szelete a törénetnek.
Egyrészt kérte explicit a nehézség, aztán mégis volt, hogy abban kaptam a 3DS kódot. Másrészt az kurvajó, hogy authentikálatlanul mondhatom, hogy mégis inkább legyen a fallback (mármint nem én, hanem a támadó ugye), és én nem tudom bekonfolni, hogy nem baszki, nekem ne legyen aktív az a gomb. Aztán ha ezen keresztül megnyomják az accomat, akkor majd persze jön a bank, hogy én voltam a hülye, és beperelnek :)
Ugye te sem gondolod komolyan így évekkel az SMS infrastruktúra vérzik index szintig publikussága után, hogy az odavezető útvonal nem számít, és ezeknek a securityja ekvivalens.
De hasonló a kártya is, nem nagyon láttam még, hogy meg lehetne oldani, hogy ha megvan a digitalizált kártya, akkor a fizikai használatát letilthassam. Pedig összességében szerintem jobb a securityje a telefonomon a biometrikus azonosításnak, mint a fizikai kártyának.
A login esetén nincs jó döntés arra vonatkozóan, hogy legyen-e kint az "sms-t kérek inkább" gomb, vagy sem. Ha nincs, akkor a mobil device/app elérhetetlensége esetén a csak push-t választó üf. vagy telebankol, vagy bankfiókba megy...
"akkor majd persze jön a bank, hogy én voltam a hülye, és beperelnek :)" - az esetünkben szereplő hölgy khm. nem fejtette ki minden részletét a sztorinak - az, hogy személyi hitelt sikerült igényelni az identitását felvéve, _és_ azt is meg a teljes számlaegyenleget, meg a beérkezett utalást is sikerült elutalni a számlájáról, az... Mondjuk úgy, hogy legalább fél maréknyi SMS-t jelentett, amire reagálni, netbankban beírni a kódot, stb. kellett, ha minden igaz. Úgyhogy a kellő gondosság hiánya az ő oldalán biztosan megáll, sajnos.
A tokenizált kártya - fizikai kártya kapcsolatát még nem látom át teljesen, de szinte biztos, hogy van valami oka annak, hogy a fizikai kártya/kártyaszám nem tiltható.
Olló, mikró, és máris le van tiltva a fizikai kártya ;)
kevésbé reverzibilis.
Szerintem van jó döntés, én magamnak el tudom dönteni, hogy vállalom-e ezt a kényelmetlenséget. Azt értem, hogy nincs jó default döntés, de most egy csomó helyen eldöntik ezt helyettem.
Ezt értem, ez a szál -- nekem -- arról szól, hogy a bank mennyire teszi meg az elvárhatót. Ezeket egészen nyugodtan megtehetnék, ehelyett ha egyszer belefutok egy ilyenbe, akkor majd megy a mutogatás, hogy nem voltam elég gondos, mert nem reagáltam azonnal az smsekre. De pl arra sincs lehetőségem, hogy azt mondjam, hogy ami nem 3DS, azt nem akarom, pedig ez is egy teljesen szenzibilis dolog volna. Rohadtul ritka, hogy legyen értelmes throwaway fizetési módszer. Meg még egy csomó minden.
Egyrészt, tessék olyat tervezni, ahol ez nem probléma. Másrészt van, akinek sikerül, lásd Friczy revolutos példáját, de nekem pl van olyan wiseos kártyám, ami eleve soha nem is létezett fizikailag, és soha nem is fog. Szóval leginkább csak az van, hogy bank bácsi csinálhatná jobban :)
Revolutnál tudod külön tiltani az online vásárlást, a mágnescsíkos illetve az érintéses fizetést, valamint az ATM-ből KP-felvételt is. Ez együtt letiltja a fizikai kártyát.
Tudom, de nem ez a jellemző. Sőt, nekem van olyan is, amihez sosenemvolt fizikai kártya.
Ehhez annyit, hogy van olyan nagy magyarországi bank, ahol ha az appban nem hagyod jóvá X műveletet 3 percig, akkor automatikusan jön az sms. Szóval nem kell explicit kérned/jelezned se.
Tudom, hogy van ilyen...
Amikor meg van nyitva az alkalmazás?
:)
Igen. De majd holnap letesztelem megint a folyamatot és leírom.
Ezt gondold át. Az egy dolog, hogy az SMS plain textben elolvasható minimum a mobil szolgáltató által. A nagyobb baj, hogy a más ID-jához tokenizált Revolut kártyák pont úgy keletkeznek mostanában, hogy feltörik valakinek a MacBookját amihez hozzá van társítva az iPhone-ja. Amikor jó eséllyel alszik a user, elindítják a tokenizálást. A Revolut SMS megerősítést küld, amit a számítógépről a társítás miatt nem csak el tudsz olvasni, hanem egyből törölni is tudod. Reggel, mikor felkel a user, azt sem tudja, hogy történt valami. A tokenizált kártyára meg nem kér megerősítést a bank. A banki appok legalább nem mennek át az iphone-ról a iOS-re. (És itt jelezném, hogy k* anyját a Revolutnak, mert ha már ott a telefonon az appja, akkor miért középkori módszert használ a tokenizálásra?)
Erre van valami forras? Mert tokenizalos scammel mar hallottam, miszerint veszelyben van a kartyad, ha a telefonodon hasznalod, segitenek ujra biztonsagossa tenni. A folaymat pedig arrol szol, hogy mindekozben a masik hozzaadja a kartyadat a sajat keszulekehez, te pdeig elarulod neki a jovahagyo kodot is.
Például ez, de szerintem tudod használni a Google-t te is.
Ezt olvastam honapokkal ezelott, de ebben zero konkretum van. A folyamat sem vilagos, a tortenetet elmeselo sem kepes elmondani mit tett, mitortent.
Mit nem lehet érteni?
1. Feltörik a mac notebookot vagy asztali gépet, telepítenek rá egy RAT-et. Ha ki van kapcsolva a mackel párosított iphone SMS szinkronizáció, akkor bekapcsolják
2. Megvárják, amíg fizet a user valahol a mac-ben megnyitott böngészőben, lehetőleg nem egyszer használatos Revolut kártyával, mert ott ismerik az ügyfélszolgálat minőségét meg azt, hogy a tokenizálás SMS-ben történik
3. Egy inaktív időszakban (hajnali 3 például) a megszerzett kártya adataival elindítják egy hajléktalan nevén levő apple ID-ra a tokenizálást. A kártyaszámot, lejárati datumot, CVV-t megszerezték az előző pontban, a megerősítő SMS-t látják a feltört macen keresztül.
4. Bemennek Alihoz, a Bagdad Refurbished & Used Electronics Store-ba és lehúznak mondjuk 1000 USD-t a terminálon. Ebből Ali visszaad nekik 500-at készpénzben. És ezt még párszor, amíg el nem utasítják fedezet hiány miatt. Utána vesznek cipőt, parfümöt, stb. a telefonnal a megmaradt összegből. Mivel IPhone-nal fizetnek, amíg van fedezet a számlán vagy le nem tiltják a kártyát a tranzakció sikeres lesz megerősítés nélkül (hiszen az iphone face id-val vagy ujjlenyomattal kerül feloldásra). Külön öröm a beállított automatikus egyenleg feltöltés a Revoluton. Persze mindezt szintén hajnali 3-kor, hogy a user minél később tiltsa le a kártyát.
5. A user a pénzét nem kapja vissza: az Apple azt mondja, hogy a tokenizálást a Revolut engedélyezte az adott telefonhoz, az ügy nem hozzá tartozik. A Revolut azt mondja, hogy a tranzakciót megbízható iphone-ról indították, így nincs joga elutasítani vagy egyáltalán vizsgálni, ha nem a tied az iphone, minek tokenizáltál oda.
Csak nem erről van szó. Pont most fut az OTP reklámkampánya, azonnali személyi kölcsönt ad online, milliós összegben.
Ezt szerezték meg. Viszont tényleg túl kevés a konkrétum a cikkben, vagy tényleg nagyon figyelmetlen volt a károsult, ez nem kártyalehúzás.
Ismerni kellene a pontos folyamatot, és vigyázni.
https://blog.claryel.hu
1. Ha feltorik a szamitogepet, az nem eleg az SMS szinkronizacio bekapcsolasahoz, ugyanis ezt a telefonon kell vegrehajtani.
2. Mit jelent az, hogy Apple ID-re tokenizalni? Senkinek a nevere nem kell semmilyen Apple ID-t letrehozni, semmi szerepe nincs az Apple ID-nek a folyamatban. Miert kell ehhez Apple ID? Ez szerintem nem ez a folyamat. Az Apple Pay bekapcsolasahoz nem kell az sem, hogy legyen barmilyen Apple ID belepve a telefonon.
Biztos, hogy nem csak felhivtak egyszer az aldozatot es jovahagyattak vele egy tokenizalast, valami masnak alcazva, aki nem is olvasta el az smst akkor, ott, es mintha, nem lenne holnap, bediktalta a telefonba a kapott szamokat? Nem azt mondom, hogy nem tortent meg, de sok olyan esettanulmanyt olvastam mar, ahol az ilyen "feltortek, nem en voltam" esetrol kiderult, hogy semmit nem tortek fel, sima mezei scam hivas aldozata lett az illeto es sajat maga hagyta vagy kozvetlenul, vagy indirekt modon jova a kartyaadatok eltulajdonitasat. Pont, ezert kerdeztem vissza, hatha lattal valami reszletes esettanulmanyt egy konkret esetrol, ahol tenylegs feltores, szoftvertelepites volt. Kivancsi lettem volna, hogy mik a megtamadott komponensek, milyen CVE utal ra, stb stb.
Itt igazából egy sokkal általánosabb problémáról van szó: Hogyan tudja a felhasználó egyszerűen ellenőrizni, hogy azzal "beszélget", akinek a másik látszik? Már egy sima telefonhívásnál is a hívott fél nem biztos, hogy hitelt érdemlően tudja ellenőrizni a hívó felet. Ennek a problémának a megoldása nagyon nem triviális, sajnos.
Való világban senki nem bérel ki egy helyiséget, nem matricázza fel, hogy az XYZ bankfióknak tűnjön. Túl sok idő, macera, nagy a lebukás esélye. Online világban egy ilyen false oldalt csinálni, majd "eltűnni" sokkal egyszerűbb.
Pontosan erről van szó! A dolog hátterében az az illúziókeltés áll a bankok részéről, h az ő rendszerük alkalmas a való világ szereplőinek azonosítására és azok szándékainak kezelésére. Ez egy kibaszott nagy hazugság! A bank, mint olyan minden elemében - nem csak technikai aspektusában - egy kibaszott nagy hazugság, csalás, szemfényvesztés. Ez az amit rájuk kell biznyítani és ez az ami miatt minden kárért őket terheli a felelősség. A bank az igazi csaló, és az a csaló amelyik lenyúlja pénzed a számláról csak egy kispályás nyomorék.
Napokban volt hír Oroszország bevezette az iszlám bankrendszert. Az iszlám bankrendszerben etikai elvek érvényesülnek, a Saría alapján döntik el, h mi az ami támogatható v. sem a bank részéről, kamat helyett kockázatközösség van stb...
https://www.portfolio.hu/bank/20230917/meglepo-lepes-putyintol-bevezeti…
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Kb. 80%-ban igazad van. Csak elfelejtetted feltenni a fontos kérdéseket. Mint például:
- Hol van az PSZÁF, apropó, MNB felelőssége?
- Miért totál hülyeségekkel basztatják a bankokat auditokon, ellenőrzéskor?
- IT security mikor lesz prioritás bárhol - nem csak a bankoknál?
- Kinek kellene a felhasználókat oktatni? Hol marad a pénzügyi tudatosságra való HAJLANDÓSÁG, IGÉNY?
Csak egy példa: Amikor még voltak 0 Ft-os bankszámlák (pl: AXA), akkor gond nélkül volt 4 privát bankszámlám. Más-más célra: internetes vásárlás, bolti vásárlás és beérkező utalások, megtakarítás, vésztartalék. Ezek közül csak 2 számlához tartozott bankkártya. Az internetes vásárlásra szánt kártya mindig a fiókban hevert. Mindenki - igen, a BANK is - totál hülyének nézett, hogy miért ennyi számla? Érdekes mód soha 1 Ft-t nem nyúltak le tőlem.
Mondjuk a perrel fenyegetés az kicsit vicces. Kíváncsi lennék én arra a periratra, hogy mégis milyen alapon. Talán a bank jó hírneve? Volt olyan bármelyik banknak is? :)
"Kíváncsi lennék én arra a periratra, hogy mégis milyen alapon." - Személyi kölcsönt igényeltek az ő identitásával, annak a visszafizetése kapcsán merült fel a bank részéről a per lehetősége.
Tehát ellopták az identitását.
Jogászkodás: Biztos, hogy a bank mindent megtett, hogy az ügyfelet hitelt érdemlően azonosítsa? Az mfa véleményem szerint nem elég önmagában.
Miért, a közértben hitelt érdemlően azonosítanak, amikor bankkártyával fizetsz? Régebben volt valami olyan, hogy bankkártyás fizetésnél személyit kértek, a részletekre már nem emlékszem, talán összeghatáron felül.
Alma vs. körte: bankkártyás fizetés a boltban vs. hitelfelvétel.
Akkor nézd így:
* néni meghatalmazást ad a csalónak, hogy vegyen fel hitelt a nevében
* csaló felveszi a hitelt és meglóg a pénzzel
* a bank várja a törlesztőket
Ki fizet kinek? A bank jogosan követeli a nénitől, a néni meg próbálkozhat utolérni a csalót, de sok sikert hozzá.
Ez ellen a biztosítás védi a bankot, illetve az, hogy végignézi hogy a termékei közül mi az, amit enged online, fizikai személyazonosítás nélkül használni, és csinál egy rizikó analízist. Én személy szerint az összes ilyen funkciót letiltatnám ha lehetne, ha hitel kell, akkor be tudok sétálni a bankba.
A funkciók letilthatósága kapcsán maximálisan egyetértek. Igencsak faramuci helyzet volt a cibnél is, hogy 2-3 féle párhuzamos rendszerük ment és egyik sem tudott mindent, hanem bizonyos funkció csak egyik felület egy eldugot zugában kapcsolgatható, a másik meg egy másik szolgáltatásuk mélyén.
Leginkább azért szoktam dühös lenni, hogy szándékosan obfuszkálva van sok kondició a bankok oldalán. Tucatnyi sok oldalas, különálló pdf-ből kell összebogarászni, hogy rám mi vonatkozik. Kötelezővé tenném, hogy a saját előfizetésem paramétereit, ami rám vonatkozik, arról egy lényegi kivonatot megmutassan és max hivatkozza az ottani értékekhez, hogy melyik szabályzat melyik része miatt van úgy.
Máig nem sikerült megtanálnom egyik bank saját felületén sem azt, hogy ha én odamegyek az ő nevük alatt futó ATM-hez egy másik banktól származó kártyával, akkor vajon mekkora összere fog limitálni készpénzfelvételkor az automata. Se az ATM nem írja ki előre, sem a banki feltételek közt nem lehet megtalálni. Anno a google kidobta egy változásról szóló bejegyzésnél az egyik banknál, hogy ott akkor éppen mire változott. De azt sosem találtam meg, hogy idegen kártyával bármelyik bank ATM-je milyen feltételekkel áll szóba velem. Csak a saját kártyájuk feltételeit írják le. Az idegen kártyás feltételeket nem tudom meg, csak max kiír valami hibaüzenetet az ATM, de az sem írja ki a kondíciókat erre az esetre, csak hogy nem engedi. Néha próbálgatás alapon gyűjtött infók alapján megjelenik erről egy cikk, ami nem hivatalos és sokszor nem is teljesen úgy van már.
Egyébként nagyrészt szándékos, hogy szar a weblapjuk kereshetősége, el vannak obszufkálva információk és nem lehet magadnak megnézni infókat. Azt akarják, hogy járj be fiókba, az üzletkötőüjük próbálhasson eladni neked valamit.
"Azt akarják, hogy járj be fiókba, az üzletkötőüjük próbálhasson eladni neked valamit." - A legköltségesebb a fióki ügyintézés...
Persze, ha adminisztrációs dolgokat kell intézni.
Cibnél pár éve ráálltak arra, hogy "én vagyok az ön személyes ügyintézője, szeretnék időpontot egyeztetni Önnel, hogy mikor tudna befáradni, hogy megbeszéljük mibe fektethtené be a lejáró korábbi befektetését / az egyenlegén lévő pénzt....". És egy amúgy befektetéshez, s saját ajánlataikhoz sem nagyon konyító ügyintéző próbál rábeszélni arra, hogy tegyél oda pénzt, ami a banknak hasznot hoz, ügyfélnek már nem feltétlenül. Még névjegykártyát és közvetlen telefonszámot is adnak.
Meg az Ön régóta hűséges ügyfelünk és ezért az akármilyen arany kártya... blabla.. ott van a weblapon, hogy bárki igényelheti, csak ki kell fizenti :D
Persze az is igaz, hogy ezt egy belső rendszer figyeli és különböző feltételek triggerelnek különböző eseményeket, teszik be a robot vagy az üzletkötő feladatlistájába a megkeresés valamilyen formáját. Collection területen más országokban futó rendszert fejlesztésében én is vettem részt, szóval pontosan értem miért hív és honnan tudja, hogy hívjon :)
Ha nincs benn felszabaduló, vagy bármilyen lóvé, akkor nem fog keresni. Legfeljebb, ha semmi olyan szolgáltatást nem veszek igénybe, amivel keresnek rajtam, negatívbe viszem a hasznomat (pl olyan tranzakciók sokasága, ami után a tranzakciós adó elvisz minden bevételt utánam), akkor egy másik rendszer elemzése elindítja azt a folyamatot, hogy felmondják a szerződésemet.
Mikor elér az egyenleg egy bizonyos összeget, szinte hallom ahogy csilingel náluk a rendszer h. óó ennek túl sok lekötetlen pénze van (persze mert most akarom elkölteni), kezdjük el hívogatni h. valami szar (mármint neki szar, nekünk jó) befektetést rasózzunk. Kb. pár napos pontossággal meg tudom jósolni, mikor fognak keresni. Kár h. annak a pénznek olyanlor már rég találtam jobb helyet, minthogy le tudnák nyúlni.
szó szerint ez történik :D
Szerintem mar a hupon is leirtam a sztorid, ez meg pont megboldogult erstes korombol. Egyszer igencsak jol sikerult az ev vegi bonusz, egy-ket nap mulva hivott a Dedikalt Szakerto Premiumbankar, hogy akkor segitene befektetni. Mondtam, hogy nem kell, hetvegen megyek kaszinozni, elverem az egeszet. Tobbet nem hivtak soha ilyen miatt. :)
Na de ha nyersz?
Akkor mindenkeppen szolok neki! :D
LOL, jó sztori :)
Nemreg kiharcoltam egy nagyobb fizetesemelest, a kovetkezo honapban mentem az illetekes kolleganohoz atnezni a befekteteseket, mire mondja, hogy a privatbankos kollegano nagyon erdeklodott nemreg, majd keresne nehany lehetoseggel..:)
Eletem legnagyobb atveresei kozott tartom szamon, amikor leszerzodtem ilyen premium- es/vagy privatbanki szakertovel. Most epp egy bankmonitoros akcios szamlam van, ahol a kartyan kivul minden ingyen van. Ha majd lejar a 3 eves kedvezmeny, lesz masik, ami epp akcios. :)
Nekem meg az a tapasztalatom, hogy eddig akárhányszor változott, hogy ki "prémium bankárom", az előző prémiumbankár mindig felkeresett, hogy nem akarnám-e esetleg átvinni a megtakarításaimat az <insert ex-prémiumbankárom új munkahelye> befektetőcéghez. Najó, talán eddig egy fazon volt, aki nem játszotta el ezt a poacholási kísérletet.
Régóta vágyok én, az androidok mezonkincsére már!
gondolom a bankok is magasról leszarják hova mennek el az ügyfeleik, különben olyan munkaszerződést íratnának alá a prémiumprivátexkluzív bankáraikkal, amiben sóderes fasszal kúrják seggbe az exkollégákat, ha kiderül h. viszik magukkal a kuncsaftállományt
Tekintve, hogy pont a legutóbbi váltás volt az egyetlen eset, amikor (eddig még) nem keresett meg a korábbi fazon, hogy nem akarok-e átmenni -> el tudom képzelni, hogy lassacskán azért kapcsoltak a banknál is, hogy bele kéne írni a munkaszerződésbe a tilalmat.
Régóta vágyok én, az androidok mezonkincsére már!
Ez a legnagyobb parasztvakítás, amit eddig hallottam :)
Hiszen, ha megszűnt a szerződés, akkor már semmilyen alapja nincsen a volt munkáltatódnak azzal kapcsolatban, hogy mit csinálsz*
Ezt egyetlen módon teheti meg, ha marad jogerős szerződésed vele -> tehát fizet ezért neked.
* maximum üzleti titoktartással kapcsolatos elvárásokat támaszthat - de jogilag ez is elég ingoványos talaj.
szerintem.
zrubi.hu
miért ingoványos a titoktartás? teljesen legit, hogy bele van irva, hogy nem keresheted meg a (volt) munkáltató ügyfeleit.
Domain, tárhely és webes megoldások: aWh
Hát legitimnek egyáltalán nem legitim, legfeljebb um. jogszerű....
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Miert nem legitim? Azok az ugyfelek nem veled voltak szerzodesben, hanem a munkaltatoddal.
Tessek szepen sajat bizniszt csinalni, es akkor oda viszed az ugyfeleket, ahova akarod. Ja, hogy ahhoz melozni kell, hat, ez ilyen.
Nem keresheti meg ő az ügyfelet, de fordítva viszont igen. És az üf. oda viszi a pénzét, ahova akarja. Bármikor.
Nekem egyertelmunek tunik a szitu:
pl olyanról is hallottam már, h x ideig nem dolgozhatsz a konkurenciának - Mondjuk tv-s műsorvezető, celebritás. Geci ügyvédek, geci jog.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Olyat Magyarországon speciel csak explicit ellentételezés mellett lehet, megegyezéses alapon
óóó baszki, aláírja a szerződést és már meg is egyeztek...Mire valók az apró betűk?
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
A Mt. eloirja a minimalis kompenzaciot, ettol lefele elterni nem lehet. Illetve igen, csak akkor semmis lesz az a megallapodas.
Illetve ami egy az egyben atveszi a Mt. eloirasat, azt nem kell explicit beleirni a szerzodesbe, ergo ha valakinel ilyen kikotes van, de nincs benne ellentetelezes, akkor keressen egy ugyvedet, es kovetelje nyugodtan a munkaltatotol a neki jaro penzt.
Ja, hát ha hülye vagy és nem olvasol.
De egyébként vagy benne van a törvény által előírt minimum (asszem 33 százalék) vagy semmis, kurva mindegy mennyire apró betű.
> vagy semmis
Ezt @geleivel kell lemeccselned, nem velem!
Amúgy meg totál baromság egy ilyen nem-mehet-a--konkurenciához korlátozás. Nem látom semmi alapját, csak a munkavállaló megalázását és korlátozását. De hát az egész Mt olyan h dührohamot kap tőle az ember..
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Értem, hogy tele vagy frusztrációval, ami ebben a toporzékolós izében manifesztálódik, ezen sajnos nem tudok segíteni (arra vannak egész jó szakemberek, szerintem kb nincs ember, aki ne profitálna belőle), csak a felvetésed körüli tényeket szerettem volna tisztába tenni.
> Értem
Dehogy érted. A frusztráció érvényes és indokolt. Minden olyan "szakember" aki ennek az ellenkezőjéről akarna megyőzni keresztbe lesz lenyelve. Vagyis nem a helyzethez kell adaptálódni fogyatékos módjára, hanem ezt a gyalázatos Fityesz által tákolt Mt-t kell elejétől a végéig átíratni!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Akár érvényes és indokolt is lehet, ettől én még nem tudok mit kezdeni vele, mert így semmi értelme a beszélgetésnek. A szakember se arról akar majd meggyőzni, hogy nem érvényes, hanem igyekszik abban segíteni, hogy ne körben forogj a fájdalmaddal, hanem tudj kezdeni vele valamit.
(Egyébként egyáltalán nem vagyok biztos benne, hogy ez a része az MTnek fidesz volna)
Pedig egyszeru:
Esetunkben az Mt. 228. § (2), hogy versenytilalmi megallapodasnal minimum az alapber egyharmada fizetendo, kevesebben (pl. nulla) nem allapodhattok meg, akkor sem, ha mindket fel valamiert azt szeretne.
Technikailag ossz-vissz ketto tartalmi elem kell egy ervenyes munkaszerzodeshez: alapber es munkakor. Ezek ervenyessegi kellekek, enelkul nem lehet szerzodni. Minden, amit nem irsz bele, ott az Mt.-t kell alapul venni.
( gelei V | 2023. 09. 25., h – 09:58 ) írta
ha valakinel ilyen kikotes van, de nincs benne ellentetelezes, akkor keressen egy ugyvedet, es kovetelje nyugodtan a munkaltatotol a neki jaro penzt.
@
( kroozo V | 2023. 09. 25., h – 12:34 ) írta
De egyébként vagy benne van a törvény által előírt minimum (asszem 33 százalék) vagy semmis, kurva mindegy mennyire apró betű.
@
Vagyis ellentmondás van olyan esetben, ha benne van a szerződésben a versenytilalmi kikötés, de a tv által előírtnál kevesebb ellentételezéssel. @gelei szerint - és sztem is- ilyenkor perelhető a munkaadó, @kroozo szerint "semmis" - h mi semmis pontosan azt legfeljebb sejteni lehet...
Sz'al nem nekem kell a dolgot elmagyarázni! De azért köszönöm h vetted a fáradságot!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Mi a lényegi különbség a két állítás között? A semmis (a megállapodás) az egy másik dimenzió, mint hogy emiatt kell-e perelni, vagy nem.
Nem tartom teljesen lehetetlennek gelei állítását, hogy egy bíró, abban az esetben, ha volt ilyen megállapodás, de nem volt benne összeg, akkor azt mondja, hogy a mimimumot kell beleérteni, de őszintén szólva eléggé valószínűtlen. Ugyanis itt nem egy konkrét akármi szerepel, hanem az, hogy "Az ellenérték a megállapodás tartamára nem lehet kevesebb, mint az azonos időszakra járó alapbér egyharmada." Ez pedig nem egy egzakt szám, ami defaultként tud viselkedni, illetve a versenytilalmi megállapodás is egy szerves egység, aminek része az ellenérték. Szóval én erősen hajlok arra, hogy ilyen esetben az a megállapodás semmis. És ja, lehet, hogy ezért a munkáltatót perelni kell.
Azt el tudom képzelni esetleg, hogy ha a munkavállaló azzal jön, hogy hát ő jóhiszeműen betartotta, és jár a pénz, akkor esetleg, de őszintén szólva ez sem tűnik valószínűnek.
Szerintem egy vállalkozás ügyféllistája és közvetlen elérhetőségeik igencsak belefér az üzleti titok kategóriába. Másrészt GDPR-ügyileg is megvághatják a céget és/vagy a munkavállalóját is, ha ügyfelek PII-nak minősülő adatait (magánszemély telefonszáma tudtommal az) magával viszi a volt alkalmazottjuk, majd elkezdi felhasználni másik cégnél.
Régóta vágyok én, az androidok mezonkincsére már!
Nomostan a sztori a következőképp zajlik... A privátbankár/alkusz/céges alkalmazott tudja, hogy 3 hónap múlva más színekben fog dolgozni, amiről a legjobb, általa menedzselt ügyfeleket, (akikkel előtte kölcsönösen privát elérhetőséget cseréltek) tájékoztatja. A váltás után az ügyfelek megkeresik privátban, hogy mi a helyzet, tud-e ajánlani olyat, amit az utána következő kollégája a régi cégnél nem.
Apró bibi, hogy az ügyfél szabadon szerződhet akárhová, és ezen joga alapján mást szankcionálni nem igazán lenne jogszerű...
Explicit le volt irva fentebb, hogy a bankar kereste meg az ugyfelet (nem forditva). Van egy arnyalatnyi kulonbseg akozott, hogy "az ugyfel azzal zerzodik, akivel akar", meg hogy "megkeresem privatban a volt munkaltatommal szerzodesben allo ugyfelet, hogy rabaszeljem oket a szerzodes felbontasara".
Persze ha nem vagy hulye, akkor ezzel nagyon nehez lebukni, de ha megis sikerul, akkor viszonylag egyertelmu a helyzet.
Ha tudod bizonyítani, hogy az üf. _nem_ adott jogot Pénz Péter privátbankárnak az elérhetőségének a kezelésére illetve tárolására, akkor lehet ugrani az ilyen megkeresésekre...
Szerintem ez fordítva van, gdpr, azt kell a használónak bizonyítani, hogy adott.
Egyrészt nem GDPR, másrészt ha privát telefonszámot cseréltünk, akkor adtam-e neked/adtunk-e egymásnak felhatalmazást arra, hogy azon a számon engem felhívj/felhívjalak téged? És erre a felhatalmazásra a te munkáltatódnak van-e joga bármilyen korlátozást előírni? Pláne a munkaszerződésed megszüntetése utánra?
Persze, ezt mind lehet. Viszont az az ügyféltörzs bizony a volt mukáltatódé, és mint olyan, üzleti titok.
Felhívnám figyelmedet, hogy ellentétben az 1-es pontban explicit, a 2-es pontban pedig implicit szereplő "munkaviszony fennállása alatt" kitétetel a 4-esben nem szerepel. Illetve, hogy van egy egész törvény 2018. évi LIV. törvény az üzleti titok védelméről címmel, amiben ilyenek vannak, pl:
Aztán sok sikert bebizonyítani azt az életszerű állítást, hogy neked arról mindenki a barátod lett, és külön is megadta a számát, és ugyan soha a büdös életben nem beszélgettetek, de miután felmondtál, véletlenül pont mindenkivel beszélgettél, és ezekben a szigorúan magánbeszélgetésetekben hogy-hogy nem szóba került, hogy mennyivel faszább lenne az új helyeden neki, úgy mellesleg, és még csak véletlen sem arról van szó, hogy ezek nem is magánbeszélgetések voltak, hanem az új munkáltatód számára kiloptad az ügyféltörzset a régitől, az ő üzleti érdekében hívogattad őket, és azzal akarsz takarózni, hogy nem is hoztad el, ez nem egy rosszhiszemű magatartás volt azoknak az adatoknak a megszerzésére :) Popcornt azért vinnék a reality checkre.
En nem GDPR-rol beszelek, hanem arrol, amit a munkaszerzodesbe irnak.
Neha felelmetes olvasni ezeket a hupos threadeket, hogy milyen ertetlenkedest tud muvelni egy csapat olyan ember, aki elvileg egy valemennyi racionalitast igenylo iparagban dolgozik. En is voltam mar olyan munkakorben, ahol ugyfelekkel kellett dolgozni, es kurvara bele volt irva a szerzodesembe, hogy mit szabad, meg mit nem szabad csinalni. Es hidd el, nem valami online zugjogasz kommentjei alapjan lettek ezek a papirok megirva.
Semmi koze ennek a GDPR-hoz, azt sem tudom, honnan veszitek ezeket.
A munkaszerződésben harmadik fél szabad akaratát nem korlátozhatod. Azaz nem mondhatod meg, hogy az x.y. dolgozó által menedzselt ügyfelek nem vehetik fel a kapcsolatot a munkaviszony megszünése után x.y.-nal, illetve hogy magánemberként nem adhatják meg egymásnak a privát elérhetőségüket/nem kereshetik ezen a későbbiekben egymást.
Nekem nem tilthatja meg a te munkáltatód, hogy privát telefonszámot cseréljünk, és hogy azon egymást bármikor felhívjuk.
Aaah baszdmeg, hat en befejeztem ezt a beszelgetest. Mindent megirtam a temaban, ami relevans, de ha szandekosan masrol beszelsz, akkor mindegy, jo szorakozast hozza.
Mégegyszer... A munkaszerződésedben nem lehet olyan kitétel, ami harmadik félre vonatkozóan ír elő kötelezettséget, vagy tilt meg valamit. Azaz hiába kapálózik a munkáltató, hogy de te nem beszélgethetsz a korábbi ügyfelekkel, miután megszűnt a szerződésed, ezt jogilag nem fogja tudni keresztülvinni, mert rám, mit ügyfélre nem írhat elő ilyen korlátozást. (Képzeld el, ha megtehetné, akkor a korábbi ügyfél privát elérhetőségén felhívná azt, akivel korábban kapcsolatban állt a cégnél, erre a volt munkáltató perelhetné a volt dolgozóját...)
Mit allitunk? Felkeresett.
Ki keresett fel? A bankar.
Kit keresett fel? XMI hup usert
ezt senki nem vitatta, azonban a premissza az volt, hogy a bankár hívta fel az új munkahelyéről az előző munkahelye ügyfeleit. Nem fordítva.
Domain, tárhely és webes megoldások: aWh
Magánemberként felhívhatja-e azt, aki magánemberként megadta neki, mint természetes személynek az elérhetőségét?
Én csak a neked kell bizonyítanira mondtam, az ezt simán csak nem lehet csinálni, mert a munkáltató jogos érdekét sérti, az szerintem is elég egyértelmű.
(És nyilván amelyik nem is nagyon tufa, az a sleppnek ír egy körlevelet még időben, hogy "két hét múlvától nem vagyok, öröm volt veled dolgozni", aztán amelyik érti, az úgyis megkeresi. A fontosabbakat meg valami miatt megkéri, hogy jöjjenek már be, van itt egy remek lehetőség :) )
Jah, ezert irtam, hogy ha nem vagy teljesen zokni, akkor ezzel nagyon nehez lebukni, nem veletlenul nem is szoktak nagyon eroltetni a cegek a versenytilalmikat. Nekem is volt mar ilyen roghozkotesem, 6 honap full fizetes, korlatlan cegesauto-hasznalattal, de a szemetek valamiert nem eltek vele, amikor felmondtam. :D
szarháziak kezében van a popszakma :D
Azt akarják, hogy járj be fiókba
Nem ezt akarják. Azt akarják, hogy ne légy tudatos vásárló, és úgy rendelj meg szolgáltatásokat, hogy a kondíciókat előtte nem ellenőrzöd, nem végzel összehasonlítást más, konkurens szolgáltatásokkal, hanem "kerül, amibe kerül, ez nekem kell" jelleggel vegyed igénybe.
Ez az akarás nem mellékesen a hatályos jogszabályokba ütközik (lásd tisztességtelen kereskedelmi tevékenységek tilalma), csak azt kb. mindenki leszarja.
Amit online "eladhat" a bank, azt nem fogja neked nem felkínálni - sajnos, viszont jó kérdés, hogy az "eladás" során megvan-e a kellő gondosság a bank részéről, illetve az ügyfél tehet-e valamit azért, hogy neki ilyesmi ne legyen felkínálva?
Véleményem szerint ez az állítás így nem igaz.
Helyesen így nézne ki - kicsit ki is bontom:
* A csalók ráveszik a nénit, hogy látogassa meg a csalók preparált banki weboldalát.
* A néni minden adatot készségesen megad ezen a preparált banki weboldalon.
* Ezen információkat felhasználva a csalók érdemi hitelbírálat nélkül tudnak hitelt felvenni a néni nevében.
Szerintem itt a bank mohósága is közrejátszott. Azért adott érdemi hitelbírálat nélkül hitelt egy-két kattintásra a bank a néninek, mert a néni "jó adós".
Csak senki nem kérdezte meg a nénit, hogy valóban akar-e ő hitelt felvenni. Sőt, esélyes, hogy a hitelhez kapcsolódó kötelező részletes tájékoztatást is elmulasztotta a bank.
A csalók pedig kihasználták mind a nénit (jó adós), mind a banki nem létező / gyenge hitelbírálati rendszerét.
Szerintem.
Rám is próbáltak már folyószámla hitel tukmálni, szó szerint taplónak / erőszakosnak kellett lennem, hogy az ügyintéző felfogja a visszautasításom.
Csakhogy ilyen nem tortent. A meghatalmazasnak vannak alaki szabalyai, az nem meghatalmazas, hogy valaki tudtomon kivul megszerzi az accountomat.
Nézd a bank oldaláról a dolgot: Jön az ügyfél, mancinéni/mancinénititkosjelszava/2FAkód - azaz a bank azt látja, hogy mancinéni nyomkodja a böngészőben a dolgokat.
Mancinéni jó ügyfél, van lehetősége extra bírálat és miegyéb nélkül x összegű hitelkeretet igényelni, amit meg is tesz. Kérdés, hogy ekkor pontosan mi történik, ki, milyen információkat kap? Kap-e mancinéni SMS-t az igénylés benyújtásáról/jóváhagyásáról/folyósításáról/a folyósított összegnek a számláján történő jóváírásról...? Mert ha igen, akkor a mancinéninél a felelősség, hogy nem hívta asap a bankot, hogy wtf ez a hitel? Ha meg nem (amit erősen kétlek), akkor a bankot lehet azzal támadni, hogy a kellő gondosság nem volt meg a részükről.
Dehogynem. Ezt írtad alá a netbanki szerződésben.
Szerzodes nem irhat felul jogszabalyt a jogszabalyi hierarchia miatt, de oke, mutatsz erre peldat?
Ha a meghatalmazásos kommentemre gondolsz, az analógia volt. A netbankban gyakorlatilag úgy kell venni, mintha maga az ügyfél kérte volna a megbízást, ha megfelelően azonosítva van.
Szerintem érted, mire gondolok, de a kedvedért egy példa: https://www.otpbank.hu/static/portal/sw/file/DSZ_USZ_20230821.pdf
(129) A Bank a Digitális szolgáltatások rendszerében rögzített megbízásokat az írásbeli megbízásokkal azonos tartalmi követelményeknek megfelelően fogadja be és teljesíti ...
(144) Az Ügyfél a személyes hitelesítési adatait ... köteles megőrizni és biztosítani, hogy azokról harmadik személy ... tudomást ne szerezhessen ...
Szóval ha kiadod másnak a jelszavad, akkor az a másik fél kb. olyan jogot kap, mintha meghatalmazott lenne, de mellesleg szerződést is szegsz.
A hitelfelvétel a netbanki felületen elérhető szolgáltatás, amit üzleti döntés alapján nyújt az adott bank. Lehet, hogy célszerű lenne átgondolni az ilyen ügyfél részéről jelentős kötelezettségvállalással járó termékek esetén a videóbanki azonosítást, de mint írtam, ez üzleti döntés a bank részéről. A károsult egyébként ebbe jogi oldalról belekapaszkodhatna, hogy vajon a hitel jóváhagyása és folyósítása során a bank a kellő gondossággal járt-e el?
Azert hoztak meg ezt az uzleti dontest, mert ~nincs kovetkezmenye a csalasnak. Ha itt is akkora buntetesek ropkodnenek, mint a GDPR-nal, iszonyu gyorsan meg lenne fixalva az egesz folyamat.
Hitelt folyositasni csak arra alapozva, hogy valaki be tud irni egy 6 szamjegyu kodot egy SMS-bol? Nooormalis?
Szerintem csak meg kell szoknia az embereknek ez ellen a csalas ellen is vedekezni. Ahogy nem setalsz az utcan egy koteg 20 ezrest lobogtatva vagy atlatszo szatyorban sem viszel 22 millio ft-ot keszpenzben ugy megtanulsz gyanakodni a csalokkal kapcsolatban is es inkabb 3x megnezed az URL-t a levelben vagy beirod kezzel az otp.hu-t minthogy klikkelj.
En nem banom ha a hitel, bankkarty, stb. igenyles konnyu (nem mintha kellene, de ha esetleg kell akkor lehet nem akarok ra varni ha lehetseges intezni percek alatt is).
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
En nem banom ha a hitel, bankkarty, stb. igenyles konnyu
Én meg még jobban nem bánnám, ha a generális netbank helyett azokra a szolgáltatásokra tudnék szerződni, amiket szeretnék igénybe venni. Azaz paraméterezhessem, hogy mit, és milyen mértékig lehessen "egyszerűen" igénybe venni a netbankon keresztül. Pl. ne a bank döntse el helyettem, hogy hány millióig fogad el banki átutalást netbankból, hanem én mondhassam, hogy mondjuk max. 20000 Ft. Ugyanúgy, ahogy a legtöbb banknál megmondhatom, hogy az adott bankkártyával max. mekkora tranzakció legyen elvégezhető. Vagy mondjuk lehessen átutalni könnyen netbankból a már felvett címzetteknek, de új címzettet csak sokkal erősebb authentikációval lehessen hozzáadni a listához.
"Hitelt folyositasni csak arra alapozva, hogy valaki be tud irni egy 6 szamjegyu kodot egy SMS-bol? Nooormalis?" - Teljes felhatalmazás a számla és az account felett ugyanezek (usernév, jelszó 2FA kód) alapján. Noormális? (magyarorszagponthu esetén még 2FA sem kell, miközben gyakorlatilag a teljes államigazgatás felé azzal tudod magad azonosítani, ide értve az AVDH-s doksik előállítását is...)
"Az mfa véleményem szerint nem elég önmagában." - Ez a te véleményed, a jogalkotó másképp vélekedik, ez az egyik. A másik, hogy ha szeritned nem jó a jelenlegi 2FA (szerintem is vannak hibái, de más jellegűek), akkor mi lenne a megfelelő módszer a helyettesítésére? Olyan módon, ami nem jelent egyik félnek sem a jelenlegihez képest jelentősen több terhet illetve kényelmetlenséget.
De miert ez a peremfeltetel? Nyugodtan okozzon a hitelfelvetel kenyelmetlenseget. Ha nekem 72 orat kellett varnom egy hitelszerzodes alairasara, csak mert az emberek basznak elolvasni egy szerzodest alairas elott, akkor a szemelyi kolcson is lehet egy kicsit kenyelmetlenebb.
Ez nyilvan a jogalkoto feladata, nem a bankoke btw.
Nagyon jó kérdés.
Úgy gondolom, hogy a biztonság növelése, az mindig valamekkora kényelmetlenség növekedéssel jár. Nem lehet megúszni a dolgot.
Mint korábban is írtam (https://hup.hu/comment/2967041#comment-2967041) itt egy általános problémáról van szó. Egyszerű, földi halandóként nincs eszköz a kezemben, amivel ellenőrizni tudnám, hogy a bankkal beszélgetek-e telefonon vagy interneten. PKI-ba ne menjünk bele, mert az egyszerű, földi halandó nem fogja érteni.
SMS, mint MFA, elavult, nem biztonságos. Felejtsük el végre.
Néhány vad ötlet, ami most hirtelen az eszembe jutott:
- Legyen jogszabályi / MNB / wtf. szinten előírva, hogy minden banknál a jogosultságokat legalább milyen szinten tudja állítani az ügyfél. Mert pl: a napi készpénzfelvételi limit mára önmagában idejétmúlt. Lehetne állítani a napi tranzakciók számát, a napi átutalások számát, le lehetne tiltani az azonnali átutalást, lehetne limitálni a napi átutalások számát és összegét, lehetne tiltani a külföldi átutalást stb.
- Legyen beiktatva 24 / 48 / 72 órás késedelem a 100e Ft-nál nagyobb hitelfelvételekre. Nyilván ez az összeg lehetne kisebb és nagyobb is - ügyfélszinten állítható.
- Többszörös megerősítés. Igényled a hitelt netbankon. MFA-zol, mindent jóváhagysz. Majd 24 óra múlva megint be kell lépned netbankba és megerősíteni ismét, hogy tényleg igényled a hitelt. Itt is MFA-zol. Ha 48 órán belül nincs meg ez a 2. megerősítés a felvételre, akkor a kérelem törlődik.
- Ha X összegnél nagyobb hitelt akar felvenni a tulajdonos, akkor hívja fel a banki ügyintéző megerősítés végett az ügyfelet és/vagy legyen kötelező a banki megjelenés.
- Legyen kompletten letiltható ügyfél által a folyószámla hitel, személyi kölcsön.
- Legyen ügyfélminősítés, mint befektetési számláknál. Ha az ügyfél nem ér el X kreditet, akkor legyenek letiltva komplett funkciók telebankon / netbankon keresztül.
- Egy lakossági ügyfélnek alapesetben ne lehessen akármennyi bankszámlája. Jó magasra téve ezt a limitet - 15 vagy 20 bankszámla / természetes személy / ország, ez nem okoznak gondot, csak a csalóknak. Tudom, durván hangzik.
A legvadabb ötlet: alapértelmezetten limitálni a beérkező átutalások számát és/vagy összegét LAFO-LAFO esetén. Miért jó ez? A csaló csinál egy proxy számlát, amin átfuttatja a lopott összegeket. Ha erre naponta csak 1 vagy 2 beérkező átutalás jöhet LAFO irányból, akkor a csalónak elég sok proxy számlára lesz szüksége.
Ezek amiket itt felsorolták, mind azon alapulnak h. a bank nem nyerészkedni akar rajtad. Ami értelmetlen feltételezés, mert a bank abból él, h. a kuncsaftot feji mindenféle elképzelhető kreatív aljas módon. Aztán jön a
PSZÁFami van helyette ma már, és seggbekúrja a bankot egy kis aprópénzre. Azok bent röhögnek rajta (kis veszteség a nagy nyereség mellett) és folytatják tovább más módon.Az erste-nek megírtam kovid idején h. miket kellene tudnia szerintem a netbankjuknak. Tettem fel pár kérdést, basztak rá reagálni. Azon kívül h. kaptam 1 sablonfaszság üzenetet, érdemi válaszok helyett.
Szerintem semmi baj azzal, ha nyerészkedni akar. Mindenki nyerészkedni akar, ezért is dolgozunk és nem a hobbijainkkal foglalkozunk egész nap. :)
Ha a bank tud olyan szolgáltatást ajánlani nekem, ami vonzó, akkor szívesen igénybe veszem és fizetek is érte. Csak a legtöbb bank leragadt, korszerűtlen.
Ha ezek a seggberúgások nem csak dísznek lennének, ha lenne akarat a játékszabályok tisztábbá tételére, akkor sokkal jobb világunk lehetne szerintem.
Erste: Szerencsére nekem 20+ éve volt velük dolgom utoljára. Akkor még működött a rendszerük. Azóta csak bizarr sztorikat hallok-olvasok Gyuriról. Nem tervezem, hogy visszamegyek hozzájuk - bár biztos nagyon örülnének nekem.
Mert az ellopott 2FA koddal nem tudja a csalo atallitani ezeket?
Ez talan hasznosabb, de akkor 2 nap kesedelemmel vetetnek fel hitelt az ugyfellel vagy raboljak le a szamlat + vesznek fel hitelt. Gondolom ha nincs sok penz a szamlan varnak par napot, hogy vegyenek fel hitelt ha van akkor csak azt viszik el 1 perc alatt es nem foglalkoznak a hitellel.
A banki megjelenes a halalom, emiatt valtok bankot, hogy ne kelljen (kulfoldrol) bejarnom.
Kivalo otlet (mondjuk ha netbankon lehet akkor ugyanott vagyunk, esetleg legyen egy atfutasi ideje + SMS bombazas).
Nem tudom a kinai pontrendszer bevezetese szimpatikus lesz-e az ugyfeleknek :)
Mint a peldabol is lattuk, a kontrollalt szamlakat is felhasznaljak a penz mozgatasara, igy ennek nem sok ertelme van, valoszinuleg sok stromant is fel tudnak hajtani a bunozok ilyen celra.
Nem tudom jelenleg ezt hogyan oldjak meg, de gondolom miutan a csalasra feny derul a celszamla letiltasra kerul. Alapesetben egy ember egy szamlat nyithat egy identitassal (remelem K. Bela osszes banknal vezetett szamlajat letiltjak amit kiderul, hogy K. Bela csalo). Szoval ha ezen most tul tudnak lepni akkor a fenti otlet sem er sokat.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Minden egyes paraméter átállítása külön megerősítést igényel. Nem összevonható. Az ügyfélnek meg fel kell tűnjön, hogy a bank miért küldi neked már az 5. 2FA megerősítést, amikor ő nem is csinált semmit.
De akár limitálható, hogy ezek a paraméterek nem állíthatóak netbankon keresztül, csak ha átmentél a megfelelő ügyfélminősítésen.
Van befektetési számlád? Ott ez nem zavart? :)
Ügyfélminősítés, kérem. Továbbá ha ezt a kockázatot te bevállalod, akkor oké. De Manci néni és Józsi bácsi számára ez a korlátozás nem korlátozás. :)
Ott is hagynam oket ha ilyen hulyesegek miatt nyomnak az SMS-t. Nem lenne egyszerubb ha lenne egy heti/havi/stb. limit amit nem tudsz tullepni, ha kozelited akkor jon egy uzenet, hogy "Figyu, nemsokara nem mukodik a kartya/utalas ha nem emeled a limitet". A limit emeleshez persze azonositas kell. Ennyi, akkor csak a limitnek megfelelo osszeget lehet leemelni. Vajon ha valaki ezt 20 milliora allitja akkor is kell valamit csinalni a banknak? Magatol alljon vissza 10e ft-ra? A vegtelensegig lehet jatszani a lehetosegekkel.
Volt, zavart, hogy minden sz*rert be kellett mennem szemelyesen, meg is szuntettem (azt is szemelyesen).
Majd megnezem amikor Manci neni es Jozsi bacsi a tanyarol bemegy a varosba banki ugyintezes miatt, mert nincs "minositve" :)
Fel kell hivni az emberek figyelmet a potencialis veszelyekre amennyire csak lehet.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Láthatod hogy nem tűnt fel az ügyfélnek, hogy az 5. 2FA-s SMS-t kapja.
OTP-nél jelenleg ez így néz ki:
Netbank belépés, 1 SMS, 6 számjegyű kód, ami csak bizonyos ideig érvényes, oké, épp tényleg a hamis netbank belépést csinálta, vegyük úgy hogy jogosan írta be. Mivel máshol léptek be az adataival, ezért jött egy email is, hogy belépés ismeretlen helyről, de valószínű, hogy nem mindenki hasonlítja az IP címét a saját kilépő IP-jéhez.
Átutalás: 1 SMS, 6 számjegyű kód, bizonyos ideig érvényes, az SMS-ben benne van hogy milyen művelet, milyen összeg. Ha nem ő indította, miért adta meg?
Kölcsön: Jön 1 SMS kb. az online igénylés kezdetekor, amiben benne van hogy mi történik, majd a form végigkattogtatása után jön egy 2FA SMS 6 számjegyű kóddal, ami így kezdődik: "Személyi kölcsön igénylés megerősítése", majd jön egy szöveg, hogy folyósították, majd pedig az egyenlegértesítő.
Átutalás: A hitelt el is kell utalni, szintén SMS, 6 számjegyű kód, összeg és művelet benne van az SMS-ben.
Tehát minimum 6-7 SMS-t kapott, mindegyikben benne van hogy mire vonatkozik.Több SMS-nek ez a formátuma: "Ha nem ön indította, ne adja meg a kódot. Azonosító: XXXXXX."
Szóval szerintem elég nehéz ezt benézni és erősen akarna kell az ügyfélnek.
Valamint én pl. az új alkalmazást használom, mindenről push noti jön, amit jóvá kell hagyni, nincs 6 számjegyű kód.
Az durva ha valaki ennyi dolgot "benez".
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Na ezért nagyon nem kerek ez a sztori az ügyfél részéről...
van olyan opció, h nem jön mindenről sms megerősítő kóddal és csak egyszer az elején.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Van, de akkor nem tud utalni harmadik félnek. Lásd:
Forrás: https://www.otpbank.hu/static/portal/sw/file/DSZ_USZ_20230821.pdf
Akkor az 2 sms szemben a 6-7 tel ha jól számolom!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
A személyi kölcsön 3, ebből 1 a mobil aláírás. Az utalás is 1. Plusz a belépés a netbankba. Tehát ha a tranzakciókra nincs bekapcsolva értesítés és csak 1 utalás történik, akkor is 5 sms minimum.
A személyi kölcsönhöz bekéri a form az személyi igazolványon és lakcímkártyán lévő adatokat, ha nem egyezik a banknál lévővel, akkor nem enged tovább. Ezt is megadta az áldozat, miközben csak el akart adni valamit?
Elolvastam mégegyszer a sztorit. Öszintén szólva én nem találom életszerűtlennek amit az áldozat csinált. Sztem az emberek igen nagy százaléka ugyan így tenne. Teljesen életszerű, h miközben online bankolok sms-ek jönnek a banktól. Az lenne a fura ha nem jönnének. Különböző ürlapokon, akár hivatalos ügyintézés során is hülyébbnél hülyébb kérdéseket, kéréseket kapnak az emberek. Bőven benne van, h nem olvassa el az SMS-t, csak azt nézi, h kell-e valamit csinálnia. Ja kapott egy kódot és ott a kamu oldalon beviteli mező hozzá: minden stimmel.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Én elég életszerűtlennek tartom, de biztos vannak ilyen emberek, főleg abból kiindulva amikor ügyintézés, szerződéskötés során gyakran meglepődnek, hogy el akarom olvasni amit aláírok.
Gondolom az áldozat ezt sem olvasta:
El tuom képzelni h a 156 megelőző pont lankasztotta már annyira a figyelmét h átfutott ezen...
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Ennek a pontnak értelmes emberek esetén nem kéne írásban, jogászok által mutogathatóan leírva lennie, ez ugyanis JPE (józan paraszti ész) alapon is természetes kéne, hogy legyen...
JPE esetén egy bank nem tud működni, mert az első nap agyonverik a tulajdonosokat, meg az alkalmazottakat [is].
Mint amikor hajdan megjelent a csokoládéárus a faluban és körbecsődülték a gyerekek. Kérdezték h kaphatnak-e belőle? Mondta: hát hogyne kaphatnál lelkem, akár egy egész táblával, csak menj haza és mond a szüleidnek, hogy 10 kg csresznyét adjanak érte cserébe....hát kellett szednie a lábát, h ne érjék utol a falu határában...
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Mert manapság már ennyire hülyék az emberek, hogy alapvető értelmi képességek hiányoznak...?
Ahogy ezen topik is mutatja, ma már az emberek a végletekig megvezetettek, az alapvető érdekeiket sem ismerik fel, sajátjuknak más érdekét vallják, a csokoládéárust az egekbe magasztalják!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Vagy a fejüket csak arra használják, hogy legyen mire tenni a sapkát...
Valoszinuleg az Airbnb szerzodeset sem olvassak el a vegig a lakaskiadok (nem tudom van-e passzus benne a felvazolt esetre).
Ha a vendeg kiramolja a lakast akkor az kinek a felelossege? Tegyuk fel, hogy a berlo hamis szemelyazonossagot adott meg, tehat nem lehet egyszeruen utolerni, pont mint egy bankos csalot.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
https://hup.hu/comment/2967998#comment-2967998
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Hat, ugy kell megcsinalni, hogy ne kelljen. Nalam peldaul a kartyas kolteseknel a limitmodositas csak egy bizonyos osszegig lehetseges online, utana fel kell szepen hivni a rogzitett vonalas ugyintezot, es o egy ideiglenes limitet fog beallitani.
Igen, es ket nap mulva ujra ki kell csalni beloled egy MFA tokent, hogy elutalhassak a felvett penzt, kozben pedig a bank is ertesithet, hogy amugy itt van egy fuggoben levo hitelfelvetel.
utana fel kell szepen hivni a rogzitett vonalas ugyintezot, es o egy ideiglenes limitet fog beallitani
Az "anyja neve" című infó alapján. Ennél azért jobban kellene dolgozniuk az azonosításon.
Jobb bankoknál erre volt a titkos kérdés-válasz. Tudom, mindenki utálta, én is.
Nem.
Két éve egy 15M-t meghaladó utalást 2x próbáltam netbankból, mind a 2x el-failelt. Felhívtam az üfsz-t h. mi a fene, ott van a pénz a számlán, limitet felemeltem 15M fölé, miért nem teljesül? Akkor nyögte ki a telefon másik végén az ember, h. jaa 15M fölötti limitet nem lehet netbankban enduser által beállítani (megjegyzem emlékeim szerint égvilágon semmi figyelmeztetés nem volt a bemeneti mező környékén ami szólt volna erről!). Átfogalmazom: természetesen engedte szónélkül beállítani, csak éppen semmit nem ért. Telefonon lehet csak kérni a beállítást. Ráadásul bónusz körülmény, h. a 2 megelőző elfail-elt összeget is hozzá kellett számolni (a tényleges utalandó összegen felül) az újra beállított ideiglenes limitbe. Így a ~15M sikeres átutalásához ~45M-os limitet kellett kérni a telefonos jóembertől. Na és ehhez kellett a beazonosítás, amihez emlékeim szerint az anyja neve kellett talán összvissz. De hogy részletekbe menő kikérdezéses azonosítás nem volt, abban így a múlt távlatából is majdnem biztos vagyok.
Nalam van erre egy kulon telefonos user/password, az anyja neve tenyleg szar megoldas.
amit aztán bediktálsz az ügyfélszolgálatosnak?! :D
zrubi.hu
Nem.
Mármint erste banknál tudsz erre külön username+password-öt kérvényezni? Erste Prémium added-value, v. proli-lakossági csomagban is elérhető ez a titkos fícsör? (Nem pl. a TeleBank PIN kódról van szó gondolom)
Dehogynem a telebank PIN-rol van szo, amugy meg nem is vagyok (mar jo ideje) erstes :)
Addig, amíg a jelenlegi rendszer kiszolgálja a 'tegnapra kéne' típusú kéréseket, ill. azt, hogy nulla közeli szakértelemmel tudnak ügyfelek bankolni, csak a saját üzletüket rontanák a kereskedelmi bankok ilyen "bonyolításokkal".
Amúgy teljesen egyetértek. Hiánypótló funkciókat írtál, én rászánnám az időt - ahogy a jelenlegi beállításokkal is teszem -, hogy minden számomra megfelelően működjön.
@micsa az a baj, hogy mára már annyira természetesnek veszi mindenki a "szabad" internethozzáférést, hogy ennek korlátozásával kő kövön nem maradna. Főleg nem úgy, hogy a befolyásolhatóbb, kevéssé edukált réteg lenne veszteség a politikai és egyéb rajtuk nyerészkedő elemeknek, ráadásul ezeknek a haragja is elsöprő lenne.
Tényleg félelmetes amúgy, hogy milyen fogalmatlanul használják az internetet. Persze biztosan van terület, amihez meg én vagyok abszolút sötét, de erre az IT-s témára látok rá, itt érzékelem, hogy néha az se tűnik fel az embereknek, ahol úgy kilóg a lóláb, hogy eltakarja a fényt. sok esetben tanult, magasan képzett embereknél is, főleg, ha nem része az életüknek a kezdetektől kezdve a világháló.
TheAdam
A perrel fenyegetés azért (is) fasság, mert pénz kifizetésére kötelezésnek megvannak a maga kötelező jogi tánclépései (fizetési meghagyás stb.) és ha már minden lehetőség ki lett merítve, akkor jön csak a perindítás. Messze nem a per az első lépés. Fizetendő illetékek, ügyvédi költség stb. nagysága miatt is.
Régóta vágyok én, az androidok mezonkincsére már!
Mondjuk ezen az sem segít, hogy sok banknál a netbank domain neve, URL-je is néha-néha megváltozik, pl. új helyre költözik, új netbank készül és a régivel párhuzamosan működik, de 2 külön URL címen, felvásárolják a bankot és módosult a netbank elérési útvonala, vagy egyszerűen csak a netbank teljesen más domain néven működik, mint a bank fő weboldala.
Azt kellene, hogy minden netbank szigorúan az adott bank fő domainje alatt legyen elérhető, és ez ne változzon meg sosem. Még akár felvásárlás esetén is maradjon meg a régi cím. Szóval szoktassák hozzá az ügyfeleket a netbank elérési útvonalához (ami legyen rövid és megjegyezhető, pl. adottbankbankdomainneve.hu/netbank), és ez maradjon így 30 éven keresztül.
vagy inkabb legyen egy .bank tld (vagy .bank.hu) es az ala csak valodi, engedellyel rendelkezo bankok kapjanak domaint.
Igen, arra gondoltam, hogy ezt kb. csak tanúsítvány/domainnel lehet normálisan kezelni.
létezik .bank tld, volt is szó róla, hogy a nagyobb bankok odaköltöznek, természetesen kötelező dnssec, meg sok más előírás. Aztán valahogy elült az egész, évekkel ezelőtt hallottam róla utoljára.
Kicsit offtopic, de azért kapcsolódik. Azt ugye tudjátok, hogy az OTP-ben be lehet állítani napi tranzakciós limitet, utalásra is. De! Ez alapvetően ki van kapcsolva mindenkinél ÉS csak a bankfiókban lehet beállítani.
Source: most értem haza a bankból.
Döbbenetes történet. Mivel brutális számban esnek áldozatul az emberek ez már nem csak user error. Valami nem kóser. Az azonnali átutalást meg kellene szüntetni. Túl nagy kockázat. Személyi hitelt ilyen összegben hogy a fenébe lehet igényelni percek alatt? Ez sima bankhiba. A hölgy nem írt alá semmit. A másik hölgy meg éppolyan balfek volt mint ő. Neki se kell fizetnie. Ennyi. Én meg visszatérítést is kérnek a banktól! Az ő rendszerük alkalmatlan a csalók kiszűrésére. A Gmail ha másik gépről jelentkezem be mint szoktam már kéri a két faktoros hitelesítését. Az OTP ezt miért nem tudja megcsinálni?
Öcsém visszafogok térni a KP-ra. Vicc ami megy. Nem figyelsz oda már.mehetsz a híd alá mert total kifosztanak.
Túl nagy bizalmad van az emberekben szerintem, ennél sajnos sokkal rosszabb a helyzet. Mint írtam felül, én végignéztem egy ilyen esetet. 63 éves, egyébként vállalkozó, céget vezető ember végignyomogatta, és mint a kis angyal, úgy írogatta be a netbank logint, SMS-ben kapott mfa kódókat és minden egyebet, pénz fogadásához. Ráadásul az OTP esetében az sms-ben nem csak számok vannak, hanem magyarul le van írva, hogy halló halló, utalni fogunk 1.5mFt-t a következő számlaszámra:.... blabla, itt van hozzá a kód, ezt írd be a weboldalon ha szerinted is rendben van.
Az én példámban úgy menekült meg az illető, hogy ezt az utolsó nyomorult sms-t elolvasta, szerintem sok volt benne a nulla, meg a szám, és az lett gyanús. A cikkben említett fiatal hölgy viszont biztosan nem tette ezt meg, hanem csak nyomta mint süket a csengőt. Nagyon sajnálom, hogy így beszívta, és a scammereket mélyen elítélem, rács mögött lenne mindegyiknek a helye, már ezen egy eset miatt is. Viszont azt nehezen tudom belátni, hogy miért a banknak kellene ezt mosolyogva lenyelni. Az egész történet csak egyel szofisztikáltabb annál, mintha 20 ezreseket szórt volna szanaszét az utcán a tárcájából, mert egy fenti ablakból ezt kiabálja le neki valami ismeretlen.
Azert mert rohadt könnyen kijátszható a rendszer. Megbiztad őket kezeljék a lovedat. Ők még úgy kezelik hogy percek alatt teljesen letudnak nullazni. Az most Mind1 hogy részeg voltál vagy hülye.
Az is egy vicc ahogy a neten bankkártyával lehet fizetni. Életveszélyes. Nekem első dolgom minden bankartyarol lekaparni a CVC kódot. Ezen kívül csak a virtuális kartyammal vásárolnek a neten. Tudod mi van? Pl a simple pay nem fogadja el az Erste Bank virtuális VIsa Electron kártyámat.
Harmadrészt ahol lehet én utalok kartyaszamot nem adok ki.
És mégis fosok. Ellopják a telóm kilesik a Pinkodomat és viszik a lovemat. Sőt rajta az ujlenyomatom stb...
Kezelhetetlen lesz hosszútávon ez a helyzet. Terülj terülj asztalkam a kiberbűnözőknek.
Ha csak nem szigoritanak. Kezdetnek el kell törölni az azonnali utalást. Visszallitani 1 napra.
Igy van, ebben teljesen igazad van. A magam részéről annyit tudtam tenni hogy bementem a bankba és beállítattam egy limitet a napi forgalomra. Nem a vásárlásra, fizetésre, készpénzfelvételre, hanem a forgalomra. Aztán ha majd sok millió forintot akarok egy nap költeni, akkor újra bemegyek és módosítom.
Plusz mindenhol csak és kizárólag virtuális kártyát használok.
Jaja, a virtuális kártyákat egyre több hely kezdi nem elfogadni, mert azokra sokszor van olyan szolgáltatás ami véd a lehúzás ellen. Mondjuk szerencsére nagy a világ, megyek másik szolgáltatóhoz, de mindenesetre érdekes tendencia hogy csak magyar bank által kiadott fizikai kártyát szeretne elfogadni.
Aktuális példák: Disney plus, Paypal payout
Ja dettó! Egyre több helyről dobja vissza. Bementem az Erste Bankba kérdeztem ez mi. Aaa olyan nincs azt el kell fogadnia. Mondta mindenki. De akkor se fogadja el. Szerencsére találok általában más biztonságos fizetési módot de azért szerintem valami mégse stim ezekkel a virtuális kártyákkal..
Paypal-lal is összekötheted, azt legtöbb helyen elfogadják.
Ja meg oda is lehet utálni.
Ezt jó tudni, akkor ezek szerint erste is csak ennyit tud :(
Emlékeim szerint Simple fiókhoz nem lehet használni, fizetni viszont lehet vele az app-ban, ha előtte _sikeresen_ megemelted a vásárlási limitet.
Ez most valami vicc?
Olvasgatva a hozzászólásokat, hogy itt mennyi fogalmatlan ember van.
Amit tényként közölhetek:
1. A rendőrség nem segít. Felveszik a jegyzőkönyvet, aztán lezárják a nyomozást. Nem csinálnak semmit.
2. A bank nem segít. Meg fogják állapítani, hogy a te hibád.
3. Van valami alap, ahonnan kaphatnál károsultként támogatást, de csak az kap akinek ilyen csalás után nem marad semmilye. Azaz senkinek.
4. Igen a te hülyeséged is kell hozzá. De ha hülye vagy akkor a segítségeddel belépnek a fiókodba a nevedben, és azt csinálnak amit akarnak. Ja és persze ki van ez találva, és működik. Nem az van, hogy mindenki hülye.
Amit meg kellene mindenkinek értenie. A csalók ezzel foglalkoznak. Az áldozatok meg most találkoznak vele először. Az áldozat hátrányban van. Azaz csak akkor nem vagy veszélyben, ha nem találnak meg. De ez kp-nál is ugyanígy van. Csak ott közben meg is sérülhetsz.
Azaz szerintem ezt a bankoknak (utalás ideiglenes blokkolása, visszavonhatóvá tétele, személyes megkeresés stb.), és a rendőrségnek kellene megoldania. Csak a banknak pénzbe kerülne. A rendőrséget meg hagyjuk.
Ja és persze ki van ez találva, és működik. Nem az van, hogy mindenki hülye.
Nem hülye mindenki, de lássuk be, hogy a célcsoport eléggé az. Tetszik vagy sem, ez tényleg ki van találva, viszont kifejezetten alacsonyabb értelmi szintű, nehéz felfogású emberekre van kihegyezve. Ez lehet a kor miatt is, és tényleg nagyon sajnálom, és nem gondolom egy pillanatra sem, hogy megérdemlik. Van bennem empátia, és a "hülye" szó használata sem oké itt. Tisztában vagyok vele, hogy ők olyan fejlődést éltek át, amit mi felfogni sem bírunk, sok esetben gyerekkorukban még az áram bekötése is óriási dolog volt, erre így a végére megnyerték az internetet pluszban, meg mindent ami azzal jár, elég durva ez az egész nekik, nem csoda hogy csak pislognak. Ugyanakkor azt sem tartanám fairnek, hogy ezt bárki másnak kelljen kifizetnie helyettük. Egy bizonyos szellemi és fizikai állapot alatt a jogosítványt is elveszik, elég durva lenne ha nem így lenne. Személyi sérülésre ne is gondoljunk, a példa miatt inkább csak anyagi kárra: XY összetöri a kocsiját, mert nem lát jól, sőt, ő már nem tudja ezeket az új szarokat vezetni amúgy se, sok a gomb, sok a kijelző. Ha rommá töri, majd kap másikat, természetesen a kereskedőtől ahol vette, hiszen az ő sara, minek árul ilyen bonyolult autókat.
De hogy "on" is legyen, mert itt egy 25 éves lányról van szó: amikor le-encrypteli a munkahelyén egy cicás képernyővédővel a fileszervert, meg amit csak ér, amitől adott esetben örökre, jó esetben 1-3 napra megáll a teljes cég, akkor az kinek a hibája lesz? A cégé? Mert nem tartott neki a témában 8 oktatást, csak kettőt (arról nem is beszélve, hogy az ő korában már a suliban is kellett volna hallania erről)? Vagy mert szar vírus és határvédelmi megoldásokat használt? Vagy mert nem korlátozta az usert megfelelően? Minden bizonnyal ezek fontos, és vizsgálandó kérdések. No de a lánnyal ne történjen semmi? Jól van az úgy, honnét kellene tudnia/értenie, hogy nem töltögetünk le/futtatunk bármit, nem írogatunk be mindent mindenhova?
Egy kis segítség:
XY nemrég összetörte az autóját az Árpád hídon, (Pont arra jártam másnap biciklivel) de szerintem megsértődne, ha azt mondanád, hogy jobban vezetsz nála. Szerintem ő se hitte, hogy vele ilyen megtörténhet. Mint ahogy egyetlen áldozat se.
Szóval igen. Hogy magamat idézzem, fogalmatlan vagy.
Tiszta szégyen, hogy fel se merül benned, hogy a bűnöző a hibás nem az áldozat, és hogy a rendszernek kellene megvédenie.
Részemről itt lezártam.
Milyenm öntudatos valaki, ha mást kell hibáztatni, Karen. Nem az a hibás, aki felhívja a problémára a figyelmet.
A bűnöző és a "hülye" is nagyon kreatív, ha ki kell játszani a rendszert. Ha valaki nem vigyáz magára, akkor nincs az a rendszer, ami mellett ne tudna kárt tenni magában.
Devizahiteles per, jogszabaly szerint az ugyfelet ugye tajekoztatni kellett a kockazatokrol, emiatt az ugyintezot beideztek a targyalasra. Ados ugyvedje kerdezgeti, allitasa szerint mindenrol rendesen tajekoztatta, szabalyosan tortent minden. Ugyved megkerdezi tole, hogy egyebkent neki szemely szerint van-e devizahitele. Ugyintezo: o igen, azok a rohadt szemet bankok nem tajekoztattak, stb..
A strange game. The only winning move is not to play. How about a nice game of chess?
Azt nem állította senki, hogy nem lesz soha többé baleset attól, hogy az orvosilag alkalmatlanoktól elveszik a jogosítványt. Szóval az lenne az érvelés a példámra, hogy te tegnap mégis láttál egyet, és feltételezed hogy nem volt hibás az illető. Tehát emiatt én fogalmatlan vagyok. Oké, legyen így.
Régen tanították: A támadó mindig előnyben van. Mindig.
Nincsenek lehetőségek kockázat és felelősség nélkül.
Nem kötök kompromisszumot: a rendszer is szar, és a károsult is hülye volt.
Nagyon tömören ennyi.
:)
Ne báncsa senki a zótépét, mert ügyelnek a biztonságra! Az alábbi faszságot (=SPAM) küldözgetik rendszeresen:
Ezt hogyan kell letiltani? Majd jól beviszem a fiókba a kis firefoxot és bemutatom. :)
Gondolom van mindenféle jó kis adblocknoscriptfuckcookies a böngésződben....
Vagy minden alkalommal szűz böngészőprofilt indít bankoláshoz...
:)
Nekem ilyet még sose küldött.
Egyébként szerintem nem baj az, ha van valami általam is látható log a bejelentkezési kísérletekről.
SMS kód?! Remélem ilyen nincs már 2023-ban.
Szerintem van aki (valoszinuleg sajat dontese alapjan) csak olyan telefonnal rendelkezik amely kizarolag SMS kodot tud fogadni.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Miért ne lenne? Egy push vagy épp egy ToTP mellé kifejezetten hasznos fallback megoldás.
Ami ebben a pillanatban annyira redukálta a TOTP vagy bármilyen más faktor biztonságát, mint amilyen biztonsággal egy SMS bír (közel 0)
Hint: használhatóság. Oké, makkos+ios esetben a gép megtörése esetén az sms-hez is hozzáfér a támadó, ha szinkron izél a telefon meg a gép... Az igaz, hogy az SMS, mivel az információ nem a végponton keletkezik, hanem a szerver küldi ki egy vagy több harmadik fél által üzemeltetett csatornán/útvonalon, ergo a bizalmassága erősen korlátozottnak tekinthető. Így nézve teljesen igazad van, de amíg nincs jobb fallback arra, hogy használható legyen a szolgáltatás, amihez 2FA kell, addig sajnos velünk marad az SMS...
Mi a baj a hagyományos, szabványos TOTP-vel? Miért kéne fallbackelni? Mikor hw-es tokent adtak régen a bankok, akkor sem fallbackelt SMS-re vissza.
Domain, tárhely és webes megoldások: aWh
Mert pl. messze nem 100%-os a rendelkezésre állása/működése...?
Es?
(Amugy az SMS-e sem.)
Ha van két eszközöd, aminek a rendelkezésre állása rendre P(A) illetve P(B), akkor annak a szolgáltatásnak, amihez ezek közül legalább egynek a működése szükséges, milyen rendelkezésre állást fog nyújtani szerinted?
Mondjuk azt tovabbra sem ertem, miert relevans ez. Miert nem lehet az, hogy valaki nem szeretne fallback megoldast a biztonsag rovasara?
most akkor biztonságos legyen, vagy kényelmes? amugy a totp-nek a rendelkezése állása kb. rajtam mulik, akár több eszközre is felrakhatom. ha meg a bank oldala nem megy, akkor sms-t sem fognak küldeni.
Domain, tárhely és webes megoldások: aWh
A ToTP több eszközre felrakható - és ez nem megy a biztonság rovására? Ha tetszőleges számban létezhet, akkor bármelyiket megszerezve/kompromittálva akár úgy el lehet lopni az identitást, hogy csak akkor veszed észre, amikor már késő, 2FA/ToTP ide, vagy oda.
Hasonló a gond a push-sal is, ha sikerül valahogy beregisztrálni egy második/sokadik eszközt, akkor az is megkapja a push-t...
igen igen, ezeket ne csináljuk, mert veszélyesek... bezzeg az SMS fallback! Az kell mindenkinek, meg mi lesz ha nem áll rendelkezésre a TOTP! (Amire egyébként hozhatnál egy konkrét példát, amikor egy rendszernél olyankor esik ki, amikor az SMS nem).
A ToTP lehet például egy RSA token, amit ugye otthon lehet felejteni, de akár lehet az is, hogy a ToTP app döglik meg a telefonon bármilyen okból, vagy épp a push nem jut el a telefonra, mert nincs mobilnet (Az sms a jelzéscsatornán jut el a megfelelő SIMID-val rendelkező device-hoz, azaz gyakorlatilag a 2G felépülése sem biztos, hogy kell ahhoz, hogy célba érjen)... Soroljam még...?
Es akkor mi van?
jah, pont nincs mobilnet, de azért online vásárolnék vagy utalnék amihez kell a megerősítés. hát igen, nagyon életszerű példa.
Domain, tárhely és webes megoldások: aWh
> A ToTP lehet például egy RSA token, amit ugye otthon lehet felejteni
Ja, hát az lehet. De az nem nem működik. Ha otthon hagyom a bankkártyám, akkor meg a bankkártyás fizetés nem működik
> de akár lehet az is, hogy a ToTP app döglik meg a telefonon bármilyen okból
Nos, igen, valóban. Mondjuk azért szerintem p(megdöglik a totp app) << p(nem jön meg az sms)
És persze az SMS app is megdögölhet bármilyen okból. Sőt, a telefonomat is otthon hagyhatom a bankkártyával együtt.
> vagy épp a push nem jut el a telefonra,
Ennek mi köze van a totphez?
> Soroljam még...?
Nem kell, ebből is tisztán látszik, hogy marginális hülyeségeket tudsz úgy felhozni úgy is, hogy konkrétan csak user oldali errorokat sorolsz.
Csak azt mondja mar meg nekem valaki, hogy ez az egesz miert erdekes? :D
Mondjatok mar egyetlen olyan (valo eletben vett) helyzetet, amikor
Csak egy ilyet! Zeller, legyszi!
totp-t meg eszközt regisztrálni ne lehessen online, csak üfsz-en, személyes azonosítást követően, és akkor nem tud más beregelni.
az eg, hogy elhagyod az eszközeid és nem tiltatod le, hát hülyék mindig vannak, mint a most kifosztott nő.
Domain, tárhely és webes megoldások: aWh
Na hát egy ilyen sztorit én is elkaptam. Végigjátszottam, ameddig lehetett. Minden bankhoz volt egy megfelelő koppintott felület, tényleg egészen jó volt. Még HTTPS is megvolt. Az URL-ben kellett csak kicsit módosítani, béna módon az egyik paraméter számot kellett növelni...
Aki az ilyet benyalja 2023-ban, az nagyon aluledukált...
egyszer csak megérti mindenki, hogy ahhoz, hogy valaki netre csatlakozzon, kellene egy "jogsi"... tehát: bizonyos alapismeretek nélkül nem mehetek oda, mert nem egy veszélytelen hely, akárcsak a közutakon közlekedni...
bármilyen hasonló weboldalnál url-t, certificate-et megnézni, hülyeségre nem kattintani, stb.
és azzal sem értek egyet, hogy ha fertőzött a gépem, része vagyok egy botnetnek, de nem tudok róla, akkor nekem semmi felelősségem nincs... akkor nincs, esetleg, ha megtettem bizonyos lépéseket: up-to-date OS, browser, esetleg antivírus...
Most kaptam értesítést egy nagy banktól, hogy próbálkozás miatt le lett tiltva egy napra a webes elérés. Bementem a bankba, tudnának-e valami infót adni, honnan jött a próbálkozás. Természetesen nem tudtak mondani. Akkor csináljunk új netes fiókot. Csináltunk, aminek végül ugyanazok a fő azonosítói lettek, mint a réginek, tehát egy sima jelszócsere elég lett volna...
Helyesen: Bementünk a bankba, Bézbólütő és én...
Helyes: Utána bementünk az új bankomba, ami remélhetőleg nem ekkora balfasz ....
:D
trey @ gépház
Nem tűnt el (még, kopp-kopp) pénz és gyorsan sorra kerültem, nem értem, miért kellett volna kapásból Fa testápoló.
Mert hülyeségekkel cseszegetnek.
Mert a törődés fontos.
:)
A bank nevét kellene ilyenkor 1. helyen említeni. Ha szar valamelyiknek a hozzáállása pl. a netbank-szekuritihez, akkor nevesítve tudjon már róla az ember.
Sanyi bácsié...
Fraud és környékét érintő információkat nem fognak kiadni - sehol, nem csak bank esetében. Az, hogy a netbankból kitiltható egy napra az user (azaz a netbank userek akár részleges listáját valamilyen módon megszerezve DoS-olható a működés) az egyrészt jó, másrészt meg nagyon nem az... Ahogy a fiók ilyen "cseréje" sem igazán... Célszerű lenne a dolgozóknak, illetve az adott folyamat kitalálójának egy kellően jól összerakott biztonságtudatossági/biztonságos IT hszsnálati képzés...
Azért az hogy sehol az túlzás, amikor a google fiókban is látszanak a bejelentkezések. Bankokkal persze nincs sok tapasztalatom, itt tényleg nem lehetett.
Ez nem azért van, mert ne lenne meg az adat. Nagyon remélem h. a bankok belső rendszere gennyesre van naplózva. A fraud rendszerben főleg hatványozottan! Hanem kifele nem kommunikálnak semmit, mert csak. Erre van belsős szekuriti poliszi h. bankból jogosan kért információt ne adjanak ki semmit. Ha csak feleennyire vigyáznának arra h. jogosulatlanul ne férjenek hozzá bűnözők az adatokhoz, már nem lenne miről beszélnünk itt.
Szerintem ez is egy ilyen oldal: https://gls-hu.ssl-redirekt.site/get/1695143274558
Hát nem mondanám, hogy a megtévesztésig hasonlít az eredetire. Azért látszik, hogy sok munkát fektettek bele. Mondjuk kíváncsi vagyok, hogy egy ilyenből elindulva nem tudná-e megtalálni a rendőrség a rohadékokat.
Jellemzően egy elhagyott "ott maradt" (kis)vállalkozás weboldala/webtárhelye a 0. áldozat, és oda kerül fel (mután megtörték, és figyelték, hogy van-e valid forgalma, látszik-e az, hogy van valós, tevékeny/odafigyelő gazdája) a lemásolt tartalom - hogy aztán az ott beírt adatokkal elindítsanak egy másik netbanki session-t - ami lehet, hogy egy másik megtört gépről megy ki...
Sajnos nem elhagyott, hanem rendes élő működő oldalak, és egy nagyon népszerű CMS a célpont jellemzően. Három fő probléma fordul elő. Az első, hogy eleve nincs frissítve, hiszen eccer megvetük mindíg jó lesz, a második, hogy valami hiánypótló plugint nem frissítenek, a harmadik pedig, hogy egy "fizetős" (erős izgalmi állapotban USD 20...) plugint szereznek meg "valahonnan", és ott van benne az ajándékfile, és hopp ennyi.
Igen, a domain él, a szerver megy, az "elhagyott"-ot arra értettem, mit te is írsz, hogy egyszer megvették, megy, és nem piszkálják... Sok esetben még a tartalmat sem - amiből a rosszfiúknak pluszban látszik, hogy kicsi az esély arra, hogy a gazda rájuk törje az ajtót, és letakarítsa a szemetüket, meg esetleg feljelentéssel éljen...
Az önmódosító, in-band menedzselt PHP-s CMS rendszerek koncepciója alapvetően van elbaszva, és egymástól tanulják a zseniálisabbnál zseniálisabb ötleteket, hogyan lehetne még kevésbé biztonságos.
Amikor ezek megjelentek, akkor azért ment a hiszti, mert NEM MŰKÖDIK a CMS, hiszen nem tud észnélkül mindenhova írni, hanem oda, ahova ő megmondja, lásd chmod. Most azért megy a hiszi, mert könyörtelenül tiltjuk az oldalt, vagy rossz esetben a teljes felhasználó megy felfüggesztésre, na akkor pláne hiszti van. Ha 100 webfejlesztőnek nem daráltam le a "miért ne csináld" mantrát, akkor egynek sem, és gondolom ezzel nem vagyok egyedül. Node csak kiharcolták, hogy márpedig ez a jövő, nos a jövő itt van.
Mi most az ajanlott megoldas osztott tarhelyre?
Nagyobb weboldalaknal asszem a kulon frontend (React/Angular), amit statikus html/js file-kent kiszolgal, aztan json-okkel kommunikal a backenddel. De ahhoz nem art mondjuk legalabb egy virtualis gep weboldalankent.
A strange game. The only winning move is not to play. How about a nice game of chess?
Az osztott tárhely létjogosultsága szerintem a statikus fájlok szintjén ér véget. Minden, ami aktív backend, az egy szolgáltatás legyen valahol. Ha nem kapsz ilyen szolgáltatást készen, mert mondjuk a saját üzleti logikádat ott akarod megírni (szemben mondjuk azzal az esettel, hogy egy "itt írhatsz nekünk visszajelzést" c. form elég), akkor bizony kell valahol vagy egy sima vm, vagy egy FaaS megoldás (ami a végén szintén egy vm-mé fog lefordulni), amiben a saját kódod futtatható.
AWS S3, mondjuk. Vagy Azure blobstore vagy <insert your favourite cloud provider here>.
Az aktív backendre meg az igazán trendy megoldás a "serverless", amikor csak ilyen temporary futó lambda-kat definiálsz, ami pár 10-100ms alatt feléled, amikor beesik egy http request, futhat max 5 másodpercet (vagy valami ilyesmi), aztán elmegy aludni. Nyilván virtuális gép valahol van mögötte a szolgáltató oldalán, de nincs fixen hozzád allokálva, nem fizetsz folyamatosan érte, csak amikor éppen aktív request-et szolgál ki.
Régóta vágyok én, az androidok mezonkincsére már!
Ki lehetne deríteni, kihez tartozik? Rá lehet bukkanni az illető(k)re?