https://forbes.hu/penz/wise-csalas-revolut-dosszie/
Az alapsztori gondolom mindenkinek ismerős, szinte biztos hogy az áldozat valami kamu Wise weboldalra keveredett, vagy pedig trójai volt a gépén.
Nekem az nem fér a fejembe hogy az app által push notification-ként küldött jóváhagyás requesteket hogy tudták megkerülni?
A cikkben is írják hogy az áldozat látott felvillani a telefonján értesítéseket, de mire kinyitotta a telót eltűntek.
Azt írják hogy ezt a cookie gépről való ellopásával oldották meg, de nekem ez sehogy nem áll össze, mi a franc köze van a gépen tárolt sütinek a telón lévő app 2 faktoros hitelesítéséhez?
Magyarán ez hogy a pékben lehetséges?
Félreértés ne essék, párszáz eurónál többet nem tartok a Wise-omon, csak arra használom amire való, webkártyának meg váltani.
És mint felhasználó én is érzem hogy a védelmük például a Barclays fő számlámhoz képest nevetséges.
A Barclays-nál pl. semmit nem lehet push notival approve-olni, csak a saját appjukba beépített kétfaktoros hitelesítéssel lehet belépni vagy bármit változtatni, új címzett hozzáadásához még a bankkártya is kell, anélkül csak meglévő utalási címzetteket lehet újrahasznosítani, és még sorolhatnám a védelmi rétegeket.
Hozzászólások
Egy korabbi incidensnel elloptak a belepesi adatait, ezzel feltelepitettek az alkalmazast es beleptek, majd ravettek a jomadarat, hogy hagyja jova a belepest. Ezutan az az app is megkapja a push uzeneteket. Az appokat pedig jol irtak meg, hogy amikor az egyik eszkozon megnyitottak az appot a push uzeneten keresztul, akkor a rendesen megirt alkalmazas, le is vette a tobbi keszulekrol a kikuldott pushokat. Szerintem, ebben semmi meglepo nincs. A browseres kukiknak, ehhez nincs koze, szerintem ilyen a csoka nem is mondott, csak az ujsagiro nem ertette a szavakat, ezt latta a nyilatkozo mukso, megprobalta leegyszerusiteni... Az egyszerusitett mondatbol minden masodik es hetedik szot kihagyott az ujsagiro, ugy kaptuk azt a mondatot, ami a cikkben is szerepel.
Igy mar ertem, koszi.
Mondjuk ez nevetsegesen szanalmas a Wise reszerol, nem latom azt eletszerunek hogy 1 usernek engedni kellene tobb teljes funkcioju appot futtatni egyszerre.
HSBC mobil appnal peldaul ez konkretan pont igy mukodik, lehet tobb helyre telepitve az app, de a 2FA-t csak 1 konkret "master" appbol lehet engedelyezni, a tobbi app (pl. a tableten vagy a 2. telefonon futo) mindenre hasznalhato de 2FA-ra nem.
A Monzo nekem nem lehet fenn, csak 1 telefonon, a tobbi keszuleket kilogoutolja, amint egy ujabb peldanyon belepsz. Ez szerintem nem jo megoldas. Az OTP szerencsere fenn lehet a tableten es a telefonon is es mind a ketton teljes erteku alkalmazas. En nem akarnam, hogy ne tudjam tobb eszkozomre telepiteni. Az semmilyen problemat nem old meg. Itt sem az a problema, hogy tobb eszkozon van. Az a probelma, hogy a masodik eszkoz is jova lett hagyva. Az OTP-nel peldaul, 2 korben kell jovahagyni a telepitest, az elso korben belepsz, es jovahagyod ezt a belepest, viszont ez az eszkoz NEM hasznalhato jovahagyasra. Tehat, lehet rajta utalast kezdemenyezni, de nem lehet jovahagyni a kezdemenyezett utalast/utalasokat, fuggetlenul attol, hogy hol kezdemenyeztek. Ezutan varni kell 24 orat, es 24 ora utan lehet kezdemenyezni a jogkor emelest. Tehat, itt 2x kell a palimadarat bepalizni. Arra nem emlekszem, hogy a belepesi jovahagyasakkor irja-e az IP cimet (de szerintem nem).
wise-nál is egy plusz kör, hogy be kell állítani, hogy az új eszközre is menjen a push notification, attól, hogy felrakod még nem küldi oda.
Domain, tárhely és webes megoldások: aWh
O, akkor emberunk ezt is jovahagyta volna? Valoszinu, nagyon-nagyon jova akarta hagyni a dolgokat.
2fa fatigue
És hogy váltasz master eszközt?
Az aktualis master eszkozbol ki lehet kerni egy transfer kodot, amit a masik appba beirva az lesz a master, az elso app pedig elvesziti ezen jogosultsagat.
es mit csinalsz ha ellopjak/elromlik a telefonod?
Settings > privacy akarmi > set up 2fa > i didn't receive notification > sms > kodot beirod > saveMiutan ez megvan, egybol vilagitani fog a "very secure" a tokeneknel a Wise app mellett. Igen, egy rakas szar ez is.Sorry, en meg a Wise-nal voltam leragadva
Full resetet kell csinalni, bankkartyabol generalt tokennel kell belepni weben, es ott lehet kitorolni mindent es ujra csinalni egy master appot.
Az a penz, amihez egy telefonelromlas utan ilyen korulmenyes hozzafernem, valojaban nem is az enyem.
Bankkartya, id card es besetalsz a bankba. Problem? :)
A biztonsagert aldozni kell. Vagy lehet menni a Wise-hoz ahol nem szamit hany telefonon van az app teljes jogkorrel, legyen mirol irni a forbes-nak :)
B@szni meg szuznek is maradni egyszerre nem lehet.
Valojaban a Wise modszerevel sincs baj ha a juzer elolvassa hogy mit okez le. Sot, a Wise-nal a 2FA lehet pl Google Authenticator is a mobilapp helyett, csak be kell allitani par kattintassal. Szoval ha a Wise altal kinalt modszerekkel kifosztanak, az megint csak PEBKAC.
Eleg durva dolog PEBKAC kifejezest hasznalni egy olyan vilagban, ahol az embereknek megtanitjak, hogy a torveny vedi oket, es igy jonnek ra, hogy a bunosok nem lesznek megbuntetve es a penzuket se latjak tobbet.
Nem PEBKAC, hanem egy olyan ugy, ahol karosult/aldozat van, felelost meg nem lehet talalni. Erre nem az a megoldas, hogy az aldozatot hibaztatjuk.
A "kellő gondossággal járt-e el" kérdés, amit keresel...
Az aldozat hibas, hogy ha soha senki nem definialta neki, hogy mikortol kello a gondossag?
A tovenyeket sem ismertetik reszletesen az iskolakban, megis be kell tartani.
Szerintem nem kene mindenkinek internet bankolni, plane nem fintech-ezni vagy ha megis es mindezt nagy osszeggel, akkor ki kell kerni hozzaertok tanacsat, hogy hogy lehet mindezt abszolut korultekintoen csinalni, mert bizony lehet. Az, hogy en hulye vagyok es akarok minden kenyelmet es legmagasabb szintu hozzaferest de vedjenek meg a bankok magamtol, az egyszeruen nem jarhato ut. Legalabb oda el kell jutni, hogy beismerem magamnak hogy en ehhez nem ertek kellokeppen es keresek egy olyan bankot akiknel viszonylag foolproof a szamla by default vagy ne tessek internet bankolni - be lehet slattyogni a bankfiokba es ott intezni az ugyeket. Nem kedvelem a bankokat, de az egyen felelossege itt nem elhanyagolhato szerintem.
Igazad lenne a "nem mindenkinek valo a netbank" resszel kapcsolatban. 10 eve igazad is volt.
De itt "Nyugaton" agyatlanul zarjak be a bankfiokokat, mert "ugyis online bankol mindenki" + koltsegcsokkentes. Ha call centert hivsz, 2 helyett 5 percet beszelsz az automataval, mert 3 percig hallgatod, hogy tudtad-e, mi mindent el tudsz intezni netbankon es a mobilalkalmazason es azonnal toltsd le. Azt hazudjak nekik valo, mert igy akarnak koltseget csokkenteni nem csak bankfiokokon, hanem meg call centereken is.
Szoval ezert ma nincs igazad.
Szakerto, "be kell tartanod a torvenyeket, amiket nem ismersz" temahoz: nem is feltetlen ismerheted a szabalyokat. Szakerto tanacsaert hany orat is kell dolgozni? A szakerto nem akar jutalekert atverni majd? A jogasz oradijaert is napokat dolgoznak emberek. Semmi csodalkoznivalo nincs azon, hogy emberek nem ertik milyen torvenyeket kene betartani, es netbankon keresztul at vannak verve. Ez NEM AZ ALDOZAT hibaja. Aki szerint az, abbol en csinalnek szivfajdalom nelkul aldozatot, mert azt erdemli.
(A): besétál a bankba, (B): sms-es fallback az eredeti telefonszámra az eszköz "master"-ré történő állításához.
(A): Biztonsagos modszer, heavily recommended
(B): Sajnalatos workaround azok miatt, akiket nem erdekel a sajat vagyonuk biztonsaga, es miattuk sajnos az ertelmes emberek is szivnak.
A: fintech-eknel (wise, revolut etc) hova setalsz be? de van olyan varos is ahol nincs pl. CIB fiok
B: +1
A: hint: videóbank-os azonosítás pl.?
deepfake / faceswap? ma mar nem nagy cucc az se
Eppen ezert tartom olyan bankoknal a penzem, ahol nem zarjak be agyatlanul a fizikai bankfiokokat. Egyelore kevesen vagyunk, de ebben muszaj beallni statisztikanak, mert a nemzetkozi buntetesvegrehajtas nem holnapra fog meggyogyulni, a scammereknek vadaszideny van.
Van erre egy komoly security szabvány amit ilyen videós azonosításnál végig kell tolni, nem olyan egyszerű a deepfake ahogy azt az emberek elképzelik.
Akkor mire való az app a többi eszközön?
nem használok Mac-et, ezért csak feltételezés - nem lehet, hogy a telefonra érkező (SMS/push) üzenetek megjelennek a PC képernyőjén is (ha BT-n v azonos hálózaton össze vannak kapcsolódva) ?
Ha be van kapcsolva, akkor iCloud fiókon keresztül syncelődik - ha mindkettő neten lóg akkor megérkezik (csak SMS/iMessage, push nem)
Megbokodtek a telefonjat valamikor.
Emberunk yesoke tipus es mindent jovahagy.
meg sok eshetoseg, de a legjobb az atlagjuzer hulyesegere alapozni. mukodik. igen jol.
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
azert szerintem egy up-to-date iphone-t vagy pixel telot ilyen szinten nem olyan egyszeru megbokodni egy atlag phising scammernek.
de ha a jelszava mindegyiken date_of_birth(); vagy tokmindegy, de ugyanazt hasznalja. nem a rendszert torik, a jelszavakat/authot/tokent szerzik meg az analfabeta usertol :)
A "date_of_birth();" nem annyira rossz egyébként, csak nincs benne szám és nagybetű. Lehetne akár "Date_Of_B1rth();"
:)