"Jól megkopasztották a gyanútlan vállalkozót, amikor az új laptopján be akart lépni a netbankjába"

Így van. Amikor netbankot regisztráltam, be kellett mennem a bankfiókba, ahol személyes azonosítás után ők regisztráltak engem, és adtak egy méretes leírást, amiben minden tudnivaló benne volt. Még az is, hogy mit jelent a jelszó komplexitás, és melyek a nem alfanumerikus karakterek - hátha hiányoztam az iskolából aznap, mikor ezt tanították.

boldog új évet 2024

Szar ügy, de a "mobilra is raktak vm szart"-na, azért az nem úgy megy.
Talán ez a sok káreset ráébreszti az embereket arra, hogy olyan helyen tartsák a pénzüket ahonnan nem tudnak instant utalni, és internetről nem hozzáférhető.

kíváncsian várjuk a "Méhész" című filmet...  https://www.imdb.com/title/tt15314262/

A Chrome raadasul nagyon agressziven terelt erre a hasznalati modra. Ha google.com-ra mentel, es onnan akartal keresni, konkretan atdobta a fokuszt a cimsorra, talan meg fel is dobott valami buborekban szoveget, hogy "Haliho! Itt van a keresosav, nem mashol!"

De a Firefox-ban is rahedlisok opciot ki kell kapcsolnod (asszem az egyik keyword.enabled = false csak about:config-ban "Yes I want to void the warranty" utan erheto el), hogy ne keressen, ne dobaljon fel javaslatokat (enelkul minden begepelt betu = egy kimeno http request a default keresoszolgaltatohoz...), onhatalmulag ne korrigalja az URL-t, legyen elkulonitve dedikalt keresomezo stb.

Az EV cert kijelzes megszuntetese, majd a cert subject name szandekos elsullyesztese kb 4-5 kattintasnyi melysegbe a masik gazemberseg. (Ebben vannak ertelmetlen, informaciotartalom es valasztasi lehetoseg nelkuli menuben felesleges ">"-ra kattogtatasok, van bonyolult dialog ablak, amiben a View Certificate gombot kell megtalalnod, aztan raadasul uj tabon nyilik meg, hogy meg kenyelmetlenebb legyen, vegul tudnod kell, hogy melyik mezot is keresed). Nyilvan egy IT-s tudja ezt is hasznalni, de egy laikusnak elmagyarazni, hogy a netbankolaskor ezt a lepessort csinald vegig, ezt a mezot nezd meg stb.

Aztan vannak az elcseszett, vegig nem gondolt unicode URL tamogatas miatt ranezesre megkulonboztethetetlen kamu URL-ek.

Szoval igen, a bongeszokeszitok kb mindent megtettek, hogy ez a fajta csalas konnyen kivitelezheto legyen, ES egy laikus szamara a leheto legnehezebb legyen ellenorizni, hogy jo oldalon van-e.

Szerintem is ez lehetett, félreírta az URL-t, bele a keresőbe, az meg dobta tovább a nem eredeti oldalra, mivel félre van írva. Ezért kell egy oldalon a tanúsítványt is nézni, a https nem viccből van mindenkire rákényszerítve, ezt nem értette hajbi is, hogy nem az ideálkapitalista, fősodratú mérnökurak megelégedését szolgálja. Bankok erre tényleg ügyelnek, hogy már a tanúsítványból látszódjon, hogy eredeti az oldal, ne ilyen ilyen himi-humi cert hitelesítőktől legyen, ahonnan bárki tud akármilyen certet szerezni.

Ha ki tudja szolgálni a kamu domain a random palimadarat, akkor fog tudni rá tenni DV certet, ezen a https mindenkire rákényszerítése nem segít. 

A Digitális Jólét Program hatalmas sikerének lehetünk tanúi ;)

A 2FA fatique korporét környezetben, még agyon-szeku-trénelt szakemberek körében is egy valós jelenség.

Az volt a gond, hogy helytelenül értelmezte az sms(eket), azt hitte, az új laptop miatt jönnek.

Mármint, hogy olvasni se tud? 

Legközelebb OLVASD EL!! a feletted  levő Raynes kommentjét!! Értő olvasás.

Legközelebb OLVASD EL!! a feletted  levő kommentet Értő olvasás.

Egy olyan esetrol irt, amikor egy Facebook profilt tortek fel. Nem az OP-ban szereplo banki csalasrol.

lol

 igen, ilyesmi is szokott lenni.

De, b+ olvasni és mondatot értelmezni csak-csak nem ??

az se tűnik fel nekik, ha azt mondják nekik,  csak 2 oltás és védett leszel, viszont az oltatlanok veszélyeztetnek téged !,  aki VÉDŐ oltásokat kapott

Valamiért nem lep meg, hogy ezt sem tudtad értelmezni... 

Bónuszkérdés:

aláírattam valami papírt AVDH-n az ügyfélkapus akkountommal. A kész aláírt pdf-en rajta virít az AVDH pecsétje vizuálisan ha megnyitom Acrobat Reader-ben, ez eddig stimmel.

Na de az hol látszik, hogy én Gipsz Jakab ügyfélkapus felhasználó írtam alá digitálisan ezt a dokumentumot, és nem Lófasz Jóska ügyfélkapus felhasználó?

Mert a cert chain-en végigmentem az Acrobat Reader-ben, de az én nevem nem jelent meg olvashatóan sehol egy cert Attributum-ban sem.

Vagy van erre valami letölthető célprogram, ami ezt az egyetlen lényeges körülményét az egész digitális aláírásosdi-nak meg tudja vizsgálni?

nekem egyébként az volt eddig a benyomásom, hogy amit "kockázat felmérő lap" címszóval tolnak, annak a kiértékelése inkább arról szól, hogy mekkora balek vagy és mekkora kockázatot vállalsz be vakon. Ha nem adod be, hogy tőzsdeügynök vagy, aki mindenhez is ért és mindent bevállal, hanem azt mondod, hogy nem végeztél még ilyesmivel milliós nagyságrendben heti szinten, bár te egyébként banki szoftverekkel foglalkozol és gazdasági informatikus vagy, akkor az jön ki, hogy nem felelsz meg :D

Anno mikor sok éve aktiváltattam egyik banknál a számlacsomagom befeketetési részét konkrétan az ügyintéző kérdezz-feleleke közben mondta, hogy válasszak mást, mert nem fogok különben megfelelni. Úgy, hogy jobban ismertem az általa eladni próbált szarok költségvonzatait és kockázatait. A saját vackaik feltételeivel nem volt tisztában, mint ügyintéző.

valsz sokkal többet. Szerintem a katánál gomboltak le 2-3 éve hasonló összegeket, ahol aztán végképp nem volt semmi extra. Az átalányadóhoz emeltek, mert hű meg ha. Ott sem sokmindent kell csinálni. 

.gondolom windows 11

Az lehetetlen! A hvg-n olvastam és ők sosem hazudnak!

Tech: A Windows 10 lesz a legutolsó Windows

Erre ráerősítve Steve Kleynhans, a Gartner piacelemző kutatási vezetője a BBC -nek azt mondta: nem lesz Windows 11. A Microsoft egy közleményben magyarázta meg a dolgot.

https://hvg.hu/tudomany/20150511_a_windows_10_lesz_a_legutolso_windows

A mai napig nem javították ki a biometrikus azonosítás konfigurálásánál a security hiányosságot, már nagyon sok hónapja. Ettől a banktól menekülni kellene mindenkinek.

ide irányít át:

hxxps://asamblea.asoap.es/wp-content/languages/themes/MmBbBNBn/mkb/signin.php

Ezt is lehet reportolni. Szélmalomharc, tudom

VLC-re is volt cirkusz 1-2 éve, h. a google keresőbe bedobva első helyen egy kamu -frissen regisztrált- domain-t hírdetett, amin keresztül terjesztettek malware-t. Pedig azt többen ismerik, mint egy random k-európai banánköztársaság gagyi bankjának online felületét.

Fél óráig  keresem, de csak az igazi oldalt találta. Most látom, hogy fentebb valaki leírta a kamu oldal címét, ezt a cikkben NAGYBETŰVEL, SZÍNNEL kiemelten kellene leírni, nehogy más is így járjon, ehelyett titkolják, mint a c. bűnözést.

Nem teljesen ertem. Megnezem a szamlaszamot a laptopomon, kijelolom, Ctrl-C, mobilon hosszan megerintem a textboxot, Paste. Ez nem olyan bonyolult azert.

ú ne ism mond az appokat. Play storeban, ha nem elérhető már az alkalmazás, akkor automatikusan egy másik hasonló telepítőképernyőjét hozza be sponzoráltként. 
Múltkor egy már nem feljesztett authentikátor appnál (Sophos Authenticator) voltam így, hogy néztem mi a fasz, aztán láttam, hogy ez nem is az az alkalmazás, hanem megszűnt a fejlesztése és levertték a storeból.

egyszeruen ki kellett volna hajitani a megbizhato CA-k kozul,

Dehogy, itt kellene egy tokos EU-jogalkotas, es azt mondani, hogy ha kiallitottad valakinek az EV certet, es utana azzal penzt csaltak ki valakitol, akkor a hibasan tanusitott ceg merlegfoosszegenek a 20%-at fizesd be.

Amint kimenne az elso sarga csekk mondjuk egy hamis otp.hu cert utan 7 373 332 millio (nem eliras) forintrol, masnaptol rend lenne az EV-piacon.

Ugye most úgy adnak ki tanúsítványt egy URL-re, hogy azt kell bizonyítanod hogy te éppen hozzáférsz a szerverhez, és a felhasználó számára egy Let's encrypt tanúsítvány és egy drága üzleti tanúsítvány pontosan ugyanúgy (nem) látszik. 

Innentől kezdve igazából az egész HTTPS-nek nincs nagyon értelme, tekintve hogy az egyetlen dolgot amit biztosít az az, hogy az adatok biztonságosan utaznak a böngésző és a szerver között, de hogy a másik oldalt ki van, az nem derül ki. Persze tök jó hogy nem tudnak man in the middle attack-ot csinálni, de valójában meg a hamisított oldalakkal ugyanúgy beszivatják az átlag netezőt.

Ehhez képest az EU azt szeretné, hogy az QWACS tanúsítványokat vezessék be, tudják kiadni az EU-s tanúsítványkiadó cégek. Ezek pont ugyanolyan SSL tanúsítványok mint amiket eddig is kiadnak, viszont  a QWACS esetében történik egy rendes azonosítás (vagy személyazonosítás, vagy cégazonosítás) és ezek az infók belekerülnek a tanúsítványba. Az azonosítás a tanúsítványkiadó feladata, és meg kell őrizniük a bizonyítékokat sok-sok évig, tehát ez egy plusz védelmi szint a csalók ellen (Kovács Bélá-nak nem fognak tanúsítványt kiadni az otpbank.hu domain címre, bármennyire is szeretné). Ez növeli a biztonságot, hiszen a felhasználó meg tud győződni arról, hogy a tanúsítványt kinek is adták ki valójában. 

És hogy a kérdésedre választ adjak:

"For QWAC issuers, in addition to annual audits the issuers must also undergo constant monitoring by their auditor as to all system or procedural changes that are made between audits, plus annual evaluation by an independent Conformity Assessment Body, plus monitoring and approval by a national Supervisory Body (e.g., a Ministry) before they are added to the EU Trust list and can begin to issue QWACs."

Tehát fel sem kerülnének az EU-s trusted listára azok a cégek, akik nem megbízhatóak. Azért ez szerintem elég komoly megszorítás.

Én azt tudom mindenkinek javasolni hogy a következő dolgokat tegye:

- használjon egy komolyabb webes védelmet adó szoftvert (pl. Malwarebytes Premium)

- weben keresztül ne intézzen pénzügyeket, vagy ha intéz, akkor csak olyan banknál aminél van mobilos belépés (pl. OTP QR kódos belépése)

- saját bankkártya adatokat ne adjon meg, csak webkártyát

- mind a kártyáján, mind pedig a számláján legyen egy limit

Gyakorlatilag az egész egy baromi nagy FUD kampány, nettó hazugságok tömkelegével. https://last-chance-for-eidas.org/

Meg kéne tanulni, hogy az ember felel saját magáért, nem más.

Aki azt hiszi , hogy "más" (bank, állam, Microfos, Mozilla, rendőr, nagybácsi stb.) kell vigyázzon rá saját maga helyett, az betolja az iskolapénzt párszor.

Kamu szám ráírás nem lenne hülyeség.

Mindkét dimenzíóba eltolva? ;)

a elveszünk belőle 1 betűt és kicserélünk 3-at, megkapjuk a második legszebb szót, a SÖR-t. 

Na akkor neked nem kell háromszíntű azonosítás, te oiztos kezekben vagy.

igen. de minden 10. pin kód nélküli fizetés után kell pin-t megadni. azaz legrosszabb esetben max 200k-t lehet így leszedni

Ennek kivédésére ott a napi limit,összeg és/vagy darabszám formában. Külön az atm pénzfelvételre is.

Kumuláltan 15eFt. Nem kéne FUD-ot terjeszteni.

"A hatodik napon"

Létező probléma, a Security Engineering könyv egyik fejezete tárgyalja az "ujjak a befőttes üvegben" problémakört és miért is nem megbízható az ujjlenyomat, vagy bármi biometrikus.

A könyv egyébként hamarosan ingyenesen hozzáférhető itt az szerző jóvoltából, én csak ajánlani tudom:
https://www.cl.cam.ac.uk/~rja14/book.html

Pont erről dumálok, hogy Tapicskoló Tamás egységsugarú tech-birka a leggyengébb láncszem az informatikai biztonságban és kevés múlik az OS frissességén, agyontűzfalazottságán, agyonvírusirtózottságán. Egy legacy rendszeren (pl. Windows XP-n) nagyobb biztonságban van egy hozzáértő felhasználó, mint egy hozzánemértő egy biztonságosnak™ marketingelt, friss rendszeren.

Ezért nem hiszünk a sajtónak, inkább. Egyébként, kvázi feladatom volt nyilatkozni.

NEM. Én bevedtem magam, virtuális kártya, wise, revolut, több számla több bankban, befektetések, BTC, ketfaktoros hitelesítés mindenhol stb..  De látom hogy sok embernek micsoda kihívás ezeket kezelni megérteni. Ezért mondom ne szórakozzanak és krealjanak olyan biztonsagi megoldást hogy az ATLAG user ne érezze magát veszélybe! Mire jó ez a sok digitális megoldás ha simán viszik a lovedat? Ennél még a KP is jobb lett volna a párna alatt.

Egy nap alatt több esélyed van észre venni hogy elcsesztel valamit. Ennyiben jobb az egynapos atutalas. És még nincs ott megfogható a love. Ha nem akkor a törvényhozó hozzon olyan törvényt hogy megfogható legyen mert azzal ne etessenek hogy megoldhatatlan. Sőt most se értem miért nem lehet vissza szedni a lóvét. Nincs nyoma? Nem visszakovetheto vagy mi? 

Jó akkor aki kérni annak menjen aki nem annak nem. 

Havi ezer forintért előfizetek rá: kérek 2024-es színvonalú védelmi szolgáltatásokat a bankszámlámra! Melyik magyar bank tudja ezt ma jan9-én megugrani?

Én nem vagyok egy bankellenes ember, de abban azért van kétségem, hogy azonnali áutalásnál van-e fraud-detection megoldás, illetve hogy technikailag ez lehetséges-e. Bankkártyás fizetéseknél biztosan van ilyen, meg ott könnyen kivitelezhető, mert az összeget egy bizonyos ideig csak zárolva tartják a számlán, nem emelik le. Csalás esetén ez idő alatt a bank a tranzakciót még vissza tudja vonni. Az azonnali átutalás viszont elvileg maximum 5 másodperc alatt teljesül és azt nem lehet visszavonni.

A nem azonnalit még egy darabig (talán még az értéknap előtti napig) vissza lehet vonni. Én azt támogatnám, hogy az azonnali átutalásnál legyen egy napi limit. Azt az ügyfél határozhassa meg és csak offline lehessen módosítani. A mostani tranzakciónkénti 20 millió Ft limit eléggé veszélyes lehet tapasztalatlan felhasználóknak. Persze tudom, hogy ilyet megoldani költség és ha erre nincs nagy felhasználói igény vagy ha jogszabály nem írja ezt elő, akkor nem fognak ilyet bevezetni.

Abszolút igaz. A 2000-es években még látható volt, hogy aki leül a gép elé, az minimális szinten tudja mi fán terem. Mostanra ez hogy úgy mondjam durván megváltozott... Minimum azt se tudják, mi a weboldal és az APP közt a különbség, a Word gyakorlatilag ugyanabba a halmazba van, mint a Gmail a Chrome-ban...

( sz332 V | 2024. 01. 10., sze – 16:39 ) Permalink

Ez szembemegy a bank érdekeivel, mert ha egy klikk a hitel, meg fogja igényelni az átlaguser a karácsonyi bevásárlás előtt, ellentétben azzal, ha hosszú process-eken kéne átmenni. Az adós meg jobb, mint a nem adós:D

A fenti esetben - ha a cikkből jól veszem ki - nem volt bankkártya-klónozás. Az akár másik kontinens és a fizikai találkozás hiánya stimmel. De ezzel a kitétellel a te kritériumaid szerint jó rendszer elvben sem létezhet, mert ha bármilyen megoldásban remote lehet műveletet végezni, onnantól kezdve nem kell fizikailag találkozni az áldozattal, csak megfelelő adatokat kell megszerezni.

A 'nem tudja, hol bankol' kitétel viszont itt nem áll meg, egy fake oldal, ami az adott bankot utánozta, eleve feltételezi, hogy tudja, hogy hol bankol az áldozat, másként nehezebb megtéveszteni.

Jó lenne akkor, ha te vagy bárki megoldaná, hogy a rendszer ne legyen szar. Én nem tudom sajnos ezt megoldani. Mi a megoldás? Miért nem készítették még el a megoldást, hogy a rendszer jó legyen?

A csak mágnescsík, PIN nélkül tranzakciók nem haltak még ki? Pedig igény az volna rá... Magára a mágnescsíkos bohóckodás kivezetésére is... Ahogy az imprinteres ("vasaló") kártyalehúzás is a múlté már...

Országon belül simán meg lehet fogni. EU-n belül is elég jó eséllyel. EU-n kívül esélytelen.

Ilyet én SMS-ben kaptam, UK-ben. Jött egy SMS, hogy csomagot nem vettem át, az alábbi oldalon tudom a kiszállítást újra leszervezni: reselect-872102.com

Megnyitva az oldalt (már nem él) várta volna adataimat. Természetesen nem adtam meg semmit, azonnal rájöttem, hogy kamu, hiszen 1) akkor nem vártam csomagot (minden korábbi csomagot rég megkaptam, újat nem rendeltem sehonnan), 2) az oldal nem tartozott egy ismert futárszolgálathoz sem, 3) utánanéztem a telefonszámnak (+44-7359635451), amiről jött, és az egyik oldal azonnal fel is ismerte az adatbázisban, hogy pishing/scam-et jelentett róla több felhasználó.

Pár hete nem tulajdonítottam neki jelentőséget, de így, hogy írjátok, hogy ez egy nagy csalássorozat része, így gondoltam felhívom rá a figyelmet, hátha más is kap, be ne szopja.