Citek coś wyczynia

[Michał Jankowski]

Kiedyś do zatwierdzania transakcji był kod przysyłany przez sms.

Potem zmienili na zatwierdzanie pinem w aplikacji.

A teraz ni z tego ni z owego przyszedł sms z linkiem do strony banku,
żeby tam się zalogować. WTF? To ma być bezpieczniej? Skąd ja wiem, czy
'citi.me' to jest strona banku?

Anulowałem i za drugim razem już poszło normalnie przez aplikację.

MJ

[J.F]

Aby na pewno był to citek?

to city.me wyglada na jakas hackerską strone ... wiec sprawdz dlaczego
cie tam przekierowalo ...


J.

[Michał Jankowski]

W dniu 19.05.2022 o 19:02, J.F pisze:

Nie, trochę koloryzuję, oni naprawdę takim adresem się posługują. Ale
tak czy owak uważam, że jakąś głupotę odstawili.

MJ

[Dawid Rutkowski]

W citku już od dawna nie ma potwierdzania transakcji netowych "zwykłym" kodem z SMSa.
Miała być tylko apka, ale krzyk się podniósł, więc złośliwe debile "poprawili" - do wyboru jest też SMS, ale z linkiem do zalogowania się w ST i potwierdzenia.
Cóż, mam inne KK.
Inna sprawa, że ostatnio przy netowym płaceniu KK MC santandera w ogóle nie mam 3D-secure...

A Ty pewnie dostałeś SMSa z linkiem bo akurat apka Ci się rozłączyła albo coś innego nie zagrało - a potem sję naprawiło.

[Michał Jankowski]

W dniu 19.05.2022 o 22:00, Dawid Rutkowski pisze:

> A Ty pewnie dostałeś SMSa z linkiem bo akurat apka Ci się rozłączyła albo coś innego nie zagrało - a potem sję naprawiło.

Bardzo być może, ale zmienianie przez bank sposobu zatwierdzania
operacji na coś, czego ze mną nie uzgadniał, to jest głęboka pomyłka
(nawet jeśli to tylko na jedną transakcję).

MJ

[Dawid Rutkowski]

Racja, dawaj reklamację.
Swoja drogą ciekawe, czy udałoby się zatwierdzić...

[J.F]

Hm, jak tak pamietam, to troche takich zmian bylo.
tokeny, listy kodow, sms, teraz apki ... niby za moja zgodą,
mialem wybor - moglem zamowic kolejną liste za 30 zl :-)

J.

[Krzysztof Halasa]

Dawid Rutkowski <drut...@wp.pl> writes:

> Miała być tylko apka, ale krzyk się podniósł, więc złośliwe debile
> "poprawili" - do wyboru jest też SMS, ale z linkiem do zalogowania się
> w ST i potwierdzenia.

To jest w ogóle bardzo niebezpieczny mechanizm - uczy klientów klikania
w linki z SMSów. Tej wady nie ma 3DS z kodem w SMSie - jeśli nawet ktoś
przejmie treść takiego SMSa, to najwyżej zatwierdzi konkretną
transakcję, są limity itd. Natomiast podstawiając klientowi fałszywą
sesję można zrobić praktycznie wszystko.
Tej wady nie ma także apka w telefonie, aczkolwiek oczywiście ma inną,
jeśli jest to urządzenie, które jednocześnie służy do zlecania operacji
i ich zatwierdzania.
--
Krzysztof Hałasa

[Michał Jankowski]

W dniu 21.05.2022 o 13:06, Krzysztof Halasa pisze:

Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka na
komputerze' plus 'aplikacja'.

Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na swoim
telefonie.

MJ

[Krzysztof Halasa]

Michał Jankowski <mic...@fuw.edu.pl> writes:

> Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
> komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka
> na komputerze' plus 'aplikacja'.

Normalnie mogłaby być nieco mniej bezpieczna, SMSy nie były do tego
projektowane. Można je przechwycić w różnych miejscach, duplikaty SIM
itd. Ale:

> Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
> to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
> swoim telefonie.

Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
powinno być to takie łatwe.

Oczywiście 100% bezpieczeństwa nigdzie nie ma. Ale tak na moje oko,
układ z dwoma oddzielnymi urządzeniami (pecet + telefon) jest dość
bezpieczny. Problem zaczyna się wtedy, gdy to jest to samo urządzenie.
--
Krzysztof Hałasa

[Dawid Rutkowski]

niedziela, 22 maja 2022 o 00:20:59 UTC+2 Krzysztof Halasa napisał(a):
> Michał Jankowski <mic...@fuw.edu.pl> writes:
>
> > Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
> > komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka
> > na komputerze' plus 'aplikacja'.
> Normalnie mogłaby być nieco mniej bezpieczna, SMSy nie były do tego
> projektowane. Można je przechwycić w różnych miejscach, duplikaty SIM
> itd. Ale:
> > Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
> > to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
> > swoim telefonie.
> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
> powinno być to takie łatwe.

Widziałeś bank, w którym apka wymaga czegoś więcej?
Może być nawet w przeszłości.
Teraz wszędzie, gdzie testowałem, jest logowanie loginem i hasłem oraz przepisanie SMS.
A potem logujesz się PINem, ew. hasłem (citi, N26).

>
> Oczywiście 100% bezpieczeństwa nigdzie nie ma. Ale tak na moje oko,
> układ z dwoma oddzielnymi urządzeniami (pecet + telefon) jest dość
> bezpieczny. Problem zaczyna się wtedy, gdy to jest to samo urządzenie.

No ale co, ten pecet "do bankowania" to jakiś specjalny musi być, nie może być np. mój?
Bo telefon jest choć trochę "specjalny" przez kartę SIM - ale to liczy się tylko do SMSów (ale tylko trochę), apka działa i bez karty SIM.
Jedyna różnica to to, że rzeczywiście trochę trudniej przejąć kontrolę nad dwoma urządzeniami niż nad jednym - ale tylko trochę, bo atak odbywa się przez jednego człowieka.

[Krzysztof Halasa]

Dawid Rutkowski <drut...@wp.pl> writes:

> Widziałeś bank, w którym apka wymaga czegoś więcej?

Nie chodzi o to jak jest, ale jak powinno być. Np. może powinno być
większe rozróżnienie klientów niż tylko korpo - private banking -
zwykły. To w końcu także kwestia ryzyka banku.

> No ale co, ten pecet "do bankowania" to jakiś specjalny musi być, nie
> może być np. mój?

Przy większych kwotach, pewnie tak. Kiedyś to był pecet z modemem,
odpięty od sieci (albo nigdy do niej nie podłączony).

> Jedyna różnica to to, że rzeczywiście trochę trudniej przejąć kontrolę
> nad dwoma urządzeniami niż nad jednym - ale tylko trochę, bo atak
> odbywa się przez jednego człowieka.

To dokładnie niczego nie zmienia. To nie jest tak, że jeśli człowiek
pozwoli, by mu botnet zainfekował komputer, to automatycznie odpali
wszystko na swoim telefonie. Ludzie, którzy mają pieniądze, często mają
też mózgi i rozumieją proste zasady.

Inna sprawa, że bank nie powinien ułatwiać życia złodziejom.
--
Krzysztof Hałasa

[Dawid Rutkowski]

niedziela, 22 maja 2022 o 13:47:55 UTC+2 Krzysztof Halasa napisał(a):

> Dawid Rutkowski writes:
>
> > Widziałeś bank, w którym apka wymaga czegoś więcej?
> Nie chodzi o to jak jest, ale jak powinno być. Np. może powinno być
> większe rozróżnienie klientów niż tylko korpo - private banking -
> zwykły. To w końcu także kwestia ryzyka banku.

No ja jestem bardziej rozróżniony - w santander i mBąku mam status VIP ;>
Ale to daleko do private.
Private miałem tylko taki wannabe, w idea/lion's - uff, i dobrze, że miałem farta, bo w innych okolicznościach jeszcze bym na tym wtopił...
A z private korzystałeś, że widzisz "rozróżnienie"?
Wg mnie nie ma. ST i apka ta sama.

Ew. w jakimkolwiek sensownym private powinna być możliwość odcięcia wybranych rachunków od netu.
Jak nie ma to to jest frajer-banking ;>

> > No ale co, ten pecet "do bankowania" to jakiś specjalny musi być, nie
> > może być np. mój?
> Przy większych kwotach, pewnie tak. Kiedyś to był pecet z modemem,
> odpięty od sieci (albo nigdy do niej nie podłączony).

Pani księgowa kiedyś taki miała.

> > Jedyna różnica to to, że rzeczywiście trochę trudniej przejąć kontrolę
> > nad dwoma urządzeniami niż nad jednym - ale tylko trochę, bo atak
> > odbywa się przez jednego człowieka.
> To dokładnie niczego nie zmienia. To nie jest tak, że jeśli człowiek
> pozwoli, by mu botnet zainfekował komputer, to automatycznie odpali
> wszystko na swoim telefonie. Ludzie, którzy mają pieniądze, często mają
> też mózgi i rozumieją proste zasady.

Słyszałeś, żeby bogatego okradli?
Choć znam przypadki trzymania 100k+ na "głównym" RORze z debetówką.
Ale tyle to jest dopiero "niebiedny" ;>

> Inna sprawa, że bank nie powinien ułatwiać życia złodziejom.

Wybiera taki kompromis jaki mu się opłaca (i niekoniecznie optymalizuje to, co nam się wydaje).

[Alf/red/]

W dniu 22.05.2022 o 10:25, Dawid Rutkowski pisze:

>>> Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
>>> to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
>>> swoim telefonie.
>> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
>> powinno być to takie łatwe.
> Widziałeś bank, w którym apka wymaga czegoś więcej?

mBank, którego tak nie lubisz, wymaga albo potwierdzenia w starej
aplikacji że aktywuję nową, albo podania pinu od starej aplikacji (6-8
cyferek oidp).

Millenium można mieć kilka aplikacji, ale tylko w jednej mogą być
autoryzacje. Żeby przenieść autoryzacje, trzeba to potwierdzić w starej
(oddającej) aplikacji.

Czyli nie ma tak prosto, że klon SIM i już hulaj dusza.

--
Alf/red/

[Dawid Rutkowski]

Hmm, ale jak zwykle "ale":
1) Sytuacja, gdy straciłeś "starą" apkę - telefon w kiblu, skradziony, wpadł pod tramwaj (raczej bez człowieka ;) itp.
Jak wtedy zrobić apkę na nowym tel. (OK, mBąk opcje ma, jeśli nie zapomnisz pinu od starej)?
2) Multi-apki - są oczywiście banki-buraki, co idą na łatwiznę (95% klientów nawet nie zauważy) i pozwalają mieć tylko jedną apkę na raz.
A czy z tych, które pozwalają mieć więcej, można gdziekolwiek potwierdzać w więcej niż jednej na raz?

Ostatnio santanderowa wkurzała - co prawda żona nie używa, ale nagle gdzieś blikiem zapłacić chciała.
Apka się pluła o aktualizację (autoakt. zawsze wyłączam), ale kod dała.
Tylko potwierdzenia nie chciała wyświetlić.
A przy następnym uruchomieniu trzeba było na nowo aktywować

[Michał Jankowski]

W dniu 23.05.2022 o 00:21, Alf/red/ pisze:

> Millenium można mieć kilka aplikacji, ale tylko w jednej mogą być
> autoryzacje. Żeby przenieść autoryzacje, trzeba to potwierdzić w starej
> (oddającej) aplikacji.
>
> Czyli nie ma tak prosto, że klon SIM i już hulaj dusza.
>

MUSI być procedura na zdarzenie "starej aplikacji już nie mam".

MJ

[Michał Jankowski]

W dniu 23.05.2022 o 00:21, Alf/red/ pisze:

> W dniu 22.05.2022 o 10:25, Dawid Rutkowski pisze:
>>>> Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
>>>> to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
>>>> swoim telefonie.
>>> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
>>> powinno być to takie łatwe.
>> Widziałeś bank, w którym apka wymaga czegoś więcej?
>
> mBank, którego tak nie lubisz, wymaga albo potwierdzenia w starej
> aplikacji że aktywuję nową, albo podania pinu od starej aplikacji (6-8
> cyferek oidp).
>

Musi też być procedura na "zapomniałem pin".

MJ

[Krzysztof Halasa]

Michał Jankowski <mic...@fuw.edu.pl> writes:

> MUSI być procedura na zdarzenie "starej aplikacji już nie mam".

> Musi też być procedura na "zapomniałem pin".

Ano. Ale może wymagać fizycznego kontaktu z bankiem. I to nie tylko
w postaci fizycznych fal e-m :-)
--
Krzysztof Hałasa

[J.F]

W mbanku raczej nie ma.
Oni jak kiedys nie chcieli wpuszczac klientow na marmury, tak chyba
nadal wszystko chcą załatwic zdalnie.

Citi ... byc moze też, wszak nie maja duzo oddzialow.

w innych bankach róznie moze być.

J.

[witrak()]

On Sunday, May 22, 2022 at 3:57:50 PM UTC+2, Dawid Rutkowski wrote:
> niedziela, 22 maja 2022 o 13:47:55 UTC+2 Krzysztof Halasa napisał(a):

> Słyszałeś, żeby bogatego okradli?
> Choć znam przypadki trzymania 100k+ na "głównym" RORze z debetówką.

To tego nie należy robić??? No to jak wydawać pieniądze?

/s

witrak()

[witrak()]

On Monday, May 23, 2022 at 12:21:02 AM UTC+2, Alf/red/ wrote:

> Millenium można mieć kilka aplikacji, ale tylko w jednej mogą być
> autoryzacje. Żeby przenieść autoryzacje, trzeba to potwierdzić w starej
> (oddającej) aplikacji.

Co ty powiesz?!

To jak się to robi? kupuje się drugi smartfon?

witrak()

[Dawid Rutkowski]

No jak dla kogoś 100k to jest "na waciki" to tylko pogratulować ;>
Ale w sumie można się zabezpieczyć limitami na karcie ;>
Tylko jak wtedy wydawać pieniądze? ;>

Kiedyś kolega kayoo narzekał, w temacie sensowności posiadania dużych limitów na KK (takich naprawdę dużych, 100k+, ja na jednej KK miałem max. 60k - na krótko, dawali jakąś nagrodę za podniesienie limitu - ale pamiętam jeszcze szalone czasy przed kryzysem 2008 i ofertę platyny - brzydkiej - w mBąku z limitem 200k "na klik" - z tego został mi tylko "status VIP" ;), że nigdzie nie znalazł możliwości zapłaty kartą za nowy samochód.
Ciekawe, czy to się zmieniło po obniżce IF?

W USA jest inaczej - choć może to urban legend - czytałem historię o gościu biorącym udział w przebazowywaniu Boeinga 737 (chyba nie pilot, tylko jako ktoś do pomocy), lot na pusto gdzieś przez połowę (a może i całe) USA, z międzylądowaniem i tankowaniem w jakiejś dziurze.
Jedyna metoda płatności za tankowanie - karta - a firmowa nie chciała działać, na szczęście miał swoją z wysokim limitem i zapłacił 30k$ - przy okazji dostając kupę punktów Marriot Rewards ;>

[Dawid Rutkowski]

No, w sumie to chyba właśnie jest powód przeniesienia autoryzacji do nowej apki.
W PL odbywa się to średnio co 2 lata, jak ktoś płaci za telefon w najmniej bezsensowny sposób.
To oczywiście wariant pokojowy (tzn. nie-wojenny, a nie "indoor" ;)
Bo jak trzeba kupić z powodu zgubienia, stłuczenia, wpadnięcia do kibla lub pod tramwaj, no to pewnie jest trudniej.
A nie można sobie apek usunąć w ST?
W tzw. "innych bankach" można, w milku nie ćwiczyłem.