Folytatódik a csalásokról szóló cikksorozat a Forbes oldalán.
Most éppen 17 millió forintot loptak el valakitől, ő sem tudja, hogyan.
Egy utalás után a telefonján sorban bukkantak elő, majd tűntek el azonnal a push üzenetek, mint hamar kiderült, éppen 17 millió forintot utaltak el a számlájáról. SMS helyett a sokkal biztonságosabbnak kikiáltott appon belüli ujjlenyomatos jóváhagyást használta, de hiába. (Sajnos a telefon típusa nem derül ki a cikkből.) A jelenség alapján vagy az ő telefonja volt megfertőzve, vagy ami valószínűbb, duplikálták az appot és egy másik telefonról hagyták villámgyorsan jóvá a tranzakciókat, ezért látta felvillanni és eltűnni a jóváhagyási kéréseket.
Mivel a csalók bejutottak a számlájába (és őt ki is zárták onnan egy egyszerű e-mailcím átírásával), így semmit nem segített, ha széfbe rakta a megtakarítását, onnan is gond nélkül ki tudták pucolni az összes pénzt.
A Wise rendszerének nem tűnt fel, hogy az ügyfél Európa négy országában van egyidejűleg, ami fizikailag is lehetetlen és azt sem tartották gyanúsnak, hogy miért osztogatja szét az összes pénzét négy tökismeretlen, frissen felvitt (és valószínűleg frissen regisztrált) számlaszám között.
Egy ilyen üvöltő, egyértelműen csalásra utaló jel nem vitte át a Wise ingerküszöbét, de bezzeg egy néhány dolláros online vásárlás indokolatlan letiltást hozhat magával, mert ott minden értelmet nélkülözően megszólal a vészcsengő.
(Vállalkozók panaszkodtak néhány hete, hogy adót akartak fizetni a Wise számláról, de különösebb indoklás nélkül befagyasztották a számlájukat egy hétre, mondván, igazolják a bevételeik eredetét. Mindezt évek óta működő vállalkozói számláknál.
Másnál egy random helyről érkező néhány euró miatt zárolják a számlát, amíg nem ad be adóbevallást, hogy miből él. Mintha a két dolognak bármi köze lenne egymáshoz.
Én is adót akartam fizetni a napokban a Wise-ról, több próbálkozás után is csak a "Sajnáljuk, valami nem működik" képernyő fogadott. A NAV számlaszámát gyanúsnak találta, a csalók számlaszámai rendben vannak. Egy másik számlámra kellett kiutalni a pénzt a Wise-ról (oda gond nélkül ki tudtam utalni a pénzt), csak onnan tudtam elutalni a NAV-nak.)
A Wise pechjére, a károsultat nem tudta lerázni, mint a hőmérőt, ahogy mindenki mással teszik ilyenkor, mert ismerte a jogot és írt minden ellenőrző hatóságnak is, így inkább visszatérítették a kárát. Most nem működött a szokásos "az ügyfél hibájából történt" mese. (Ő az első, aki visszakapta a pénzét a cikksorozatban tárgyalt áldozatok közül.)
Ahogy a cikk is megjegyzi, a fintech cégek nagyon aranyosak addig, amíg semmi probléma. Abban a pillanatban, hogy belefutsz egy problémába, mindjárt felmerül a kérdés, megérte-e.
A cikkben meg van említve, hogy a böngésző cookie-jait ellopják, így a Wise azt gondolja, hogy arról a gépről lépnek be, amiről eddig is. Direkt kipróbáltam, számítógépről belépve nem kért semmilyen második azonosítást, szó nélkül beengedett egy egyszerű jelszóval. (Amit egy keylogger bármikor lemásol.) Jobban örültem volna neki, ha meg kell erősítenem valamilyen módon a netes belépést. (Ahogy például a legtöbb banknál ez elvárás.) (Ez a "kényelmi beállítás" egyébként kikapcsolható és érdemes is kikapcsolni. Sajnos alapbeállításként be van kapcsolva.)
Egyre inkább hajlok arra, hogy a Revolut után a Wise számlát is csak játékszámlának tartsam, amire utazás előtt töltök pénzt egy rendes bankszámláról. A Wise is már majdnem 1%-ért vált pénzt, ennyiért már magyar bankok is váltanak, a Raiffeisen Gold2 számlámnak pedig gyakorlatilag nincs semmi díja egész évben. Akkor miért is szórakozzak ilyen trendi és hájpolt számlákkal, ahol nem tűnik fel egy ilyen ordító csalás? Jó lesz majd biztonsági számlának, amit a neten használok, meg az előfizetésekhez beállítok.
A múltkor írtam, hogy nem sikerült elérni a Wise-t semmilyen formában, mert csak munkanap van néhány órát ügyfélszolgálat. Azóta egyszer már vissza akartam hívni egy utalást, de "természetesen" azt sem tudtam, mert éppen nem abban a négy órában történt, amikor hajlandóak szóba állni az ügyféllel.
S ideje lenne már, hogy a bankok is kötelezően kárt szenvedjenek minden egyes csalás után, akármennyire is az ügyfél volt a hibás. Egyből meg tudnák oldani a problémát, ha nekik is fájna.
- Geolokáció, ne lehessen utalni a számlámról nagy hirtelen Spanyolországból és használni a kártyámat egyszerre a világ három pontján.
- Újonnan felvitt számlaszámokra ne lehessen X összegnél nagyobbat kiutalni legalább egy napig és a kis összeg is késéssel menjen el.
- A megtakarítási számláról átvezetett pénzt ne lehessen új számlaszámra elutalni.
- Frissen felvett, online igényelt hitelt vagy személyi kölcsönt ne lehessen egy napig elutalni. (Újabban ezt csinálják, nemcsak a számlát ürítik le, de hitelt is igényelnek online és azt is elutalják. Nevetséges, hogy ez nem veri ki a biztosítékot a bankok rendszerében, egy számlát teljesen lepucolnak, sőt még hitelt is vesznek fel és azt is elutalják egy frissen felvitt számlaszámra. S nem szólal meg a vészcsengő a banknál.)
- Kötelezően tartsanak a bankok, a "neobankok" is normális ügyfélszolgálatot, 0-24 órában elérhetőt, sőt ők hívják az ügyfelet, ha gyanús tranzakciót észlelnek. Igen, ez pénzbe kerül, ahogy az elcsalt százmilliárdok is.
- Minden bankban lehessen napi és havi limitet megadni az utaláshoz is, a kártyalimithez hasonlóan. Ezt változtatni csak telefonos ügyfélszolgálaton vagy egynapos várakozással lehessen.
- Ha nekik fájna minden csalás, ezerrel nyomnák a reklámokat, hogyan ne essen senki áldozatul. Most nem érdekli őket, nem az ő káruk.
Erre lenne való a mesterséges intelligencia.
Csupakosz, nem kell ehhez semmilyen mesterséges intelligencia, egy normális banki háttérapp már évtizede tudja ezt.
Egyszer adakoztam éjjel 11-kor egy nagyobb összeget egy amerikai alapítványnak, fél perc múlva csörgött a telefonom, hogy erősítsem meg, mert addig nem megy el.
Ez volt a Gránit bank, hat éve.
Nem kell ide semmi új mutatvány, csak használni kellene a régieket.
Ez gáz. Nemrég volt egy cikk a héten, hogy valakinek az államkincstáros számlájáról vettek le pár milliót. Ott nem volt ujjlenyomat, csak kétlépcsős sms azonosítás. Erősen gondolkodom, hogy egy nyomógombos butatelefont fogok használni, érintőképernyőset csak sim kártya nélkül wifin, és egy külön hotspotot hordok majd magammal. Mobilról egyébként sem bankolok, nem fizetek (NFC mindig offline). És még ez sem lesz tuti.
Egy kis off.: régóta kapok hívásokat, hogy "nem fogadott hívásuk volt a számomról, ezért hívtak vissza, mit szeretnék?" És rohadt nehéz elmagyarázni, hogy nem hívtam őket. Valakik úgy hívnak fel másokat, hogy az én számom íródik ki a telefonjukra. Írtam panaszt a szolgáltatómnak, és csodák csodája le tudták tiltani, de csak a saját előhívókörzetüket, a másik kettőből azóta is rendszeresen kapok "nem fogadott hívásokat". Már tettem rendőrségi feljelentést is, most várok.
Igazán előremutató javaslatok. Sajnos nálunk még ott járunk, hogy az MNB-t anyázzák mikor bármilyen hiányosság miatt figyelmezteti az embereket.
Wise: soha. Telefonos appal, telefonròl bankügyet intézni: soha. Ezt eddig is tudtam, ennyi.
"A Wise is már majdnem 1%-ért vált pénzt, ennyiért már magyar bankok is váltanak"
Ööö... melyik magyar bank vált gyakorlatilag középárfolyamon 1% díjért?
CSak el kellene olvasni a belinkelt cikket. Az OTP és a Gránit. Nagy tételben pedig sokkal jobban vált egy csomó bank, Unicredit, Rafi, stb.
Ilyenkor vicces olvasni a hivatalos hörgők írásait, ahol a hagyományos bankok vérét kívánják. Továbbra is igaz, némi biztonság és szolgáltattás... jééééé... pénzbe kerül.
Wise/revolut védó vinnyogó kommentek... 3... 2....l 1...
Amúgy a wise is mocsok, amikor átutalást kaptam a Ryanairtől, és lockolták a számlát hogy mondjam meg nekik mi a fő bevételi forrásom mert pénzmosás blablabla.
Vitatkoztam velükhogy mi köze van a pénzmosáshoz ahhoz hogy nem a tranzakciót vizsgálják hanem turkálnak az anyagi hátteremben, és elkültem nekik a Ryanair levelét hogy a pénzt repülőgép késésért kaptam kártérítésként.
De a wise csak kötötte az ebet a karóhoz, hogy őket nem a blokkolt tranzakció háttere érdekli hanem a havi fizetésem.... addig nem is voltak hajlandóak feldoldani a zárat amig meg nem kapták a havi bérszámfejtésemet....
Nem szimpatikus.
MBH-nál vezetett céges számlánk brutálisan nagy költségei és az átállással kapcsolatos rengeteg szívás miatt pont' azon gondolkodtunk, hogy elkezdjük használni a kb. 1 éve regisztrált Wise számlát. Picit most elijesztettél ettől. Kereskedelmi cég vagyunk, Ft-ban értékesítünk Euróban vásárolunk, havi kb. 20 kimenő utalásunk van. Erre a célra van esetleg valakinek jó tippje?
Nekem a Wise egy dologra kell, az utazások miatt itt szoktam az árfolyamingadozások hatását csökkentve időszakosan pénzt váltani. Most éppen japán jent. Nekem kell különféle devizaszámla, illetve, hogy tudjak fizetni bankkártyával különböző devizákban. Sajnos a magyar bankok iszonyatosan le vannak maradva ezen a téren, így rákényszerítik az embert a fintech cégek szolgáltatásainak igénybevételére. A fintech cégek egy-két lépésre már rákényszerítettek a magyar bankokat, de még sokat kell fejlődniük mind szolgáltatásban, mind a szolgáltatás árazása területén.
Khm., anno a készpénz drágasága és használatának kockázata miatt próbálták terelni a népet az elektronikus fizetések felé, nos ez is rejt kockázatot, úgy látszik. Nyilván nem lehet mindent készpénzzel intézni, de nem feltétlenül ördögtől valók a klasszikus fizetési megoldások. Kérdés a svéd vagy a kínai biztonsági megoldások adaptálása, amely rendszerekben rendkívül alacsony a készpénzhasználat.
" a Raiffeisen Gold2 számlámnak pedig gyakorlatilag nincs semmi díja egész évben"
"1Számlavezetési díj a Premium Gold 2.0 Számlacsomagra vonatkozó feltételek nem teljesítése esetén: 13.845 Ft/hó"
Olyan, mint a hitelkártya. Egyszer úgy intézi a bank, hogy nem teljesíted a feltételeket, máris sikerül beszednie egy látható összeget.
Mit tud ez a bakszámla, ami havi 13.845Ft-ot ér?
Azért nem egy olyan agysebészet elutalni róla négyszázezret, aztán egy perc múlva visszautalni az összeget....
Ezt is csak akkor, ha valamiért nem érkezett rá pénz abban a hónapban.
De aki fizetést kap, annak jellemzően érkezik.
S négyszázezer már a budapesti átlagbér lassan, úgyhogy nem egy nagy kihívás.
"A NAV számlaszámát gyanúsnak találta, a csalók számlaszámai rendben vannak."
Ha tippelnem kellene, ez épp azért lett gyanús, mert hirtelen közel egy időben sok számláról akartak ugyanoda utalni, minden előzmény nélkül. Ez addig rendben is lenne, hogy az algoritmus ezen fennakad, ilyenkor kellene a humán felülvizsgálat kézzel. Ja, hogy az már élőerőt kíván, ami meg költség?
OTP - sms kód nem érkezett (mai napig), mégis el tudták utalni
nem tűnt fel nekik:
- idős ember számlája,
- teljesen nullára utalás, de a még a személyi hitelkeretet is elutalták
- mindez este
"készpénz, mindig"
Hát, ember legyen a talpán, aki képes válogatni a fenyegetések és a félelmek között.
Vajon a magyar állam a nagyobb kockázat, a 10 perc alatt kihirdetett és életbelépő törvénykezéssel, a kapzsi, mocskos, enyves kis kezével, vagy a cyber bűnözők világa, akik utaznak a telefonodon lévő banki alkalmazásokra.
Ha a fidesz nem b@ssza szét a bankrendszerbe vetet hitet és a bizalmat, és nem veti ki a világon egyedülálló tranzakciós adót, akkor nem szűnnek meg a 0 forintos számlák, nem szűnik meg a korlátlan ingyenes ATM (bár nem használnák annyian) és sokkal kevesebb ember kockáztatna neobankokkal nagyobb pénzt.
PS: a tranzakciós adó ötlete a hanyatló nyugatról jött, hogy lassítsa a forró tőke villám cikázását és 2008-as bankválság idején és CSAK a befektetési szolgáltatók közötti pattogtatás, meg a nagy tőke mozgatás lett volna megadóztatva. Józan gondolkodás után ezt elvetették, nem úgy a NER
Nekem a bankom ezt tudja, hogy ha új partnert veszek fel utaláshoz, akkor 24 órán belül nem lehet neki utalni, és kapok róla emailt, hogy új számlaszámra szeretnék utalni...
Koba, ennek kellene alapnak lennie mindenhol.
Melyik bank ez és mióta tudja?
Sidenote: az adót mindig kártyával fizetem, mert így nem kell díjat, illetéket fizetni, és cashback is lehet hogy járna ha lenne még arra alkalmas kártyám..
Nem is értem miért utal bárki (főleg aki minimálisan jártas a fintech világában) a NAV nak..
Blackjack, én is mindig kártyával fizettem, de most a könyvelő csinálta a bevallást és a számlaszámokat küldte.
Céges számlának használjuk a Wiset, elsődlegesként, sok millió Ft folyik át rajta, és tárolunk is rajta. Milyen alternatíva van? A Wise ingyenes utalással szemben a magyar bankban ~0,6%-os tranzakciós díjjal fut, és pénzváltásnál is sokat buknánk (meg buktunk is, amíg nem Wiset használtunk).
Egy jelszavas széf jó lenne Wiseon, vagy valami extra biztonság, pl nem lehet azonnal kivenni a széfből.
Én csak jót írhatok a wise céges számláról.
Nekem a NAV utalások rendben átmennek.
Pár hete viszont volt egy érdekes eset. Jöttek a telefonomra a push üzenetek, hogy valami nagy török webshopban probalgatnak vele vásárolni, de elutasitja mert nem stimmel a kártya lejárati dátuma. Azonnal tiltottam a kártyát és kitoltottem az appban a jelentést. Pár napon belül küldtek új kártyát.
Az érdekes az, hogy ez az eset közvetlenül azután történt amikor lejárat miatt új kártyám érkezett, eltelt pár nap, meg nem is aktivaltam mert nem értem rá, szóval valahol útközben leolvashattak a kártya adatokat, a lejárati időt talán nem sikerült.
A cikkben azt is írják, hogy érdemes autentikátort használni -pl . Microsoft, Google-. Van letöltve nekem is, de nem nagyon használom és ismerem. Egyébként a Wise kifejezetten ajánlotta. Ha van hozzáértő, írhatna erről ide, biztos sok embert érdekelne, mert iszonyatosan megnőtr a csalások száma.
Nagy számok törvénye. Azaz először is egy rendes bank valószínűleg minimum egy nagyságrenddel többet költ biztonságra, mint egy fintech, másrészt pedig én is Wise, Revo és társaikra lőnék csalóként, mert sokkal nagyobb a merítés az ügyfélkör tekintetében, mint egy hagyományos banknál, plusz a felhasználók sem feltétlenül veszik olyan komolyan a biztonságot, mint egy bank esetén.
Szerintem az ügyfél hibázott, valószínűleg szénné volt fertőzve mindkét eszköze. Az elég gáz, hogy a push-üzeneteket is manipulálni tudta a vírus. Az nem világos, hogy ebben az esetben hogy tudta ugyanaz a vírus összefertőzni mind a 2 eszközt. Bár, már olvastam olyat, hogy vannak olyan vírusok, amelyek képesek egy felhasználó több eszközét is megfertőzni. (Normál esetben a számítógépes bankolást biztonságosabbá teszi a mobilapp, amely a számítógéptől független csatornán kommunikál. Ebből a biztonsági szempontból.)
Mint Wise-fan és enyhén bank-ellenes, egyetértek, hogy a Wise játékszámla. (De nem bank!)
Nyilván az olcsóságnak az az ára, hogy gyakorlatilag nincs ügyfélszolgálat. Nagy pénzeket nem tennék rá.
Buzgomocsing, az Apple remekül szinkronizálja az eszközeit, s könnyű bekapcsolni is, ha éppen ki van kapcsolva. Ott azért könnyű megszerezni az SMS-t, mert a fertőzőtt gépen is megtekinthető az üzenet. Az eddig leírt esetekben mindig Iphone volt, ezért is lennék kíváncsi, hogy ez milyen telefon volt, de nem derül ki a cikkből.
Egy átlaguser, aki ráadásul magas beosztásban van, valószínűleg legalább negyven éves, mivel fertőzi tele a telefonját?
Nem töltöget apk fájlokat meg fizetős játékokat ingyé, gyanús helyről, csak hivatalos store-ból tölt le alkalmazásokat, max néhány tucatot, amit már egy évtizede használ.
Ha egy 14 éves telefonja lenne, elfogadom, hogy tele lehetett vírussal.
Nekem gyanús, hogy valami ordító nagy biztonsági rés van a telefonos rendszerben, ami még nincs befoltozva, de sokan tudnak már róla.
nav.gov.hu/ugyfeliranytu/szamlaszamok/szamlaszamok/nav-adoztatasi-szamlaszamok
Másodpercek alatt beazonosítható itt
Hajnalban OTP számlámat próbálták feltörni, néhány próbálkozás után 24 órára tiltották a webes internetbank belépést. Megkérdeztem, hogy mikor jutnak el oda, hogy passwordless belépést lehet használni hardver tokennel, nem kaptam kielégítő választ.
Ha nem tudod mi ez: vehetsz 15.000 Ft-ért egy usb-be dugható, NFC kompatibilis eszközt (pl yubikey), regisztrálod az alkalmazásba, onnantól felhasználónévvel, egy pin kóddal és a rajta lévő gomb megnyomásával tudsz bejelentkezni. Jelenleg a legbiztonságosabb megoldás, még phishing ellen is véd, mivel regisztráció után otbank.hu oldalra be tudsz vele lépni, otqbank.hu oldalra nem (egyik phishing módszer, hogy másolják az adott oldalt, és 1 betű különbséggel regisztrálják a domaint, kapsz egy emailt benne a linkkel, és azt hiszed jó helyen adod meg az adataid).
Ha el is lopják, néhány rossz PIN próbálkozás után az eszköz blokkol.
Véleményem és tapasztalatom szerint, egy magán felhasználó nem költ a gépe/telefonja védelmére.
Androidos telefonon, még kb senkit sem láttam, hogy futtatott volna vírusirtót (iphone-on nincs ilyen, ott ez nem téma).
De PC-nél is inkább mennek még most is a feltört programok, torrent, (ingyenes) pornó/szexoldalak, feltört/ingyenes vírusirtók, film letöltések, minthogy valaki néhány ezret fizetne vírus és malware védelemért. Így aztán egy Átlag Józsit, mindig is meg fognak tudni lopni, Windows Sandboxról még életükben nem hallottak. Apple/Mac usernek meg próbáld meg elmagyarázni, hogy arra is kellene védelem. Amíg itt tartunk, addig ilyen cikk naponta születhetne.
Nálam se Revolut, se Wise, se bankos app a mobilon. Bankoláshoz pedig nyomógombos butatelefon.
Most átnéztem a Wise fiókomat, és szerintem ezt a beállítást kell kikapcsolni hozzá, hogy ne lehessen a cookie ellopós módszerrel visszaélni, és minden bejelentkezéskor küldjön push üzenetet arcos azonosítással, vagy kérje a kódot az authenticator-ból.
Automatic verification
When you log in, we use your unique behaviors to confirm that it's you. It's fast and secure.
When you log in, you don’t always need to do 2-step verification. Our smart security checks protect your account in the background instead.
We monitor your location, the device you use, and how you interact with it. We even check how you type on your keyboard, which should be unique to you and hard for other people to copy.
We only ask for 2-step verification if we spot behaviour that doesn’t seem like you. So logging in is often faster, and just as secure.
A Settings / 2-step verification menüben van ez a kapcsoló.
@Tom Smykowski Nekem nyitaskor egyebkent azt igerte az ugyintezo, hogy ha valamiert nem jonne ber, par honapra fel tudja fuggeszteni a havidijat. De persze, utalsz ra egy masik szamlarol meg vissza. Nem erdekli oket honnan van a penz
@százegy
Ha authenticator-t használsz, akkor érdemes minden beállított fióknál kérni az egyszer használatos kódokat. (Ezeket kiírod papírra, kinyomtatod, vagy más módon elmented). Ezek arra jók, hogyha pl. tönkremegy a telefonod, vissza tudd szerezni a 2FA-vel megerősített fiókjaid felett az irányítást. Én a Google Authenticator-t használom. Itt 10 db, 8 karakter hosszú egyszer használatos kódot kapsz.
A Google appja könnyebben használható, mint a Microsoft-é, de pl. a Google-éban nincs lehetőség biometrikusan levédeni az appot. A Google appja menti a felhőbe az adatokat, a Microsoft appjában bejelentkezhetsz a Microsoft fiókjába és akkor menti a felhőbe, különben nem. A Microsoft appja egyúttal jelszó menedzser is - azt nem tudom, hogy ez a funkció mennyire biztonságos.
folyt. köv.
Nekem úgy rémlik, hogy hiába enged be a Wise a webes felületen simán jelszóval azonosított eszközről, utaláshoz már kell a telefonos jóváhagyás is. (Ráadásul push se jön, hanem meg kell nyitni az appot, hogy el lehessen fogadni.)
Röff, lehet, nem mentem tovább. De ha ellopják a sütiket, őket is ugyanilyen lazán beengedi. S amint látszik, tovább is tudtak menni.
@Kiszamolo
Miklós, ezért írtam azt, hogy ,,ebben az esetben". A cikk hiányos, mint a múltkori Revolutos, de mivel elfoglalt üzletasszonyról van szó, kevés idővel, kézenfekvő, hogy kösse össze az eszközeit.
Nem olyan nehéz összefertőzni a géped. Lehet, hogy stresszoldásként játszik néha a mobilon. A fizetős app is lehet vírusos.
A múltkor velem történt, hogy online kerestem egy bevált cipőt, hogy van-e még elfekvőben valahol, (Crocs). Az egyik oldalnál bejelzett a vírusírtó. A másik, ugyancsak legitimnek tűnő oldalnál az lett gyanús, hogy tudtam, hogy a gyártónak nincs magyar oldala. E második esetben nem lett kattintás.
Olyan eset is volt, hogy egy partner cég küldött pdf-et, nem releváns tartalommal, a pdf-ben nyomógombbal. Szerencsére ez a pdf csak kattintásra fertőzött volna. Kiderült, hogy a partner rendszere fel volt törve.
Nagyon észnél kell lenni számítógép használatakor.
Ismerőnek betörtek a streaming fiókjába, emiatt pánikszerűen elkezdtem pánikolni:
- a Androidomon a chrome jelszó szinkronizálás be volt kapcsolva, pedig biztosan kikapcsoltam, igaz, hogy az előző telefonomon az előző androidban, nade akkor is WFT?
- (tudtam eddig is, csak nem sejtettem) hiába tiltom ki a whatsapp/akármivelüzenek applikációkat a telefon hozzáférésből, olvassák továbbra is az SMS-eket és a telefont, csak a telefonkönyvhöz nem férnek hozzá
- a bank ISMÉT megerősítette, hogy az a 2 faktoros azonosítás, hogy az applikáción indított tranzakciót az applikáción keresztül kell jóváhagyni, dupla WTF?
Kényelmetlen következtetések:
- legalább 3 de inkább 5 jelszót kell fejből tudni, max. otthon egy fecnire fölírni, nem hordani
- semmi püi applikáció, bankolás mint a múlt században
- külön SIM, teló, e-mail, pc-user pénzügyekre
- no net a bankolós telefonon, WIFI sem!
Azért nem "hétköznapi" hogy asztali gépet/laptopot és mobilt egyszerre fertőzzön meg valami, de honann van az feltételezés hogy a a nem-mobil-eszközét is megfertőzte valami. Első átfutásra nekem ez jön le hogy ott már csak a jelenséget látta és aztán kizárták az elkövetők a fiókjából jleszó és emailcserével.
Nem teljes egzakt a szöveg, de úgy tűnik hogy a jegyvásárlást mobilról végezte a károsult.
Jó lenne tudni hogy android vagy iphone volt a mobil.
Valahogy tudatosítani kellene minél több embernek hogy okostelefonra, ha van rajta érzékeny adat és/vagy banki alkalmazás - kötelező lenne rákölteni még azt a pár ezer forintot vírusvédelemre (ha már úgyis százezer körüli összeget költ rá).
De azt hiszem ez hiú ábránd.
Amúgy is leszokóban vannak az emberek és csak a mobilt használják.
Amúgy ott azért könyebb elgépelni és észrevenni is ha 1-2 betű eltér az oldal címében.
(folyt)
Egyébként a Wise-nál van lehetőség másik fél autentikátor alkalmazását használni, elérhető a Microsoft és a Google alkalmazása is
A webes felüelten lehet ezt összekötni.
@százegy
folyt.
Pár videó az authenticatorokról, amik elég jó képet adnak a témáról:
youtube.com/watch?v=BqgfMWJCLNQ
youtube.com/watch?v=i-KpVEnkt3o
youtube.com/watch?v=1yfTj2BtUfI
A felhőbe mentés egy fura mellékhatása: a Google fiók 2FA-t is a Google appjába mentettem. Most tudatosult bennem, hogy ez is a felhőbe megy. Ha belegondolok, akkor ez körkörös hivatkozás. Talán felül kellene vizsgálnom a biztonsági szokásaimat...
Ha nem ódzkodsz a teljes körű mobilapptól, akkor Wise-ra a Wise app biometrikus hitelesítéssel elvileg jobb, mint az auth. app. Bár bejelentkezéskor, utaláskor lehet kérni sms-t is, ha a 2FA valamiért nem működik. A gáz az, hogy Erste-nél is így működik a bejelentkezés(!?).
A készpénz a szabadság utolsó záloga. -Ezt sose feledjétek, mert ki akarják vezetni. Onnantól végünk.
@moltiszanti
"de elutasitja mert nem stimmel a kártya lejárati dátuma.
...
Az érdekes az, hogy ez az eset közvetlenül azután történt amikor lejárat miatt új kártyám érkezett, eltelt pár nap, meg nem is aktivaltam mert nem értem rá, szóval valahol útközben leolvashattak a kártya adatokat, a lejárati időt talán nem sikerült."
Vagy inkább épphogy sikerült, csak mivel még nem aktiváltad az újat és annak az adataival próbáltak fizetni, nem stimmelt a lejárat, mert az még a régi kellett volna, hogy legyen.
Angliában sem fenékig tejfel:
bbc.com/news/business-67149919
"As such, three and a half months on from when the money was stolen, the business has not been refunded by the bank, there have been no arrests and there is no sign of any further investigation."
Most újra elolvastam a korábbi posztban példaként állított új szabályozást, hogy a bank fizet, mint a katonatiszt. Na az még nincs is, csak a tervek szerint lesz 2024-től. Maximum értékkel. Önrésszel. És persze súlyos gondatlanság esetén nem fizet a bank.
@Yubikey
Pár tárgyi tévedés.
1) A Yubikey alapesetben nem passwordless. Lehet Windows-loginra (Windows Hello) beállítani passwordlesst, de netes szolgáltatásoknál nem. Fő módja a 2FA második faktor, ezenkívül ezerféleképp lehet konfigurálni.
2) A Yubikey lényegében egy USB-s eszköz, ami gombnyomásra karaktersort tud kiírni. A böngésző ezt továbbítja a szolgáltatás felé. De ha megnyitsz egy szövegszerkesztőt, akkor oda fogja írni az egyszer használatos karaktersort.
A Yubikey szolgáltatás része a Yubico szerver, amely részt vesz az authentikációban.
Nyugodtan elhagyhatod az eszközt, mert a megtalálója nem fogja tudni, hogy mely accounthoz van kötve, illetve az első faktort, a jelszót. Ha nem ismered az illető személyt, az egyedüli károd, hogy elvesztettél egy pár ezer forintot érő hardvert. És ő örül, mert elkezdheti használni a saját accountjaihoz.
folyt. köv.
@Yubikey
folyt.
Amennyiben elvesztetted a Yubikeyt, célszerű minden egyes szolgáltatásodban törölni, ahol beállítottad. Egyrészt, mert felesleges, hogy ott legyen, másrészt meg hátha mégsem teljesen ismeretlen ember kezébe került a kütyü. (Ez feltételezi, hogy több eszközöd is van, vagy máshogy is be tudsz jutni az accountokba).
Az eszköz biztosan nem blokkolja magát, esetleg a Yubico szerver, de erről nem olvastam.
A Yubikey write-only eszköz, és a hardver csak a konfigurálást engedi. Ezt a Yubikey saját programjával lehet megtenni. Tehát a hardver fizikailag nem tudja kiadni magából a belső, egyedi titkos kulcsot. A hardver magából a kriptográfiai számítások eredményét adja ki, de kizárólag gombnyomásra.
Extra védelemként némileg drágábban lehet ujjlenyomattal védett Yubikeyt is kapni. Ez természetesen csak akkor engedi ki a karaktereket, ha stimmel az ujjlenyomat.
Azzal egyetértek, hogy legyen normális ügyfélszolgálat, de a digitálisan analfabéta felhasználók miatt nem szeretném 26 féle módon hitelesíteni magam minden apró szar miatt. Én szeretek vpn-t használni és akkor sem akarok hitelesítesekkel pöcsölni ha éppen egy másik eu országban vagyok és pont utalnom kell. Bőven elég egy biztonságos jelszó és keylogger mentes eszköz, én az sms baszakodást is utálom. Az a gyanúm ezek a "lebuktató" cikkek megrendelt hangulatkeltések a fintech cégek ellen.
@moltiszanti Felmerült bennem is, hogy sok esetben benne lehetnek belsősök is.
@gaborr Pedig van pl én. ESET nod fut androidos telón, nem túl drága. Azért telepítettem, mert megszaporodtak a csaló SMS-ek, egyiket majdnem besz#&tam. Magától blokkol, ellenőriz, szól, tilt, stb. Ajánlom mindenkinek.
Yubikey: már ne haragudj, de alapvetően ostobaság banki felületet linkről megnyitni. aki lusta begépelni nyolc-tíz karaktert a böngészőbe és egy kamu linkkel bukja a pénzét, megérdemli.
Mashol mar olvastam errol az esetrol elemzest. Valoszinuleg a csalok a sajat telefonjukat is hozzaadtak valahogy megbizhato eszkoznek. Utana pedig mindket telefonra kiment a jovahagyo ertesites es miutan a csalo jovahagyta az aldozat telefonjarol vissza lett vonva. Ezert latta fel-fel villanninaz ertesiteseket. Nem a telefonja lett feltorve, megfertozve. A kerdes inkabb az, hogyan azonositottak a csalok a sajat alkalmazasukat az ugyfel neveben.
Az osszes korabban is felsorolt temanal, ennel is csak annyi a tortenet h nem kezelik a helyukon a dolgokat. Amikor elindul, elterjed egy uj megoldas forradalmi, mindent elsopro, mindenre is jo csodaszerkent allitjak be. A marketingosztalyok, a veluk egyuttmukodo mediumok, blogok, influenszerek. Aztan az analog vilagban mar (okkal) kialakult fekek, kontrollok teljes hianya miatt a csodaszer visszasullyed abba ami valojaban: egy felkesz megoldasba, aminek a felkeszsege, mukodo, de occsositott szerkezetet jelent, csak emiatt alacsonyabb aron uzemeltetheto. Egy ideig. Ezeknek a fejlodese idovel bekovetkezik, de a rarakodo koltsegek miatt huudenagyonolcso mar nem lesz. Amig ez a korforgas fennall addig ez lesz. Majd lesz uj, amit megint lehet majd istenitenie az ujsagoknak penzert, sok olvasot szerezve egyuttal, aztan lehet fikazni, megint csak velemenykozosseget epiteni es olvasotabort vonzani, megint csak penzert. Mindkettoben megvan a media felelossege, a bloggereket is beleszamitva, elobb a csoda ustokosrol, aztan az analog kepviselokrol gombolva le a penzt, akik viszont mindketten a civileket huzkodjak. A fogyasztonak kell tudatosabbnak lenni: ez meg ez olcsobb mert ez meg ez hianyzik belole. Az meg az dragabb, mert benne van az meg az. Nem pedig a messias es az eredendoen gonosz parharcoknak kell felfogni.
@szazegy wise.com/help/articles/2932125/how-do-i-change-my-step-verification-settings
A Wise alkalmazás is, mint a Revolut, egyidőben egyszerre több telefonon is használható.
Magyar banki alkalmazásnál ilyen pl. a MHB (ExBB), Erste George, Államkincstár.
Csak egy telefonra regisztrálható fel egyidőben a CIB, Gránit Bank.
A többivel nincs tapasztalatom. Szerintem az utóbbi is egy biztonságot növelő faktor. Kényelmesebb és életszerű több telefonon használni, de ezt is lehetne korlátozni. Természetesen nem segít, ha az illető telefonját elérik.
Nem védve a Revolutot. Egyszer a fiamnál elakadt valami. Képernyőt pl. a Skype nem engedett osztani, és be akartam jelentkezni 200 km-ről messzebbről az ő fiókjába. Mindenféle plusz megerősítő lépéssel lehetett csak.
A Wise, még leánykori néven Transferwise, kb. öt éve is felfüggesztette a számlát néhány eurós tranzakcióknál és forrást kért 🙂 A Revolut meg egy 2-3 ezer eurós utaláskor. Így érthetetlen ez a 17 millió.
Az utolsó munkahelyemen a 370.000 Ft-os iPhone helyett egy 80.000 Ft-os Samsung Galaxy XCover 5-öt kértem. Magam sem tudom, hogy miért, az biztos, hogy nem tetszik az a terror, hogy az iPhone-okra nem tehetsz fel saját fileokat (vagy csak valami nagyon nyakatekert módon), illetve nem árulnak dual sim készüléket (bár úgy tudom, hogy ezt is valahogy meghekkelve megoldották). Illetve a kezem is kis méret és a pingpongütő méretű telefonok nem illenek hozzá.
Azután a döntés jól jött, mert az iPhone-t nyilván nem vettem volna meg féláron távozáskor, így van egy új/jó/törhetetlen/olcsó készülékem.
De az Apple pay visszaélések kiatt kizárt, hogy valaha az életben iPhone-t vegyek. Fintech cégek dettó, nem éri meg azért az akár 1-2% előnyért, hogy digitális bűnözők ellopják a pénzedet, amit utána egy nemzetközi, ügyfélszolg nélküli, alig létező cégnél kelljen ilyen körök lefutásával visszakérnem
Kicsit hangulatkeltőnek érzem a cikknek ezen részét:
"gond nélkül megheckelték a csalók a telefonos appot. (Sajnos a telefon típusa nem derül ki a cikkből.) A jelenség alapján vagy az ő telefonja volt megfertőzve, vagy ami valószínűbb, duplikálták az appot"
Míg a Forbes cikkében ez áll: "Elképzelhető tehát, hogy Eszter egy ilyen hamisított Wise oldalra lépve nézte meg az aktuális egyenlegét, a csalók pedig hozzáfértek az elsődleges adataihoz (név, számlaszám stb.)."
és
"Egy másik teória szerint Eszter gépe már korábban megfertőződött. A Revolut-dosszié korábbi epizódjaiban előjött már a trójai – financial RAT, azaz financial remote access trojan – szoftverek szerepe."
Kedves Miklós, a számítógép volt fertőzött a cikkben állított 2 lehetőség szerint, aminél nem releváns a telefon típusa. A 2 teória közül az első kivédhető különböző adblock kiegészítőkkel.
De, releváns. Ugyanis hiába fertözőtt a gép, nem fér hozzá ahhoz az SMS-hez vagy push üzenethez, ami kell, hogy fel tudja tenni egy új telefonra az appot.
Kivéve az Apple-t, amelyik agyon szinkronizálja az üzeneteket a készülékek között. Ha éppen ki is van kapcsolva a Macbookon, könnyen be lehet kapcsolni, ha fertőzött a gép. Így jutnak hozzá a szükséges üzenethez, hogy új telefonra telepítsék a banki appot.
Eddig mindig Iphone-ja volt az áldozatoknak, de nem biztos, hogy ez a rejtély kulcsa.
Ezért fontos, hogy milyen telefonja volt.
A kommenteket elolvasva is rengeteg az általánosítás, okoskodás, főleg olyan dolgokkal kapcsolatban amik 1 perc alatt kideríthetőek. Ne menjünk le bulvár szintre, hogy melyik oprendszer akár telefonon, akár számítógépen miért szar, mert teljesen más a felépítésük. (láttunk Androidon is olyan súlyos hibát amiért 70.000 USD-t fizetett a Google a magyar biztonsági szakembernek 1 éve)
Youtube-on elérhetőek olyan csatornák amik az online biztonsággal foglalkoznak, akár magyar nyelven is az Egy hacker naplója vagy angolul az All things secured. Nem árt néha frissíteni a tudást!
@moltiszanti Tegnap belefutottam egy osztrák raiffeisenes bankkártyába, amin nem volt cvc kód.Először nem hittem el hogy van ilyen. Hisz lennie kell rajta. Addig nézegettem míg gyanús lett az a papírcsík ahol alá kell írni. Rávilágítottam a telefon vakujával és bizonyos szögben lehetett látni a 3 számot. Ezt biztos azért találták ki hogy borítékon keresztül ne lehessen leolvasni.