Co do interfejsu WWW w Firefoxie pod Windows to on już dłużej niż kilka miesięcy poprawnie działa pod tą przeglądarką.
Co do smsów: ja już raz dostałem SMSa jak przelewałem sobie z mojego RORa na konto oszczędnościowe 1000zł. Genialny algorytm, który nawet nie rozpoznaje, że obydwa konta były moje.
Co do wychodzących przelewów to z tego co pamiętam to narazie największy przelew na jakies obce konto jaki mi poszedł bez sms był na 480zł. Muszę z kimś zaufanym spróbować więcej przelać ;-)
Pit: generalnie wszystko się sprowadza do tego, że jeśli złapiesz na swoim komputerze odpowiednio spreparowane dziadostwo to Twoje pieniądze nie będą bezpieczne - a jedynym zabezpieczeniem jest SMS potwierdzający, który zawiera szczegóły transakcji. Owszem, teoretycznie takiego SMSa dałoby się pewnie podłożyć manipulując siecią GSM, ale to by oznaczało że atak by musiał dotyczyć pojedynczej osoby - coś całkowicie nieprawdopodobnego. Natomiast nie ma niczego niezwykłego w ataku na grupę użytkowników jakiegoś banku.
Ataki phishingowe na Lukasa? Proszę bardzo: https://di.com.pl/news/21507,8.html
Nie licz więc, że token magicznie Cię uchroni przed wszelkim złem - owszem uchroni przed zwykłym keyloggerem, ale już nie przed specjalizowanym spywarem służącym do okradania klientów Lukasa.
Jestem ciekaw w jaki sposob algorytm ocenia ryzyko. jesli przyjac ze uczy sie na pamiec historii przelewow, zwyczajow to jaki to problem zajrzec do historii rachunku i napisac program ktory rowniez oceni ryzyko :) Wtedy bedzie mozna robic przelewy na lewo i prawo. Hhehehe.
Michał Piszczek stwierdził, że...: "System nie popełnił błędu, to użytkownik zlecił obydwa przelewy. Obydwie kwoty są bardzo małe, a co za tym idzie, ryzyko banku również".
Obie kwoty małe? Dla kogoś te 200 zł to może być czasem dużo. Sam przelewałem kiedyś kwotę powyżej 1000zł na całkowicie nieznany temu "inteligentnemu" systemowi nr konta i poszło bez zająknięcia, a na przelew zdefiniowany (SIC!!!) na kwotę poniżej 50zł dostałem smsa!!! by potwierdzić 8-ooooo
A dla banku to żadnej różnicy nie ma jak widać. Co mnie obchodzi ryzyko banku? To MOJE pieniądze się mogą stracić.
Teraz te "oszczędności" na smsach się mszczą - świadomi ludzie uciekają stamtąd.
~Marciano: "chyba bym się zajechał jak bym miał przy każdym przelewie odbierać smsa."
Mega LOL
Tak, tak odbieranie smsa to ciężka harówa. Wklepanie kodu by potwierdzić transakcję to już hiper wyczyn. Gratuluję...hmmm sam nie wiem czego bo wysiadłem jak to czytałem.
Ja już dawno nawiałem z ING. Jestem już w innym banku i uważam że moje pieniądze są tam dużo bezpieczniejsze.
Teraz mam potwierdzenie każdej niezdefiniowanej transakcji na jakąkolwiek kwotę (nawet 1 gr) smsem z dodatkowymi danymi przeprowadzanej transakcji - nr konta, data, kwota.
Zmiana zdefiniowanych przelewów wymaga autoryzacji kodem z otrzymanego smsa.
Duzo zostalo powiedziane co do zabezpieczen SMS, porusze dla odmiany inny aspekt bezpieczenstwa:
ING jako jeden z niewielu bankow w PL nie wykupilo dla swojego serwisu certyfikatu SSL z tzw "Extended Validation". Certyfikat taki jest drozszy, co zapewne zawazylo na decyzji ING.
Z punktu widzenia uzytkownika serwis z certyfikatem EV oznaczony jest w przegladarce "zielonym paskiem" gwarantujacym wyzszy poziom bezpieczenstwa.
Do niedawna nie byl to powazny problem, ale po publikacji w koncu grudnia na CCC informacji o slabosciach SSL w wyniku stosowania MD5(nie bede tu wchodzil w szczegoly techniczne) dostepna jest metoda podrobienia certyfikatu, tak ze nie bedzie to widoczne dla uzytkownikow(z wyjatkiem tych ktorzy sprawdzaja za kazdym razem wystawce certyfikaut). Przed tym atakiem zabezpieczaja certyfikaty EV, gdyz maja one sztywno okreslone grupy wystawcow spelniajacych wyzsze wymagania bezpieczenstwa i w przypadku zastapienia certyfikatu wystawionym przez innego wystawce uzywajacego MD5(np rapid) zniknie "zielony pasek", co ostrzeze uzytkownika.
Chetnie zobaczylbym odpowiedz przedstawiciela ING na pytanie: dlaczego ryzykuja nasze bezpieczenstwo dla oszczedzenia kilkuset zl rocznie.
Szkoda ze zaden ekspert nie wzial pod uwage, ze wiele przelewow dla nas nowych jest dla banku standardowymi - dla nas pierwszy zakup na allegro, dla banku np 10 tysieczny w ciagu 2 lat przelew na dobrze znane konto super sprzedawcy. A to tylko maly przyklad zbytnio subiektywnego spojrzenia na system bezpieczenstwa.
Mam konto zabezpieczone SMSami a drugie zdrapkami. To pierwsze choć wygodne i wydaje się być pewnym, zobowiązuje do nadzwyczajnego traktowania komórki - należy kasować natychmiast po użyciu, otrzymany kod z banku bo w wypadku utraty telefonu możemy być narażeni na kolejne ataki. Zdrapki są mniej wygodne i trzeba kontrolować czy nie zostały skompromitowane. Jeżeli któraś nie użyta przez nas jest ujawniona, natychmiast należy unieważnić całą kartę kodów! Na 100% jestem pewien, że będzie już za późno! Tokeny uważam za kpinę z bezpieczeństwa, tak samo jak i podpis kwalifikowany w obecnej postaci, jak i proponowanej w przyszłości, jako wpisany do czipa dowodu osobistego. Podsumowując, nie wierzę w jakiekolwiek bezpieczne uwierzytelnianie, czy to biometryczne, czy zerojedynkowe, czy manualne długopisowe. Zawsze będzie liczył się zdrowy rozsadek, trzeźwość umysłu i unikanie zagrożeń, choćby takich jak ING.
Identyczne przemyślenia miałem po paru dniach od wprowadzenia tego pseudo zabezpieczenia.
Gdy zmieniłem hasło autoryzacji na weryfikację smsem, byłem pewien że przy każdej transakcji dostanę smsa - jak w mbanku.
Ale się niestety zdziwiłem. Zrobiłem wszystkie miesięczne płatności - brak smsa.
Dzwonię do boku, że to nie działa.
- Nie nie, to jest super nowoczesny tajny algorytm, który wie kiedy wysłać smsa.
- Ale ja chcę wrócić do hasła.
- Nie ma takiej możliwości.
No to potestowałem to zabezpieczenie.
Pogooglowałem za nr kont, zrobiłem sobie listę i próbuję robić przelew.
Dane fikcyjne, numer znaleziony w necie, kwoty przeróżne - od drobnych, do KILKA RAZY WIĘKSZYCH od tych które miesięcznie płacę.
Klikam wykonaj przelew i pojawia się monit:
Weryfikacja nie jest wymagana, kliknij Wyślij aby zrealizować przelew (albo jakoś tak).
Prób było ok 14, dostałem 1 (jednego!) smsa.
Po tygodniu odwiedziłem oddział i zrezygnowałem z rachunku.
Kilka faktów (gdy jeszcze miałem konto)
Oprocentowanie: ING 0%, mbank 2 albo 3%
Opłata za konto: ING 1 zł, mbank 0 zł
Opłata za kartę: ING 1 zł, mbank 0 zł
Potwierdzenie przelewu smsem: ING - bez komentarza, mbank, przy każdej transakcji
Podajcie chociaż jeden powód dlaczego warto tam mieć konto.