Kiedyś do zatwierdzania transakcji był kod przysyłany przez sms.

Potem zmienili na zatwierdzanie pinem w aplikacji.

A teraz ni z tego ni z owego przyszedł sms z linkiem do strony banku,
żeby tam się zalogować. WTF? To ma być bezpieczniej? Skąd ja wiem, czy
'citi.me' to jest strona banku?

Anulowałem i za drugim razem już poszło normalnie przez aplikację.

MJ

do góry

On Thu, 19 May 2022 18:53:40 +0200, Michał Jankowski wrote:
> Kiedyś do zatwierdzania transakcji był kod przysyłany przez sms.
>
> Potem zmienili na zatwierdzanie pinem w aplikacji.
>
> A teraz ni z tego ni z owego przyszedł sms z linkiem do strony banku,
> żeby tam się zalogować. WTF? To ma być bezpieczniej? Skąd ja wiem, czy
> 'citi.me' to jest strona banku?
>
> Anulowałem i za drugim razem już poszło normalnie przez aplikację.

Aby na pewno był to citek?

to city.me wyglada na jakas hackerską strone ... wiec sprawdz dlaczego
cie tam przekierowalo ...


J.

do góry

W dniu 19.05.2022 o 19:02, J.F pisze:
> On Thu, 19 May 2022 18:53:40 +0200, Michał Jankowski wrote:
>> Kiedyś do zatwierdzania transakcji był kod przysyłany przez sms.
>>
>> Potem zmienili na zatwierdzanie pinem w aplikacji.
>>
>> A teraz ni z tego ni z owego przyszedł sms z linkiem do strony banku,
>> żeby tam się zalogować. WTF? To ma być bezpieczniej? Skąd ja wiem, czy
>> 'citi.me' to jest strona banku?
>>
>> Anulowałem i za drugim razem już poszło normalnie przez aplikację.
>
> Aby na pewno był to citek?
>
> to city.me wyglada na jakas hackerską strone ... wiec sprawdz dlaczego
> cie tam przekierowalo ...
>
>
> J.

Nie, trochę koloryzuję, oni naprawdę takim adresem się posługują. Ale
tak czy owak uważam, że jakąś głupotę odstawili.

MJ

do góry

czwartek, 19 maja 2022 o 19:18:21 UTC+2 Michał Jankowski napisał(a):
> W dniu 19.05.2022 o 19:02, J.F pisze:
> > On Thu, 19 May 2022 18:53:40 +0200, Michał Jankowski wrote:
> >> Kiedyś do zatwierdzania transakcji był kod przysyłany przez sms.
> >>
> >> Potem zmienili na zatwierdzanie pinem w aplikacji.
> >>
> >> A teraz ni z tego ni z owego przyszedł sms z linkiem do strony banku,
> >> żeby tam się zalogować. WTF? To ma być bezpieczniej? Skąd ja wiem, czy
> >> 'citi.me' to jest strona banku?
> >>
> >> Anulowałem i za drugim razem już poszło normalnie przez aplikację.
> >
> > Aby na pewno był to citek?
> >
> > to city.me wyglada na jakas hackerską strone ... wiec sprawdz dlaczego
> > cie tam przekierowalo ...
> >
> >
> > J.
> Nie, trochę koloryzuję, oni naprawdę takim adresem się posługują. Ale
> tak czy owak uważam, że jakąś głupotę odstawili.

W citku już od dawna nie ma potwierdzania transakcji netowych "zwykłym" kodem z SMSa.
Miała być tylko apka, ale krzyk się podniósł, więc złośliwe debile "poprawili" - do
wyboru jest też SMS, ale z linkiem do zalogowania się w ST i potwierdzenia.
Cóż, mam inne KK.
Inna sprawa, że ostatnio przy netowym płaceniu KK MC santandera w ogóle nie mam
3D-secure...

A Ty pewnie dostałeś SMSa z linkiem bo akurat apka Ci się rozłączyła albo coś innego
nie zagrało - a potem sję naprawiło.

do góry

W dniu 19.05.2022 o 22:00, Dawid Rutkowski pisze:

> A Ty pewnie dostałeś SMSa z linkiem bo akurat apka Ci się rozłączyła albo coś
innego nie zagrało - a potem sję naprawiło.

Bardzo być może, ale zmienianie przez bank sposobu zatwierdzania
operacji na coś, czego ze mną nie uzgadniał, to jest głęboka pomyłka
(nawet jeśli to tylko na jedną transakcję).

MJ

do góry

czwartek, 19 maja 2022 o 22:23:18 UTC+2 Michał Jankowski napisał(a):
> W dniu 19.05.2022 o 22:00, Dawid Rutkowski pisze:
> > A Ty pewnie dostałeś SMSa z linkiem bo akurat apka Ci się rozłączyła albo coś
innego nie zagrało - a potem sję naprawiło.
> Bardzo być może, ale zmienianie przez bank sposobu zatwierdzania
> operacji na coś, czego ze mną nie uzgadniał, to jest głęboka pomyłka
> (nawet jeśli to tylko na jedną transakcję).

Racja, dawaj reklamację.
Swoja drogą ciekawe, czy udałoby się zatwierdzić...

do góry

On Thu, 19 May 2022 22:23:16 +0200, Michał Jankowski wrote:
> W dniu 19.05.2022 o 22:00, Dawid Rutkowski pisze:
>> A Ty pewnie dostałeś SMSa z linkiem bo akurat apka Ci się rozłączyła albo coś
innego nie zagrało - a potem sję naprawiło.
>
> Bardzo być może, ale zmienianie przez bank sposobu zatwierdzania
> operacji na coś, czego ze mną nie uzgadniał, to jest głęboka pomyłka
> (nawet jeśli to tylko na jedną transakcję).

Hm, jak tak pamietam, to troche takich zmian bylo.
tokeny, listy kodow, sms, teraz apki ... niby za moja zgodą,
mialem wybor - moglem zamowic kolejną liste za 30 zl :-)

J.

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Miała być tylko apka, ale krzyk się podniósł, więc złośliwe debile
> "poprawili" - do wyboru jest też SMS, ale z linkiem do zalogowania się
> w ST i potwierdzenia.

To jest w ogóle bardzo niebezpieczny mechanizm - uczy klientów klikania
w linki z SMSów. Tej wady nie ma 3DS z kodem w SMSie - jeśli nawet ktoś
przejmie treść takiego SMSa, to najwyżej zatwierdzi konkretną
transakcję, są limity itd. Natomiast podstawiając klientowi fałszywą
sesję można zrobić praktycznie wszystko.
Tej wady nie ma także apka w telefonie, aczkolwiek oczywiście ma inną,
jeśli jest to urządzenie, które jednocześnie służy do zlecania operacji
i ich zatwierdzania.
--
Krzysztof Hałasa

do góry

W dniu 21.05.2022 o 13:06, Krzysztof Halasa pisze:
> Dawid Rutkowski <d...@w...pl> writes:
>
>> Miała być tylko apka, ale krzyk się podniósł, więc złośliwe debile
>> "poprawili" - do wyboru jest też SMS, ale z linkiem do zalogowania się
>> w ST i potwierdzenia.
>
> To jest w ogóle bardzo niebezpieczny mechanizm - uczy klientów klikania
> w linki z SMSów. Tej wady nie ma 3DS z kodem w SMSie - jeśli nawet ktoś
> przejmie treść takiego SMSa, to najwyżej zatwierdzi konkretną
> transakcję, są limity itd. Natomiast podstawiając klientowi fałszywą
> sesję można zrobić praktycznie wszystko.
> Tej wady nie ma także apka w telefonie, aczkolwiek oczywiście ma inną,
> jeśli jest to urządzenie, które jednocześnie służy do zlecania operacji
> i ich zatwierdzania.

Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka na
komputerze' plus 'aplikacja'.

Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na swoim
telefonie.

MJ

do góry

Michał Jankowski <m...@f...edu.pl> writes:

> Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
> komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka
> na komputerze' plus 'aplikacja'.

Normalnie mogłaby być nieco mniej bezpieczna, SMSy nie były do tego
projektowane. Można je przechwycić w różnych miejscach, duplikaty SIM
itd. Ale:

> Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
> to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
> swoim telefonie.

Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
powinno być to takie łatwe.

Oczywiście 100% bezpieczeństwa nigdzie nie ma. Ale tak na moje oko,
układ z dwoma oddzielnymi urządzeniami (pecet + telefon) jest dość
bezpieczny. Problem zaczyna się wtedy, gdy to jest to samo urządzenie.
--
Krzysztof Hałasa

do góry