Mam chwilowo ROR w ING. Wszyscy wiemy, że Śląski autoryzuje przelewy
kodami sms wybiórczo. Bardzo wybiórczo. Na kilkanaście przelewów
przyszły mi chyba ze dwa smsy. Nawet gdy przelewałem do obcego banku
kilkanaście tysięcy i był to pierwszy przelew na to konto, i nie miałem
go wsród swoich odbiorców, to poszło bez smsa.
Dzisiaj przeszli samych siebie.Przelewam kilka tysięcy na moje konto w
Aliorze. Ten sam nadawca co i odbiorca. Wysłali smsa. Wtłukłem go w
okieneczko. Poszłoo.....
Ale chwila, chwila. Otworzyło się następne czerwone okienko , w którym
napisali, że ponieważ jest to przelew WYSOKIEGO RYZYKA, muszę wpisać
jeszcze jeden sms, który przyjdzie mi na komórkę.
Rozumiem, że bank może mieć wątpliwości. Ale co daje wysłanie drugiego
smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z
komórki, to będzie też chyba umiał wpisać drugiego smsa. (Jeżeli ma moja
komórkę) Jakiś inny sposób upewnienia się bym zrozumiał. Ale tego nie
rozumiem.
Czy ktos moze mnie oświeci? Bo ja nie kumam tego systemu ING.

do góry

W dniu 2013-08-28 10:56, wiatrak pisze:

> smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z
> komórki, to będzie też chyba umiał wpisać drugiego smsa. (Jeżeli ma moja
> komórkę) Jakiś inny sposób upewnienia się bym zrozumiał. Ale tego nie
> rozumiem.
> Czy ktos moze mnie oświeci? Bo ja nie kumam tego systemu ING.

Nie Ty jeden :)

Już to roztrząsałem parę lat temu.
O ile chwilami można łyknąć brak autoryzacji przy drobnych kwotach - np.
<100zł dla PayU, który poniekąd może być "globalnie zaufanym odbiorcą",
to ten podwójny SMS na ten sam telefon nie ma najmniejszego
merytorycznego uzasadnienia. Gdyby np żądało "nazwiska panieńskiego
matki", najlepiej wybranych 2-3 liter - to bym jeszcze rozumiał.

Ale algorytm "kiedy żądać SMSa" jest tajny i nic się w banku nie
dowiesz. Ot - taki folklor. Faktycznie "mądry inaczej".
Tfurca systemu dobrze się zabezpieczył, żeby trudniej było mu zarzucić
partactwo.


--

Dziękuję. Pozdrawiam. sqlwiel.

do góry

Dnia Wed, 28 Aug 2013 10:56:13 +0200, wiatrak napisał(a):

>Ale co daje wysłanie drugiego
> smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z
> komórki, to będzie też chyba umiał wpisać drugiego smsa.

niekoniecznie. w miedzyczasie moze zejsc np. na zawal serca... wtedy jestes
uratowany... cwane i przebiegłe...

--
jg

do góry

Dnia Wed, 28 Aug 2013 10:56:13 +0200, wiatrak napisał(a):

> Rozumiem, że bank może mieć wątpliwości. Ale co daje wysłanie drugiego
> smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z
> komórki, to będzie też chyba umiał wpisać drugiego smsa. (Jeżeli ma moja
> komórkę) Jakiś inny sposób upewnienia się bym zrozumiał. Ale tego nie
> rozumiem.

Podejrzewam, że chodzi o zabezpieczenie antyphishingowe. W ten sposób
blokujesz formularze i wirusy zbudowane tak, by wyłudzić tylko jedno hasło
jednorazowe.

--
Borys Pogoreło
borys(#)leszno,edu,pl

do góry

> Czy ktos moze mnie oświeci? Bo ja nie kumam tego systemu ING.

To ja jeszcze dorzucę swoje 3 grosze. Dziś próbowałem zastrzec kartę.
Dzwonię i mówię, że chce zastrzec, a pani na to, że z jakiego powodu, no
to ja, że karta przestała mi być potrzebna i już jej nie chcę. Na to
pani, że ona nie może zastrzec, bo tylko w przypadku zgubienia lub
kradzieży i zaprasza do oddziału. Ba, gdybym miał w mieście oddział, to
bym nie zastrzegał, tylko od razu zlikwidował!

No to bez większego problemu i pytań zastrzegłem przez www.
--
Grzexs

do góry

Dnia Wed, 28 Aug 2013 18:28:05 +0200, Borys Pogoreło napisał(a):

> Dnia Wed, 28 Aug 2013 10:56:13 +0200, wiatrak napisał(a):
>
>> Rozumiem, że bank może mieć wątpliwości. Ale co daje wysłanie drugiego
>> smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z
>> komórki, to będzie też chyba umiał wpisać drugiego smsa. (Jeżeli ma moja
>> komórkę) Jakiś inny sposób upewnienia się bym zrozumiał. Ale tego nie
>> rozumiem.
>
> Podejrzewam, że chodzi o zabezpieczenie antyphishingowe. W ten sposób
> blokujesz formularze i wirusy zbudowane tak, by wyłudzić tylko jedno hasło
> jednorazowe.

Nie rozumiem. To znaczy wiem, jak działają strony phishingowe, ale nie
rozumiem, jak wysyłanie kolejnego hasła ma przed nimi zabezpieczać. Od
strony banku wyglądałoby to przecież tak, że wysyła (pierwsze) hasło do
użytkownika, ale już od niego nie otrzymuje tego hasła w formie wpisanej w
formularzu powiązanym z tym hasłem. (bo przejmuje je strona phishingowa, by
wykorzystać w innym celu). W takim razie skąd bank ma wiedzieć, czy już ma
wysłać drugie hasło?
Jeśli użytkownik wpisał (pierwsze) hasło, to znaczy, że hakierom nie udało
się tego hasła przechwycić, albo zrobili to nieudolnie, bo użytkownik
autoryzował to, co miał autoryzować i hasła nie uda się złoczyńcom
wykorzystać ponownie. Po co słać drugie?
w.

do góry

Użytkownik "wiktor" napisał w wiadomości grup
dyskusyjnych:r7pl2rcvmoso$.1tzpiewld87e5$.dlg@40tude
.net...

> Nie rozumiem. To znaczy wiem, jak działają strony phishingowe, ale nie
> [...]

Tak jak napisał Borys. Pomimo ewentualnego użycia przejętego hasła przez
skrypt, akcja która ma zostać przez to hasło "obsłużona" nie zostanie
wykonana, bo skrypt nie jest w stanie obsłużyć żądania jakiegoś dodatkowego
hasła.

do góry

Dnia Wed, 28 Aug 2013 20:07:44 +0200, MarekZ napisał(a):

> Użytkownik "wiktor" napisał w wiadomości grup
> dyskusyjnych:r7pl2rcvmoso$.1tzpiewld87e5$.dlg@40tude
.net...
>
>> Nie rozumiem. To znaczy wiem, jak działają strony phishingowe, ale nie
>> [...]
>
> Tak jak napisał Borys. Pomimo ewentualnego użycia przejętego hasła przez
> skrypt, akcja która ma zostać przez to hasło "obsłużona" nie zostanie
> wykonana, bo skrypt nie jest w stanie obsłużyć żądania jakiegoś dodatkowego
> hasła.

Wyjaśniłeś dokładnie zero. Nie chce mi się pisać ponownie moich zastrzeżeń.
Z bogiem!

do góry

Dnia Wed, 28 Aug 2013 18:40:38 +0200, Grzexs napisał(a):

> Dzwonię i mówię, że chce zastrzec, a pani na to, że z jakiego powodu, no
> to ja, że karta przestała mi być potrzebna i już jej nie chcę. Na to
> pani, że ona nie może zastrzec, bo tylko w przypadku zgubienia lub
> kradzieży i zaprasza do oddziału. Ba, gdybym miał w mieście oddział, to
> bym nie zastrzegał, tylko od razu zlikwidował!

Podobnie jest w BZWBK. Gdy konsultantka wyłuszczyła swoje procedury, głosem
pełnym żalu stwierdziłem, że karta właśnie wypadła mi przez okno i ją
zgubiłem, a na nieśmiały protest stwierdziłem, że rozmowa się nagrywa i
jeśli odmówi zastrzeżenia, a ktoś dokona transakcji moją kartą, będzie
miała kłopoty. Dalej poszło gładko, aczkolwiek pani chyba się obraziła. :)

AK

do góry

wiatrak napisał(a) w wiadomości: ...
>[...]
> Rozumiem, że bank może mieć wątpliwości. Ale co daje wysłanie drugiego
>smsa na ta samą komórkę. Skoro złodziej wpisał pierwszego smsa z
>komórki, to będzie też chyba umiał wpisać drugiego smsa. (Jeżeli ma moja
>komórkę) Jakiś inny sposób upewnienia się bym zrozumiał. Ale tego nie
>rozumiem.
> Czy ktos moze mnie oświeci? Bo ja nie kumam tego systemu ING.

Ktoś nie przemyślał procedur.
O ile pamiętam kiedyś dobił mnie sposób aktywacji kanałów dostępu - info
przez SMS włączyć można było tylko przez internet a nie mozna było w oddziale...

Może nieco mniej głupie ale równie irytujące - próba założenia lokaty w Meritum
po zmianie nr telefonu, pisałem kiedyś na grupie:
http://www.finanse.egospodarka.pl/grupy/procedury-Me
ritum,t,380675,8.html#

Arek

do góry