eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiING Bank Slaski i ich "bezpieczny" system
Ilość wypowiedzi w tym wątku: 97

  • 31. Data: 2008-03-08 08:29:44
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl>

    Sigma napisał(a):

    > Ja sadzę, że ING Bank online jest bardzo bezpieczny. Jeszcze nigdy
    > niczego nie przepuścił. Zawsze przy wysyłaniu przelewu wpisuję swój
    > klucz. Ponadto jak Java źle dziala, to w ogóle w przelewy się nie
    > wejdzie. Nawet przelewu wzorcowego nie zapiszesz jak nie masz swojego
    > klucza...itd.

    Mówimy tutaj o *NOWEJ* metodzie autoryzacji - za pomocą kodów
    jednorazowych, a nie haseł. Po drugie przy nowej metodzie nie potrzebujesz
    nawet mieć zainstalowanej Javy.

    --
    Pozdrawiam
    chairon


  • 32. Data: 2008-03-08 08:40:51
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl>

    lwh napisał(a):

    > Myślę, że jesteś przewrażliwiony.

    Być może, ale lepiej mieć jedną barierę do pokonania więcej niż mniej.

    > Nie zakładasz, że przygotowany złodziej może ukraść Ci
    > komórkę, skopiować kartę SIM, zeskimowac kartę ?

    Jeśli mówimy o tym w kontekście ING BankOnLine, to nadal musiałby poznać
    główne hasło logowania do systemu, aby z tego zrobić użytek. A kartę można
    wymienić na inną przy zachowniu dotychczasowego numeru. Więc jeśli chodzi
    o ING BankOnLine to ktoś musiałby mieć naprawdę ogromnego pecha - zostać
    okradzionym z komórki, a na dodatek złodziej musiałby też poznać główne
    hasło logowania, co jest moim zdaniem mało prawdopodobne.

    > Nie zakładasz, ze bandzior może ci przystawić "argument" i wyciągniesz
    > dla niego papiery z bankomatu ?

    Dlatego mój sąsiad nie ma karty i wypłaca pieniądze w okienku :)

    > W takim mbank masz autoryzację każdego przelewu zewnętrznego, ale
    > wzorcowych nie.

    No dobra, tutaj się zgadzam. Ale w ING nie jestem proszony o autoryzację
    nawet dla przelewów zewnętrznych (rachunki używane po raz pierwszy) dopóki
    kwota <500 zł. To chyba coś nie tego z tym, nie?

    > W ING BSK blankiet zlecenia przelewu z podpisem wrzucało się do
    > skrzynki. Zaradny mógł sobie wyjąć i wyprodukować cudzych więcej
    > kopiując podpis - w końcu każdy się nauczy podrabiać cudzy w stopniu
    > wystarczającym. Bank grafologów nie zatrudnia, a panienka z okienka
    > zbyt długo się nie przygląda.

    Nie korzystałem z tego.

    > Osobiście uważam, ze to co jest w ING jest zadowalające. Są gorsze
    > rozwiązania, a znakomicie lepszych i nie upierdliwych nie znam - nawet
    > nie mam pomysłu jakby to trzeba zrobić.

    Usuwanie zleceń wymagało (i nadal wymaga) autoryzacji. Tylko wcześniej
    trzeba było podać hasło do klucza, a uprzednio go wczytać jeśli ktoś nie
    przechowywał na serwerze banku. Przynajmniej ode mnie system zawsze tego
    wymagał, kiedy zlecenie stałe usuwałem.

    --
    Pozdrawiam
    chairon


  • 33. Data: 2008-03-08 09:26:27
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: januszek <j...@p...irc.pl>

    chairon napisał(a):

    > Nie! Bzdurą jest moim zdaniem to co sami piszą na swoich stronach, że
    > "robiąc kolejny przelew do... nie musisz ponownie podawać żadnych haseł.
    > Robiąc przelew na numer rachunku, który nigdy wcześniej nie był przeze
    > mnie wykorzystywany też nie zostałem poproszony o autoryzację. Wnioski
    > wyciągnij sam.

    Ciężko oceniać nie znając algorytmu. Bo jeżeli "kolejny" przelew oznacza
    przelew wykonywany w tej samej sesji logowania do systemu to takie
    rozwiązanie jest korzystne dla klienta. Weź tu pod uwagę, że tak
    naprawdę krzywdę w tej dziedzinie ludzie robią zwykle sobie sami bo w
    90% przypadków nie do końca rozumieją narzędzie, którego używają.

    > Na pewno nie jest sprawdzany numer IP, bo robiłem próby wysyłania przelewu
    > z komputera będącego w zupełnie innej sieci i również system nie wysłał
    > kodu. Zresztą w dobie Neostrady porównywanie IPków nie ma sensu.

    Skąd wiesz? Masz jakieś doświadczenie w atakach na banki? ;)

    > Słuchaj! Nie jestem jeszcze tatusiem :) i z komputera w domu korzystam
    > tylko ja. W zasadzie do ING BankOnLine loguję się tylko i wyłącznie w
    > domu, więc o to że ktoś mi wykradnie hasło raczej się nie obawiam.
    > Bardziej chodziło mi o hipotetyczną sytuację kiedy ktoś (w dodatku mało
    > doświadczony) korzysta z bankowości w miejscach publicznych lub w jednym
    > konkretnym miejscu przez jakiś okres czasu (czasowy pobyt poza domem,
    > szkolenia, delegacje, itp.). Gdyby się zdarzyło, że na takim komputerze
    > zainstalowany jest keylogger, to potencjalna ofiara nie ma szans się
    > ochronić, bo w końcu szpiegujący zdobędzie kompletne hasło. Przy
    > poprzedniej metodzie autoryzacji i przechowywaniu pliku-klucza na nośniku
    > przenośnym sprawa była o wiele trudniejsza, bo przechwycenie tegoż pliku
    > już takie proste nie jest.

    Krótko mówiąc pianę bijesz w obronie hipotetycznego bliźniego swego? ;P

    j.


  • 34. Data: 2008-03-08 09:30:41
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: januszek <j...@p...irc.pl>

    chairon napisał(a):

    > No dobra, tutaj się zgadzam. Ale w ING nie jestem proszony o autoryzację
    > nawet dla przelewów zewnętrznych (rachunki używane po raz pierwszy) dopóki
    > kwota <500 zł. To chyba coś nie tego z tym, nie?

    No to teoretycznie, skoro nie było autoryzacji to możesz zgodnie z
    prawem reklamować w banku taką transakcję ;) Bo może przecież być tak,
    że Bank uznał, że przekręty na takie kwoty są w skali jego działalności
    tak "wielkie", że taniej będzie to klientom od ręki wypłacać niż płacić
    operatorom komunikacyjnym za smsy ;) Teraz kluczowe pytanie: czytałeś co
    pisze w regulaminie o autoryzowaniu takich właśnie transakcji? ;)

    j.


  • 35. Data: 2008-03-08 10:53:08
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl>

    januszek napisał(a):

    > Ciężko oceniać nie znając algorytmu. Bo jeżeli "kolejny" przelew oznacza
    > przelew wykonywany w tej samej sesji logowania do systemu to takie
    > rozwiązanie jest korzystne dla klienta.

    Od czasu do czasu kupuję coś na Allegro i płacąc za to loguję się do
    systemu. Wykonywany przelew jest więc pierwszym w danej sesji, a na
    dodatek za każdym razem na inny rachunek. Jeszcze nigdy nie zostałem
    poproszony o autoryzowanie takiego przelewu.

    > Krótko mówiąc pianę bijesz w obronie hipotetycznego bliźniego swego? ;P

    Nie, uważam tylko, że w tej chwili jedyną barierą aby wykonać dyspozycje
    na rachunku jest znajomość loginu i hasła. A moim zdaniem tak nie powinno
    być.

    --
    Pozdrawiam
    chairon


  • 36. Data: 2008-03-08 11:05:10
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: januszek <j...@p...irc.pl>

    chairon napisał(a):

    > Od czasu do czasu kupuję coś na Allegro i płacąc za to loguję się do
    > systemu. Wykonywany przelew jest więc pierwszym w danej sesji, a na
    > dodatek za każdym razem na inny rachunek. Jeszcze nigdy nie zostałem
    > poproszony o autoryzowanie takiego przelewu.

    http://www3.ingbank.pl/u235/navi/36097

    I jest tam napisane:

    Pełny algorytm oceny transakcji jest poufny i nie jest udostępniany
    Klientom. Ocena dyspozycji internetowych uwzględnia m.in. takie
    parametry jak:
    - kwota transakcji,
    - rachunek beneficjenta,
    - łączna suma kwot kolejnych transakcji,
    - rodzaj składanej dyspozycji,
    - historia wykonywanych transakcji.

    Co oznacza, w opisanym przez Ciebie przypadku, że system uznał, że
    zachowujesz się jak zawsze i co za tym idzie nie ma potrzeby wykonywać
    autoryzacji ;)

    >> Krótko mówiąc pianę bijesz w obronie hipotetycznego bliźniego swego? ;P

    > Nie, uważam tylko, że w tej chwili jedyną barierą aby wykonać dyspozycje
    > na rachunku jest znajomość loginu i hasła. A moim zdaniem tak nie powinno
    > być.

    Coż, myślę, że powinieneś zmienić bank. Sugeruję coś w Szwajcarii ;P

    j.


  • 37. Data: 2008-03-08 11:07:15
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl>

    januszek napisał(a):

    > czytałeś co pisze w regulaminie o autoryzowaniu takich
    > właśnie transakcji? ;)

    No właśnie problemy w tym, że IMO nic na ten temat nie pisze :)
    Zapis w Rozdział 7, pkt. 1, ust. 2 mówi jedynie o tym, że kod jest
    przesyłany wtedy, kiedy dana operacja wymaga autoryzacji. Rozdział 8 o
    sytuacjach awaryjnych pomijam, bo zakłada on, że użytkownik musiałby być
    świadomy, że jego poufne dane dostały się w niepowołane ręce. Na temat
    odpowiedzialności Banku wobec transakcji nie wymagających autoryzacji, co
    do których użytkownik zgłosiłby zastrzeżenie, też nie znalazłem żadnej
    wzmianki.

    --
    Pozdrawiam
    chairon


  • 38. Data: 2008-03-08 11:12:31
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl>

    januszek napisał(a):

    > Pełny algorytm oceny transakcji jest poufny i nie jest udostępniany
    > Klientom. Ocena dyspozycji internetowych uwzględnia m.in. takie
    > parametry jak:

    > - kwota transakcji,

    Zdecydowanie tak.

    > - rachunek beneficjenta,

    Tutaj bym się nie zgodził.

    > - łączna suma kwot kolejnych transakcji,

    Być może rzeczywiście tak jest, co nie zmiania faktu, że potencjalny
    włamywacz mógłby wykonać przynajmniej jeden przelew na swój rachunek na
    kwotę 499,99 zł. Zakładam bowiem, że system zlicza kwoty kolejnych
    transakcji i każda kolejna dyspozycja przelewu spowodowała by osiągnięcie
    kwoty 500 zł. Być może wtedy rzeczywiście byłby wymóg autoryzacji.

    > Co oznacza, w opisanym przez Ciebie przypadku, że system uznał, że
    > zachowujesz się jak zawsze i co za tym idzie nie ma potrzeby wykonywać
    > autoryzacji ;)

    Ciekawa teoria :)

    --
    Pozdrawiam
    chairon


  • 39. Data: 2008-03-08 11:15:02
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: januszek <j...@p...irc.pl>

    chairon napisał(a):

    >> czytałeś co pisze w regulaminie o autoryzowaniu takich
    >> właśnie transakcji? ;)

    > No właśnie problemy w tym, że IMO nic na ten temat nie pisze :)
    > Zapis w Rozdział 7, pkt. 1, ust. 2 mówi jedynie o tym, że kod jest
    > przesyłany wtedy, kiedy dana operacja wymaga autoryzacji. Rozdział 8 o
    > sytuacjach awaryjnych pomijam, bo zakłada on, że użytkownik musiałby być
    > świadomy, że jego poufne dane dostały się w niepowołane ręce. Na temat
    > odpowiedzialności Banku wobec transakcji nie wymagających autoryzacji, co
    > do których użytkownik zgłosiłby zastrzeżenie, też nie znalazłem żadnej
    > wzmianki.

    Co oznacza, że nie miałbyś dużego problemu z odzyskaniem utraconych
    pieniędzy w wyniku wykonania przez "hackera" operacji o jakich pisałeś
    ;)

    A teraz zerknij do FAQ Systemu, gdzie pisze:

    "- Dlaczego nie mogę poznać algorytmu wg którego Bank uznaje, czy
    dyspozycja wymaga autoryzacji?

    Ogólna zasada działania algorytmu nie jest poufna. Bank profiluje
    zachowanie Klienta i bazując na kluczowych parametrach transakcji
    takich jak: konto beneficjenta, kwota, rodzaj dyspozycji, historia
    transakcji, suma kwot kolejnych dyspozycji itd. ustala, czy realizowana
    transakcja należy do grupy transakcji małego ryzyka.

    Szczegóły algorytmu nie są udostępniane, by przy tej okazji nie
    przekazywać wiedzy przestępcom internetowym. Dodatkowo reguły systemu
    nie są ustalone raz na zawsze, są dostosowywane do nowych typów
    zagrożeń."

    Króko mówiąc: zostałeś sprofilowany i najwyraźniej Twoje operacje
    zostały zaliczone do grupy niskiego ryzyka. Nie martwi Cię to, że Cię
    tak mocno sprofilowali? ;P

    j.


  • 40. Data: 2008-03-08 11:25:41
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl>

    januszek napisał(a):


    > Co oznacza, że nie miałbyś dużego problemu z odzyskaniem utraconych
    > pieniędzy w wyniku wykonania przez "hackera" operacji o jakich pisałeś
    > ;)

    Myliłem się. Jest o tym wzmianka w Regulaminie.

    ------------------------------------
    Rozdział: Zasady odpowiedzialności § 69, pkt. 1 Bank nie ponosi
    odpowiedzialności za:

    ust. 4) zrealizowanie dyspozycji przekazanej za pośrednictwem systemu
    bankowości elektronicznej przez osoby nieuprawnione, chyba że dyspozycja
    nastąpiła bez winy użytkownika systemu bankowości elektronicznej;/
    ------------------------------------


    Tylko udowodnij im, że nastąpiła bez Twojej winy. To moim zdaniem nie jest
    proste.

    --
    Pozdrawiam
    chairon

strony : 1 ... 3 . [ 4 ] . 5 ... 10


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1