Założyłem konto,
utworzyłem odbiorcę,
zleciłem przelew wewnętrzny na konto innej osoby w ING,
zrealizowane.

Ani razu nie proszono mnie o kod SMSowy, czy to norma w ING?

Czyli jak ktos wbije na konto ING to znając hasło główne może wyprowadzić pieniądze z
banku?!

do góry

W dniu 2013-06-19 18:32, az.anonim pisze:

> Ani razu nie proszono mnie o kod SMSowy, czy to norma w ING?

Tak. Tzn "tajny algorytm". Nie zawsze żąda drugiej autoryzacji.

> Czyli jak ktos wbije na konto ING to znając hasło główne może wyprowadzić pieniądze
z banku?!

Jak będzie miał szczęście... :)



--

Dziękuję. Pozdrawiam. Zgred.

do góry

Użytkownik "zgred" napisał w wiadomości grup
dyskusyjnych:51c1df51$0$1230$6...@n...neostrada
.pl...

> Jak będzie miał szczęście... :)

I odpowiednie IP.

do góry

W dniu 2013-06-19 19:53, MarekZ pisze:
> Użytkownik "zgred" napisał w wiadomości grup
> dyskusyjnych:51c1df51$0$1230$6...@n...neostrada
.pl...
>
>> Jak będzie miał szczęście... :)
>
> I odpowiednie IP.
A jaki jest "odpowiedni" przy korzystaniu z mobilnego?


--

Dziękuję. Pozdrawiam. Zgred.

do góry

Przy małych kwotach 10 - 50 zł z reguły mnie nie pyta o smskod, przy kwotach rzędu
200 - 500 zł jest duże szanse że zapyta, a przy dużych kwotach (np. 10000 zł)
zwłaszcza do osób do których wcześniej nie był robiony przelew potrafiło dla
równowagi zapytać dwa razy i dwa razy kazać potwierdzać.

Reasumując: raczej to koniec końców bezpieczne chociaż moją pierwszą reakcją również
była irytacja.

C.

do góry

W dniu 2013-06-19 20:51, C. pisze:
> Przy małych kwotach 10 - 50 zł z reguły mnie nie pyta o smskod, przy kwotach rzędu
200 - 500 zł jest duże szanse że zapyta, a przy dużych kwotach (np. 10000 zł)
zwłaszcza do osób do których wcześniej nie był robiony przelew potrafiło dla
równowagi zapytać dwa razy i dwa razy kazać potwierdzać.
>
> Reasumując: raczej to koniec końców bezpieczne chociaż moją pierwszą reakcją
również była irytacja.
>
> C.
>

przy kwotach do 2000zł pytało chyba raz na 10 razy - przynajmniej przy
koncie firmowym. Ale to było pół roku temu, po wykryciu przeze mnie tej
luki najszybciej jak mogłem przestałem z tego konta korzystać.

--
Pozdrawiam
Lukasz

do góry

Dnia Wed, 19 Jun 2013 20:31:06 +0200, zgred napisał(a):

> A jaki jest "odpowiedni" przy korzystaniu z mobilnego?

Nie chodzi tutaj o "jaki" czy tam "odpowiedni". Podejrzewam, że ich
system robi sobie profil dla każdego klienta osobno i przykładowo, jeżeli
logujesz się cały czas z tego samego adres IP, tej samej przeglądarki etc
no można sobie dużo takich kwalifikatorów wymyślić, to decyduje czy
potrzeba dodatkowej autoryzacji czy nie.



--
xbartx

do góry

W dniu 2013-06-20 17:47, xbartx pisze:
> Dnia Wed, 19 Jun 2013 20:31:06 +0200, zgred napisał(a):
>
>> A jaki jest "odpowiedni" przy korzystaniu z mobilnego?
>
> Nie chodzi tutaj o "jaki" czy tam "odpowiedni". Podejrzewam, że ich
> system robi sobie profil dla każdego klienta osobno i przykładowo, jeżeli
> logujesz się cały czas z tego samego adres IP, tej samej przeglądarki etc
> no można sobie dużo takich kwalifikatorów wymyślić, to decyduje czy
> potrzeba dodatkowej autoryzacji czy nie.

Owszem. Ten algorytm może być całkiem sensowny i sam tu kiedyś pisałem,
że odpowiada mi to, że płacąc w PayU nie muszę łapać za telefon i
przeklepywać hasła z SMSa.
Być może ktoś korzystający z mobilnego / dynamicznego nie ma takich
udogodnień, albo ma je dużo rzadziej.

Jednak przelew na pierwszy raz zasilan konto z dynamicznego IP powinien
ZAWSZE wymagać autoryzacji. Czy ktoś miał przypadek temu przeczący?

A hasła do logowania trzeba pilnować. (Kropka). A jak jest maskowane, to
ma podwyższoną odporność. No i zmieniać czasem też nie zaszkodzi.



--

Dziękuję. Pozdrawiam. Zgred.

do góry

Dnia Thu, 20 Jun 2013 18:03:25 +0200, zgred napisał(a):

> Owszem. Ten algorytm może być całkiem sensowny i sam tu kiedyś pisałem,
> że odpowiada mi to, że płacąc w PayU nie muszę łapać za telefon i
> przeklepywać hasła z SMSa.
> Być może ktoś korzystający z mobilnego / dynamicznego nie ma takich
> udogodnień, albo ma je dużo rzadziej.
>
> Jednak przelew na pierwszy raz zasilan konto z dynamicznego IP powinien
> ZAWSZE wymagać autoryzacji. Czy ktoś miał przypadek temu przeczący?

Wiesz IP może być jedną z kilkunastu albo i więcej składowych, które
decydują. Można np. sprawdzać czy jest zawsze z puli tego samego
operatora. Poza tym jeżeli chodzi o aplikację mobilną, to ona sama z
siebie może generować unikalne ID czy coś tam na zasadzie konto<>telefon.
No jak wspomniałem pole do popisu jest ogromne, więc nie ma co tak
demonizować tego ING i jego algorytmu, bo chyba jak na razie to jeszcze
nikt się na nich nie poskarżył, że ktoś obcy kasę z konta przelał, nie
wiadomo jak?



--
xbartx

do góry

W dniu 2013-06-20 20:10, xbartx pisze:

>> Jednak przelew na pierwszy raz zasilan konto z dynamicznego IP powinien
>> ZAWSZE wymagać autoryzacji. Czy ktoś miał przypadek temu przeczący?
>
> Wiesz IP może być jedną z kilkunastu albo i więcej składowych, które
> decydują. Można np. sprawdzać czy jest zawsze z puli tego samego
> operatora.

No i dowiesz się z whois, że "Telekomunikacja Polska". :) Jakieś drobne
30% użytkowników internetu w PL. :)

Poza tym jeżeli chodzi o aplikację mobilną, to ona sama z
> siebie może generować unikalne ID czy coś tam na zasadzie konto<>telefon.

Nie wiem na ile przeciętnym użytkownikiem jestem, ale uzywam w necie
kilku komputerów i 2 telefonów. Owszem, to nadal jest jakaś pula tych
ID-ów, ale to się mnoży przez ilość używanych urządzeń.

Powtarzam: pomysł z heurystycznym algorytmem jest OK, ale niegłupie
byłoby jakieś "forum" do wrzucania pomysłów na scenariusze fraudów, cy-cóś.

> No jak wspomniałem pole do popisu jest ogromne, więc nie ma co tak
> demonizować tego ING i jego algorytmu, bo chyba jak na razie to jeszcze
> nikt się na nich nie poskarżył, że ktoś obcy kasę z konta przelał, nie
> wiadomo jak?

p.b.b to jeszcze nie 100% klientów banku, a jeśli by doszło do wyrwania
kasy, to bank będzie stawał na uszach, żeby to się nie rozniosło. Np.
"uznamy reklamację, a pan zobowiąże się do zachowania zdarzenia w
tajemnicy".




--

Dziękuję. Pozdrawiam. Zgred.

do góry