Sigma napisał(a):

> Ja sadzę, że ING Bank online jest bardzo bezpieczny. Jeszcze nigdy
> niczego nie przepuścił. Zawsze przy wysyłaniu przelewu wpisuję swój
> klucz. Ponadto jak Java źle dziala, to w ogóle w przelewy się nie
> wejdzie. Nawet przelewu wzorcowego nie zapiszesz jak nie masz swojego
> klucza...itd.

Mówimy tutaj o *NOWEJ* metodzie autoryzacji - za pomocą kodów
jednorazowych, a nie haseł. Po drugie przy nowej metodzie nie potrzebujesz
nawet mieć zainstalowanej Javy.

--
Pozdrawiam
chairon

do góry

lwh napisał(a):

> Myślę, że jesteś przewrażliwiony.

Być może, ale lepiej mieć jedną barierę do pokonania więcej niż mniej.

> Nie zakładasz, że przygotowany złodziej może ukraść Ci
> komórkę, skopiować kartę SIM, zeskimowac kartę ?

Jeśli mówimy o tym w kontekście ING BankOnLine, to nadal musiałby poznać
główne hasło logowania do systemu, aby z tego zrobić użytek. A kartę można
wymienić na inną przy zachowniu dotychczasowego numeru. Więc jeśli chodzi
o ING BankOnLine to ktoś musiałby mieć naprawdę ogromnego pecha - zostać
okradzionym z komórki, a na dodatek złodziej musiałby też poznać główne
hasło logowania, co jest moim zdaniem mało prawdopodobne.

> Nie zakładasz, ze bandzior może ci przystawić "argument" i wyciągniesz
> dla niego papiery z bankomatu ?

Dlatego mój sąsiad nie ma karty i wypłaca pieniądze w okienku :)

> W takim mbank masz autoryzację każdego przelewu zewnętrznego, ale
> wzorcowych nie.

No dobra, tutaj się zgadzam. Ale w ING nie jestem proszony o autoryzację
nawet dla przelewów zewnętrznych (rachunki używane po raz pierwszy) dopóki
kwota <500 zł. To chyba coś nie tego z tym, nie?

> W ING BSK blankiet zlecenia przelewu z podpisem wrzucało się do
> skrzynki. Zaradny mógł sobie wyjąć i wyprodukować cudzych więcej
> kopiując podpis - w końcu każdy się nauczy podrabiać cudzy w stopniu
> wystarczającym. Bank grafologów nie zatrudnia, a panienka z okienka
> zbyt długo się nie przygląda.

Nie korzystałem z tego.

> Osobiście uważam, ze to co jest w ING jest zadowalające. Są gorsze
> rozwiązania, a znakomicie lepszych i nie upierdliwych nie znam - nawet
> nie mam pomysłu jakby to trzeba zrobić.

Usuwanie zleceń wymagało (i nadal wymaga) autoryzacji. Tylko wcześniej
trzeba było podać hasło do klucza, a uprzednio go wczytać jeśli ktoś nie
przechowywał na serwerze banku. Przynajmniej ode mnie system zawsze tego
wymagał, kiedy zlecenie stałe usuwałem.

--
Pozdrawiam
chairon

do góry

chairon napisał(a):

> Nie! Bzdurą jest moim zdaniem to co sami piszą na swoich stronach, że
> "robiąc kolejny przelew do... nie musisz ponownie podawać żadnych haseł.
> Robiąc przelew na numer rachunku, który nigdy wcześniej nie był przeze
> mnie wykorzystywany też nie zostałem poproszony o autoryzację. Wnioski
> wyciągnij sam.

Ciężko oceniać nie znając algorytmu. Bo jeżeli "kolejny" przelew oznacza
przelew wykonywany w tej samej sesji logowania do systemu to takie
rozwiązanie jest korzystne dla klienta. Weź tu pod uwagę, że tak
naprawdę krzywdę w tej dziedzinie ludzie robią zwykle sobie sami bo w
90% przypadków nie do końca rozumieją narzędzie, którego używają.

> Na pewno nie jest sprawdzany numer IP, bo robiłem próby wysyłania przelewu
> z komputera będącego w zupełnie innej sieci i również system nie wysłał
> kodu. Zresztą w dobie Neostrady porównywanie IPków nie ma sensu.

Skąd wiesz? Masz jakieś doświadczenie w atakach na banki? ;)

> Słuchaj! Nie jestem jeszcze tatusiem :) i z komputera w domu korzystam
> tylko ja. W zasadzie do ING BankOnLine loguję się tylko i wyłącznie w
> domu, więc o to że ktoś mi wykradnie hasło raczej się nie obawiam.
> Bardziej chodziło mi o hipotetyczną sytuację kiedy ktoś (w dodatku mało
> doświadczony) korzysta z bankowości w miejscach publicznych lub w jednym
> konkretnym miejscu przez jakiś okres czasu (czasowy pobyt poza domem,
> szkolenia, delegacje, itp.). Gdyby się zdarzyło, że na takim komputerze
> zainstalowany jest keylogger, to potencjalna ofiara nie ma szans się
> ochronić, bo w końcu szpiegujący zdobędzie kompletne hasło. Przy
> poprzedniej metodzie autoryzacji i przechowywaniu pliku-klucza na nośniku
> przenośnym sprawa była o wiele trudniejsza, bo przechwycenie tegoż pliku
> już takie proste nie jest.

Krótko mówiąc pianę bijesz w obronie hipotetycznego bliźniego swego? ;P

j.

do góry

chairon napisał(a):

> No dobra, tutaj się zgadzam. Ale w ING nie jestem proszony o autoryzację
> nawet dla przelewów zewnętrznych (rachunki używane po raz pierwszy) dopóki
> kwota <500 zł. To chyba coś nie tego z tym, nie?

No to teoretycznie, skoro nie było autoryzacji to możesz zgodnie z
prawem reklamować w banku taką transakcję ;) Bo może przecież być tak,
że Bank uznał, że przekręty na takie kwoty są w skali jego działalności
tak "wielkie", że taniej będzie to klientom od ręki wypłacać niż płacić
operatorom komunikacyjnym za smsy ;) Teraz kluczowe pytanie: czytałeś co
pisze w regulaminie o autoryzowaniu takich właśnie transakcji? ;)

j.

do góry

januszek napisał(a):

> Ciężko oceniać nie znając algorytmu. Bo jeżeli "kolejny" przelew oznacza
> przelew wykonywany w tej samej sesji logowania do systemu to takie
> rozwiązanie jest korzystne dla klienta.

Od czasu do czasu kupuję coś na Allegro i płacąc za to loguję się do
systemu. Wykonywany przelew jest więc pierwszym w danej sesji, a na
dodatek za każdym razem na inny rachunek. Jeszcze nigdy nie zostałem
poproszony o autoryzowanie takiego przelewu.

> Krótko mówiąc pianę bijesz w obronie hipotetycznego bliźniego swego? ;P

Nie, uważam tylko, że w tej chwili jedyną barierą aby wykonać dyspozycje
na rachunku jest znajomość loginu i hasła. A moim zdaniem tak nie powinno
być.

--
Pozdrawiam
chairon

do góry

chairon napisał(a):

> Od czasu do czasu kupuję coś na Allegro i płacąc za to loguję się do
> systemu. Wykonywany przelew jest więc pierwszym w danej sesji, a na
> dodatek za każdym razem na inny rachunek. Jeszcze nigdy nie zostałem
> poproszony o autoryzowanie takiego przelewu.

http://www3.ingbank.pl/u235/navi/36097

I jest tam napisane:

Pełny algorytm oceny transakcji jest poufny i nie jest udostępniany
Klientom. Ocena dyspozycji internetowych uwzględnia m.in. takie
parametry jak:
- kwota transakcji,
- rachunek beneficjenta,
- łączna suma kwot kolejnych transakcji,
- rodzaj składanej dyspozycji,
- historia wykonywanych transakcji.

Co oznacza, w opisanym przez Ciebie przypadku, że system uznał, że
zachowujesz się jak zawsze i co za tym idzie nie ma potrzeby wykonywać
autoryzacji ;)

>> Krótko mówiąc pianę bijesz w obronie hipotetycznego bliźniego swego? ;P

> Nie, uważam tylko, że w tej chwili jedyną barierą aby wykonać dyspozycje
> na rachunku jest znajomość loginu i hasła. A moim zdaniem tak nie powinno
> być.

Coż, myślę, że powinieneś zmienić bank. Sugeruję coś w Szwajcarii ;P

j.

do góry

januszek napisał(a):

> czytałeś co pisze w regulaminie o autoryzowaniu takich
> właśnie transakcji? ;)

No właśnie problemy w tym, że IMO nic na ten temat nie pisze :)
Zapis w Rozdział 7, pkt. 1, ust. 2 mówi jedynie o tym, że kod jest
przesyłany wtedy, kiedy dana operacja wymaga autoryzacji. Rozdział 8 o
sytuacjach awaryjnych pomijam, bo zakłada on, że użytkownik musiałby być
świadomy, że jego poufne dane dostały się w niepowołane ręce. Na temat
odpowiedzialności Banku wobec transakcji nie wymagających autoryzacji, co
do których użytkownik zgłosiłby zastrzeżenie, też nie znalazłem żadnej
wzmianki.

--
Pozdrawiam
chairon

do góry

januszek napisał(a):

> Pełny algorytm oceny transakcji jest poufny i nie jest udostępniany
> Klientom. Ocena dyspozycji internetowych uwzględnia m.in. takie
> parametry jak:

> - kwota transakcji,

Zdecydowanie tak.

> - rachunek beneficjenta,

Tutaj bym się nie zgodził.

> - łączna suma kwot kolejnych transakcji,

Być może rzeczywiście tak jest, co nie zmiania faktu, że potencjalny
włamywacz mógłby wykonać przynajmniej jeden przelew na swój rachunek na
kwotę 499,99 zł. Zakładam bowiem, że system zlicza kwoty kolejnych
transakcji i każda kolejna dyspozycja przelewu spowodowała by osiągnięcie
kwoty 500 zł. Być może wtedy rzeczywiście byłby wymóg autoryzacji.

> Co oznacza, w opisanym przez Ciebie przypadku, że system uznał, że
> zachowujesz się jak zawsze i co za tym idzie nie ma potrzeby wykonywać
> autoryzacji ;)

Ciekawa teoria :)

--
Pozdrawiam
chairon

do góry

chairon napisał(a):

>> czytałeś co pisze w regulaminie o autoryzowaniu takich
>> właśnie transakcji? ;)

> No właśnie problemy w tym, że IMO nic na ten temat nie pisze :)
> Zapis w Rozdział 7, pkt. 1, ust. 2 mówi jedynie o tym, że kod jest
> przesyłany wtedy, kiedy dana operacja wymaga autoryzacji. Rozdział 8 o
> sytuacjach awaryjnych pomijam, bo zakłada on, że użytkownik musiałby być
> świadomy, że jego poufne dane dostały się w niepowołane ręce. Na temat
> odpowiedzialności Banku wobec transakcji nie wymagających autoryzacji, co
> do których użytkownik zgłosiłby zastrzeżenie, też nie znalazłem żadnej
> wzmianki.

Co oznacza, że nie miałbyś dużego problemu z odzyskaniem utraconych
pieniędzy w wyniku wykonania przez "hackera" operacji o jakich pisałeś
;)

A teraz zerknij do FAQ Systemu, gdzie pisze:

"- Dlaczego nie mogę poznać algorytmu wg którego Bank uznaje, czy
dyspozycja wymaga autoryzacji?

Ogólna zasada działania algorytmu nie jest poufna. Bank profiluje
zachowanie Klienta i bazując na kluczowych parametrach transakcji
takich jak: konto beneficjenta, kwota, rodzaj dyspozycji, historia
transakcji, suma kwot kolejnych dyspozycji itd. ustala, czy realizowana
transakcja należy do grupy transakcji małego ryzyka.

Szczegóły algorytmu nie są udostępniane, by przy tej okazji nie
przekazywać wiedzy przestępcom internetowym. Dodatkowo reguły systemu
nie są ustalone raz na zawsze, są dostosowywane do nowych typów
zagrożeń."

Króko mówiąc: zostałeś sprofilowany i najwyraźniej Twoje operacje
zostały zaliczone do grupy niskiego ryzyka. Nie martwi Cię to, że Cię
tak mocno sprofilowali? ;P

j.

do góry

januszek napisał(a):


> Co oznacza, że nie miałbyś dużego problemu z odzyskaniem utraconych
> pieniędzy w wyniku wykonania przez "hackera" operacji o jakich pisałeś
> ;)

Myliłem się. Jest o tym wzmianka w Regulaminie.

------------------------------------
Rozdział: Zasady odpowiedzialności § 69, pkt. 1 Bank nie ponosi
odpowiedzialności za:

ust. 4) zrealizowanie dyspozycji przekazanej za pośrednictwem systemu
bankowości elektronicznej przez osoby nieuprawnione, chyba że dyspozycja
nastąpiła bez winy użytkownika systemu bankowości elektronicznej;/
------------------------------------


Tylko udowodnij im, że nastąpiła bez Twojej winy. To moim zdaniem nie jest
proste.

--
Pozdrawiam
chairon

do góry