Dlatego już kilka razy o tym pisałem i chciałbym abyśmy napierali do ING o zmianę. 

Dzisiaj mamy TYLKO algorytm banku. 

Powinny być dwie opcje

1) Leniwy wybiera sobie algorytm i bank sobie tam oblicza kiedy hasło a kiedy nie

2) SMS - każda transakacja z hasłem. W tym przypadku np do odbiorców zapisanych (przelewów wzorcowych) możliwość wyłączenia. 

 

I wszyscy zadowoleni. 

Chyba już każdy o tym pisał do znudzenia, a bank jak olewał to ciepłym moczem tak olewa... wszak 'bąble' są ważniejsze =,=

Tak się kończy brak smsów potwierdzających przelew
https://avlab.pl/w-przypadku-ataku-man-browser-nie-jest-wazne-co-widzisz-na-ekranie-ale-co-dzieje-si...

Klient dostał smsa ale nie zwrócił uwagę, że został podmieniony nr rachunku. I stracił 40 tys złotych
Dwa powody, dla których podaję ten link
1) Ostrzeżenie, że nawet antywirus na kompie (wielki minus dla Symanteca) nic nie daje.
2) ING nie zawsze podsyła kody smsowe i jak widać, nie mamy 100% pewności, że przelew nie pójdzie na rachunek tzw słupa. Tym bardziej, jak na filmiku widać, przelew był wysyłany na konto ING.

Tak rzadko dostaje te smsy z ING że nawet nie zauważyłem, iż nie ma w nich nr rachunku na który robimy przelew
Masz rację. Sprawa kuriozalna....
Jestem ciekaw jak w tym przypadku zadzialalby ten algorytm ING
Pewnie wina byłaby po naszej stronie

Klient w tym filmiku ma pretensje głównie do mBanku co mnie dziwi.
Powinien mieć pretensje do producenta antywirusa bo nie wykrył mu wirusa na kompie. Klient będąc świadomy że ma znanego producenta antywira za którego zapłacił nie mało (Amerykanie swoje liczą) nawet nie pomyślał o sprawdzeniu z kodem rachunku nr rachunku. Pewnie zrobiłbym to samo....
Z drugiej strony ten antywirus od dawna to wielka lipa i ma co chwile jakieś wtopy
Cos ala VW idący tylko na reputacji sprzed lat.

Ze swojej strony mogę jedynie zaproponować dwie rzeczy
1) Sprawdzenia wszystkiego zanim się zrobi przelew
2) Wyinstalowanie klienta pocztowego i korzystać z poczty przez www Onet WP Interia itd. To zawsze jest bezpieczniejsze niz ściąganie poczty na kompa.

A ING niech pomyśli nad tymi smsami do każdej transakcji z uzupełnieniem nr rachunku w SMS bo algorytm algorytmem ale o wtope daleko nie jest

@viggen I Ty myslisz, że te wiadomości tutaj coś zmienią? ING idzie w zaparte i do * śmierci/padnięcia będzie twierdził, żę ichni system jest najcudowniejszy, najwspanialszy i najbezpieczniejszy (ostatnio chwalą się gdzie mogą jakąś pseudo nagrodą "najlepszego banku" - to już jest mocno żenujące).

Ostatnio u konkurencji też był babol, że nie trzeba było potwierdzać transakcji via payu bodajże i dopiero wtedy się bank po cichu z tego wycofał.

 

Banki mają to do siebie, że nawet jakby był jakiś problem to wolą to zatuszować wszelkimi możliwymi sposobami niż zainwestować w bezpieczeństwo.

 

Jak wysyłanie sms to jest taki gigantyczny probelm dla banku to można generować tokeny via applikacja (ale wtedy nie dostajemy informacji o numerze konta, chociaż skoro w ING teraz ich też nie ma więc żadna różnica).

 

PS. jeżeli chodzi o maile - na głupotę nie ma rady - nawet przez webmaila można otworzyć złośliwy załącznik i tyle..

Jasne że na głupotę nie ma rady, tylko że pocztę otwierasz nie z kompa z posciaganymi plikami a na www gdzie maile są na serwerze klienta pocztowego.
Nie mamy zatem pewności że antywirus na kompie wszystkie wykrył i czegoś nie wpuścił.
Nie było tego w filmiku ale uważam, że w taki sposób się zaraził na kompie tym syfem który go ograbil o 40tys zł.
A przy okazji, nawet na www trzeba myśleć co się klika i otwiera.
Nie znasz nadawcy od razu usuń i problem z głowy

Eee, nie no - zarażenie się przez stronę www (obstawiam jakieś mniej stosowne zakątki internetu) jest łatwiejsze.

 

Jeżeli program pocztowy pobierze Ci pocztę, to nawet jakby miała najbardziej zainfekowane załączniki to nic się z nimi nie dzieje dopóki użytkownik ich nie otworzy, wiec dochodzimy do tego samego momentu - i tu i tu trzeba aktywnie kliknąć w jakiś załącznik. I to nie jest prawda, że via webmail załączniki "wykonują się po stronie serwera" - po prostu często gęsto jakiś tam podgląd załącznika jest po stronie serwera, ale w przypadku zip/exe tak nie ma (aczkolwiek na przyklad gmail mocno blokuje wysyłanie załączników wykonywalnych)...

Tak czy inaczej zagrożeń będzie coraz więcej niż mniej i będą one coraz wymyślniejsze . Każdorazowe powiadomienie sms informuje nas o nieautoryzowanym grzebaniu w naszym koncie . I nijak ma się supertajny algorytm ing wobec tego co napisałem powyżej .