temat Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych w Bankowość internetowa

ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Mon, 25 Mar 2024 13:44:11 GMT

Dlaczego ING nie dba o bezpieczeństwo środków niestosując żadnej weryfikacji podczas przelewów, nawet tych wysokokwotowych?

Mam konta we wszystkich dużych bankach w PL i absolutnie każdy wymaga potwierdzenia wysłanego przelewu, w moim wypadku jako że instaluję aplikacje każdego z banku to każdy przelew muszę zatwierdzać w aplikacji (wyjątek to odbiorca zaufany).

Dodatkowo w innych bankach wysyłając przelew wysokokwotowy często są stosowane dodatkowe środki bezpieczeństwa, czy to telefon w celu potwierdzenia przelewu, czy to blokada przelewu do czasu potwierdzenia dyspozycji samemu dzwoniąc na infolinię, czy np wysłanie SMS z informacją, że wysłany został przelew na dużą kwotę i jeśli to nie ty natychmiast dzwoń na infolinię.

Przelewy robiłem w różnych bankach i na prawdę każdy wymagał potwierdzeń. A ING ? Przelew poszedł bez niczego. I o ile jak wysyłam przelew na kilka stówek to jeszcze jakoś ujdzie. Ale przelewy typu 100 000 zł bez ŻADNEJ autoryzacji ? Po prostu klikasz przelew, wyskakuje okno że dodatkowa autoryzacja nie jest wymaga. I pyk, puste konto. Ze strony ING zero autoryzacji.

Przecież potwierdzenie przez SMS czy bezpieczniejsze potwierdzenie w aplikacji banku to podstawa. Dzięki temu w trakcie wysyłania przelewu mamy dodatkową możliwość sprawdzić czy wszystkie dane się zgadzają (np w przypadku zainfekowania komputera wirus może podmienić w tle numer konta, weryfikując go w aplikacji banku mamy jakąś możliwość to sprawdzić). Bank ma też większą pewność że to na pewno właściciel wysyła ten przelew, a nie np ktoś z dostępem zdalnym do komputera.

Jak to jest, że na samym początku jak tylko założyłem konto to z byle ***ołą typu BLIK na 5 zł musiałem przepisywać dodatkowo kody SMS i wszystko autoryzować PIN-em w aplikacji. A obecnie już nie pamiętam ile miesięcy temu ING cokolwiek chciało potwierdzać przy przelewie! Wszystko przechodzi z komunikatem, że dodatkowa autoryzacja nie jest wymagana... Gdzie tu jakieś bezpieczeństwo ?

Dobrze, że ING chociaż dodało klucze U2F do logowania z którego oczywiście korzystam. Bo nie wyobrażam sobie takiej sytuacji gdyby jeszcze brakowało weryfikacji dwuetapowej przy logowaniu i braku autoryzacji przy przelewie...

Obecnie jedyny ratunek (poza ucieczką z ING) to ustawienie bardzo niskich limitów przelewu. Wtedy przed wysłaniem przelewu na większą kwotę trzeba zmienić limit a to już w moim wypadku wymagało przepisania kodu SMS.

PS: Na czacie konsultanci tłumaczyli to jakimś algorytmem który nie zawsze prosi o weryfikacje. Tylko jak to jest, że w każdym innym banku przelew zawsze wymaga potwierdzenia w aplikacji / kod sms (wyjątek odbiorca zaufany), a w ING bez niczego "puszcza" takie przelewy ? Dodam, że w ING nigdy na moim koncie nie było podobnych działań i przelewów na takie kwoty jak dzisiaj... Aż byłem w szoku, że w ING zalogowanie się do bankowości www, zwiększenie limitu i wysłanie przelewu wysokokwotowego nie wzbudza żadnej reakcji systemów bezpieczeństwa (a tą całą weryfikacje behawioralna mam aktywną).

Re: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

MartynaC — Tue, 26 Mar 2024 13:53:18 GMT

Prosimy, skontaktuj się z nami na czacie w Moim ING. Nasi specjaliści przyjmą dla Ciebie odpowiednie zgłoszenie i sprawdzimy to. Niestety, tutaj nie mamy wglądu w szczegóły

Re: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Tue, 26 Mar 2024 17:39:38 GMT

Niestety na reklamacje już odpowiedzieliście. Napisaliście to samo co konsultanci na czacie, macie jakiś super świetny algorytm i "jak ryzyko jest niskie" to nawet przy przelewach wysokokwotowych dodatkowa autoryzacja nie jest wymagana.

Absolutnie wszystkie banki z których korzystałem (czyli generalnie wszystkie duże banki w PL) wymagają potwierdzenia żeby wysłać przelew. Tylko ING ma jakiś "super świetny algorytm" który uważa że wysłanie 100 000 na koncie kl indywidualnego w momencie gdy w historii nigdy wcześniej nie było takich akcji to operacja niskiego ryzyka.

Może i to rozwiązanie jest wygodne, ale na pewno z bezpieczeństwem nie ma to nic wspólnego.

Oczywiście pieniądze dotarły do odbiorcy bez żadnych problemów, ale każdemu kto zastanawia się czy przetrzymywać większą kwotę w ING proponuje się zastanowić czy chce polegać na banku który w większości wypadków nie wymaga ŻADNEJ autoryzacji przy przelewie.

Przykładowo damy się namówić oszustowi na zainstalowanie aplikacji do dostępu zdalnego na komputerze, zalogujemy się za namową oszusta do bankowości www i teraz tak w ING taki oszust może normalnie wysłać przelew i od razu nas okraść.

W każdym innym banku taka operacja wymaga potwierdzenia, więc oszust musi dodatkowo namówić nas na przepisanie kodu z SMS, gdzie będzie podana informacja co dokładnie zlecamy w banku lub potwierdzić operację w aplikacji banku gdzie też dokładnie będzie napisane co autoryzujemy. Więc jest dodatkowa szansa zauważyć że coś jest nie tak, rozłączyć się i zadzwonić na prawdziwą infolinię banku.

Na prawdę nie rozumiem tego algorytmu w ING, np wejście w zakładkę moje dokumenty ZAWSZE wymaga u mnie przepisania kodu SMS. Czy na pewno te dokumenty są ważniejsze niż przelew na 100 000 zł ? Bo przelew już nie wymaga przepisania kodu SMS.

Inna sprawa to ING jest obecnie jedynym bankiem który zna który dalej wysyła kody SMS do autoryzacji. I to nawet mając zainstalowaną aplikacje mobilną zazwyczaj i tak jestem proszony o przepisanie kodu SMS. W aplikacji praktycznie nic nie potwierdzam (do logowania mam klucz U2F, więc przy logowaniu nie potwierdzam nic w aplikacji, o od tego mam klucz U2F). W każdym innym banku można zmienić autoryzacje z kodów SMS na bezpieczniejszą aplikacje mobilną...

Re: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

DominikaW — Wed, 27 Mar 2024 17:53:19 GMT

Bezpieczeństwo pieniędzy naszych klientów jest bardzo ważne. Posiadany szereg zabezpieczeń oraz nieustannie pracujemy nad nowymi rozwiązaniami, które są zgodne z najnowszymi standardami bezpieczeństwa. W bankowości internetowej maksymalny dzienny limit bezpieczeństwa przelewów to 200 000 zł. W aplikacji mobilnej to 50 000 zł. O dodatkowej autoryzacji decyduje już nasz system bezpieczeństwa. Jeśli chciałabyś zlecić przelew na wyższą kwotę, to należy to zgłosić wcześniej na naszej infolinii.

Dziękujemy za Twoje sugestie. Przekazuję ja do odpowiedniego działu. Więcej informacji o naszych zabezpieczeniach możesz przeczytać na naszej stronie https://www.ing.pl/indywidualni/bankowosc-internetowa/bezpieczenstwo .

Re: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Thu, 28 Mar 2024 08:41:01 GMT

Czyli tak samo potwierdzacie to co pisałem wcześniej, nic tylko piszecie o algorytmie który z bezpieczeństwem nie ma nic wspólnego. Jesteście jedynym bankiem w PL który umożliwia wysłanie przelewu bez żadnej autoryzacji (w innych bankach trzeba dodać odbiorcę do zaufanych żeby tak to działało).

Nie pozostało nic innego jak ostrzegać na każdym kroku że ING w żaden sposób nie dba o bezpieczeństwo. Inne banki normalnie pozwalają ustawić aplikację mobilną do autoryzacji przelewów co jest najbezpieczniejszą opcją, a w ING albo autoryzować nie trzeba wcale, albo niektóre operacje zatwierdza się przez mniej bezpieczny kod SMS

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

Szkot — Mon, 01 Apr 2024 12:33:28 GMT

> Przelewy robiłem w różnych bankach i na prawdę każdy wymagał potwierdzeń. A ING ?
> Przelew poszedł bez niczego. I o ile jak wysyłam przelew na kilka stówek to jeszcze
> jakoś ujdzie. Ale przelewy typu 100 000 zł bez ŻADNEJ autoryzacji ?

Bo ING jest dedykowany dla innej grupy klientów. Tutaj 100 tysi może na tobie to kwota robiąca wrażenie, ale dla typowego klienta ING wysokie kwoty zaczynają się od jednego zera więcej.

A tak poważnie:

> W każdym innym banku taka operacja wymaga potwierdzenia

Nie do końca rozumiem argument. Oceniasz bezpieczeństwo na podstawie tego co robią inni? A jak inne banki wycofają możliwość obsługi konta online to też uznasz, że to jest bezpieczniejsze? Typowy błąd poznawczy, w których działania podejmowane przez większość określasz jako te właściwe. Zastanawiam się czy gdyby klienci innych banków zaczęli skakać w przepaść to bezrefleksyjnie zrobiłbyś to samo, bo "wszyscy inni tak robią".

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Mon, 01 Apr 2024 19:13:35 GMT

Oczywiście dla niektórych 100 000 grosze, ale jak dla mnie jest to spora kwota + przy takiej kwocie większość banków (mówię o zwykłych kontach dla kl indywidualnego) już dokładniej wszystko weryfikują. Np w PEKAO trzeba iść do oddziału potwierdzić tożsamość żeby w ogóle móc ustawić taki limit przelewów. A np w nestbank musiałem dzwonić na infolinię i potwierdzić przelew, dopiero wtedy "wyszedł"

Każdy z tych banków wymagał również odpowiedniej autoryzacji przelewu.

A w ING tego nie brakuje. I nawet nie chodzi o to, że każdy inny bank wymaga autoryzacji przelewu. Tutaj nawet na "zwykły chłopski rozum" logiczne jest, że wykonując przelew trzeba dokładnie zweryfikować gdzie się go wysyła. Trzeba sprawdzić przede wszystkim numer konta i przecież nie można polegać na 1 urządzeniu, gdzie są znane trojany bankowe podmieniające wyświetlany numer konta. Właśnie przed tym niejako "chroni" autoryzacja przelewu na innym urządzeniu bo telefon również musiałby zostać zainfekowany żeby wyświetlił podmieniony numer konta. A szansa na zainfekowanie 2 urządzeń na pewno jest zdecydowanie mniejsza

Dlatego świetnym rozwiązaniem jest sprawdzenie danych przelewu zleconego przez komputer na smartfonie. Zawsze przy takich większych przelewach dokładnie sprawdzam nr konta na 2 urządzeniach :/

ING niestety od długiego czasu nie chce ode mnie żadnej autoryzacji przy przelewach. Jakoś mam wrażenie, że od momentu jak aktywowałem klucz U2F to chyba żadnego przelewu nie autoryzowałem. Przynajmniej nie pamiętam ani jednego przelewu który wymagałby jakieś autoryzacji Nawet jak wysyłałem na konta nie dodane do odbiorców!

Chyba nie ma żadnego sensu się więcej rozpisywać, ING i tak nic z tym nie zrobi. Jedyne co mogę zrobić to w maju zamknąć konto a środki przenieść do banku który nieco lepiej dba o bezpieczeństwo

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

Szkot — Wed, 10 Apr 2024 14:18:45 GMT

Ale wiesz po co aktywowałeś U2F? Raz piszesz o braku autoryzacji, teraz się okazuje, że używasz klucza, który każdą transakcję autoryzuje. Po co dodatkowa autoryzacja? No chyba, że wykonujesz przelewy bez tego klucza.

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

Szkot — Tue, 16 Apr 2024 22:33:49 GMT

Coś nałgałeś. Próbowałem właśnie zrobić przelew i nawet nie chodzi o to, że wymagają autoryzacji. Ja w ogóle go nie mogę wykonać. Pojawia się komunikat:

Nie możesz zrobić tego przelewu w Moim ING. Kwota przekracza dzienny limit przelewów w bankowości internetowej. Skontaktuj się z naszą infolinią.

No i pozamiatane. A wysokość przelewów mam na wysokość salda.

Edit: Po zmniejszeniu kwoty poszło, ale musiałem wpisywać kod z smsa, więc autoryzacja jest. Czyli pozostaje to o czym napisałem - nie wiesz po co ci U2F.

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Fri, 19 Apr 2024 06:40:41 GMT

Klucz U2F służy tylko i wyłącznie do zatwierdzenia logowania. Nie autoryzuje nim żadnych przelewów.

I tutaj właśnie mamy problem. Ty musisz wpisywać kod z sms żeby wyszedł przelew. Czyli jest to bezpieczniejsze niż .... całkowity brak autoryzacji przelewu jak jest u mnie.

Ja tylko używam klucza przy logowaniu, później już przelewy wychodzą z napisem, że ta operacja nie wymaga zatwierdzenia i tyle. Brak kodów SMS, brak potwierdzenia w aplikacji itd

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

Szkot — Sun, 21 Apr 2024 14:04:02 GMT

Nie rozumiesz. Skoro na etapie logowania udowodniono, że ty to ty, to po co chcesz jeszcze dodatkowo autoryzować przelew? Ja nie korzystam z U2F, więc nie ma pewności czy ktoś nie obszedł zabezpieczeń przy logowaniu - stad sms. A korzystamy z jednego ING.

Poza tym wątpię po moim przelewie, ponieważ nawet autoryzacja nie pomogła przelać większej kwoty. Limit dzienny przekroczony i koniec. Pewnie musiałbym telefonicznie to pchnąć, aby przejść z wyższą kwotą.

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Mon, 22 Apr 2024 10:56:55 GMT

To Ty nie rozumiesz, każdy bank wymaga potwierdzenia przelewu... i to już nawet nie chodzi o udowodnienie że ty to ty, ale weryfikacje jaka kwota, gdzie wysyłana. Przecież w każdym innym banku po zleceniu przelewu przez www w aplikacji wyświetla mi się kwota i informacja gdzie przelew ma iść.

Zabezpiecza to przez różnymi scenariuszami, np jak zawirusujemy sobie komputer i trojan podmieni nam numer konta to jesteśmy w stanie to w aplikacji sprawdzić, jak np za czyjąś namową zainstalujemy aplikacje do dostępu zdalnego to nawet jeśli zalogujemy się na swoje konto w banku to oszust nic nie zrobi, bo dodatkowo musiałby nas namówić na podanie kodu SMS / zatwierdzenie w aplikacji.

Dzisiaj pomagałem znajomemu z przelewami na ok 150 000 zł, znajomy nie używa kluczy U2F. Dodatkowo przeglądarkę można dodać do zaufanych i wtedy nawet logowania nie trzeba potwierdzić.

I co, bez żadnej autoryzacji wszystko poszło. W momencie jak ktoś sobie zapisze hasło do banku np w przeglądarce to nawet dziecko mające dostęp do komputera może przelew wysłać, hasło podejrzy w przeglądarce i uzupełni tylko te znaki o które prosi ING, jak przeglądarka dodana do zaufanych to nic nie trzeba potwierdzać, a że w ING przelewy wychodzą bez żadnej autoryzacji to puszczenie przelewu to już żaden problem.

Jedyne co przed tym zabezpiecza to ustawienie niskiego limitu, wtedy chociaż kod z SMS trzeba przepisać żeby limit zwiększyć. Ale to użytkownik musi o tym pamiętać, bo domyślnie był ustawiony limit do wysokości salda...

Na szczęście jeszcze tylko kilka dni i mogę całkowicie uciec z ING. Nie znam żadnego innego banku który tak mocno nie dba o bezpieczeństwo, gdzie indziej nawet przelew na 1 grosz trzeba autoryzować (o ile nie wysyłamy do zaufanego nadawcy).

W ING wyczyszczą Ci konto i dowiesz się o tym dopiero po fakcie jak masz skonfigurowane powiadomienia push... Bo jak push nie masz włączonych to dowiesz się o tym dopiero przy najbliższym logowaniu do banku

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

Szkot — Sat, 25 May 2024 13:32:04 GMT

> To Ty nie rozumiesz, każdy bank wymaga potwierdzenia przelewu

I co z tego? A jeśli każdy bank będzie wysyłać do ciebie kuriera z chorągiewką na której jest logo banku i on od ciebie będzie brał pisemne potwierdzenie, to uznasz, że ING nie jest bezpieczne bo każdy inny bank tak robi? O poziomie bezpieczeństwa świadczą mechanizmy.

> W ING wyczyszczą Ci konto i dowiesz się o tym dopiero po fakcie

Jak ci wyczyszczą konto, jeśli możesz się do niego dostać tylko mając klucz?

> jak zawirusujemy sobie komputer i trojan podmieni nam numer konta

Jak ci trojan podmieni numer konta? Może to zrobić jedynie na etapie przeklejania, a w ING musisz w takiej sytuacji wpisać ręcznie kilka znaków aby potwierdzić zgodność rachunku. Więc jak?

> Dzisiaj pomagałem znajomemu z przelewami na ok 150 000 zł, znajomy nie używa kluczy U2F.

Jak dla mnie konfabulujesz. Wcześniej napisałeś "Dobrze, że ING chociaż dodało klucze U2F do logowania z którego oczywiście korzystam". Dodatkowa autoryzacja w tym momencie nie ma sensu, bo skoro ktoś ma dostęp do konta, ma klucz, to znaczy, że może sobie nawet potwierdzić przelew gdyby wymagali tego dodatkowo. Teraz próbujesz się uwiarygodnić pisząc o znajomym. Dziwne, bo wychodzi na to, że czego się nie dotkniesz to s***zielisz. Ja jakoś łatwo nie mogę wykonywać takich przelewów i albo muszę kontaktować się z bankiem (bo nawet potwierdzenie w aplikacji nic mi nie da), albo rozbić to na kilka dni.

> Na szczęście jeszcze tylko kilka dni i mogę całkowicie uciec z ING.

Ja też się cieszę. Jeśli czujesz się bezpieczniej w banku, który nie używa U2F więc każdy poza tobą może się tam zalogować to OK. Faktycznie zwiększysz bezpieczeństwo swoich środków.

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Thu, 30 May 2024 18:26:00 GMT

W przypadku ING też bez klucza da się zalogować na konto bez użycia U2F - logując się przez aplikacje mobilną.

Brak mi słów na to jak ING zepsuło implementacje kluczy U2F i żeby normalnie korzystać z aplikacji mobilnej trzeba klucze U2F wyłączyć dla aplikacji. W innym wypadku każde logowanie do aplikacji wymaga przyłożenia klucza co jest bez sensu. Klucz ma chronić przed zalogowaniem się obcej osoby która zna nasze dane, w przypadku korzystania z zaufanego telefonu to nie ma zastosowania. Nawet w przypadku kradzieży telefonu jest on zabezpieczony PINem czy inną wybraną blokadą + aplikacja ING wymaga PIN więc dodatkowy krok nic tutaj nie da. Złodziej dużo czasu nie będzie bo raczej szybko zauważymy utratę telefonu i zgłosimy to w banku, więc zabezpieczenie w100% wystarczy. Klucz U2F powinien być wymagany podczas AKTYWACJI aplikacji na nowym urządzeniu żeby obca osoba znająca dane nie mogła na swoim sprzęcie aplikacji aktywować.

Dla mnie brak wymagania autoryzacji każdej operacji jest niedopuszczalny, nie wiem dlaczego tak bardzo bronisz ING i ich brak autoryzacji przelewów.

Jak sam napisałeś o poziomie bezpieczeństwa świadczą mechanizmy, w ING widać jak to wszystko im świetnie działa, wysyłasz przelew i nic nie autoryzujesz niezależnie od tego czy masz skonfigurowane U2F do logowania czy nie.

Dodatkowo wspominasz, że u Ciebie potwierdzenie w aplikacji nie wystarcza i musisz kontaktować się z bankiem. I tutaj właśnie opisujesz jak powinien przebiegać poprawny i bezpieczny proces autoryzacji, zlecasz przelew przez www, następnie potwierdzasz go w aplikacji, bank uznaję, że coś jest podejrzane i wymaga od Ciebie dodatkowej autoryzacji.

Niestety u mnie, ani u znajomych tak pięknie nie ma i przelewy wychodzą z komunikatem, że dodatkowa autoryzacja nie jest wymagana. Chyba widać, że coś jest nie tak, że u jednych klientów wymagają autoryzacji a u innych nie.

Ale to już nie mój problem, ING nie ma już żadnych moich środków.

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

Szkot — Mon, 03 Jun 2024 18:53:17 GMT

Ty naprawdę nie ogarniasz :-D

Korzystasz z U2F i dziwisz się, że trzeba skorzystać z klucza? :-D To nie jest bezsensu. Bezsensu byłoby, gdyby nie było konieczne każdorazowe przyłożenie klucza, bo wtedy cała idea tego zabezpieczenia ległaby w gruzach. Podam ci to na przykładzie strony. Logujesz się do aplikacji. Później kończy się sesja, za jakiś czas logujesz się ponownie i... właśnie zostałeś shakowany, bo nie zauważyłeś, że podłożono ci lewą stronę. Gdybyś użył klucza U2F to "haker" nie zalogowałby się na twoje konto, bo nie ma klucza.

Jeśli uważasz, że telefon jest twój to po co przykładanie klucza, to powiedz mi... po co w ogóle był ci ten klucz potrzebny do szczęścia? Wystarczyło zaopatrzyć się we własny telefon i miałbyś temat z głowy

> nie wiem dlaczego tak bardzo bronisz ING i ich brak autoryzacji przelewów

Już ci odpowiadam - bo piedzielisz takie kocopoły, że ciężko mi obok tego przejść obojętnie. Mam dużo zastrzeżeń do ING. Ale akurat ty masz jakieś zastrzeżenia totalnie z czapy, które zwyczajnie wynikają z twojej niewiedzy. I najgorsze jest to, że usiłujesz tę swoją niewiedzę "zaimplementować" w rozwiązaniach bezpieczeństwa. Oczywiście ci się to nie uda. Spece, którzy się tym zajmują po prostu popukają się w czoło gdy przeczytają twoje zastrzeżenia/propozycje - i na tym się skończy. Ale ja tak nie mam. Mnie skręca i próbuję ci coś uświadomić. Ale równie dobrze mogę walić głową w mur.

> wysyłasz przelew i nic nie autoryzujesz niezależnie od tego czy masz skonfigurowane U2F do logowania czy nie

No to chyba są jakieś dwie instancje ING. Jedna dla mnie i jedna dla ciebie. Co prawda nie używam U2F, ale bez niego jakoś autoryzacje mam i nie byłem w stanie W OGÓLE wykonać większego przelewu mimo braku limitu na koncie. I to mnie zaskoczyło i zirytowało.

Natomiast gdybym używał U2F mega dziwiłoby mnie gdybym musiał jeszcze dodatkowo autoryzować przelewy, bo wiem jak działa U2F i nie ma sensu autoryzować się podwójnie. Kompletnie niczego to nie zmienia od strony bezpieczeństwa, bo jeśli jesteś na tyle durny, że mimo U2F udostępnisz komuś konto (pośrednio, czy bezpośrednio), to choćby i 20 smsów autoryzacyjnych dodatkowo przyszło - niczego to nie zmieni. Zakumaj, że aby wykonać przelew MUSISZ mieć klucz U2F. Nikt inny go nie ma, więc nie ma opcji aby wykonał przelew. A wiesz dlaczego? BO KAŻDORAZOWO MUSISZ TEGO KLUCZA UŻYĆ.

Więc tak - gdyby oprogramowali to tak, że nie trzeba za każdym razem przykładać klucza U2F (o co bardzo prosisz) - wtedy miałaby sens także twoja prośba o dodatkową autoryzację transakcji. Więc sam sobie próbujesz wygenerować problem i sam go sobie chcesz naprawić. Brawo ty.

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Mon, 03 Jun 2024 20:50:58 GMT

Szkoda, że nie potrafisz nawet czytać ze zrozumieniem, przecież jasno pisałem, że na koncie przez kluczy U2F tak samo przelewy wychodzą bez autoryzacji. Cały czas mnie atakujesz, a to przecież nie moja wina, że podczas robienia przelewu wyskakuje komunikat, że przelew nie wymaga żadnej autoryzacji. Zamiast mnie dalej atakować, zastanów się czyja to jest wina, że na kontach niezależnie od tego czy mają U2F czy nie ING pozwala wysłać przelew do niezaufanego nadawcy bez potwierdzenia.

Więc jak w tej sytuacji obronisz ING ? Przelew do niezaufanego nadawcy wysyłany z konta bez U2F. Jedyne co wymagało przepisania kodu SMS to zwiększenie limitu, ale domyślne ustawienie było "do wysokości salda" więc gdyby znajomy sam nie zmniejszył limitu to nie było by żadnej potrzeby przepisywać kod SMS. Dodatkowo przelew wysłany z przeglądarki dodanej do zaufanej więc nic w aplikacji nie trzeba było potwierdzać.

Tutaj tak samo żadnej autoryzacji nie trzeba było.

A przelew z aplikacji mobilnej ING ? Klikasz wyślij i wyskakuje komunikat, że przelew nie wymaga żadnej autoryzacji. Żadnych PINÓW, żadnej biometrii, bo po co. Lepiej tak po prostu wysłać przelew.

Dla porównania każda inna aplikacja banku wysyłając przelew najpierw wyświetla podsumowanie żeby sprawdzić czy dane do przelewu się zgadzają a następnie w zależności od ustawień wymagają PIN / biometrii. ING tutaj ponownie nic nie wymagało.

Za to jak płaciłem kodem BLIK to musiałem i wpisać PIN i przepisać kod z SMS. Czyli niejako podwójna autoryzacja gdzie w żadnym innym banku 2x nie trzeba tego potwierdzać. Szkoda, że nie utrzymują tego standardu bezpieczeństwa dla zwykłych przelewów... na pewno groźniejsze jest zrobienie BLIK na 1 zł i trzeba to autoryzować i PIN w aplikacji i kodem SMS, ale wysłać przelew na ok 100 000 to to już można wysłać bez autoryzacji.

A wracając do tematu kluczy U2F mówi ci coś takiego jak oszustwo na pulpit zdalny ? Co z tego, że każde logowanie wymaga użycia klucza U2F, jak w przypadku gdy damy dostęp zdalny do pc oszustowi, zalogujemy się za jego namową do bankowości www to ud razu jest game over. Już konto wyczyści do wysokości limitu (a że domyślny limit w ING jaki miałem to "do wysokości salda" to wyczyści wszystko). Gdyby była wymagana autoryzacja w aplikacji mobilnej / ewentualnie sms to jest to jeszcze jeden moment gdzie możemy zauważyć, że coś jest nie tak i anulować operacje. W przypadku braku autoryzacji przelew po prostu "wyjdzie". Zostaje później dzwonienie na infolinię i liczyć, że jeszcze będą w stanie go zatrzymać.

I nie mówię, że ING wcale nie wymaga autoryzacji bo kilka przelewów musiałem autoryzować kodem SMS, ale to tak może 10% jak nie mniej. Reszta przelewów wychodziła normalnie bez żadnych potwierdzeń, niezależnie czy przez aplikacje czy przez www.

PS: Jedyne co mnie bardzo pozytywnie zaskoczyło w ING to zamykanie konta bez okresu wypowiedzenia. Wyjątkowo do zamknięcia konta wysłali SMS autoryzacyjnego, idąc twoim tokiem rozumowania to po co go wysyłali ? Przecież logowałem się kluczem U2F. Po co to kolejny raz autoryzować ??

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Mon, 03 Jun 2024 21:24:15 GMT

Podam jeszcze jeden podwód dla którego każdy przelew do niezaufanego nadawcy powinien wymagać autoryzacji a jest nim błąd banku. Błędy zdarzają się wszędzie, co w przypadku gdyby ING pominęło 2FA przy logowaniu (niezależnie czy jest to klucz U2F czy coś innego). Można by wtedy wysłać przelew znając tak na prawdę tylko login i kilka znaków z hasła. Brzmi nierealnie ? Ale takie błędy się zdarzają, mBank miał taką wpadkę kilka miesięcy temu. Po wpisaniu loginu i hasła od razu wpuścili na konto (na niezaufanej przeglądarce). Gdyby mBank poszedł w ślady ING to wysłałbym przelew bez potwierdzenia logowania i bez autoryzacji przelewu. Na szczęście autoryzacja przelewów zadziałała w mBank poprawnie i musiałem jednak coś w aplikacji potwierdzić zanim wyszedł przelew.

Dział reklamacji mBank potwierdził wystąpienie incydentu i logowanie na niezaufanej przeglądarce bez weryfikacji dwuetapowej. To tylko pokazuje, że zabezpieczeń nigdy za dużo. W przypadku mBank jedno zawiodło i owszem logowanie zadziałało bez 2FA, ale dalej do żadnej kradzieży nie mogło dojść, bo każda taka operacja wymaga w mBank autoryzacji.

PS To ja logowałem się na swoje własne konto mBank, nie było to żadne włamanie. A w ten sam dzień jeszcze kilka innych osób zgłosiło podobny problem.

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

b9MSJPa9brrw7BS — Tue, 16 Jul 2024 11:01:45 GMT

Dzisiaj na podobną kwotę robiłem przelew z Alior do innego banku i tylko się potwierdziło się, że decyzja o zamknięciu ING to najlepsze co mogłem zrobić. Na prawdę ostrzegam każdego przed przechowywaniem w ING jakichkolwiek pieniędzy.

W ING przelew na blisko 100 000 zł NIE wymaga żadnej autoryzacji ani w aplikacji ani w SMS (mówię o swoim przykładzie, czasami u niektórych autoryzacja jest wymagana).

A teraz przykład z dzisiaj z Aliora, kwota prawie identyczna. W Alior po pierwsze musiałem zwiększyć limit (w ING domyślnie miałem ustawione do wysokości salda! w ING samemu trzeba było zmniejszyć limit żeby było minimalnie bezpieczniej) po drugie w Aliorze musiałem potwierdzić przelew w aplikacji mobilnej (przelew wykonywany z poziomu komputera).

Dodatkowo przelew wstrzymany i wysłany SMS i informacjami o zleconym przelewie i prośbą o odpisanie na SMS w celu dodatkowego potwierdzenia operacji.

Powiadomienie push e-mail i SMS o przelewie. Miałem więc milion możliwości weryfikacji numeru konta, kwoty przelewu. A w ING klikasz wyślij, widzisz komunikat, że autoryzacja nie jest wymagana i pyk puste konto. Nawet czasu na reakcje nie ma. W Aliorze przynajmniej te 30 min wstrzymują przelew więc jest czas na połączenie się z infolinią / odpisanie na SMS gdyby coś było nie tak.

Czy ING jest poważnym bankiem wysyłając przelewy wysokokwotowe bez należytej autoryzacji ?

Jak dla mnie Alior zachował się wzorowo, dodatkowo była jeszcze informacja, że w razie nieprawidłowości może być wymagana jeszcze dodatkowo autoryzacja poprzez rozmowę z konsultantem (u mnie nie było to konieczne).

Re.: ING nie dba o bezpieczeństwo środków, brak autoryzacji nawet przy przelewach wysokokwotowych

Szkot — Sat, 20 Jul 2024 15:32:15 GMT

A ja ostrzegam przed osobami, które nie ogarniają technologii. Autoryzuje, ale uważa że nie jest bezpiecznie bo nie ma jeszcze jednej autoryzacji. To tak jakby iść do banku, proszą o dowód, a po sprawdzeniu dowodu jeszcze paszport, bo może dowód był fałszywy.