Keresés

Új hozzászólás Aktív témák

  • Shyciii

    veterán

    válasz Ribi #37 üzenetére

    "Minden authentikálással az a gond, hogy ha valaki a gépeden/telefonodon ül akkor ő kapja meg az kérdést, hogy mehet-e az utalás. Eljutsz egy kamu bankos weboldalra, mert automatikusan átirányított a malware, benyomtad az azonosítódat, majd ezt ők automatikusan a saját felületükön használják és ők lépnek be."

    A kamu oldallal az a gond, hogy a címsorban látod, hogy nem a megszokott oldalon vagy. A másik, hogy a Chrome, de szerintem a Firefox-ban is van már olyan védelem, hogy egy tök más átirányított oldalra kerülsz, vagy kamu oldalon vagy amit már egyszer bejelentettek, akkor visít a böngésző. A Brave browserem mobilon meg pláne azonnal visít.

    "A kódot pedig ugyan úgy szépen begépeled, ők ezt felhasználják és kész. Te teljesen mást látsz mint ami valóságban történik."

    Akkor újra. Az utaláskor kapott sms kód csak 30 mp-ig él, és azzal a kóddal te csak az általam kért utalást vagy egyéb dolgot lehet jóváhagyni. Azzal a kóddal más csinálni, pl belépni, más utalást indítani stb nem lehet! Arról nem beszélve, hogy eddig akárhány banknál voltam, minden műveletről küldtek értesítést. És akkor még nem említettem, hogy olyna is volt, hogy nagyobb összeg leemelésekor telefonon felhívtak, hogy ez tényleg én vagyok, és jóváhagyhatják. Amúgy meg az én gépemen ülhetnek, mert a 2 faktor lényege az, hogy több eszköz hitelesítése szükséges, úgyhogy ülhetnek a gépemen nyugodtan...

  • Sidorovich

    senior tag

    válasz Ribi #37 üzenetére

    Nem tudom más bankoknál hogy van, de OTP-nél nem csak egy kódot kapsz SMS-ben. Utalásnál pl. a számlaszámot és az összeget is megkapod, amire utalni készülsz, és a kódot, amivel jóváhagyhatod csak azt az utalást. Azaz ha az asztali géped teljesen kompromittálódott és egy tökéletes phising oldalon vagy, és a valódi utalásod adatait a háttérben megmásítják, akkor feltűnhet, hogy SMS-ben nem azt a számlaszámot és összeget küldte a bank, amit te begépeltél a gépeden. Az más kérdés persze, hogy ezt ki ellenőrzi (én szoktam :D ) és kinek tűnne fel.

    Összességében igaz, hogy a 2FA csak akkor ér valamit, ha 2 különböző rendszeren van a két faktor, és az SMS-nél nem csak kódot kapsz, hanem arról is kapsz információt, hogy milyen műveletet végrehajtására kaptad azt a kódot. Bankkártyáknál a napi limitet is érdemes haszálni, én pl. minimum összegre (napi 50.000) állítom, és csak akkor állítom át, ha valami nagyobbat vásárolni készülök. Szerencsére ennél nagyobb összeget 24 óra alatt váratlanul nem gyakran szoktam elkölteni. :)

    Egyébként ha valaki ilyen netbankos malware, phising, akármi áldozata lesz, és elutalják a pénzét külföldre, akkor azt kártalanítja a bank? Vagy minden felelősség az ügyfélé, hogy miért nem IT biztonsági szakértő? :U

    [ Szerkesztve ]

Új hozzászólás Aktív témák