Mingi probleem kauplemisparoolidega. Avastasin, et jaanuaris kehtivuse lõpetanud parooliga olen tehinguid kinnitanud.
Mingi tõsine probleem foorumiga.
Kas see on kaval küberründe tulemus või on midagi hoopis hullemat juhtunud (keegi läks igavusest heast paremat tegema ja tulemus oli nagu alati)?
Kas see on kaval küberründe tulemus või on midagi hoopis hullemat juhtunud (keegi läks igavusest heast paremat tegema ja tulemus oli nagu alati)?
Asi korras, võib viimased kaks postitust kustutada.
Internetipanka sisenedes nõutakse isikuandmete täpsutamist ja lõpuks kinnitamist PIN2 koodiga???
Kas see on ok või on tegu mingi libalehega, vanasti oli PIN2 ainult rahaliste tehingute-lepingute kinnitamiseks?
Kas see on ok või on tegu mingi libalehega, vanasti oli PIN2 ainult rahaliste tehingute-lepingute kinnitamiseks?
Isikuandmed pead jah pin2-ga kinnitama.
"Monte"Monte
Minu ettepanek kasutusmugavuse tõstmiseks:
internetipanga seadete alt võiks saada seadistada, et kontot A saab kasutada ainult igapäevapanganduseks ning kontot B ainult raha kasvatamiseks. Korduvalt on tulnud ette, et igapäevakontoga on aktsiaid soetatud või investeerimiskontoga ülekandeid tehtud."Sander Pikkel"
Oleme selle probleemi jaoks lahendust välja töötamas. Hetkel ei julge lubada, et millal see võiks klientideni jõuda.
Tõstatan uuesti teemat. Ei tohiks olla väga keeruline lahendus panga poolt vaadatuna, aga julgen arvata, et peale minu on veel hulk inimesi, kes kogemata kiiruga soetavad valele kontole väärtpabereid. Minul juhtus see nüüd juba 5ndat korda.
Selle probleemi lahendamist on nii kaua küsitud, et lihtsalt rõve juba.
Kõige lihtsam lahendus oleks, et saaks valida "vaikimisi kontot pole" ja alati tuleks käsitsi konto valida.
Aga isegi seda ei saa LHV võimaldada...
https://kuuuurija.postimees.ee/7697315/saade-kelmid-jaljendasid-lhv-panga-veebilehte
Ehk pole see just LHV panga probleem. Kuid postitan siia kuna juhtus just LHV pangaga.
Minul tekkis suur küsimus, kuidas on võimalik, et täiesti suvaline spämleht küsib ID paroole ja/või smart-I D paroole.
See major-major turvarisk pole terves meie üshiskonnas? Kas tõesti pole meil need sertifikaadid ära seotud nii, et päris spämlehed ei saa küsida neid paroole telefonis?
Teoorias on võimalik siis tervet Eestilt järsku spämmid paroolide küsimisega, kas pole? Selleks on vaja ainult kasutajatunnust teada. Võta ette terve Eesti ees-ja perekonnanimed, liida need ja voilaa.
Seda sama asja saab teha ka valimistel. Isikukoodide masse pole ka väga raske kätte saada...
Saadad tervele Eestile sms koodid ja ehk 1% ikka vajutab oma pin-1 ja pin-2. 13 000 isikut on sisuliselt paljad...
Ehk pole see just LHV panga probleem. Kuid postitan siia kuna juhtus just LHV pangaga.
Minul tekkis suur küsimus, kuidas on võimalik, et täiesti suvaline spämleht küsib ID paroole ja/või smart-I D paroole.
See major-major turvarisk pole terves meie üshiskonnas? Kas tõesti pole meil need sertifikaadid ära seotud nii, et päris spämlehed ei saa küsida neid paroole telefonis?
Teoorias on võimalik siis tervet Eestilt järsku spämmid paroolide küsimisega, kas pole? Selleks on vaja ainult kasutajatunnust teada. Võta ette terve Eesti ees-ja perekonnanimed, liida need ja voilaa.
Seda sama asja saab teha ka valimistel. Isikukoodide masse pole ka väga raske kätte saada...
Saadad tervele Eestile sms koodid ja ehk 1% ikka vajutab oma pin-1 ja pin-2. 13 000 isikut on sisuliselt paljad...
Valimistel seda teha peaks siiski suurusjärgu võrra raskem olema. Valimise teostab mingi eraldi rakendus, mis arvutis käivitub kui mälu ei peta.
Aga et elu nii hirmus poleks, kasutage seda: https://tehnika.postimees.ee/7493421/cert-ee-loodud-riiklik-app-kaitseb-ongitsuste-ja-pahavara-eest
Aga et elu nii hirmus poleks, kasutage seda: https://tehnika.postimees.ee/7493421/cert-ee-loodud-riiklik-app-kaitseb-ongitsuste-ja-pahavara-eest
See skeem töötab nii:
1. Ohver sisestab oma andmed petulehele kust pätt need kätte saab.
2. Pätt sisestab saadud andmed päris lehele, et sisse logida. Kuna PIN1 saadetakse ohvrile, siis ta kinnitab selle.
3. Ohvrile näidatakse "loading" ekraani
4. Samal ajal teeb pätt kandeid ja ohvrile saadetakse PIN2, et neid kinnitada.
5. Kui ohver PIN2 kinnitab, siis jääb rahast ilma ja pätt teenib tulu.
Rohkem infot:
https://www.itvaatlik.ee/kontrolli/
https://www.lhv.ee/et/pettuste-ennetamine
1. Ohver sisestab oma andmed petulehele kust pätt need kätte saab.
2. Pätt sisestab saadud andmed päris lehele, et sisse logida. Kuna PIN1 saadetakse ohvrile, siis ta kinnitab selle.
3. Ohvrile näidatakse "loading" ekraani
4. Samal ajal teeb pätt kandeid ja ohvrile saadetakse PIN2, et neid kinnitada.
5. Kui ohver PIN2 kinnitab, siis jääb rahast ilma ja pätt teenib tulu.
Rohkem infot:
https://www.itvaatlik.ee/kontrolli/
https://www.lhv.ee/et/pettuste-ennetamine
Kuidas, pätil pole ju ID-kaarti?
OK, Smart ID-ga jah töötab.
OK, Smart ID-ga jah töötab.
"Rinja"
Kuidas, pätil pole ju ID-kaarti?
See töötab autentimistega, kus "veebilehel ei ole füüsilise seadmega kontakti". St brauser ei saa suhelda otse seadmes oleva ID-kaardiga, vaid suheldakse läbi sõnumite ja käsitsi sisestavate koodide.
Sellisel juhul emuleerib pahalase server "kasutaja" veebiakent (kasutaja seda emuleeritud akent ei näe). Vahepeal küsib vajaminevaid koode kasutaja käest, mida sisestab siis oma emuleeritud aknasse hoopis muul otstarbel. Kui ka pank saadab kinnituskoodi või palub äpis kinnitada, siis inimesed edastavad või kinnitavad neid asju ilma süvenemata.
Kui inimesele tundubki kahtlane, siis sageli helistatakse ja öeldakse inimesele, et näe, sõnum äpis "10000 eur ülekanne, kas kinnitan?", keegi üritab häkkida! Selleks pead andma oma koodid ja ligipääsu. Eesti õnn on see, et hindud ei oska veel eesti keelt, muidu oleks seda palju rohkem.
Seoses LHV välismaakleri vahetumisega ei ole alates 1.07.2021 enam võimalik... pooli asju teha. Loodan ikka, et LHV leiab nüüd selle välismaakleri kes laseb eelturul ja järelturul kaubelda, osta optsioone ja müüa lühikeseks. LHV enda tehinguplatvorm on nii mõnus, kõik vajalik on olemas ja mitte midagi üleliigset. Kes on tohutu kaupleja sellele sobib trader. On see raske ära teha?
Selge. Pättidest istub keegi 24/7valves.
Samas ikkagi näen mina "major" probleemi selles, et telefonis allkirja andmisel nii smart id kui ka mobiil-id puhul ei saada telefon sulle koos parooliga ühes kastis sõnumit millele sa allkirja annad!
21. sajandil võiks see olla teostatav!
Samas ikkagi näen mina "major" probleemi selles, et telefonis allkirja andmisel nii smart id kui ka mobiil-id puhul ei saada telefon sulle koos parooliga ühes kastis sõnumit millele sa allkirja annad!
21. sajandil võiks see olla teostatav!
"Fish"
Selge. Pättidest istub keegi 24/7valves.
Samas ikkagi näen mina "major" probleemi selles, et telefonis allkirja andmisel nii smart id kui ka mobiil-id puhul ei saada telefon sulle koos parooliga ühes kastis sõnumit millele sa allkirja annad!
21. sajandil võiks see olla teostatav!
LHV küll saadab. Võib proovida sisse logida või mõnda makset teha nt.
"Fish"
Selge. Pättidest istub keegi 24/7valves.
Samas ikkagi näen mina "major" probleemi selles, et telefonis allkirja andmisel nii smart id kui ka mobiil-id puhul ei saada telefon sulle koos parooliga ühes kastis sõnumit millele sa allkirja annad!
21. sajandil võiks see olla teostatav!
Pätt ise ei peagi olema 24/7 valves.
Kogu seda flowd ei ole mingit probleemi automatiseerida - seega seal on tõenäoliselt tehniline lahendus, mis siis "on valves". Ainuke asi mis kaitseb on Smart-id / Mobiil-id paroolid ja kui kasutaja need ise ära sisestab siis kahjuks nii on.
"Sander Pikkel""Fish"
Selge. Pättidest istub keegi 24/7valves.
Samas ikkagi näen mina "major" probleemi selles, et telefonis allkirja andmisel nii smart id kui ka mobiil-id puhul ei saada telefon sulle koos parooliga ühes kastis sõnumit millele sa allkirja annad!
21. sajandil võiks see olla teostatav!
LHV küll saadab. Võib proovida sisse logida või mõnda makset teha nt.
Pean tõdema, et avastasin selle ise ka nüüd esimest korda! Ilmselt ka üks kontrollmeede, mille endale meelde jätan.
Isegi boldis kiri. Samas ehk annab seda veelgi märgatavamaks teha :)
Eeldatavalt on pättide server mitte mõne EL liikmesriigi teenusepakkuja juures, vaid kuskil soojas soodsa õigusruumiga kohas (kus kohalik politseipealik hommikust posti sorteerides välismaa õigusabipalved laia kaarega prügikasti viskab)?
Kui panna reegel, et väljaspool ELi sisselogitud kliendid ei saa ilma lisakontrollita teha ülekandeid kontodele, kuhu nad pole varem kandeid teinud, siis mitu legitiimset tehingut aastas saaks takistatud ja kui suur lisakulu see pangale oleks?
Raha väljavõtjad on saates Hispaania pankade kliendid? Küsiks, kuidas see võimalik on? Kas Hispaanias ei pea pank klienti tundma ja kui peab, siis võiks vähemalt sealt otsast raha väljavõtja Eestisse välja nõuda kui kaasosalise?
Samuti on mul kahjuks selline tunne, et kui selline mäng käiks mõne USA panga kodulehega maksaks Google kas vabatahtlikult või kohtu käsul need kahjud kinni ja trahvikesed takkapihta - raha eest röövleht otsingu esimeseks vasteks tõsta on ikka samuti selge koostöö kurjategijatega ja kuriteost kasu saamine. Googli ressursside juures oleks ilmvõimatu kontrollida, et promotav leht pole finantsasutuse lehe kuritegelik koopia? Eesti muidugi nii püha ürituse vastu kätt ega häält tõsta ei saa, vaid lihtsalt pank peab palvekirju saatma, et pettus maha võetaks otsingust?
Kui panna reegel, et väljaspool ELi sisselogitud kliendid ei saa ilma lisakontrollita teha ülekandeid kontodele, kuhu nad pole varem kandeid teinud, siis mitu legitiimset tehingut aastas saaks takistatud ja kui suur lisakulu see pangale oleks?
Raha väljavõtjad on saates Hispaania pankade kliendid? Küsiks, kuidas see võimalik on? Kas Hispaanias ei pea pank klienti tundma ja kui peab, siis võiks vähemalt sealt otsast raha väljavõtja Eestisse välja nõuda kui kaasosalise?
Samuti on mul kahjuks selline tunne, et kui selline mäng käiks mõne USA panga kodulehega maksaks Google kas vabatahtlikult või kohtu käsul need kahjud kinni ja trahvikesed takkapihta - raha eest röövleht otsingu esimeseks vasteks tõsta on ikka samuti selge koostöö kurjategijatega ja kuriteost kasu saamine. Googli ressursside juures oleks ilmvõimatu kontrollida, et promotav leht pole finantsasutuse lehe kuritegelik koopia? Eesti muidugi nii püha ürituse vastu kätt ega häält tõsta ei saa, vaid lihtsalt pank peab palvekirju saatma, et pettus maha võetaks otsingust?
"Sander Pikkel"
See skeem töötab nii:
1. Ohver sisestab oma andmed petulehele kust pätt need kätte saab.
2. Pätt sisestab saadud andmed päris lehele, et sisse logida. Kuna PIN1 saadetakse ohvrile, siis ta kinnitab selle.
3. Ohvrile näidatakse "loading" ekraani
4. Samal ajal teeb pätt kandeid ja ohvrile saadetakse PIN2, et neid kinnitada.
5. Kui ohver PIN2 kinnitab, siis jääb rahast ilma ja pätt teenib tulu.
Rohkem infot:
https://www.itvaatlik.ee/kontrolli/
https://www.lhv.ee/et/pettuste-ennetamine
"113366"
Kui panna reegel, et väljaspool ELi sisselogitud kliendid ei saa ilma lisakontrollita teha ülekandeid kontodele, kuhu nad pole varem kandeid teinud, siis mitu legitiimset tehingut aastas saaks takistatud ja kui suur lisakulu see pangale oleks?
Kui suur lisakulu oleks pätil eesti teenusepakkuja VPN tellida? Venelased kasutavad hordidena neid teenuseid, et Kremli piirangutest mööda hiilida. Niisamuti saab sisselogimise peita eesti IP taha.
Kas oleks võimalik väärtpaberite müügitehingu korraldust andes eelvaates näidata tehingu oodatavat kasumit/kahjumit ja reaalset kasumit/kahjumit tegingu kinnituse e-mailis?