Ecommerce: this is dumb

Reiau întrebarea: cât e frauda cu carduri online în România ca să justifice sistemele astea din ce în ce mai proaste și mai stupide?

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

105 comentarii

  1. Rata de frauda e mica datorita acestor sisteme

    00
    • NOU
      #2

      *din cauza

      😢

      00
    • @Hacker de carduri . Gluma underrated

      00
    • Reformulez eu: cam câți dintre români își iau țeapă, indiferent de metoda de securizare, ca să merite să concepi sisteme de securizare și să le bagi pe gât tuturor?

      10
    • Dar cand platesti cu acelasi card pe un site din afara nu te intreaba nimeni nimic… E un sistem cretin, nimic mai mult.
      Bancile se iau unele dupa altele sa ofere astfel de „features”, sa nu ramana mai prejos decat concurenta, nimeni nu se opreste sa intrebe clientii ce vor.
      De ex „noul” Raiff online are niste bug-uri de luni de zile, ii doare in fund.

      00
    • @Big: Aici nu e vina bancilor din RO. Prezenta formularului 3D Secure depinde de site / procesator de plati si nu de banca.

      Cam toate bancile de prin Europa ofera 3D Secure pentru clienti. Momentan unele banci te lasa sa il dezactivezi dar usor, usor dispare si optiunea asta.

      00
    • Cat timp cu un card romanesc pot sa cumpar de pe Amazon, Aliexpress sau eBay (unde se dau si cele mai mari tepe) fara sa ma intrebe nimic, doar datele de pe card, nu inteleg cum ma protejeaza 3D secure daca ma freaca in 3 moduri cand cumpar de pe un site romanesc?

      00
  2. Pai cine se risca sa plateasca cu cardul în România?!

    00
  3. lasă ca m-am trezit ca un cetatea european cu -800 lei pe Revolut datorită unor tranzacții in pending, eu având bani când le am plătit. Fmmmmmmm. A mai pățit careva ? Plăti făcute in lei la eMAG bershka d astea

    00
    • Nu,n-a patit nimeni. Nu urla Vali pe aici de 1 an incoace ca Revolut e nasol. Sa vezi cand ramai cu banii de masina blocati,nu cu 700 lei.

      00
    • un an? mai degrabă 3.

    • @robert3 Daca tot esti asa in tema cu ce scrie fiecare blogger, ar trebui sa’ti amintesti ca inainte sa injure revolut, bloggerii l-au promovat si umflat de le-a iesit pe nas, se si laudau ca „am contribuit la adoptarea revolut in romania”.

      00
    • @Nm.bradu
      tu vii aici sa-ti versi oful ca te-a futut Revolut, ti se spune ca aici se atrage atentia de 3 ani ca e nasol cu Revolut, si apoi te ratoiesti tot AICI ca ce, altii au laudat revolut. Pai… mkay…
      Pe viitor te sfatuiesc si sa te plangi la ghiseul de informatii al unei banci ca nu-ti vine apa calda acasa, stii ce zic?

      00
    • nu. eu zic să meargă să se plângă la oamenii care lăudau revolut.

    • da, sa mearga acolo. eventual sa dea 2-3 refresh luri

    • Patit chestii similare si cu revolut si cu ING.
      Ce relatez mai jos e bazat pe discutie cu ING.
      Tu cand dai cu cardul (la POS fizic sau online, irelevant), autorizezi tranzactia. Adica ii dai voie comerciantului sa mearga la banca ta si sa ceara sa i se mute suma pe care ai autorizat-o din contul tau in contul lui. Exista un termen in care trebuie facuta decontarea asta. Daca nu se face in termenul ala, banii se intorc in cont, insa comerciantul avand autorizarea pentru tranzactie, el isi va primi banii chiar daca asta inseamna sa ajungi pe -.
      Repet, explicatia asta e primita de la ING, pentru ca platisem o garantie pentru o inchiriere si m-am trezit cu banii inapoi in cont. Atat cei de la care inchiriam, cat si cei de la banca mi-au spus ca nu e nici o problema, pentru ca in caz ca va fi nevoie de garantia respectiva, ei sunt autorizati sa o ia.
      Da, comparativ, am patit de vreo 3 ori cu revolut sa-mi debiteze cu intarziere, fata de ING la care am patit de 2 ori (prima data garatia, apoi acum o luna).
      Deci, nu-i neaparat revolut de cacat, e vorba de cum functioneaza sistemul electronic de plati

      00
  4. La Unicredit tot o idiotenie au bagat.
    Inainte era codul prin SMS, a fost relativ ok.
    Apoi cu accept direct din app si era mai comod, ca vine notificare, click, face recognition, click, gata.
    Acum, dupa ultimul update al app, baga parola statica din 5 cifre, apoi ok, apoi asteapta cod sms, baga si pe ala, apoi plata.

    00
    • Pentru mine nu funcționează așa la Unicredit. Am ambele aplicații mobile, bussines și normala și atunci când fac o plata trimite un push notification(pe iOS) in aplicația mobile, ii dau accept cu FaceID și asta e tot…Dacă nu ai instalată(sau nu vrei sa folosești) aplicația mobile, trimite un sms cu un cod de 6 cifre pe care trebuie sa îl scri tu pe pagina 3D secure…

      00
    • @Dan, asa aveam inainte de un update (tot iOS). Mobile Banking normala. Si nu am dezactivat ceva (doar sa se fi facut asta automat (?), sincer nu am cercetat aplicatia cap coada). Pe Android inca merge doar cu push notification. Nu am verificat sa vad daca e ultimul update. O sa mai cotrobai in ziua de salariu/plati facuti. :D

      00
  5. Am observat-o și eu chestia cu autorizarea plății din aplicație. Am pe un card ING, am și pe un card BCR.
    Înainte primeam cod prin SMS. Acuma nu mai vine, decât foarte rar, pentru vreun procesator de plăți. Eu bănuiesc costurile cu SMS- urile.
    A, sistemele funcționează, chiar funcționează. Mică poveste. Joi MasterCard mi-a blocat cardul. Dă-i sună la banca, nervos, capsa pusă. După ce intru în legătură cu o angajată, caută și îmi zice că a fost o tentativa de plata online și că a blocat direct MasterCard, nu BCR.
    A blocat cardul joi, ieri dimineață mă sună curierul să îmi aducă cardul nou.
    Și nu, chiar nu am băgat cardul pe vreun site obscur. Pentru aia am revolut.
    Așa da.

    00
    • Deci tu ti-ai luat Revolut pentru ca emitatorul cardului a blocat o tentativa de frauda? Smart!

      00
    • Poate nu m-am făcut eu înțeles.
      MasterCard mi-a blocat cardul de BCR pentru tentativă de fraudă electronică. Blocat, emis altu, problem solved. Ziceam de cardul de BCR că nu l-am băgat pe site-uri obscure.
      Pentru site-uri obscure am revolut, pe care fac top-up. Mai simpu de atât, nu știu să explic. :(

      00
    • Deci sistemele de la Mastercard, nu fainoșagul românesc

      00
    • N-are treaba cu costurile SMS-urilor, ci cu SIM spoofing si cu SMS phishing. Confirmarea platii prin aplicatie iti vine cu doua straturi de securitate: logarea in aplicatie plus confirmarea – patesc si eu asta in UK de la o vreme, plati la utilitati sau council tax pentru care mi se cere confirmare in-app, desi istoricul zice ca le fac frecvent. O solutie ar fi sa poti adauga „trusted payees”, bifezi comerciantul si nu mai stai cu d-astea, dar inca nu s-a gindit nimeni la asta.

    • dar inca nu s-a gindit nimeni la asta

      nu e ca și cum oamenii ăștia și-ar folosi produsele

      00
  6. La transferwise ai optiune sa confirme cu sms sau push notification in aplicatie.

    00
  7. Cred că a verificat să ai peste 18 ani

    00
  8. Mai e buba si de la ING. Desi pentru persoana fizica se bat la egal cu BT ,ba chiar unii spun ca au servicii mai bune,am ales BT pentru aplicatia lor fara tokenuri,sms-uri cu japca si alte minuni

    00
  9. sunt norme europene care vin impuse, nu-i convine nimănui să își facă sistemul și mai greu de folosit.

    • ING e totuși doar o sucursală olandeză, și se supune legilor olandeze.

      Dacă la ei în țară s-a impus 2FA obligatorie pentru orice tranzacție, au fost nevoiți s-o implementeze. Sau poate e o normă europeană și oricum trebuie aplicată.

      Am pățit și eu dar doar la tranzacții mai mari de 100 lei.

      Vă recomand să plătiți cu iPhone pe cât posibil, din cauză că autentificarea aia cu amprentă/fățău e considerată autentificare biometrică, nu cere nici o confirmare chiar dacă-s sume mai mari. E de departe cel mai convenabil (și sigur în același timp).

      00
    • NOU
      #33

      @manu, ” se supune legilor olandeze”

      Se supune legile tari in care lucreaza si legilor EU, legile din olanda nu au nici o validitate in romania. E ca si cum as veni eu la tine acasa si as intra incaltat pe covoare ca asa fac eu acasa.

      00
    • Într-o lume ideală ai avea dreptate.

      Însă în lumea reală cu băncile cam așa e, documentează-te să vezi.

      Da, trebuie să respecte legislația UE, pentru că aia e comună. Dar de exemplu nu e obligată să respecte ce fac celelalte bănci. Iar aia olandeză o respectă pentru că acolo e banca mamă.

      E interesant și îmbârligat. Am cont ING de vreo 15 ani, n-am avut probleme majore încă cu ei, dar asta nu-nseamnă că nu-s atent la ce se-ntâmplă cu ei.

      https://www.bnro.ro/Banci-comerciale-1333-Mobile.aspx

      E doar o sucursală a unei bănci străine, iar asta are consecințe legislative. Întreabă-l pe Isărescu de ce.

      00
  10. La ING mă aștept, securitatea lor era in buda până relativ recent. Știam că se îmbunătățise destul de mult in ultimul an, dar dacă au ajuns la treabă asta poate nu e chiar așa de bine cum credeam.

    00
  11. E directiva la nivel UE, cu un nume cel putin haios pentru romani.
    https://ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366_en

    00
  12. Procentul de fraude? Marisor. Probleme date de 3D-secure prin SMS? Putin mai mari. Veneau clientii garla, ca faceau plati online cand erau in afara tarii, roamingul dadea rate-uri, nu primeau codul, banii ramaneau blocati. Ai net pentru plati online, ai net si pentru aplicatie, autorizezi din mobile banking, problem solved. Plus ca e o reglementare a UE care legifereaza chestiile astea, nu o solutie propusa de ei.
    Ce te faci, totusi, cu faptul ca nu sunt comerciantii obligati sa foloseasca metode sigure de plata, si te poti trezi oricum fara banii din cont? De 10 ori luase un magazin de braduti din US banii din contul clientei, si a livrat 0 comenzi, ca „ei nu vad tranzactia, nu stiu, nu se pricep, sunati dvs la banca”. Si de inca 2 ori de pe un alt card, ca si asta era insistenta, isi dorea tare pomul ala.

    00
    • Mi se pare foarte aiurea ca exista site-uri care implementeaza 3D secure (sau ce alte metode de verificare mai exista) si acolo poti sa platesti doar introducand datele cardului.
      Normal ar fi ca Mastercard/Visa sa-i oblige pe toti procesatorii de plati sa foloseasca un sistem de verificare a platilor.

      00
    • @Nico si eu am avut banii blocati pentru o comanda. Am sunat la emag unde mi-au spus ca ei nu vad plata si tipul de la suport mi-a spus ce trebuie sa fac in continuare. Am sunat la procesatorul de plati de la care am primit un mail apoi am sunat la ING si le-am explicat situatia citind si raspunsul procesatorului de plati. In 20 min din momentul in care m-am apucat sa dau telefoane aveam banii deblocati. Nu magazinul ia banii din cont ci firma care intermediaza tranzactia. Mi se pare normal raspunsul vanzatorilor de brazi, ei doar vad daca e realizata plata sau nu.

      00
  13. Romanul e primul la comentat aiurea, discutam despre o norma europeana ce trebuie aplicata de catre toate bancile pentru a dubla siguranta(two-factor authentication).
    In cazul in care cineva ti-a compromis accesul la telefon sau mail/etc aceasta dubla verificare e bine venita.
    Chiar daca noi le stim pe toate si nu ni se poate intampla asta, acesta norma trebuie aplicata. Au fost suficiente situatii de acesta natura incat sa fie necesara o asemenea decizie.

    00
    • „discutam despre o norma europeana ce trebuie aplicata de catre toate bancile ”
      De ce nu discuta aia si de egalizarea salariilor romanesti cu cele evropene?

      00
    • @Tutan Camon, norma asta cu securizaea platilor bancare se numeste PSD2.
      Aia cu egalizarea salariilor cum se numeste?

      In plus, tinand cont ca noi avem salarii mai mici si automat o frauda ne „loveste” mai tare, nu crezi ca este in interesul nostru sa ne protejam banii aia putini pe care ii avem?

      00
    • @Tutan Camon: Whataboutism de manual.

      00
  14. Nu stiu cat e frauda, dar in ciuda acestor sisteme, eu am avut 3 fraude pe cele 3 carduri ale mele de la Raiffeisen, intr-o fereastra de timp de un an si jumatate: 2 carduri de debit si unul de credit.

    00
    • Cat de des ai folosit cardurile? Una e sa faci 1-2 cumparaturi pe luna si alta e sa faci 20 (vb de chestii mai nesigure, nu amazon, emag, etc).

      Unde crezi ca s-au intamplat „scurgerile de informatii”?

      00
    • @Tudor K, tu chiar ai dat un raspuns la intrebarea lui Vali.
      Daca ai avut trei fraude in decurs de 1 an si jumatate, este clar ca avem nevoie de masuri de securitate mai bune pentru platile online.

      00
    • @AndreiG Eu zic totusi ca generalizarile astea sunt stupide. Depinde destul de mult ce fel de fraude au fost. Majoritatea acestor fraude sunt la site-uri care nu au activat 3D secure deloc sau cand sunt sume prea mici.

      SMS-ul de confirmare era obligatoriu era suficient. In cazul de fata, oricum mult mai sigur decat parola aia din 5 cifre de la contul de ING.

      00
    • @Zero, nu este nevoie doar de parola aia de 5 cifre, este nevoie si de acces la telefonul pe care ai instalat aplicatia ING.

      00
  15. La BRD este cu 3D secure unde ai confirmare cu un cod trimis prin SMS,ceea ce este util in cazul in care iti pierzi cardul si cine il gaseste are intentii rele.

    00
  16. Eu zic ca este o masura implementata la nivel european, nu doar in Ro.
    Si in afara granitelor, sistemul este la fel de ceva vreme (cred ca aprox 1-2 luni).

    Nu vad nimic rau in asta, dimpotriva chiar.
    Singura problema este dificultatea folosirii anumitor aplicatii bancare.

    In rest, dp meu dv, functioneaza foarte bine.

    00
  17. chiar daca ingreuneaza plata, e bine ca se implementeaza asta. Acum 2 saptamani au aparut „vedete” alea carora le-au fost clonate cartele sim. In felul asta au primit eu mereu sms-urile de confirmare plata.

    Cu confirmarea in aplicatie eviti aceste lucruri.

    00
  18. Poate o fi ca la POS, ce este peste 100, PIN.

    00
    • In functie de pos nu mereu ti se cere pin la sume mai mari de 100lei. Plus ca poti apasa tasta verde(fara sa bagi pin ul) si iti apare pe chitanta signature required. Incercat de mai multe ori, uneori a mers(Romania). Prin Asia(singapore/kuala lumpur) am platit de n ori fara pin cu cardurile de mai sus.

      00
  19. Tocmai mi-am schimbat cardul de la ING (Visa) pentru ca cineva s-a apucat sa facă cumpărături online cu cardul meu într-o dimineață. Norocul meu a fost ca am activata opțiunea de „round up” și mi-au venit notificări în acest sens. Sumele au fost în între 80-90 lei. Am blocat imediat cardul, am sunat la ING și în fix 3 zile cei de la Visa mi-au returnat banii. Deci, eu sunt de acord cu masurile suplimentare de siguranță. Dacă nu aveam round up, habar nu aveam ca cineva îmi folosea datele cardului.

    00
  20. O altă fază nasoală e când deschizi aplicația băncii să confirmi plata iar când revii în browser/aplicația magazinului se dă refresh și se duce naibii pagina de plată… (se întâmplă și pe telefoane high-end nu doar la cele cu mai puțini rami).

    00
    • Se poate întâmpla dacă ai multe aplicații deschise si tab-uri in browser față de cat ram este disponibil. Sistemul de operare nu tine pagina in memorie și la revenire trebuie sa facă refresh. Încearcă sa inchizi din ele inainte de a face o plata. N-am pățit dar e bine de știut.

      00
    • codul primit pe sms este afișat în notificarea pop-up și îl introduci imediat

      00
  21. Cineva din familie cu mastercard la Raiffeisen s-a trezit zilele trecute, când a deschis dimineața telefonul, că noaptea pe la 3.00 cineva și-a plătit niste țoale pe un site din Anglia cu banii lui. Suma apărea reținută, nu era încă plătită, a sunat imediat la callcenter și a reclamat, i-au blocat suma și cardul, i-au emis alt card. Suma era destul de mare, cu vreo 400 de lei mai puțin decât totalul de pe card. Deci omul cu șmecheria avea info din interiorul băncii. Persoana nu a plătit niciodată cu cardul online, pentru asta are revolut, nu și-a dat datele de pe el nicăieri, nu știa nimeni câți bani are acolo. Doar banca. Cât durează până face banca anchetă și-i deblochează banii? 30 de zile cu drept de prelungire încă 14. What? Și omul ce face fără banii ăștia atâta timp? Neinteresant pentru Raiffeisen Bank. Nu știu ce sistem de securitate ar mai merge implementat când angajații băncii au acces nelimitat la date.

    00
    • Solutia e simpla: Nu îți ții toti banii in același cont, eventual nu in aceiași banca. Daca nu îți permiti sa ai un cont blocat, sincer cel mai bine ii scoti pe toți și la saltea cu ei.

      00
    • Da da. Când iau salariul, îmi împart suma in trei, deschid încă două conturi și mă rog să nu mi le golească pe toate trei.

      00
    • Termenul de 30 zile nu tine de banca emitenta a cardului tau. Cand contesti o tranzactie, banca ta nu are cum sa investigheze daca nu e tot al ei portalul sau POS-ul, si nici nu poate intreba direct. Tot ce poate face e sa reclame la Visa/ Mastercard care se adreseaza bancii comerciantului, cu termen de raspuns 30 zile. Tine de cum functioneaza tot sistemul de plati cu cardul.

      00
    • Nu am lucrat la Raiffeisen, dar angajatii bancilor la care am lucrat vad doar primele 4 sau 6 cifre si ultimele 4 cifre ale cardului, si nu au acces niciodata la CVV. Acum, daca tu stii sigur ca a fost o lovitura interna.. nu stiu ce sa zic, stiu doar pe unde am sapat (3 banci diferite).

      00
    • @Ambra Conturile nu ti le goleste nimeni asa hocus pocus. Sa zicem ca un angajat care a luat-o razna face asta. Se poate demonstra destul de usor cine, cat si unde transferat. Daca nu ai incredere, pana la urma de ce iti mai tii banii la banca?

      00
    • Cum naiba eu scriu despre o speță concretă și apar comentarii gen „eu știu mai bine dar nu lucrez la bancă”, ” de ce îți ții banii la bancă dacă n-ai încredere” (păi tocmai că aveam încredere, wtf)? Până la urmă totul se rezumă la experiența personală. Când o să pățiți la fel, brusc veti avea tot felul de revelații. Până atunci, vă prezint un caz identic cu cel despre care am povestit, chiar din orașul meu.
      https://www.viata-libera.ro/prima-pagina/142290-contul-bancar-al-unei-galatence-fraudat

      00
    • @Ambra Se poate sa iti fure cineva datele cardului si sa faca plati neautorizate. Nu am auzit niciodata sa nu te despagubeasca banca. Intr-adevar dureaza un pic, timp in care banii pot fi blocati, de aceia am recomandat folosirea mai multor conturi. Exista banci cum e ING care iti ofera un cont de economii care nu te costa nimic.

      Faptul ca e atat de facil sa faci plati online vine la pachet si cu posibilitatea unei fraude. Pana la urma daca fiecare tranzactie ar trebui aprobata manual, totul ar dura mult mai mult si comisioanele ar fi pe masura.

      00
  22. Cat e frauda la nivel european? Foarte mare, ai treaba la greu pe departamentele de imvestigare tranzactii. Cat e pe Romania? Procentual mai mica decat pe tari cu raspandirea cardurilor mai mare si nivel de incredere mai mare in aproapele tau. Oricum si pe posesorii romani ai plangeri foarte multe zi de zi dar nu pt plati la comercianti romani ci pe siteuri din piata asiatica.

    00
  23. Devine din ce in ce mai greu sa cumperi ceva cu cardul soțului/soției ;(

    00
  24. Spre deosebire de US unde platile se pot face doar prin introducerea datelor (adeseori memorate deja de catre terminal) pe magazin, fara coduri SMS, fara alte mizerii, mai ai si „accelerated pay” (cu Google sau Apple Pay), in Europa dar, mai ales, in Romania, zici ca este concurs de descurajat clientul sa achite: redirectionare catre ferestre externe ale procesatorului de plata unde trebuie sa mai stai si dupa nu stiu ce 3D Secure code sau SMS code sau alte minuni doar ca sa faci ceva ce, in lumea cu apa calda, faci in cateva secunde.
    De parca nu exista optiunea de chargeback daca ai o problema si cineva incearca sa iti ia banii cu japca din cont.

    00
    • Tu ai impresia ca organizatiile de cumparatori au cerut mai multa securitate la plati? Schimbarile au fost cerute de comerciantii care sunt jumuliti de bani de catre banci.
      In lumea cu „apa calda” ai mari sanse ca orice refuz de plata sa se termine cu returnarea banilor, chiar daca cumparatorul are sau nu dreptate. Este o practica des folosita de suedejii occicentali care comanda orice, de la mancare la tot ce iti poti imagina, si apoi fac refuz de plata pe motiv ca nu au primit produsul. Banca returneaza banii si comerciantul ramane cu gaura, fiinca nu are cum sa dovedeasca ca a livrat la cumparator.

      00
  25. Bai, eu nu inteleg de ce se caca pe ei cu chestii atat de complicate. SMS pe telefonul inregistrat la banca (sau aplicatie pe acelasi telefon) si gata, s-a terminat cu frauda. Apropo de asta – cumva datele cardului meu au ajuns pe mana unor baieti de bine (probabil de la unul dintre site-urile de pe care am cumparat). Evident ca n-au avut ce sa faca cu ele, doar am inceput sa primesc SMS-uri sa validez tranzactii.

    Bun, vor sari luptatori ai dreptatii sa-mi explice ca nici sistemul asta nu e infailibil, dar astia ar trebui trimisi in pizda mamii lor pentru ca – desi tehnic au dreptate – e atat de scump si greu de realizat incat n-are rost sa incerci.

    00
    • Pentru că securitatea prin SMS e foarte slabă.
      Se poate sparge ușor prin clonări de SIM. E e mai puțin complicat decât sună.
      Cam toate sistemele 2FA bazate pe SMS sunt considerate depășite de vreo 2 ani de zile.

      00
    • Boss, fi atent ce-ti zic: eu iti dau datele cardului meu. Cloneaza-mi tu SIM-ul ca sa primesti codurile pentru tranzactii, ok?

      00
    • uite cum funcționează frauda prin sim:
      https://www.youtube.com/watch?v=caVEiitI2vg
      un străin poate să meargă la operator și să ceară o nouă cartelă de telefon cu numărul tău, cu ajutor din sistem. Din câte știu la noi e nevoie de buletin, dar în clip e destul de clar că s-a trecut peste el.

      00
    • Stai liniștit, nu trebuie să-ți „cloneze” nimeni sim-ul prin nu știu ce metoda tehnică. Mai nou cineva suna la operatorul tau de telefonie și spune că ești tu, da câteva detalii gen data nașterii și unde stai, spune că a pierdut sim-ul și că vrea să fie activat cel pe care îl are. Operatorul ii activează sim-ul și bam, acum are access la toate sms-urile ce vin… Până îți dau tu seama de ce nu mai ai semnal la telefon sau rămas fără bani

      00
    • Gigi, incearca tu asta la Vodafone si spune-mi cum a mers, te rog.

      00
  26. 2FA prin SMS nu este sigur, de aceea se trece la acest sistem.
    Link relevant, s-ar putea sa va schimbe perceptia: https://stirileprotv.ro/show-buzz/entertainment/ce-vedete-din-romania-s-au-trezit-cu-identitatea-furata-si-conturile-golite-ar-fi-vorba-de-50-de-vip-uri.html

    Ps: si mie mi se pare anevoios, dar presupun ca nu au alta varianta mai buna deocamdata.

    00
  27. Las un link către un articol destul de recent

    https://www.zdnet.com/article/microsoft-urges-users-to-stop-using-phone-based-multi-factor-authentication/
    Mai căutați și știrea aia cu vedetele noastre lăsate fără bani de haxxorii care le-au schimbat sim-urile și o sa ajungeti încet încet la concluzia că …

    … doar cartela SIM și numărul de telefon nu sunt instrumente suficient de sigure pentru certificarea identității la folosirea 2FA.

    00
    • Pai daca esti atat de prost incat vine unu’ si-ti ia simul din telefon, ti-o iei indiferent de orice masura de securitate.

      Daca vorbim de hoti high-tech care seteaza pun de-un gsm tower spoofing, aia trebuie sa fie langa (ma rog, in zona) si alea sunt chestii targetate cu un alt scop, nu sa fure 1000 de euro de pe un card (sau cat o fi tranzactia maxima).

      Altfel spus, daca vrei sa fi sigur ca nu-ti fura cineva datele cardului cand ai facut o tranzactie pe alibaba, 2FA cu SMS e destul, pentru ca – chiar daca Jing Ping Pong ti-a luat datele cardului, el e in China, n-are la dispozitie metode prin care sa intercepteze comunicatia telefonului tau cu antena GSM, ca sa puna mana pe codul trimis prin SMS.

      00
    • Sabotor – nu le-a furat nimeni sim-ul, ci baietii au lucrat prin ‘call center’, aveau alte date si a mers ingineria sociala sa activeze alt sim cu numarul lor.

      00
    • @costelush
      ok, dar atunci, tot prin call center (la banca, de data asta) si social engineering poti sa iei orice, indiferent de masurile de siguranta.

      Adica in loc sa suni la call center la operatorul de telefonie, suni la call center la banca si de dai drept xulescu cu datele lui si-i convingi ca trebuie sa reinstalezi aplicatia pe telefon. sau ca ai nevoie de refresh la certificatul cu care te loghezi pe internet banking.

      00
  28. Pai uita-te de exemplu la noua fitza in materie de tzepe … pe olx, trimit oamenii ceva link cu olx in nume pe care cica poti face plata direct…si iti umfla datele de pe card. Oamenii sunt foarte putin educati cand vine vorba de chestii de genul, de asta inca prind tot felul de tepe… unii ii zic naivitate, altii prostie.

    00
  29. Orice control e binevenit si asta nu face decat sa sporeasca siguranta platii. Daca nu ar fi, atunci sistemele ar fi fost mai usor de pacalit. E ceva de genul, de ce sa mai facem vaccin de x boala, ca oricum incidenta a scazut. Si dupa x ani incep sa creasca nr de cazuri.

    00
  30. Deci la ING sistemul acum e in felul urmator. Persoana juridica, vrei sa platesti cu card si trebuie sa te conectezi in homobank sa aprobi. Atata doar ca nu in homobank al persoanei juridice, aprobi plata cu cardul firmei de pe contul personal.
    Retardatii care au gandit sistemul nu au luat in calcul ca poate nu ai cont personal la ING?!
    Si uite cum stateam eu ca prostul si cautam prin contul firmei sa aproba plata. MUIE ING!

    00
  31. Daca ai doua conturi la ING (PF si PJ) ma pune sa intru in aplicatie pe contul de PF sa aprob platile pentru PJ. Genial.
    Revin la token clasic cu butoane daca se poate.

    00
  32. Ceva nu e coser in treaba asta. Procesatorul de plati cred ca are o buba.
    In lumea normala in cazul unei tranzactii ciudate pe card de credit, banca iti ramburseaza banii intii si apoi merg dupa procesatorul de plati sau magazin sa-si recupereze banii.

    00
  33. E la nivel international, in Franța am fix același sistem: confirmare sistematica pe mobil, ba chiar un token fizic suplimentar in cazul adăugării unui nou beneficiar pentru un virament.

    00
  34. 2FA/MFA cu telefonu prin sms/apel va fi schimbat cu app auth care devine standard. ING copiaza cam tot ce au scos startup-urile fintech. App auth nu e ceva nou, dar pentru banci este.

    00
  35. Înapoi la plata ramburs.

    00
  36. Avand in vedere ca tot suntem oarecum pe subiect, am si eu o nelamurire: care ar putea fi interesul emag de, in ultima perioada, vad din partea lor atata push catre salvarea datelor cardului in contul meu. Cu ce ii ajuta asta? Nu ar fi mai dezirabil, din punctul lor de vedere, sa detina cat mai putine astfel de date (think data leaks)?

    Nota pentru sefu’: poti sa nu lasi comment-ul meu sa treaca de moderare daca ai un raspuns pe care preferi sa mi-l livrezi direct. Altfel, sterge acest ultim paragraf inainte de publicare ;) In plus, ca sa nu fac thread separat (si stiu regulile, tu decizi), care e rolul codurilor postale in Ro? Ma uit in afara si vad ca sunt cu adevarat folosite, la noi sunt… ca sa nu zicem ca nu avem.

    00
    • Pai odata ce datele cardului tau sint in sistem e mai usor sa comanzi de la ei decit de la competitori unde trebuie sa le introduci.

      00
    • Pentru a incuraja comenzile impulsive. Asa mi-am cumparat eu google home, pe care, cel mai probabil, nu l-as fi cumparat daca trebuia sa ma ridic sa iau portofelul.

      00
  37. Mai au puțin și te pun să suni în call center să autorizezi plata.
    Și partea foarte funny e că după ce intri în aplicația home bank din notificarea venita pe telefon, te mai pun să mai introduci odată parola să autorizezi plata, ei încă nu au aflat că aplicația home bank necesită autentificare.

    00
  38. NOU
    #97

    One word: chargeback.

    Sa zicem ca esti eMag (ipotetic vorbind).
    Daca banca vine si iti zice „hei am un chargeback de xxxx lei pe un card folosit la tine” si tu vezi ca are 3DS, zici „hei, not my problem”, iar banca iti raspunde „understandable, have a nice day”. De asta e bun 3DS.

    00
  39. Eu sunt multumit de ING per total, insa logica lor ma bate.

    Ma autentific cu amprenta, dar la tranzactii imi cere parola. De ce, mi-a luat cineva telefonul din mana intre timp? M-am mozolit pe degetul ala chiar atunci, dupa autentificare?

    Acum vreo luna inca mai cereau parola intre amprente la autentificare, pe motiv sa nu o uit. Stupid.

    Plata online cu notificare in aplicatie, iarasi. Ma autentific cu parola dar ca sa confirm tranzactia, parola! Bai nene.

    Si cum zicea cineva mai devreme, plata online prin afara nu mai cere nicio amprenta sau parola.

    In alta ordine de idei, Google Pay-ul pare sa nu mai ceara PIN, am trecut de 10 tranzactii.

    00
    • Intr-adevar, le-am trimis si eu vreo doua mailuri cu sugestii de imbunatatire a „usabilitatii”.

      Pe mine ma enerveaza haptic feedback-ul ala la logare si la tranzactii si nu am cum sa il scot. Adica nene, introduc parola, vad ca am intrat in aplicatie, nu e nevoie sa ma vibrezi. La tranzactii la fel, e suficient sa imi afisezi mesajul ala albastru in aplicatie, sunt chiar acolo si il vad. Poate sunt alte considerente pentru persoane cu disabilitati, caz in care ar putea sa faca optiunea configurabila. In cazul meu se va situa cu mormaieli noaptea, in vacante, cand verific ce tranzactii am facut in ziua respectiva, mai mut bani dintr-un cont in altul; si cum sotia doarme iepureste… o reteta de succes.

      Sau ar putea imbunatati metoda de refresh la sold, pentru ca daca fac o plata online cu aplicatia deschisa apare notificarea ca s-a efectuat plata, dar soldul contului ramane neschimbat indiferent ce actiuni fac (schimbare intre paginile plati-portofoliu, vizualizare raport tranzactii etc.) Doar re-login sau sa incerc sa fac o tranzactie care sa depaseasca soldul contului, dar mi se pare cam mult totusi…

      Notificarile push pentru tranzactiile in valuta afiseaza moneda RON.
      Nu pot sa imi vad numarul unui card in aplicatie. Bine ca am Revolut…

      Au modificat textul SMS-ului pentru codul 3D Secure (nu stiu daca aici tine de ei sau de VISA) si acum nu se mai vede codul in preview-ul SMS-ului pe ecran, trebuie deschis mesajul. More actions for the people.

      Mi-ar fi placut sa am un buton prin care, (doar) la plati intre conturile mele, sa pot copia/transfera tot soldul din contul sursa, sa nu trebuiasca sa il completez manual. Cand ai un cont dedicat pentru plati online si muti bani dintr-o parte in alta e util.

      00
  40. ing e din ce in ce mai enervant

    cretinatati la ei – platesti OP-uri de facturi pt. 2-3 apartamente, si la a 3a tranzactie din aplicatia web sare ca hai pune parola si un sms ca astia 50 ron pe care ii platesti in fiecare luna la rds/electrica/gdf par suspecti. nu conteaza ca ai formular salvat si deci nu pleaca pe alt cod client, nu conteaza ca banii ii trimiti la un furnizor de servicii cu cont la ing, nu conteaza nimic in afara ca de la 3-5 tranzactii in sus sare jucaria, prima poate sa fie si de 500 ron nu sare, dar dupa a 5a noroc bun si pentru 5 ron bagi sms si parola

    00
    • Exact asta este una dintre cerintele noi diresctive PSD2: sa iti fie solicitata parola la fiecare a 5-a tranzactie.
      Acum ca la tine s-a intamplat sa fie vorba de tranzactia de 50 sau 5 lei p[oate fi putin enervant.

      00
  41. Nu înțeleg unde e problema.
    In primul rand mi se pare de două ori mai ușor să dai click pe un buton pentru confirmare decât să aștepți in SMS și apoi să introduci acel număr manual
    In al doilea rând este mai securizat așa pentru că cineva poate să sune la operator, să zică că ești tu, activează în nou SIM și are access la sms-urile noi.
    Dacă nu mă înșel toate modificările acestea sunt aduse de directiva psd2 și unele tranzacții o sa fie și mai greu de făcut.

    00
  42. chestie funny tot pe zona asta: https://www.bancatransilvania.ro/files/oug113-2009oug50-2010/Conditii-generale-de-afaceri-persoane-fizice-3.5.9.pdf

    pag 66 raspundere

    cred ca e prima data cand vad un ToS in care aia sa spuna ca nu raspunde de nimic in zona in care sunt strict raspunderile lor

    00
  43. Si BT si azi am observat si in Revolut, aceeasi mizerie de 2 factor. daca pana acuma era un landing page pentru codu ala din sms, pe care iOS il preia automat in pagina fara sa trebuiasca sa iesi din app (probabil si pe android e la fel, nu stiu), acuma tre sa mergi in alt app (la BT e BT Pay) sa deschizi o sectiune de notificari (care nu face push, nu stii daca e sau nu ceva acolo), sa deschizi notificarea si sa autorizezi.

    10000 de clicuri sa platesc o ciorba. noaptea mintii.

    Inteleg nevoia de a proteja cardurile si clientii bancilor de fraude, da nu se putea gandi cineva ca pentru usability, ar ajuta sa introduca tot ritualu asta pagan, de la macar 100-200 lei in sus?

    00
    • Eu ma cert cu banca sa imi trimita notificare din asta si la platile facute la comercianți care nu au implementat 3DS. Nu vreau sa se faca nici o plata online fara aprobarea mea, poate sa fie si de 5 lei.

      00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de la eMAG, de la Finestore, de la PORC sau de la Aceeași Mărie.

Pun clipuri pe Youtube