Ελληνική Ένωση Τραπεζών: Ισχυρή Ταυτοποίηση Πελάτη – Συχνές ερωτήσεις και Απαντήσεις

[aroutis]

Σε τράπεζα του εξωτερικού είτε δουλεύει με authenticator είτε με push notification στο app του iOS/Android.

Το push notification το έχουν συγκεκριμένες τράπεζες και εδώ.
Το authenticator το προτιμώ και εγώ.

Απ΄οτι είμαι σε θέση να γνωρίζω , το hardening του Security είναι στην ατζέντα γενικότερα και συνέχεια.Το πρόβλημα ειναι ότι πολλοι απλά γκρινιάζουν, ακριβώς γιατί δεν αντιλαμβάνονται την έννοια και σημασία του security.

[globalnoise]

Οι Ελληνικές τράπεζες φτασανε στο σημείο να χρεώνουν πανάκριβα την παραμικρή συναλλαγή αλλά απο άποψη εξυπηρέτησης και ασφάλειας ΕΠΙΑΣΑΝ ΠΑΤΟ!
Συνέχεια κλείνουν καταστήματα και αλλάζουν προσωπικό με αποτέλεσμα να μην μπορείς να εξυπηρετηθείς κάθε 3μηνες αναλαμβάνει άλλος υπάλληλος.
Τα τηλεφ. κέντρα εξυπηρέτησης αν δεν είσαι business πελάτης είναι πάνω από 10 λεπτά αναμονή και υπάρχει απειρία σε εξειδικευμένα ερωτήματα και ζητήματα.
Κι όσο για ασφάλεια συναλλαγών ebanking... με ένα sim swapping ΦΙΛΑΚΙΑ!
Καλωσηλθατε στη Νέα Εποχή!
Αντε πάμε να δούμε κανένα ωραιο σποτάκι πόσο φουτουριστικα γραφικά έχει το ανανεωμένο ebanking.. και πόσο δίπλα μας είναι η τράπεζα ... και πόσο φιλική στο περιβάλλον κλπ!!

Έχουν θέμα με το certificate, κατά τα άλλα μας πουλάνε ασφάλεια

Όλο γκρίνια και μιζέρια. Όλη την ώρα, μια ζωή.

Ο ένας φιλάκια με sim swapping, που είναι από τα βασικότερα προβλήματα που λύνει το Strong customer authentication (SCA), το περιεχόμενο δηλαδή της ίδιας της ανακοίνωσης στην οποία σχολίασε, ο άλλος ειρωνία για το certificate σε URL με IP αντί για domain..

Σε άλλες χώρες τι προστασία έχουν οι τράπεζες έναντι του sim swapping? Ειλικρινά ρωτάω γιατί έχω ακούσει για πολλές απάτες αυτού του τύπου ιδίως σε χ'ωρες του εξωτερικού?

Αυτή αρκιβώς που έχουμε και εμείς πλέον με το SCA. 2FA, δηλαδή, συνδυασμός ζευγαριού από: username/password, Biometric authentication (από σοβαρούς κατασκευαστές / λειτουργικά), one-time key SMS, one-time key generator, token από e-banking application.

[nnn]

ώπα μεγάλε, συγνώμη αν σε θίξαμε, με την μιζέρια μας.

[JpegXguy]

Αυτή αρκιβώς που έχουμε και εμείς πλέον με το SCA. 2FA, δηλαδή, συνδυασμός ζευγαριού από: username/password, Biometric authentication (από σοβαρούς κατασκευαστές / λειτουργικά), one-time key SMS, one-time key generator, token από e-banking application.

Οκ πήγα κι εγώ να κάνω SCA μέσα από το internet banking και σου βγάζει prompt για αποδοχή... και μετά OTP με SMS πάλι. Πιο είναι το νόημα; Δεν υποτίθεται πως έπρεπε να γλιτώσουμε από το SMS? Μόνο στο NBG authenticator κάνεις δουλειά χωρίς SMS (αλλά πάλι στέλνεις πληροφορίες). Δεν θα ήταν τέλειο να υποστήριζαν TOTP?

[nnn]

Η σελίδα τους χτες δεν άνοιγε, και έβγαινε πρόβλημα πιστοποιητικού και μόνο με αποδοχή ρίσκου, μπήκα σε αυτήν. Να μην το πούμε ?

[tsigarid]

Και το app του iOS/Android για να σε πιστοποιήσει ώστε να μπορείς να το χρησιμοποιήσεις στέλνει SMS στον εγκεκριμένο αριθμό κινητού... SIM swapping λοιπόν και είσαι στον ίδιο παρανομαστή.
Η διαδικασία ισχυρής ταυτοποίησης έχει πλέον μεταφερθεί στους mobile παρόχους, που πλέον κοντεύουν να σου κάνουν και εξέταση DNA αν θες να ενεργοποιήσεις SIM ούτως ώστε να περιοριστεί η πιθανότητα sim swapping...

Που το είδες αυτό; Στις ΗΠΑ έχω ξεχάσει πότε μου έστειλε τελευταία φορά SMS η τράπεζά μου. Νομίζω ποτέ.

[dimyok]

Εδω τα μπουρδ@λα να κοβουν πληρωμες δεη / οτε και να στελνουν sms με λινκ χωρις ασφαλεια για να μας ειδοποιούν για σελφ φισινγκ ( η εθνικη θελει και 3 app ) Α ναι και γιατί μετα τα sms το καναμε μέσω viber και σας το κανουμε καλυτερα τωρα με Authenticator . Μεχρι να υποχρεωθει ο γερος να παει να πληρωνει με valeur

[tsigarid]

Τα authenticators δουλεύουν με QR code απ' όσο ξέρω, οπότε δεν καταλαβαίνω αυτή τη συζήτηση με τα SMS.

[ChriZ]

Που το είδες αυτό; Στις ΗΠΑ έχω ξεχάσει πότε μου έστειλε τελευταία φορά SMS η τράπεζά μου. Νομίζω ποτέ.

Αναφέρομαι στο 1 SMS που θα στείλει την πρώτη φορά για να πιστοποιήσει υποτίθεται ότι είσαι εσύ και να μπορέσει να γίνει επικύρωση της συσκευής σου ώστε να παίρνει push notifications από την τράπεζα.
Αυτό το 1 αρκεί αν έχει γίνει sim swapping, έτσι δεν είναι;
Τουλάχιστον έτσι νομίζω ότι δουλεύουν αυτές οι mobile εφαρμογές ...

[globalnoise]

Οκ πήγα κι εγώ να κάνω SCA μέσα από το internet banking και σου βγάζει prompt για αποδοχή... και μετά OTP με SMS πάλι. Πιο είναι το νόημα; Δεν υποτίθεται πως έπρεπε να γλιτώσουμε από το SMS? Μόνο στο NBG authenticator κάνεις δουλειά χωρίς SMS (αλλά πάλι στέλνεις πληροφορίες). Δεν θα ήταν τέλειο να υποστήριζαν TOTP?

Όχι δεν "γλυτώνεις" από SMS. Απλά πλέον χρειάζονται τουλάχιστον 2 πιστοποιήσεις, δεν γίνεται μόνο με SMS ή μόνο με prompt.

Κάποιος με SIM swapped κάρτα δηλαδή δεν μπορεί να προχωρήσει σε SCA ταυτοποίηση. Χρειάζεται τουλάχιστον ένα ακόμα τρόπο authentication.

Εδω τα μπουρδ@λα να κοβουν πληρωμες δεη / οτε και να στελνουν sms με λινκ χωρις ασφαλεια για να μας ειδοποιούν για σελφ φισινγκ ( η εθνικη θελει και 3 app ) Α ναι και γιατί μετα τα sms το καναμε μέσω viber και σας το κανουμε καλυτερα τωρα με Authenticator . Μεχρι να υποχρεωθει ο γερος να παει να πληρωνει με valeur

Πέρα απ'το οτι κάτι δεν πήγε καλά με το παραλήρημα, τι λέγαμε για τη γκρίνια / μιζέρια?

Αναφέρομαι στο 1 SMS που θα στείλει την πρώτη φορά για να πιστοποιήσει υποτίθεται ότι είσαι εσύ και να μπορέσει να γίνει επικύρωση της συσκευής σου ώστε να παίρνει push notifications από την τράπεζα.
Αυτό το 1 αρκεί αν έχει γίνει sim swapping, έτσι δεν είναι;
Τουλάχιστον έτσι νομίζω ότι δουλεύουν αυτές οι mobile εφαρμογές ...

Μα το λες μόνος σου, για να γίνει επικύρωση της συσκευής σου από το app. Που σημαίνει οτι πρέπει να γνωρίζει username/password ο attacker.

Αν κάποιος attacker γνωρίζει username/password και κάνει και SIM swap τότε ναι, έχει SCA.

Μέχρι τώρα χρειαζόταν μόνο SIM swap.

[ChriZ]

Και έτσι όπως είναι τώρα το ebanking εχει user/pass. Αυτοί που τα κάνουν αυτά βρίσκουν/έχουν user/pass από ebanking/ email κλπ και μετά πανε στο sim swapping.

[tsigarid]

Αναφέρομαι στο 1 SMS που θα στείλει την πρώτη φορά για να πιστοποιήσει υποτίθεται ότι είσαι εσύ και να μπορέσει να γίνει επικύρωση της συσκευής σου ώστε να παίρνει push notifications από την τράπεζα.
Αυτό το 1 αρκεί αν έχει γίνει sim swapping, έτσι δεν είναι;
Τουλάχιστον έτσι νομίζω ότι δουλεύουν αυτές οι mobile εφαρμογές ...

Ξαναλέω, δεν θυμάμαι να μου έχει στείλει ποτέ SMS η τράπεζά μου. Ίσως να μην το θυμάμαι γιατί έχω το app εδώ και χρόνια.

[JpegXguy]

Όχι δεν "γλυτώνεις" από SMS. Απλά πλέον χρειάζονται τουλάχιστον 2 πιστοποιήσεις, δεν γίνεται μόνο με SMS ή μόνο με prompt.

Κάποιος με SIM swapped κάρτα δηλαδή δεν μπορεί να προχωρήσει σε SCA ταυτοποίηση. Χρειάζεται τουλάχιστον ένα ακόμα τρόπο authentication.

Το SMS δεν ανήκει σε αυτή τη διαδικασία είναι ανασφαλές και δεν λειτουργεί αν δεν έχεις σήμα. Έχω πολλές περιπέτειες με αυτό. Στη Vodafone δεν λειτουργεί μέσω WiFi όπως οι κλήσεις οπότε μένει μόνο το Viber. Awkward τελείως. Χίλιες φορές καλύτερα TOTP. Επίσης με αυτό τον τρόπο έχεις 3 φάσης αυθεντικοποίησης και καταντά κουραστικό: Πληροφορίες κάρτας - Prompt - SMS/Viber. ουφ.

Ευτυχώς υπάρχει το NBG Authenticator αλλά 1) ΑΛΛΗ μια εφαρμογή που έβγαλε η Εθνική μαζί με τις 45 που έχει και 2) θέλει κινητό με αναγνώστη αποτυπωμάτων, που ευτυχώς έχω.

Overall καλά που υπάρχει και η ΕΕ και πιέζει γιατί είναι ένα βήμα μπροστά αλλά ωραία θα ήταν να μην έμπλεκε το SMS πουθενά

Off Topic

Είδε κανένας τη ενημέρωση της εφαρμογής της Εθνικής με υποστήριξη NFC; Είναι πολύ μεγάλο νέο αλλά στη συσκευή γνωστού μου δεν είναι διαθέσιμη η ενημέρωση (από 4.12.0 σε 5.0.1). Την έχουν σε περιορισμένο testing και είμαι εκλεκτός ή κάτι πάει στραβά και πρέπει να το κοιτάξω για να του έρθει;

[sdikr]

Off Topic

Είδε κανένας τη ενημέρωση της εφαρμογής της Εθνικής με υποστήριξη NFC; Είναι πολύ μεγάλο νέο αλλά στη συσκευή γνωστού μου δεν είναι διαθέσιμη η ενημέρωση (από 4.12.0 σε 5.0.1). Την έχουν σε περιορισμένο testing και είμαι εκλεκτός ή κάτι πάει στραβά και πρέπει να το κοιτάξω για να του έρθει;

Off Topic

Τελευταία τράπεζα που δίνει τέτοια δυνατότητα, σε εμένα κατέβηκε κανονικά Poco x3 χωρίς root

[Eaglos]

Η μόνη αλλαγή που παρατήρησα σε πληρωμή λογαριασμού internet ήταν η ακόλουθη.

Στο site της συνεργαζόμενης με τον ISP τράπεζας, κάτω από στοιχεία της κάρτας μου
και κάτω το πεδιό για τον εξαψήφιο κωδικό sms/viber που θα μου στείλει η τράπεζα
της κάρτας μου, υπήρχε επιπλέον νέο πεδίο όπου έπρεπε να βάλω το ΑΦΜ μου και
στη συνέχεια μου ζήτησε να δημιουργήσω ένα τριψήφιο pin.

Φαντάζομαι ότι κάθε φορά θα μου ζητάει το συγκεκριμένο uncrackable pin η συγκε-
κριμένη τράπεζα για να διασφαλίσει τη συναλλαγή :P