e-banking

[runner70]

Κάνεις το εξής: στον υπάρχοντα κωδικό προσθέτεις 2 χαρακτήρες που τους θυμάσαι και στην επόμενη αλλαγή τους αφαιρείς, έτσι γλυτώνεις το Alzheimer

Η εθνικη τουλαχιστον ειχε password history, η πειραιαώς όχι, αρα δεν μπορουσες να βαλεις το ίδιο. Btw η Πειραιως το γύρισε πλεον σε max υποχρεωτική 3ημηνη αλλαγη password αντι για 6 που είχε μέχρι τώρα.

[bomberb17]

Τί διαφορά θα είχε αν η ταυτοποίηση γινόταν αντί για viber με sms στο κινητό?

Η όλη λογική του 2fa είναι ότι ο χρήστης ταυτοποιείται μέσω 2 ξεχωριστών καναλιών, το οποίο το ένα δεν μπορεί να αλληλεπιδράσει με το άλλο με οποιοδήποτε τρόπο.
Γιαυτό και για 2fa χρησιμοποιείται συνήθως authentication token (είτε μέσω google authenticator είτε μέσω security token device) ή SMS.

Στην περίπτωση του Viber αυτό καταστρατηγείται γιατί το Viber έχει και αυτό username/password το οποίο είναι ευάλωτο σε τέτοιου είδους επιθέσεις, και επίσης πλέον η ασφάλεια του 2fa είναι όσο ασφαλής είναι η υποδομή του Viber (με ότι αυτό συνεπάγεται).

[sdikr]

Η όλη λογική του 2fa είναι ότι ο χρήστης ταυτοποιείται μέσω 2 ξεχωριστών καναλιών, το οποίο το ένα δεν μπορεί να αλληλεπιδράσει με το άλλο με οποιοδήποτε τρόπο.
Γιαυτό και για 2fa χρησιμοποιείται συνήθως authentication token (είτε μέσω google authenticator είτε μέσω security token device) ή SMS.

Στην περίπτωση του Viber αυτό καταστρατηγείται γιατί το Viber έχει και αυτό username/password το οποίο είναι ευάλωτο σε τέτοιου είδους επιθέσεις, και επίσης πλέον η ασφάλεια του 2fa είναι όσο ασφαλής είναι η υποδομή του Viber (με ότι αυτό συνεπάγεται).

Πότε απέκτησε αυτό το πράγμα το viber;
Για να συνδεθεί στέλνει sms στην συσκευή σου, δεν βάζεις κάποιο user/pass

[bomberb17]

Πότε απέκτησε αυτό το πράγμα το viber;
Για να συνδεθεί στέλνει sms στην συσκευή σου, δεν βάζεις κάποιο user/pass

https://account.viber.com/en/login

Μόλις έκανα login και δε μου ζήτησε κανένα SMS.

Από εκεί και πέρα δε ξέρω τι μπορείς να κάνεις, σίγουρα τα γατόνια που επιτέθηκαν στον elninio13 βρήκαν τον τρόπο. Και όπως είπα, έχοντας 2fa με viber τη ασφάλειά σου πλέον την έχεις εναποθέσει στους security engineers του viber.

[sdikr]

https://account.viber.com/en/login

Μόλις έκανα login και δε μου ζήτησε κανένα SMS.

Από εκεί και πέρα δε ξέρω τι μπορείς να κάνεις, σίγουρα τα γατόνια που επιτέθηκαν στον elninio13 βρήκαν τον τρόπο. Και όπως είπα, έχοντας 2fa με viber τη ασφάλειά σου πλέον την έχεις εναποθέσει στους security engineers του viber.

Για να δουλέψει αυτό πρέπει να έχεις κάνει λογαριασμό viber out. κατεβάζοντας το viber για κινητό σου ζητάει νούμερο και μετά στέλνει sms, κατεβάζοντας την εφαρμογή στο Pc σου ζητάει να το σκανάρεις απο το viber στο κινητό.

- - - Updated - - -

Και δεν δίνει πρόσβαση στις επαφές ή στα Μηνύματα είναι μόνο για να δεις τα σχετικά με το viber out, εκάνα μόλις τώρα λογαριασμό αφού πρώτα μου ζήτησε να στείλει sms στο κινητό.

[bomberb17]

Για να δουλέψει αυτό πρέπει να έχεις κάνει λογαριασμό viber out. κατεβάζοντας το viber για κινητό σου ζητάει νούμερο και μετά στέλνει sms, κατεβάζοντας την εφαρμογή στο Pc σου ζητάει να το σκανάρεις απο το viber στο κινητό.

Δε θα πρέπει να μας απασχολεί υπό ποιες προυποθέσεις μπορεί να δουλέψει. Η ουσία είναι ότι υπάρχει τρόπος τα 2 "κανάλια" authentication του χρήστη να "διασταυρωθούν" με ότι αυτό συνεπάγεται για την ασφάλεια του χρήστη.

[sdikr]

Δε θα πρέπει να μας απασχολεί υπό ποιες προυποθέσεις μπορεί να δουλέψει. Η ουσία είναι ότι υπάρχει τρόπος τα 2 "κανάλια" authentication του χρήστη να "διασταυρωθούν" με ότι αυτό συνεπάγεται για την ασφάλεια του χρήστη.

Ναι αν σου πάρει κάποιος το κινητό μπορεί να γίνει αυτό
Αν στο πάρει όμως, έχει πρόσβαση και στο sms και στον authenticator

Να συνδεθεί στο viber απο άλλη συσκευή δεν μπορεί

[bomberb17]

Τα otp με απο την εθνικη ειχαν σταματησει πλεον να ερχονται με sms ειχαν μπει μεσα και ειχαν επιλεξει να ερχονται ολα με viber το δικο μου viber ειχε νεκρωσει,ειχαν καταφερει να κανουν στο κινητο μου μαρκας iphone προωθηση κλησεων σε ελληνικο κινητο(πραγμα το οποιο το καταλαβα την επομενη μερα το μεσημερι) και ετσι ειχαν τον απολυτο ελεγχο

Και αυτό.

- - - Updated - - -

Ναι αν σου πάρει κάποιος το κινητό μπορεί να γίνει αυτό
Αν στο πάρει όμως, έχει πρόσβαση και στο sms και στον authenticator

Άμα σου κλέψει κάποιος το κινητό ή το authentication token device είναι σαν να σου κλέψουν τα κλειδιά του σπιτιού σου, το πας πολύ μακριά.

[dimitri_ns]

Και αυτό.

- - - Updated - - -



Άμα σου κλέψει κάποιος το κινητό ή το authentication token device είναι σαν να σου κλέψουν τα κλειδιά του σπιτιού σου, το πας πολύ μακριά.

find my device
Μόλις το κινητό βρεί internet κλειδώνει/κάνει επαναφορά εργοστασιακών κλπ.

[bomberb17]

find my device
Μόλις το κινητό βρεί internet κλειδώνει/κάνει επαναφορά εργοστασιακών κλπ.

Σύμφωνοι, ένας παραπάνω λόγος λοιπόν ότι το SMS/google authenticator είναι πιο ασφαλές.

[elninio13]

καλησπερα και παλι σε ολους

οπως μπορειτε να καταλαβετε δεν εγραψα την εμπειρια μου για να ψαξω για δικαιολογιες ή να αποδωσω ευθυνες στην google η σε οποιοδηποτε αλλο μεσο
Εγω ανοιξα την πορτα δινωντας προσβαση μεσω google κάνοντας εγγραφη σε site με την χρηση του ελεγχου της ταυτοτητας μου μεσω του εικονιδιου της google δηλαδη μεσω του gmail.
Δεν μου φταιει κανεις που εγω σαν εξυπνος ειχα αποθηκευσει τους κωδικους μου συμπεριλαμβανομενου και των κωδικων των τραπεζων,δεν μου φταιει κανεις που ενω συνεχως το gmail με ενημέρωνε αν ολα τα στοιχεια μου ειναι σωστα και αν θελω να κανω χρηση του 2fa εγω ελεγα σιγα μωρε μην καθομαι καθε φορα να βαζω το νουμερο που μου στελνει η google για να μπω στον λογαριασμο μου εμενα θα βρουν να χακαρουν,ουτε μου φταιει η εθνικη που καταφεραν και μπηκαν στον λογαριασμο μου αφου εγω ειχα δωσει φορα παρτιδα τα στοιχεια μου

Το δυσκολο κομματι για τα χακερονια τους το εδωσα εγω δυστυχως στο πιατο
Τους κωδικους μου δηλαδη
Το προβλημα μου ειναι αν και κατα ποσο ειναι αξιοπιστες οι εταιρειες κινητης που με αυτα τα στοιχεια που ζητουν κανουν την εκτροπη(Σημερα εκανα μονος μου στην εξυπηρέτηση πελατων της vodafone την διαδικασια για την προωθηση κλησεων σε αλλο αριθμο εγινε ακριβως αυτο που μου ειχαν πει χθες,ζητησαν δηλαδη ονομα επιθετο αρ.ταυτοτητας πατρωνυμο αφμ και ημερομηνια γεννησης και ετσι απλα και ωραια εγινε η πιστοποιηση των στοιχειων μου) χωρις να ζητουν κατι αλλο για να επιβεβαιωθούν τα στοιχεια μας. Ενας φιλος σε παραπανω post εγραψε ενα τροπο να εχουμε πχ ενα μυστικό συνθηματικό και να το λεμε στο τηλ ωστε να προχωρησει το καθε λογης αιτημα η καποιο pin οπως γινεται στο telephone banking

Επισης το θεμα τοy viber αν ισχυουν αυτα που μου ειπαν απο την διωξη ειναι αληθεια τοτε ναι ειναι τρύπιο τελείως και πρεπει αμεσα οι τραπεζες να βρουν τροπο να το διορθώσουν
Ξαναγραφω την διαδικασια οπως μου την ειπαν απο την διωξη ηλεκτρονικου εγκληματος.
Οταν εγινε η εκτροπη στο αριθμο μου ταυτοχρονα εκεινοι ενεργοποιησαν σε δικο τους περιβαλλον(smartphone,laptop,tablet)εκ νεου το viber κανοντας χρηση του δικου μου αριθμου.
Με αυτον τον τροπο το μηνυμα ή η κληση ενεργοποίησης αντι να ερθει σε εμενα πηγαινε σε εκεινους οποτε ολα τα otp απο εκει και επειτα τα ειχαν εκεινοι και εκαναν οτι ηθελαν.
Με την προώθηση κλησεων τα sms που στην αρχη λαμβανα στον κινητο μου τα ειχα εγω και λογικα χωρις να μπορω να το πω με βεβαιοτητα τα ειχαν και εκεινοι αλλα οταν προλαβα να αλλαξω τον κωδικο μια φορα την αμεσως επομενη φορα που προσπαθησα να τον αλλαξω και παλι(καθως μου ειχε ερθει sms οτι ο κωδικος ΞΑΝΑ-αλλαξε επιτυχως)δεν μπορουσα αφου τα otp ηταν πλεον μονο στο viber στο δικο τους πλεον περιβαλλον και οχι σε εμενα

Τωρα κατα ποσο ισχυει αυτο και αν οντως ετσι εχει γινει η δουλεια πραγματικα δεν ξερω καθως και στην διωξη δεν ειχαν σαφη απαντηση περα του οτι καντε μηνυση και εμεις θα το ψάξουμε και θα σας απαντήσουμε

Ημουν πολυ τυχερος μεσα στην ατυχια μου και ευτυχως η ζημια ηταν ελαχιστη και ισως και να επιστραφουν και τα χρηματα που εχασα 50€.
Οπως και να εχει επρεπε να παθω αυτη την ζημια για να εχω πλεον ενεργο σε οποιο site το υποστηριζει το 2fa εχω ηδη κανει σκαναρισμα για malware και keylogger επειτα εκανα και format στον υπολογιστη αλλαξα ολους τους κωδικους μου αλλαξα ταυτοτητα καθως πολυ πιθανο να εχει τα στοιχεια μου καθως απο την vodafone με ρωτησαν τα στοιχεια που ειπα και πιο πανω για να γινει η προωθηση,οποτε λογικα τα εχουν
Τωρα αν υπαρχει αλλος τροπος που μπορει ενα λογισμικο η καποιος αλλος να κανει προωθηση κλησεων σε αριθμο τριτου χωρις τηλεφωνικη εντολη αυτο δεν το ξερω,η εκδοχη που μαλλον στέκει ειναι αυτη που μου περιεγραψε η διωξη ηλεκτρονικου εγκληματος
ΕΠισης στην ερωτηση μου στην vodafone πότε και αν ζητήθηκε στα στοιχεια μου να γινει η παραπανω ενεργεια δεν εχει να μου δωσει κανεις απαντηση καθως στην καρτελα μου δεν φαινεται καμια απολυτως κινηση ή αιτημα για ενεργοποιηση εκτροπης κλησεων
Η πλακα ειναι οτι στο σταθερο μου εχω ηδη ενεργη εκτροπη προς το δικο μου κινητο καθως εχω καταστημα και οταν τους ρωτησα αν βλεπουν ενεργη εκτροπη στον σταθερο μου τηλ μου απαντησαν οτι στο σταθερο σας δεν υπαρχει καμια τετοια εντολη.
Τα συμπερασματα δικα σας και καθε γνωμη δεκτή

[narsis]

καλησπερα και παλι σε ολους

οπως μπορειτε να καταλαβετε δεν εγραψα την εμπειρια μου για να ψαξω για δικαιολογιες ή να αποδωσω ευθυνες στην google η σε οποιοδηποτε αλλο μεσο
Εγω ανοιξα την πορτα δινωντας προσβαση στην google κανοντας εγγραφη σε site με την χρηση του ελεγχου της ταυτοτητας μου μεσω του εικονιδιου της google δηλαδη μεσω του gmail.
Δεν μου φταιει κανεις που εγω σαν εξυπνος ειχα αποθηκευσει τους κωδικους μου συμπεριλαμβανομενου και των κωδικων των τραπεζων,δεν μου φταιει κανεις που ενω συνεχως το gmail με ενημέρωνε αν ολα τα στοιχεια μου ειναι σωστα και αν θελω να κανω χρηση του 2fa εγω ελεγα σιγα μωρε μην καθομαι καθε φορα να βαζω το νουμερο που μου στελνει η google για να μπω στον λογαριασμο μου εμενα θα βρουν να χακαρουν,ουτε μου φταιει η εθνικη που καταφεραν και μπηκαν στον λογαριασμο μου αφου εγω ειχα δωσει φορα παρτιδα τα στοιχεια μου

Το δυσκολο κομματι για τα χακερονια τους το εδωσα εγω δυστυχως στο πιατο
Τους κωδικους μου δηλαδη
Το προβλημα μου ειναι αν και κατα ποσο ειναι αξιοπιστες οι εταιρειες κινητης που με αυτα τα στοιχεια που ζητουν κανουν την εκτροπη(Σημερα εκανα μονος μου στην εξυπηρέτηση πελατων της vodafone την διαδικασια για την προωθηση κλησεων σε αλλο αριθμο εγινε ακριβως αυτο που μου ειχαν πει χθες,ζητησαν δηλαδη ονομα επιθετο αρ.ταυτοτητας πατρωνυμο αφμ και ημερομηνια γεννησης και ετσι απλα και ωραια εγινε η πιστοποιηση των στοιχειων μου) χωρις να ζητουν κατι αλλο για να επιβεβαιωθούν τα στοιχεια μας. Ενας φιλος σε παραπανω post εγραψε ενα τροπο να εχουμε πχ ενα μυστικό συνθηματικό και να το λεμε στο τηλ ωστε να προχωρησει το καθε λογης αιτημα η καποιο pin οπως γινεται στο telephone banking

Επισης το θεμα τοy viber αν ισχυουν αυτα που μου ειπαν απο την διωξη ειναι αληθεια τοτε ναι ειναι τρύπιο τελείως και πρεπει αμεσα οι τραπεζες να βρουν τροπο να το διορθώσουν
Ξαναγραφω την διαδικασια οπως μου την ειπαν απο την διωξη ηλεκτρονικου εγκληματος.
Οταν εγινε η εκτροπη στο αριθμο μου ταυτοχρονα εκεινοι ενεργοποιησαν σε δικο τους περιβαλλον(smartphone,laptop,tablet)εκ νεου το viber κανοντας χρηση του δικου μου αριθμου.
Με αυτον τον τροπο το μηνυμα ή η κληση ενεργοποίησης αντι να ερθει σε εμενα πηγαινε σε εκεινους οποτε ολα τα otp απο εκει και επειτα τα ειχαν εκεινοι και εκαναν οτι ηθελαν.
Με την προώθηση κλησεων τα sms που στην αρχη λαμβανα στον κινητο μου τα ειχα εγω και λογικα χωρις να μπορω να το πω με βεβαιοτητα τα ειχαν και εκεινοι αλλα οταν προλαβα να αλλαξω τον κωδικο μια φορα την αμεσως επομενη φορα που προσπαθησα να τον αλλαξω και παλι(καθως μου ειχε ερθει sms οτι ο κωδικος ΞΑΝΑ-αλλαξε επιτυχως)δεν μπορουσα αφου τα otp ηταν πλεον μονο στο viber στο δικο τους πλεον περιβαλλον και οχι σε εμενα

Τωρα κατα ποσο ισχυει αυτο και αν οντως ετσι εχει γινει η δουλεια πραγματικα δεν ξερω καθως και στην διωξη δεν ειχαν σαφη απαντηση περα του οτι καντε μηνυση και εμεις θα το ψάξουμε και θα σας απαντήσουμε

Ημουν πολυ τυχερος μεσα στην ατυχια μου και ευτυχως η ζημια ηταν ελαχιστη και ισως και να επιστραφουν και τα χρηματα που εχασα 50€.
Οπως και να εχει επρεπε να παθω αυτη την ζημια για να εχω πλεον ενεργο σε οποιο site το υποστηριζει το 2fa εχω ηδη κανει σκαναρισμα για malware και keylogger επειτα εκανα και format στον υπολογιστη αλλαξα ολους τους κωδικους μου αλλαξα ταυτοτητα καθως πολυ πιθανο να εχει τα στοιχεια μου καθως απο την vodafone με ρωτησαν τα στοιχεια που ειπα και πιο πανω για να γινει η προωθηση,οποτε λογικα τα εχουν
Τωρα αν υπαρχει αλλος τροπος που μπορει ενα λογισμικο η καποιος αλλος να κανει προωθηση κλησεων σε αριθμο τριτου χωρις τηλεφωνικη εντολη αυτο δεν το ξερω,η εκδοχη που μαλλον στέκει ειναι αυτη που μου περιεγραψε η διωξη ηλεκτρονικου εγκληματος
ΕΠισης στην ερωτηση μου στην vodafone πότε και αν ζητήθηκε στα στοιχεια μου να γινει η παραπανω ενεργεια δεν εχει να μου δωσει κανεις απαντηση καθως στην καρτελα μου δεν φαινεται καμια απολυτως κινηση ή αιτημα για ενεργοποιηση εκτροπης κλησεων
Η πλακα ειναι οτι στο σταθερο μου εχω ηδη ενεργη εκτροπη προς το δικο μου κινητο καθως εχω καταστημα και οταν τους ρωτησα αν βλεπουν ενεργη εκτροπη στον σταθερο μου τηλ μου απαντησαν οτι στο σταθερο σας δεν υπαρχει καμια τετοια εντολη.
Τα συμπερασματα δικα σας και καθε γνωμη δεκτή

Εν τέλει "κάνε το σταυρό σου" που δούλεψε σωστά το τμήμα ασφαλείας της τράπεζας και μπλοκάραν τις συναλλαγές. Τα 50 αν θυμάμαι είπες τα κάναν συναλλαγή από κάρτα οπότε θα γίνει αντιστροφή της συναλλαγής, θα πάρει λίγο καιρό αλλά θα γίνει. Πάρε την όλη κατάσταση σαν ένα μάθημα που μπορούσε να βγει πολύ ακριβό, αλλά τελικά μάλλον σου βγήκε σχετικά φθηνό.

Εν τέλει η μεγάλη τρύπα είναι στο σύστημα όπως δουλεύει οι εταιρείας τηλεπικοινωνιών, και με το sim swapping Ελλάδα γινόταν όχι με "χακεριές" αλλά με έκδοση sim από εταιρείες κινητής προσποιούμενοι τον ιδιοκτήτη που έχασε τη sim.

[elninio13]

το θεμα ειναι πως μπορουμε να προστατευθουμε απο τετοιου ειδους επιθεσεις δηλαδη με ποια λογικη οι εταιρειες ενω ξερουν οτι εχουν ζητημα ασφαλειας με την πιστοποίηση των στοιχεων μας μεσω τηλεφωνικης κλησης δεν κανουν κατι για να ασφαλίσουν τα συστηματα τους

[YAziDis]

Γενικά η πιστοποίηση μέσω τηλέφωνου είναι ένα θέμα. Είναι όπως καμία φορά βλέπουμε κάτι νόμους της δεκαετίας του 50 ή και του 60 όπου βασίζονται κάποιοι υπάρχον νόμοι. Πρέπει να γίνεται εκσυγχρονισμός, και ειδικά από τη στιγμή που το νούμερο του τηλεφώνου του καθενός τη σημερον ημέρα παίζει ΤΟΣΟ σημαντικό ρόλο, και δεν χρησιμοποιείται πλέον μόνο ως τρόπος επικοινωνίας, θα πρέπει να γίνει αυστηρή νομοθετική ρύθμιση για να συμμορφωθούν πι εταιρίες κινητής τηλεφωνίας. Από τη στιγμή που πλέον είναι ο βασικός τρόπος επιβεβαίωσης και των στοιχείων σου ακόμα και μέσω του gov.gr, καταλαβαίνουμε πως θα πρέπει να αλλάξουν οι νόμοι για να προστατευθούμε.

[KostakisK]

Η εθνικη τουλαχιστον ειχε password history, η πειραιαώς όχι, αρα δεν μπορουσες να βαλεις το ίδιο. Btw η Πειραιως το γύρισε πλεον σε max υποχρεωτική 3ημηνη αλλαγη password αντι για 6 που είχε μέχρι τώρα.

Νομίζεις....Μήνες τώρα το κάνω. Δεν βάζεις το ίδιο, αυξάνεις τους χαρακτήρες και το θεωρεί νέο password. Στην επόμενη αλλαγή τους αφαιρείς. Ακόμα μπορείς να βάλεις το 12 στο τέλος του password η το 21 ή το 31 ή το 13