Електронни разплащания и трансфер на пари

[plameni]

11 minutes ago, tedy said:

Вероятно просто говорим за различни неща.

 

Включих се в темата по повод процес и процедура за потвърждаване на онлайн плащания и само това съм коментирал.

  

7 hours ago, tedy said:

При ПИБ (а предполагам не само) има една простотия при плащане онлайн през телефон.

 

[tedy]

Ок, няма проблем. Аз продължих с надежда, че пиб ще направят нещо по въпроса да се минава без sms, или просто да експортират някак qr-a , който да се прочете от токен апп-а без нужда да минава през сканиране/камера, за да не си натоварват и те системите с пуш нотификация . Защото последния път когато ми се наложи (дали не беше купуване на апп от плей стор), псувах като хамалин, докато пак се сетя да ползвам смс опцията, а аз .. много мразя смс-ите, по някаква причина.

[netrootbg]

13 hours ago, mIRCata said:

Втория акаунт е със двуфакторна оторизация с динамичен код. Ида ми пробият паролата, код няма. Само ако ми вземат и телефона и го отключат. Ама то тогава явно някой специфично баш мене е таргетирал, че това да стане.

Това също лесно се прескача. Просто им трябва човек в мобилният оператор и да изкара дубликат на сим картата. Твоята я блокират и така. После трябва да действат бързо преди да си се усетил.

[tedy]

20 minutes ago, netrootbg said:

Това също лесно се прескача. Просто им трябва човек в мобилният оператор и да изкара дубликат на сим картата. Твоята я блокират и така. После трябва да действат бързо преди да си се усетил.

На нещо от тоя сорта най-често се гледа с насмешка или махане на ръката, а е наистина толкова лесно (е, относително) да се атакува по този начин. Също както като си даваш номерата и CVV на картите тук таме, особено на кредитни, макар при последните да е все пак по-лесно да си върнеш парите (след разправии) - така съм чувал, не ми се е случвало .

В този дух, когато си регистрирал самия телефон с апп на него, това вече не може да се случи, защото не получаваш SMS, а апп-овете са директно обвързани с телефона, не с сим-а. При локален генератор, и нотификация не е нужна, защото няма трансфер на самия динамичен код по мрежа.

[Godfather]

5 hours ago, netrootbg said:

Това също лесно се прескача. Просто им трябва човек в мобилният оператор и да изкара дубликат на сим картата. Твоята я блокират и така. После трябва да действат бързо преди да си се усетил.

Даже има и други варианти и затова тия схеми с използване на СМС не се считат отдавна за сигурен втори фактор. Трябва си приличен хардуерен или софтуерен токън.

 

19 hours ago, tedy said:

Настъпвай мотиката, ваша работа, колкото искаш.

Той Мисира си е световен шампион по настъпване на мотики, особено в областта на копченатискането.

[mIRCata]

14 hours ago, netrootbg said:

Това също лесно се прескача. Просто им трябва човек в мобилният оператор и да изкара дубликат на сим картата. Твоята я блокират и така. После трябва да действат бързо преди да си се усетил.

Което значи, че съм специално таргетиран и то от група с доста познания, връзки и т.н. Че съм специален съм, :), ама надали чак толкова.

 

Говорим за 2факторно отризиране с код, който се генерира от приложение на моя тел. Ако те нямат ключа с който се генерират кодовете и ми нямат телефона? Как точно ще им помогнат смс-те?

За да се логнат в ново устройство, трябва да получат потвърждение от устройство, което вече има моя акаунт.

А апп-а с кодовете е само на телефона. Значи трябва да ми откраднат телефона също.

[tedy]

Аз вече позагубих диртяа за к'во говорехме последно .. ама май ставаше дума, че за да оторизираш транзакция с 3DS, трябва да имаш динамичния код. Ако го получиш през SMS, това не е сигурен начин. Да, трябва (вече) и статичния код (даже става почти 3-факторно), но с sms просто вече имаш един от факторите "разбит" по презумпция . Статичния код е като слаба парола - има различни начини да я получат и нея по разни social engineering методи - дооста хора биха се хванали. Затова предпочитам да държа всички фактори колкото може по-сигурни, затова и sms-ите отдавна ги недолюбвам - стават само да си платя престой в синя зона.

Отново - не трябва да се неглижира сигурността на всеки фактор, иначе просто нямаше да има нужда от него или да го получиш на момента дистанционно, ако останалите си бяха самодостатъчни (визирам примерно че апп-а е обвързан и регистриран за даденото устройство и акаунт). Масово натискат за това 3DS. И аз предпочитам локален токен да ми го генерира, колкото и малък да е иначе рискът.

Edited October 16, 2021 by tedy

[mIRCata]

После говорихме за сигурността на пощите за банките.

[Godfather]

14 hours ago, mIRCata said:

Говорим за 2факторно отризиране с код, който се генерира от приложение на моя тел.

Така бива, аз останах с впечатлението, че използваш СМС за втори фактор.

Между другото, има тарикатлъци и тази схема да се заобикаля - използват се фиктивни сайтове, които досущ копират вида на истинското приложение и така народа, който не е в час с мат'ряла бива пренасочван чрез разни други трикове към измамния сайт, на който те въвеждат всичко, барабар с истинския код, който е валиден обикновено за 30 сек., но време достатъчно за измамниците да се логнат в истинския сайт.

[ARPAnet]

 Райфайзен при нас(в БГ предполагам е същото) използват мобилния си апп за всичко. 3DS-a е push към аппа където одобрявам (иска и пин код), и след това плащането просто продължава. 

Логването в онлайн банкирането и онлайн плащанията също са push към аппа.

Че и даже ми енролна картите към гугъл пей.

[tedy]

Аз доколкото знам, имат отделен апп райпей за плащане с телефон и управление на картите . Така че строго погледнато не е само един апп. При ПИБ тия неща са в основния апп, а отделен апп е само токен-а, но връзката между тях е seamless.

Вход в банкирането е по избор дали да е само с парола или и с токен. Аз си влизам само с парола, иначе активните операции, свързани с излизане на средства извън {собствени сметки, комунални сметки}, се потвърждават с токена + статичния пин.

[ARPAnet]

12 hours ago, tedy said:

Аз доколкото знам, имат отделен апп райпей за плащане с телефон и управление на картите . Така че строго погледнато не е само един апп. При ПИБ тия неща са в основния апп, а отделен апп е само токен-а, но връзката между тях е seamless.

Вход в банкирането е по избор дали да е само с парола или и с токен. Аз си влизам само с парола, иначе активните операции, свързани с излизане на средства извън {собствени сметки, комунални сметки}, се потвърждават с токена + статичния пин.

При нас ги интегрираха преди доста време, строго погледнато един апп е. Предполагам и при вас.

 

[tedy]

1 hour ago, ARPAnet said:

При нас ги интегрираха преди доста време, строго погледнато един апп е. Предполагам и при вас.

 

Не знам, ама на мен все още ми излизат два, даже 3 апп-а на Райфайзен в плей стор. двата са райпей, а защо са два като ми мясат да са едно и също, нямам идея.

[ARPAnet]

7 hours ago, tedy said:

Не знам, ама на мен все още ми излизат два, даже 3 апп-а на Райфайзен в плей стор. двата са райпей, а защо са два като ми мясат да са едно и също, нямам идея.

Да съм твърдял че са ги махнали от playstore?

 

[tedy]

И аз не съм казал, че ви твърдял, че са ги махнали. Само отбелязах, в подкрепа на това, че вероятно тук пък си се ползват и двете. Основното приложение има ли възможност директно с него/от него да плащаш на POS? Искаш да кажеш, че вече няма нужда от RaiPay?

И друго - не са махнати от плейстор, а на всичко отгоре ги ъпдейтват редовно, последно преди 10-тина дни, мен и това ми направи впечатление.

Не казвам дали е хубаво и ли лошо да имат два апп-а, просто отначало отбелязах, че са разделени тези функции, всъщност не знам защо, предполагам основния апп е твърде тежък за честото плащане на POS, или пък е нужно отделен апп ако правят интеграция до степен да плащаш само със светване на екрана. Ако е последното, се радвам че My Fibank се държи засега и мога да плащам само с отключване на телефона. Дано не направят като gpay.

Между другото поправям се отпреди - на телефона иска потвърждение с токен-а дори ако се правят операции между собствени сметки И плащане на комунални услуги. На десктопа не е така (поне не беше последно, аз от някакво време плащам сметки вече от тел-а). Все по-рядко влизам в е-банкирането от десктопа през уеб, забелязвам.

[ARPAnet]

Обясняваха в даден момент, че са интегрирани, даже ми деактивираха моят RaiPay, въпреки че все още го имам на тел. Но горе долу по същото време разрешиха Google Pay, та от тогава не съм пробвал да плащам на ПОС с техният апп. Така или иначе не ми харесваше апп-а им

Но определено бяха казали че всичко им е в мейн аппа. По това време интегрираха и тоукън аппа им

[tedy]

Щях да те питам нещо, ама не си в Бг, та надали ще е показателно.

След като плащаш с Gpay, забелязал ли си в историята на плащанията как излизат обектите, където плащаш? Дали са с правилните фирми/имена? Защото аз преди като пробвах GPay, магазините ми излизаха на 50-60% от тях с някакви неверни имена (сравнявам с My Fibank, в който излизат правилно). Обаче се съмнявам откъде идва тази информация, защото аз го пробвах с Revolut виртуална карта, та се чудя дали револют са виновни, или гоогле, за имената на обектите, където се ползва gpay.

[mIRCata]

Аз съм с и вкарал картата в gpay и плащам така през nfc-то. Обектите в приложението на ПИБ показват правилните имена за момента. Не съм видял нещо странно, но пък и не съм се заглеждал много много

Говоря за плащане на ПОС терминали с КК през gpay и nfc. Ако случайно имаш друго предвид.

Edited October 18, 2021 by mIRCata

[tedy]

1 hour ago, mIRCata said:

Аз съм с и вкарал картата в gpay и плащам така през nfc-то. Обектите в приложението на ПИБ показват правилните имена за момента. Не съм видял нещо странно, но пък и не съм се заглеждал много много

Говоря за плащане на ПОС терминали с КК през gpay и nfc. Ако случайно имаш друго предвид.

Имам предвид като разгледаш историята на плащанията на POS, в GPay. И в Револют апп-а. Затова ми беше интересно дали като ползваш карта от нормална банка в Gpay, обектите излизат правилно в GPay (в Фибанк вече каза, че излизат правилно, което май е логично..). На мен в Револют апп-а ми излизаха със странни имена. Това тогава беше една от причините да зарежа GPay по принцип, но по-голямата беше несигурността при плащане само със светване на екрана.

[mIRCata]

26 minutes ago, tedy said:

историята на плащанията на POS, в GPay

това не го знам къде е

27 minutes ago, tedy said:

по-голямата беше несигурността при плащане само със светване на екрана

Какво имаш предвид под светване на екрана и за каква несигурност става дума?

[tedy]

При GPay за да платя, е достатъчно само да светна екрана, без да се отключва. Всеки с достъп до телефона ще може да плати там до лимитите, които май са до около 500 лв на 5 плащания. My Fibank трябва да отключа тел-а и да пусна апп-а, за да се плати.

[mIRCata]

Щом си държиш NFC нон стоп. Аз точно за това харесвам да плащам с телефона, вместо картата, защото с телефона решавам кога да активирам NFC и да може да се плати. Докато при безконтактните КК, те са винаги "включени". И така за мен с телефон е по-сигурно.

[tedy]

Да. Досадно ми е на мен постоянно да вкл/изкл NFC-то (ако ползвах gpay). А така и на мен ми е по-сигурно, и аз предпочитам като ще е със смартфон, да е по-сигурно, колкото и за някои да е смешно да ти вземат парите през джоба без да разбереш (имаше някъде подобна дискусия, безкрайна). Ако нямаше такава възможност на банката и трябваше да ползвам gpay волю неволю, сигурно и аз щях да си изведа някакъв бутон за вкл/изкл на NFC. Обаче сега гледам, че в уиджетите на моя телефон точно за NFC няма бърз бутон. Има за Wifi, блутут и др, но не и за NFC.

[mIRCata]

За мен не е голямо затормозяване да плъзгам "пердето" с бързи настройки и да пускам nfc-то. Затова съм го преместил на челна позиция, защото е може би най-често сменяната опция заедно с GPS-а.

Отключвам телефона, плъзгам и пускам/спирам.

[tedy]

А след като си клиент на фибанк, защо просто не ползваш техния апп?

Не знам, но аз лично много жих се дразнил постоянно да ползвам нещо от пердето. По-добре на хоум скрийна да изведа бърз шорткът. Но аз за нфц не виждам да имам.