Forum Dive Trek Group :: Temat: Kłopot w tym miejscu może oznaczać koniec nurkowania...

Forum Dive Trek Group

Forum Ogólne - Kłopot w tym miejscu może oznaczać koniec nurkowania...

Wojtek A. Filip - 29-03-2015, 19:45
Temat postu: Kłopot w tym miejscu może oznaczać koniec nurkowania...

Hej.
Mało kto z nas nie robi przelewów internetowych.
Ufamy temu co widzimy na stronie banku i wydaje nam się, że komunikat o tym żeby nie ufać dodatkowym żądaniom w czasie robienia przelewu wystarczy, żeby być bezpiecznym.
Wyczyszczenie naszego konta bankowego to ostatnia rzecz jaka przychodzi nam do głowy tymczasem...
Zerknijcie na ten artykuł .

Wojtek

Jarek Andrzejewski - 29-03-2015, 20:18
Temat postu:

Zalety SMS (pokazywanie cyferek rachunku beneficjenta i kwoty) oraz niezależnego urządzenia, nad którym przestępca nie ma kontroli łączy "token GSM" z Eurobanku.

A Raspberry Pi można kupić np. tu: http://pl.farnell.com/buy-raspberry-pi?rd=raspberrypi
Wydaje mi się, że prostszym niż "raspi" rozwiązaniem będzie płyta CD/DVD lub "gwizdek" USB z linuksem w odmianie "live", por. http://en.wikipedia.org/wiki/Live_CD

Piotr Bański - 30-03-2015, 10:47
Temat postu:

Jarku, a pod jakim względem Linux przewyższa uważne przeczytanie sms-a? Smile

Wojtku, dzięki, ja niestety tych sms-ów praktycznie nie czytuję, a to przecież zaledwie góra parędziesiąt dodatkowych sekund. A jaki dreszcz, jeśli się na autentyczny przekręt trafi... postaram się od teraz te sekundy doinwestować w moje transakcje.

Tomasz Ciesielski - 30-03-2015, 10:58
Temat postu:

Piotr Bański napisał/a:

arku, a pod jakim względem Linux przewyższa uważne przeczytanie sms-a?

Linuks na gwizdku zamiast kupowania oddzielnego kompa Very Happy

W sumie sadze ze wystarczyloby odpalic taka wersje linuksa na maszynie wirtualnej.

Piotr Bański - 30-03-2015, 11:16
Temat postu:

No ale to zakłada, że Linux jest magicznie odporny na ataki. A niestety te czasy już minęły. Dotyczy to zarówno infekcji samego systemu (już nie tylko hackerzy [w tym oryginalnym znaczeniu] używają Linuksa -- jest on dostępny (tj. łatwy w obsłudze) dla każdego, i każdy może sobie na różne sposoby "ułatwić" logowanie i uruchamianie programów, co pociąga za sobą otwarcie systemu na ataki), jak i ogromnego poszerzenia zastosowań języków skryptowych i naturalnie za tym poszerzeniem następującego rozwoju technik wykorzystywania wszelkich nowo tworzonych luk bezpieczeństwa. W tym momencie zalecenie komuś "windowsowemu" instalacji Linuksa jako lekarstwa na oszustów może oznaczać frustrację, ale niekoniecznie mieć zamierzony skutek. Jeśli porównasz to z prostym wymaganiem porównania dwóch ciągów cyfr (w sms-ie i w źródle, z którego wziąłeś numer konta docelowego), to wydaje mi się jasne, co jest mniej kosztowne a może być bardziej efektywne.

(Żeby nie było: od lat pracuję i bawię się wyłącznie na Linuksie; ostatnio czasem zapuszczam Windows w maszynie wirtualnej ze względu na pewną wtyczkę FF, jeszcze pod Linuksem nie obsługiwaną)

Adam Frajtak - 30-03-2015, 11:23
Temat postu:

Może się komuś przydać
zakładam dodatkowe subkonto płatności założenie takiego konta to 3 klikniecia w banku on-line.
Robiąc płatności przelewam z grubsza zgodną kwotę total na to subkonto. Płacę rachunki tylko i wyłącznie z tego konta mieszkanie/telefony/net/światło.
Automatyczne abonamenty (siłka, linkedin) też schodzą z tego konta. Do płatności zagranicznych mam wirtualne konto walutowe.
Nic mnie to nie kosztuje, nie wiąże się z żadnymi komplikacjami ani nie przedłuża realizacji płatności. A kraść z tego konta nie ma czego bo po wykonaniu płatności są praktycznie puste.
http://www.mbank.pl/indywidualny/konta/konto-osobiste/wielorachunkowosc/
http://www.mbank.pl/indywidualny/karty/ekarta-wirtualna/

Tomasz Ciesielski - 30-03-2015, 11:28
Temat postu:

Piotr Bański napisał/a:

No ale to zakłada, że Linux jest magicznie odporny na ataki.

Nie. Po prostu uzywajac linuksa w ten sposob i tylko do platnosci nie bardzo jest jak go zainfekowac, dodatkwo startujac go nie z gwizdka a z plyty nie ma mozliwosci modyfikacji obrazu systemu wiec nic sie nie zainstaluje..

Adam Jaworski - 30-03-2015, 11:41
Temat postu:

Adam Frajtak napisał/a:

Może się komuś przydać
zakładam dodatkowe subkonto płatności

Dokładnie tak. Osobne konto na płatności internetowe, kupowanie w necie, zasilane na bieżąco. Czego nie ma, tego nikt nie weźmie. Dla paranoików albo kont z większymi pieniędzmi Linux na LiveCD.

Niektóre banki (np. Inteligo) mają już funkcjonalność sprawdzania przelewów przy operacji kopiuj-wklej - na ctrl-v pojawia się monit z prośbą o upewnienie się, że wklejony numer jest prawidłowy. Działanie zostało wprowadzone w reakcji na wirusy podmieniające numery o strukturze konta bezpośrednio w Windows w schowku na swoje własne Smile

Adam Frajtak - 30-03-2015, 11:48
Temat postu:

Tomasz Ciesielski napisał/a:

Piotr Bański napisał/a:

No ale to zakłada, że Linux jest magicznie odporny na ataki.

Żaden system nie jest odporny na użytkownika. Zainfekowanie komputera choć zdarza się jest rzadkie, najczęściej dochodzi do wyłudzenia typu mail z informacją " dziękujemy za zakup xxxx o wartości 99,99 życzymy wielu radości z użytkowania naszego produktu. Jeżeli jednak chcesz zrezygnować z zakupu to kliknij w link aby anulować transakcję.
Ponieważ nie kupowałeś klikasz a tam strona iTunes, Audioteka, Empik i co tam sobie tylko można wymyślić. Zgodnie z poleceniami wpisujesz numer karty - Bingo ! teraz tylko dane właściciela karty i już ! anulowałeś Smile

... nie no jeszcze Visa Security w ślicznym bezpiecznym okienku prosi o kod CVV do ostatecznego anulowania transakcji i zwrotu kasy na twoje konto.
No i po wszystkim .... twoje konto jest puste Embarassed

W ciągu ostatnich kilu tygodni parę setek oczyszczonych kont w Polsce. Żaden linuks windows MacOs nie jest odporny w konfrontacji z własnym użytkownikiem.

Polecam rozwiązanie z subkontem do płatności i wirtualnej karty płatniczej. Z pustego konta nawet Salomon nie ukradnie

Piotr Bański - 30-03-2015, 11:48
Temat postu:

Tomasz Ciesielski napisał/a:

Piotr Bański napisał/a:

No ale to zakłada, że Linux jest magicznie odporny na ataki.

Taaak, a update'y do FF zainstalujesz za każdym razem, czy zostawisz wersję z gwizdka? Czy za każdym razem załadujesz na gwizdka najnowszą wersję Linuksa?

I znowu: co Ci da efekt za pracę/czas w rozsądnym stosunku: każdorazowe porównanie ciągów cyfr, czy każdorazowe gwizdanie w gwizdek?

Tomasz Ciesielski - 30-03-2015, 12:09
Temat postu:

Piotr Bański napisał/a:

co Ci da efekt za pracę/czas w rozsądnym stosunku: każdorazowe porównanie ciągów cyfr, czy każdorazowe gwizdanie w gwizdek?

Piotrze ja mowie o kompleksowym mysleniu. Oczywiscie ze aktualizacja FF jest niemozliwa na systemie z CD ale.. Nic to nie zmienia bo po kazdym bootowaniu masz czysty system gdzie wchodzisz tylko na strone banku, wykonujesz operacje oczywscie SPRAWDZAJAC szczegoly przelewy w sms.
W jaki sposob chcialbys zainfekowac taki system?

Piotr Bański - 30-03-2015, 12:23
Temat postu:

Tomku, ja też kompleksowo Smile

Tak z punktu widzenia nakładu pracy zwykłego przelewacza i korzyści osiągniętych z tej pracy.

Dla Ciebie gwizdek to nie problem, i bardzo dobrze. Racja: postawisz Linuksa, odpalisz FF, połączysz się tylko z bankiem i zrobisz przelew. Ryzyko malutkie, może nawet w praktyce żadne (no, jeszcze pewnie zależy jak się łączysz z Netem, ale to zostawmy). Nie zniechęcam, a jeszcze bardziej się ucieszę jak zdecydujesz się przeskoczyć na Linuksa w ogóle Smile

Tyle że jako księgowa z przykładu czy po prostu użytkownik Windows, który właśnie sobie przed snem przypomniał o niezrobionym przelewie, to nie bardzo widzę tego typu akcję: raczej zapuszczą swój system, wbiją adres banku, wpiszą albo przekleją (albo wybiorą) dane adresata, potem klik, potem sms, parę cyfr, klik i spać (albo z powrotem do sprawdzania VAT-u). Przy takim scenariuszu efektywniejsze jest sprawdzenie konta podanego w sms-ie i konta, na które chcemy wysłać przelew -- kosztuje 10 sekund?

Jeśli połączy się to ze strategią wspomnianą przez Adama, to już ten gwizdek bardziej z parą w gwizdek się kojarzy, niż z czymś efektywnym. Ale oczywiście scenariusze mogą być różne, i na pewno znajdzie się parę, w których Twój sposób będzie kompleksowo lepszy albo równie dobry, albo przynajmniej da większe poczucie bezpieczeństwa i większy komfort psychiczny, a to przecież też istotne.

Tomasz Ciesielski - 30-03-2015, 12:55
Temat postu:

Piotr Bański napisał/a:

jeszcze bardziej się ucieszę jak zdecydujesz się przeskoczyć na Linuksa w ogóle

Mam postawiony na netbooku bo sadzilem ze bedzie lzejszy niz winda ale sie zawiodlem i tylko lenistwo wstrzymuje mnie od powrotu.. Very Happy

Piotr Bański napisał/a:

Ależ oczywiście że standardowo to jest duzo relaniejszy scenariusz.. Osobiście nie zamierzam nawet innego stosowac Very Happy

Jarek Andrzejewski - 30-03-2015, 15:52
Temat postu:

Piotr Bański napisał/a:

Jarku, a pod jakim względem Linux przewyższa uważne przeczytanie sms-a? Smile

nie mylisz myślowo różnych systemów walutowych? Smile

Ale odpowiedzieć mogę: rozwiązanie z dedykowaną maszyną czy systemem likwiduje przyczyny tego, czego skutek da się dostrzec w momencie czytania SMSa.

Piotr Bański - 30-03-2015, 16:49
Temat postu:

Jarek Andrzejewski napisał/a:

Piotr Bański napisał/a:

Jarku, a pod jakim względem Linux przewyższa uważne przeczytanie sms-a? Smile

nie mylisz myślowo różnych systemów walutowych? Smile

Nie: i tu, i tam mamy (czas + wysiłek) pod mianownikiem Smile

No ale to już uzgodniliśmy powyżej.

Witold Sepioł - 31-03-2015, 09:06
Temat postu:

Adam Frajtak napisał/a:

Polecam rozwiązanie z subkontem do płatności i wirtualnej karty płatniczej. Z pustego konta nawet Salomon nie ukradnie

Opisywany atak nie jest zależny od tego czy przelewasz z subkonta czy z głównego.
Taka kradzież nie wymaga włamania na konto użytkownika w banku a tylko podmiany numeru konta w schowku lub w polu przeglądarki i dzieje się to przez zainfekowanie urządzenia.
Podatne są windowsy i unixy tak w wersji stacjonarnej jak i mobilnej.
Takiej zmiany nie weryfikuje autoryzacja tokenem ani kodami jednorazowymi.
Ochroną są kody sms, gdzie sprawdzasz numer konta docelowego i porównujesz z tym co wpisałeś ale i one nie są idealne, bo kartę sim można klonować.

Marcin Gala - 31-03-2015, 09:26
Temat postu:

Witold Sepioł napisał/a:

... bo kartę sim można klonować.

Można też zainfekować telefon albo zaspoofować nadajnik GSM żeby podmienić sms. Wszystko jest kwestią oceny ryzyka, nie zawsze można je wyeliminować.

W zaprzyjaźnionej firmie regularnie robione są 'prowokacje' w postaci wysyłania phishingu na konta firmowe. No i co? ~20% ludzi klika w linki śmierdzące na kilometr, a jakieś 3/4 podaje swoje firmowe dane autoryzacyjne w podstawionych formularzach!

Oczywiście po wejściu na taki 'sprowokowany phishing' pokazuje się informacja, że tak nie wolno, jak się zachować, jak rozpoznawać ataki... I co, mija pół roku i wyniki się nie zmieniają. Ludzie jak barany dalej klikają w podstawione maile.

Zresztą sami pewnie kiwacie z niedowierzaniem głowami, ile znajomych na FB klika w te scamy typu 'ocalał z katastrofy germanwings', 'szok, nastolatki' albo 'do rozdania 60 iphonów bez folii'.

Jarek Andrzejewski - 31-03-2015, 09:26
Temat postu:

Witold Sepioł napisał/a:

Takiej zmiany nie weryfikuje autoryzacja tokenem /.../

to zależy od tokena. Podałem przykład działającego na początku wątku.
I chyba nie unixy, a linuksy miałeś na myśli?

Witold Sepioł - 31-03-2015, 09:56
Temat postu:

Marcin Gala napisał/a:

Witold Sepioł napisał/a:

... bo kartę sim można klonować.

Wszystko jest kwestią oceny ryzyka, nie zawsze można je wyeliminować.

i do tego się to sprowadza.

Jarek Andrzejewski napisał/a:

Witold Sepioł napisał/a:

Takiej zmiany nie weryfikuje autoryzacja tokenem /.../

to zależy od tokena. Podałem przykład działającego na początku wątku.
I chyba nie unixy, a linuksy miałeś na myśli?

Jądro pingwina jest unixowe, można ten wątek sprowadzić do różnic w dystrybucjach ale po co.

Możesz podać przykład tokena który pokazuje numer konta docelowego?
Token z Eurobanku to nie token a aplikacja na komórkę.

Jarek Andrzejewski - 31-03-2015, 10:30
Temat postu:

Chyba wkraczamy w semantykę.

Jeśli upierasz się, że token musi być osobnym urządzeniem, to wtedy ten z EB rzeczywiście nie jest tokenem. Jeśli nie ma potrzeby się przy tym upierać, to wtedy bez wątpienia mamy do czynienia z urządzeniem kryptograficznym: ma ono indywidualny klucz, osobny licznik komunikatów oraz kryptograficzne funkcje skrótu wykorzystujące obie te indywidualne cechy do obliczania odpowiedzi. Dodatkowo ma funkcję prezentacji podpisywanej treści, co właśnie jest przewagą nad tokenami, gdzie tylko wpisuje się kody i odczytuje odpowiedź.

Linux jest wzorowany na uniksie, ale to zdecydowanie nie to samo, choć działa bardzo podobnie. Jądro linuksa zostało stworzone przez Linusa Thorwaldsa w 1991, a Unix był rozwijany od 1969 w Bell Laboratories.

Piotr Bański - 31-03-2015, 12:39
Temat postu:

Jarek Andrzejewski napisał/a:

Witold Sepioł napisał/a:

Takiej zmiany nie weryfikuje autoryzacja tokenem /.../

to zależy od tokena. Podałem przykład działającego na początku wątku.
I chyba nie unixy, a linuksy miałeś na myśli?

Zgaduję, że Witold miał na myśli *nixy. Czy teraz jest precyzyjniej i czy aby na pewno coś to zmienia? Smile

Adam Frajtak - 31-03-2015, 16:08
Temat postu:

Witold Sepioł napisał/a:

Adam Frajtak napisał/a:

Polecam rozwiązanie z subkontem do płatności i wirtualnej karty płatniczej. Z pustego konta nawet Salomon nie ukradnie

Opisywany atak nie jest zależny od tego czy przelewasz z subkonta czy z głównego.

Nie zrozumiałeś idei.
Na koncie głównym mam przykładowo dorobek całego życia 10 000 zł
na subkonto robię co miesiąc przelew 1000 zł z tego tysiąca płacę za mieszkanie itd itd jeżeli ktoś będzie chciał wyczyścić mi konto w taki sposób o jakim piszesz to może maksymalnie ukraść mi 1000 zł z subkonta zamiast 10 000 z konta głównego.
Tak jak pisałem z pustego to i Salomon nie ukradnie. Idea

Identycznie działa wirtualna karta do płatności w necie. Chcę kupić sobie płytę na iTunes robię przelew 50 zł na taką kartę i płacę karta pozostaje pusta więc złodziej może kraść ile tylko zechce na szczęście bez efektu.
Posługując się kartą do konta głównego może to robić aż do całkowitego wyczyszczenia konta.

Tomasz Ciesielski - 31-03-2015, 16:12
Temat postu:

A w jaki sposób robisz przelewy z konta głównego na subkonto? Very Happy

Abramik - 31-03-2015, 16:41
Temat postu:

Cytat:

A w jaki sposób robisz przelewy z konta głównego na subkonto?

mozesz miec ustawione subkonto jako "stalego odbiorce" ale sam przelew jakiejs tam sumy musi zostac potwierdzony kodem z sms'a wyslanego na wczesniej zdefiniowany numer tel.

calkiem bezpieczne. Smile

Adam Frajtak - 31-03-2015, 22:51
Temat postu:

Tomasz Ciesielski napisał/a:

A w jaki sposób robisz przelewy z konta głównego na subkonto? Very Happy

Robię to na swoim koncie, niczego nie potwierdzam sms ani żadnym "tokenem" po prostu wykonuję operację jak "bankier" w swoim banku. Niczego nie kopiuję niczego nie wklejam jedyne co robię to wybieram walutę i z listy rozwijanej oraz konto docelowe. Środki przeksięgowywane są w tej samej chwili dostępne są natychmiast na subkoncie.

Mam dwa konta jedno w http://raiffeisenpolbank.com/private-banking/bankowosc-elektroniczna
drugie w mBanku http://www.mbank.pl/private-banking/
W jednym i drugim działa to identycznie, w obydwu bankach takie rozwiązanie nie jest czymś niezwykłym. Usługa nie jest płatna i nie jest ograniczona wielkością kwot. Można to robić operując 100 zł.
Np naklejką na telefonie płacę z subkonta na którym nigdy nie mam więcej niż 1000 zł. Bo to nawet nie jest karta tylko zwykła naklejka.
http://www.mbank.pl/oferta-premium/karty/karta-naklejka/

Właściwie to w kilku słowach opisane jest to tu http://www.mbank.pl/indywidualny/karty/ekarta-wirtualna/

Tomek Płociński - 01-04-2015, 09:37
Temat postu:

Adam Frajtak napisał/a:

Nie zrozumiałeś idei.

Adam ty piszesz o zupełnie innym systemie zabezpieczenia. Dopuszczasz możliwość, że ktoś może pozyskać Twoje dane i ukraść Ci pieniądze (np. przez podmianę nr. konta w przelewie), dlatego trzymasz na tym koncie kwotę, która wystarcza na bieżące potrzeby ale nie zaboli jak Ci ją wyczyszczą.

Chłopaki natomiast poruszają kwestię samej możliwości kradzieży tej kwoty przez podmianę nr konta, niezależnie od jej wartości.

Abramik napisał/a:

mozesz miec ustawione subkonto jako "stalego odbiorce" ale sam przelew jakiejs tam sumy musi zostac potwierdzony kodem z sms'a wyslanego na wczesniej zdefiniowany numer tel.

calkiem bezpieczne.

można zdefiniować odbiorców, którzy nie wymagają potwierdzenia kodem czy sms'em i chyba jest to bezpieczne, bo wówczas nie wklejamy żadnego numeru konta za każdym razem gdy robimy przelwe, a tylko podczas definiowania odbiorcy.
W przypadku "przelewu na własne konto/subkonto" nie trzeba nawet niczego definiować.

Przelewy to tylko połowa możliwości zdarzeń. Systemy typu PayU czy Paypal ułatwiają zakupy na różnych serwisach, ale nie wszędzie są akceptowalne i wtedy trzeba płacić kartą. Wówczas taka "karta do zakupów internetowych" w których ustala się limit adekwatnie do planowanej transakcji jest chyba jedynym rozsądnym sposobem. Wówczas idea opisana przez Adama, tz. dopuszczam że mi ukradną, ale tylko tyle na ile ustawię limit brzmi sensownie. Gorzej jeśli taka transakcja opiewa na kwoty powyżej kilku tysi, i taki limit trzeba ustalić. Taka kwota nawet Adama zaboli Razz

Wracając do serwisów typu PayU, wiecie może jak to działa, że kupując na allegro dostaję przekierowanie do banku, tam po zalogowaniu otwiera się już wypełniony formularz. Tzn. że strona banku musi "zassać" informacje z jakiś cookies czy jest to realizowane zupełnie inaczej ..... trochę mnie to intryguje i nie wiem na ile można ocenić poziom bezpieczeństwa tych transakcji ??????

Adam Frajtak - 01-04-2015, 10:28
Temat postu:

Tomek Płociński napisał/a:

Adam Frajtak napisał/a:

Nie zrozumiałeś idei.

UPS!
To w takim razie wyrwałem się przed szereg.

Tomek Płociński napisał/a:

Gorzej jeśli taka transakcja opiewa na kwoty powyżej kilku tysi, i taki limit trzeba ustalić. Taka kwota nawet Adama zaboli Razz

Wiesz że każda kwota boli, jakby nie było to jakiś tam gwałt na nas. To jak włamanie do mieszkania z którego kradną Ci radio za 50 zł Szkoda żadna a trauma taka że ciężko się dalej mieszka w takim mieszkaniu.

Ja podchodzę do kwestii bezpieczeństwa trochę w duchu KravMagi - nie ma obrony która nie zakłada otrzymania ciosu takimi cudami zajmują się mistrzowi Kung-Fu wykorzystujący tajną moc Mr. Green

coś jak Linux

Zakładam że w konfrontacja z przestępcą zaboli mnie ale nie chcę całkowitej przegranej.

Jarek Andrzejewski - 01-04-2015, 11:39
Temat postu:

Profilaktyka w opisywanym przypadku będzie raczej obroną w stylu Bruce'a Lee: sztuka walki bez walki. Po prostu nie damy przestępcy szansy na wyprowadzenie ciosu.

martin - 01-04-2015, 13:28
Temat postu:

Cytat:

Tzn. że strona banku musi "zassać" informacje z jakiś cookies czy jest to realizowane zupełnie inaczej ..... trochę mnie to intryguje i nie wiem na ile można ocenić poziom bezpieczeństwa tych transakcji

Strona banku jest wywolywana przez specjalny URL, zawierajacy dane do transakcji. Po zalogowaniu jestes w twoim koncie, front end banku przejmuje dane ktore byly przekazane przy pomocy wywolujacej URL.

Druga mozliwosc (stosownana w DE) - strona wywolujaca jest tylko front-endem, czyms w rodzaju graficznej nakladki, calosc operacji odbywa sie przy pomocy HBCI.

Adam Frajtak - 01-04-2015, 17:57
Temat postu:

UWAGA NIEBEZPIECZNE - TYLKO W PRZYPADKU PODAWANIA PRAWDZIWYCH DANYCH

Właśnie otrzymałem taki mail

Thank you for buying the following product:

Product Name: Navmii GPS World
Order Number: EO3T3SDE3Z
Receipt Date: 01/04/2015
Order total: 32.99 €

If you did not authorize this purchase, please visit the iTunes Payment Cancellation Form within the next 12 hours in order to cancel the payment. Tu link do fałszywej strony Apple choć łudząco podobna
http://ebizdigitalmarketing.com/wp-admin/care/apple/apple/

Oczywiście w pewnym momencie przekieruje na prawie identyczną stronę VISA Security do podania kodu CVV
Zaraz po tym nastąpiłoby wyczyszczenie konta

You can find the App Store Terms of Sale and Sales Policies by launching your App application and clicking on Terms of Sale or Sales Policies.

Oczywiście choć w nagłówku nadawcy widnieje Apple Store to po kliknięciu nadawcy widzimy adres appist@fcistres.com

WIADOMOŚĆ ORYGINALNA Z MOJEJ POCZTY JEST PRÓBĄ KRADZIEŻY

W tym konkretnym przypadku nawet gdybym dał się nabrać to złodziej może mi ukraść 3,5 EUR bo tyle wynosi mój stan konta na karcie wirtualnej.

Dla fachowców w opcjach wiadomości można wyłuskać coś takiego
X-Barracuda-Start-Time: 1427904023
X-Barracuda-Spam-Score: 0.00
X-Barracuda-Connect: smtp-outgoing3.gwtc.net[64.251.188.45]
X-Icloud-Spam-Score: 30002230 f=fcistres.com;e=fcistres.com;is=yes;ir=no;pp=ham;spf=?;dkim=?;dmarc=?;wl=absent;pwl=absent;clxs=ham;clxl=absent
X-Barracuda-Url: http://64.251.188.104:8000/cgi-mod/mark.cgi
X-Clx-Spam: false
Authentication-Results: st11p00mm-smtpin008.mac.com; spf=none (st11p00mm-smtpin008.mac.com: appist@fcistres.com does not designate permitted sender hosts) smtp.mailfrom=appist@fcistres.com;
Authentication-Results: st11p00mm-smtpin008.mac.com; dkim=none reason="no signature"; dkim-adsp=none
X-Virus-Scanned: by bsmtpd at e-filtering.net
X-Barracuda-Envelope-From: appist@fcistres.com
Return-Path: <appist@fcistres.com>
X-Priority: 3
X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.3.17438 Rule breakdown below pts rule name description ---- ---------------------- -------------------------------------------------- 0.00 HTML_TAG_BALANCE_HEAD BODY: HTML has unbalanced "head" tags 0.00 HTML_MESSAGE BODY: HTML included in message
X-Barracuda-Apparent-Source-Ip: 216.106.240.55
X-Barracuda-Rbl-Trusted-Forwarder: 64.251.188.45
Original-Recipient: rfc822;frajtak@icloud.com
Organization: asdasdas
X-Asg-Debug-Id: 1427904023-060b492d0c8d19e0002-1pZ9jE
X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 spamscore=0 suspectscore=15 phishscore=0 adultscore=0 bulkscore=0 classifier=spam adjust=0 reason=mlx scancount=1 engine=7.0.1-1412110000 definitions=main-1504010141
Message-Id: <CEC57447E1C643BBAB7A2DEA6BC36293@Server>
X-Dmarc-Info: pass=?; dmarc-policy=(noPolicy); s Speak to the hand

d=
X-Proofpoint-Virus-Version: vendor=fsecure engine=2.50.10432:5.13.68,1.0.33,0.0.0000 definitions=2015-04-01_06:2015-04-01,2015-04-01,1970-01-01 signatures=0
Mime-Version: 1.0
X-Mailer: Microsoft Windows Mail 6.0.6001.18000
X-Barracuda-Rbl-Ip: 216.106.240.55
X-Clx-Shades: None
Received: from st11p00mm-smtpin008.mac.com ([17.172.83.249]) by ms09564.mac.com (Oracle Communications Messaging Server 7u4-27.08 (7.0.4.27.7) 64bit (built Aug 22 2013)) with ESMTP id <0NM4007Q3XTH4S30@ms09564.mac.com> for frajtak@icloud.com; Wed, 01 Apr 2015 16:00:53 +0000 (GMT)
Received: from smtp-cuda2.e-filtering.net ([64.251.188.104]) by st11p00mm-smtpin008.mac.com (Oracle Communications Messaging Server 7.0.5.35.0 64bit (built Feb 12 2015)) with ESMTP id <0NM4008V6XSO6F71@st11p00mm-smtpin008.mac.com> for frajtak@icloud.com (ORCPT frajtak@icloud.com); Wed, 01 Apr 2015 16:00:53 +0000 (GMT)
Received: from smtp-cluster1.gwtc.net (smtp-outgoing3.gwtc.net [64.251.188.45]) by smtp-cuda2.e-filtering.net with ESMTP id AZxFTwGDF0iiHA98 for <frajtak@icloud.com>; Wed, 01 Apr 2015 10:00:23 -0600 (MDT)
Received: from Server (unknown [216.106.240.55]) by smtp-cluster1.gwtc.net (Postfix) with SMTP id A3C9C400F9 for <frajtak@icloud.com>; Wed, 01 Apr 2015 10:00:23 -0600 (MDT)
X-Msmail-Priority: Normal
Content-Type: multipart/alternative; boundary="----=_NextPart_000_0DB2_01D06C73.790C9150"
X-Barracuda-Spam-Status: No, SCORE=0.00 using global scores of TAG_LEVEL=1000.0 QUARANTINE_LEVEL=5.0 KILL_LEVEL=6.0 tests=HTML_MESSAGE, HTML_TAG_BALANCE_HEAD
X-Asg-Orig-Subj: Your receipt No.170041372511
X-Barracuda-Brts-Status: 1
X-Mantsh: 1TEIXWV4bG1oaGkdHB0lGUkdDRl5PWBoaGREKTEMXGx0EGx0YBBIZBBscEBseGh8 aEQpYTRdLEQptfhcHGxEKTFkXGxseEQpZTRdkRURPEQpZSRcHGR1xGwYHHR53BhsZEwYaBhoGG x0GGnEaEBp3BhoGGgYaBgcfBhoGGnEaEBp3BhoRClleF2hjeREKQ04XSxsbGmJCH2lvGWBwGXh zBxkbGxwaGkYbTBEKW0MXGmRnHhoaEnwccnllHGwdGxEKWFwXGQQaBBgYAR4HTR0aSBlPEkwFG x0EGx0YBBIZBBscEBseGh8bEQpeWRdnf0hYYREKTVwXGR8RCkxaF3tpXXtrEQpFWRdoa2sRCkx fF3oFBQUFBQUFBQUdEQpMRhdja2sRCkNaFxweBBgfGwQbEhIEGxoeEQpCXhcbEQpCRRdgcxhLX 01sWB5JTREKQk4XZ01oTmFJTEZnbmMRCkJMF2RFW155fmlFG0JoEQpCbBdvREFpeEFnQW5lRhE KQkAXZ05oEmd4ZnNdb0cRCkJYF2F5eBh/GkkFGkRMEQpNXhcHGxEKcGcXbWF9TG1hXE5LHHoRC nBoF24THU9mTlhTeEd7EQpwaBdvZUxuWRJ8Ek1gYxEKcGgXb1obaEBuX0FdeEwRCnBoF2dCXB0 cbx9BG34aEQpwaBdiEgVzTF1rR0xSRREKcH8XZAF4GHobXmxERlgRCnBfF2kde1tTe1xuaXwYE QpwbBdtS1tNYxhvfWtBTxEKcEMXbkxdS15AZhhrW1MR
Received-Spf: none (st11p00mm-smtpin008.mac.com: appist@fcistres.com does not designate permitted sender hosts) receiver=st11p00mm-smtpin001.mac.com; client-ip=64.251.188.104; helo=smtp-cuda2.e-filtering.net; envelope-from=appist@fcistres.com;
X-Mimeole: Produced By Microsoft MimeOLE V6.0.6001.18049
X-Clx-Score: 114
Your receipt No.170041372511

Jarek Andrzejewski - 01-04-2015, 18:15
Temat postu:

Adam Frajtak napisał/a:

/.../złodziej może mi ukraść 3,5 EUR bo tyle wynosi mój stan konta na karcie wirtualnej./.../

... teraz. A gdyby poczekał i trafił w moment między zasileniem karty a jej obciążeniem za Twoje zakupy?
Tak czy siak nauka jest taka: zawsze spojrzeć, gdzie prowadzi link, który zamierzamy kliknąć. Nie: jak jest opisany w mailu czy na stronie (bo tam może wyglądać dowolnie), ale adres, ggdzie prowadzi (dobre przeglądarki pokazują tę informację po najechaniu kursorem na link). I upewniać się, że adres odwiedzanej strony jest tym, który chcieliśmy odwiedzić.

http://www.apple.com

Adam Frajtak - 01-04-2015, 18:34
Temat postu:

Jarek Andrzejewski napisał/a:

... teraz. A gdyby poczekał i trafił w moment między zasileniem karty a jej obciążeniem za Twoje zakupy?

Ja jestem oszczędny i kupuję tylko tanie rzeczy Mr. Green

Oczywiście przede wszystkim profilaktyka tak jak piszesz. W każdym razie jak się komuś wydaje że płatności w sieci są bezpieczne to jest troszkę alien

Sądzę że żyjemy wszyscy a może należymy do nich wśród ludzi którym od miesięcy? lat? różnej maści oszuści ściągają po 3 -6 EUR miesięcznie/kwartalnie za abonamentu prowizje i co tylko sobie można wymyślić. W końcu kto z nas ma czas na studiowanie wyciągów bankowych tym bardziej że my dbający o ekologię pewnie zrezygnowaliśmy z wyciągu papierowego...
Praktyka pokazuje że nawet skromnie zarabiający potrafią miesiącami nie zauważać comiesięcznych drobnych kilku kilkudziesięcio złotowch płatności. Embarassed

Ile razy zdarzyło się wam wykupić abonament za gazetę elektroniczną np Rzeczpospolita? Albo prenumeratę miesięcznika? NG Ile razy płacąc za "coś" w sieci ostatecznie nie kupiliście bo "Jakiś" błąd uniemożliwił dokończenie transakcji? Oczywiście już po wklepaniu nr karty Cool

Problem polega na tym że za jakiś czas karta jest obciążana drobnymi kwotami nieraz przez wiele miesięcy. Niestety nie wystarczy zablokowanie takiej płatności na przyszłość, to nie działa. Trzeba zastrzec kartę i ją wymienić.

Jarek Andrzejewski - 01-04-2015, 19:08
Temat postu:

Przyznam się, że ja przeglądam wyciągi kart i takiego "skubania" nigdy nie doświadczyłem. Ale to może geny: ojciec jest z Poznania Smile

Ja nawet umowy czytam przed podpisaniem...

Adam Frajtak - 01-04-2015, 19:28
Temat postu:

Jarek Andrzejewski napisał/a:

Przyznam się, że ja przeglądam wyciągi kart i takiego "skubania" nigdy nie doświadczyłem. Ale to może geny: ojciec jest z Poznania Smile

Ja nawet umowy czytam przed podpisaniem...

Ja widzę zależność im więcej transakcji kartami tym więcej nadzwyczajnych obserwacji.
Najgorsze doświadczenia wiążę z zakupem softu w necie i żeby nie było że jakiś dupereli niewiadomego pochodzenia bo np
Norton Security
Photomatix
Clean My Drive
Parallels
Aperture
Choć na pierwszy rzut oka widać jakbyś kupował od producenta to najczęściej kupujesz od dystrybutora/sprzedawcy i na bank skończy się prędzej czy później wałkiem.
Kuriozum to mega promocja cena z 199$ tylko 99$ ... i później 18,5$ przez 24 miesiące abonament za support on-line Twisted Evil

Drugie miejsce w moim rankingu podejrzanych są wypożyczalnie samochodów. Tylko odważnym polecam wypożyczenie samochodu na Fuerteventurze Shocked

Trzecie to kelnerzy w greckich i francuskich knajpkach, jak tylko zaczyna coś kombinować z terminalem a to zasięg a to bateria i jak tylko próbuje się oddalić z karta od stolika to właśnie zaczynacie być okradani. Każdy kelner wie że nie ma prawa oddalić się od was z waszą kartą. Nr karty i CVV to powierzenie kelnerowi pinu do waszej karty i hasła do waszego konta bankowego. Tylko zastrzeżenie karty uniemożliwi mu ściągnięcie forsy.

Jest jeden wyjątek Idea

Włochy tam nawet nie posługiwanie się kartą może skończyć się z jej wyczyszczeniem Mr. Green

taka moja rada kto chce to skorzysta: Ja zawsze proszę o kartę kolorową najlepiej z delfinkiem albo z logo dla oszczędnych studentów. Tak zwane karty prestiżowe to błazenada i prowokowanie do kłopotów. Opcje karty można przypisać do karty bez względu na jej kolor.

martin - 01-04-2015, 20:52
Temat postu:

Adam Frajtak napisał/a:

Włochy tam nawet nie posługiwanie się kartą może skończyć się z jej wyczyszczeniem

Ja mam akurat podobne doswiadczenie z Hiszpania. Ale - mialem z 6..8 prob obrobienia karty kredytowej. Za kazdym razem mialem telefon z banku, z prosba o potwierdzenie operacji nie pasujacej do mojego profilu. Za kazdym razem proba zakonczyla sie wymiana karty po tym telefonie.

Adam Frajtak napisał/a:

i później 18,5$ przez 24 miesiące abonament za support on-line

Klasyka przy kupnie dojscia do internetu na lotniskach.

Adam Frajtak napisał/a:

jak tylko próbuje się oddalić z karta od stolika to właśnie zaczynacie być okradani.

Kuriozalnie, w DE i USA oddalanie sie z karta jest norma.

Jarek Andrzejewski napisał/a:

A gdyby poczekał i trafił w moment między zasileniem karty a jej obciążeniem za Twoje zakupy?

Malo prawdopodobne zeby proba nastopila w ciagu tych paru minut miedzy przelewem na karte i przelewem za zakup.

Tomek Płociński - 02-04-2015, 09:03
Temat postu:

Ja nie mam bardzo poważnych doświadczeń, tylko dwa razy wymieniłem kartę po transakcjach internetowych i ściągnięciu kasy z karty ... za każdym razem bank uznał reklamację i zwrócił kasę ... teraz mam PayPala na zakupy internetowe salut

martin napisał/a:

Dzięki za info salut

Słyszałeś aby w trakcie tego procesu jakieś złośliwe oprogramowanie było w stanie podmienić np. numer konta ?????
W tego typu transakcjach ja mogę skojarzyć tylko kwotę, bo konto odbiorcy nie ma w tym momencie żadnego znaczenia, nie jest to konto osoby od której coś kupuję, a danego systemu płatniczego/pośredniczącego, więc nie jestem w stanie go zweryfikować scratch

martin - 02-04-2015, 10:28
Temat postu:

Tomek Płociński napisał/a:

Słyszałeś aby w trakcie tego procesu jakieś złośliwe oprogramowanie było w stanie podmienić np. numer konta ?????

Nie. Dane sa przekazywane w postaci zaszyfrowanej.

bpiotrek - 02-04-2015, 11:13
Temat postu:

Adam Frajtak napisał/a:

To może pokusimy się o jakieś podsumowanie?

Moje luźne podsumowanie i przemyślenia:
- nie używaj prestiżowych kart rzucających się w oczy
- do transakcji internetowy używaj kart wirtualnych lub przedpłaconych
- w ryzykownych miejscach używaj kart przedpłaconych lub gotówki
- oddziel konto na wydatki bieżące od oszczędności życia
- ustal limity kartowe transakcji internetowych/MOTO lub je wyłącz (nie każdy bank to oferuje)
- na karcie zaklej taśmą numer CVV/CVV2
- wyłącz transakcje NFC offline lub wszystkie zbliżeniowe jeśli z nich nie korzystasz
- staraj się wykorzystywać przelewy zdefiniowane
- dokładnie sprawdzaj dane do przelewu w smsie weryfikacyjnym (najlepiej z numerem konta zapisanym poza komputerem)
- nie instaluj podejrzanego oprogramowania na telefonie (np. fałszywych "certyfikatów" z banku)
- nie rób ważnych, dużych przelewów zmęczony, w pośpiechu itd.
- w przypadku podejrzanych transakcji kartowych korzystaj z procedury Chargeback

aleXandra - 03-04-2015, 08:14
Temat postu:

Alternatywne zabiezpieczenie przy transakcjach zdalnych wykonywanych kartą kredytową.

Zamiast wirtualnej e-karty kredytowej operuje limitami na transakcje internetowe. Jesli musze zrobic płatność - podnosze limit, wykonuje płatność a później znów go obniżam do niezbędnego minimum.

martin - 03-04-2015, 08:30
Temat postu:

Jesli uzywasz kredytowki tylko do zaplat w internecie, jest to ok. Jesli uzywasz kredytowki na codzien, mocno uciazliwe. Jesli operujesz wiecej niz jedna karta kredytowa (ja mam w portfelu 5 i kazda z nich ma jakies warunki w ktorych jest najlepsza) jest to raczej niewykonalne.

aleXandra - 03-04-2015, 08:57
Temat postu:

Ustawiam limit osobno na transakcje internetowe/telefoniczne/korespondencyjne.

Takie płatności normalne, "sklepowe" mam z całkiem innym limitem.

martin - 03-04-2015, 09:07
Temat postu:

Mimo wszystko mocno uciazliwe. Zamiast jednej operacji, masz trzy - podniesc limit, zaplacic, zmniejszyc limit.

BTW: moj bank potwierdza mailem kazda operacje wykonana karta kredytowa. Natychmiast. Bardzo skuteczne zabezpieczenie - w dobie telefonow z poczta wiesz gdy dzieje sie cos nie tak.

Warto jeszcze zwrocic uwage na to, kto inicjuje transfer. Pieniadze ktore sa sciagane z twojej karty (inicjacja z zewnatrz) moga byc cofniete. Stosunkowo bezproblemowo.
Zupelnie inaczej jest, gdy ty inicjujesz przelew - te pieniadze sa wydane bezpowrotnie.

aleXandra - 03-04-2015, 09:17
Temat postu:

martin napisał/a:

Mimo wszystko mocno uciazliwe. Zamiast jednej operacji, masz trzy - podniesc limit, zaplacic, zmniejszyc limit.

Trzy zamiast dwoch - przelac kase na wirtualna karte, zaplacic, Jakos przezyje Smile

szczezgolnie ze takich platnosci staram sie unikac jak ognia i robie ich nie wiecej niz jedna, dwie na kilka miesiecy.

Za to nie musze placic za wirtualna kredytowke - akurat w mbanku gdzie mam konto, jest on płatna 25PLN/rok i uwazam ze przy mojej czestosci placenia utrzymywanie jej nie ma sensu.

Potwierdzanie płatnosci karta mailem/SMS-em - bardzo dobry pomysl, tez stosuje tam gdzie moge.

martin - 03-04-2015, 11:19
Temat postu:

Trzy zamiast jednej - zaplacic karta. Tutaj nie ma nic nadzwyczajnego albo niebezpiecznego.
Zdecydowanie bardziej niebezpieczne sa przelewy.

Nie uzywam wirtualnych kart - nie maja moim zdaniem najmniejszego sensu. Jesli cos jest nie tak, cofam operacje. Z kartami kredytowymi, tak jak pisalem, nie ma najmniejszego problemu, wystarczy wcisnac w portalu banku przycisk "anuluj". Thats all.

Placenie za karty kredytowe to przezytek. Jest wystarczajaco duzo ofert bezplatnych kart. Lacznie z opcjami typu bezoplatowe wyciaganie pieniedzy w kraju i zagranica, oprocentowanie nadwyzek.

Problemem jest to, ze wiekszosc ludzi nie zdaje sobie sprawy z tego, ze pod przyciskiem "zaplac" moze kryc sie wiecej niz jeden kanal. Oraz z tego, ze uzycie roznych kanalow nosi za soba rozne konsekwencje.