ČSOB nekomunikuje zrovna nejbezpečněji
jsem uživatelem ČSOB Business Banking 24. přišel mi mail následujícího znění:
Vážená klientko, vážený kliente,
dovolte, abychom Vás seznámili s následující situací: dne 8. 11. 2007 jsme nasadili novou komponentu ICASign pro podepisování čipovou kartou v aplikaci ČSOB BusinessBanking 24 a ČSOB Internetbanking 24. Chtěli bychom Vás v této souvislosti požádat o nainstalování komponenty ICASign, provedení kontroly a nastavení internetového prohlížeče podle návodu, který najdete na adrese https://ib24.csob.cz/Forms/IDRArticle.aspx?prmkod=CZ.INF.IB_CZ.6720
Výše uvedené zajistí, aby aplikace ČSOB BusinessBanking 24 a ČSOB Internetbanking 24 fungovaly korektně. Velice se Vám omlouváme za případné potíže. S přáním krásného dne
Vaše ČSOB.
tak takhle by bezpečná komunikace s klienty probíhat neměla.
proč? protože dá velkou práci takový mail odlišit od podvodných phishingových mailů. ty znějí většinou úplně stejně. a byly i další indicie, že něco není v pořádku: například web ČSOB bankingu o změně úplně mlčel (update: teď už tam nějaké informace uvedeny jsou).
závěr? až operátor na telefonické lince podpory se přiznal a potvrdil, že to je autentická výzva ČSOB.
podle mého názoru je načase, aby banky pro oznamování technických změn úplně opustily hromadnou elektronickou korespondenci. kdyby to posílaly klasickou pozemní poštou, bylo by to sice o dost dražší, ale důvěryhodnější. časem by si tak vycvičily klienty, že co přijde poštou, je vždy v pohodě, ale co přijde elektronicky, je vždy jedno velké e-e. snad by se to brzy začalo vyplácet ve vyšší důvěře klientů k elektronickému bankovnictví a v menších finančních škodách, za které musí odpovídat.
(anebo kdyby aspoň ten mail formulovaly jinak. něco jako "proběhly změny, je potřeba nějaká akce na vaší straně, podívejte se prosím na náš web na instrukce", ale bez aktivního odkazu! všichni ten správný web znají, že.)
co si o tom myslíte vy?
Komentáře
upozorneni
No to musi byt podvrh, protoze mam taky CSOB a nic takoveho mi neprislo. Nejlepsi by bylo kdyby se mi pri nalogovani do banky objevilo neco ve stylu:"V menu nastaveni mate na stazeni novy certifikat, postisknuti na toto tlacitko si jej nainstalujete" a bylo by a myslim nejbezpecnejsi, nemyslite?
PAUL
No to musi byt podvrh, protoze mam taky CSOB a nic takoveho mi neprislo. Nejlepsi by bylo kdyby se mi pri nalogovani do banky objevilo neco ve stylu:"V menu nastaveni mate na stazeni novy certifikat, postisknuti na toto
Chicago worker comp law
There is big support that,
There is big support that, when combined with the power of the community, should bring in great outcome. business directory |employment|Anaheim
Podepisovani emailu
Nejspis by stacilo, kdyby banky tyto emaily podepisovaly certifikatem. Nebo jeste lepe, kryptovaly je certifikatem uzivatele.
nesmysl
zrovna u nich bych si na nejakou bezpecnost nestezoval. me uplne staci, kdyz nam z csob prijde vubec nejake upozorneni.
jestli jsem to pochopil spravne, tak se nemeni certifikaty, ale meni se nejaka javova knihovna (resp. jeji jmeno), ktera je nacachovana v msie. a oni sami tam dali dlouhou dobu expirace, takze by uvnitr cache zustala navzdy.
ad odkaz na jejich web: mel jsem docela problem, kdyz jsem tam neco hledal a nemel jsem url.
-- mtd
obrana
Pritom by jako obrana proti phishingu stacilo ty emaily podepisovat treba pomoci PGP/GPG .... zakaznik by pri zrizovani bankovnictvi dostal i verejny klic banky, s tim ze az vyprsi, tak dalsi certifikaty se daj stahnout tam a tam na webu banky (https:// ... )
Phisher privatni klic mit nebude, takze poznat co je z banky a co neni je pak trivialni (staci overit podpis)
BTW nechcete zrusit tu capthcu aspon pro registrovany?
PGP
Banka a PGP? Tak tomu se fakt směju. Co takhle použít něco normálního místo dětských hraček?
Co je špatného na PGP?
Co je tak špatného na PGP?
šifrovaná komunikace s klientem..
..je v ČSOB přece postavena právě na klíčovém páru, který je pro každého klienta již vygenerován - stačí ho použít i v tomto případě, jak správně již někdo zde poznamenal. Autenticita zprávy jde ověřit certifikátem banky, který klient také má k dispozici. Vymýšlet další krkolomnosti vhodné spíše pro peer-peer komunikaci amatérů je zbytečné.
Bohužel se často nevyužívá (z neznalosti nebo z obavy možných komplikací ???) to, co je již k dispozici. Přitom uložení šifrovacích klíčů na čipové kartě je v ČSOB komparativně to nejbezpečnější, co e-bankovnictví v ČR může nabídnout.
obrana
Pritom by jako obrana proti phishingu stacilo ty emaily podepisovat treba pomoci PGP/GPG .... zakaznik by pri zrizovani bankovnictvi dostal i verejny klic banky, s tim ze az vyprsi, tak dalsi certifikaty se daj stahnout tam a tam na webu banky (https:// ... )
Phisher privatni klic mit nebude, takze poznat co je z banky a co neni je pak trivialni (staci overit podpis)
BTW nechcete zrusit tu captchu aspon pro registrovany?
exactly what I was thinking
I can see that a lot of thought was put into this post and for that I appreciate every word of it. There are a lot of great points raised. keep up the great work.
I'm a huge fan of bondage and bondage sex and especially lesbian bondage which is always hot. Getting back to bondage sex it's always best to have your bondage sex with a good dose or submission and domination. lesbian bondage with strapons is always an added bonus when it comes to bondage and in case you're in search of some of the best bondage then I think you know exactly where to find bondage
as always, keep up the great work.
obrana?
bilbo: kolik procent uzivatelu inet bankovnictvi (jinymi slovy, bezni uzivatele internetu) bude umet overit autenticitu emailu s PGP podpisem?
Hlavni chyba asi je v designu te aplikace, ktera vyzaduje nejaky zasah uzivatele v pripade upgradu te aplikace. Zpusob informovani uzivatele ale taky nebyl uplne nejstastnejsi, zvlast pokud se ke zminovanemu navodu nedalo dostat nejak trivialne bez pouziti primeho hyperlinku z emailu. Z pohledu bezneho uzivatele ale stale plati, ze takove emaily ma pausalne ignorovat, pripadne pokud jevi znamky autenticity je vzdy overovat telefonatem na hotline.
ověření na Hotline nestačí
Ověření na Hotline nestačí. Útočník může použít autentický e-mail, který v té době banka rozesílá a jen v něm zaměnit URL stažené "záplaty".
mailklienty umí
Na rozdíl od dětských hraček (PGP) běžné mailklienty umí běžně dospělé technologie, z mé osobní zkušenosti Thunderbird i Outlook umí pracovat s X.509 "přímo z krabice"
thanks fafdss porn
thanks fafdss
porn
emai? aplikace? no toto...
take si myslim ze to je zasadne spatne.
banka ke komunikaci s klientem nikdy nepouziva email. (ma banka pouziva komunikaci skrze e-banking)
nechapu co se jako ma zaplatovat na e-bankingu? dyt je to jen o web prohlizeci + telefonu, ci kalkulacky nebo tak neceho.
jestli se jedna o nejakou aplikaci... ruku pry od takovych nesmyslu!
PS: pgp apod: to je nesmysl. prestoze je banka schopna neco overitelne podepsat, vetsina klientu si to neumi uspokojive overit...
takze je to k nicemu.
Overeni PGP?
No dle meho nazoru overeni pgp podpisu neni takovy problem, v thunderbirdu je to otazka jednoho nastaveni a pak to overuje automaticky....pro banku by preci nebyl problem hodit na web upozorneni klientum kdyz se naloguji aby si udelali toto a toto (je pravda ze pro otrook je to slozitejsi ale co mrkvosoft no).
myslim si, ze cesta
myslim si, ze cesta kryptovat certifikatem uzivatele by byla nejlepsi a nejednodussi.
nevim teda jak u CSOB, ale u KB pokud chci ibanking, musim mit certifikat od banky vydany.
takze pokud by mi maila zakryptovali mym certifikatem, ktery stejne maji, ja bych si to rozbalil a vedel bych, ze je to od nich pro me, no ne?! :-)
vzdyt je to prece jednoduchy nasadit i v praxi, mozna by potrebovali od nekoho poradit
Maily
Také používám e-banking od ČSOB a mail mi nepřišel.
Opravdu by stačilo upozornit na to na příslušném webu a třeba i donutit klienta, aby cert upgradnul, nez ho to pustí dál (ne všichni totiž webové bankovnictví používají).
Opravdu si myslím, že by banky neměli v e-mailu posílat linky a podobné prvky.
Ideální by byla věta "Pro aktivaci zadejte na našem webu číslo XXXXXXXX", které by zákazníka přesměrovalo na danou stránku, stejně tak by mohl fungovat systém, který by ověřoval maily pomocí zadání emailu a unikátního kódu vygenerovaného pro každého uživatele. Tak by si každý mohl ověřit pravost mailu (za předpokladu, že na čsob nepoleze přes link, co najde v tom mailu). Takže by stačily 1-2 formy na uvodni strance csob navic a mohlo by to být vyřešeno bez toho, aby si každý klient musel generovat GPG klíč nebo podobné a nahrávat ho do banky.
Re:
omega replica watches
fggdg
sexy videos
International Dateline phone
International Dateline
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
phone sex
GOOD POST
export club design art hand bag paper product
Gift packagingpaper product Perfume Box
Gift box Jewellery Box Lingerie Box
underwear Box Promotion Bag
Gift box gift bag Printing box
apparel Box gift Bag brand Bag
party Bag Wooden Box Wooden Gift Box
watch Box Medal Box
Glasses Box wine Box
wooden Perfume Box Jewelry Box
Cosmetics Box gift Box designer
dárky
Levné dárky na spolehlivyobchod.cz
税理士 東京 合宿免
税理士 東京
合宿免許 格安
ボイストレーニング
勃起不全
パナソニック電工
キッチン リフォーム
経営革新計画
まつげエクステ
IELTS
大きい サイズ ワンピース
ブーツ
苗木
整体 神奈川
結婚相談所
電話代行
フランチャイズ 起業
エステ 名古屋
税理士
インプラント
ムーンストーン
時計買取
サイト買収
債務整理 厚木
お見合いパーティー
永久脱毛
200年住宅
モバイル サイト
コーチング
国分寺 不動産
リンナイ
ワーキングホリデー
地デジ工事
店舗内装工事
ワイシャツ
新築 分譲賃貸
メンタルヘルス
ブライダルエステ
バイク便 東京
ihcway 英会話
英会話 喫茶
ビジネス 英会話
ihcway 評判
ハーレー
増毛
RE:
Z pohledu bezneho uzivatele ale stale plati, ze takove emaily ma pausalne ignorovat, pripadne pokud jevi znamky autenticity je vzdy overovat telefonatem na hotline.Nutrition degree | Information Technology Diploma | Performing Arts school
RE:
Hlavni chyba asi je v designu te aplikace, ktera vyzaduje nejaky zasah uzivatele v pripade upgradu te aplikace.
Health science school | Hr degree
Gunawan
Profesyonel kadromuzla biz Sahabat Sejati ve acil servis ekibimiz 25 yillik hizmet tecrübemizle PayPal WishList hizmetinizde. Blog lerry Isinizi sansa Casablanka birakmayin.Telefon numaramizdan Spy camera shop
bize ulasin, Domain Murah size en yakin servis ekibimizi yönlendirelim. Türkis Bloklari Blog dofollow Profilo Servis‘e her Sexsi Women gün onlarca Simcool
müsterinin Twilight Express
güvendigi Express Entrepreneurship gibi sizde rahatça güvenebilirsiniz..
En hizli ve güvenli Türkis Bloklari Profilo Servisi. Uzman Profilo teknik servis kadromuzla tek hedefimiz müsteri Bisnis Blogger memnuniyetini saglamak. Sektörde öncü Body health information
bir firmadan hizmet Sistem Pakar almanin ayricaligini yasayin.. Türkis Bloklari Profilo Servisi sizin için 7 gün 24 saat hizmet vermektedir. Profesyonel kadromuzla biz ve acil Pakar Seo servis ekibimiz 25 yillik hizmet Disnak bengkulu tecrübemizle hizmetinizde.Isinizi sansa birakmayin.
Türkis Bloklari Profilo Servisi Telefon numaramizdan bize ulasin,
Disnak size en yakin servis ekibimizi yönlendirelim.
your article is excellent,i really love it. hoping to read your following post, Just share for all about Astaga.com lifestyle on the net real friend is someone who we Lerry | for the study of Free Tutorial | and the fastest train ever Fans club artis | all science seo Tes aja lo | want to buy domain please to come here Cheap Domain Download Pc media this Ilmu komputer and Berita Artis
RE:
Земельные участки
Generic Viagra | Cheap
Generic Viagra | Cheap Generic Viagra | Generic Viagra | Medicines Drop Shipping
Poslat nový komentář