Gå til innhold

Sikkerhetsekspert begynte å le da han så DNBs oppfordring til kundene


Anbefalte innlegg

Videoannonse
Annonse

Går vel an å be en av utviklerne internt på bruket til å sette opp et grensesnitt hvor det ikke finnes et CC-felt og at mottakerfeltet kun kan holde på en @ (alfakrøll). Samt at BCC finnes some et felt i e-post-grensesnittet.

Lenke til kommentar

Vel, det står nå i artikkelen at de hadde forsøkt å kontakte kundene gjennom melding i nettbanken, og per SMS, før de tok steget å gikk til telefon og så e-post.

 

Sier ikke at det var rett fremgangsmåte, men kan jo forstå DNB også på sett og vis.

Hadde jeg vært banksjef, så ville jeg bare anmodet om å sette på en midlertidig sperre på kontoen, bankkort or hele sulamitten inntil kunden logget inn i nettbanken og oppdaterte personopplysningene. Det burde ikke være så vanskelig, selv om det kanskje ville involvere noe manuelt arbeid involvert i opphevelsen av sperrene.

 

Det er kanskje "brutalt" å sperre konto og kort til kunder som ikke oppdaterer personopplysninger, men har du forsøkt med melding i innboksen og sms (hvor jeg antar at kunden har blitt oppfordret om å logge inn i nettbank å oppdatere personopplysningene), så mener jeg kunden har bedt om å bli midlertidig utestengt fra sine egne konti og kort.

  • Liker 1
Lenke til kommentar

 

 

Kunne de ikke bare hatt et skjerma man blir presentert ved innlogging i nettbanken?

Det er nettopp det de har: Med jevne mellomrom må jeg bekrefte kontaktinformasjon og adresse når jeg logger inn i nettbanken (hos DNB), så jeg forstår virkelig ikke hvorfor de har sendt ut forespørselen på denne måten.

Fordi dette sikkert er snakk om bestemødre og -fedre som aldri logger inn i nettbanken.

 

Spørsmålet er hvorfor DNB ikke bare henter opplysninger fra folkeregisteret?

 

Hvis de ALDRI logger inn så er kanskje det sikrest å stenge mulighet for å logge seg inn også?

Bare noe de har fått uten om å be om det.

Ja, folkeregister er da vanlig å vaske data mot i andre firma, men kanskje DnB ikke vil betale for datavask?

Lenke til kommentar

Vel, det står nå i artikkelen at de hadde forsøkt å kontakte kundene gjennom melding i nettbanken, og per SMS, før de tok steget å gikk til telefon og så e-post.

 

Sier ikke at det var rett fremgangsmåte, men kan jo forstå DNB også på sett og vis.

Hadde jeg vært banksjef, så ville jeg bare anmodet om å sette på en midlertidig sperre på kontoen, bankkort or hele sulamitten inntil kunden logget inn i nettbanken og oppdaterte personopplysningene. Det burde ikke være så vanskelig, selv om det kanskje ville involvere noe manuelt arbeid involvert i opphevelsen av sperrene.

 

Det er kanskje "brutalt" å sperre konto og kort til kunder som ikke oppdaterer personopplysninger, men har du forsøkt med melding i innboksen og sms (hvor jeg antar at kunden har blitt oppfordret om å logge inn i nettbank å oppdatere personopplysningene), så mener jeg kunden har bedt om å bli midlertidig utestengt fra sine egne konti og kort.

 

Det problematiske her er at banken har ikke noen som helst kontroll på at de skjemaene som kommer inn til banken, per post slik instruksjonen er, faktisk er sendt fra kunden :)

 

Sikker kommunikasjon baserer seg først og fremst på prinsippet om at både sender og mottaker er sikre på at den andre part er den man tror den er. (Dette skjer ved oppkobling av alle sikre protokoller, være seg for internetttrafikk eller avtaleinngåelser face-to-face).

 

Siden banken her eksplisitt har varslet, og har for tradisjon å advare om, at forespørseler om personopplysninger som stammer fra eposter er å anse som svindel PLUSS at de ber om at kunden svarer via vanlig post, der avsender strengt tatt kan være hvem som helst, viser at de som har prøvd å løse problemet de har ikke har særlig forståelse for behovet for sikker kommunikasjon eller prinsippene rundt det.

  • Liker 2
Lenke til kommentar

 

 

Spørsmålet er hvorfor DNB ikke bare henter opplysninger fra folkeregisteret?

Er e-postadresser og telefonnumre registrert i folkeregisteret?
Godt poeng.

nja... eposten har de vel siden de har sendt epost.

Hvis den er feil, vil det neppe hjelpe å bruke den for å spørre om den riktige :-)

  • Liker 1
Lenke til kommentar

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

Lenke til kommentar
Gjest Slettet-376f9

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

Helt seriøst: er du 100 % sikker på at det var PayPal du snakket med?

Lenke til kommentar

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

 

Tenker du på disse?

_________________________________________

 

PayPal-kontoen din i oktober  

Hei, Fornavn Etternavn

Husk at du alltid kan se de siste kontobevegelsene på PayPal-kontoen din. Det er bare å logge på paypal.no for å få full oversikt.

__________________________________________

Endret av Frobe
  • Liker 1
Lenke til kommentar

Forstår jeg situasjonen rett, så har de forsøkt innsamling av informasjon både i nettbanken og på telefon, og går nå til brev. De kunne løst det mer smidig om de i stedet for å be kunden om å returnere informasjonen via brev, så kunne de skrevet i brevet at kunden må logge inn i nettbanken og oppdatere informasjonen selv. Da når man ut til alle, og man bevarer sikkerheten.

Lenke til kommentar

Dette var lite imponerende av DNB uansett hvordan man snur og vender på det, og som en nevnet nedenfor her i kommentarfeltet så er det meget bekymringsfullt at dem ikke innser at dette er feil.

En ting er å gjøre en feil, noe helt annet er å påstå at det er rett når alle andre påpeker det! Glad for at min konto i DNB er avsluttet.

  • Liker 2
Lenke til kommentar

 

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

 

Tenker du på disse?

_________________________________________

 

PayPal-kontoen din i oktober  

Hei, Fornavn Etternavn

Husk at du alltid kan se de siste kontobevegelsene på PayPal-kontoen din. Det er bare å logge på paypal.no for å få full oversikt.

__________________________________________

 

Jepp. Jeg synes det er unødvendig å ta med lenker i slike meldinger fordi de kan manipuleres på måter som er vanskelige for hvermansen å oppdage. Det er fint å minne meg på at jeg kan finne informasjon om ditt og datt, men å finne frem til kjente nettsteder vil jeg helst ikke ha hjelp til.

  • Liker 1
Lenke til kommentar

 

DNB er ikke alene om å gjøre slike tabber. Paypal har også kommet med noen horrible meldinger den siste tiden som jeg først var sikker på at var forsøk på phishing, men etter å ha rapportert dem fikk beskjed om at det var legitime meldinger.

Helt seriøst: er du 100 % sikker på at det var PayPal du snakket med?

 

Ja jeg er relativt sikker fordi adressen jeg sendte klagen til var en adresse jeg selv hadde lagret, og både SMTP-headere og kryptografiske signaturer i responsen var ok.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...