Banks online security

[ny_quant]

Задолбали. Уже в нескольких местах попытка залогиниться приводит к примерно таким результатам:

Access Denied
You don't have permission to access "http://auth.fucking_bank.com/account/login" on this server.


Телефонный звонок ведет к длинным переговорам, пляскам с бубном, чистке кэша, переоткрыванию браузера, попытке залогиниться в других браузерах, перезагрузке компа и все это безрезультатно.

Проблема, как я случайно выяснил, решается просто заходом из анонимного окна. Что за фигня?

В комментарии приглашаются nlothik, sydorov47 и все кто хочет поделиться своими знаниями или эмоциями по этому вопросу.

UPDATE: Оказалось, что если набирать пароль руками, то анонимное окно открывать необязательно, дают зайти из обычного.

Comments

[luxs135.livejournal.com]

Судя по описанию действительно бред какой то

[nlothik.livejournal.com]

Стоят ли в браузере какие-то плагины? Отличие анонимного режима в том, что никакие плагины по умолчанию не подгружаются. Возможно, один из плагинов дурит. Чаще всего такие проблемы действительно бывают из-за какой-то закэшированный ошибки, а так как кэш чистили, я надеюсь, достаточно хорошо, то на эту проблему это не похоже.

[ny-quant.livejournal.com]

Да, плагины есть. Странно, что они дурят только на банковских сайтах.

Есть ещё одна забавная вариация: залогиниться можно, а вот послать деньги при помощи Zelle нельзя - это только в анонимном окне разрешали. Конкретно эту проблему починили они сами, даже кэш чистить не пришлось.

А ещё есть фокус, когда пароль можно ввести пальчиками, но нельзя paste что я обычно делаю если пароли слишком длинные. Это они тоже сваливают на кэш, но понять этого простым смертным никак невозможно. Отдельные случаи когда они запрещают paste на программном уровне.

В общем, как ночью по тайге.

[malyj-gorgan.livejournal.com]

> ... можно ввести пальчиками, но нельзя paste ...
Аргумент в пользу сценария номер один. То, что логнуться можно а деньги переводить нельзя — это очевидно, разные модели работают.
Заодно советую: никаких paste вообще, не переключаться между этим окном и другими, не делать окно слишком маленьким или слишком узким.

[oldkettle.livejournal.com]

Хотел сказать, что если браузер Хром, то можно создать новый профиль и попробовать в нём (вроде бы, без плагинов), но это будет, вероятно, то же самое, что и анонимная сессия. Вообще, очень странно: чистка кэша должна эту проблему решать. У нас на работе есть корявый сайт, который молча выбрасывает обратно на логин, решается именно удалением файлов и кукиз этого сайта.

[ny-quant.livejournal.com]

Ждал и сутки и неделю - same shit. Захожу всегда из дома, с одного и того же IP.

Не понимаю что это за ML такой, что он видит правильный юзернэйм и пароль (что уже как бы двойная идентификация) со знакомого IP и в ответ просто наглухо блокирует.

Ну, положим, возникли в воспаленном электронном мозгу подозрения, что я злоумышленник, который хитро замаскировал IP а имя и пароль украл. Ну, пошлите мне что ли СМСку или имэйл. Почему сразу Access Denied?

[ny-quant.livejournal.com]

> Заодно советую: никаких paste вообще, не переключаться между этим окном и другими, не делать окно слишком маленьким или слишком узким.

A почему? В чем тут риск? Ну не позволят мне paste, я в крайнем случае введу вручную, несмотря на fat fingers.

[http://users.livejournal.com/_glav_/]

люди опасаются государства, а пушной зверёк придёт от частных компаний.

[ormuz.livejournal.com]

"странно",
ээээ, вы уверены, что эти плагины у вас не пытаются увести пароли/аккаунты, каким-нибудь перенаправлением на фишинговые сайты/етс?

[sydorov47.livejournal.com]

Я прямо сюда подключюсь, если не возражаете.
Разница в том, что банковские сайты, скорее всего, "опрашивают" броузер, и считают risk value - а другие сайты этого не делают.
Риск считается на основании того, что у вас стоит и откуда вы приходите.
К примеру, заход с VPN повысит risk value сразу. То же происходит с некоторыми плагинами. Я бы попробовал зайти выключая плагины по очереди.
Cut-n-paste тоже подымает risk value - потому что это похоже на то, как работают трояны.

Если есть броузер, который совсем без плагнинов - попробуйте его.

[ny-quant.livejournal.com]

Я не знаю как можно вообще быть в чем-то уверенным. Даже в том, что разработчики самого браузера не вставили в него какую-нибудь маленькую штучку, которая делает что-то вроде того, что вы описываете.

Некоторую долю уверенности дает тот факт, что эти плагины стоят у меня давно, один несколько лет, а другой порядка года, и случаев спиздинга как-то не наблюдается. Да и непонятно какой толк от воровства паролей в эпоху 2FA.

Мысль о перенаправлении на фишинговые сайты не понял. Вы имеете в виду, что что жертва туда попадет и не заметит, что не в родном факинг банке, а совершенно на другом сайте? Ну предположим. Ну украли они у меня таким путем пароль. А дальше-то что?

[ny-quant.livejournal.com]

См. update.

[ny-quant.livejournal.com]

См. update

[ny-quant.livejournal.com]

См. update.

[ormuz.livejournal.com]

мен-ин-зе-миддл атака, вы как-бы логинитесь туда — а оно в свою очередь логинится на факинг банк, и просто отсылает вам ответ факинг банка, вы попытаетесь сделать какой-то вайр, а оно там подправит адресата. Все подтверждения смсками/2FA — Вы сами и подтверждаете.

случаев спиздинга не наплюдается по очевидной причине — родной банк его не пускает по какой-то причине (уж непонятно, как вычисляет, либо незнакомый айпишник, либо что-то ему не нравится).

[ny-quant.livejournal.com]

В вашей схеме, жулики залогиниваются в мой банк тогда как я залогиниваюсь в их фишинговый сайт. Как же так получается, что я там могу видеть все свои счета, платежи, и делать новые операции?

И уж совсем непонятно каким чудом СМСки всегда приходят из одного и того же места. Если там man in the middle, то она должна прийти не из банка, а от них.

[cryinstone.livejournal.com]

решается просто заходом из анонимного окна
cookies!

[ormuz.livejournal.com]

в смысле? это ж прокси — вы логинитесь на сайт жуликов (или просто на страничку, сгенерированную трояном/плагином) — жулики пропускают весь траффик в обе стороны, вы видите все свои аккаунты, и жулики видят все ваши аккаунты. СМСки приходят из банка, но вводите вы код на сайте жуликов (а они одновременно на банковском сайте).

я не говорю, что это обязательно так, но, то что это у вас происходит на банковских сайтах — должно Вас настораживать. (по крайней мере настораживает ваш банк).

[polkovnik-isaev.livejournal.com]

Мой рабочий Citrix периодически перестает логиниться в обычном окне и надо заходить через анонимное. Потом у него это проходит. I don't even question it anymore.

[ak-47.livejournal.com]

Оказалось, что если набирать пароль руками, то анонимное окно открывать необязательно, дают зайти из обычного.

Может быть что при копи-пасте там захватился пробел или новая строка или ещё что? Поэтому пароль и стал неверным. Иногда когда у меня копи-паста не работает, то я проверяю копированием в Нотепад.

[place-of-pi.livejournal.com]

Интересный какой баг для банковского сайта.

Ну допустим:

1. Почистить все относительно этого сайта — cookie, local storage, session storage, trust tokens, etc и пробовать логиниться.

2. Выключать плагины по очереди и пробовать логиниться.

3. Попробовать залогиниться в другом браузере/устройстве.

Если 1 и 2 не сработает — я бы от излишней паранойи переустановил бы браузер и прошелся антивирусам(и) по системе.

А какой банк, хотя бы первую букву имени? (Chase, Citi, Capital One, Citizens будут неразличимы, но ладно) Хоть из первой десятки?

[place-of-pi.livejournal.com]

А по поводу update — если пароль не набирался руками, откуда он брался? Запомненный из браузера, взятый из сохраненного текста или менеджер паролей?

[ny-quant.livejournal.com]

Никаких cookies давно нет, они были стерты на первом этапе борьбы с этой чумой.

[ny-quant.livejournal.com]

При этом из анонимного окна этот гипотетический пробел нисколько не мешал.

[ny-quant.livejournal.com]

Я записываю все пароли в текстовые файлы, которые хранятся на жестком диске. Оттуда я делаю copy-paste. Можете смеяться, я это заслужил.