Zkušenosti s internetovým bankovnictvím

[mhepp]

Já jsem svoji odpověď dostal. Děkuji všem, kteří odpověděli na moji otázku. Zejména Jirsákovi, který mi vysvětlil, že to co chci, vlastně nechci.

https://www.youtube.com/watch?v=r-ZiI3iVgpM

[Reklama]

[Trident Vasco]

KB jsou experti na slovo vzatí, horší projekt než KB+ jsem dlouho v bankovním světě nezažil, to znám i ČSOB.

Dříve nebo později budou muset veškeré banky přejít na bezpenější způsob přihlašování, tj. aplikaci nasadí postupně všechny, ty lepší budou mít k dispozici alternativu v podobě nějakého HW token (připravuje Air, RB a GM).

Zkus se podívat na Airbanku nebo Rajfku, umí vše, co jsi sem napsal. Pravděpodobně to ale umí i ostatní menší banky.

Budeš ale bojovat s tím oznámením o pohybu na email/sms, tohle postupně banky ruší.

Mliko po brade?
Nejhorsi projekt ktery KB mela bylo jejich IE only+ActiveX+dve verze Javy peklo. Odstrasujici pripad nemajici u obdoby.
V mboha firmach byly jen dedikovane pocitace na ten jejich dort pejska a kocicky.

[Anonymní Anonym]

Mě ale v potvrzovací SMS s kodem chodí číslo proti účtu a částka, takže kde je problém?

Aha, takže vyššího zabezpečení nedosáhnete vyšším počtem zařízení (jak jste tvrdil), ale bezpečnějšími faktory. Nebo větším počtem faktorů, to ale z vaší odpovědi neplyne.

Mimochodem, ještě lepšího zabezpečení byste dosáhl, kdyby vám to nechodilo jako SMS, ale zobrazovalo by se to přehledně v aplikaci. Protože přehledné zobrazení v aplikaci by vás více motivovalo k tomu, abyste ty údaje opravdu zkontroloval a zmenšilo by to pravděpodobnost přehlédnutí nějaké nesrovnalosti.

Proto jsem v počátku psal, že o vaši reakci nestojím. Neobsahuje často argumenty, je jen urážlivá.

Jak jsem psal v úvodu, řešil jsem odborné lidi, nikoli BFU. Pokud si někdo nečte potvrzovací sms je to blbec. Samotné technické řešení jednoho jediného zařízení ve kterém se sejde více faktorů je méně bezpečné než když se faktory sejdou odděleně a člověk je musí spojit. Potvrzovací SMS s infomací co je potvrzováno není vyšší level zabezpečení, je to prostě standart. Každé elektronické zařízení je nutno z principu považovat za děravé, žádný software není na 100% dokonalý a radeji si chybu udělám já než aby to udělalo zařízení za mě, ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.

Nemá smysl se bavit s někým kdo neumí číst a případně vše prekrucuje, bavte se.

Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal

[Trident Vasco]

Banky mají povinnosti dané legislativou ohledně zabezpečení transakcí. Pokud jsou vaše požadavky v rozporu s touto legislativou, máte smůlu. Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky. Proto tammusí být další faktor, kterým operace zadané na počítači potvrdíte. Nejlepším řešením jsou aplikace pro mobilní telefony, protože mohou být dostatečně bezpečné, zároveň snadno použitelné pro uživatele a drtivá většina uživatelů má chytrý mobil.

HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol). Takže byste musel mít speciální HW klíč s klávesnicí a displejem, kam byste tyhle údaje mohl zadat. S tím kdysi dávno začínala v ČR eBanka. Jenže něco takového dnes nedává žádný smysl – uživatelsky by to bylo daleko horší, než použití mobilu, a bylo by to podstatně dražší, než nejlevnější mobily.

SMS už dávno nejsou považované ze bezpečné. Některé banky je možná stále nabízejí, ale je to pro banku náklad a riziko navíc, takže takovou službu pravděpodobně bude poskytovat pár bank, které obslouží těch pár podivínů, ale nevyplatí se to provozovat každé bance.

Banky nemají předepsané, jak přesně musí transakce zabezpečit. Posuzuje se celkové riziko, které banka významně sníží tím, když platbu autorizujete v mobilní aplikaci. Takže autorizaci SMS může banka také povolit, ale pak musí to snížení rizika dohnat někde jinde. Mimochodem, proto také některé platby nemusí vyžadovat potvrzení, případně některé platby stačí v mobilu potvrdit otiskem prstu a jiné musíte potvrdit PINem. Záleží to na tom, jak moc je ta platba bankou vyhodnocena jako riziková a o kolik tedy potřebuje snížit riziko potvrzením v mobilní aplikaci.

Pokud se bojíte, že přijdete o mobil a tím i o přístup k bankovnictví, spárujte si s bankovnictví víc zařízení. Třeba mobil a tablet. Pokud to KB neumožňuje a je to pro vás důležité, nezbyde než změnit banku.

V cesku bych SMS

Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.

Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji  jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.

K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.

Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.

p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Používání počítačů opadá, spousta lidí má už jen ten telefon. Realita je taková, že spoustě lidem zůstává pouze ten telefon. Fyzická bezpečnost a donucení útočníka, abys mu potvrdil transakci trvá, ale je asi jedno, jestli tě bude vydírat a donutí jít do banky nebo ti vezme ruku a potvrdí otiskem. Báze je pořád stejná, to se tímhle nemění, je potřeba fyzická přítomnost a k něčemu tě donutit, jestli to je podepsání směnky, zdělení hesla k účtu či potvrzení na tom nic nemění.

To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.

Bohužel, počítač rád všechny ty loginy ponechává v paměti (než se zadané heslo smaže z operační paměti, může to trvat dost dlouho). Jak píšu výše, když máš napadené jedno zařízení, není zase taková výjimka, kdy máš napadené i druhé, poznat to nemusí jít snadno.

Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.

U sms je také zásadní problém v tom, že musíš sám kontrolovat, že obsah transakce, kterou potvrzuješ odpovídá tomu, co jsi zadal na webu. Opět jsou tady zdokumentované útoky, kdy plugin v prohlížeči měnil obsah příkazu, který jsi z prohlížeče poslal, ty jsi to potvrdil přes sms, ale peníze v jiné výši šly na jiné číslo účtu. Opět se dělo i u nás. Aplikace ti potřebné údaje k ověření poskytne přehledněji než spousty čísel v sms, které přirozeně přehlížíme. Krom toho u mobilní aplikace nelze tak snadno manipulovat s obsahem a tím co se posílá, tomu aktivně mobilní OS brání, což desktopový OS nedělá naprosto vůbec a neexistuje tam žádný chráněný režim.

Muzete mi jako technikovi rici co si predstavujete pod pojmem odposlouchava GSM? Pro zjednoduseni geopolitiky v kontextu CR?
To chce vedet hodne o tom kde se uzivatel nachazi, ze pouziva pouze GSM v nejakych pripadech a spojit si ho v miste s danou sluzbou a uctem.  To nemusi byt vubec trivialni. Znat klice nebo naborit i A5/3 ( u posledni generace). Ty SMSky nelezou zrovna uplne nesifrovane.
Mnohem jednodussi jsou utoky na SS7 kde si pekne poctete bez sifrovani ( pravdepodobne mimo CR).
GSM vas vsak za tri roky uz trapit v CR nejspis nebude.

Mnohem jednodussi je trojan v mobilu nebo gumova hadice.

Zajimave pak mohou byt utoky v roamingu v nejake dire po meteoritu.

[Ctrl+P]

ano odlišuju se od BFU, jak jsem psal

BFU píše, že není BFU - LOL 
Nejerudovanější příspěvek napsal _Tomáš_ takže je zjevné, že on se v problematice tady z vás nejvíce orientuje. A vzhledem k tomu, že Anonymní Anonym píše pravý opak, tak si člověk snadno udělá obrázek, kdo se tady opravdu ztrapňuje.

[Reklama]

[_Tomáš_]

Mliko po brade?
Nejhorsi projekt ktery KB mela bylo jejich IE only+ActiveX+dve verze Javy peklo. Odstrasujici pripad nemajici u obdoby.
V mboha firmach byly jen dedikovane pocitace na ten jejich dort pejska a kocicky.

Profibanka má pořád závislost na ActiveX . Hodnotíš jen UI, původní moje banka si peklo s activeX udělala hlavně proto, že si usmysleli, že budou cool a bude vše podepisovat certifikáty i v prohlížeči, jen to prohlížeče prostě neuměli, šlo to nahradit HW, který dělal ty podpisy. Kam to dospělo víme, ale backend byl spolehlivý, funkce fungovaly, frontendu se dalo věřit, odezvy rychlé, vše plně distribuované, backupované, vše s strong consistency, nestalo se ti, že po půlnoci stáhneš prázdný výpis včerejších transakcí, protože to tam ještě nedoteklo. Dnes? Celý frontend je eventual consistency, SPoF v podobě airflow a single elastic clusteru, přes který tečou veškerá data v json/avro, rekonciliace dat jsou na denním pořádku, protože nějaká schema evolution pro frontend je v počátku. Vše lepené a hotfixované, o nějakém promyšleném designu si můžeme nechat jen zdát, zatím.

Muzete mi jako technikovi rici co si predstavujete pod pojmem odposlouchava GSM? Pro zjednoduseni geopolitiky v kontextu CR?
To chce vedet hodne o tom kde se uzivatel nachazi, ze pouziva pouze GSM v nejakych pripadech a spojit si ho v miste s danou sluzbou a uctem.  To nemusi byt vubec trivialni. Znat klice nebo naborit i A5/3 ( u posledni generace). Ty SMSky nelezou zrovna uplne nesifrovane.
Mnohem jednodussi jsou utoky na SS7 kde si pekne poctete bez sifrovani ( pravdepodobne mimo CR).
GSM vas vsak za tri roky uz trapit v CR nejspis nebude.

Mnohem jednodussi je trojan v mobilu nebo gumova hadice.

Zajimave pak mohou byt utoky v roamingu v nejake dire po meteoritu.

Pro A5/0-2 to umíš udělat realtime pasivně (A5/2 měla u nás uměle přidaný padding a ponechala 64b klíče), krabička na to stojí miliony a koupíš jí na "trhu" docela běžně. Pro A5/3 kdo ví, nabídky na černém trhu existují, ale víc o tom nevím, Kasumi s 128b klíčem je pořád asi velké sousto. Je to 10 let co se objevili krabičky pro luštění A5/1 v reálném čase s rainbow table, protože utekla sůl, kterou používá. U nás se A5/3 objevila až s UMTS, ještě nedávno se v GSM nepoužívala, vidím masivní používání až s přechodem na open RAN (nemám ale teď v ruce čísla, kdy došlo k přechodu na A5/3 a do jaké míry, útok o kterém jsem mluvil se stal v roce 2018 v síti TMO).

Nebo máš lepší info jak je na tom A5/3 v GSM u našich operátorů? Vím, že to je v open RANu, ten ale není nasazený ještě všude. Ano, v řadě zemí je právě ještě SS7 běžně používaný, tam ty útoky, které jsem popsal jsou dost časté.

Ano, trojan na Adroidu (iOS je proti nim solidně odolný nikoliv ale nepřekonatelný, jen se to asi nevyplácí masivně dělat) je velmi častý způsob jak se obchází zabezpečení, sms nejsou v telefonu nijak rozumně chráněné a až v posledních verzích lze vyžadovat pro aplikace samotné určitou míru ochrany od OS.

[bmn]

Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.

Jak přesně ten útočník odposlechne a změní TLS komunikaci mezi serverem a prohlížečem? To už by ten počítač nebo prohlížeč musel být předem napadený, nebo jde jen o to, že neznalý uživatel slepě potvrdí podvrhnutý certifikát, což by mobilní aplikace vůbec nenabízela?

[technomaniak]

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Tak toto může skutečně napsat KARDINÁLNÍ IMBECIL.

1) Nejvíce rozšířené útoky jsou bezesporu za pomocí sociálního inženýringu kdy chyba je vždy mezi klávesnicí a židlí. Viz stovky kauz kdy uživatel skočil na špek manipulátorovi přes telefon a nainstaloval si program pro vzdálenou správu.

2) Kompromitace jsou odlišných zařízení v realitě SE prakticky nedá provést a to z technického hlediska protože STEJNÝ PROGRAM na různém operačním systému NEFUNGUJE(program vyvinutý na Windows prostě na Androidu nespustíš) a tudíž když kompromituješ jednoho zařízení na síti běžící např. na Windows tak z něj se ti skoro nepodaří zkompromitovat např. telefon běžící na Androidu nebo jablíčku.

- tato varianta útoku je prakticky i pro nadprůměrně zdatného IT odborníka skoro neproveditelná(příprava je specifická podle cíle a zabere spoustu času s nejistým výsledkem). A představa že něco takového dokážeš "REMOTE" je dneska skoro sci-fi. Není to nemožné ale je to neskutečně obtížné a mohou to dokázat tak odborníci pracující pro nejvýkonější tajné služby (USA, Rusko, Čína, apod..)

- to je milionkrát jednoduší vyvinout trojana(klient-server app) pro Android/Jablíčko/apod.. který poběží na pozadí a bude vše logovat a který ti umožní spustit a ovládat jinou app. Nebo vtrhnout někomu do baráku, zastřelit mu dítě nebo manželku a 9tkou u hlavy ho donutit aby poslal všechny peníze na nějaký pay-pal/kryptoburzu/apod. a vše vyprat přes kryptoburzy..

[_Tomáš_]

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Tak toto může skutečně napsat KARDINÁLNÍ IMBECIL.

1) Nejvíce rozšířené útoky jsou bezesporu za pomocí sociálního inženýringu kdy chyba je vždy mezi klávesnicí a židlí. Viz stovky kauz kdy uživatel skočil na špek manipulátorovi přes telefon a nainstaloval si program pro vzdálenou správu.

2) Kompromitace jsou odlišných zařízení v realitě SE prakticky nedá provést a to z technického hlediska protože STEJNÝ PROGRAM na různém operačním systému NEFUNGUJE(program vyvinutý na Windows prostě na Androidu nespustíš) a tudíž když kompromituješ jednoho zařízení na síti běžící např. na Windows tak z něj se ti skoro nepodaří zkompromitovat např. telefon běžící na Androidu nebo jablíčku.

- tato varianta útoku je prakticky i pro nadprůměrně zdatného IT odborníka skoro neproveditelná(příprava je specifická podle cíle a zabere spoustu času s nejistým výsledkem). A představa že něco takového dokážeš "REMOTE" je dneska skoro sci-fi. Není to nemožné ale je to neskutečně obtížné a mohou to dokázat tak odborníci pracující pro nejvýkonější tajné služby (USA, Rusko, Čína, apod..)

- to je milionkrát jednoduší vyvinout trojana(klient-server app) pro Android/Jablíčko/apod.. který poběží na pozadí a bude vše logovat a který ti umožní spustit a ovládat jinou app. Nebo vtrhnout někomu do baráku, zastřelit mu dítě nebo manželku a 9tkou u hlavy ho donutit aby poslal všechny peníze na nějaký pay-pal/kryptoburzu/apod. a vše vyprat přes kryptoburzy..

to si nemůžeš odpustit urážky?

Vždyť dnes prakticky útočník není autorem aplikace, jen si jí pronajme, pronajímají se nejen aplikace (trojany, viry, ransonware, nazývejme to jakkoliv), ale i konkrétní exploitované zařízení. C&C servery, exploity podle typů zařízení v síti, payloadu podle OS, během chvilku se ti to trojan automaticky rozprostřed po řadě různých zařízení a teprve pak zavolá domů, že čeká na příkazy. Tohle je typ útoků, který nejčastěji vidím ve firmách. Někdy tam prostě čeká měsíce na příkazy.

Útočníci dnes nemají velké znalosti, mají plnohodnotnou administraci pro ovládání trojanů, nejsou autoři kódu a ani nemusí být nijak zdatní, SW kupují na trhu.

Polymorfní programy, které spustíš napříč OS existují, ale ona ta aplikace takový být nemusí, prostě si stáhne payload podle detekce. Tak přesně proběhl i útok na ŘSD před pár lety, nákaza z jednoho zařízení a postihla celou infrastruktur s různými technologiemi.

[jjrsk]

Jenze vis soudruhu, napadat vice zarizeni nejakyho hej nebo pockej je predevsim sranda velice nakladna, tudiz se to nevyplati.

Napadnout mu jedno zarizeni (ten neaktualizovany deravy mobil) je radove trivialnejsi.

Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu. Kdyz ti slohnu srajtofli, prijdes o mozna par tisicovek.

[_Tomáš_]

Jak přesně ten útočník odposlechne a změní TLS komunikaci mezi serverem a prohlížečem? To už by ten počítač nebo prohlížeč musel být předem napadený, nebo jde jen o to, že neznalý uživatel slepě potvrdí podvrhnutý certifikát, což by mobilní aplikace vůbec nenabízela?

Co jsem viděl, není to vůbec sofistikované. Únos DNS, pokus o přesměrování v http, MiTM pro web banky, uživatel si to odklikne, ona i úspěšnost 2 % může být dost značná. Vždyť i vzdělaný kolegové z IT oboru běžně odkliknou chybu certifikátu, protože to vidí pořád. Captive portál je dobrá cesta, jak dělat MitM, můžeš se maskovat jako stránka, kterou navštěvuje uživatel, uživatelé jsou nepozorní (logicky). O2 a jeho akce s unášením http provozu jen učí lidi, že to je vlastně běžné a přesně u toho můžeme vidět, jak vlastně to je úspěšné, že uživatelé vůbec netuší co se děje a že to je špatně.

Stejně tak se hodně používají pluginy do prohlížeče (asi spíše ve světě, u nás takových útoků jsem viděl minimum), pokud se ti na síť přihlásí někdo, u koho máš pod kontrolou plugin, jsi na dobré cestě.

Na veřejné wifi nechodíš do bankovnictví, protože se nudíš nebo si chceš zvednout náladu svým zůstatkem, ale protože potřebuješ rychle něco vyřešit, v takovém případě jsi ochotný více rizkovat a být nepozorný. Mysli na to, že taková wifi může fungovat týdny, měsíce bez povšimnutí a vůbec není snadné jí odhalit a ještě najít vlastníka.

Ano, mobilní bankovní aplikace používají vlastní cert pinning a validují si, že certifikát ve správné cestě, nedovolní komunikaci (aspoň co jsem zkoušel u velké pětky). V prohlížeči máš dost omezené možnosti jak něco vynutit (HPKP nám umřel), Google is IP adresy a certifikáty pro své služby kvůli tomu schoval přímo do zdrojového kódu prohlížeče, opravdu systémové řešení. Microsoft ve Windows zase pro některé své interní služby ignoruje nastavení VPN, DNS a komunikuje přímo, opět super řešení, když to nenabízí i aplikacím.

[bmn]

Díky za informace. Z toho by mohl být velmi zajímavý članek.

[XXX_Sam_XXX]

Vždyť i vzdělaný kolegové z IT oboru běžně odkliknou chybu certifikátu, protože to vidí pořád..

Nevím, mluv za sebe nebo za tvoje "vzdělaný" kolegy.
Já a lidi co znám máme nastaveno vynucovaní https ve všech prohlížečích. Pomocí GPO a v celé firmě, kde se objevím a vidím že to nemají, tak je to jedna z prvních věcí co tam tlačím.
Pokud to hodí chybu, heh nebo pokud stránka jede jenom na http, tak mám v hlavě hned alarm a řeším co se děje.
A řeší se to opravou webu, komunikací proč nemají zapnuté https atd. odklikávání je zakázano.
Pokud se nevyřeší, tak se ten web prostě nepoužívá.

[XXX_Sam_XXX]

Další zrůdnost je třeba to, jak různí „bankovní experti“ propagují platební brány integrované do webu prodejce. ... např. koupí věc v neznámém obchodě za pětistovku a maximální škoda, kterou riskuje, je ta pětistovka. Ale když je ta brána integrovaná do webu obchodu, tak musíš důvěřovat každému tomu obchodu, že ti nevyluxuje kartu, nezapamatuje si tvoje údaje, neposkytne je někomu dalšímu atd.

Blast from the past, ty mi chceš říct že platíš v roce 24/25 ještě svojí hlavní platební kartou, že nepoužíváš virtuální karty při placení na webu (eg.: Revolut) ?

[Franta Kučera]

Další zrůdnost je třeba to, jak různí „bankovní experti“ propagují platební brány integrované do webu prodejce. ... např. koupí věc v neznámém obchodě za pětistovku a maximální škoda, kterou riskuje, je ta pětistovka. Ale když je ta brána integrovaná do webu obchodu, tak musíš důvěřovat každému tomu obchodu, že ti nevyluxuje kartu, nezapamatuje si tvoje údaje, neposkytne je někomu dalšímu atd.

Blast from the past, ty mi chceš říct že platíš v roce 24/25 ještě svojí hlavní platební kartou, že nepoužíváš virtuální karty při placení na webu (eg.: Revolut) ?

Používám kartu, kde mám většinu času nastavené nulové limity a jen když jdu platit, tak je zvednu na příslušnou částku. Takže pro mne to relativně bezpečné je. Ale mám pocit, že většina lidí tohle nedělá.