Scusa una cosa, ma il possessore dell'account quali colpe potrà mai avere? Come possono clonare un telefono senza averlo mai avuto in mano? Io ad esempio uso uno smartphone dedicato, che è sempre spento, lo uso solo per il generatore di codici, la vedo dura sniffare i codici da uno smartphone, anche perchè i codici cambiano sempre, e se metti il codice vecchio non entri. Insomma, secondo me hanno bucato il server di Leupay, e si sono fatti i cazzi propri. Qua Leupay ha grosse falle nella sicurezza, e se veramente le cose sono andate come dice l'utente bisogna strasferire immediatamente tutti i fondi, e fuggire a gambe levate da quella piattaforma.

"Lei ha ragione, non c'è nessun SMS". Vuol dire che l'utente non usa gatekeeper ... inoltre bisogna vedere su quale domanda particolare,
l'assistenza ha risposto così, se su comunicazione o invio codici... perchè l'assistenza telefonica - callcenter non può verificare a livello tecnico
gli sms inviati, quello spetta agli specialisti, che certo non sono li a rispondere al telefono... (questo particolare lo so per certo) a Varna hanno
studiato non a Messina... e so che sono molto qualificate/i, quindi non mettiamo iPay sulla stessa riga di chi gestisce Bancoposta/Telepass

Ripeto la stessa cosa è successa nel belpaese anche recentemente a diversi soggetti che comunicavano (o venivano invitati a comunicare) il proprio numero di telefono, ovviamente, tramite questa opera di social engineering si facevano dare anche altre informazioni. Questo unito a qualche hacker serio (di quelli che ti clona il telecomando dell'auto e ti accende la vettura tramite una semplice connessione EOBD e un portatile) ti pone alla loro mercè totale.

Se il gestore è italico (ma anche altri gestori di tipo prepagato sono facili a falle di sicurezza di questo tipo), si può chiedere di disattivare la sim utilizzata e "girare" il numero su una nuova sim - o rendere la parte sms in doppia ricezione - che con la complicità di taluni operatori bisognosi, è facile fare nel giro di 24 ore - Stiamo parlando di un lasso di tempo che sicuramente è precedente al 14 luglio ... l'utente ha l'obbligo di controllare il conto e comunicare "immediatamente" transazioni non autorizzate... non si può svegliare al 18 luglio "ah ma 4 giorni fa mancano i soldi non è colpa mia"...

Questa procedura è arcinota anche alle forze dell'ordine italiche da diverso tempo, mi stupisco di come si possa cadere dal pero in questo modo.

I social stanno diventando un'arma di persuasione senza eguali, e tra facebook e tv, le capacità cognitive scemano sempre più ormai... così come l'indice di attenzione nelle persone...

I buchi possono anche capitare, ma sparare subito sulla folla senza aver ottenuto risposta da fonti certe e affidabili, non mi sembra corretto,
sia che si tratti di iPay o anche altri. Siamo certi che l'utente in primis non utilizzava prestanome? Siamo certi che nessuno avesse aperto il conto
in sua vece in quanto non in gradodi farlo in autonomia, e l'utente non ha più cambiato i codici di accesso e numero? No. E comunque, quanto
vedo da questo forum, difficilmente l'utente ammetterà anche mezza colpa.

Ma questa è la vita, nell'informatica, la colpa E' SEMPRE del computer (o del tecnico/programmatore)!
Gli antivirus esistono sia per pc che per gli smartphone, ma se insistete a non usarli perchè non vi servono e installate Candy Crush Saga...



Ci sono milioni di persone che con un messaggio del genere non esiterebbero a cliccare... si sono fatti centinaia di cloni di siti bancoposta,
volete che non esista uno simile anche per tutti gli altri? Ma è un "lavoro" che viene ampiamente ripagato...

Hai provato a risincronizzarli? Coi token software può succedere di avere qualche problema di sincronia, a volte anche con quelli fisici, ed è sufficiente provare col successivo (in base al numero di combinazioni successive che sono state impostate in home banking dalla banca). Difatti l'accoppiata carta + smart reader rimane la più sicura, chiavetta con token id (+ signature pin) a parte...

AGGIORNAMENTO: con la risincronizzazione è ripartito tutto

Devo cambiare quel cesso di smartphone,

bene così .. anche perchè quando li avresti chiamati, la prima domanda che ti avrebbero posto è proprio la richiesta di risincronizzazione

Tienilo pulito... ma come dici tu.. lo usi solo per quello... di solito sono i muletti che finiscono nel cassetto... non i "telefoni buoni".

Mi ero preso di recente, un Wiko Sunny Android 6.0 Dual SIM per fare da muletto (costo circa 60/65 pound) ...

poi ho finito per tenerlo come telefono primario di lavoro, talmente mi è piaciuto: io ad un Wiko non avrei dato un penny!

3 account e tutti integri e funzionanti .

@macgyver
Aggiungo, che non c'è bisogno di clonare le sim / farsene dare di nuove dagli operatori


Ovunque potete, evitate si usare SMS come metodi di verifica 2FA.

Oltre l'App che permette di generare i codici, molti utilizzano l'App di Leupay che permette di accedere al proprio conto dal proprio smartphone (cosa che io sconsiglio altamente). Bisogna tener conto che lo smartphone è vulnerabile, motivo per il quale è preferibile non tenere i propri BTC sullo smartphone (oltre al non poterli recuperare in caso di rottura del telefono).

Assolutamente, anche se generalmente chi si muove gira le sim, l'SS7 non è alla portata di tutti, ma fattibilissimo (dove parlavo di ricezione sms su due dispositivi in contemporanea

Inoltre mai usare lo stesso numero che si da in giro per le applicazioni bancarie, laddove la banca non fornisce altro metodo di Auth.

Sempre 2/3 numeri di scorta per le operazioni di banking...

Diversamente dalle app LeuPay, ne esistono alcune che fanno il check del tunnell ssl, e poi richiedono parte del pin come da web, e anche se entrati nell'app, per effettuare movimenti lo richiedono una seconda volta.

Ma anche altre banche blasonate (anche UK) non lo fanno, salvo poi limitarti in piccoli trasferimenti o comunque non verso account non precedentemente registrati dall'utente dal web.

Payeer usa una chat ssl in telegram ad esempio per l'invio dei codici.

Sono dell'idea che le app vadano utilizzate tutte tramite VPN / tunnel .... mai in chiaro...

E mi ripeto: un antivirus va sempre installato sui dispositivi Android!

Mai utilizzare app di banking su dispositivi con root abilitato o jailbreak!!!

Cosa devono leggere i miei occhi. Sono nuovo nel forum, ok posso capirlo.
Ma stiamo parlando dell'amministratore di una società che fattura 6 zeri al mese, non permetto che mi si parli in questo tono pensando che il mio account fosse intestato a prestanomi o ad altre cagate varie.

Sono un informatico, so come funzionano certe cose e i miei dati sono all'ultra sicuro, inoltre non ho un cellulare Android ma monto iOS, quanto a sicurezza sono a posto.

Come vi ho già detto, l'SMS non l'ho ricevuto e l'hanno confermato anche loro, sono stati bucati!

----

Concludo il post così:

Oggi mi arrivano due SMS con il risarcimento dei fondi, da Leupay ancora nessuna email di scuse o spiegazioni, ma a me sta già bene così. Si sono dimostrati una banca seria e se i soldi sono spariti ce li hanno rimessi di tasca loro, meglio così.

Ciao a tutti!

COSA DICI?

macgyver, non so quale vantaggio tu ne tragga nel sparare a raffica idiozie, ma stai parlando con un informatico di un certo livello, non ho bisogno neanche di vantare me e la nostra società per dimostrare al forum quanto hai torto. Capisco che possa sembrare strano che io, un utente nuovo in questo forum, possa fare segnalazioni di questo genere.
Ad ogni modo l'account personale è intestato a me, e la società di cui sono Amministratore Delegato ha una carta Leupay solo per comodità. Nessun prestanome, quindi; nessuno, oltre me, poteva avere accesso al conto.

Partendo dal presupposto che quindi io non ho fatto nulla, e ripetendo il fatto che al telefono Leupay mi ha detto che NON RISULTAVA ALCUN SMS, confermo l'ipotesi che Leupay sia stato bucato.
Se mi fossero state clonate le credenziali, lo smartphone o qualsiasi altra cosa, ne avrei pagato le conseguenze.

Invece, oggi, alle 11 ho ricevuto il rimborso dei due importi prelevati.

Non ho ancora ricevuto spiegazioni da Leupay, ma mi basta questo rimborso al momento a lasciarmi capire che si tratta di una banca seria.

Un saluto a tutti e grazie per il vostro supporto.

Grazie della segnalazione blacko .
Certo è strano ma almeno hai risolto rapidamente . Meglio così.
Resta valido ció che dico da sempre : usare Leu solo come " ponte".

Blacko, innanzitutto molte grazie per la segnalazione. Ti invito comunque a non prendere sul serio Macgyver. Purtroppo interviene in qualunque thread per continuare a scrivere cose inutili e la maggior parte già note e arcinote. Di qualunque argomento si parla, un minuto prima fa una ricerca su google, spara qui due stupidaggini nella speranza di dimostrare una qualche autorevolezza agli occhi di non so chi. Spero di vederti ancora qui ma sappi che questa non sara certo l'ultima volta in cui il soggetto interverrà a vanvera. Gli piace fare così... e dobbiamo convivere con le sue...... bip bip bip..."idee"

Parole sante

L'importante è che tu abbia risolto.