Já vi que não leste todos os meus posts.
Não conheço o homebanking do MONTEPIO, mas há sistemas que permitem
o agendamento de transacções.
Ou seja, a transacção pode ter sido agendada na véspera do depósito do
vencimento. Um burlão que use MAN-IN-THE-BROWSER pode facilmente
consultar todos os movimentos que o site permita consultar, e concluir que
no dia X é depositado o vencimento, pelo que o saldo actual + o valor do
vencimento será Y, e agendar uma transferência desse valor para o tal dia
X. No dia X, a transacção agendada é executada, e o dinheiro desaparece
sem ninguém lá ter ido nesse dia. Simples.

O homem nunca tinha usado aquele serviço antes, foi a primeira vez que lhe foi depositado o ordenado naquela conta e era tão recente que ainda só tinha o dinheiro necessário para a abertura.

Eu só vejo dois modos para a transacção ser feita via NET:
- a correspondência foi violada
- o computador tem vírus

Para que a violação da correspondência possa ter efeito, é necessário que
tenham ocorrido duas coisas cumulativamente:
- não tenha conseguido detectar a violação da correspondência quando a abriu
- não tenha mudado a senha de acesso após a 1ª ligação

Para que a infecção do computador possa ter efeito, é necessário que tenha
acontecido apenas uma das seguintes situações:
- de algum modo o burlão sabia o saldo e realizou a operação correcta durante
a tentativa de carregamento do telemóvel (usando o código de movimento indicado)
- a transacção ocorreu na consulta de saldo às 3:30 e o código de movimento foi
inadvertidamente inserido nessa altura, numa situação que terá passado despercebida
por parecer normal, e que por isso a vítima não se recorda de ter inserido esse código.

Ora, perante as respostas que fui lendo, parece-me que o momento terá sido na
altura do carregamento falhado (até pela mensagem de erro, que pode ser típica de
uma intrusão, levando o utilizador a não suspeitar o facto de o telemóvel continuar
sem saldo após uma operação que fosse indicada como bem sucedida).

Portanto, a dúvida será apenas como poderá o burlão ter sabido do saldo. Ainda antes
de ter mencionado a possibilidade de ter acesso a movimentos realizados anteriormente,
adiantei que o depósito do vencimento pode ter efectivamente ocorrido não na 3ª feira,
mas sim na 2ª feira. Nem que seja aparecendo em saldo contabilístico, mas não em
saldo disponível, por exemplo.

Ou seja, nós que aqui estamos deste lado, sem conhecer os detalhes do ocorrido, apenas
podemos formular hipóteses com base no que nos é dado saber, e com base na probabilidade
da ocorrência das várias hipóteses.

É muito mais provável haver um computador infectado, que uma correspondência violada.
Portanto, a probabilidade está do lado da virose. No campo da hipótese de infecção, é
muito mais provável que a burla tenha ocorrido no momento em que se introduz um código
de movimento com um retorno de uma mensagem de erro, do que durante uma consulta
onde a vítima não se recorda que tenha colocado qualquer código de movimento.

Agora, se formos para hipóteses ainda com menos probabilidades, então teríamos alguém
dentro do banco a fazer a fraude, e em lugar de escolher uma vítima que nem notasse a
falta do dinheiro desviado, foram logo escolher uma vítima onde iriam deixar a conta a
zeros.

Ou então, alguém da família, que pegou no cartão e código, acedeu à net usando o
computador da vítima, e transferiu todo o dinheiro para um perfeito desconhecido (espírito
de Natal?).

Também poderemos considerar que a conta nova afinal já tinha sido de outra pessoa,
que era um espião internacional, e que tinha transferências agendadas para aquele dia
do mês (que não foram limpas do sistema quando a conta foi encerrada) para o
pagamento das fontes que vendiam segredos de Estado ao tal espião.

Ainda mais provável, é aquele número de conta ter sido usado pelo programador do
sistema para fazer testes, e ficou hardcoded no programa para que houvesse uma
transferência daquela conta para outra conta de testes (do programador), sempre que
houvesse um depósito, e que o montante a transferir seria sempre a parte inteira do
saldo no momento.

Agora é só ver se:
- o dono da conta de destino é programador
- o dono da conta vende segredos de Estado
- o dono da conta era alguém necessitado e merecedor do espírito de Natal
- o dono da conta é funcionário do banco
- o dono da conta é uma mula de um burlão russo ou chinês
- o dono da conta é carteiro

A violação da correspondência só teria efeito positivo se quem o fez tivesse acesso aos códigos de login.

Quando se efectuou a tentativa de pagamento do telemóvel ainda não havia dinheiro na conta.

Na consulta de saldos não é pedido nem há onde introduzir códigos do cartão matriz. Teria de escolher obrigatoriamente uma operação que movimentasse dinheiro da conta.

Para agendar uma transferência antecipadamente aproveitando o login da tentativa de pagamento do telemóvel, teriam de saber a quantia que seria depositada e quando.

A quantia transferida foi de 860€ e a que ficou na conta indica que quem efectuou a operação sabia até onde podia ir.

O telefonema do banco dá a entender que houve qualquer problema que fez soar os alarmes e não foi uma mera transferência. Talvez muitas transferências para a mesma conta ou detectaram uma intrusão e esta foi uma das contas afectadas.

O autor do tópico, segundo diz é também utilizador do homebanking do Millenium há 13 anos e portanto não é um principiante nestas coisas, apesar do sistema do Millenium ser diferente.

Posso estar enganado, mas estou convencido que o problema veio do interior do banco, ou porque sofreu uma intrusão, ou porque há um empregado menos honesto, ou porque houve um erro interno e agora é mais fácil deitar as culpas para o utilizador. Para eles este cliente é muito recente e consideram-no inexperiente e portanto fácil de culpabilizar.

Nuno 156 desculpa a pergunta, tu frizas muito a questao do software pirata ou não. Desculpa lá mas qual a diferença, para este caso? E a questao dos anti-virus free. Aqui no trabalha tinhamos o panda pago, mudei para o free da microsoft e detectou 5 virus que o panda nao conseguiu detetar.

Este tipo de fraudes mais sofisticadas, como o Man in the Browser, são possíveis com os sistemas de segurança adicional que, por exemplo, o BES tem, e requerem a introdução de um código enviado por sms para o telemóvel?

Só se não prestares atenção ao que a SMS diz. Se fazes um pagamento de serviços e a SMS refere uma transferencia é logo motivo para não introduzir o código da sms.

Tudo é possível, mas essa forma não é como o phishing em que recolhem os dados, para usar posteriormente. Aqui a outra pessoa tem que estar a efectuar as operações em simultâneo. Daí essas mensagens de validação e para aguardar.

LM eu fui cliente 13 anos do Millenium mas nunca utilizei o sistema Home Banking.

E desta vez apenas comecei a utilizar por ainda não ter o Catão M.B. (que chegou á poucos minutos por correio),e por termos de nos adaptar ás novas tecnologias que nos fazem poupar tempo.

Depois da abertura deste tópico estou a saber pequenos (grandes) pormenores que nem sequer fazia a mínima ideia.

Eles sabem onde foi parar o dinheiro,eu é que pensei que sabendo o nome fosse rápido a descobrir tudo,mas pelo vistos a burocracia atrasa as coisas.

Não é a burocracia que atrasa as coisas.
Eles têm uma ordem de transferência no sistema. Como foi efectuada via NET com os teus
códigos, para eles é uma ordem válida, e por isso não podem fazer nada. O máximo que eles
podem fazer é colaborar com a justiça, que é o que eles têm estado a fazer. Podem também,
por moto próprio (e acho que efectivamente já o fizeram) contactar o destinatário (banco), e
ver se eles podem adiantar alguma informação, ou contactar com o cliente deles, que se estiver
de boa fé poderá devolver o dinheiro e assim resolver o assunto. Caso contrário, só através da
justiça.

A maior parte das pessoas, que esteja habituada a receber esses códigos, na
maioria das vezes nem olha para o texto. Olha apenas para o código, que já
sabe onde está no meio da mensagem, e usa-o.
Mas sim, com SMS é bem mais fácil detectar se está a ser vítima de burla ou
não. Porque o sistema de SMS é OUT-OF-BAND, ou seja, usa um canal diferente
do canal que está comprometido (BROWSER e INTERNET).

A não ser que se use homebanking num sistema Android. O man in the browser já infecta android e intercepta sms... estes hackers...

O facto de um anti-vírus ser free é apenas pelo facto de ser a versão mais básica.
O facto de o anti-vírus da MS detectar e o PANDA não, é perfeitamente normal, porque cada
anti-vírus conhece apenas uma quantidade limitada de vírus, e esse conjunto não é igual para
todos os anti-vírus.
Além disso, não há nenhum anti-vírus que conheça todos os vírus que existem, e todos os dias
existem vírus novos que ficam meses ou anos sem serem descobertos. Portanto, um anti-vírus
é apenas uma pequena parte da segurança, e que ajuda muito pouco a proteger um computador
de uma pessoa que não tem cuidado com o que faz.

Quanto à pirataria... ora... conheces a história do Cavalo de Tróia?
Há algo mais apetecível que um programa à borla que as pessoas queiram efectivamente
copiar e instalar no seu computador?
Portanto, um criminoso, pelo facto de ser criminoso, não tem qualquer problema em piratear o
que quer que seja, muito menos em infectar esse programa pirateado, para assim assumir o
controlo total do computador das vítimas.

A forma mais eficiente de infecção de um sistema é através de troianos num programa
pirateado. Penso mesmo que a esmagadora maioria das infecções existentes ocorre através
da pirataria. E não é só de software, é também de músicas e de vídeos, porque os sites que
servem de orientação à pirataria (lista de torrents, por exemplo) podem muito bem conter
exploits para infectar os computadores dos visitantes desses sites através do BROWSER.

Tens a certeza disso?

O que eu sei é de MAN-IN-THE-MIDDLE, e não BROWSER.
E como tal não é apenas em ANDROID, mas sim na maioria dos smartphones.

E de MAN-IN-THE-MOBILE, mas também não é único para ANDROID.

É que, se não estou em erro, os BROWSER por omissão do ANDROID não
permitem incorporar extensões nem scripts, pelo que será impossível de
considerar como MAN-IN-THE-BROWSER sem o código malicioso estar
efectivamente no BROWSER.

Nuno 156 tudo o que frisas para ser usado o phishing seja de que modo for, é válido para a quase totalidade das pessoas, mas neste caso concreto e estando a pessoa a dizer toda a verdade (não temos motivo para pensar o contrário) é impossivel ser culpa do cliente. Todos as suposições que se possam fazer não se aplicam a este caso concreto, não havia histórico de depósitos, nem depósitos, não havia uso do home banking, não havia forma de ter acesso ao cartão matriz, não havia forma de saber quais os valores a ser depositados para que pudesse ser agendada uma transferência daquele valor exacto.
Eu uso 3 sistemas de home banking incluindo o Montepio e basicamente funciona como os outros, o BES tem as sms que além de mais segurança permitem também movimentos mais altos.

Depois de tudo o que foi escrito só vejo um motivo para o que aconteceu, alguém entrou no sitema do banco, acho que não há dúvidas.
Mais para eles descobrirem não foi uma simples transferência, ou foram muitas em simultâneo ou algo de muito estranho se passou.
Somente com uma transferência o banco nunca iria descobrir a fraude, iria ser o cliente a descobrir.

Bem, pela n-ésima vez:

NÃO É PHISHING.

E tudo o que dizes pressupõe uma coisa: achas que estás seguro.
Ou seja, estás a meio caminho de ser burlado. A pior falha de segurança que
um sistema pode ter é a FALSA sensação de segurança. E essa já eu estou
a ver que tens.

Todos os dias os criminosos descobrem novos modos de contornar medidas
de segurança, e conseguir fazer os seus crimes de modo que se julgava ser
impossível.
A segurança normalmente está SEMPRE um passo atrás dos criminosos, porque
é na maioria das vezes REACTIVA, em lugar de PREVENTIVA.
A verdadeira segurança deve ser uma actividade diária, de modo a ANTECIPAR
possíveis falhas, e corrigi-las.

Não penses que não é possível fazer algo apenas porque:
- tu não consegues
- não sabes de quem tenha conseguido

Sim é o mitmo. Mas vem completar o que o mitb não faz. Derrotar o OOB sms.

Falando nessa historia do MAN-IN-THE-MIDDLE, na pagina do meu banco está uma mensagem para não aceitar actualizações do site do banco em smartphones... deve ser por isso...

Mas sempre achei que em casos destes a resolução fosse o mais rápido possível a fim de não perder o rasto.

Porque pelo que vejo, regra geral, a conta onde foi parar o dinheiro possivelmente será apenas um ponto de passagem.

Por vezes o tempo demorado,poderá fazer diferença na resolução do caso.

Claro que a mim resta-me esperar e tentar pressionar um pouco as entidades envolvidas.

Não sei se afecta apenas android, mas o facto de o Android ser open source e permitir muita coisa tem de facto essa desvantagem. Claro que todos os sistemas têm vulnerabilidades, mas em sistemas mais "fechados" é mais difícil. por exemplo o windows phone 7 não permite que sejam enviadas SMS de applicações sem ser o utilizador a fazer o "enviar".

A melhor defesa é estar sempre bem atento ao que se faz.

Violação da correspondência.
Quem viola uma, pode violar outras.
Quer os códigos de acesso venham junto com o cartão matriz, quer venham em separado, se
ambos vierem por um canal (correios, neste caso) que esteja comprometido, é expectável que
todas as comunicações tenham sido violadas.

MILLENNIUM
Não disse que era utilizador do HOMEBANKING do BCP. Disse que era cliente do banco mas
que não usava o HOMEBANKING.

INSIDE JOB
A tua teoria, já deu para perceber, é que tenha sido alguém do banco. É perfeitamente
possível. Onde eu discordo na totalidade é quando dizes que o banco sabe disso. É que,
nessa situação eu tenho a certeza que o banco teria resolvido a situação ele próprio, e que
muito provavelmente o cliente nem ficaria a saber do sucedido. 860€ é um montante que
eles iriam repor sem qualquer problema. Nem se preocupavam com isso, mesmo que não
tivessem seguro.
Além disso, não há nenhum funcionário de um banco que desvie 860€ de uma conta que
fique a zeros. A menos que seja MUITO BURRO. E se for MUITO BURRO, duvido que alguma
vez tenha hipótese de ser contratado por um banco para um serviço onde seja possível
cometer este tipo de burlas.

Intrusão
Impossível. Primeiro porque uma intrusão é muito pouco provável, depois porque quem
consegue fazer uma intrusão desse tipo terá de ser muito bom, e por isso muito inteligente.
Não há ninguém inteligente que, após uma intrusão que lhe dá acesso a contas bem mais
recheadas, vá perder o acesso roubando 860€.

Culpabilizar o cliente
Tens uma ideia muito estranha de como funciona um banco. Um banco movimenta MILHÕES.
Achas mesmo que vão manchar a sua reputação por 860€?
É como os que me dizem que uma cadeia enorme de hipermercados deixou na prateleira
iogurtes fora de prazo para enganar os clientes. Achas mesmo que uma cadeia que movimenta
MILHÕES de euros vai arriscar multas e perda de credibilidade para vender um iogurte que lhe
custa 5 cêntimos?
Please...

Alertas
Todos os bancos, em todas as contas, têm alertas para determinadas situações. TODOS.
Entre essas situações, é generalizado o alerta da CONTA A "ZEROS". E não existe este
alerta por questões de segurança. É mesmo por questões comerciais. Ou seja, o gestor de
conta recebe o alerta, e ele próprio toma a decisão de contactar o cliente ou não (conforme
o tipo de alerta, e as regras do banco). Neste caso, parece-me óbvio que o gestor de conta
recebeu o alerta, achou estranho, verificou que o destinatário não era uma conta em nome
do cliente, e telefonou a perguntar se o cliente tinha mesmo feito aquela transacção.
Os bancos ficam com registos de todas as ordens efectuadas, e se dizem que foi via NET,
é porque foi mesmo via NET. E de certeza que têm lá o IP de onde foi emitida a ordem.
Se o IP corresponder ao do cliente, é vírus. Se o IP for diferente, terá sido violação de
correspondência. Mas isso agora é com a PJ.

Quanto a isto:
1. Não sabes se já havia dinheiro na conta ou não. Podia já haver.
2. Mesmo que não houvesse dinheiro na conta (disponível), poderia já estar indicado o valor
como saldo contabilístico.

Portanto, pode ser perfeitamente possível saber até onde podia ir na ordem de transferência.

Quanto a:
Claramente não sabes como funciona o MAN-IN-THE-BROWSER.
Não necessita de fazer NENHUMA operação de movimentação para ser caçado. Há outros
modos de pedir os códigos de movimento sem que o utilizador faça operações de movimento.

Novamente, perde um pouquinho de tempo a ler isto:
http://forum.autohoje.com/off-topic/...e-banking.html

Trata-se apenas de fazer o pedido dos códigos de um modo que o utilizador ache normal.
E isso não passa exclusivamente pela intercepção de operações de movimento iniciadas
pelo utilizador.

Pensas tu, e pensa a MICROSOFT.

Quanto ao ANDROID... sempre foi assim, e sempre será:
Os sistemas mais usados são os sistemas mais apetecíveis.
O WINDOWS é o mais atacado também por ser o mais usado.

O facto de ser OPEN SOURCE não tem nada a ver com o assunto. O WINDOWS não é OPEN
SOURCE, e é mais vulnerável que o LINUX.

Aliás, em termos de segurança, ser OPEN SOURCE é melhor. Primeiro porque podemos
verificar se tem código malicioso ou não, e depois porque também é mais fácil detectar erros
que permitam exploits.
Ou seja, quando eu digo "podemos", não me refiro a nós os dois, ou a nós utilizadores do
fórum. Refiro-me a "nós" no sentido daqueles que vão ter acesso ao produto que não
desenvolvemos. Há entidades que emitem relatórios de segurança das aplicações, e que têm
o trabalho mais facilitado com OPEN SOURCE do que com código proprietário fechado.

Demora tempo porque os procedimentos incluem acesso a contas bancárias,
informação relativa a endereços IP, etc.
Tudo isto envolve mandatos judiciais para que o banco da conta de destino possa
informar sobre os dados do cliente, para que o ISP do IP usado possa informar
quem estava a usar o IP à hora da ordem de transferência, etc.

Se o destinatário for uma mula, e se o dinheiro ainda não tiver saído da conta dele
para a dos burlões, é bem possível que com a PJ à porta ele devolva logo o dinheiro.

Naaaaaa...
Acho que deve ser devido ao carro a GPL na garagem subterrânea...


Agora a sério, consegues colocar uma cópia disso?
É que assim do modo que dizes não estou a ver o que será.

Quero fazer uma ressalva que estou a ler todos os posts dos users que aqui apareceram para me ajudar,por vezes não digo nada porque quando entram em determinados assuntos dos quais não percebo nadinha,mais vale estar calado que falar para não estar calado.

Eu entendo que tudo segue a lei e que não é chegar e já está.

Mas com a tua experiência,acreditas mesmo que o dinheiro ainda poderá estar naquela conta e não estar já bem longe daqui?(quem sabe no estrangeiro)

Acho que já devias ter pedido o livro de reclamações do banco! Quanto mais pressão fizeres, mais depressa se resolve!
Se o banco não fizer o estorno e sacudir a água do capote, duvido que voltes a ver o dinheiro!

Eu dei até Segunda-Feira para terem novidades e ter a certeza que irei reaver o dinheiro.

Caso tudo se mantenha igual irei pedir o livro de reclamações.

Como sou homem de palavra não volto atrás ao que disse.

Não percebe esse teu ódio À Microsoft, mas adiante. Não penso eu nem a ms. Não é possível uma app enviar uma sms no windows phone. E para isso acontecer teria que ser uma app que não seria instalada através do Market, sendo por isso um telemóvel Jailbreaked e mesmo assim penso não ser possível.
Agora num cenário de utilizador normal, que compra o telefone e não anda a inventar com ele, o WP7 não permite que apps enviem sms sem interacção do utilizador. Se tens provas do contrário apresenta-as.

É possível que não tenha saído da conta.
Se for uma mula, e tendo o movimento sido detectado no dia em que foi dada a ordem (ou no
dia seguinte), é bem possível que o dinheiro tenha sido bloqueado a tempo (demora 24 horas
a ficar disponível na conta do destinatário).