Přidávám se k ostatním příspěvkům i poznámce v článku - škoda, že tak pozdě. Byl jsem u ČS 30 let. Hypotéka - poplatek 150,-Kč, když mi končila fixace a ostatní banky byly bez poplatku, tak se ptám, co s tím - no, prý se možná nějak domluvíme. Tak jsem šel jinam. Měl jsem 3 účty, jeden byl 3 roky bez pohybu, tak jsem ho chtěl zrušit, tak to bylo obstrukcí, že je to škoda, že se může hodit (jasně, hlavně poplatky za nic). Na a když jsem odcházel, tak jako jeden z důvodů jsem uvedl poplatky za vedení účtů. Odpověď byla, že to není nutné, že bychom se nějak domluvili. Podle lidí, které jsem tam léta vídal bych řekl, že to tam zamrzlo na "starých strukturách", žádná velká snaha o udržení klienta. Ale posledních pár let je vidět hodně změn, jako by se začínala omlazovat a hodně věcí se mi líbí. Jenže - to samé dělá spousta jiných a hlavně, ostatní to zavedli již dávno. No a ta důvěra, ta je už někde .....
Bohužel.
Však v článku je uvedeno dalších 10 bank, které mají základní služby zdarma (výběry ze zahraničních bankomatů má ze zmíněných zdarma třeba Creditas/Richee, bonusem jsou docela dobré kurzy) . A u většiny dalších, včetně těch velkých, stačí splnit nějakou podmínku (obrat, zůstatek) a budou taky zdarma a ještě třeba s nějakými bonusy (cestovní pojištění, vstupy do salonků na letištích, roční odměna (např. Sberbank dává ročně 1234 Kč "jen tak")).
A každá banka má nějaký nedostatek - třeba Equa neumí k účtu vydat více karet, takže jako společný účet pro manžele je nepoužitelná.
29. 7. 2020, 08:40 editováno autorem komentáře
Třeba proto, že ne vždy a všude je možné zaplatit mobilem? Zrovna se v diskusním fóru řeší, že nešlo zaplatit v restauraci mobilem, přestože terminál bral i bezkontaktní karty.
Dotaz tak můžu obrátit - existuje nějaký důvod mít Equa, když stejné podmínky ovšem s více kartami nabídnou i jiné banky? Třeba Creditas, která jako bonus má lepší kurzy při platbě v zahraničí?
Měl jsem se spořkou nějaké zkušenosti z doby konce socíku, to jsem rád utekl. Před pár lety jsem jí dal druhou šanci, kterou brzy promarnili - na takové jednání opravdu nejsem z jiných bank zvyklý + spousta věcí nefungovala, jak měla.
Tahle poslední nabídka s křížkem po funuse může být pro jejich skalní příznivce použitelná, ale pořád je to spořitelna - placené výběry z cizích bankomatů, velmi nevýhodné směnné kurzy, George a spousta dalšího. Pro ostatní jsou na trhu lepší nabídky, které mají použitelné internetové bankovnictví, lepší kurzy, výběry ze všech bankomatů zdarma a vůbec celkově příjemnější přístup k zákazníkovi.
28. 7. 2020, 11:13 editováno autorem komentáře
Každému vyhovuje něco jiného. Mně právě ta konzervativnost FIO vyhovuje. Internetové bankovnictví je rychlé a přehledné (osobně ho považuji za nejlepší IB u nás) a funguje na jakkoliv obskurdní mašině a prohlížeči. A hlavně je odladěné, což se o Georgi, kde řada věcí ze Servis24 stále ještě nefunguje, říct nedá. FIO zkrátka není inovátor, trvá, než přijde s jakýmkoliv produktem, ale když už ho vypustí, je odladěný co do funkce i ceny (ne jako většina bank, že přijde s něčím, pak celý první rok ladí podmínky a další rok cenu, aby ho třetí rok zrušila a přišla s jiným).
Jsem u FIO od roku 2006 a to už aplikaci mělo. Ano, není to aplikace mobilní, ale pro PC, i když mám pocit, že je napsaná v Javě, takže by to možná šlo rozběhnout na mobilním telefonu? U častých plateb lze nastavit "ověřené účty" a není tak nutné tyto platby dále potvrzovat.
Osobně jsem proti potvrzování transakcí na stejném zařízení, na kterém je zadávám, de iure je sice naplněna podmínka 2 faktorů, de facto ale, dle mého názoru, ne (stačí kompromitace jednoho zařízení). Proto třeba já to řeším tak, že kromě chytrého mám ještě hloupý telefon a na ten si nechávám posílat potvrzovací SMSky ze všech bank. Naopak mi vadí, že čím dál vice bank tlačí klienty na potvrzování transakcí prostřednictvím aplikace, např. tak, že SMS zpoplatní - aktuálně např. Raifka, případně Unicredit (ale zde se zpoplatnění lze vyhnout přechodem na vyšší typ účtu nebo návázáním SMS na spořící účet).
Dle info, co píší lidé v diskusním fóru se jedná zejména o chybné zobrazování (případně vůbec nezobrazování) "externích produktů" (penzijko, investice,...). Já tyto další produkty nemám, tak nemůžu posoudit.
Každopádně je George neskutečně pomalý, splátka kreditky se projeví až za několik minut, stejně tak zadaná platba.
Další věc, kterou považuji za velkou vadu, je, že se nedostanu neomezeně do historie, nejdále "vidím" do 1.1.2017. Bohužel to je problém většiny velkých bank. Přitom promlčecí doba závazků je v některých případech 10 let.
Nebudu kvůli vám hledat telefonní seznam chyb/připomínek, které jsem za několik měsíců používání George nahlásil, než jsem to vzdal a odešel jinam, kde je ještě IB normální. Takže jen namátkou:
1) Nelze parametricky vyhledávat:
Například hledání: číslo účtu + VS + částka + datum od + datum do + poznámka (a podobné kombinace) George neumí. Má totiž pouze pole Full Text a rozsah datumu. kde několik logických podmínek spojených "AND" prostě nenarvete. Přitom to vždycky každé IB standardně umělo.
2) Povinný adresář s automatickým přidáváním kontaktů:
Pokud máte více účtů, případně ještě znáte někoho se stejným jménem, George je schopen vám automaticky vytvořit nekonečný zástup kontaktů (předdefinované číslo příjemce) se stejným identifikátorem např. "Petr Novák". Ve výsledku vám nedává jistotu ani proaktivní přejmenování těch nechtěných, protože nikdy nemáte jistotu, že vám od minulé návštěvy nepřibyli další příjemci, takže na jméno příjemce kašlete a kontrolujete už jenom číslo účtu (čímž název příjemce postrádá smysl). V mém okolí je pár bývalých klientů, které mimo jiné přestalo bavit posílat peníze na jiné účty než zamýšleli.
3) Nemožnost kontakt trvale odstranit
4) absence kontroly čísla účtů (zkuste si založit třeba kontakt s č. účtu A/0800)
5) aktivace mobilního George probíhá zadáním přihlašovacích údajů do IB!
6) Nefunkční export s intervalem delším než 24 měsíců do XLS a CSV
atd...
Dělat testera zdarma mě fakt nebavilo zvlášť, když mají v bance jinou představu o tom, co je to funkční IB. Něco možná po mnoha měsících opravili (export?), faktem je, že spuštění toho nedodělku byl naprostý fail, a koncepce tohoto IB vyhovuje spíše uživatelům s nízkými nároky na funkcionalitu s malým množstvím transakcí.
29. 7. 2020, 21:16 editováno autorem komentáře
Konzervativnost nemusí znamenat zaostalost.
S těmi "odladěnými" produkty to je vtip, že? Koncem loňského roku Fio po dlouhých letech slibů vypustilo novou mobilní aplikaci. Čekal jsem přirozeně, že přes ni konečně bude možné potvrzovat platby z IB, protože to je nejpoužívanější funkcionalita takové aplikace, alespoň u mne. No a ono ne. V první chvíli jsem si myslel, že je to nějaký blbý vtip. Ale oni zcela vážně uvedli aplikaci bez takové základní věci :-O Tomu fakt neříkám "odladěnost". Od té doby stále slibují, že to potvrzování bude už "brzy", ale stále nic.
Tu PC aplikaci jsem také měl. Bylo to šíleně nešikovné a nepohodlné. To i ty pitomé SMS jsou lepší a utekl jsem k nim hned jak to šlo.
Ty "ověřené účty" trochu pomáhají, ale Fio to svojí pitomou implementací dost zabíjí. Nejsou to totiž ověřené účty, ale podepsané šablony. Takže je člověk musí vytvářet extra dopředu. Třeba AirBank, to má udělané tak, že při platbě můžu zaškrtnout "přidat účet mezi ověřené" a po potvrzení platby na něj už nemusím další platby potvrzovat.
U Fia to dopadá tak, že zadám příkaz k úhradě, odkliknu, chce to SMS a teď se dozvím "Aha, já tenhle účet nemám mezi ověřenými". No a teď můžu buď transakci zrušit, vytvořit potvrzenou šablonu a zadat transakci znova (což se mi logicky nechce), nebo tedy přepsat SMS, pak vytvořit tu šablonu a podepsat ji další SMS (což se mi taky nechce, pokud nevím, že budu v blízké budoucnosti na ten účet zase platit, což většinou nevím). Plus se mi ty šablony jen pro ověření účtů pletou mezi "opravdovými" šablonami. Prostě UX katastrofa. Takže opět: Fio a odladěné služby? Ani smykem.
Mluvím samozřejmě o zadání přes počítač a potvrzení v mobilu, tedy jsou to dvě zařízení. A že banka zpoplatní SMS je snad logické, když s nimi má náklady a poskytuje lepší alternativy.
Každému vyhovuje něco jiného, já se aplikacím snažím vyhýbat, bankovním zvláště, aktuálně mám v mobilu jen tři, z toho dvě k zahraničním produktům, které "velké" IB ani nemají, tu třetí mám mBank kvůli unikátní možnosti blokovat DCC a poplatky zahraničních bankomatů (už jsem nedávno zkoušel, opravdu to funguje).
S těmi odladěnými produkty jsem měl na mysli ty bankovní. Nemusí šíbovat s ceníkem sem a tam, nemění každý rok ceny a podmínky pro výběr z bankomatů, atd.
Každopádně v tom našem českém rybníčku je bank dost, takže si každý může vybrat, jen těch "bezplatných" autor článku napočítal deset. Já využívám všechny kromě Raifky, která mi odmítla zřídit účet a Expobank, která mi účet vypověděla, když jsem jako pravděpodobně jediný člověk dokázal vytáhnout letenky z toho jejich bonusového systému, který nepočítal s tím, že někdo jeho "nástrahami" projde, dokonce ani neměli část pro vyzvednutí letenek naprogramovanou! Po nějaké době byl ten bonusový systém zrušen :D
Já považuji potvrzování kódem z aplikace z mobilu, na kterém zadávám platbu za extrémně rizikové. Naštěstí všechny banky, které využívám, mají možnost mít ty SMS zdarma (jedinou výjimkou je Raifka, která je zpoplatní všem; Unicredit je má zdarma alespoň u "vyššího účtu" nebo "oklikou" přes spořící účet)
Ani ty bankovních produkty moc odladěné nejsou. Třeba bankomaty si doteď neumí nechat zadat, jaké bankovky chci vydat a nejmenší mají pětistovku.
Ale s těmi bankomaty to ještě jde, tam jednoduše používám Air Bank, která tohle zvládnuté má. A, mimochodem, za posledních X let se u Air Bank nepamatuji na změnu podmínek, která by mne nějak citelně ovlivnila. Snad jen úročení se mění, ale tam bych Fio pozici "sice stabilní, ale nula" nepovažoval za výhodu.
V ostatních službách je nahrazení horší. Předělat číslo účtu je jednorázová práce, to by se dalo, ale o těch 15 let historie plateb bych přicházel nerad. Kdyby Fio alespoň na rovinu řeklo, že to bude mít až za X let, to by člověk alespoň mohl zvážit, zda se mu přechod vyplatí. Ale oni pořád mlží nebo vyloženě lžou, že to bude "brzy", to mě na nich štve nejvíc. Tak si komunikaci důvěryhodné banky nepředstavuji.
No a teď k té bezpečnosti: To je krásný příklad Donner-Krugrova efektu, kdy se člověk přesto, že má v oblasti jen minimální znalosti, považuje za experta a vynáší kategorické soudy. Ve skutečnosti je to takhle:
- Na "chytrém" mobilu zadávám transakci a potvrzuji ji SMS přijímanou na tentýž mobil: Ano to je rizikové. Neřekl bych "extrémně", ale opravdu to není moc dobré.
- Na "chytrém" mobilu zadávám transakci a potvrzuji ji v aplikaci na témže mobilu: To je bezpečnější. Dokonce pokud potvrzuji ne PINem, ale třeba přes otisk prstu (pomocí TPM - Trusted Platform Module), tak je to slušně bezpečné. Nicméně takový scénář nemá moc smysl, protože stejně pohodlný nebo pohodlnější a přitom ještě o něco bezpečnější bude další scénář:
- Na "chytrém" mobilu zadávám transakci v aplikaci a potvrzuji ji přes TPM. To je slušně bezpečné.
- Zadávám transakci na počítači a potvrzuji na "chytrém" mobilu SMS. To není moc bezpečná záležitost. Rozhodně o dost nebezpečnější, než předchozí příklad (mobilní aplikace s TPM).
- Zadávám transakci na počítači a potvrzuji na "chytrém" telefonu v aplikaci přes TPM. Velmi bezpečné.
- Zadávám transakci na počítači a potvrzuji na "hloupém" telefonu přes SMS. Slušně bezpečné, podle mě ale stále méně bezpečné, než předchozí příklad, protože i na to už byly úspěšné útoky (přesměrování SMS na úrovni absolutně nezabezpečeného SS7 protokolu), zatímco o úspěšném real-world útoku na TPM zabezpečenou transakci nevím.
Takže tak.
Zrovna otisk prstu - něco, co nechávám naprosto všude (včetně toho telefonu) nepovažuji za dobré zabezpečení. Už mnohokrát se ukázalo, že lze "zfalšovat" vytvořením kopie prstu např. z želatiny.
Takže varianta - otiskem prstu, sejmutým z telefonu odemknu telefon i aplikaci, kde si vygeneruji ověřující kód není vůbec nereálná.
Ale pro to se potřebuješ fyzicky telefonu zmocnit a to se bavíme o úplně jiném druhu útoku. To už je pak jednodušší než se patlat s nějakými otisky dotyčnému prostě ukradnout peněženku :-) Nebo odposlechnout autorizační SMS, která se vzduchem přenáší dávno prolomeným šifrováním - to se nemusíš telefonu ani zmocňovat, stačí být ve stejné BTS.
Jak se podle vás měří a porovnává bezpečnost variant:
A) zadaní transakce v chytrém mobilu a potvrzení transakce v chytrém mobilu (což vy označujete za slušně bezpečné)
B) zadání transakce na PC a potvrzení transakce OTP zaslaným skrz SMS
Ve variantě A) spoléháte na 1 zařízení komunikující 1 kanálem a přesto se nám vůbec nerozpakujete tvrdit, jak skvěle bezpečné to je oproti variantě B), kde k provedení útoku musíte napadnou současně! zařízení 2 nebo kompromitovat 2 komunikační kanály. To je natolik vtipné tvrzení, že zbytek nemá smysl vůbec číst.
30. 7. 2020, 14:46 editováno autorem komentáře
Problém je v tom, že vy nerozlišujete různé stupně a složitosti toho "napadnout". To je jako kdybyste tvrdil, že okované dveře s odolným bezpečnostním zámkem jsou méně bezpečné, než papundeklové dveře se dvěma dozickými zámky, protože je přece jednodušší otevřít jeden zámek než dva.
V případě A musíte chytrý mobil nejen napadnout (což je realizovatelné), ale musíte podle druhu zabezpečení buď překonat oddělení aplikací v systému (což je dost tvrdý oříšek), nebo dokonce překonat zabezpečení TPM modulu, což se AFAIK nikomu reálně nepodařilo.
V případě B sice máte v cestě "dva zámky", ale dostat do počítače malware není až takový problém. A druhý faktor, SMS, je tak zoufale děravý, že si můžete vybrat, jakým způsobem jej překonáte. Pokud má oběť chytrý telefon (což jsem zde předpokládal, hloupý telefon byl pod jiným bodem), tak se tam dá nainstalovat malware přeposílající SMS. Jen je třeba v nových OS přinutit oběť, aby aplikaci potvrdila práva na čtení SMS, ale to je s trochou sociálního engineeringu zvládnutelné. To je nejčastější vektor útoku. Nebo nic hackovat nemusíte a jen přesvědčíte oběť, aby vám potvrzovací SMS přeposlala ("Omylem jsem si poslal kód na tvůj telefon, můžeš mi ho přeposlat", taky už v reálu zafungovalo). Nebo využijete totálně nezabezpečeného SS7 protokolu a přesvědčíte mobilního operátora, že se telefon zrovna přihlásil do vaší sítě a že vám má přeposílat jeho komunikaci (opět použito při reálném úspěšném útoku). Nebo odchytíte SMS při rádiovém přenosu špatně zabezpečeným GSM protokolem. Nebo (to už je hodně fancy) uděláte fake základnovou stanici, ke které se telefon oběti připojí a vy mu pak přeposíláte a filtrujete komunikaci včetně SMS.
Možností je hodně. SMS jsou všechno možné, jen ne bezpečné. Takový ekvivalent levného visacího zámku, co sice na první pohled vzbuzuje pocit jako že něco zabezpečuje, ale když na to dojde, urazíte ho prostě jedním máchnutím kladivem.
A ještě vás opravím v jedné věci ohledně B: Ta zařízení nemusíte kompromitovat současně a už vůbec ne "současně!". Můžete si zjistit heslo a mobil napadnout klidně o pár týdnů později. Pravděpodobnost, že si ho uživatel mezitím změní není vysoká. Nebo nemusíte PC napadat vůbec, pokud ho zjistíte jinak (odkoukáním, uteče z jiného webu). Plus ty malware v těch zařízení většinou vydrží delší dobu, takže mezi napadeními může utéct několik měsíců nebo dokonce i let.
Nejlepším indikátorem je praxe. Zatímco o úspěšných útocích na A jsem zatím neslyšel, úspěšné útoky na B jsou poměrně běžné (i Fio mělo takové případy - přesto je to nevyburcovalo k vylepšení zabezpečení!). Vy to sice považujete za vtipné, ale musím vás ujistit, že lidem, kterým takhle byly ukradeny peníze, moc do smíchu nebylo.
opět snůška silných tvrzení typu "nikomu nepodařilo", "tvrdý oříšek" tak nějak zcela odstřižených od reality. Telefonní seznam Malware pro Smartbanking je takřka nekonečný, což vzhledem k nedostatečnému přístupu obou hlavních platforem (Android, IOS) k bezpečnostním záplatám znamená, že mobilní OS jsou nejhůře zabezpečené platformy vůbec!
V případě smartbankingu můžete využívat úplně stejných metod sociálního inženýrství, jako kritizujete u Internetbankingu s tím rozdílem, že vaše zařízení se velmi rychle stane nepodporované nebo nedostatečně záplatované (Androis i ISO), s čímž vy jako uživatel neuděláte nic (1 promile uživatel instalující AOSP můžeme zanedbat). Na platformě PC máte mnohem větší možnosti udržet systém záplatovaný a bezpečný. Takže ne, nejsilnější možnou variantou je silné heslo pro IB + out-of-band doručené OTP (případně doplněné o certifikát na kartě či v souboru)
Že jste o útocích A neslyšel jen ukazuje bizernost této diskuyze.
Každý tu nadává na ČS. Já mám kont spoustu a jedno z nich v ČS takže celkem mohu porovnávat. Až budete řešit nějaký problém, poznáte rozdíl mezi "velkou" a "socka" bankou! Např. taková mbank. Na infolince naprosto nekompetentní lidi, věci kolem hypo nevědí, na hypo oddělení NELZE spojit. Na pobočce vám řeknou "zavolejte na infolinku", na pobočkách jsou opět jen cvičení opice na zakládání účtů. To samé když něco nefunguje, chyba v IB apod. Např. u mě se perou o první místo v kvalitě bank zrovna ČS a KB.
Já mám negativní zkušenost se znalostmi a jednáním prakticky ve všech bankách. V ČS mi moje bankéřka vypověděla tarif účtu (Erste Premier) a převedla na jiný protože jsem "bance dával málo vydělat", zastání jsem našel až u ombudsmana ČS.
V KB vůbec nevěděli podmínky k Priority Pass kartě, kterou k TOP nabídce dávají - kolik se platí za jednotlivé vstupy do salonků, problém byl pracovnici vůbec vysvětlit co to letištní salonek je a jak funguje, evidentně tam nikdy nebyla.
Naopak nejlepší zkušenost mám s AirBank, kde vyřešili to, co by asi nikde v jiné bance nevyřešili - sežranou kartu bankomatem - druhý den jsem jí měl na pobočce k vyzvednutí.
Nemluvím o lidské blbosti, ta je všude. Mluvím o nastaveném systému. Teď řeším něco kolem hypo s mBank a NEEXISTUJE způsob jak zjistit stav zpracování. Infolinka do hypo nevidí, pobočka - "zavolejte na infolinku". Toto se prostě ve velké bance stát nemůže tam po chvíli snažení vždycky nakonec vymámíte telefon na správnou osobu případně se s někým jde osobně setkat.
Shrnu - ve velké bance něco nezafunguje v případě chyby, lidské blbosti, apod. Pravděpodobnost kolik, 1%, 10%?
V socka bance něco nezafunguje na 100% protože ta banka ten proces proces vůbec nemá/neumí/odmítá.
TO je ten rozdíl. A v této socka-neschopnosti za mě jednoznačně vede (úplné dno žebříčku) - FIO a Mbank!
Zrovna v ČS jde o systémové nastavení. Nedáš bance vydělat (nekoupíš si nevýhodné životní pojištění nebo nevýhodné fondy)? Vypovíme ti službu Erste Premier - stalo se mnoha lidem (dokonce i autorovi tohoto článku) v mém okolí. Já jsem se rozhodl to tak nenechat a bránit se, ostatní ale "sklapli kufry". Takže tady vidím pravděpodobnost na 99 %.
Neinformovanost o produktech je ve velkých bankách také větší - byť to je do značné míry způsobeno šíří nabídky. Hádám, že když teď půjdu do jakékoliv pobočky KB a budu chtít informaci o Priority Pass, tak že opět nebudou nikde vědět.
Před několika týdny jsem chtěl v Monetě informaci o transparentním účtu tak jsem si zašel do Prahy na Karlovo náměstí, kde je asi hlavní pobočka. Nejdříve mi tvrdili, že vůbec takový produkt nemají. Když jsem jim ho našel na internetu, kde ho nabízejí, tak mi řekli, že nemají k němu ceník, že vše je individuální a že bez sdělení IČ mi nemůžou nic říct :).
Před sedmy lety jsem bezplatný osobní účet (klientský transakční účet bez SMS, bankomatu a výpisů) vytvořil s hlavním bankéřem přímo v české spořitelně bez poplatků smlouvu. Dnes je to šmírování, proto zveřejnili standard účet bez poplatků. Otevřel jsem jen trochu více ústa u bankéřů a šlo to. Jen to chce vědět co od toho klient očekává a co ne. Není pravda, že ho ČSSP neměla. Když nechcete platit poplatky, ani být v hledáčku, je to v pohodě. Jen si musíte hlídat co kam jde, a co chodí na účet. Občas to chce u bankéřů zjistit data a opsat si je. A to se jim moc vůbec nechce. Proto klienti nemají informace. Nikdy na účtu nenechávat mnoho peněz (mimo ty, co chodí např. z dividend ap.) a hned je investovat. Nikdy se nestalo, že by nebylo vše zadarmo. Nastavit se v něm dá cokoliv zdarma. Bankomaty nepoužívám. Platím hotově a tím nejsem závislý na bankomatu, sms a výpisech jako mnoho těch, kteří se nechali nalákat na poplatky. Bezplatné účty tabulek jinde nenabízí. Musíte se ptát. Kdo šetří má za tři. Pravidlo je, nenechat se ukecat. Když není po vašem, jít jinam.