Subiektywnie o finansach

Blog Macieja Samcika, długoletniego dziennikarza ekonomicznego Gazety Wyborczej . O finansach małych i dużych. Mnóstwo ciekawostek na temat pieniędzy. Wiadomości ważne dla domowego budżetu. Porady finansowe i recenzje reklam instytucji finansowych.

Wpis

środa, 12 lutego 2014

Tak internetowi złodzieje kradną nam pieniądze. Sześć strasznych opowieści z morałem

Gdy czytam listy od pechowych klientów banków, którym ostatnio złodzieje wyczyścili konta, gdy słucham o metodach, które stosują dziś internetowi złodzieje, to zaczynam się zastanawiać: czy nie nadszedł właściwy moment, by wrócić do starszych, mniej wygodnych metod autoryzowania przelewów i dostępu do ROR-u? Tokeny sprzętowe, hasła maskowane, wielopoziomowa autoryzacja... Czy banki - idąc za naszymi oczekiwaniami, żeby było coraz łatwiej, szybciej i wygodniej - nie ułatwiają dziś zadania złodziejom naszych pieniędzy? W dobie powszechnych sieci bezprzewodowych, routerów i haseł SMS-owych przesyłanych na smartfona, przejęcie kontroli nad naszym komputerem i kontem jest na tyle proste, że w zasadzie jest tylko jedna zapora przed kradzieżą pieniędzy - autoryzacja konkretnej transakcji. Dziś opiszę kilka przypadków, w których złodziejom udało się sforsować także i tę przeszkodę. W jaki sposób? Korzystając z naszej naiwności, ale - i to jest w sumie najgorsze - nie tylko z niej. Większość kradzieży miała miejsce dobrych kilka tygodni temu, a klienci piszą do mnie, bo - wbrew temu, co sądzili - nie odzyskali pieniędzy, albo odzyskali tylko niewielką ich część. Tak się składa, że wszystkie przypadki dotyczą mBanku, zapewne dlatego, że ostatnio przeprowadzał rebranding, co zostało wykorzystane przez przestępców jako pretekst do ataku.

PRZYPADEK PANA MARCINA. "2 grudnia 2013 r. na stronie logowania do mBanku zobaczyłem informację, iż strona nie rozpoznaje na moim komputerze systemu operacyjnego. Nie dziwiło mnie to, gdyż komputer jest ponad 10-letni  Po zaznaczeniu odpowiedzi (iOS, Android, Windows) nakładka znikała i można było rozpocząć logowanie do systemu. Identyczne pytanie widziałem przy każdym logowaniu po 2 grudnia. 6 grudnia zobaczyłem jeszcze jedno, dodatkowe okienko, informujące, iż w związku z połączeniem Multibanku i mBanku zostaną zmienione dotychczasowe numery kont. Komunikat kończył się prośbą o wpisanie kodu SMS, który potwierdzał zapoznanie się z podaną informacją, jednocześnie przypisując mi nowy numer konta. Niestety, wpisałem kod. Z konta w dniach 6-10 grudnia zniknęło mi 140.000 zł w dwóch transzach.

Pieniądze zostały przelane na konto w PKO BP, oddział w Łodzi, na konto należące do pani K. W poniedziałek 10 grudnia ta pani podobno zorientowała się, że dostała dziwnie dużą kwotę i przelała mi z powrotem prawie 54.000 zł  Pozostałe pieniądze zostały przez nią przelane 6 grudnia na inne konto, podobno jako zaliczka do umowy o pracę, którą rzekomo miała dostać. Tak przynajmniej twierdzi prokurator. Reklamacja w mBanku jest w zawieszeniu do czasu zakończenia śledztwa. Wiem, że to ja zawiniłem, ale uważam, że również bank, zmieniając logo i stronę internetową, skazuje swoich klientów na ryzyko. Bank, jako instytucja zaufania publicznego, powinien dawać gwarancję i bezpieczeństwo powierzonych środków. A w takich sytuacjach oddać ukradzione pieniądze" - pisze czytelnik. Cóż, obawiam się, iż postulat, by bankom zabraniać zmiany logo, jest nadmiernie radykalny.

Czytaj też: Klienci mBanku, których załatwił fałszywy SMS, od roku walczą o odzyskanie kasy.

PRZYPADEK PANI KATARZYNY. "18 grudnia skradziono z mojego konta 74.000 zł. Ukradziono mi wszystkie pieniądze. Zorientowałam się następnego dnia, czyli 19 grudnia. Miałam 14.000 zł na rachunku oszczędnościowym i 60.000 zł na lokacie, którą w moim imieniu zlikwidowano. Wykonano trzy przelewy SORBNET. Zostawiono mi na koncie 200 zł. Na moim koncie utworzono nowego odbiorcę zdefiniowanego o nazwisku J. I na jego konto przelano pieniądze. Jak to się mogło stać? Nie logowałam się na konto z publicznie odstępnych komputerów, nie otwierałam nieznanych maili, nie ściągam nic z internetu, nie logowałam się przez podejrzane strony. Zawsze wydawało mi się, że jestem ostrożna. Liczyłam na wsparcie banku, ale dowiedziałam się, że to jest moja wina, bo włamano się na mój komputer, a nie do banku.  Moje pieniądze przelano do banku PKO BP w Olsztynie. Było to konto na „słupa”, ponieważ policja ustaliła, że pieniądze zostały przelane dalej. Nawiązałam kontakt z panią Sylwią  z Obornik. Jej ukradziono z konta mBanku 23 grudnia aż 106.000 zł. Pieniądze przelano do banku PKO BP w Piszu".

Czytaj: Jak w gangsterskim filmie. W kwadrans wyczyścili konto i wyłudzili kredyt.

PRZYPADEK PANI ANNY. "Klientką Multibanku byłam od 5 lat. Mam trzy rachunki (firmowy, bieżący i oszczędnościowy). Sprawa zaczęła się 27 grudnia 2013 r. Tego dnia miałam wykonać kilka przelewów. Zalogowałam się na stronę Multibanku. Po zalogowaniu pojawił się komunikat o zmianie formuły konta. Wyglądał bardzo "prawdziwie" zważywszy na zmianę nazwy Multibanku na mBank. Zupełnie mnie nie zastanowił. Komunikat wymagał zatwierdzenia go kodem SMS, bo inaczej - jak napisano - będzie problem z przelewami. Wpisałam kod SMS, który przysłany został z banku. Następnie, podczas tej samej sesji, wykonałam swoje przelewy - również z użyciem kodów SMS. Po kilku godzinach zaczęłam dostawać SMS-y zmianach salda na moich kontach. Po kwotach zorientowałam się, że dzieje się coś dziwnego. Szybko zalogowałam się na swój rachunek i zobaczyłam, że nie ma moich pieniędzy. W pierwszym momencie myślałam, że to jakiś błąd w banku. Z trzech rachunków zniknęło ponad 46.000 zł.

Po kilku dniach zadzwonił do mnie pan z banku i powiedział, że miałam na swoim komputerze wirusa i że kodem SMS ustaliłam złodzieja jako odbiorcę zdefiniowanego. Wyczułam z rozmowy, że tego typu przypadek nie jest dla tego pana nowością. Bardzo się zdenerwowałam, bo dla mnie sytuacja, w której z trzech kont za pomocą jednego SMS-a można stracić wszystkie pieniądze jest skrajnie niebezpieczna. Postanowiłam pójść do dyrektora oddziału.  Traf chciał, że czekając na spotkanie usłyszałam kobietę która tłumaczy recepcjonistce, że dostała dziwny komunikat na swoim koncie. Szybko wtrąciłam się do rozmowy i doradziłam, żeby nie traciła czasu tylko blokowała konta bo wypływają jej pieniądze . Później okazało się, że już było za późno. Zastępca dyrektora oddziału mnie wysłuchał ale z tej rozmowy nic nie wynikło. Nadal nic nie wiem: co z moją reklamacją, co z moimi pieniędzmi, czy bank może je zablokować na czyimś koncie, czy to zrobił, dlaczego tak łatwo jest wyprowadzić pieniądze z trzech kont jednym SMS-em, który nawet nie dotyczył przelewu".

Czytaj również: To nie żart. Kartę masz w portfelu, a złodziej i tak płaci nią w sieci

PRZYPADEK PANA ROBERTA. "19 listopada 2013 r. przed godziną 13:00 zalogowałem się na moje konto internetowe w mBanku i stwierdziłem, że dokonano dziewięciu (sic!!!) nieautoryzowanych przelewów. Trzech z konta oszczędnościowego na eKonto na łączną kwotę 70.000 zł oraz jednego przelewu z karty kredytowej MasterCard Miles&More Premium na eKonto na kwotę 13.400 zł. Następnie dokonano pięciu przelewów typu SORBNET na nieznane mi konta bankowe. Cztery przelewy opiewały na kwoty tuż poniżej 20.000 zł (co jest limitem dla tego typu przelewu), natomiast jeden na 8.700 zł. Nie wliczając prowizji za dokonane przelewy, w ciągu bardzo krótkiego czasu, z mojego eKonta wycofano 87.690 zł. Pracownicy mBanku przekazali mi informację, abym jak najszybciej zgłosił sprawę na policję.

Sprawdzając billingi telefoniczne zauważyłem, że między godz. 10:16, a 12:07, z mojego telefonu zostało wysłanych 12 SMS-ów międzynarodowych. Najprawdopodobniej, były to SMS-y, w których złodzieje przekazywali sobie „przechwycone” hasła jednorazowe, autoryzujące przelewy w ramach mojego konta internetowego. Hasła te zostały przechwycone prawdopodobnie za pomocą aplikacji, którą nieopatrznie zainstalowałem na swoim telefonie 16 listopada. Wysłane mi żądanie instalacji takiej aplikacji w celu poprawy bezpieczeństwa telefonu nie wzbudziła moich podejrzeń. Po pewnym czasie zadzwonił do mnie pracownik Wydziału Bezpieczeństwa mBanku. Powiedział, że na moim komputerze istnieje jakiś wirus (trojan), który posłużył przestępcom do „podsłuchania” mojego loginu i hasła do konta internetowego, bez których realizacja przelewów nie byłaby możliwa.

Posiadam służbowy komputer z legalnym oprogramowaniem Windows 7 oraz legalnym i aktualizowanym programem antywirusowym. Tego samego dnia przeskanowałem komputer i program antywirusowy nie wykrył żadnego zagrożenia. Odpowiedź banku na moją reklamację jest taka, że reklamacja zostaje zawieszona do czasu otrzymania potwierdzenia zakończenia postępowania prowadzonego przez organ ścigania. 2 stycznia zostałem wezwany na policję w charakterze świadka. Okazało się, że policja w Mrągowie prowadzi sprawę pana Wiesława B., któremu obiecano pracę, ale w zamian miał przelać za pośrednictwem Western Union kwotę 19 830 zł na jakiś adres na Ukrainie. Jeden z przelewów z mojego konta poszedł właśnie na konto tego pana. Kiedy okazało się, że pracy nie dostanie (albo oferujący przestali się odzywać), prawdopodobnie się wystraszył i zgłosił to na policję. Wiadomo: otrzymał pieniądze z niewiadomego pochodzenia (z mojego konta) i przelał je dalej"...

Czytaj też: Przeklejasz numer rachunku zamiast wpisywać z "ręki"? Uważaj na tego wirusa!

PRZYPADEK PANA WALDEMARA. "Proszę o poradę w sprawie możliwości i trybu odzyskania skradzionych środków - 25.000 zł. Kradzież miała miejsce 1 października 2013 r. i została przeprowadzona metodą phishingu (podstawiona strona banku i komunikat o aktualizacji aplikacji oraz certyfikatu bezpieczeństwa na smartfonie, przekierowanie SMS-ów służących do autoryzacji przelewów). Postępowanie reklamacyjne w tej sprawie trwa już ponad 3 miesiące, nie dostaję odpowiedzi na wysłane w sprawie e-maile. 18 grudnia 2013 r. policja wydała postanowienie o umorzeniu dochodzenia. Podejrzewam, że mogę mieć problem z odzyskaniem skradzionych środków. Banki na pewno są ubezpieczone od takich przypadków. Będę wdzięczny za pomoc i sugestie w jaki sposób mogę skutecznie odzyskać skradzione pieniądze".

OGLĄDAJ SUBIEKTYWNOŚĆ NA YOUTUBE. Poza tematami, dotyczącymi Waszych pieniędzy, które poruszam tutaj, o dużej i małej kasie możecie czytać też na stronie blogu na Facebooku, a także posłuchać mojego subiektywnego "ćwierkania" na Twitterze. Od niedawna działa też blogowy kanał na YouTube, do którego od czasu do czasu wrzucam wideofelietony.

PRZYPADEK PANA PIOTRA. "10 stycznia 2013 r. doszło do omyłkowego przelewu z mojego konta na konto złodzieja. Wykryliśmy to, gdy pieniądze wyszły z naszego konta na konto oszusta, ale prawdopodobnie jeszcze przed ich zaksięgowaniem. Zgłosiliśmy wszystko do prokuratury i na policję. Prawdopodobnie mBank zawiadomił równolegle BZ WBK (na konto w tym banku poszły środki), by zablokował pieniądze (ok.  27.000 zł). Prokurator po trzech miesiącach poinformował nas, że osoba, która jest właścicielem konta w BZ WBK, nie została zidentyfikowana i nie ma powodu, by blokować ten rachunek. Tym samym straciliśmy środki, łapiąc złodzieja praktycznie za rękę. Kuriozalna sytuacja. Zwróciliśmy się do banków o pomoc i do KNF o interwencję. Ale na razie bezskutecznie".

Czy Wy też jesteście wstrząśnięci? Widzę tu CZTERY SPOSOBY KRADZIEŻY. Żaden nie wymaga złamania systemów bezpieczeństwa banku. We wszystkich przypadkach podstawą jest zainstalowanie w komputerze ofiary wirusa, który kontroluje i "podgląda" poczynania użytkownika. Gdy ten loguje się do konta, wirus czyta dane logowania (to pierwsza część roboty). Drugi krok to podstawienie klientowi jakiegoś fałszywego komunikatu, po to, żeby zawnioskował o przesłanie kodu SMS i wpisał go we wskazanym miejscu (na "nakładce", podsuniętej na ekran komputera, dzięki czemu klient potwierdza, że zatwierdza inną transakcję, niż zatwierdza naprawdę. Bo naprawdę tym SMS-em definiuje nowego odbiorcę przelewów. Potem złodziej jeszcze raz loguje się na konto, zbiera pieniądze ze wszystkich rachunków i zaczyna wysyłać przelewy na rachunki "słupów". Drugi pomysł jest nieco bardziej wysublimowany. Złodziej musi "wyszpiegować" numer telefonu klienta (można podsunąć mu jakiś komunikat z żądaniem wpisania numeru telefonu na ekranie obserwowanego komputera), a potem zdalnie wysłać wirusa (pod pozorem aktualizacji aplikacji), który ma za zadanie przekierowywać SMS-y autoryzacyjne do złodziei

Pomysł trzeci: na komputerze złodziej instaluje oprogramowanie, które potrafi "podmieniać" numer konta w tzw. schowku na komputerze. Czyli w sytuacji, w której przeklejamy (na zasadzie copy-paste) numer rachunku z jakiegoś dokumentu, żeby go wpisać do formatki przelewu. Autoryzujemy prawdziwy przelew, tylko na nieprawdziwe konto. Serwis niebezpiecznik.pl pisał też ostatnio o czwartym zagrożeniu: przejęciu przez złodziei kontroli nad routerem bezprzewodowym, dzięki któremu klient banku korzysta z sieci wi-fi. Złodziej, który znajdzie dziurę w zabezpieczeniach routera, może zdalnie wywołać tzw. backup konfiguracji (po to, by - podając się za klienta - "odzyskać hasło"). Potem loguje się do routera i podmienia numer tzw. serwera DNS. Złodziej może od tej pory kierować ruch na swój serwer, na którym kryje się wierna kopia oficjalnej strony, np. mBanku, z tym drobnym wyjątkiem, że podczas logowania dane są przez atakujących zapisywane. A potem, mając już login i hasło, trzeba sprowokować ofiarę do autoryzowania kodem SMS innej transakcji, niż ta, o której myśli ofiara.

Czy Wy też macie ciarki na plecach? Czy bank jest tu winny? To klienci dali się okantować. W każdym z opisanych sposobów to klient wykonuje na sobie egzekucję, zatwierdzając transakcję, która sankcjonuje przekazanie pieniędzy złodziejowi. Autoryzuje ją, bo jest nieostrożny: daje się nabrać na zmianę formatu rachunku, względy bezpieczeństwa itp. A bank? Jest czysty, ale... gdyby sposób logowania był bardziej skomplikowany (np. hasło maskowane zamiast zwykłego...), gdyby każdy przelew (nawet wewnętrzny) trzeba było zatwierdzać SMS-em autoryzacyjnym, gdyby zamiast haseł SMS bank żądał autoryzacji tokenem (na tokenie nie da się zainstalować wirusa)... Sęk w tym, że to wszystko znacznie utrudnia korzystanie z konta. Kiedy bank BGŻ Optima wchodził na rynek, oferując konta z tokenem i każąc autoryzować nim nawet wewnętrzne przelewy, klienci nie chcieli korzystać z tych rozwiązań. Po fali krytyki bank pozwala już zamienić tokena na hasła SMS ze smartfona, który można zhakować.

Albo będziemy bardziej ostrożni - pamiętajmy, żaden bank nigdy nie poprosi nas sam z siebie o podanie hasła autoryzacyjnego - albo banki  będą musiały zacząć tak modyfikować systemy transakcyjne, żeby były mniej wygodne dla nas, ale bardziej bezpieczne. Na koniec zobaczcie poświęcony właśnie temu tematowi materiał dziennikarza TTV, w którym też miałem przyjemność wystąpić.  

Samcik w TTV

SUBIEKTYWNOŚĆ JEST TAM, GDZIE TY. Blog "Subiektywnie o finansach" to jedno z chętniej odwiedzanych miejsc w sieci, poświęconych finansom osobistym. Notuje ok. 400.000 kliknięć miesięcznie, ale to nie wszystko. Blog możesz też obserwować na Facebooku (tam znajdziesz sporo ciekawych wpisów, które nie zmieściły się na samcik.blox.pl oraz podyskutujesz z grupą ponad 21.000 czytelników). Krótkie myśli o finansach rzucam też od kilku miesięcy na Twitterze (słucha już prawie 2000 osób). Kto lubi platformę Google+, także się nie zawiedzie. Są i tacy, którzy nie przepadają za krótkimi formami i chcieliby przeczytać coś większego, a przy tym użytecznego. Dla nich napisałem książkę "Jak pomnażać oszczędności". Można ją kupić w formie e-booka. A kto od czytania woli słuchać i oglądać, niech zerknie na mój kanał w YouTube - jest w nim sporo wideofelietonów o pieniądzach i wpadkach instytucji finansowych.  Subskrybuj kanał "Subiektywnie o finansach" 

Szczegóły wpisu

Tagi:
brak
Kategoria:
Autor(ka):
maciek.samcik
Czas publikacji:
środa, 12 lutego 2014 07:44

Polecane wpisy

Trackback

Komentarze

Dodaj komentarz

  • olakarolina155 napisał(a) komentarz datowany na 2014/02/12 08:52:51:

    Czołem! Ja mam pytanie do autora bloga: czy każdorazowe dokładne sprawdzenie treści SMSa którego przysyła bank przed przelewem (czy zgadza się kwota, rachunek odbiorcy, etc) stanowi zabezpieczenie przed tym wszystkim? Innymi słowy, czy każdorazowe dokładne sprawdzenie danych w SMSie daje (relatywną) pewność że nie staniemy się ofiarą tego typu przestępstwa?

    pozdrawiam
    OlaKarolina

  • lkuziem napisał(a) komentarz datowany na 2014/02/12 09:04:27:

    Panie Macieju,
    Opisał Pan 6 historii gdzie klienci zostali przy własnym współudziale okradzeni.
    Teraz proszę zastanowić się, z ręką na sercu - czy mbank, mając 3 miliony klientów zrobił wszystko aby każdy był bezpieczny?
    Z krzywej Gaussa wynika, że wiele osób nie będzie miało pojęcia co przychodzi, jak i dlaczego. Po prostu klikają w ekran.
    Czy rozdawanie kluczy małpom do plantacji bananów nie jest szkodliwe? Klienci, proszę się nie obrażać! Sam jestem zdania, że jest w tym duża wina mBanku. Jak chce się masy obsługiwać to mBank musi założyć, że to nie będą sami doktorzy habilitowani z informatyki. Ba, nawet taki natnie się na niektóre z socjotechnik.
    mbank powinien mieć procedury na takie przypadki - okazuje się, że jedyne co robi to zrzuca wszystko na policję i całkowicie odżegnuje się od wszystkiego. A Policja znana jest ze swojej skuteczności...
    Tym samym klienci zostali pozostawieni na lodzie. Co by nie mówić, pieniądze zabrano jednak z banku.

  • nerkofil napisał(a) komentarz datowany na 2014/02/12 09:05:16:

    Już oldskulowy Kevin Mittnick twierdził, że najsłabszym ogniwem łańcucha wszelkich zabezpieczeń jest człowiek. Jego naiwność, domniemanie, wiara w to, że wszystko działa jak trzeba :) A mnie na wykładach z bezpieczeństwa sieci i systemów wbijali do głowy, że ZAWSZE niezbędna jest odrobina "pozytywnej paranoi" - czyli myślenia typu: a co ktoś z tego będzie miał, jak można na tym oszukać, gdzie jet haczyk?

    Być może to chore, ale informacje o aktualizacjach bezpieczeństwa sprawdzam, dzwoniąc na Obsługę Klienta, jeśli Bank czegoś wymaga via WWW, sprawdzam w Oddziale wiarygodność informacji, nigdy nie podaję swoich danych ID, jeśli jakaś mLinia DZWONI DO MNIE - ja też mogę do Pani zadzwonić i przedstawić się jako Obama bin Laden :) O dziwo, nikt ne wykorzystał jeszcze tej piatej drogi hackowania mBanku "na Mitnika"? ;) Dzwonię do Pana w celu potwierdzenia i aktualizacji danych osobowych oraz bla bla bla.. W celu autoryzacji aktualizacji proszę podać kod SMS

    Ludzie, macie dziesiatki tysięcy złotych na kontach, więc mieliscie na tyle inteligencji, by je zgromadzić - miejcie też na tyle podejrzliwości, by je zachować! :)

  • hoper1 napisał(a) komentarz datowany na 2014/02/12 10:11:17:

    Witam. Proszę sobie poczytać ten artykuł: niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/

    Wyjaśnia on, w jaki sposób atakujący może oszukać ofiarę, żeby wyłudzić od niej kod SMS używany do autoryzacji transakcji. Dotyczy to głównie klientów mbank/multibank opisanych na blogu.

  • kon_jaki_jest napisał(a) komentarz datowany na 2014/02/12 10:14:36:

    już tu padły mądre słowa, nie będę powtarzał.
    Z tych historii najbardziej niepokoi mnie taki scenariusz (wiem, że trudny, ale czy niemożliwy?):
    - bandyci podmieniają/modyfikują przeglądarkę wirusem/trojanem.
    - wchodzę na poprawny adres i widzę poprawną identyfikację strony, ale to tylko obrazki podstawiane przez zmodyfikowaną przeglądarkę
    - loguję się ujawniając bandytom login i hasło
    - płacę za jakieś zakupy i podaję kolejny kod jednorazowy (nie ma znaczenia, czy z kartki, czy z sms)
    Wtedy bandyta autoryzuje sobie tym kodem co tam chce, a mnie - dla uspokojenia - wyświetla obrazek, że dyspozycja została przyjęta.

    Jakieś pomysły na obronę przed takim scenariuszem (oprócz logowania się do banku tylko ze zrestartowanego komputera, uruchomionego z włąsnej płyty z systemem)?

  • metkor napisał(a) komentarz datowany na 2014/02/12 10:25:18:

    Panie Macieju, w tej całej historii - poniekąd smutnej dla niektórych - brakuje typowo detektywistycznego pytania: SKĄD wiedzieli.
    Skąd złodzieje wiedzieli że na danym komputerze ktoś loguje się do mbanku.

    Podejrzewam że złodzieje celują w klientów którzy na kontach mają trochę więcej złotówek niż 75 złotych wiec pozostaje kwestią otwarta w jaki sposób monitorują i namierzają klientów banku którym później sprzedaje się wirusy czy trojany do pobierania już konkretnych danych logowania, stanu konta itp. To może być ciekawe zagadnienie informatyczne i raczej to informatycy z banku powinni odpowiedzieć na takie pytanie (wykreślmy tych co logują się banku z miejscach niebezpiecznych np. kafejka, centrum handlowe itp., zwłaszcza przez otwarte wifi). Przecież to nie taka prosta sprawa dowiedzieć się że przy danym komputerze korzysta ktoś z mbanku.
    Być może to serwery mbanku są dziurawe i pozwalają zaglądnąć do nich złodziejom i znaleźć dane ofiary (ip, numer konta), być może gdzieś po drodze pakiety są filtrowane a może całkiem prozaicznie dane klientów są sprzedawane przez nieuczciwego pracownika banku.

  • sylwia647 napisał(a) komentarz datowany na 2014/02/12 10:29:53:

    Dodam, iż każdy użytkownik komputera ma w nim " robaki" i nie jest tego świadomy, to bank skoro oferuje konta internetowe powinien się martwić o skuteczne zabezpieczenia pieniędzy powierzanych przez swoich klientów.
    Mój przypadek nie był taki, jak tutaj został opisany, ponieważ nie miałam żadnego komunikatu o podawaniu jakichkolwiek danych i w dzień kradzieży pieniędzy nie logowałam się na swoje konto....

  • marcinz123 napisał(a) komentarz datowany na 2014/02/12 10:39:19:

    Witam,
    dodam, że bankowcy też nie zawsze mają dobre procedury dotyczące bezpieczeństwa. Ostatni przykład - ostatnio zadzwoniła do mnie pani z programu Rewards MasterCardu. Koniecznie chciała uzyskać ode mnie numer karty kredytowej (dla celów załatwienia mojej sprawy). Była bardzo zmartwiona, gdy jej odmówiłem. Zdarzało mi się też, że otrzymywałem telefony z banków i koniecznie chciano ode mnie moje dane osobowe. Niestety, banki w ten sposób uczą klientów złych nawyków.

  • markobb napisał(a) komentarz datowany na 2014/02/12 11:14:29:

    Ja pół roku temu robiłem przelew z Inteligo do funduszy na kwote 28tyś i zostałem pozytywnie zaskoczony. Przelew nie wyszedł wogule z banku co mnie zdziwiło, powinien wyjść rano, troche po tym dostałem telefon z Inteligo czy to ja napewno zleciem ten przelew i po potwierdzeniu tego wyszedł kolejną sesją.

  • maciek.samcik napisał(a) komentarz datowany na 2014/02/12 11:17:01:

    Szanowni, dziękuję za konstruktywne uwagi i opinie. @olakarolina155: niemal na pewno dokładne przeczytanie treści SMSa autoryzacyjnego chroni przed kradzieżą. Warto też uważać na to w jakich okolicznościach taki SMS autoryzacyjny "zamawiamy". Jeśli jest to okoliczność niestandardowa (można podejrzewać, że przez kogoś sprowokowana) - warto zadzwonić na infolinię banku i się upewnić.
    Pozdrawiam i zapraszam do dalszej dyskusji.

  • samozlo0 napisał(a) komentarz datowany na 2014/02/12 11:18:34:

    @kon_jaki_jest , nie jest obojętne jakim kodem autoryzujesz operację.
    Jezeli jest to kod z listy kodów jednorazowych - mozesz im autoryzowac wszytko.
    Jezeli jednak jest to kod SMS, wtedy poza kodem masz informacje jakiej operacji on dotyczy.
    Wykonujac przelew 50zl na konto X, otrzymujac SMSa z informacja o przelewie 5tys na konto Y, chyba latwo sie zorientowac, ze ktos miedzy nami a bankiem posredniczy i podmienia dane. Pod warunkiem, ze ktos te SMSy czyta a nie tylko sam kod.
    Aby takie zabezpieczenie zlamac, trzeba jakims sposobem wlamac sie tez na telefon lub do sieci GSM. W przypadku wlamania na telefon z ktorego ktos wykonuje operacje bankowe - istnieje mozliwosc poznania hasla i podmiany hasel SMS.
    Jednak jezeli ktos uzywa do operacji bankowych komputera lub telefonu, a do autoryzacji innego telefonu, szansa wlamania jest bardzo nikla, praktycznie niemozliwa.

  • kontabankowe.biz napisał(a) komentarz datowany na 2014/02/12 11:32:35:

    niestety czasy są takie a nie inne ludzie stali się wygodni i mniej ostrożni,

    sam mam konto w mbanku czytajac takie historie nie można czuć się pewnie

    ja jestem o tyle komfortowej sytuacji że wiekszość srodkow mam ulokowanych w akcje co za tym idzie nawet gdyby ktoś włamał się na konto niewiele tam znajdzie choć każda strata będzie boleć

    rozliczenie sprzedaży akcji trwa 3 dni robocze wiec to taki bufor, który nie daje pewności zachowania środków ale jest to pewne zabezpieczenie

    mam hasła smsowe ale na oddzielnym telefonie starej nokii (może nie za wygodne ale jakaś przeszkoda)

    staram się być czujny ale każdy może kiedyś sie spieszyć i popelnić przez to jakiś błąd

    co do antywirsua na komputerze nie daje on nam wiele

    pamietam że miałem kiedyś przypadek że zablokowano mi dostęp do przez internet z powodu zbyt dużej ilości prób z błędnym hasłem po zgłoszeniu do mbanku nic z tym nie zrobiono mim że zaznaczyłem -o braku prób z mojej stdony

    czujność może nas uchronić

  • x.luki napisał(a) komentarz datowany na 2014/02/12 11:37:01:

    Banki generalnie się wypinają, twierdząc że włamanie było na komputer klienta. jednak nalezy przyjąć, że przynajmniej część winy leży po stronie banków.

    1. przy większości ataków, wykorzystywana jest metoda Man-in-the-midle. Oznacza to, że połączenia do banku są wykonywane z innego adresu IP niż my uzywamy (my łączymy się do serwera złodzieja a złodziej do banku). Przy dobrze skonfigurowanym systemie, bank powinien wykryc masowe połączenia z podejrzanego adresu (zapewne zagranicznego). Dobrze działający system IDS wykryje tego typu anomalie ruchu.

    2. bank powinien wdrożyć system zabezpieczający przed nadużyciami (fraud detection).
    W tym wypadku powinien wykryć anomalie w przelewach (bardzo nietypowe) i je dodatkowo zweryfikować. Ponadto przy uzyciu mechanizmów geolokalizacji IP powinien stwierdzić że klient nagle loguje sie na przykład z Ukrainy, chociaż godzinę wcześniej logował się z Polski. I jeszcze z tej Ukrainy wykonuje wielkie przelewy. Podobne systemy przy operacjach kartowych, w lepszych bankach działają od lat.

    3. W bankach bardziej dbających o bezpieczeństwo (nie podam nazwy, ale duży, polski, marmurowy), większe lub nietypowe przelewy często są na chwilę wstrzymywane i operator z call center próbuje się z klientem skontaktować, żeby uzyskać potwierdzenie przelewu.

    4. Banki twierdzą, że podstawą jest oprogramowanie antywirusowe u klienta. Przy obecnie rozpowszechnionych zagrożeniach typu Day-0 nie wiele to da, gdyż sygnatury jeszcze togo nie wyłapują a analiza heurystyczna tez rzadko kiedy zadziała. Po zainfekowaniu, większość programów już nic nie da (nawet po aktualizacji). Dodatkowo programy AV w tym wypadku dają tylko złudne poczucie bezpieczeństwa.

    Tak więc, zaniedbania po stronie banku też są tutaj widoczne i przynajmniej część odpowiedzialności powinna spaść na bank (szczególnie że to on jest jednostka profesjonalną).

    Tak więc, panie Maćku proponował bym spytać się kilku banków, w jaki sposób zamierzają w przyszłości chronić swoich klientów - szczególnie przed atakami typu Man in the middle lub wręcz Man-in-the browser (czyli zainfekowana przeglądarka internetowa). Dlaczego na przykład nie blokują przelewów na konta wykorzystywane do fraudów (z tego co wiem, to konta takie są często aktywne klika dni!). Dlaczego nie potwierdzają dodatkowo transakcji podejrzanych.

  • x.luki napisał(a) komentarz datowany na 2014/02/12 11:53:25:

    @kon_jaki_jest
    Atak na przeglądarkę jest tutaj właśnie najbardziej niebezpieczny, gdyż wtedy można nawet wymusić na przeglądarce wyświetlanie kłódki SSL i zielonego paska.
    Praktycznie poza dokładnym czytaniem SMSów nie wiele można zrobić (jeśli SMS będzie zawierał dostatecznie dużo informacji o operacji.
    W takim przypadku token sprzętowy lub lista haseł jednorazowych są jeszcze bardziej ryzykowne, gdyż mogą posłużyć do autoryzacji dowolnej operacji w danym momencie!!!
    (nasza przeglądarka łączy się z serwerem złodziei a ten automatycznie z serwerem banku). Serwer złodziei może przekazywać nam wierny obraz strony bankowej, aż do momentu kiedy będziemy chcieli wykonac jakąś nową płatność i wtedy uzyć naszego hasła z tokenu do wykonania jakiejś zupełnie innej operacji!

    Tylko aktywne działanie ze strony banku (monitoring ruchu, aktywny monitoring transakcji, szybkie blokowanie kont przejętych do celów fraudów) może nam pomóc.
    Ale to wymaga pracy ze strony banku a nie zrzucania wszyskiego na uzytkowników i policję.

  • skromny_uczen napisał(a) komentarz datowany na 2014/02/12 12:18:03:

    Ja się pytam dlaczego w mBanku są tak drogie listy kodów jednorazowych?
    Wszyscy zostali praktycznie przymuszeni na smsy, bo kto będzie płacić 19 zł za hasła jednorazowe. Po drugie zmiana danych osobowych może być wykona poprzez podanie hasła kodu jednorazowego a można by wprowadzić wymóg odesłania formularza danych potwierdzonego notarialnie lub zaprosić klienta do oddziału.
    Owszem to jest ograniczenie wygody, ale tutaj chodzi o bezpieczeństwo.

    PS. U konkurencji karty kodów jednorazowych są za darmo, więc można.

  • sylwia647 napisał(a) komentarz datowany na 2014/02/12 12:21:58:

    Właśnie inne banki dzwonią do klienta i pytają czy to on wykonuje taki przelew, a u mnie idą cztery przelewy wszystkie na to samo konto w tym trzy typu sorbnet co dwie minuty i bank NIC!!!
    Gdyby " złodziej " mi nie zmienił hasła i nie zablokował konta to nawet bym nie wiedziała że nie mam już na nim pieniędzy!!!

  • lkuziem napisał(a) komentarz datowany na 2014/02/12 12:33:34:

    @nekrofil
    "A mnie na wykładach z bezpieczeństwa sieci i systemów wbijali do głowy"
    I tutaj można spokojnie przestać czytać. Nie dlatego, że nie masz racji. Po prostu dlatego, że mało kto w czymś takim uczestniczył. Dla ciebie pewne rzeczy są oczywiste, a skąd ma to wiedzieć "przeciętny zjadacz chleba"? wiem, wiem, można doczytać... ale każdy ma inne hobby :).
    Mbank nie reklamuje się jako "bank dla ekspertów od bezpieczeństwa sieci".

  • skromny_uczen napisał(a) komentarz datowany na 2014/02/12 12:34:27:

    Taka monokultura w metodzie autoryzacji transakcji jest szkodliwa.

    Po drugie ile osób używa dobrego antywirusa? Niestety darmowe wersje są często dosyć ograniczone w funkcjonalności, warto wybierać sprawdzone marki. W prasie informatycznej co roku są robione badania skuteczności poszczególnych programów.

    Sprzęt sieciowy tutaj też warto sprawdzać opinie przed zakupem. Większość użytkowników używa taniego sprzętu chińskiej myśli technicznej. Poza tym ile osób sprawdza czy ma aktualny firmware w routerze, czy jest on odpowiednio skonfigurowany?

  • abgan napisał(a) komentarz datowany na 2014/02/12 13:17:19:

    Krótko - hasła maskowane to zło, upierdliwość i *złudzenie* bezpieczeństwa.

    Jeśli (jako zły człowiek) zainstaluję keyloggera na komputerze ofiary i ona loguje się do banku *bez* maskowanego hasła, poznam hasło od razu.
    Ale jeśli będzie ona logować się do banku *z* maskowanym hasłem, to poczekam aż zaloguje się 3-4 razy. Przy 8-10 znakowym haśle, maskowanie sprawia że wystarczy bym poznał 6-8 znaków hasła, bym mógł się zalogować. Jeśli przy próbie logowania bank spyta o znak hasła, którego akurat nie znam - odświeżę stronę, wymuszając tym samym zmianę maski. Jeśli przy każdym logowaniu podaję połowę znaków hasła, to znajomość 66-75% wystarczy do zalogowania bez problemów.

    Klienci banku z maskowanymi hasłami na 99% nie będą korzystali z generatorów haseł i haseł typu "MYM5658ckm6g6s6h" tylko z haseł łatwych, dla których będą umieli łatwo podać znaki z 3,4,6,8,9,11 pozycji, typu "alamakota16-02-1980"
    To znakomicie poszerza drogę do ataków socjotechnicznych i zgadywania hasła.

    Na stronach poświęconych bezpieczeństwu bez trudu można znaleźć dużo krytyki pod adresem maskowanych haseł.

  • kamuta napisał(a) komentarz datowany na 2014/02/12 13:19:10:

    Nie można obwiniać użytkownika końcowego - klienta banku, że ktoś włamał się na jego konto bankowe poprzez zmianę adresów DNS w routerze, instalację wirusa-trojana czy inny sposób by ukraść pieniądze. Bank będąc odpowiedzialny za nasze pieniądze powinien oferować system maksymalnie bezpieczny i przygotowany na użytkowników nie czytających dokładnie treści smsów autoryzujących transakcje. Nie każdy jest młodym i wyczulonym na wszystkie nowinki technologiczne użytkownikiem. Większość użytkowników nie czyta informacji na temat bezpieczeństwa i nie sprawdza czy przeglądarka wyświetlacz kłódeczkę i czy strona ma odpowiedni certyfikat bezpieczeństwa.
    Jak życie udowodniło by wyprowadzić pieniądze z banku najłatwiej złodziejowi ustawić się pośrodku czyli zastosować metodę man-in-the-middle. Problem w tym, że mBank jest słabo przygotowany na tego typu ataki. Zostawia się klienta z jego sprzętem i oprogramowaniem które jak się okazuje ma dużo luk i backdoorów.
    Czujny klient zauważy próbę wyłudzenia danych autoryzujących ale dla osoby starszej lub zalatanej to może nie być oczywiste.
    mBank powinien jak najszybciej poprawić system autoryzacji i zastanowić się nad gruntowną zmianą całego systemu zabezpieczeń. Jest wiele lepszych metod autoryzacji od tej jaką ma mBank i nie będę się teraz nad tym rozpisywał. Fachowcy wiedzą co trzeba zrobić i ile to kosztuje.
    Prawo bankowe w naszym dzikim kraju nie chroni konsumenta w przypadku takiej kradzieży. W innych krajach klient jest chroniony a w Polsce pozostawiony w zasadzie sam sobie.

  • wumat napisał(a) komentarz datowany na 2014/02/12 13:27:58:

    @samozlo0
    Wszystko prawda co piszesz. Tylko jest jedno ale. Przeczytaj na niebezpieczniku (link podany już tutaj), jak wyglądają te 'ataki'. Na sfałszowanej stronie ukazuje się komunikat, że w związku z połączeniem banków grupy BRE w jedną markę, konieczne jest zdefiniowanie nowego zdefiniowanego odbiorcy (sic!). (zresztą niektóre z przytoczonych w artykule historii to potwierdzają. Inne wspominają tylko enigmatycznie, że sms'em należy potwierdzić zapoznanie się z informacją - to przykład, że nawet komunikatu oszukani nie zrozumieli). Zatem sms, który przychodzi, też dotyczy ustanowienia zdefiniowanego odbiorcy. Nie ma więc sprzeczności. Same przelewy nie są już w żaden sposób potwierdzane - co najwyżej komunikowane sms'em.
    Natomiast nie mogę zgodzić się z opinią jednej z oszukanych - pani Anny, że komunikat wyglądał bardzo "prawdziwie". Przecież taki komunikat śmierdzi na kilometr! (spójrzcie sobie na niebezpieczniku, jak on wygląda). Dodanie nowego zdefiniowanego odbiorcy z powodu zmiany marki banku? Nie osłabiajcie mnie. Taki komunikat to wystarczający powód, by sprawdzić certyfikaty połączenia z bankiem. A tych oczywiście nie było w żadnym z opisywanych wypadków, o czym w artykule nie przeczytamy, bo oszukani nawet nie mają odwagi cywilnej się teraz przyznać, że dali się wyrolować w tak banalny sposób.

  • olakarolina155 napisał(a) komentarz datowany na 2014/02/12 14:10:53:

    Maciek Samcik: dziękuję pięknie za odpowiedź. Jeśli Pana zdaniem uważne czytanie SMSów autoryzujących jest w stanie wykluczyć większość ataków - to trochę to uspokaja. Checkmark in the plus column :) Niestety nie jestem już tak "młoda i wyczulona na nowinki techniczne" (cyt. za @kamuta) jak bym chciała, więc jeszcze jedno pytanko pozwolę sobie zadać.

    Co z takim scenariuszem: login i hasło złodziej zdobywa phisingiem, następnie włamuje się do mojej komórki i zmienia te SMSy tak, że jak ja myślę że autrozyuję przelew 100 PLN za rachunki na konto Elektrowni Jądrowej Żarnowiec S.A., a de facto autoryzuję przelew 15 000 PLN na konto złodziei?

    Tudzież, inaczej: że złodziej phishingiem zdobywa login i hasło do strony, a potem przestawia numer komórki na którą te SMSy się wysyła na komórkę własną. I wtedy opróżnia mi konto do woli.

    Wiem, że pieniądze nigdy nie będą bezpieczne w 100% - do skarpety może się dobrać włamywacz, a jak NSA albo Lisbeth Salander się uprze, to do każdego banku się włamie. Ale czy scenariusze "phising + atak na komórkę", które opisałam wyżej, należą właśnie do tej kategorii, czy przeciwnie, są czymś, czego się trzeba realnie obawiać?

    pozdrawiam!
    OlaKarolina

    PS. Not to flatter, ale fajny blog!

  • bartekabc napisał(a) komentarz datowany na 2014/02/12 14:53:08:

    @olakarolina155 Twój Bank umożliwia zmianę nru telefonu online, w dodatku bez autoryzacji używającej aktualnego nru? To byłaby megadziura w zabezpieczeniach.

    Co do pierwszego scenariusza - jeśli już złodziej włamie się na Twoją komórkę, to nie musi Cię prosić o przepisanie kodu z przelewu do niby-elektrowni. Mając kontrolę nad komórką, sam sobie taki kod prześle z Twojego telefonu i wpisze.

  • r.maszkowski napisał(a) komentarz datowany na 2014/02/12 15:31:59:

    Jeden ze sposobów, który może znacznie zmniejszyć niebezpieczeństwo to używanie bezpieczniejszego systemu. System Windows słynie z podatności na wirusy i, jak widać, nawet ktoś, kto z tymi wirusami walczy nie jest całkiem bezpieczny. Znacznie więcej bezpieczeństwa zapewniają systemy UNIX, np. Linux. Oczywiście w każdym systemie należy dbać o instalowanie aktualizacji, uruchamiać ich instalację ręcznie albo włączyć automat.

  • l_u_k_a_s napisał(a) komentarz datowany na 2014/02/12 15:46:25:

    Teraz zestawcie sobie ten wpis pana Macieja z poprzednim, mówiącym jak to mBank udziela kredytów w 30 sekund. Tylko czekać, aż ludzie będą masowo okradani z pieniędzy, których nie mają - mieli na koncie 100 złotych, a teraz mają 100 tysięcy, ale kredytu do spłacenia. To, że nie można zrezygnować z tej oferty permanentnie świadczy o tym, że mBank ma głęboko w... nosie bezpieczeństwo finansów swoich klientów. Dlatego - między innymi - powoli się stamtąd ewakuuję, a rozsądnym ludziom dbającym o swoje pieniądze radzę to samo. Obsługa klienta to dno, a rozpatrywanie bardziej skomplikowanych (i niewygodnych dla banku) reklamacji w zasadzie nie istnieje.

    Panie Macieju! Żadne apele do banków nie sprawią, że te nagle zaczną zabiegać w szczególny sposób o zwiększenie bezpieczeństwa. Przecież straty i tak ponosi klient, bank jest czysty. Jedynie przepisy o współodpowiedzialności banku i klientów za dokonane kradzieże środków finansowych z kont bankowych mogą zmusić banki do poprawy zabezpieczeń - tak jak to się dzieje z kartami kredytowymi. Banki mają na tym polu dużo do zrobienia. Oczywiście rażące naruszenie bezpieczeństwa przez klienta mogłoby być wyłączone spod odpowiedzialności banku, ale o tym powinien decydować sąd, a nie bank, któremu zależy, żeby całą stratę przerzucić na okradzionego klienta.

    Pana, jako znany dziennikarz zajmujący się sprawami banków, powinien głośno o tym mówić i dużo na ten temat pisać, może politycy zauważą problem i w efekcie wprowadzą odpowiednie zapisy ustawowe.

  • dwiemuchy napisał(a) komentarz datowany na 2014/02/12 15:49:47:

    Pytanie jeszcze jedno - na ile dziurawe sa procedury w samych infoliniach? Patrząc jak wygląda sytuacja w USA (łańcuszkowe przejmowanie kont - zaczynając od serwisów wymagających mało tajnych danych uwierzytelniających) - pewnie i u nas to jest możliwe

    Ciekaw jestem czy ktoś przeprowadzał testy penetracyjne - i czy są banki gdzie używając podstawowej wiedzy (adres,nazwisko panieńskie, data urodzenia) będzie dało się np. przestawić nr telefonu do haseł jednorazowych. Fajnie, jeśli np. bank pozwala na podmianę nazwiska panieńskiego przy rejestracji, bo to taki podstawowy "potykacz".

    W sumie sprawdzę w mbanku z ciekawości, bo akurat żona zapomniała swoich danych - co wystarczy, żeby zresetować dostęp do banku.

  • krzysw73 napisał(a) komentarz datowany na 2014/02/12 16:19:16:

    Witam Pana.
    Czy moglby sie Pan zajac sprawa banku Credit Agricole?
    Dwukrotnie zwracalem im uwage, iz system bankowy przyjmuje zmiane numerow zdefiniowanych (wprowadzonych do systemu) rachunkow bez podawania jakiegokolwiek hasla! W takiej sytuacji wystarczy, aby haker monitowal ruch potencjalenj ofiary, w momencie zalogowania sie na komputerze uzytkownika rachunku bankowego, haker moze bez podawania zadnych hasel, tokenow itp zmienic wszelkie numery zdefiniowanych kont odbiorcow na swoje. A potem tylko czekac na realizacje przelewow, zarowno automatycznych (np. okresowych itp) jak i tych wykonywanych "recznie". Wlasciciel konta jest pewien, iz dokonuje przelewow zgodnie z wczesniej wpisanymi parametrami, ale tymczasem przelewa pieniadze na konto hakera.
    Niestety, bank Credit Agricole pomimo pierwszego monitu o problemie kilka lat temu, drugiego jakies 3-4 miesiace temu nic w tym temacie nie zrobil. A zalatanie takiej dziury powinno byc banalnie proste.
    Moze Pan zajal by sie sprawa?

  • bartekabc napisał(a) komentarz datowany na 2014/02/12 16:33:33:

    @krzysw73 Włos się na głowie jeży. A myślałem, że "megadziury" w zabezpieczeniach na poziomie procedur już się nie zdarzają.

    P.S. Przepraszam, że drugi raz odpowiadam na post adresowany do Autora blogu. Ale myślę, że wymowa mojej wypowiedzi jako poparcia krzysw73 i wezwania CA / Autora do działań jest oczywista.

  • ambx napisał(a) komentarz datowany na 2014/02/12 17:04:20:

    Ostatnia linia obrony to "zaufany telefon" - aparat dla starszaków za 69 PLN który jest wyposazony tylko w... latarkę LED i może odbierać SMS. Nie do zhakowania, bo za głupi by instalować w nim zdalnie jakeś apps na Androida. W nim karta "z Biedronki" której numer zna wyłącznie bank. Małe to, więc można zabrać gdy potrzeba zrobić przelew poza domem, ale normalnie leży w biurku (najlepiej w zamknietej szufladzie albo w sejfie, wyłączony) Może też lepiej łączyć sie "po drucie" a dostęp przez net mieć tylko do konta na którym mamy na bieżące wydatki. Współczuję ofiarom internetowych band rabusiów.

  • mus8607 napisał(a) komentarz datowany na 2014/02/12 17:37:30:

    Mam ROR w byłym Kredyt Banku, do autoryzacji przelewów służą mi hasła jednorazowe z papierowej karteczki :) spróbujcie to zhakować :)

  • x.luki napisał(a) komentarz datowany na 2014/02/12 17:44:46:

    @mus8607 - karteczkę dużo łatwiej rozpracować. Wystarczy fałszywa strona banku odpowiednio spreparowana i cierpliwe czekanie, aż będziesz chciał wykonać jakąś operację wymagającą autoryzacji. wpisujesz hasło i może zostac użyte w innym czasie.

  • mrptok napisał(a) komentarz datowany na 2014/02/12 18:22:10:

    @krzysw73. Potwierdzam. W Credit Agricole dane odbiorców zdefiniowanych można po zalogowaniu zmieniać bez problemu bez potwierdzania czymkolwiek. Gdy złodziej pozna nasz login i hasło, bez problemu podmieni numer IBAN odbiorcy. Wykonując przelew do odbiorcy zdefiniowanego, co prawda potwierdzamy go smsem, w którym sa poczatkowe i końcowe cyfry nr konta, ale gdy nie zauważymy?????????

  • mrptok napisał(a) komentarz datowany na 2014/02/12 18:39:02:

    Tzn. numer konta w smsie bedzie sie nawet zgadzał z tym wpisanym przez złodzieja. Musielibyśmy mieć w głowie wszystkie 26 cyfrowe numery kont naszych odbiorców.

  • natanka16 napisał(a) komentarz datowany na 2014/02/12 19:32:46:

    Przepraszam bardzo, ale jeżeli chodzi o reklamę banków to jest ona wszędzie, kiedy chodzi o pozyskanie klienta jest za przeproszeniem "wchodzenie w tyłek" a jeśli już się go pozyska to się o nim zapomina? Zapomina się o jego bezpieczeństwie? Takie też tematy były poruszane podczas szklenia techniki sprzedaży i powiem szczerze, że nadal nie rozumiem dlaczego takie rzeczy się dzieją i kto za to odpowie ?

  • ala.39 napisał(a) komentarz datowany na 2014/02/12 19:33:33:

    Witam.
    Jak wytłumaczyć fakt zmiany numeru telefonu przez złodzieja i autoryzowanie operacji danymi,które nie są zawarte w komputerze ani w telefonie (nazwisko panieński matki).
    Informację taką przekazał pracownik Wydz.Bezpieczeństwa mBanku- zresztą bardzo zdziwiony!
    Jedyny SMS jaki otrzymałam z banku informował o,, potwierdzamy zmianę danych; telefon grzecznościowy,telefon służbowy,telefon komórkowy,dane po aktualizacji nr.xxxxxxxxx(numer złodzieja). Wysłany z nr.3388 o godz.13.00.
    Ok.godz.15 zatelefonowano do mnie z Wydz.Bezpieczeństwa mBanku z informacją o kradzieży środków.

  • kic-mas napisał(a) komentarz datowany na 2014/02/12 20:03:08:

    ^@natanka16

    To ukryte linkowanie zaczyna być żenujące.......

  • maciek.samcik napisał(a) komentarz datowany na 2014/02/12 20:04:38:

    Ja tylko krótko, bo padam na pysk: bardzo dziękuję za komentarze i ożywioną dyskusję, przepraszam, że jeszcze nie odpowiedziałem na Wasze pytania (dziękuję tym, którzy mnie wyręczają ;-)), a temat Credit Agricole sprawdzam

  • skromny_uczen napisał(a) komentarz datowany na 2014/02/12 20:56:34:

    Dobrym rozwiązaniem mogło by być np. zdefiniowanie w systemie zaufanego telefonu klienta. Wszelkie dyspozycje telefoniczne powinny być przyjmowane tylko jeśli połączenie jest inicjowane ze znanego przez bank numer(ów)u telefonu klienta. Taka opcja mogła by być dobrowolna.

    W przypadku połączenia z nieznanego numeru telefonu, żadna dyspozycja nie mogła by być przyjmowana przez konsultanta. Proste rozwiązanie, pewnie nie aż tak trudne do wprowadzenia. Zmiana numeru tylko osobiście w oddziale lub formularzem potwierdzonym notrialnie.

  • joly.roger napisał(a) komentarz datowany na 2014/02/12 20:59:46:

    No to się narażę, ale każdy z opisanych przypadków, jest ewidentną winą użytkownika. Nie każdy musi być informatykiem, (ja nim nie jestem), ale skoro chce do poważnych celów, to niech pozna podstawowe zasady bezpieczeństwa. To tak jakby ledwo odróżniając pedał gazu od hamulca (="ja się nie znam na komputerach"), posiadając ciężką wadę wzroku(=nie czytanie informacji np. w smsach) wsiadł do samochodu z łysymi oponami (=brak odpowiednich zabezpieczeń) bez okularów i dał gaz do dechy (=powierzenie grubej kasy) A potem miał pretensje do producenta samochodu że wylądował na drzewie. Jak się nie umiej jeździć to się bierze taksówkę (=idzie do marmurka, oddziały co 100m ;)
    Owszem może się zdarzyć bardzo specjalna i wyjątkowa sytuacja, kiedy złodzieje mimo wszystko dobiorą się do konta (raczej teoretyczna) ale oni w specjalnie wyrafinowane metody nie muszą się bawić, bo użytkownicy sami podają im swoje pieniądze na tacy.

    Aha opinia, że darmowe antywirusy są gorsze, świadczy o nieznajomości tematu. Aktualny ranking AV
    artykuly.softonic.pl/najlepsze-programy-antywirusowe-2014-wielki-test-softonic
    Jest dokładnie odwrotnie Avira łyka Nortona i ESETa w kategorii "security". No ale to trzeba wpisać w google "ranking antywirusów" i poświęcić 3 min na przeczytanie. Ale po co, w końcu to tylko kilkadziesiąt tysięcy...
    Oczywiście, zgadzam się, że banki powinny ciągle udoskonalać procedury bezpieczeństwa. Podobał mi się pomysł dodatkowej autoryzacji nietypowych działań na koncie (bo i tak bank gromadzi dane o typowych ;) co jak ktoś napisał, gdzieniegdzie już działa. Ale już geolokacja nic nie da - podmiana IP to żaden problem. Ale sory obwinianie banku za - nie zawaham się użyć słowa - głupotę użytkowników to gruba przesada.

  • 4inwestor napisał(a) komentarz datowany na 2014/02/12 21:07:38:

    Niektórzy to chyba mają nierówno pod sufitem, albo dziwne poczucie humoru, by zrzucać winę na klienta. Myślicie, że Was to nie dotknie bo robiąc przelew zasłaniacie rolety i gasicie światła. Ja bym nie był taki spokojny po tym artykule.

    Po pierwsze, wyszedłem z siebie i stanąłem obok! jak przeczytałem, iż bank NIE POCZUWA się do oddania pieniędzy!! Proszę listę takich banków, aby się ich wystrzegać. To raz, dwa sprawa jak się przed tym chronić? Może osobny komputer do banków np. netbook, z dyskiem SSD (aby skanować go w 15-30minut zamiast 2-4h dwoma antywirusami przed każdym logowaniem) z wgranym tylko Win7-8 i przeglądarką? do tego telefon starego typu, hasła w głowie, lub na pendrive, to wszystko do sejfu...

    Nie wyobrażam sobie żeby za 10lat ktoś mi wyczyścił konto z 140tys, a mi kazano latać po komisariatach bo "pewnie miałem wirusa" a bank umyje ręce. Konto w mBanku zamykam, bo mimo iż nie mam tam ani złotówki i to wydmuszka po byłej promocji 9%, to szkoda się narażać na kredyt w 30s.

    Czemu jedne banki mają logowanie SMS (BGŻ Optima) a inne mają coś takiego jak klucz autoryzacyjny prócz SMS który można mieć na osobnym pendrive (BPH) a jeszcze inny dzwoni jak coś dziwnego (Inteligo) a inne mają luki gdzie można zmienić numer konta, telefon, czy zaufany przelew?!

    Wymagam, aby każde pierdnięcie na koncie od dziś wymagało SMS + klucza usb (dziś wyprodukowanie pendrive 128MB w formie karty to grosze w hurcie), a bank oddał im pieniądze wraz z odsetkami ustawowymi. To bank nie sąsiad z sejfem niech się ubezpieczą od tego na minimum BFG. Bo jak ja mam taki cyrk odstawiać to wolę być offline a pilnować tylko dowodu.

  • skromny_uczen napisał(a) komentarz datowany na 2014/02/12 21:09:18:

    Wybacz ale zgodnie z testem pierwsze trzy miejsca zajęły płatne programy. Liczy się przede wszystkim potencjał jak najszybszego namierzania nowych zagrożeń, tutaj najwięksi gracze dysponujący potępionymi centrami analizowania zagrożeń w sieci i grają pierwsze skrzypce.

    Poza tym było dużo przypadków gdzie darmowe antywirusy potrafiły rozłożyć system operacyjny usuwając błędnie ważne pliki systemowe. Za darmo nie dostanie się Mercedesa.

  • kamuta napisał(a) komentarz datowany na 2014/02/12 22:30:26:

    @4inwestor
    Zgadzam się z Tobą w 100%. Ci którzy tak chętnie krytykują okradzionych klientów banków sami stają po stronie banku który umywa ręce i przerzuca całą winę na klienta! Ciekawe jak by się poczuli i co by mówili gdyby ta sprawa dotyczyła ich lub ich bliskich. Przestępcy stosują bardzo wyrafinowane metody na wyciągnięcie danych autoryzacyjnych i w konsekwencji okradani. To, że klient banku został okradziony w ten sposób nie może zwalniać banku od odpowiedzialności od oddania kasy.
    Wyobraźmy sobie sytuację gdy ktoś kradnie nasze dokumenty, przebiera się za nas i idzie do banku by wybrać pieniądze z naszego konta. Złodziej zna nasz podpis i skutecznie wypłaca cały majątek. My tego samego dnia jesteśmy w pracy i orientujemy się po jakimś czasie, że nie mamy dokumentów a po chwili, że jesteśmy okradzeni z pieniędzy w banku. Idziemy na policję, zgłaszamy zaginięcie dokumentów oraz, że ktoś wyczyścił nasze konto podszywając się pod nas. Bank nie ma innego wyjścia jak oddać pieniądze i przeprosić, że niedostatecznie sprawdził tożsamość osoby wypłacającej kasę. Analogicznie w e-bankowości złodziej kradnąc dane autoryzacyjne podszywa się za nas i staje do kolejki po nasze pieniądze wypłacając je na konto słupa. Dziwi mnie postawa mBanku. Po tylu kradzieżach powinni już dawno poprawić systemy autoryzacyjne a być może zmienić całkowicie system zabezpieczeń wprowadzając tokeny z klawiaturą generujące kody jednorazowe powiązane z kartą debetową klienta. Nie rozumiem czemu jeszcze jest możliwe definiowanie odbiorców zdefiniowanych. Złodzieje tylko zacierają ręce mając tak ułatwioną pracę. Póki co przeniosłem swoje oszczędności z mBanku i radzę każdemu nie trzymać tam większej ilości pieniędzy. Mam porównanie z bankami za granicą gdzie również korzystam z e-bankowości. Poziom zabezpieczeń zdecydowanie lepszy a podejście do klienta to poziom o jakim mBank może tylko pomarzyć.

  • adds01 napisał(a) komentarz datowany na 2014/02/12 23:03:36:

    Po zalogowaniu do bankowości internetowej jedynym zabezpieczeniem pozostaje sms-kod, przy wykonywaniu jakichlkolwiek operacji związanej z otrzymaniem sms-kodu (np. przelew zewnętrzny) powinniśmy sprawdzić, czy podana kwota i cyferki rachunku odbiorcy zgadzają się z tym co wpisaliśmy w formularzu. Cyferki rachunku nie muszą się wyświetlać w całości, wystarczy że 2 początkowe i 4 końcowe są zgodne, to one zawierają sumę kontrolną wszystkich 26 cyfr. Tuż przed wklepaniem kodu autoryzacji w okno przeglądarki trzeba też spojrzeć w formularz, czy jakiś wirus nie podmienił nam numeru rachunku odbiorcy. To naprawdę jest chwila i można sobie wyrobić taki nawyk. Niestety w takich czasach żyjemy że trzeba pilnować swoich pieniędzy nawet gdy "leżą" w banku a nie skarpecie. Trudno się ustrzec wirusów w komputerze ale telefon używany przy autoryzacji "grubych" przelewów wypadałoby mieć odporny/toporny, ja używam starego siemensa, który właściwie robi za token.. system ma zapewne "asemblerowy" i wirusa na pewno nie złapie :) Wszelkie komunikaty wyświetlane w przeglądarce tuż po logowaniu trzeba traktować jako podejrzane, z 15 lat korzystam z dostępu przez internet do przeróżnych rachunków i jeszcze mi się nie zdarzyło, żeby bank prosił mnie o podanie numeru telefonu czy (o zgrozo) definiowanie nowego odbiorcy dla przelewów. Użytkownicy którzy naiwnie wykonują wszystkie polecenia które wyświetli im przeglądarka sami sobie są winni.. Nie sprawdzałem jak to wygląda w praktyce ale ważny jest pewien niuans - interfejs banku powinien być tak skonstruowany, aby po zalogowaniu żaden program nie mógł odczytać z zakamarków owego interfejsu naszego numeru telefonu - ktoś ma ochotę go edytować - dla własnego bezpieczeństwa powinien podreptać do fizycznego/marmurowego oddziału.

  • joly.roger napisał(a) komentarz datowany na 2014/02/12 23:23:00:

    @4inwestor:
    Próbujesz sprowadzić to co napisałem ad absurdum. Tylko nieuczciwe chwyty erystyczne też trzeba umieć stosować. Tymczasem praktycznie w każdym z przypadków poszkodowany przyznał się do złamania _elementarnych_ zasad bezpieczeństwa. Ludzie! zatwierdzenie zmiany nr konta? Jak można być tak... nieodpowiedzialnym (to najdelikatniejsze określenie). O takim drobiazgu jak spojrzenie czy loguje się na prawdziwą stronę, nie wspomnę. A jak ktoś instaluje nieznane aplikacje z podejrzanych źródeł w telefonie, to niech się nie dziwi. I mogę tak długo. Więc nie wmawiaj ludziom, że trzeba stosować jakieś paranoidalne zabezpieczenia, bo to jest elementarz bezpieczeństwa w sieci. A jak nawet się go nie zna, prosta zasada: jeśli czegoś nie rozumiem, jest dla mnie nietypowe, to nie akceptuję bezmyślnie, tylko dzwonię na infolinie! No ale jak komuś szkoda 5 min. i woli zaryzykować dziesiątki tysięcy, to do kogo ta pretensja?
    Aha, nie wnikam tu w sposób rozstrzygania reklamacji przez mBank, może powinien być inny. Nigdy nie miałem okazji sprawdzić, pewnie dlatego, że ja ten elementarz stosuje. Ale oczekiwanie, ze bank odda forsę (najlepiej natychmiast i z przeprosinami, tiaaa), jeśli wina leży ewidentnie po stronie użytkownika jest śmieszne. To jakby oczekiwać odszkodowania za kradzież od producenta zamków, kiedy samemu się zostawiło drzwi na oścież otwarte.
    @skromny_uczeń Wyraźnie napisałem o kategorii "security" (czyli najważniejszej w tej sprawie). Owszem programy komercyjne wygrywają w innych, są wygodniejsze, mniej zasobobożerne, no ale trudno jak kogoś nie stać, musi trochę gorzej mieć (w praktyce ta różnica jest niewyczuwalna dla przeciętnego użytkownika). Zresztą wszyscy poszkodowani potracili sumy idące w dziesiątki tysięcy. Komercyjny antywirus kosztuje 100-200 zł za rok. Wnioski wyciągnij sam...

  • kamuta napisał(a) komentarz datowany na 2014/02/12 23:23:54:

    @adds01
    To co piszesz większość wie i prawdopodobnie każdy kto został okradziony też o tym wiedział. Problem w tym, że może przyjść jeden dzień kiedy wejdziesz na stronę swojego banku, zalogujesz się ale nie będziesz już na stronie swojego banku ale na mirrorze stworzonym przez złodzieja. Być może nie zwrócisz uwagi, że brak kłódeczki bo będzie rano lub będziesz zmęczony a dodatkowo nie będziesz świadomy, że od dłuższego czasu atakujący zmienił DNSy na twoim routerze i cały ruch odbywa się poprzez jego serwer. Konsekwencje tego mogą być bardzo przykre.
    Pozwolę sobie zacytować:
    ''Szanowni komentujący.
    Chciałbym Wam opisać moją historię i przestrzec Was przed stratami.
    Zarazem również chciałbym namówić krytykujących aby ponownie rozważyli swoje stanowisko. Dlaczego? Bowiem sam mam wykształcenie informatyczne, mam rozeznanie w kwestii bezpieczeństwa, a i tak padłem ofiarą kradzieży środków z konta w opisywanym banku.
    Schemat wyglądał następująco w grudniu, gdy dopiero co zacząłem korzystać z nowej wersji systemu transakcyjnego, PO ZALOGOWANIU się do banku na ekranie pojawił się komunikat o tym, że w związku z połączeniem się 2-óch banków jeden z moim odbiorców zdefiniowanych musi mieć zmieniony prefix numeru konta. Komunikat ten posiadał jedynie jedną opcję OK. nie można było go inaczej zamknąć. Pojawił się po zalogowaniu i był jakby wierzchnią warstwą panelu. W tle było widać moje konta. Nie miąłem podstaw na tym etapie, by podejrzewać jakiekolwiek oszustwo. Ot zwykła informacja jaką bank musiał mi przedstawić. Realna o tyle, że była dopasowana do mojej sytuacji mam jednego odbiorcę w Multi więc założyłem że chodzi o niego. Kliknąłem ok i w tej chwili na komórce pojawił się sms a treść komunikatu zmieniła się w potwierdź otrzymanym kodem przeczytanie wiadomości (o zmianie tego prefixu). W treści SMS tekst o zmianie definicji odbiorcy zdefiniowanego. Więc wszystko pasowało. Potwierdziłem tym sms i komunikat się schował a moje konta były już dostępne do operacji. Było późno w nocy, więc szybko zrobiłem planowane przelewy (wszystko w ramach tej samej sesji!) i poszedłem spać.
    Następnego dnia w pracy zalogowałem się na konto (wszystko było ok) i przypomniałem sobie o tym komunikacie sprawdziłem książkę odbiorców i zobaczyłem, że na liście odbiorców jest wpis, którego nie kojarzyłem. Niestety każdy kto zna stary i nowy system transakcyjny wie, że zmienił się sposób wyświetlania odbiorców zdefiniowanych jeśli ktoś się przesiądzie na nowy system będzie musiał sobie poustawiać widoki, bowiem nowy system będzie prezentować odbiorców w sposób nieczytelny chowając niejako opisy tworzone przez użytkownika. Aby rozwiać wątpliwości zadzwoniłem na mlinię. Tam spytałem skąd na mojej liście mógł się wziąć wpis, którego nie kojarzę, oraz system nie pokazuje mi historii z nim związanej. (proszę mi wierzyć, że cały czas nie podejrzewałem jakieś lewizny z komunikatem z poprzedniego dnia, choć wiem, że czytający to hejterzy skomentują na tym etapie historię jako mega frajerstwo i nie omieszkają się tą opinią podzielić). Pani na mlinii powiedziała, że nie wie skąd to się wzięłoi że mam zadzwonić jak następnym razem pojawi się znów nieznany mi wpis w książce.
    Ok 2 godzin później podczas zakupów na allegro okazuje się, że nie mam środków do zapłaty. Sprawdzam konto i mam wyczyszczone zarówno oszczędnościowe jak i zwykłe. 2 przelewy błyskawiczne do banku w ING. Jak się Państwo domyślacie przelewy poszły właśnie na ten nieszczęsny kontakt. I dopiero w tym momencie zrozumiałem, że poprzedniej nocy została utworzona furtka w postaci odbiorcy zdefiniowanego (i zarazem ZUFANEGO).
    Niestety dalej mBank się nie popisał. Przyjęcie zgłoszenia trwało uwaga 1godzinę i 10 minut. W tym czasie moje pieniądze znikały z konta odbiorcy. Ciekawostka gdy ukradną Wam kartę dzwonicie pod numer i karta jest blokowana w 2 minuty. W tym przypadku procedura i podejście konsultantki sprawiło zapewnienie czasu na wyprowadzanie środków z konta odbiorcy. Swoją drogą kontakt z bankiem odbiorcy też był odbiciem się od ściany...

  • joly.roger napisał(a) komentarz datowany na 2014/02/12 23:31:46:

    @kamuta.
    Autor bloga opisał, jak jeden z banków musiał się wycofać tokenów, bo ludność nie chciał z nich korzystać. Ma być szybko łatwo i wygodnie. Tymczasem Ty postulujesz zmiany, które owszem podniosły by bezpieczeństwo, ale obniżyły wygodę. Już widzę ten wrzask jaki by się podniósł "Tego się używać nie da! mBank się cofa do średniowiecza!" Za wygodę płacimy większym zagrożeniem, na które trzeba bardziej uważać, a nie potem mieć pretensje do całego świata o swoją niefrasobliwość. Albo chodzić do marmurka, jak komuś się nie chce czegokolwiek dowiedzieć o bezpieczeństwie w sieci.

  • ciekawski_gorge123 napisał(a) komentarz datowany na 2014/02/12 23:34:11:

    Moja poczta jest lepiej zabezpieczenia, niż ten system bankowy. Gdybym zalogował się powiedzmy z Krakowa a w 15 minut później z Warszawy to już takie działanie powinno być dla banku podejrzane... A przecież złodziej nie siedzi obok Ciebie tylko okrada Cię siedząc sobie spokojnie w swoim domku...

  • ciekawski_gorge123 napisał(a) komentarz datowany na 2014/02/12 23:43:13:

    Swoją drogą, gdyby złodziej włamał się do mojego domu i ukradł mi z przysłowiowej skarpety 10000 zł, wszyscy by mi powiedzieli, że pieniądze trzyma się w banku...

  • kamuta napisał(a) komentarz datowany na 2014/02/12 23:48:10:

    Oto chodzi. mBank ma prostacki system autoryzacji. Co z tego, że łatwiej i szybciej używać stałego hasła dostępu do kanału internet gdy tak łatwo go przechwycić przestępcy . Cena jaka przyjdzie nam zapłacić za wygodę jest za wysoka a bezpieczeństwo powinno być dla banku na pierwszym miejscu nawet jeśli musiał bym każdą operację potwierdzać kodem generowanym tokenem działającym na postawie karty i wpisu z klawiatury tokena.

  • adds01 napisał(a) komentarz datowany na 2014/02/12 23:52:55:

    @kamuta przypadek o którym piszesz to właśnie sytuacja, gdy użytkownik bezmyślnie wykonuje polecenia wyświetlane w przeglądarce. Nie ma to znaczenia, że polecenia płyną po zalogowaniu do bankowości elektronicznej. Użytkownik zaakceptował zmianę danych odbiorcy zdefiniowanego, dla którego przelewy wychodzą bez autoryzacji sms-kodem (brak czerwonej lampki w głowie), nie sprawdzając czy nowy numer faktycznie dotyczy owego odbiorcy - skrajna nieodpowiedzialność. Równie dobrze można powiesić obok dziekanatu dowolnej uczelni kartkę z napisem "Wpłaty za egzaminy komisyjne prosimy kierować na numer rachunku XXX.." i czekać ilu studentów się nabierze. A studenci będą się żalić "przecież ogłoszenie wisiało obok dziekanatu". Samo ustawianie odbiorców "zaufanych" jest przejawem lenistwa użytkownika, któremu nie chce się wklepać kilka cyferek z sms-kodu przy autoryzacji przelewu. Zupełnie nie współczuję osobom leniwym. Wygodne nie znaczy lepsze.

  • 4inwestor napisał(a) komentarz datowany na 2014/02/12 23:54:15:

    @joly.roger
    Jeśli to była kradzież a to był bank to bank w którym robią tego typu włamania powinien albo dziury załatać na wszystkie sposoby albo się zabezpieczyć i wpisać 20 kradzieży w miesiącu w koszty działalności ułomnego systemu podatnego na wirusy lub wykupić ubezpieczenie. Nie może być tak, że bank odsyła na policję, policja nie znajduje, a pieniądze życia przepadają. I to nie ważne czy to był SMS czy inny sposób, ważne że pokazało się to na stronie banku, a klient nie autoryzował przelewu na taką kwotę - został okradziony. Obyś sam przez następne XX lat życia zawsze sprawdzał przez 3 minuty czy ten SMS nie jest felerny? A jak trafi się dzień w którym złapiesz się na tym, że nie sprawdziłeś bo tylko spłacisz 2zł debatu i stracisz wszystko, to bank umyje ręce (trudno panie mogłeś być czujnym a tak zostałeś biedakiem).

    "Komercyjny antywirus kosztuje 100-200 zł za rok. Wnioski wyciągnij sam..."
    Ja mogę wyciągnąć takie, że gdyby kupowały antywirusy, i inne rzeczy lekką ręką po 200zł to nie odłożyły by tych pieniędzy... Następny co myśli, że ktoś jest bogaty bo dużo wydaje?

  • kamuta napisał(a) komentarz datowany na 2014/02/13 00:11:36:

    @adds01
    Zgadza się, że podałem typowy przypadek kradzieży typu man-in-the-middle. Cały wywód polega na tym, że mBank ma sposoby na to by zapobiegać lub przynajmniej utrudnić kradzież przy wykorzystaniu tej techniki. Jak do tej pory nie robią nic a problem robi się coraz poważniejszy. Coraz więcej będzie tego typu kradzieży bo coraz częściej wychodzą na światło dzienne luki w zabezpieczeniach modemów czy routerów gdzie można dokonać przekierowania ruchu na serwery przestępców.

  • adds01 napisał(a) komentarz datowany na 2014/02/13 00:37:56:

    Nawet przy kradzieży man-in-the-middle złodziej musi polegać na tym, że potwierdzimy generowaną przez niego operację kodem który przyszedł na nasz telefon. Wystarczy czytać treść sms używając bezpiecznego telefonu. Smartfony są tak samo dziurawe jak zwykłe komputery. Nie mam nic przeciwko aby banki wróciły do metod bardziej topornych ale bezpiecznych - dobrym przykładem jest Digipass który był rozdawany przez BGŻ Optima. Przelewy bez autoryzacji czy płatności zbliżeniowe to zło na które ludzkość nie jest jeszcze gotowa :) Odnośnie słabości technologicznej po stronie banków w pełni się zgadzam - można na wiele sposobów sprawdzać/porównywać, czy "zleceniodawca" operacji i osoba która ją autoryzuje to te same osoby, choć współczesny sprzęt daje złodziejom szerokie pole do popisu - wspomniane dziury w oprogramowaniu ruterów, wirusy modyfikujące przeglądarki, wirusy przejmujące władzę nad smartfonami, problemy z DNS, a co to by się działo gdyby SSL padło..

  • 4inwestor napisał(a) komentarz datowany na 2014/02/13 00:39:46:

    @kamuta
    Dobrze to porównałeś. Mnie jeszcze dziwi fakt nie odzyskania tych pieniędzy. Całą procedurą powinien zająć się bank, a poszkodowanemu oddać w trybie pilnym. Przecież przelew z konta X idzie na konto Y. Czasami z konta X pośredniczy firma AB i trafia na Y. Powiedzmy, że przelew przebył taką drogę:
    X->Y->Z->AB->C=wyjęte z bankomatu
    Czyli ktoś musiał być właścicielem konta C! Nawet jak pieniądze przepuścił w Vegas, to banki powinny w nagłych przypadkach ze sobą się komunikować aby ustalić końcowy ogon. I jeśli ta osoba nie istnieje bo było konto na fałszywe dane to odpowiada tamten bank a u siebie ma debat (np. założyli komuś konto na lewy dowód lub grubsza sprawa wyjdzie) a jeśli taka osoba istnieje, to zrobić jej debat, komornika a pieniądze odesłać poszkodowanemu. Nie muszą się znaleźć w majątku złodzieja, dług może rosnąć, a bank wsiąść go na siebie itd. Banki powinny mieć bufor na takie rzeczy, bo żyjemy w czasach online i to będzie coraz częstszy i cwańszy proceder. Zwykłe gospodarstwo domowe powinno mieć bufor na zdarzenia losowe, ubezpieczenia od kradzieży a co dopiero bank który nie ma fizycznych placówek. Ten sam bank który takie ubezpieczenia sprzedaje...

    Trzeba zmienić przepisy, wypłacać skradzione pieniądze bogu winnym klientom mBanku, bo skończy się runem na banki, ja tam już do mBanku zaufania nie mam i nigdy już mieć nie będę. Takie sprawy powinno się łagodnie rozwiązywać, aby nie wyciekły do mediów by nie siać paniki. A nie nagrywać programy, że pieniądze przepadną bo miałeś słabego darmowego antywirusa (bez sprawdzania i testu czy inny by go wykrył to można sobie tylko spekulować "co by było gdyby baba miała wąsy") którego ma 200 milionów użytkowników - a jeśli już jest winny słaby antywirus bank powinien nie pozwolić się zalogować bez lepszego "za 200zł rocznie".

  • x.luki napisał(a) komentarz datowany na 2014/02/13 09:00:37:

    Nie wiem, skąd taka wiara w antywirusy (płatne czy bezpłatne). Statystycznie każde zagrożenie jest niewykrywalne przez systemy antywirusowe przez kilka godzin od pojawienia się. Po zainstalowaniu się robaka, bardzo dobrze maskuje się on przed wszelkimi systemami detekcji.
    Ponieważ, teraz coraz więcej ataków jest ukierunkowanych na małe grupy osób, to nowy typ robaka trafia do nich nim zostanie wykryty i zidentyfikowany przez największe nawet laboratoria. Dodatkowo cześć tych robaków dostaje się do komputerów przez popularne strony (na nie kod jest wstrzykiwany przez dziury CMSów).
    W efekcie system antywirusowy jest potrzebny, ale często daje tylko złudne poczucie bezpieczeństwa.

    Drugi ciekawy mit - dlaczego tokeny sprzętowe mają być lepsze? W wielu wypadkach są gorsze niż hasło SMS gdyż nie mogą odbierać informacji o faktycznie autoryzowanej transakcji. Dla przykładu w przypadku ostatnich ataków wystarczyło by, żeby na pierwszej stronie pojawił się komunikat - "zmiana regulaminu prowadzenia kont" potwierdź zapoznanie się ze zmianami przy uzyciu tokena. proszę wpisać do tokena kod "123456" a w ponizszym polu podać odpowiedź. Wtedy użytkownik już zupełnie bezbronny jest - kod z tokena jest wykorzystywany w zupełnie innym celu niż widać na stronie "banku".

    Dodatkowo, przy infekcji przeglądarki może być wyświetlana informacja o prawidłowym certyfikacie SSL (kwestia odpowiedniej finezji)..

  • tomkus5 napisał(a) komentarz datowany na 2014/02/13 11:49:27:

    @kon_jaki_jest

    Jakieś pomysły na obronę przed takim scenariuszem (oprócz logowania się do banku tylko ze zrestartowanego komputera, uruchomionego z włąsnej płyty z systemem)?

    Niestety to też Ci nie pomoże.
    Mogą np. podmienić serwery DNS (chociażby atakując router jeśli masz).
    A teraz co druga osoba z kablówką ma router bo i WiFi jest i wiele kompów można podłączyć. I przychodzi technik, stawia pudełko i tyle. Hasła zostają standardowe, zabezpieczenia powyłączane... Wystarczy zrobić skan sieci i od ręki znaleźć mnóstwo takich routerów. Potem na nie wejść, podmienić DNSy i już nic nie pomoże. ani bezpieczny komputer ani zadne hasła.
    To wszytko da się zautomatyzować...

  • lecuk napisał(a) komentarz datowany na 2014/02/13 13:16:26:

    @ kon_jaki_jest
    Własnie myślę, że w taki sposób mnie okradziono, jak podajesz: nie wchodziłam na stronę Mbanku, ba nie otwierałam komputera w dzień kradzieży, gdyż byłam na delegacji, nie dostałam SMS, a mnie okradziono. Hakerzy musieli kont obserwować, gdyż jak tylko przyszedł kredyt z innego banku na moje konto, to zaraz ten kredyt ukradziono. Teraz spłacam kredyt i nie wiem, czy mi reklamację uwzględni Mbank. Gdzie moja wina, nie wiem, a chciałabym wiedzieć!!!

  • lecuk napisał(a) komentarz datowany na 2014/02/13 13:22:06:

    @ sylwia647
    Całkowicie sie z Tobą zgadzam: kradzieże mogą dotykać każdego i nie wynikać z winy klienta banku. Bank posiadając nasze pieniądze bierze na siebie odpowiedzialność za ich przechowywanie - to tak jak by złodzieje przyszli z kluczykiem do skrytki w banku i pracownik bez sprawdzenia wszystkich innych danych oddał im zawartość skrytki. Mbank nie dochowuje staranności w obsłudze klienta i taka jest prawda!

  • sylwia647 napisał(a) komentarz datowany na 2014/02/13 13:51:45:

    Czyli z tego wynika, że klienci, którzy logowali się na nowy serwis mBanku mieli jakieś komunikaty, typu, z uwagi na to, iż banki się połączyły...itd. Ja logowałam się zawsze na stary serwis i ŻADNEGO KOMUNIKATU nie miałam, więc nie podejrzewałam że ktoś może mnie obserwować i czekać na " okazję kradzieży". Obecnie czekam na zakończenie śledztwa, ale myślę, że ta sprawa się skończy w sądzie....

  • joly.roger napisał(a) komentarz datowany na 2014/02/13 19:08:51:

    A wiedziałem, że burzę rozpętam :) Nawet nie dam rady odpowiedzieć wszystkim którym bym chciał, ale tak z grubsza podsumowywując to pojawia się kilka wątków:
    - "istnieją wyrafinowane metody ataku, przed którymi mamy małe szanse się obronić" Np. specjalizowane robaki (to że się maskują to nie jest żadna sensacja nawet dla mnie, a co dopiero do twórców antywirusów - to jest ciągła wojna), albo te nieszczęsne DNS (swoją drogą ile osób po tej informacji weszło na niebezpiecznika i sprawdziło czy ich to nie dotyczy? Bo ja natychmiast) Tylko który, do jasnej anielki, z opisywanych przypadków ma cokolwiek z tym wspólnego? A poza tym czas zrozumieć wreszcie, bank nie odpowiada za cała sieć teleinformatyczną łącznie z routerem i komputerem użytkownika! (tekst "nie moja wina, że miałem wirusa" rozbawił mnie do łez. A czyja? Banku?) A za dziurę bezpieczeństwa w routerze należy się odszkodowanie - jak najbardziej. Od producenta routera.
    - "przypadkiem raz się zalogujesz na stronę oszustów i już się mają"
    Na czystym komputerze "przypadkiem się" nie zalogujesz wpisując adres banku (wpisując mbank.pl, nie klikając jakieś dziwne linki) . A nawet jeśli masz "nieczysty" To na razie mogą tylko popatrzeć, jeszcze musisz im podać hasło smsowe, żeby mogli cokolwiek zrobić. "Głupota do kwadratu" pasuje jak rzadko.
    - "skoro do mbanku się włamali to ma oddawać kasę"
    Do mbanku na razie nikt się włamał. Jak oddasz złodziejowi klucze do mieszkania to o włamaniu nie ma mowy (również na gruncie prawa karnego :) No ludzie! Jakby jakiś obcy facet zapukał do drzwi i powiedział "jestem z serwisu pana samochodu, poproszę o kluczyki, bo coś muszę w silniku poprawić" to jakbyście zareagowali? Atakiem śmiechu, czy telefonem na policję? Tymczasem w necie ochoczo te kluczyki oddają. Czas zrozumieć, że net to dość niebezpieczne miejsce, trzeba mieć się na baczności.
    No i moje ulubione kuriozum "nie będę wydawał 200 zł na takie głupoty jak antywirus. Ten facet pewnie drzwi od domu też na zagięty gwóźdź zamyka, bo po co wydawać na takie głupoty jak zamek.
    W tym zalewie ignorancji pojawiło kilka rozsądnych propozycji, jak rzeczywiście można poprawić bezpieczeństwo, które osoby z mbanku które na pewno to czytają, powinny przekazać gdzie trzeba. Przede wszystkim heurystuczna analiza zachowań użytkownika i blokada podejrzanych do czasu dodatkowego potwierdzenia (ja bym dodał - konieczność potwierdzenia 2 kanałami działań powyżej pewnej sumy) "zaufany telefon" - owszem bank ze swojej strony też powinien kombinować, jak poprawić bezpieczeństwo. Albo raczej jak uczynić bardziej idiotoodpornym. Ale że głupota ludzka jest niemierzona to zawsze znajdzie się paru "userów" którzy te zabezpieczenia "obejdą" i dadzą się okraść, to już trudno. Za głupotę się płaci (ja nie mam zamiaru płacić za ich głupotę jakimiś paranoicznymi zabezpieczeniami w rodzaju tokenów - cenie sobie mobilność), a niektórzy widać nie powinni korzystać z bankowości internetowej (tak jak niektórzy nie powinni mieć prawa jazdy, bo nigdy się jeździć nie nauczą)
    A tak na koniec 2 prościutkie zasady, które w zupełności wystarczą, żeby nie dać się okraść w necie (wystarczą za cała wiedzę informatyczną)
    1 Nigdy nikomu nie podawaj na żądanie w mailu czy smsie żadnych haseł ani innych danych związanych dostępem do twojego konta. Bank nigdy cię o to nie spyta, on już to wie.
    2 Jeśli nie rozumiesz co bank do ciebie pisze, co od ciebie chce, albo nie znasz się na tym o czym pisze, to nie klikaj bezmyślnie OK, tylko się rozłącz i zadzwoń na infolinie.
    Prawda, ze proste? A ile forsy może zaoszczędzić :)
    Pozdrawiam i życzę aby wam się nigdy robaki nie trafiały ;)

  • joly.roger napisał(a) komentarz datowany na 2014/02/13 19:12:16:

    @lecuk Są granice kitu których nawet w necie nie łykną. Po prostu kłamiesz.
    @sylwia Ja się logowałem na nowy i żadnych komunikatów nie miałem. Może dlatego że ja się logowałem na stronę mbanku...

  • drogadowlasnegom napisał(a) komentarz datowany na 2014/02/13 20:54:41:

    "Okazało się, że policja w Mrągowie prowadzi sprawę pana Wiesława B., któremu obiecano pracę, ale w zamian miał przelać za pośrednictwem Western Union kwotę 19 830 zł na jakiś adres na Ukrainie".

    Kto uwierzy w takie coś :)

    Dostał najpewniej w łapę 1000 zł i opowiedział taką bajeczkę.

  • robwasik napisał(a) komentarz datowany na 2014/02/13 21:45:12:

    Hmm.... mechanizm faktycznie ciekawy:

    Gdy nie mamy na komputerze żadnego trojana wygląda to następująco:
    Jeśli ma zostać dodany adresat przelewu (lub przelew) to:
    - bank generuje w swoim systemie unikalny kod (znany tylko sobie)
    - wysyła SMS-a z kodem autoryzacyjnym do użytkownika.
    Warunkiem dodania adresata lub przelewu jest więc stwierdzenie przez bank zgodności znanego tylko jemu kodu z kodem przesłanym przez użytkownika.

    Jakiem więc sposobem bank akceptuje kod który wpisuje użytkownik z otrzymanego SMS-a, skoro kod ten nie zgadza się z kodem w systemie banku?
    UŻYTKOWNIK MUSI MIEĆ ZARAŻONY TROJANEM KOMPUTER:
    Po zalogowaniu się do banku przez użytkownika z zarażonego komputera trojan w imieniu użytkownika - w tle - zgłasza do systemu bankowego żądanie dodanie nowego odbiorcy. Bank naturalnie wysyła SMSa z prośbą o potwierdzenie. A trojan w tym czasie zmienia treść komunikatu na ekranie komputera na taką jaką chce. Nic nie swiadomy uzytkownik wpisuje kod.
    A że kod się zgadza z bankowym bo faktycznie został wysłany przez bank to odbiorca (lub pojedynczy przelew) zostaje dodany.

    A skoro potrafi takie cudeńka - to nikogo nie powinno zaskakiwać że ten sam trojan potrafi przechwycić wpisane przez Klienta hasło logowania się do systemu :)

    Wydaje się więc że nie ma potrzeby infekowania telefonu uzytkownika i przechwytywania SMS-ów.

    Pozdrawiam
    i życzę dużo spokoju i mało problemów.

  • joly.roger napisał(a) komentarz datowany na 2014/02/14 00:57:26:

    @robwasik - Nie spekuluj i nie twórz teorii, jeśli sory za szczerość - nie znasz się. Trojany przede wszystkim robi coś zupełnie innego. I żaden wynalazek nic nie musi robić "w tle" na stronach banku (co akurat właśnie jest praktycznie niemożliwe). Ludzie po prostu sami dobrowolnie akceptują oszukańczą operacje (na podstawie spreparowanej wiadomości).

  • 19hanys64 napisał(a) komentarz datowany na 2014/02/14 11:33:54:

    Szanowni czytelnicy.
    Piszecie tu socjotechnikach, wirusach, robakach itp. Nie wiem czy ktoś miał taki przypadek jak ja. Doładowywałem konto do systemu mobilet - służy m.in. do kasowania biletów za przejazd komunikacją miejską. Opłaty dokonywałem przez system mtransfer. Całą operację przeprowadzałem na przeglądarce internetowej w smartfonie. sms-em przyszło hasło jednorazowe do potwierdzenia operacji. Ponieważ nie miałem pod ręką nic do pisania postanowiłem zapamiętać hasło jednorazowe przesłane sms-em, przejść do przeglądarki w smartfonie i tam je wpisać. Do problemu podszedłem zbyt optymistycznie. Wpisałem hasło no i okazało się że pomieszały mi się cyfry. Otrzymałem komunikat o wprowadzeniu niepoprawnego hasła. Stwierdziłem że nie będę się wygłupiał i odpalę laptopa na którym przeprowadzę całą operację. Sposób o wiele wygodniejszy gdyż można trzymając w ręku smartfon odczytywać hasło jednorazowe i wpisywać je do przeglądarki na laptopie. Całą operacją przeprowadziłem od nowa. Dodam że pierwszy nieudany przelew był na kwotę 10zł drugi - udany - na kwotę 25zł. Na stronie mobiletu otrzymałem potwierdzenie o dokonaniu doładowania na kwotę 25zł. W tym momencie wszystko wydawało się być ok. Parę dni później przeglądałem historię transakcji w systemie mBanku. Zauważyłem że odrzucona kilka dni wcześniej operacja doładowania konta w systemie mobilet na kwotę 10zł pomimo braku jej autoryzacji spowodowanej wpisaniem niepoprawnego hasła przesłanego sms-em została zaksięgowana a kwota 10zł została ściągnięta z mojego konta. Sprawdziłem w systemie mobilet stan konta. Może coś mi się pomyliło i te 10 zł tam dotarło. Niestety nie. W poczcie mailowej również nie znalazłem informacji o doładowaniu konta w systemie mobilet na kwotę 10zł. Potwierdzenie o kwocie 25zł było. Miałem machnąć na to ręką. W końcu to "tylko" 10zł. Po przemyśleniu sprawy postanowiłem jednak zadzwonić na mlinie. Po przedstawieniu problemu pani przeanalizowała sprawę i stwierdziła że przeprowadzona przeze mnie operacja doładowania na kwotę 10zł została w systemie zautoryzowana prawidłowo. Trochę mnie to zdziwiło. Postanowiłem złożyć reklamację. Pani ją przyjęła i zadała mi ciekawe (jak się później okazało) pytanie. Czy chcę aby reklamowana kwota wróciła na moje konta czy ma trafić na konto docelowe. Stwierdziłem że nie ma to dla mnie znaczenia. W końcu i tak korzystam na co dzień z systemu mobilet i prędzej czy później wykorzystam tę kwotę. Na to pani mnie uświadomiła że ma to dla mnie znaczenie... W przypadku chęci odzyskania tych pieniędzy na własne konto bank pobiera ode mnie prowizję w wysokości 100zł!!! Stwierdziłem więc że pieniądze mają trafić na konto docelowe oraz zadałem pytanie jak to możliwe, że bank pobiera prowizje od klientów za swoje błędy. Odpowiedzi nie uzyskałem - może dlatego że w tym momencie nie było wiadomo czy moja reklamacja jest zasadna. Kilka dni później otrzymałem sms-a z mBanku że moja reklamacja została rozpatrzona i że szczegóły zostały mi przesłane mailem. Niezwłocznie odpaliłem laptopa i sprawdziłem pocztę. To co przeczytałem wprawiło mnie w niemałe zdziwienie:

    "Szanowny Panie,
    nawiązując do Pana reklamacji numer REK-------------- uprzejmie informuję, iż przelew mTransferowy z rachunku nr --------------------------------------- z dnia --.--.2014 na kwotę 10,00 PLN ma status WYKONANY I WYSŁANY (doszedł do realizacji). Chcąc jednak zachować Pana dobre relacje z mBankiem została podjęta decyzja o zwrocie niniejszej płatności. Kwota 10,00 PLN została w dniu --.--.2014 uznana na Pana rachunku.
    Mam nadzieję, że powyższe informacje okażą się dla Pana pomocne."

    Z jednej strony bank nie przyznaje się do winy a z drugiej zwraca mi pieniądze na konto z pominięciem prowizji 100zł, którą mnie wcześniej straszył!!! W historii transakcji mam dodatkową operację z nr reklamacji w tytule i zwrotem 10zł.
    Co o tym myślicie? Czy to możliwe że bank jest tak dobry że woli dać "swoje" pieniądze klientowi niż go stracić? A może jest świadomy wad jakie posiada jego system transakcyjny i boi się kompromitacji?

  • kamuta napisał(a) komentarz datowany na 2014/02/14 12:53:58:

    @19hanys64

    Jakaś masakra. Z tego co piszesz wynika, że z konta może wyjść transakcja przelewu z podaniem błędnego kodu jednorazowego. Kasa znika z konta, nie dociera do odbiorcy i nikt nic nie wie :) Czeski film.

  • lecuk napisał(a) komentarz datowany na 2014/02/14 13:16:24:

    @ joly.roger

    Nie rozumiem na jakiej podstawie stwierdzasz, że kłamie. Jeżeli prowadzisz śledztwo w mojej sprawie proszę kontaktuj się z Mbankiem w sprawie złożonej przeze mnie reklamacji oraz z II Komisariatem Policji w Krakowie, który prowadzi śledztwo w tej sprawie. Złóż doniesienie do prokuratury, ze ja tu publicznie kłamię w swojej sprawie. Inaczej wypraszam sobie podobne insynuacje.

  • girjic napisał(a) komentarz datowany na 2014/02/14 17:31:29:

    Czyli w przypadku mbanku kombinowałbym w ten sposób:
    - logowanie spoza standardowego IP + dyspozycja nowego zdefiniowanego klienta lub ponadprzeciętnego przelewu = blokada i kontakt z klientem dla pewności.

    Wymaga to "zapamiętywania" IP skąd lokował się klient i kwot, jakie najczęściej przelewa, ale może pomóc.

    Wkurzy to klientów na wakacjach, choć pewnie znaczna część doceni i poczuje się pewniej. A klient, który uniknie oszustwa i będzie uprzedzony o już zainstalowanym wirusie zostanie w banku na wiele lat.

  • joly.roger napisał(a) komentarz datowany na 2014/02/19 03:36:39:

    @leciuk
    Ty naprawdę czytelników jak idiotów traktujesz. Dobrze wiesz, że ani bank ani policja nie udzieli osobie postronnej żadnych informacji, dlatego możesz sobie swobodnie rzucać takimi hasłami. A wiem, że kłamiesz bo to co opisujesz jest niemożliwe. Coś jak niepokalane poczęcie... Ups to podobno akurat możliwe, może i tym razem cud się stał.
    A jeśli chcesz, żebym odszczekał wrzuć gdzieś skan zawiadomienia o przestępstwie i daj linka. Bo jak nie nadal będę utrzymywał że kłamiesz.

  • joly.roger napisał(a) komentarz datowany na 2014/02/19 03:42:05:

    @girjic
    A co z dynamicznym IP? Np. w Neostradzie?
    Nie akurat sprawdzanie po IP to ślepy zaułek - akurat to najłatwiej podmienić

  • agencja-reklamowa-trojmiasto napisał(a) komentarz datowany na 2014/09/04 14:39:37:

    Odzyskałam dług dzięki Ancora Finanse. Prowadzą skup wierzytelności, są profesjonalni i skuteczni.

    ancora-finanse.eu/

  • matthewg1 napisał(a) komentarz datowany na 2015/04/01 20:18:05:

    preply.com/pl/poznan/oferty-pracy-dla-nauczycieli-j%C4%99zyka-chi%C5%84skiego Tu sprawdzisz bank ofert pracy dla nauczycieli chiński w Poznaniu...

  • jakubs.student napisał(a) komentarz datowany na 2015/06/19 23:42:17:

    Witajcie
    Zostałem okradziony przez mBank. Osoba znała wszystkie dane - telekod , nr karty , login i hasła - Wszystko było tylko w mojej pamięci , nigdy nie wpisywane poza mBankiem. Jestem informatykiem , człowiekiem ostrożnym , a jednak !
    Ktoś wziąl kredyt przez serwis internetowy, przelal na inny rachunek. Sąd skazał słupa, a ja zostaje z kredytem na 10 000 zl.

    Jeśli ktoś zauważy podobieństwa do swojej sprawy , proszę o kontakt jakubs.student@gmail.com

    Razem wygramy!!

  • jakubs.student napisał(a) komentarz datowany na 2015/06/19 23:49:02:

    Witajcie
    Zostałem okradziony przez mBank. Osoba znała wszystkie dane - telekod , nr karty , login i hasła - Wszystko było tylko w mojej pamięci , nigdy nie wpisywane poza mBankiem. Jestem informatykiem , człowiekiem ostrożnym , a jednak !
    Ktoś wziąl kredyt przez serwis internetowy, przelal na inny rachunek. Sąd skazał słupa, a ja zostaje z kredytem na 10 000 zl.

    mBank to skrajnie niebezpieczny bank, zabierajcie swoje oszzednosci!
    Jeśli ktoś zauważy podobieństwa do swojej sprawy , proszę o kontakt jakubs.student@gmail.com

    Razem wygramy!!

  • mr0904 napisał(a) komentarz datowany na 2015/11/24 10:42:58:

    Jestem w dokładnie takiej samej sytuacji już od 19 lipca 2015. Do dziś sprawa się toczy - nic nie wiadomo. Jak rozwiązać ten problem? Czy ktoś nam pomoże? Dodam, że jest wiele osób w takiej sytuacji - powiązanie mbanku i play, a dokładniej opcji teleplay.
    Czy komuś udało się rozwiązać problem?

  • 19miki76 napisał(a) komentarz datowany na 2016/03/03 13:06:08:

    Witam,
    nasze konto w MBANKU zostało okradzione 1,5 roku temu. Prokuratura uznała że doszło do przestępstwa ale MBANK twierdzi że środków nie odda bo wszystko było zrobione jak należy tzn. login+hasło+ przelew+autoryzacja.
    Dodam że na 2 minuty przed dokonaniem przelewu ktoś zmienił numer telefonu do autoryzacji. Po ponad roku pisania pism oddaliśmy sprawę do prawnika który ma podjąć się sprawy.
    Dodam że do dnia dzisiejszego nie dostaliśmy informacji czy kwota przelana z naszego konta została zabezpieczona przez Bank. Kradzieży dokonano w niedzielę wieczorem, a biuro bezpieczeństwa banku pracuje od 8 do 16- śmiech na sali.
    I co mamy sądzić teraz?- prokuratura uznała że do przestępstwa kradzieży doszło a Bank nie chce wypłacić środków.
    Ten bank zachowuje się jak nasz rząd- dla przypomnienia wyrok TK o natychmiastowym zaprzysiężeniu sędziów TK a nasz prezydent tego nie zrobił.
    Jakby ktoś chciał pomejlować w tej sprawie to zapraszam 19miki76@gmail.com.
    Być może są tutaj osoby w podobnej do naszej sytuacji

  • mgrprawa napisał(a) komentarz datowany na 2017/11/09 17:09:10:

    Za bezpieczeństwo rachunku bankowego odpowiada bank i każdy pokrzywdzony niech się zgłasza do kancelariaprawna24h.pI bo KancelariaPrawna24h jest w stanie wygrać z bankiem w zamian za %
    W przypadku innych problem prawny również warto pisać do Kancelarii Prawnej 24h bo analiza sprawy jest bezpłatna
    (np. szkody górnicze, odszkodowania komunikacyjne, błędy medyczne, wypadek przy pracy, oddłużanie poprzez upadłość).

Dodaj komentarz

Wyszukiwarka

Kanał informacyjny