Subiektywnie o finansach

Blog Macieja Samcika, długoletniego dziennikarza ekonomicznego Gazety Wyborczej . O finansach małych i dużych. Mnóstwo ciekawostek na temat pieniędzy. Wiadomości ważne dla domowego budżetu. Porady finansowe i recenzje reklam instytucji finansowych.

Wpis

czwartek, 11 września 2014

Złodzieje zdalnie okradają nam konta, a banki mówią, że to nie ich wina. Tymczasem...

Kto powinien odpowiadać za kradzież pieniędzy z konta klienta, do której doszło z użyciem złośliwego oprogramowania i w okolicznościach sugerujących naiwność (lub nawet lekkomyślność) klienta? Pozornie odpowiedź jest jasna i oczywista - ów klient. W 99.9% kradzieży pieniędzy z naszych kont bankowych nie dochodzi w ogóle do naruszenia bankowych systemów - cały rozbój odbywa się po naszej, klientowskiej stronie sieci. Złodziej instaluje na komputerze ofiary złośliwe oprogramowanie, tzw. key-loggera,i zdobywa login i hasło do banku. Czasem wyłudza te dane podszywając się pod bank za pomocą fałszywego e-maila (phishing). Mając login i hasło złodziej wyświetla ci na ekranie ofiary żądanie podania kodu jednorazowego, wymyślając jakieś bzdurne uzasadnienie. Z użyciem kodu definiuje złodziejskie konto jako zaufane i wyprowadza pieniądze. Może też przejąć kontrolę nad smartfonem klienta i zainstalować na nim wirusa, który będzie przechwytywał kody jednorazowe wysyłane przez bank. Robota czysta i w miarę bezpieczna - pieniądze przelewa się na konta "słupów", a dopiero po ich przepuszczeniu przez kilka fikcyjnych ROR-ów wypłaca gdzieś za granicą.

Przeczytaj też ku przestrodze: Tak internetowi złodzieja kradną nam pieniądze z kont. Sześć potwornych opowieści z morałem

Banki w takich okolicznościach zwykle mówią klientowi: "sorry, byłeś nieostrożny, udostępniłeś login i hasło, dałeś się złapać na wirusa, więc cierp". Czasem oddają część pieniędzy, ale przeważnie trwa to bardzo długo, bo najpierw przez wiele miesięcy sprawę bada prokuratura, by wykluczyć współudział klienta i nie wykryć sprawców. Mam kilka tego typu spraw, w których klienci od wielu miesięcy czekają na zwrot pieniędzy, albo wręcz już dowiedzieli się, że bank nie poczuwa się do winy. Czy rzeczywiście nie powinien się poczuwać? Cóż, bank bankowi nierówny, a każda sprawa jest inna, więc nie sposób generalizować. Przeważnie ofiara ma sporo na sumieniu, bo gdyby nie dała się nabrać na fałszywą wiadomość, problemu by nie było. Ale coś mi mówi, że rację ma jeden z moich czytelników, który uważa, że sposób zabezpieczania dostępu do konta oraz poszczególnych transakcji przez bank również ma pewne przełożenie na to, czy złodziejowi uda się nas okraść, czy nie. Jeśli konto jest porządnie zabezpieczone, zaś transakcje prawidłowo monitorowane, wymagające od klienta każdorazowo zatwierdzenia, to zadanie złodzieja jest trudniejsze, a klient musi się wykazać poziomem frajerstwa znacznie powyżej średniej. Jakie są główne grzechy bankowców?

Statyczny login i hasło, brak dodatkowego uwierzytelniania. Spece od bezpieczeństwa pewnie mnie wyśmieją, ale jakoś bezpieczniej czuję się, kiedy login i hasło do konta nie są jedynymi identyfikatorami wymaganymi przez bank, bym wszedł na konto. Jeszcze lepiej się czuję, gdy nie muszę podawać hasła w całości, lecz jest ono maskowane. Oczywiście: to nie gwarantuje, że złodziej monitorujący mój komputer i tak w końcu nie skompletuje wszystkich haseł, ale jeśli nie wchodzę na konto codziennie, to jest pewna szansa, że w końcu się zniechęci. W jednym z banków, chcąc wejść na konto, muszę podać numer klienta, kilka znaków z hasła maskowanego, a poza tym kilka znaków z dodatkowego hasła, którym jest mój numer dowodu osobistego lub numer paszportu (sam wybieram dokument, z któego cyfry lub litery podaję). Jest to denerwujące i upierdliwe, ale podnosi w pewnym stopniu poziom bezpieczeństwa.

Stosowanie tego samego, niezmiennego hasła przy logowaniu. Lubię, gdy bank co jakiś czas wymusza na mnie zmianę jednego z haseł. Jeśli jest to hasło maskowane, to złodziej internetowy ma podwójnie utrudnione zadanie - nie dość, że potrzebuje czasu na skompletowanie wszystkich składników hasła, to jeszcze w każdej chwili to hasło może się zmienić i szpiegowską robotę trzeba będzie zaczynać od nowa. Ale mam też konta w bankach, w których po prostu podaje się login i hasło, a bank ma w nosie czy hasło zmieniam co jakiś czas, czy też mam stale to samo od 10 lat. Oczywiście: można powiedzieć, że klient powinien sam dbać o zmiany haseł ze względów higienicznych, a bank nie jest jego niańką. Można też powiedzieć, że zmiany hasła oznaczają większą możliwość jego zapomnienia i kłopoty (odzyskanie hasła przeważnie musi się odbyć w placówce). Tym niemniej w czasach, kiedy każdy może mieć na komputerze key-loggera, nawet pomimo działającego i zainstalowanego programu antywirusowego, cenię banki, które starają się wymusić na mnie wyższy poziom bezpieczeństwa przy logowaniu.

Brak konieczności podawania haseł jednorazowych przy przelewach wewnętrznych. Znam kilku okradzionych klientów banków, którzy o to właśnie mają największe pretensje. Niezależnie od tego w jakim stopniu sami się przyczynili do kradzieży (w jakiś sposób musieli podać złodziejowi kod jednorazowy lub dali go sobie ukraść przez podglądanego smartfona), mogą mieć uzasadnione pretensje o to, że bank ułatwił złodziejowi "zgarnięcie" pieniędzy ze wszystkich kont klienta, np. zerwanie lokat, przeksięgowanie kasy z kont oszczędnościowych, walutowych itp. Jeśli przelewy wewnętrzne nie wymagają autoryzacji, to złodziej na jednym wyłudzonym haśle może wyczyścić wiele kont klienta, a nie tylko jedno. Oczywiście: wymaganie autoryzacji przy przelewach wewnętrznych może być wkurzające i dlatego większość banków nie stosuje takich "szykan" wobec klientów, ale z pewnością byłoby to korzystne ze względów bezpieczeństwa.

Możliwość zmiany danych przelewu zdefiniowanego bez podania hasła jednorazowego. Jeszcze do niedawna otrzymywałem od Was sygnały o tej poważnej luce bezpieczeństwa w bankach. Istniały takie m.in. w PKO BP, czy w Credit Agricole. Ale ostatnio donieśliście mi, że zostały zalepione. Sytuacja, w której można zmienić numer konta na przelewie zdefiniowanym powoduje, że złodziejowi wystarczy tylko login i hasło do konta i trochę cierpliwości, by doczekać się przelewu od klienta, który myśli, że np. spłaca jakiś dług przyjacielowi, a w rzeczywistości przelewa pieniądze na konto złodzieja. Niestety, wiem, że wciąż są na rynku banki, które mają tę lukę bezpieczeństwa i nie zazdroszczę ich klientom. Sprawdźcie czy w Waszym banku można zmienić numer konta w przelewie zdefiniowanym bez podania hasła jednorazowego. Jeśli tak, to każdy przelew powinniście oglądać ze wszystkich stron - szczególnie sprawdzając czy numer konta na formatce przelewu zgadza się z numerem konta, na które wcześniej przelewaliście pieniądze.

Możliwość wklejania numeru konta np. ze "schowka". W ten sposób też złodzieje kradną nasze pieniądze. Są wirusy, które dostają się do tzw. "schowka" w komputerze, czyli do miejsca, do którego trafia tekst potraktowany klawiszami Ctrl+C (czyli "kopiuj") i jeśli zobaczą, że w tym miejscu pamięci komputera znajduje się numer konta, to podmieniają go na inny - by pieniądze popłynęły na rachunek złodzieja, bądź "słupa", który przekaże je nieświadomie dalej. Oczywiście ten patent zadziała tylko wtedy, kiedy po drugiej stronie komputera znajdzie się klient-leniuszek, który nie wpisuje w formatce przelewu numeru konta "z ręki", tylko przekleja go np. z e-faktury. Tylko przyznajcie się, tak z ręką na sercu: nigdy nie zdarzyło się Wam skopiować numeru konta i wkleić "gotowca" do formatki przelewu? No właśnie. A są banki, które blokują taką możliwość w interesie klienta. Większość z tych klientów pewnie psioczy, ale mimo wszystko lepiej, jak bank jest nadwrażliwy, niż kiedy ma w nosie bezpieczeństwo klienta i nie "podwaja krycia".

Hasła SMS-owe zamiast tokenów nowej generacji. Aby ukraść nam pieniądze złodziej przeważnie musi wyłudzić od nas - i odpowiednio szybko użyć - przynajmniej jednego hasła jednorazowego. Większość z nas otrzymuje te hasła na smartfona. Kiedyś były to papierowe kody z hasłami-zdrapkami, albo tokeny. Banki, w trosce o wygodę klientów, zrezygnowały z nich na rzecz SMS-ów autoryzacyjnych. Mają one tę dobrą stronę, że klient zawsze wie jaką transakcję autoryzuje (są więc bezpieczniejsze od haseł-zdrapek lub tych podawanych przez token). Wystarczy czytać dokładnie SMS-y z banku, by wiedzieć jaką transakcję autoryzujemy i przemyśleć czy naprawdę chcemy ją zatwierdzić. Ale z drugiej strony smartfon to urządzenie łatwe do inwigilowania i nigdy nie możemy mieć pewności, że ktoś nie podpatruje zdalnie naszych SMS-ów, także tych autoryzacyjnych. Rozwiązaniem mogłyby być tokeny nowej generacji, z wystarczająco dużymi ekranami, by pomieścić nie tylko hasło jednorazowe, ale i opis transakcji. Banki ich nie stosują, bo to drogie maszynki i niewygodne. Ich namiastką może być stary telefon komórkowy, taki z klawiaturką i zmurszałym już systemem operacyjnym, np. Symbian. Na takie telefony nie ma wirusów, więc i ryzyko, że ktoś przejmie kontrolę nad telefonem i przechwyci SMS-y z banku jest śladowe.

Brak sprawnego monitoringu nietypowych transakcji. Tego nie jestem w stanie pojąć: jak to jest, że w XXI wieku, kiedy banki wiedzą do jakiego przedszkola chodzą nasze dzieci i ile wydajemy w aptece na leki, w wielu instytucjach nie działają proste alerty. Jeśli system monitorujący transakcje "widzi", że na koncie klienta zaczyna dziać się coś dziwnego, np. są likwidowane wszystkie lokaty, a potem następuje przelew na inne konto, to przecież nie zawadzi zadzwonić do klienta i zapytać czy to on wykonuje te transakcje. Sorry, ale taki "podejrzany" przelew bez problemu można na kilka chwil przytrzymać, żeby mieć pewność, że to nie jest próba wyprowadzenia pieniędzy z konta. Jasne, można powiedzieć, że to ryzykowne reputacyjnie, bo klient poczuje się śledzony; Ale lepiej, żeby dziesięciu poczuło się śledzonymi, niż dwóch by miało stracić pieniądze. W większości przypadków kradzieży sprawnie działający system monitoringu powinien wychwycić nienaturalne ruchy na koncie klienta. Poza tym banki powinny mieć bazy rachunków "martwych", na których od dawna nic się nie dzieje. Jeśli system antyfraudowy z jednej strony widzi nerwowe ruchy dużej gotówki na koncie, a z drugiej widzi zlecenie przelewu tej kasy na konto, które od dawna jest martwe, to jest tu potencjał, by zapaliła się żółta lampka.

Bankowość mobilna działająca w pełnej funkcjonalności. Ponad 3 mln Polaków ściągnęło sobie aplikację bankową na smartfoma i bankuje także tą drogą, a nie tylko przez internet. Aplikacji na smartfomach mamy zwykle od groma i nawet jeśli wszystkie są z legalnego sklepu, to nie można mieć pewności, że z którąś z nich nie ściągnęliśmy złośliwego oprogramowania. Jeśli aplikacja bankowa na smartfonie działa w ograniczonej funkcjonalności (np. można przelać pieniądze tylko odbiorcy zdefiniowanemu), to wszystko OK. Ale jeśli za pomocą smartfona możemy zdefiniować nowego odbiorcę przelewów i jeżeli kod autoryzacyjny do takiej "transakcji" przychodzi na ten sam smartfon... To robi się niebezpiecznie. A jeśli do tego można ustawić z poziomu smartfona dzienne limity transakcyjne na wysokich poziomach, to mam już ciarki na plecach i nie są to ciarki wynikające z podniecenia. Aplikacje bankowe w smartfonach są chronione tylko kilkucyfrowym PIN-em i z punktu widzenia złodzieja nie jest to zapora nie do złamania.

Wszystkie wymienione zaniedbania banków oczywiście nie unieważniają tego, że jeśli mamy do czynienia z okradzionym klientem, to prawdopodobnie musiał on posunąć się do jakiejś grubej nieostrożności. Ale powtarzam: "podwojenie krycia" przez instytucje finansowe też ma wpływ na to, czy złodziejowi uda się wyprowadzić nam z konta pieniądze, czy nie. Złożoność, maskowanie i zmienność haseł, autoryzowanie jednorazowymi kodami wszystkich transakcji, blokowanie zmian w przeleach zdefiniowanych bez podania hasła jednorazowego, czy skuteczny monitoring antyfraudowy mogą spowodować, że nawet lekkomyślny klient zostanie "uratowany". A przecież nie zawsze mamy do czynienia z nieostrożnością klientów banków. Zdarzają się takie włamania do naszych komputerów, które kompletnie zaskakują i są nie do uniknięcia przez laika.

"Cyberprzestępcy są coraz bardziej pomysłowi. Np. wykorzystując luki w oprogramowaniu ruterów, przejmują kontrolę nad komputerami a nawet serwerami pośrednimi. Przejęcie serwera pośredniego sprawia, że użytkownik nawet zachowując najwyższą ostrożność jest bezradny"

- opowiada mi jeden z klientów, którzy stracili pieniądze w wyniku zdalnej kradzieży (chodzi o kilkadziesiąt tysięcy złotych). Bank pieniędzy mu nie oddał, uznając, że jego zabezpieczenia nie zostały złamane, więc to klient nie dopełnił zasad bezpieczeństwa. Sprawa może skończyć się w sądzie, bo klient uwaza, że zasad, owszem, dopełnił i przy zachowaniu wysokiej staranności nic więcej nie mógł zrobić. Komputer był aktualizowany, program wirusowy legalny i opłacony. A pieniądze i tak zniknęły. Sądzę, że już wkrótce będziemy meli w Polsce proces, w którym klient będzie próbował udowodnić, iż zaniedbania banku miały wpływ na zwiększenie ryzyka kradzieży pieniędzy. A w związku z tym bank powinien zostać obciążony finansową współodpowiedzialnością za kradzież. Jak sądzicie, miałby taki klient szansę na zwycięstwo?

DZIŚ W "GAZECIE WYBORCZEJ" PIENIĄDZE EKSTRA, czyli Ekipa Samcika w obronie konsumentów. Tym razem tematem przewodnim jest bankowanie przez smartfona. Razem z ekspertami odpowiadamy na pytanie komu opłaca się wykonywanie przelewów ze smartfona, co można dostać od banku za to w prezencie, a także jak odróżnić bezpieczną aplikację mobilną od takiej, która może pomóc złodziejowi okraść nas z pieniędzy na koncie. A poza tym o tym czy bank powinien brać współodpowiedzialność za pieniądze skradzione klientowi przez złodzieja internetowego w sytuacji, gdy klient był co prawda nieostrożny, ale jednocześnie bank nie stosuje najlepszych możliwych zabezpieczeń konta internetowego. I coś z zupełnie innej beczki - miniinformator o jesiennych promocjach w cenach biletów kolejowych. Kupcie jutro w kiosku "Gazetę Wyborczą" i szukajcie w środku Ekipy Samcika.

CHŁOŃ SUBIEKTYWNOŚĆ TAK, JAK LUBISZ. Blog "Subiektywnie o finansach" to jedno z  najbogatszych źródeł informacji istotnych dla Waszych kieszeni. Jest tu prawie 2300 tekstów, na które miesięcznie zerkacie ok. 400.000 razy, Subiektywność jest też w portalach społecznościowych - profil blogu na Facebooku ma prawie 25.000 fanów, zaś na Twitterze - ponad 3000 followersów. Kto woli oglądać, niż czytać - zapewne polubi wideofelietony na kanale "Subiektywnie o finansach" w YouTube (ponad 80.000 odtworzeń). Subiektywne spojrzenie na finanse znajdziesz na Instagramie. I w papierze - blog gości w każdy czwartek na stronach "Gazecie Wyborczej", gdzie ma autorskie kolumny "Pieniądze Ekstra". Historie wzięte z blogu złożyły się też na publikację książkową "100 potwornych opowieści o pieniądzach, czyli jak żyć, zarabiać i wydawać z klasą". Autorskie strony "Subiektywnie o finansach" znajdziecie też w miesięczniku "Logo"

Maciej_SamcikokladkaO PIENIĄDZACH POUCZAJĄCO I NA LUZIE. Zapraszam Was do lektury mojej najnowszej książki: "100 potwornych opowieści o pieniądzach, czyli jak żyć, wydawać i zarabiać z głową". To przewodnik po najważniejszych problemach finansowych, z którymi możecie się w życiu spotkać i dylematach, które przyjdzie Wam rozwiązywać. Jako przykłady służą Wasze historie, które opisywałem przez pięć lat w blogu. Z książki dowiecie się >> jak oszczędzać, żeby nie bolało i jak z tego oszczędzania "ukręcić" pierwszy milion, poduszkę finansową oraz prywatną emeryturę, >> jak wybrać dla siebie najlepszy bank i jak nie dać się okraść z pieniędzy przez internet, >> jak nie dać się nabić w wysokie prowizje bankowe w podróży zagranicznej, >> jak uniknąć pułapek przy zaciąganiu kredytu i czy bardziej opłaca się kupić mieszkanie, czy je wynajmować, >> rady dla tych, którzy chcą dobrze ubezpieczyć życie, mieszkanie i samochód, a także pomysły >> dla tych, którzy chcą się wymiksować z trefnej polisy inwestycyjnej i >> dla tych, którzy zastanawiają się co robić, gdy dusi kredyt hipoteczny we frankach. W tej książce znajdziecie porady i patenty, jak wydostać się z najróżniejszych tarapatów finansowych. Jak żyć mądrzej, wydawać z głową i jak sprawić, żeby pieniądze nie przeciekały Wam przez palce. Czytajcie i polecajcie tę książkę znajomym!

NIE WIESZ JAK ZROBIĆ PIERWSZY KROK W INWESTOWANIU? Banki, firmy ubezpieczeniowe i pośrednicy finansowi bez przerwy proponują Ci nowe pomysły na oszczędzanie i inwestowanie pieniędzy. Nie wiesz jak się w tym połapać? Boisz się, że złapią Cię w pułapkę? Przeczytaj o tym, jak samodzielnie zabrać się za budowanie kapitału na spełnianie marzeń oraz na dodatkową emeryturę. I co zrobić, żeby oszczędzanie nie bolało. Książka "Jak inwestować i pomnażać oszczędności" doczekała się już drugiego, poszerzonego wydania, i stała się rynkowym bestsellerem. Szczerze polecam!

Szczegóły wpisu

Tagi:
Kategoria:
Autor(ka):
maciek.samcik
Czas publikacji:
czwartek, 11 września 2014 08:38

Polecane wpisy

Trackback

Komentarze

Dodaj komentarz

  • exverxes napisał(a) komentarz datowany na 2014/09/11 08:55:30:

    Nadmierna komplikacja zabezpieczeń też nie jest dobra, bo prowadzi do obchodzenia zabezpieczeń przez użytkowników. Na przykład wymuszanie regularnej zmiany haseł, prowadzi do tego, że hasło jest zapisywane na karteczce i wisi na monitorze, albo jest schowane pod klawiaturą, albo co gorsza, leży zapisane na dysku w pliku tekstowym. Efekt jest odwrotny od zamierzonego.

    Dwuskładnikowe uwierzytelnianie przy logowaniu do konta, było by już niezłym pomysłem, chociażby tak mało inwazyjne jak ma google, czyli pamiętające konkretną maszynę, tak, żeby nie wymagać dodatkowego uwierzytelnienia przy każdym logowaniu, a tylko na przykład raz w miesiącu oraz jeżeli logujemy się z nowej maszyny. Dodatkowo oczywiście potwierdzenie każdej transakcji, chociaż powinna być możliwość określenia czy przelewy wewnętrzne chcemy potwierdzać czy nie (oczywiście wszelkie zmiany ustawień powinny wymagać dodatkowego potwierdzenia).

    Generalnie bank nie może doprowadzić do sytuacji, w której zacznie tracić użytkowników, ze względu na zbyt skomplikowany i denerwujący w obsłudze system, a nadmierna ilość zabezpieczeń, będzie generować właśnie taki problem.

  • zosia789 napisał(a) komentarz datowany na 2014/09/11 09:09:41:

    Czy klient ma szansę na zwycięstwo z bankiem? Okaże się w niedługim czasie. Obecnie jest w sądzie kilkanaście pozwów przeciwko mbankowi, złożonych przez okradzionych klientów.

  • maciek.samcik napisał(a) komentarz datowany na 2014/09/11 09:15:42:

    Dzięki za komentarze. Co do szkodliwości wymuszania zmiany hasła, to trochę racji muszę Wam przyznać, choć np. w Banku Millennium jest dość dobry pomysł w tej dziedzinie - system przypomina, że warto zmienić hasło, ale tego nie wymusza.

  • mrptok napisał(a) komentarz datowany na 2014/09/11 09:27:27:

    Panie Macieju. Pisałem kiedyś do Pana w sprawie przelewów zdefniowanych w Credit Agricole i w Aliorze. W Credit Agricole rzeczywiście podeszli do sprawy profesjonalnie i teraz do zmiany parametrów odbiorcy zdefiniowanego trzeba użyć hasła sms. Natomiast w Aliorze odpowiedzieli mi, że mają mnie w tym temacie "tam gdzie słońce nie dochodzi".

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 09:33:25:

    Wymuszanie zmiany hasła jest w byle Płatniku, a księgowe u mnie w "Firmie" go nie zapisują - zasugerowałem po prostu stosowanie haseł dwumodułowych, np. element stały na końcu (np."PaniFrania" i element zmienny na początku (np. nazwa miesiąca) Jeśli nie znasz zasady, trudniej hasło złamać, a gdy pani Frania zapomni, potrafi je odtworzyć. Tą zasadę stosuję do kont bankowych.

    W tej samej "firmie" mamy system podwójnej autoryzacji przelewów, nawet głupiej faktury za myszkę: przelew muszą elektronicznie podpisać DWIE osoby, na dwóch różnych komputerach, ale z tego samego, zdefiniowanego jako bezpieczne zewnętrznego IP.

    Oczywiście najsłabszym ogniwem jest człowiek - o czym świadczą setki tysięcy złociszy które jakiś urzędniczyna przelał hakerowi za sprzątanie warszawskiego metra :)

  • blad201 napisał(a) komentarz datowany na 2014/09/11 09:42:46:

    Akurat wczoraj okazało się, że zmiana kopiowanego ze schowka numeru rachunku to mały pikuś - zgodnie z ostrzeżeniem CERT z www.cert.pl/news/8999 nowsza wersja szkodnika (nazwana przez nich Banatrix) rozpoznaje te 26 cyfr już po ich wpisaniu i potrafi je podmienić na nowe nawet na etapie wysłania transakcji po jej podpisaniu. Chodzi tu więc nie o lenistwo, ale o utrzymanie komputera w "czystości" - wolnego od szkodników.
    Jeśli chodzi o zwalanie 99,9% win na użytkowników to uważam, że banki są bardziej winne - przynajmniej banki amerykańskie. Po ostatnim wycieku numerów kart kredytowych ze sklepów Home Depot okazało się, że niektóre banki pozwalają zdalnie ustalić PIN po podaniu trzech z pięciu zabezpieczeń: ostatnich czterech cyfr nr ubezpieczenia, daty urodzenia klienta, daty ważności karty, kod CVV/CV2 oraz zadeklarowany numer telefonu z którego się dzwoni. Zadzwonienie z innego numeru telefonu i brak znajomości kodu CVV/CV2 nie jest więc przeszkodą, jeśli zdobyliśmy inne dane. Ja tam we wszystkich swoich bankach mam kanał telefoniczny zablokowany - na wszelki wypadek :-)

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 09:52:36:

    Zasadę zapamiętywania częstozmiennych haseł można zmodyfikować, stosując np. trójmodułowe hasła - mapy 3 moduły: "kotek", płotek" i "mamrotek" i z tych kawałków zlepiamy hasło, łącząc je np. zerami. Jeśli nie pamiętamy co było na początku aktualnie, to mamy tylko trzy próby, których bank nie odrzuci :) Takie hasło można nawet zapisać bezpiecznie, żonie przez tel. przekazać, itp - w formie "3-1-2"
    Do odtworzenia takiego hasła potrzebne są TRZY elementy: wiedza, zasada i treść. Dowolne dwie z nich można bezpiecznie przekazać.

    Tworzenie haseł i przypominajek na podstawie dokumentów jest złym pomysłem - dane z nich są praktycznie publicznie dostępne, nawet dla pani w Żabce, gdy sprawdza czy można nielatowi sprzedać flaszkę. Ale już datę urodzin żony trudniej zdobyć.Hyba że ktoś częściej zmienia żony niż hasła do bankowości elektronicznej :P

  • matt-2008 napisał(a) komentarz datowany na 2014/09/11 09:56:25:

    Panie Maćku,
    niestety ten felieton wygląda bardziej na populistyczny niż na konkretną analizę ryzyk.

    Bankowość mobilna - przez aplikację jest bezpieczna, bo aplikacja ma swoje zabezpieczenia przed ingerencją ze strony wirusów

    Hasło maskowane - tylko wydłuża czas w jakim zlodzieje poznają hasło, a w praktyce utrudnia, bo wiele osób zapisuje je na kartce

    Niezmienne hasło - zmiany hasła sprawiają, że się po prostu w pewnym momencie ich zapomina; oczywiście ma sens proponowanie zmiany, ale nie jej wymuszanie

    Brak autoryzacji przelewów wewnętrznych - a po co miałyby być autoryzowane? Kradzież sprowadza się do wyprowadzenia środków poza nasze konta, a to jest autoryzowane. Jeśli wirus lub coś innego przechwytuje hasło pozwalające wysłać pieniądze w świat, to tak samo przechwyci hasła do przelewów wewnętrznych - a więc żadna korzyść, tylko utrudnienie.

    Hasła SMS - zaczęły być ryzykowne dopiero gdy pojawiły się wirusy ba telefony z Androidem, a po co token nowej generacji, jak zamiast niego tańszy i wygodniejszy byłby soft token na telefon? Taka aplikacja nawet jak mamy wirusa nie pozwoli zaingerować mu w siebie i będzie działać prawidłowo. Przykładem niech będzie token Eurobanku.

    Brak monitoringu - tak, tu każdy bank ma swój zwyczaj.

    Ale dlaczego nie wspomniał Pan o zabezpieczeniach jakie stosuje choćby Google? Dają możliwość zabezpieczenia każdego logowania nie tylko hasłem, ale też kodem z soft tokena, wysłanym w SMS lub przekazywanym głosowo na nr telefonu. W przypadku nietypowych logowań (np. inne IP niż zazwyczaj) wykonanie czegokolwiek wymaga przejścia "ścieżki zdrowia" polegającej na kilkustopniowej weryfikacji.

    Pominął Pan też kwestię limitów dziennych (wspominając o nich tylko przy bankowości mobilnej) - co jest kluczowe dla wyprowadzania pieniędzy z naszych kont. Banki mogłyby stosować dwa limity - pierwszy, powyżej którego każdy przelew wymaga dodatkowej autoryzacji i drugi, powyżej którego już w ogóle nie da się zrobić przelewu.

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 10:01:47:

    Jakiś czas temu musiałem zrobić wpłatę gotówkową na tyle dużą, że panienka z okienka musiała z obowiązku ustawowego zapytać o pochodzenie środków, bo coś musiała w rubryczkę wpisać. Już chciałem palnąć, by wpisała "haracz" :D Po konsultacji z headquatersami (czy można nie podawać nazwisk/firm np.) wpisała "darowizna". Uśmiałem się, że tak działają ustawowe zabezpieczenia antyfraudowe w bankach :D

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 10:17:58:

    Inną zabawą są tzw. mikro-fraudy. Dostajemy SMS informujący, że firmie np. Polkomtel jesteśmy winni 12zł i 69gr, jest podane konto, data i tytuł należności (w cyferkach sugerujących nr faktury).

    Oszust zakłada, że ma 50% szans, że posiadamy jakąkolwiek umowę z Polkomtelem - satelitę, telefon, itp. (tu jest ukryte niebezpieczeństwo konsolidacji usług nabywanych w jednej firmie) Zakłada też, że o głupie 12 zł nie będziemy wisieć na infolinii danej firmy jak nietoperz nad ranem. Przelew przelewamy i spokój. I na policję też nie pójdziemy, bo mała szkodliwość społeczna czynu jest, psze pana! Niech się dwudziestu Misiów dziennie da nabrać, można leżeć na Majorce, byle nie zapomnieć zapłacić za bramkę SMS-ową :D

  • blad201 napisał(a) komentarz datowany na 2014/09/11 10:40:13:

    @matt-2008 - nie zgodzę się z zarzutami wobec artykułu.
    "Brak autoryzacji przelewów wewnętrznych - a po co miałyby być autoryzowane?" - po to, żeby po przechwyceniu np. na podstawionej stronie jednego kodu jednorazowego użyć go raz a dobrze, czyli wcześniej gromadząc oszczędności z lokat na koncie głównym.
    "tańszy i wygodniejszy byłby soft token na telefon" - jak się nie zgubi telefonu. Ja tam wolę porządny token, najlepiej zabezpieczony hasłem.

  • errdos113 napisał(a) komentarz datowany na 2014/09/11 11:26:11:

    Zgadzam się z tym, co wyżej pisze matt-2008.

    Hasła maskowane to iluzja bezpieczeństwa połączona z upierdliwością. Problem został już ładnie zanalizowany 7 lat temu: wampir.mroczna-zaloga.org/archives/235-o-haslach-maskowanych.html

  • ixwe napisał(a) komentarz datowany na 2014/09/11 11:47:22:

    Witam!
    Chciałbym dodać od siebie że dodatkowym zabezpieczeniem które może być przydatne jest wyświetlanie oddziału banku do którego robimy przelew, stosuje to np. Inteligo.

    Druga sprawa, była już omawiana to tylko chciałbym coś dodać:
    użytkownicy korzystający z Internetu Orange (dawna Neostrada TP) lub podobnych, wykorzystujący do połączenia zewnętrzny modem/router niech sprawdzą ten link:
    cert.orange.pl/modemscan/ dla swojego bezpieczeństwa.

    Trzecia sprawa: Program antywirusowy - tak ale płatny

    Na temat monitoringu banku mogę powiedzieć że gdy płaciłem w innym mieście swoją kartą za pomocą Pay Passa i była odmowa (brak środków) to bardzo miła Pani z PeKaO zadzwoniła do mnie by zapytać czy to aby na pewno ja nią płaciłem.

    Pliki z PENDRIVE - zły pomysł - klienci trzymali by kopie na komputerze; pendrive gdyby nie był do odczytu mógłby przenosić wirusy; pliki mogą się uszkodzić..

  • majamariaz napisał(a) komentarz datowany na 2014/09/11 11:47:40:

    Moje zabezpieczenia:
    1. token - nawet starego typu. Dlatego nie zmieniam banku, choć za konto płacę, ale jakoś z tokenem czuję się pewniej. W drugim banku niestety SMSy, ale to tego służy stary telefon z symbianem i nie używanie aplikacji mobilnej bankowości.
    2. hasło maskowane, bardzo dziwne, z literami i cyframi, nigdy nie wpisywane z klawiatury, ale za pomocą klawiatury wirtualnej
    3. bardzo bardzo rzadkie przeklejanie numeru konta, a w takim przypadku dokładne, kilkakrotne sprawdzanie tego numeru w momencie akceptacji przelewu
    3. oprócz programu antywirusowego częste sprawdzanie lapka za pomocą specjalistycznych programów poszukujących takich wirusów.
    Zapewne nie zabezpiecza to moich pieniędzy w 100%, ale tyle mogę zrobić, więc robię.

  • matt-2008 napisał(a) komentarz datowany na 2014/09/11 12:04:31:

    @majamariaz

    token - on nie wyświetla tego co faktycznie nim potwierdzasz, a to wcale nie musi być to co widzisz na ekranie

    sms - w nim widzisz co potwierdzasz (fragment numeru konta, kwotę), w 100% bezpieczne o ile nie masz wirusa na swoim telefonie (Android)

    nieużywanie aplikacji mobilnej bankowości - a czego się w niej boisz? Wbrew pozorom ona jest bezpieczniejsza, bo nawet jeśli masz wirusa w telefonie, to nie sfałszuje on tego co wykonujesz w aplikacji bankowej, w wielu bankach są do nich dodatkowe hasła i limity. Wszystkie opisywane przypadki kradzieży dotyczą kradzieży przez bankowość internetową (desktop), a nie mobilną.

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 12:08:02:

    Jest jeszcze jeden kanał którym można się dostać pomiędzy bank oraz klienta, tym razem technologiczny, tzw. jaskółka. Sprzęt jest na tyle drogi, że nie opłaca się go stosować po to, by przelać na słupa kilka tysięcy, ale gdy aplikacje mobilne i potwierdzenia SMS przelewów się upowszechnią, będzie to opłacalne poprzez efekt skali.
    Fizycznie wygląda to tak, że wchodzimy w kombinezonach np. Orange na strop techniczny Złotych Tarasów i montujemy własną stację komórkową, tzw. BTS. Jako stacja najbliższa setce telefonów, przechwytuje ona połączenia - w tym SMS-y autoryzujące przelewy. Zaletą jest to, że nie trzeba infekować smartfonów, zdobywać nr. tel, tokenów.. Wszystko się samo wyświetla gotowe do pracy :) Oczywiście opis jest spłycony, szczegóły na niebezpiecznik.pl

  • bet.ty9 napisał(a) komentarz datowany na 2014/09/11 12:15:05:

    Panie Macieju, zniknęły mi pieniądze z konta w mBanku, ponieważ ktoś dokonywał operacji na mojej karcie debetowej, zorientowałam się z początkiem sierpnia, więc sprawa jest jeszcze w toku, dodam tylko że posiadam wykupione specjalne ubezpieczenie do karty debetowej "pakiet bezpieczna karta", które wg reklamy banku "chroni Twoje pieniądze i gwarantuje wypłatę świadczenia w przypadku nieuprawnionego użycia karty płatniczej". Zobaczymy czy bank mi zwróci moje środki, reklamacja jest jeszcze w toku, ale jest to dla mnie kolejny argument przemawiający za tym, by czym prędzej zamknąć ten rachunek, zwłaszcza że ostatnio było kilka poważnych awarii w banku oraz spraw z kradzieżą środków poprzez przelewy zdefiniowane. Ciekawa jestem czy są też inni klienci, którym również poprzez operacje na karcie debetowej zniknęły pieniądze?

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 12:20:53:

    @matt-2008: to że TY nie znasz przypadków kradzieży w bankowości mobilnej, to nie znaczy że one nie istnieją. Nie istnieją z powodów czysto wizerunkowych :) PR-owskich :) Który z banków się przyznaje publicznie, że ich aplikacja mobilna, taka hyper-super-Alior jest dziurawa? :) A kanałów do nadużyć w bankowości mobilnej jest o wiele więcej niż w desktopowej (poczynając od trywialnego przejęcia sesji WiFi/"dane komórkowe" - to jest inny kanał transmisyjny niż phone/SMS!:)

    Dla czego uważasz, że wirus/rootkit/backdoor w aplikacji mobilnej jest mniej aktywny niż w takiej samej aplikacji banku na desktopie? :P To BANK stosuje zabezpieczenia po swojej stronie (jak np. szyfrowanie sesji 512-tką), niezależnie od interface obsługi (tablet/desktop), a nie sama aplikacja. Myślisz że apka na snartfonie jest jakaś inteligentniejsza i wyposażona w cudowne algorytmy odczytywania Twoich intencji przy wykonywaniu przelewu małżonce/hakerowi? :D

  • matt-2008 napisał(a) komentarz datowany na 2014/09/11 12:25:29:

    @blad201

    A w czym token w ręku jest lepszy od software"owego na telefonie? Nie dość, że też go możesz zgubić, to pokazuje tylko hasło, a nie pokazuje najważniejszej informacji - co tym hasłem potwierdzasz. Bo niekoniecznie to co widzisz na ekranie konputera jest tym co faktycznie potwierdzasz. Token jako aplikacja na telefonie pokaże dane przelewu, a wirus w nie nie ma jak zaingerować. Doskonale to działa w Eurobanku.

    A co do wpłaty gotówki - to nie żadne zabezpieczenie antyfraudowe, tylko obowiązek ustawowy związany z kontrolą prania pieniędzy i finansowania terroryzmu. Nie wiem jak to działa, ale jeśli to co odpowiedziałeś gdzieś się nie spodoba, to mogą przejrzeć wszystkie twoje konta we wszystkich bankach.

  • matt-2008 napisał(a) komentarz datowany na 2014/09/11 12:36:15:

    @nerkofil
    Jeśli uważasz, że tylko z powodów wizerunkowych słyszymy ciągle o okradaniu kont przez bankowość internetową, a nie mobilną, to chyba żartujesz. Podaj choć jeden przykład. Gdyby taki był, napewno tutaj czy w innych mediach by się to pojawiło.

    Niby jak chcesz przechwycić sesję bankowości mobilnej? W większości banków w tym w Aliorze konkretna instancja aplikacji jest parowana z danym klientem, więc nawet routując połączenie sieciowe nie zrobisz tego tak by podsłuchać to co idzie zaszyfrowaną komunikacją.

    Niby jaka "taka sama aplikacja banku na desktopie"??? Wirus na desktopie nie ingeruje w aplikację jaką jest strona web, tylko w przeglądarkę lub system i ich luki wykorzystuje. Taki wirus aby zadziałac musiałby być stworzony pod konkretną mobilną aplikację bankową i wykorzystać jej luki - o co trudno skoro te aplikacje przechodzą audyty.

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 12:38:19:

    A ja nadal i tak uważam, że najłatwiejszym kanałem do kradzieży jest tzw. czynnik ludzki. Ilu z Was bezkrytycznie przesyła e-mailem fotkę dowodu osobistego? Niektórzy zamieszczają je nawet na FB :PP
    A ilu z Was podawało wszystkie swoje dane identyfikacyjne, łącznie z imieniem panieńskim matki, gdy dzwoniła "jakaś pani z Banku" i chciała nas weryfikować w celu przedstawienia oferty?
    To taki nowoczesny phishing! Nowoczesny? Niee, stosował go juz 20 lat temu Kevin Mittnick :P
    Ja w takich sytuacjach odpowiadam Panience: a ja się nazywam Osama ibn Laden i proszę o podanie nazwiska mojej matki :) To pozwoli mi zweryfikować że dzwoni Pani z mojego banku! :P

  • blad201 napisał(a) komentarz datowany na 2014/09/11 12:42:49:

    @matt-2008 token nierówny tokenowi. BGŻ maił kiedyś token działający na zasadzie challenge-response, czyli najpierw wczytywał sam z ekranu skrót liczbowy z transakcji (lub się mu go wklepywało) po czym używał go do tworzenia kodu odpowiedzi.
    Nie wiem dlaczego porządne tokeny znikły i zastępują je tokeny same wyświetlające kod, albo dlaczego transakcje bankowe nie mogą być szyfrowane i podpisywane kluczem asymetrycznym, tak jak to już dawno temu wprowadził PPA-Bank (potem Fortis) w systemie planet. Jakoś dobre wypierane jest przez wygodne.

  • lkuziem napisał(a) komentarz datowany na 2014/09/11 12:52:06:

    ja ino powiem, że kumpel w GB dostał jako dodatek do konta antywirusa. Jeżeli ma go zainstalowanego, za wszelakie fraudy odpowiada bank. I tyle. Można? Można, ale nie u nas. U nas klient to małpa i debil i należy go zawsze wydymać.

    Znam przypadki, że przegięcia były w drugą stronę (ktoś zgłaszał własne zakupy jako fraud) i generalnie nie było praktycznie problemów z odzyskaniem pieniędzy.

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 12:53:40:

    @matt-2008: jasne że aplikacje mobilne przechodzą audyty. A juz najdokładniejsze te, które muszą się pojawić w sklepie Play wcześniej niż konkurencji :) Jestem malutki, ale nie znam żadnej aplikacji mobilnej, która miała by wbudowaną heurastyczną metodę wykrywania zagrożeń. A już zwłaszcza na poziomie sesji internetowej, która jest WSPÓLNA dla obu urządzeń. Aplikacja może być sama w sobie bezpieczna, niebezpieczeństwo największe jest na poziomie styku technologii, sam napisałeś, że można wykorzystać lukę systemu, a nie aplikacji!

    Urządzenie jest parowane? może nie po IP, ale pewnie po MAC-u :) Po IMEI? Po ID karty simm? Są nawet darmowe aplikacje do zmiany IMEI lub MAC :)

    Ze złamaniem klucza istniejącej szyfrowanej sesji w sensownym czasie moze byc problem, fakt, ale na poziomie jej zestawiania? :)

  • samozlo0 napisał(a) komentarz datowany na 2014/09/11 13:13:51:

    @nerkofil Twoja sugestia o zakladaniu hasel 2 czlonowych skladajacych sie z np. numeru miesiaca jest tak powszechnie znana, ze pierwsze co bym sprawdzal to wlasnie taka kombinacje.
    Co do aplikacji mobilnych Twoja argumentacja ze "afery" sa zatajane ze wzgledow wizerunkowych jest tez nietrafna. Nawet jezeli tak jest, oznacza, ze bank dogaduje sie z klientem i zwraca mu ukradziona kwote aby ten sie nie awanturowal.
    Jezeli to prawda, to moga mnie tak okradac codzinnie - zadne ryzyko, skoro odzyskuje pieniadze. ;)
    Ale raczej watpie w taki scenariusz.

    Podstawowym problemem wlaman, jak zawsze jest czynnik ludzki.
    Pozostale przypadki sa bardzo rzadkie i czesto ukierunkowane na konkretne, dlugo obserwowane osoby lub stanowia zagrozenie tylko teoretyczne.

    Wyeliminujcie Panstwo czynnik ludzki a Pan Samcik nie bedzie mial o czym pisac :)

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 13:57:29:

    @samozlo0: Przykład z parametrem zmiennym podałem właśnie dla tego, że jest znany :) Można go zrobić choćby z pierwszych żeńskich imienin w danym miesiącu (albo w miesiące parzyste męskich, iloczynu dni w miesiącu i numeru miesiąca), z czegokolwiek prosto sprawdzalnego i mało przewidywalnego.

    NIe napisałem że fraudy mobilne są zatajane. Napisałem że to, że o nich nie słyszymy, nie oznacza że się nie zdażają, bo zabezpieczenia są absolutnie bezpieczne. Statystycznie rzecz biorąc, powinny się zdażać w liczbie proporcjonalnej. Albo i większej, bo potencjalnych źródeł ataku jest więcej (więcej miejsc styku różnych technologii). Mogą też mieć niższą zgłaszalność, gdyż bankowi łatwiej udowodnić, że zostawiłeś telefon na biurku idąc do ubikacji niż że wygaszacz ekranu z hasłem na laptopie nie zadziałał. Łatwiej udowodnić czynnik ludzki - ilu z Was ma wygaszanie smartfona z hasłem które trzeba WPISAĆ, a nie machnąć gest?

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 14:06:00:

    @blad201: już dziś pisałem o systemie autoryzacji przelewu dwoma podpisami elektronicznymi zamiast haseł SMS - ale to rozwiązanie na tyle drogie (~150zł rocznie od karty), że ING oferuje je dla govermentu, a nie dla indywidualnych ROR-ów... Niemniej, jest skuteczne - można nawet ustawić, że drugi podpis musi być z innego IP (np. druga księgowa podpisuje z domu) - zapobiega to skutecznemu przejęciu sesji na poziomie intranetu.

  • sylwia647 napisał(a) komentarz datowany na 2014/09/11 14:06:18:

    Kradzież z konta następuje po wyłudzeniu hasła, loginu. Ok - rozumiem, ale hasło sms, które klient otrzymuje do dokonania transakcji przychodzi w momencie wykonywania takowej transakcji - oczywiste. Ale w moim przypadku ja nie wykonywałam transakcji w tym dniu, kiedy " ktoś" się zdefiniował na moim koncie a po trzech dniach wyczyścił konto!
    Dlaczego bank takich spraw nie monitoruje i nie zadzwoni do klienta? A pozwala wykonywać przelewy typu SORBNET co dwie minuty na jedno i to samo konto!

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 14:17:33:

    @sylwia647: Jeśli nie otrzymałaś SMS potwierdzającego przelew, to oznacza że jeden ze zdefiniowanych u Ciebie nr rachunku nie wymagających potwierdzenia został zmodyfikowany przez coś lub kogoś.. I pooszło. To jeden z najpopularniejszych sposobów :)

    Banki które cenią swych klientów (duży osad, saldo, transakcje kartą, płatne konto) dzwonią w takich sprawach..

  • patrykbil napisał(a) komentarz datowany na 2014/09/11 14:44:30:

    Posiadanie jednych i tych samych haseł do wszystkich swoich kont to głupota, zwłaszcza że teraz jeszcze znowu wyciekły hasła z Google...
    Ja mam na wszystko co mogę ustawiony sms - dostaję go na przedpotopową komórkę, z której nie można połączyć się z netem :) i minimalną kwotę przelewu dziennie.

  • blad201 napisał(a) komentarz datowany na 2014/09/11 14:55:27:

    @nerkofil i Sylwia647 - jeśli hasło przychodzi na komórkę to niekoniecznie rachunek został zmieniony (że nie ma potrzeby takiego hasła) - na komórce (smartfonie) może być malware, który przejął to jednorazowe hasło po cichu i wysłał do wykorzystania szkodnikowi, który czyścił konto. Dlatego niektórzy podkreślają, że do tych haseł z banku najlepsza jest stara komórka, na której nic się nie da zainstalować

  • obiektywny133 napisał(a) komentarz datowany na 2014/09/11 15:44:23:

    Lokata Happy 5% z premią 50 zł

    zarabianienalokatach.blogspot.com/2014/09/lokata-happy-w-idea-banku-na-2405.html

  • 4inwestor napisał(a) komentarz datowany na 2014/09/11 16:44:24:

    @sylwia647 i tak bez żadnego sms'a ulotniły się pieniądze? Czy wstałaś zaspana i zdefiniowałaś informację o np. TOiP (wałek)?

  • mat089 napisał(a) komentarz datowany na 2014/09/11 16:52:19:

    Jest sposób na zabezpieczenie majątku tak, by żaden konflikt zbrojny, rząd ani złodzieje nie spędzali nam snu z powiek. Skrytka w Das Safe. Więcej info tutaj: independenttrader.pl/261,das_safe_czyli_jak_przechowac_metale_poza_systemem_bankowym.html

  • nerkofil napisał(a) komentarz datowany na 2014/09/11 17:41:30:

    @mat201: a więc bank zmusił nas do powrotu do sprzętowych tokenow za nasze własne pieniądze ;-)
    O, widzę ze się pojawił kolejny spammer costam 123 ;-) znaczy, Samcik dodaje sporo w pageranku ;-)
    @matt089: a dlaczego złoto mam trzymać w sejfie, a nie zakopać pod debem Bartkiem w Rogalinie? ;-)

  • naraty napisał(a) komentarz datowany na 2014/09/11 22:02:56:

    Podobno niektóre banki mają ubezpieczenie od bezprawnego użycia karty. Ale to ubezpieczenie jest realizowane przez firmę zewnętrzną, czyli ubezpieczyciela, który wie jak najmniej zapłacić. Co ciekawe to nawet pracownicy banku nie wiedzą wiele o szczegółach takich ubezpieczeń.
    @bet.ty9: Powodzenia.

  • kardupel_nadenty napisał(a) komentarz datowany na 2014/09/12 00:50:28:


    Otóz największym wrogiem smartfonów wcale nie są aplikacje crackowane jak to oceniają tzw. specjalisci od zabezpieczeń. Smiem twierdzic, że największym wrogiem poufnosci moich danych jest sklep Google Play, bo to tam własnie hakerzy przemycają aplikacje , które pod pozorem obrony mojego smartfona instalują keyloggery, sniffują ruch tam i tu, monitorują aplikacje bankowe. A prosze mi pokazac takiego szarego zjadacza chleba, który ma stracha przed instalowaniem czegokolwiek z GooglePlay ? Przeciez przecietniak nie ma bladego pojecia o mozliwosciach sprzetu, oprogramowania i social engineering-u złodziei naszej kasy. Przecietniak słyszał, ze instalowanie aplikacji z niepewnych źródeł (czytaj innych niz GooglePlay) jest nieetyczne, niepewne i w ogole BE, a że został pouczony, jak i gdzie taką mozliwosc zablokowac to to zrobił. Ale sklepowi GooglePlay ufa jak swojej matce ... i ceberprzestępcy to wiedzą :-)

    W dzisiejszych czasach najlepiej zabezpieczonym smartfonem będzie zrootowany smartfon, gdzie podczas instalacji dowolnej aplikacji to JA decyduję, jakie uprawnienia dam nowej aplikacji. A nie programista, który konstruował aplikację. Bo przykładowo, po co aplikacji T-Mobile Usługi Bankowe uprawnienie zaglądania w moje kontakty w smarftonie ??? Bez tej wiedzy, moje pieniadze stracą moc nabywczą czy jak? ;-) Albo po co Sync Tokenowi wiedza czy korzystam własnie z Wifi czy dane płyną po GSM ?

    Zrootowany smartfon nie potrzebuje antywirusa ani szyfrowania transferu. Ale tego przecietniacy nie wiedzą, a głowny promotor Androida czyli Google bardzo niechetnie się do tego przyznaje, bo mogłoby sie okazac, że jego usługi za parawanem zamydlania oczu są G warte i niekomu niepotrzebne :-)

  • kardupel_nadenty napisał(a) komentarz datowany na 2014/09/12 00:56:53:

    @patrykbil
    Otrzymujac wrażliwy SMS na przepotopową komórkę wcale nie stajesz bardziej bezpieczny. SMS można przechwycic nawet wtedy gdy bank ci go wyśle na trzepaczkę do jajek albo toster pod warunkiem, że w srodku siedzi aktywna karta SIM. A ta twoja komórka ma w środku aktywną kartę SIM, nieprawdaż? ;-)

  • magwol2 napisał(a) komentarz datowany na 2014/09/12 08:58:15:

    Co do przyklejania numerów kont - znowu kłania się element ludzki.
    Przyklejam numery kont nagminnie. Ale zawsze, ZAWSZE sprawdzam co najmniej dwie pierwsze i cztery ostatnie cyfry.
    Któryś bank ma sprytny system zabezpieczający - przyklejony numer trzeba ręcznie uzupełnić o cztery ostatnie cyfry.
    Natomiast wiele banków ostrzega "skopiowałeś numer konta, sprawdź czy poprawny" czy coś podobnego.
    Jak ktoś ignoruje taki wyskakujący na czerwono komunikat, to już wszystko, co go potem spotka to kara z głupotę.

    Mój mąż jest administratorem sieci, i od 20 lat powtarza, ze najsłabszym elementem jest zawsze użytkownik. Odpowiedni bezmyślny użytkownik potrafi zrobić coś takiego, czego największy spec od zabezpieczeń nie przewidzi. Nie da się całkowicie uniemożliwić ludziom zrobienia sobie krzywdy.
    Niektórzy są niesamowicie zdeterminowani.

  • nerkofil napisał(a) komentarz datowany na 2014/09/12 14:19:17:

    @kardupel_nadenty: masz całkowitą rację. SIMM to SIMM i mając nieco droższą technologię można takiego SMS przejąć bez rootkitów. Pytanie - kiedy się to zacznie opłacać? Gdy Misiowie się zorientują, że warto używać nokii 3310 ? :P
    Google Play? Oczywiście - tu mamy czynnik ludzki. chcesz - instalujesz. Google podobno czuwa, - ale może nie czuwa, gdy mu się to opłaca? Lubisz pograć w AngryBirds - super, masz rotkita. Chcesz antywirusa, który nie robi NICZEGO, prócz wyświetlania reklam - zapraszamy.
    Fakt, instalując aplikację z GP dostajemy listę accesów - możemy ją zaakceptować lub nie, wtedy dziękujemy, nie zainstalujemy. Chociaż nie spotkałem roota, który by pozwalał ustalać prawa dostępu aplikacji do zasobów - ale mam nadzieję, ze ktoś nad tym pracuje :)

  • kardupel_nadenty napisał(a) komentarz datowany na 2014/09/12 15:45:10:

    @nerkofil
    Permission Manager na SuperSU. Najpierw instalujesz apkę, a potem PM podsuwa listę uprawnień, odnaczasz co trzeba, program odinstalowuje apkę i zainstalowywuje spowrotem, ale juz obcietymi uprawnieniami. Oczywiscie bez roota nie da rady (opcjonalnie SuperSU).

  • maciek.samcik napisał(a) komentarz datowany na 2014/09/12 23:21:02:

    Bardzo dziękuję za komentarze! Odniosę się do nich w weekend,
    pozdrawiam!

  • sindba13 napisał(a) komentarz datowany na 2014/09/23 02:57:03:

    Widze że pan powoli spuszcza z tonu. Jeszcze niedawno pisał pan że jesteśmy nieudolni jesli chodzi o korzystanie z internetowych mozliwości logowania się z banku. Powoli zbliża sie pan do prawdy ale zajmie to panu jeszcze chyba wiele miesięcy. Wypowiada się pan jak ekspert a pojęcie ma male lub redaktor naczelny każd panu myslic oczy czytelnikom. Pokazał pan na filmie oczywiście strone logowania do Mbanku który jest Hakowany przez Roskan na terenie Ukrainy. Ci hakerzy dokładnie rozpracowali serwer Mbanku ( to wiemy już po zakończonych sledztwach) Pieniędze - osoby Slupy wysyłały na teren ukrainy na konta Rosjan. Polska nic nie zrobi w tej sprawye bo oba kraje nie współpracuja ze soba. Na tym korzysta Mbank i uchyla się od odpowiedzialności poslugując się opiniami takich fachowców jak pan..... Tym samym ludzie rezygnuja z reklamacji i dochodzenia w sądzie. Tyle że nie wszyscy. Nasza grupa ma juz pierwze procesy wygrane z Mbankiem. Jak pan Mysli czemu procesy wygrywamy w jednej sprawie????? Panie ekspercie. Jak serwer jest dziurawy to może pan sobie zmieniac hasła codziennie, może pan rowniez używać zdrapek tokenów i telefonu zmarłej babci do uwierzytelnienia. Nic panu nie pomoże. W naszej grupie są informatycy, naukowcy, lekarze i biznasmani. Nie ma tu idiotów. Jak haker wchodzi w system banku to ma wszystkie dane o panu, ma liste kodów z państich zdrapek - bo przecież system musi uwierzytelnic czy wpisany kod ze zdrapki jest prawidłowy. Tak więc niech pan nie teoretyzuje tylko przeprowadzi dokładne sledztwo dziennikarskie. Zapraszam do dowolnej placówki Mbanku. Niech pan sie spyta czy słyszeli o atakach hakerskich...... Powiedzą paniu że w innych bankach tak ale w Mbanku niegdy!!! Potem może się pan skontaktowac ze mną - powiem panu do ilu ludzi dotarłem , którzy stracili pieniadze w tym śmiesznym banku. NA razie jest pan stałym elementem gry Mbanku z ludźmi. Zamydla pan rzeczywistość. Ujawnil pan jedynie czubek góry lodowej. Nie chce mi sie wierzyc że tak panu wolno to wszystko idzie. To co my wiedzieliśmy na trzeci dzień po kradzierzy - pan pisze po pół roku. Wiem , że pan nie opublikuje tej wypowiedzi ale mam nadzieje że sia pan z nia zapozna. Dodam tylko że żaden z banków( ani Nordea, ani PKOBP ani PKO SA ani MILENIUM ani BGŻ ( bo wszystkie mialy próby hakowania kont ) nie daly sobioe pokonac systemy zabezpieczeń. Tylko Mbank został i jest nadal hakowany!!!! Ludzie tracą gotówkę mimo, że sie nie logowali na kontach. Bank olewa okradzionych bo prawo w Polsce slabo działa - o czym wiedza panowie wlasciciele z Niemiec. Dopier Ci, którzy nie wymiekają i stac ich na pójście do sądu mają mozliwość odzyskania pieniedzy. Tyle, ze obecnie sądy nie dają mozliwości ubiegania się Mbanku o ugodę. Wyroki zapadają od razu i mozemy na ten temat rozmawiac na forach. Informować innych żeby zabierali stamtąd pieniądze. Ja juz uprzedzilem pnad 500soób - podobnie jak każdy z nas. Jednak ta informacja rozchodzi się jak algorytm zwielokratniający skuteczność. Bank traci na swojej nieuczciwości kilkanascie razy więcej niz gdyby oddał pieniądze poszkodowanym. Moze pan to przekazac zwierzchnikom i pracodawcom. Ja olewam sumke kilkudziesięciu tysięcy ktore haker ukradł z banku. Odzyskuje je dla czystej zabawy i checi powalenia "nieuczciwemu bankowi". Patrze na tych frajerów którzy dopiero za 2 lata zobacza skutki naszych akcji. Do dyspozycji mamy dokumenty naszych spraw i wygrane procesy. Współczuje panu , że pan jeszcze musi tkwic po tamtej stronie barykady...cóż. życze panu, żeby sie pan uniezależnil i zaczął pisać na temat - czyba, że uczciwymi artykułami nie potrafi pan zarobic na zycie. W tym wypadku współczuję...... T.P. moje dane w adresie email -sa prawdziwe.

  • wirtum napisał(a) komentarz datowany na 2015/06/09 12:22:45:

    Sindba13, czy można się z Panem jakoś skontaktować? Okradziony przez mBank

  • jakubs.student napisał(a) komentarz datowany na 2015/06/19 23:31:28:

    Witajcie
    1.Osoby okradzione przez mBank :
    - kradzież konta internetowego
    - telefon na mlinie
    - kredyt
    - przelew na inne konto

    Proszę o maila na jakubs.student@gmail.com

  • jakubs.student napisał(a) komentarz datowany na 2015/06/19 23:33:26:

    Panowie,/ Panie : wirtum oraz Sindba13, proszę o kontakt : również zostałem okradziony

  • niczemu123 napisał(a) komentarz datowany na 2015/06/27 22:35:38:

    Witam
    Przechwycono moje dane dostępowe do Play24.pl oraz do mBanku. Za pomocą Play24 włączono usługę Teleplay, która pozwala na odbieranie, wykonywanie połączeń, wysyłanie i co najważniejsze odbieranie smsow z hasłami, które autoryzuja przelew za pomocą komputera, oczywiście aplikacja została ściągnięta na komputer oszusta.Usługa włączona przez oszusta o godz. 22, wyłączona przeze mnie po zapoznaniu się z smsem o aktywnej usłudze o 23:30. Oszust zdążył złożyć wniosek na 43 tys. zł. Konto nie posiadało środków, ale gdyby posiadało, wyczyscilby wszystko w ciągu kilku minut. Posiadałam aplikacje play24 i mBanku na telefonie.

  • przemek3210 napisał(a) komentarz datowany na 2015/07/19 08:47:23:

    Witam właśnie wczoraj skradziono sporą kwotę pieniędzy z mojego konta w Mbanku poprzez usługę tele.play i nie posiadałem aplikacji play24 na telefonie, czy mógłbyś do Mnie napisać jak wyszedłeś z tej sytuacji : niczemu123?
    Prosiłbym o pomoc osoby, które miały podobną sytuację: friday20@interia.pl

  • jaronsz napisał(a) komentarz datowany na 2015/08/04 11:10:31:

    Witam,
    tak jak u poprzedników wykradziono mi środki z konta i zaciągnięto kredyt na 20 tys zł, również poprzez uruchomienie aplikacji teleplay.
    Od razu po otrzymanych sms'ach telefonowałem na mlinię i na policję.
    Jednocześnie dodam że sprawa jest na prokuraturze, kontaktowała się ze mną osoba z play po złożeniu reklamacji przeze mnie gdyż to nie ja uruchomiałem ta usługę i żądam odpowiedzi kto w moim imieniu ją uruchomił, odpowiedz dostałem taką :

    "Szanowny Panie,
    dziękuję za zgłoszenie dotyczące usługi TelePlay, która otrzymałam 18 lipca 2015 roku telefonicznie.
    W nawiązaniu do rozmowy przeprowadzonej 28 lipca 2015 roku informuję, że na Pana koncie abonenckim na numerze ....nie zarejestrowano próby uruchomienia usługi TelePlay, brak wysłanego SMS na nr 18353; nie została również naliczona opłata abonamentowa za wskazaną usługę".

    Jeśli ktoś również padł ofiara przestępstwa w ten sposób, to chyba pora się zebrać jak już jest kilka osób i złożyć pozew zbiorowy przeciwko również sieci Play, że uruchomia usługi bez naszej wiedzy i autoryzacji, dzięki której wykradane są środki finansowe z naszych kont.
    Jednocześnie paradoksem jest to ze chcąc rozmawiać z konsultantem czy to Play czy mBanku trzeba podać kod abonencki w przy przypadku Play a w przypadku mBanku Telekod, które to kody są gdzieś zapisane w umowie. A paradoks polega na tym że przy uruchomianiu jakichkolwiek usług nie potrzebny jest już żadne kod, tak samo jak zaciągniecie kredytu online przez konto w mbanku o 1;31 w nocy(dodam ze mBank pobiera od razu prowizję od takiego kredytu w wysokości ponad 2 tyś).
    W chwili gdy żona o godzinie 1:31 zgłaszała reklamację na mlinii (gdzie pani powiedziała ze ona może tylko przyjąć zgłoszenie i że przekaże sprawę do Działu Bezpieczeństwa Wewnętrznego, a ona sama nic nie może więcej zrobić !!!!!), w tym samym czasie przychodzi do mnie sms z banku o zatwierdzeniu wniosku kredytowego.

    Wygląda to tak że ty jako osoba okradana dzwonisz do banku i mówisz że ktoś się w danej chwili włamał, okrada mnie ze środków, robi przelewy na inne konta, zaciąga kredyt, że są dwie sesje otwarte na tym samym identyfikatorze i haśle (co już jest błędem systemu bankowego) a oni nie mogą nic z tym w danej chwili zrobić. Mogą tylko przyjąć reklamacje.
    To jest BANK ?????

    Dodam że na telefonie nie mam zainstalowanej aplikacji play24 ani mBanku, nigdy również nie logowałem się przez telefon komórkowy na konto w mBanku.

    Jeśli ktoś również został poszkodowany w ten sposób proszę o kontakt, może razem uda nam się coś z tym zrobić.

    jaro_skipper@wp.pl

  • jaronsz napisał(a) komentarz datowany na 2015/08/07 12:27:57:

    Witam,
    Panowie,/ Panie : wirtum oraz Sindba13, proszę o kontakt : również zostałem okradziony i nie wiem czy to nie skończy się procesem sądowym o dochodzenie swoich praw.
    Mój adres e-mail : jaro_skipper@wp.pl

  • niczemu123 napisał(a) komentarz datowany na 2015/08/21 12:10:26:

    mBank oraz Play nic nie zrobią, gdyż "to Ty w odpowiedni sposób nie zabezpieczyles swoich danych dostępowych, czyli loginu oraz hasła i dostały się w ręce osób trzecich", może być to brak programu antywirusowego, logowanie się w miejscach publicznych itd lub dla nich mogłeś zrobić to Ty sam. Jedynym rozwiązaniem jest zgłoszenie sprawy na policję z nadzieją, że ona znajdzie oszusta i udowodni, że to nie Ty dokonałeś tych wszystkich operacji, wtedy ew. można zaskarżyć Play i mbank o ich regulaminy, które nie zapewniają bezpieczeństwa, np. brak innych weryfikacji przy dokonywaniu przelewu na wysoką kwotę lub zaciąganie kredytu. Pierwszym moim krokiem po przeczytaniu setki komentarzy o włamaniach do mBanku było zamknięcie tam konta. Na szczęście mój wniosek złożony ok. godz. 22 o godz. 8 był jeszcze rozpatrywany i po odczytaniu maila odnośnie złożonego wniosku o kredyt telefon do mBanku, anulowanie wniosku, zablokowanie wszystkich dostepow i zgłoszenie sprawy na policję.

  • jaronsz napisał(a) komentarz datowany na 2015/08/27 15:05:01:

    Poszkodowanych i okradzionych w ten sam sposób jest więcej i to z różnych miejscowości na terenie Polski, wszystkich łączy jedno i to samo - numer telefonu w sieci Play i konto w mbanku. Sprawę prowadzi w tej chwili prokuratura. Dane były w należyty sposób chronione przez klientów.

  • jaronsz napisał(a) komentarz datowany na 2015/12/02 13:23:46:

    kradzież pieniędzy z kont w Mbanku:

    themomentsoflifee.blogspot.com/2015/10/kradziez-pieniedzy-mbank.html#comment-form

  • wirtum napisał(a) komentarz datowany na 2016/10/27 10:57:02:

    Sprawa z mBankiem o kradzież pieniędzy z konta wygrana w pierwszej instancji.

Dodaj komentarz

Wyszukiwarka

Kanał informacyjny

Maciej Samcik

Od 1997 r. dziennikarz ekonomiczny „Gazety Wyborczej”. Specjalizuje się w tematyce finansowej. Pisze o bankach, giełdzie, funduszach inwestycyjnych oraz finansach osobistych. Autor i współautor poradników o oszczędzaniu, rankingów i konkursów giełdowych.
Laureat prestiżowych nagród dziennikarskich, w tym nagrody „Grand Press”.
Pochodzi z Poznania. Z wykształcenia ekonomista, absolwent Uniwersytetu Ekonomicznego w Poznaniu.


użytkowników on-line