Użytkownik "J.F" <j...@p...onet.pl> napisał w wiadomości
news:o7p1vxwwwtog$.1mx1bo8elp7tu$.dlg@40tude.net...
> On Thu, 10 Mar 2022 00:36:30 +0100, Arek wrote:
>> Użytkownik "Kris" <k...@g...com> napisał w wiadomości
>> poniedziałek, 7 marca 2022 o 22:59:06 UTC+1 Arek napisał(a):
>>>> CA24 zmiana kwoty zlecenia stałego. Przychodzi SMS z kodem
>>>> ze starą kwotę zlecenia. Pozostałe informacje (dzień, nr kodu,
>>>> nr rach.) zgodne. W zleceniach kwota zmienia się poprawnie
>>>> na nową, tak też się się realizuje.
>>>> Dlaczego w SMS jest stara kwota?
>>>>
>>>Zlecnie stałe było na kwotę 100 zł zmieniasz na 120zl.
>>>Może tak: "zmiana kwoty zlenia stałego na kwotę 100zl z rachunku...."
>>
>> "Zmiana zlecenia stalego z (nr rach.) na (nr rach.). Kwota 100,00 PLN.
>> Haslo
>> nr 3 z dnia 2022-03-07 12345678. Credit Agricole."
>>
>> Kwota jest z przed zmiany.
>> "sprawa przekazana do jednostki która zweryfikuje sprawę." Czekam.
>>
>> Kwot w SMS-ach w ogóle mogłoby nie być bo to wrażliwa
>> informacja a SMSy nie są dobrze chronione.
>
> Tym niemniej sa one tu kluczowe.

Kluczowe jest unikanie przesyłania danych wrażliwych i wcale
nie niezbędnych. Zakładając, że zafałszuje tylko kwotę - głupi
kawał, ale żeby ukraść trzeba podmienić numer.
Miałem na myśli również wycieki historycznych SMS-ów, kwoty
o czymś mogą świadczyć... Operatorzy mieli jakiś problem
z ich kasowaniem - vide publikacje w aferze Rywina lub
publiczne żądanie prokuratora udostępnienia ich z okresu po
którym powinny być bezpowrotnie usunięte (żądał bo wcześniej
dostawał bez gadania, czyli nie kasowali...).
W Polsce w praktyce wyciekają różne wrażliwe dane - niedawno
który poseł i członek rządu szczepiony przeciw Coronie...

> Jak ci zalezy ... przejdz na autoryzacje przez apke.

jak se smartfona kupie...

> Ale to sms informacyjne, czy z haslem?

Wynika z jego treści.

> Bo jak sie ktos dobierze do sms z haslami, to i ukrasc moze.

Teroretycznie tak. Zasada minimalizacji ew. strat.
Uważam, że karty z kodami były lepsze, wyciec mogły z wiadomego
miejsca - z banku, i o ile nie stosowali hash-ów.

>> Zresztą oszust może
>> przesunąć przecinek i nie wszyscy zauważą. Ważniejsze są nr rachunków,
>> te trudniej podmienić na sensowne.
>
> No chyba, ze ci sie hacker dobierze do konta w jednym banku,
> a potem trzeba cie tylko sprowokowac do zasilenia.

Trzeba mieć czym. I sprowokować i zasilić...

> mowisz, ze mozna nie zauwazyc roznicy miedzy 100,00 a np 100.000
> ?

Jeżeli część nie zwraca uwagi na nr rachunków to i na kwotę
pobieżnie. Jak się podmieni jedno i drugie, przy czym kwotę
zamiast np. 554,27 na 5542,7 to robi różnicę.

> Kropka tysieczna ... ale banki jej chyba nie stosuja?

W Polsce nie powinny, norma jest, że przecinek, ew. spacja po
tysiącach. W czasach "papierowych" wydruki widywałem różne.
Kiedyś widziałem historię zassaną w .csv w której rachunki
beneficjentów były w zapisie "naukowym" (wbrew praktyce -
liczby też powinny być tekstowo) czyli w rodzaju 5,2149027e+25,
końcówka numeru przepadała. Excel może domyślnie przekręcić
przy wyświetlaniu (trzeba ręcznie format komórki wymusić)
ale edytor tekstowy pokazał, że to tak naprawdę.

Arek