Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
Alf/red/ <a...@u...waw.pl> writes:
>> Gdzieś dziś czytałem jak. Kolesie ukradli (nie wiem czy liczba
>> mnoga
>> jest zasadna) tożsamość kobity,
>No ale co dokładnie "ukradli"?

>> najpierw zablokowali dostęp przez
>> internet, a potem telefonicznie zmienili numer komórki z
>> powiadamianiem SMS. No i natychmiast przelali.

>No ale najpierw podobno zalogowali się przez Internet. To mógł być
>rzeczywiście np. key logger lub inna strona wyłudzająca hasła,
>i w związku z tym klientka przyczyniła się do całej sprawy. Z tym, że
>to bank wybrał takie a nie inne możliwości identyfikacji klienta
>(najtańsze dla niego), typowy klient nie jest w stanie żadnym
>sposobem
>zapewnić bezpieczeństwa tym informacjom (login + pojedyncze hasło).

Jak widac - nie tylko na tym bank polega.

>Później poszło już z górki? Przestępcy potrzebowali już tylko danych,
>które można względnie łatwo zdobyć (np. nazwisko panieńskie matki).
>Dostęp telefoniczny ustawili sobie przez Internet?

Raczej telefonicznie - ale nowa strona ma tez mozliwosc polaczenia
chat/audio/video.
Na telefoniczny kontakt jest dodatkowe haslo ... ale kto by je
pamietal.

Na tym przez internet chyba haslo telefoniczne nie potrzebne.

>> Pani dostała wiadomość
>> o zmianie około 11-tej, ale nie odczytała aż do wieczora, kiedy
>> stwierdziła, że to musi być jakiś błąd, i olała.
>Zresztą było już "po ptokach", bez znaczenia, ale oczywiście to był
>jej
>kolejny błąd, którego nie powinna robić.

Trudno wymagac od czlowieka, aby siedzial wgapiony w swoj telefon.

>Wniosek jest IMHO taki, że procedury banku były (są?) wadliwe.

Chyba tak, skoro zmienili telefon do autoryzacji.

Z drugiej strony ... a jak poprosze wspolnika, zeby zadzwonil do
infolinii i poprosil o zmiane numeru ?
Na haslo odpowie "oj, tego to nie pamietam", a reszte niezbyt trudnych
do zdobycia danych mu podpowiem ...

>Jeśli
>hasła jednorazowe są wymagane do zapewnienia bezpieczeństwa
>niezdefiniowanych przelewów (bo sam login + hasło nie są
>wystarczająco
>bezpieczne) - to wszelkie możliwości "obejścia" konieczności podania
>hasła jednorazowego (bez podawania np. lepiej strzeżonych danych) są
>dziurą w procedurze.

W zasadzie tak.
Z drugiej strony - chcemy autoryzacje przez sms, to trzeba
przewidziec, ze utrata telefonu sie czasem zdarza.

>Jeśli ktoś zgubi listę haseł jednorazowych, nie będzie miał telefonu
>o zdefiniowanym numerze itp. - no to trudno, może niestety powinien
>pofatygować się z dowodem osobistym do oddziału banku?

Owszem ... tylko pamietaj, ze mBank wyrosl izolujac klienta od
oddzialow (ktorych BRE mial jednak troche).
Teraz jest inaczej ... ale do oddzialu klient moze miec daleko.

Z kolei taki Lukas przy resecie hasla zazyczyl sobie w oddziale dwoch
dokumentow ze zdjeciem.
No i tak sie zaczalem zastanawiac - paszport nie jest jeszcze w kraju
obowiazkowy, PJ tez nie, legitymacje pracownicze w duzej czesci sie
skonczyly, ksiazeczki zdrowia znikly ... co by tu pokazac.

A kradzieze portfeli sie zdarzaja i klient moze zostac bez niczego -
bez dowodu, bez telefonu, bez kart, i daleko od domu ...

J.