W dniu poniedziałek, 22 października 2012 17:31:00 UTC+2 użytkownik Jacek Osiecki
napisał:

>
> >> Bo nie zdziwiłbym się, gdyby ktoś
>
> >> wykonał taki sam fraud i złapał trochę ofiar korzystających z SMSów...
>
> > Oj to chyba jednak zdecydowanie trudniejsze zadanie dla hakera. Oszust
>
> > musiałby wykryć moment kiedy ofiara chce wysłać przelew, podpiąć się
>
> > pod sms-a którego wpisał i w tym samym czasie wysłać własny przelew.
>
>
>
> Nic a nic trudniejsze. Przecież technicznie nawet działa to identycznie jak
>
> przy kodach jednorazowych: wpisuje się przelew, pojawia się pole do wpisania
>
> kodu. Co za różnica czy kod klient ma w kieszeni czy dostanie SMSem? Nic nie
>
> trzeba przejmować, poza komputerem ofiary. Dlatego piszę, że nie zdziwiłbym
>
> się gdyby te osoby które padły ofiarą oszusta miały aktywne SMSy i po
>
> prostu bezmyślnie przepisały kod...
>
Ponieważ nigdy nie miałem do czynienia z kodami jednorazowymi w mbanku uściślijmy
zatem ich znaczenie:
- autoryzuje tylko i wyłącznie daną transakcję (np. jest generowany z jakiejś tabeli)
- autoryzuje kolejną transakcję (kody idą po kolei)
Jeśli odpowiedź pierwsza to jest to bardzo podobne do sms-ów. Jeśli odpowiedź druga
to uważam że opcja ta jest mniej bezpieczna - wystarczy kod, a nie trzeba podszywać
się pod dany przelew (np. wystarczy zerknąć komuś przez ramię jak wpisuje taki kod i
zablokować mu sieć).

Zibo
>
> Pozdrawiam,
>
> --
>
> Jacek Osiecki j...@c...pl GG:3828944
>
> I don't want something I need. I want something I want.