W dniu 2019-08-04 o 17:58, Wojciech Bancer pisze:
> Osiągnięcie odpowiedniego poziomu trudności złamania jest bardzo
> często czynnikiem wystarczającym.

Jeśli jednak przyjmiesz, iż to człowiek jest najsłabszym ogniwem to
system przestaje mieć znaczenie.

> Chyba nie do końca prześledziłeś o czym jest dyskusja. Wyszła ona od tego
> "dlaczego" banki przechodzą na aplikacje. A przechodzą, bo są one tańsze
> i bezpieczniejsze.

Wydaje mi się, że jednym z pierwszych udostępniających aplikację do
autoryzacji był EB. Bardzo promował swój token GSM. Mam wrażenie jednak,
iż bardzo trudno było przebić się do świadomości klienta.
Osobiście korzystałem z tokena sprzętowego. W moim przekonaniu to
optymalna metoda autoryzacji.

> Jeśli Twoja autoryzacja z bankiem odbywa się przez aplikację, to w przypadku
> iOS i obecnego modelu działania nie dość, że nikt się pod tą apkę nie podszyje
> (co jest łatwe w przypadku SMS), to jeszcze będziesz od razu widział jak na
> dłoni próbę wyłudzenia wysyłane tradycyjnym SMSem.

Wydaje się jednak, iż byłbym wówczas zmuszony do korzystania z urządzeń
Apple'a. Wysoka cena.
Mam służbowego iPada. Jest zarządzany przez administratora i niezwykle
bezpieczny - na tyle, iż nie jestem w stanie sam nic zainstalować.
Czasami mam wrażenie, że w kwestiach bezpieczeństwa trzeba szukać
rozsądnego kompromisu między użytecznością urządzenia a jego
zabezpieczeniem.

do góry

On 31 Jul 2019 07:05:40 GMT, jureq <j...@n...no> wrote:
> Po zapoznaniu się ze szczegółami na stronie
https://www.mbank.pl/mbank-news/co-nowego/od-14-wrze
snia-duzo-zmian-w-banku-nie-daj-sie-zaskoczyc.html wygląda na to, że w większości
wypadków będą istniały ułatwienia np. komputer zaufany.

Niby jak, certyfikat po stronie klienta?

--
Marek

do góry

On 2019-08-04, Szymon <...@w...pl> wrote:

[...]

>> Jeśli Twoja autoryzacja z bankiem odbywa się przez aplikację, to w przypadku
>> iOS i obecnego modelu działania nie dość, że nikt się pod tą apkę nie podszyje
>> (co jest łatwe w przypadku SMS), to jeszcze będziesz od razu widział jak na
>> dłoni próbę wyłudzenia wysyłane tradycyjnym SMSem.
>
> Wydaje się jednak, iż byłbym wówczas zmuszony do korzystania z urządzeń
> Apple'a. Wysoka cena.

Aplikacje na Androidzie nadal są bezpieczniejsze niż SMSy. Chociażby dlatego,
że komunikacja jest szyfrowana i nie tak łatwa do podrobienia jak SMSy,
chociaż Android sam w sobie pozwala na więcej, stąd obecność złośliwych
aplikacji w GP. Chociaż Google mimo wszystko aktywnie je zwalcza.

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrnqk9dad.12mt.wojciech.bancer@pl-test
.org...
On 2019-08-02, J.F. <j...@p...onet.pl> wrote:
>>>> Taaa ... trzeba miec zapasowy smartfon z aplikacja, na wypadek
>>>> awarii
>>>> pierwszego ?
>>> Z którego konkretnie fragmentu to wywioskowałeś?
>
>> Hm, moze i faktycznie przeinaczylem, ale autoryzacje spychaja do
>> apki,

>Nie wypychają, aczkolwiek aplikacje mają 2 zalety:
>a) są bezpieczniejsze
>b) są tańsze (za SMSy w dalszym ciągu coś się płaci)

Nie przecze.

>> a jak apki nagle zabraknie ?
>Nie rozumiem.

No telefon wpadnie do kibla. Albo ukradli.
Kupujesz nowy, trzeba apke zainstalowac, autoryzowac ... a tu
narzedzie autoryzacji splynelo do kanalu ...

>>>> A na komputerze nie moge miec takiej autoryzacji ?
>>> Zostań przy SMSach i albo skonfiguruj sobie forward na komputer
>>> (da się),
>>> albo załóż sobie numer wirtualny np. w Skype i odbieraj SMSy
>>> "czymbądź".
>>> https://support.skype.com/pl/faq/FA34884/jak-otrzyma
c-wiadomosci-sms-w-programie-skype
>
>> Ciekawe ... ale robia apke tokena, to czemu nie na peceta ?

>Przychodzą mi do głowy co najmniej 3 powody:
>1) smartfon jest urządzeniem o wiele bardziej osobistym

Owszem, ale czesto komputer tez jest osobisty.

>2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputer

chyba jednak klient wlasnie pokazal, ze chce uzyc komputera.
Szczegolnie ze funkcjonalnosc nie jest ta sama.

>3) aplikacje na telefonach mają swoje zaufane źródło pobierania
> (Google Play, App Store), a same systemy uruchamiają aplikacje
> w swoistych wyizolowanych kontenerach, więc potencjalny włam,
> czy manipulacja jest jest mimo wszystko trudniejsza z każdą
> wersją systemu (Android) lub praktycznie niemożliwa (iOS).

Byc moze ... ale apka powinna sie jakos zabezpieczac.
Fakt, ze to kiepskie zabezpieczenia, i pod windows chyba nie byloby
klopotu ze zlamaniem/obejsciem.
Ale czy aby na pewno na Androidzie/iOS nie ma ?

J.

do góry

W dniu 2019-08-05 o 12:13, J.F. pisze:
>>> a jak apki nagle zabraknie ?
>> Nie rozumiem.
>
> No telefon wpadnie do kibla. Albo ukradli.

Z dziś:
Równie niepokojące dane przedstawia nowy raport Instytutu Kościuszki -
"Wyzwania w cyberprzestrzeni". Z zebranych przez jego autorów danych
wynika, że już co 13 e-mail zawiera złośliwe oprogramowanie, którego
celem jest zainfekowanie komputera, systemów komputerowych, sieci czy
urządzeń mobilnych.

Dość przerażające. A gdyby tak oddzielić system autoryzacyjny od
domowego komputera? Wydaje się, że np. wojsko czy policja mają swoje
sieci, bez punktów styku z powszechną - Internetem - a zatem włam nie
jest możliwy lub przynajmniej bardzo utrudniony.

Zainteresowała mnie ta teza:
Phishing działa przede wszystkim dlatego, że domagamy się od
zwykłych ludzi 'nadludzkich możliwości'. Badania przeprowadzone w
najbardziej zaawansowanych technologicznie krajach świata pokazują, że
tylko 5 procent populacji potrafi wykonywać bardziej skomplikowane
zadania w zetknięciu z IT. My tymczasem chcemy, by wszyscy potrafili
odróżniać fałszywe treści od prawdziwych. - tłumaczy Michał Jarski,
ekspert ds. cyberbezpieczeństwa.

Wydaje mi się, że coś w tym jest. Zamiast domagać się znajomości
certyfikatów, stron, rozpoznawania maili, SMS-ów etc. może warto byłoby
pomyśleć o rozwiązaniach bardziej odpornych na błędy użytkownika.

>> Przychodzą mi do głowy co najmniej 3 powody:
>> 1) smartfon jest urządzeniem o wiele bardziej osobistym
>
> Owszem, ale czesto komputer tez jest osobisty.

Co więcej - telefon zazwyczaj klient ma przy sobie - komputer dużo
rzadziej. A noszenie przy sobie narzędzia autoryzacyjnego chyba nie jest
dobrym pomysłem. Szczególnie, iż Kowalski może go potrzebować powiedzmy
raz na miesiąc (ot, przelewy za mieszkanie, media itd.).

>> 2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputer
>
> chyba jednak klient wlasnie pokazal, ze chce uzyc komputera.
> Szczegolnie ze funkcjonalnosc nie jest ta sama.

Zdecydowanie.
Dziś przeczytałem:
Tak jest w przypadku autentykacji biometrycznej, która umożliwia
konsumentom potwierdzenie tożsamości przez zwykłe dotknięcie palcem
własnego telefonu czy zrobienie zdjęcia swojej twarzy. W ciągu
najbliższych kilku lat biometria stanie się nowym standardem
potwierdzania tożsamości, wypierając tym samym kody czy hasła. Biometria
zapewnia jeszcze wyższy poziom bezpieczeństwa, dzięki czemu pomaga
bankom i internetowym sprzedawcom spełnić wymagania nowych przepisów,
związanych m.in. z silnym uwierzytelnieniem - komentuje ekspert.

Mimo przeciwników biometrii - jak widać są też jej zwolennicy. Często
mówią o telefonach, bowiem czytnik linii jest tam już niemal standardem.
A na pewno za kilka lat będzie. W komputerach do rzadkość, aczkolwiek
coraz więcej laptopów już ma. Wydaje się zatem, iż nie tylko z punktu
widzenia bankowości, ale też ochrony danych szerzej rozumianej biometria
ma przyszłość.

> Byc moze ... ale apka powinna sie jakos zabezpieczac.
> Fakt, ze to kiepskie zabezpieczenia, i pod windows chyba nie byloby
> klopotu ze zlamaniem/obejsciem.
> Ale czy aby na pewno na Androidzie/iOS nie ma ?

Błąd ludzki jest tu kluczowy. Jakoś nie mam wrażenia, że poszkodowani
korzystali jedynie z Windowsa lub Androida.

do góry

On 2019-08-05, J.F. <j...@p...onet.pl> wrote:

[...]

>>> a jak apki nagle zabraknie ?
>>Nie rozumiem.
>
> No telefon wpadnie do kibla. Albo ukradli.
> Kupujesz nowy, trzeba apke zainstalowac, autoryzowac ... a tu
> narzedzie autoryzacji splynelo do kanalu ...

No weź już nie wymyślaj jakiejś fikcji, tylko zapytaj w banku. :)
Na to istnieją odpowiednie procedury przecież.

Wpisanie złego hasła 3x też Ci blokuje dostęp, niezależnie od tego ile
urządzeń do weryfikacji masz i jakie, i musisz przejść wtedy procedurę
pdzyskiwania dostępu. Jest to ciut bardziej upierdliwe, bo wymaga kontaktu,
ale do zrobienia.

>>>> albo załóż sobie numer wirtualny np. w Skype i odbieraj SMSy
>>>> "czymbądź".
>>>> https://support.skype.com/pl/faq/FA34884/jak-otrzyma
c-wiadomosci-sms-w-programie-skype
>>
>>> Ciekawe ... ale robia apke tokena, to czemu nie na peceta ?
>
>>Przychodzą mi do głowy co najmniej 3 powody:
>>1) smartfon jest urządzeniem o wiele bardziej osobistym
>
> Owszem, ale czesto komputer tez jest osobisty.

Jest dużo większa szansa, że skorzystasz z cudzego komputera (np, kiosku
w banku) niż że skorzystasz z cudzego smartfona. No i smartfona masz
w kieszeni dużo częściej niż komputer w teczce.

Jeśli z bankowości korzystasz wyłącznie z własego komputera, to myślę, że nie
będziesz
miał roblemów z dodaniem go jako "zaufanego urządzenia" (banki to zapowiadają)
i logowania się tam bez dodatkowej autoryzacji i której mowa w dyrektywie.

>>2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputer
>
> chyba jednak klient wlasnie pokazal, ze chce uzyc komputera.
> Szczegolnie ze funkcjonalnosc nie jest ta sama.

Mówimy o dodatkowym źródle autoryzacji.

>>3) aplikacje na telefonach mają swoje zaufane źródło pobierania
>> (Google Play, App Store), a same systemy uruchamiają aplikacje
>> w swoistych wyizolowanych kontenerach, więc potencjalny włam,
>> czy manipulacja jest jest mimo wszystko trudniejsza z każdą
>> wersją systemu (Android) lub praktycznie niemożliwa (iOS).
>
> Byc moze ... ale apka powinna sie jakos zabezpieczac.
> Fakt, ze to kiepskie zabezpieczenia, i pod windows chyba nie byloby
> klopotu ze zlamaniem/obejsciem.
> Ale czy aby na pewno na Androidzie/iOS nie ma ?

Na iOS nie ma na pewno. Mogą przez krotki czas żyć aplikacje które udają
inne, by zmanipulować użytkownika, ale to raczej na zasadzie wyjątku
(jak faktycznie reviewer przepuści). Na Androidzie, z racji innego procesu
weryfikacji jest to łatwiejsze.

Tym niemniej jak już masz już apkę z zaufanego vendora (np. przejdziesz
do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło,
czy (w przypadku iOS) dostało się do jakichkolwiek jej danych.

Na komputerze z Windows jest z tym dużo łatwiej. Komputery z macOS wprowadzają
już powoli blokady na dostęp do konkretnych folderów użytkownika, ale to
więc powoli idą w tym kierunku, ale to jescze długo nie będzie taki poziom.

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrnqkgb1c.1jsq.wojciech.bancer@pl-test
.org...
On 2019-08-05, J.F. <j...@p...onet.pl> wrote:
[...]
>>>> a jak apki nagle zabraknie ?
>>>Nie rozumiem.
>
>> No telefon wpadnie do kibla. Albo ukradli.
>> Kupujesz nowy, trzeba apke zainstalowac, autoryzowac ... a tu
>> narzedzie autoryzacji splynelo do kanalu ...

>No weź już nie wymyślaj jakiejś fikcji, tylko zapytaj w banku. :)

Jaka fikcja, normalne przeciez :-)

>Na to istnieją odpowiednie procedury przecież.

No i w sumie napisali, ze moga poprosic o pin do apki ... tej starej ?
Albo haslo do strony ...

>Wpisanie złego hasła 3x też Ci blokuje dostęp, niezależnie od tego
>ile
>urządzeń do weryfikacji masz i jakie, i musisz przejść wtedy
>procedurę
>pdzyskiwania dostępu. Jest to ciut bardziej upierdliwe, bo wymaga
>kontaktu,
>ale do zrobienia.

Pytanie czy to nie jest dziura w bezpieczenstwie.

>>>>> albo załóż sobie numer wirtualny np. w Skype i odbieraj SMSy
>>>>> "czymbądź".
>>>>> https://support.skype.com/pl/faq/FA34884/jak-otrzyma
c-wiadomosci-sms-w-programie-skype
>>
>>>> Ciekawe ... ale robia apke tokena, to czemu nie na peceta ?
>
>>>Przychodzą mi do głowy co najmniej 3 powody:
>>>1) smartfon jest urządzeniem o wiele bardziej osobistym
>
>> Owszem, ale czesto komputer tez jest osobisty.

>Jest dużo większa szansa, że skorzystasz z cudzego komputera (np,
>kiosku
>w banku)

No to tam przeciez nie bede instalowal takiej apki, skorzystam z
autoryzacji na telefon.

>niż że skorzystasz z cudzego smartfona.

A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z
jednego telefonu ?
Np swoje, firmowe, rodzicow ...

>No i smartfona masz w kieszeni dużo częściej niż komputer w teczce.

Temat wyplynal, bo widac ktos woli na komputerze :-)

>Jeśli z bankowości korzystasz wyłącznie z własego komputera, to
>myślę, że nie będziesz
>miał roblemów z dodaniem go jako "zaufanego urządzenia" (banki to
>zapowiadają)
>i logowania się tam bez dodatkowej autoryzacji i której mowa w
>dyrektywie.

Zapowiadaja, a wyjdzie ... zobaczymy.
I zauwaz ze ja nie proponuje "bez autoryzacji", tylko autoryzacja za
pomoca programu na komputerze.

>>>2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż
>>>komputer
>> chyba jednak klient wlasnie pokazal, ze chce uzyc komputera.
>> Szczegolnie ze funkcjonalnosc nie jest ta sama.
>Mówimy o dodatkowym źródle autoryzacji.

O podstawowym !

>>>3) aplikacje na telefonach mają swoje zaufane źródło pobierania
>>> (Google Play, App Store), a same systemy uruchamiają aplikacje
>>> w swoistych wyizolowanych kontenerach, więc potencjalny włam,
>>> czy manipulacja jest jest mimo wszystko trudniejsza z każdą
>>> wersją systemu (Android) lub praktycznie niemożliwa (iOS).
>
>> Byc moze ... ale apka powinna sie jakos zabezpieczac.
>> Fakt, ze to kiepskie zabezpieczenia, i pod windows chyba nie byloby
>> klopotu ze zlamaniem/obejsciem.
>> Ale czy aby na pewno na Androidzie/iOS nie ma ?

>Na iOS nie ma na pewno. Mogą przez krotki czas żyć aplikacje które
>udają
>inne, by zmanipulować użytkownika, ale to raczej na zasadzie wyjątku
>(jak faktycznie reviewer przepuści). Na Androidzie, z racji innego
>procesu
>weryfikacji jest to łatwiejsze.

>Tym niemniej jak już masz już apkę z zaufanego vendora (np.
>przejdziesz
>do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło,
>czy (w przypadku iOS) dostało się do jakichkolwiek jej danych.

A musi podmieniac ? Zainstaluje druga, o nazwie mbank-pro np, i
zobaczymy w co klikniesz palcem.

A przy tych milionach aplikacji to reviewer chyba latwo przepusci.

>Na komputerze z Windows jest z tym dużo łatwiej. Komputery z macOS
>wprowadzają
>już powoli blokady na dostęp do konkretnych folderów użytkownika, ale
>to
>więc powoli idą w tym kierunku, ale to jescze długo nie będzie taki
>poziom.

taaa ... i przestaniesz byc wlascicielem swojego komputera :-(

J.

do góry

Wojciech Bancer <w...@g...com> writes:

> Absolutnie nie. Podstawowym wektorem ataku jest człowiek i próba jego
> zmianipulowania.

Obecnie. Ale te problemy można wyeliminować stosunkowo łatwo (jeśli
jeszcze występują) - problemów ze sprzętem i systemem nie da się
skutecznie wyeliminować w sensownym czasie, zresztą ich liczba wydaje
się rosnąć.

> Jak na razie praktyka pokazuje, że to jest nie do zrobienia na masową
> skalę, przez co jest to problem jedynie teoretyczny lub też problem
> bardzo bogatych osób w które celuje ktoś personalnie.

Praktyka niczego takiego nie może pokazać. Praktyka może pokazać, że
obecnie wysiłki złodziei są skierowane w listy papierowe itp. - ponieważ
są najłatwiejsze do pokonania (wystarczy nieświadomy user). Ale jeśli to
źródło wyschnie, to złodzieje podepną się do innego. Tak było zawsze
i nie ma powodu by teraz nagle miało się to zmienić.

>> A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor
>> posiada błędy, które pozwolą np. na podniesienie uprawnień? Albo
>> np. "młotkowanie" RAM, sprzęt Apple jest odporny na wszystko?
>
> Teoretyznie nie. Ale praktycznie tak. Ataki z wykorzystaniem tego
> rodzaju błędów są nieopłacalne.

Skąd taki pomysł? Mówimy o włamaniach bankowych, pojedyncze włamanie to
mogą być setki tysięcy "zysku". Ludzie robią takie rzeczy dla nauki.
W żadnym przypadku nie można uznać, że to może być nieopłacalne. Jedynie
bardziej opłacalne metody mogą spowodować, że te nie będą wykorzystywane.
--
Krzysztof Hałasa

do góry

Szymon <...@w...pl> writes:

> Wydaje się, że np. wojsko czy policja mają swoje
> sieci, bez punktów styku z powszechną - Internetem - a zatem włam nie
> jest możliwy lub przynajmniej bardzo utrudniony.

Absolutnie nie należy tego zakładać.
BTW zgodnie z "powszechną wiedzą", większość ataków jest dokonywanych
z wewnątrz (sieci, instytucji itd).

> Phishing działa przede wszystkim dlatego, że domagamy się od
> zwykłych ludzi 'nadludzkich możliwości'. Badania przeprowadzone w
> najbardziej zaawansowanych technologicznie krajach świata pokazują, że
> tylko 5 procent populacji potrafi wykonywać bardziej skomplikowane
> zadania w zetknięciu z IT. My tymczasem chcemy, by wszyscy potrafili
> odróżniać fałszywe treści od prawdziwych. - tłumaczy Michał Jarski,
> ekspert ds. cyberbezpieczeństwa.

Treści prawdziwe także mogą być szkodliwe. Co to w ogóle są "treści
prawdziwe"? Istotne jest raczej kto ma prawo wykonywać oprogramowanie
(i jakie) - trzeba odróżniać autorów, nie treści.

> Wydaje mi się, że coś w tym jest. Zamiast domagać się znajomości
> certyfikatów, stron, rozpoznawania maili, SMS-ów etc. może warto
> byłoby pomyśleć o rozwiązaniach bardziej odpornych na błędy
> użytkownika.

Owszem. Zresztą systemy "telefoniczne" to robią. Można oczywiście
zainstalować fałszywą aplikację (w szczególności w Androidzie), ale
domyślnie ta możliwość jest wyłączona - samo się to nie zrobi raczej.

> Co więcej - telefon zazwyczaj klient ma przy sobie - komputer dużo
> rzadziej. A noszenie przy sobie narzędzia autoryzacyjnego chyba nie
> jest dobrym pomysłem.

No niestety. Zwłaszcza jeśli to jest jedyne narzędzie, które jest
potrzebne do wykonania operacji bankowych.

> Tak jest w przypadku autentykacji biometrycznej, która umożliwia
> konsumentom potwierdzenie tożsamości przez zwykłe dotknięcie palcem
> własnego telefonu czy zrobienie zdjęcia swojej twarzy. W ciągu
> najbliższych kilku lat biometria stanie się nowym standardem
> potwierdzania tożsamości, wypierając tym samym kody czy hasła.
> Biometria zapewnia jeszcze wyższy poziom bezpieczeństwa, dzięki czemu
> pomaga bankom i internetowym sprzedawcom spełnić wymagania nowych
> przepisów, związanych m.in. z silnym uwierzytelnieniem - komentuje
> ekspert.

Niestety znane mi opracowania (poważne) wskazują, że to nie jest prawda.

Zdjęcie twarzy, zdaje się, udało się obejść bardzo prosto i efektownie?
Zakładam że można wymagać określonych akcji od użytkownika (by nie dało
się pokazać kamerze zdjęcia), ale symulowany model także może dokładnie
takie same akcje wykonywać - to obecnie domowa technologia.

Odciski palców również można zdjąć i podrobić. W przypadku czytników
komputerowych powinno to być nawet łatwiejsze niż w tradycyjnej metodzie.
--
Krzysztof Hałasa

do góry

W dniu 2019-08-05 o 22:43, Krzysztof Halasa pisze:
>> Wydaje się, że np. wojsko czy policja mają swoje
>> sieci, bez punktów styku z powszechną - Internetem - a zatem włam nie
>> jest możliwy lub przynajmniej bardzo utrudniony.
>
> Absolutnie nie należy tego zakładać.
> BTW zgodnie z "powszechną wiedzą", większość ataków jest dokonywanych
> z wewnątrz (sieci, instytucji itd).

A nie wydaje Ci się, iż ilość ataków może się przełożyć na ich
skuteczność? Przy takim założeniu niewątpliwie komputer w Internecie
jest bardziej zagrożony niż w LAN.

>> Phishing działa przede wszystkim dlatego, że domagamy się od
>> zwykłych ludzi 'nadludzkich możliwości'. Badania przeprowadzone w
>> najbardziej zaawansowanych technologicznie krajach świata pokazują, że
>> tylko 5 procent populacji potrafi wykonywać bardziej skomplikowane
>> zadania w zetknięciu z IT. My tymczasem chcemy, by wszyscy potrafili
>> odróżniać fałszywe treści od prawdziwych. - tłumaczy Michał Jarski,
>> ekspert ds. cyberbezpieczeństwa.
>
> Treści prawdziwe także mogą być szkodliwe. Co to w ogóle są "treści
> prawdziwe"? Istotne jest raczej kto ma prawo wykonywać oprogramowanie
> (i jakie) - trzeba odróżniać autorów, nie treści.

Prawdziwa strona banku/fałszywa. Prawdziwy email/SMS - fałszywka.

> Odciski palców również można zdjąć i podrobić. W przypadku czytników
> komputerowych powinno to być nawet łatwiejsze niż w tradycyjnej metodzie.

Mam wrażenie, iż w znakomitej większości przestępstw komputerowych nie
dochodzi do bezpośredniego kontaktu przestępca-ofiara. Jeśli chcesz
"zdejmować" odciski palców to taki kontakt wydaje się być niezbędnym.
Jeśli nawet nie osobisty to na pewno wymagający pojawienia się w
bezpośrednim otoczeniu ofiary. A zatem byłby to atak raczej na konkretną
osobę, nie zaś phishing, który z definicji jest masowy.

do góry