W dniu 25.01.2019 o 20:42, Krzysztof Halasa pisze:
> Michał Jankowski <m...@f...edu.pl> writes:
>
>> Jak się nie obrócić, dupa z tyłu.
>
> No niestety :-(
>
>> W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...
>
> Podejrzewam że bankowcy to ocenili i odrzucili, niestety.
>
> W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
> a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
> komputera, ale np. długo nie wykonujemy operacji wymagających
> zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
> ruch. Raczej nieistotny przypadek.
> b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
> np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
> (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
> dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
> ten ktoś potrafi sprawić, że dostanie).
> c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
> może to bardziej kwestia procedur niż techniki.
>
> To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
> chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
> telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
> tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
> jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
> pokryć statystycznie koszty całego włamania).

Wydajemisie, że połączony atak typu - podmieńmy numery kont na
ekranie komputera i równocześnie ukradnijmy komuś numer telefonu na
dowód kolekcjonerski to jednak rzadko się zdarza. A zainfekowanie
telefonu, to w ogóle nie wiem...

>
> Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
> tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
> wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
> dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
> problem).
>

Z tym, że jeszcze niedawno sporo banków przysyłało smsy, w których nie
było co czytać. Np. w citibanku jeszcze w czerwcu sms miał treść
'Autoryzacja transakcji. Kod: 123456. Citi Handlowy'.

A w ogóle, to jeśli faktycznie dowody kolekcjonerskie są nie do
odróżnienia, to bierzemy taki dowód, idziemy do banku, zmieniamy wzór
podpisu i hulaj dusza. Co prawda marmurowy PKOBP ostatnio w kasie
wypłaca też na sms, ale przecież nie muszę mieć telefonu w ogóle...

MJ