kx napisał(a):
> Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
> bezpieczństwa...
>
> Prosty scenariusz:
> Pewien klient daje się złapać na phishingu - wchodzi na jakąś podejrzaną
> strone myśląc, że to strona jego banku, ale nieświadom niebezpieczeństwa
> loguje się i dokonuje pewnej tranzakcji. Podejrzana strona, to nie jakiś
> prosty formularz do wyciągania haseł, ale bardziej wyrafinowany system
> oszusta. Otoż, ten system równocześnie symuluje działanie klienta na
> prawdziwej stronie banku:

W tych bankach internetowych, w których mam/miałem konta (Inteligo,
mBank, e-Integrum BGŻ) zaraz po wejściu pierwsze co widzę to stan mojego
rachunku. Widzę jego nazwę, numer i stan. Oszuści musieliby mieć już te
dane, żeby dla mojego identyfikatora je przygotować w tym 'wyrafinowanym
systemie' ;-) i to przy założeniu, że atakowaliby konkretną osobę, a
jeżeli dla wszystkich klientów to chyba dane musieliby ukraść z systemu
banku, a skoro już by się tam włamali, to po cholerę podrabiać stronę,
skoro wystarczyłoby znaleźć pełne konto i je opróżnić :-) Inna opcja
jest taka, że wystawiliby stronę z jednym zestawem danych, licząc na
debilizm klientów. I, soory, ale jeżeliby w ten sposób udałoby im się
cokolwiek ukraść to faktycznie z konta skończonego kretyna ;-)


--
"- Why do they call him a bullet dodger?
- Because he dodges bullets, Avi." (Snatch)