W dniu 2015-03-15 o 08:07, S pisze:
> W dniu 2015-03-15 o 01:51, PiteR pisze:
>> Nie można było ustawić limitów na przelew czy limitów dzienych?
>
> Limity nie są rozwiązaniem. Jeden z bohaterów mówił,że próbował się
> logować 3 razy i system zablokował konto. Zakładając, iż w ten sposób
> złodziej pozyskał 3 hasła jednorazowe, pierwszym mógłby zmienić limit, a
> kolejnymi wysłać przelewy. Gdyby tak się dało... bowiem hasło z tokena
> jest ważne minutę i następuje jego zmiana. Maksymalnie minutę.

W przypadku TokenaGSM (w telefonie) czym innym są kody do logowania, a
czym innym kody potwierdzające różne operacje. Nie podano, czy
poszkodowani korzystali z tokena, a jeśli tak, to czy ze sprzętowego czy
GSM. Może tokeny w EB nie są już bezpieczne?

Pozdrawiam

do góry

W dniu poniedziałek, 16 marca 2015 05:07:19 UTC+1 użytkownik janek z pola napisał:
> Ciekawe, że jakoś nie słyszy się w Polsce o tym, że ktoś postawił fikcyjny
> oddział naziemny banku - np. w galerii handlowej, czy w jakimś lokalu przy
> uczęszczanej ulicy. Tymczasem fikcyjne oddziały internetowe stanawiane są
> bardzo często.
>
Była gdzieś nie w Polsce taka historia z fikcyjnym oddziałem...

do góry

>
> Tylko jakie to ma znaczenie? Bank tak "zabezpieczył" system, by
> umożliwić złodziejom łatwe przejęcie oszczędności.
>

Jesli posiadacz komputera jest na tyle glupi ze ma na kompie Sodome i Gomore
(malware, crapware, wirusy, trojany, adware), nalezy do botnetu i o tym nie wie
to do kogo ma miec pretensje jak nie do siebie? Powiedzmy ze komplet danych
autoryzacyjnych wydal przestepcy, skad bank ma wiedziec o tym?

W pko jak ida duze przelewy (30, 40tys?) to dzwonia dodatkowo czy Pan XY
wykonal taki przelew? Moze to jest rozwiazanie.

Bank nie jest winny. Winny jest uzytkownik nie wyedukowany a czasem naiwny i
glupi.

do góry

On Mon, 16 Mar 2015 16:50:02 +0100, forestdumb wrote:
> W pko jak ida duze przelewy (30, 40tys?) to dzwonia dodatkowo czy Pan XY
> wykonal taki przelew? Moze to jest rozwiazanie.

Tak z ciekawości -- co jak się nie dodzwoni? I czy gdzieś jest to wprost
napisane, czy taki-se zwyczaj?

--
Michał

wiesiu jest spamtrapem. ja jestem kbns

do góry

W dniu 2015-03-16 o 16:50, forestdumb pisze:
> Jesli posiadacz komputera jest na tyle glupi ze ma na kompie Sodome i
> Gomore (malware, crapware, wirusy, trojany, adware), nalezy do botnetu i
> o tym nie wie to do kogo ma miec pretensje jak nie do siebie?

Do banku, który nie miał zabezpieczenia.

Powiedzmy
> ze komplet danych autoryzacyjnych wydal przestepcy, skad bank ma
> wiedziec o tym?

Np. z IP z Rosji, jak mówił jeden z Klientów. Można było też
zabezpieczyć system tak, aby logowanie z zawirusowanego komputera było
bezpieczne. Dodajmy, iż bank nie udowodnił, że Klient miał
JAKIEGOKOLWIEK wirusa.

> W pko jak ida duze przelewy (30, 40tys?) to dzwonia dodatkowo czy Pan XY
> wykonal taki przelew? Moze to jest rozwiazanie.

Może. Albo taki, że logowanie dziś z Bydgoszczy, jutro z Moskwy nie jest
"typowe". Szczególnie gdy w konsekwencji jest robiony przelew na całą
kwotę z konta.

> Bank nie jest winny. Winny jest uzytkownik nie wyedukowany a czasem
> naiwny i glupi.

Ty tak uważasz. Bank jest winny, bo nie zrobił nic. A mógł, co już
ustaliliśmy. To użytkownik nie może, a Bank ma pełną możliwość
zabezpieczenia systemu. Szczególnie, iż przelew wewnętrzny można było
zablokować, zewnętrzny tym bardziej. Na rękę Bankowi jest kiepski system
zabezpieczeń, bo czerpie z tego korzyści. Im więcej kradną - tym większy
zysk Banku.

--
-----------
Pozdrawiam
Szymon

do góry

> Do banku, który nie miał zabezpieczenia.
Przecież bank miał zabezpieczenia, do banku się nie włamali.

> Można było też
> zabezpieczyć system tak, aby logowanie z zawirusowanego komputera było
> bezpieczne.
Jak wymyślisz jak to zrobić to to opatentuj i sprzedaj Microsoftowi i Googlowi,
będziesz niesamowicie bogatym człowiekiem.

> Ty tak uważasz. Bank jest winny, bo nie zrobił nic. A mógł, co już
> ustaliliśmy.
Telecomy sa odpowiedzialne za wirusy na smartfonach, dealerzy samochodowi za
niezmieniony olej i starte klocki hamulcowe, a linie lotnicze za ważność twojego
paszportu. No weź.

do góry

W dniu 2015-03-16 o 19:10, jj pisze:
>> Można było też
>> zabezpieczyć system tak, aby logowanie z zawirusowanego komputera było
>> bezpieczne.
> Jak wymyślisz jak to zrobić to to opatentuj i sprzedaj Microsoftowi i Googlowi,
będziesz niesamowicie bogatym człowiekiem.

Mylisz się. To dziecinnie proste. Ciekawe byłoby, gdyby podłączenie
zawirusowanego laptopa do sieci powodowało takie cyrki na kontach
użytkowników jak bankowych. Gdybyś był informatykiem to wiedziałbyś, iż
wirus to najczęstsza wymówka kiepskiego admina. Przerzuca
odpowiedzialność na klienta i w efekcie pozwala jeszcze zarobić za
naiwniaku.

>> Ty tak uważasz. Bank jest winny, bo nie zrobił nic. A mógł, co już
>> ustaliliśmy.
> Telecomy sa odpowiedzialne za wirusy na smartfonach, dealerzy samochodowi za
niezmieniony olej i starte klocki hamulcowe, a linie lotnicze za ważność twojego
paszportu. No weź.

A teraz pomyśl... Ukradziono powiedzmy 100.000zł. Z tego tylko część
dostali złodzieje. Banki dostały swoje za przelewy (w tym
międzynarodowe), przewalutowanie (bo złodzieje w Rosji na pewno nie
wyciągali pieniędzy w PLN) itd. Teraz pytanie czy takie działanie jest
etyczne... Osobiście w swoim biznesie nie chciałbym zarabiać na
złodziejach ani wchodzić z nimi w żadne układy. Ociera się to dla mnie o
paserstwo.
Jeśli prawdą jest, iż w tej jednej sprawie przepadło 35 mln zł,
przewalutowanie to ok. 2%, kursy walut standardowo zawyżone ok. 5% do
cen rynkowych, do tego prowizje wszelkiej maści i możesz uznać, że na
tym tylko przekręcie banki zarobiły kilka milionów, których by nie
zarobiły, gdyby odpowiednio zabezpieczyły systemy. Tylko czy doprawdy są
tym zainteresowane?

--
-----------
Pozdrawiam
Szymon

do góry

W dniu 2015-03-16 o 16:50, forestdumb pisze:

> Jesli posiadacz komputera jest na tyle glupi ze ma na kompie Sodome i
> Gomore (malware, crapware, wirusy, trojany, adware), nalezy do botnetu i
> o tym nie wie to do kogo ma miec pretensje jak nie do siebie? Powiedzmy
> ze komplet danych autoryzacyjnych wydal przestepcy, skad bank ma
> wiedziec o tym?

A skąd posiadacz komputera ma mieć pewność, że jego system jest czysty?
Dlaczego banki mają zakładać, że zwykły użytkownik ma niezainfekowany
system?
Ile jesteś w stanie postawić na to, że na Twoim systemie nie działa
malware?

do góry

> wirus to najczęstsza wymówka kiepskiego admina.

A kto jest adminem komputera/laptopa domowego? Nie czasem sam user?
Poproszę o informację w jaki sposób admin bankowy ma zapewnić, że na kompie usera w
jego domu nie będzie wirusa (albo będzie on nieszkodliwy dla połączenia klient-bank)
:)

do góry

W dniu 2015-03-16 o 09:31, Miroo pisze:
> W dniu 2015-03-15 o 08:07, S pisze:
> W przypadku TokenaGSM (w telefonie) czym innym są kody do logowania, a
> czym innym kody potwierdzające różne operacje. Nie podano, czy
> poszkodowani korzystali z tokena, a jeśli tak, to czy ze sprzętowego czy
> GSM. Może tokeny w EB nie są już bezpieczne?

Na 100% chodziło o tokeny sprzętowe. Pozyskane w trakcie dwóch prób
logowania - numer klienta i hasło, oraz 2 kody z takiego tokena
pozwalają złodziejom wyczyścić konto do zera. Proste jak drut.
VW bank też stosuje taką metodę logowania i pewnie kilka innych polskich
banków.
Tokeny sprzętowe są niebezpieczne i jeśli jest taka możliwość to trzeba
je zmieniać na coś innego, np tokeny GSM lub hasła sms-owe. Eurobank z
końcem maja zaoferuje właśnie takie hasła sms-owe.
Token GSM najlepiej instalować na starej Nokii, bez dostępu do internetu
lub w ogóle bez karty sim. Na takim telefonie najlepszy hakier nic nie
wskóra ;)
Stare tokeny sprzętowe są wycofywane z większości banków (w tym także z
Eurobanku, gdzie nie można go już zamówić).

pozdrawiam, wk

do góry