DAJ CYNK
  • Aplikacje i usługi łączące świat finansów i technologii. Także dyskusje o tradycyjnych bankach jeśli są one nowoczesne i innowacyjne.
Aplikacje i usługi łączące świat finansów i technologii. Także dyskusje o tradycyjnych bankach jeśli są one nowoczesne i innowacyjne.
Regulamin forum: 
Niech nie zmyli Was, że to dział Oprogramowanie.

Tutaj można dyskutować zarówno o aplikacjach związanych z finansami, ale też o usługach fitechów i tradycyjnych banków.

Uwaga! Nie akceptujemy żadnych reflinków, kodów polecających itp.
 #1073538  autor: kemsinenu
 08 cze 2019, 15:23
W temacie SIM-swap:
Jak to skutecznie robią w Mozambiku? https://niebezpiecznik.pl/post/szkoda-z ... -kart-sim/
Niektórzy operatorzy jednak myślą o problemie. https://niebezpiecznik.pl/post/czy-graf ... karty-sim/
Zastanawiam się, czy którykolwiek z operatorów w PL wprowadził możliwość ustawienia dodatkowego hasła/PINu do wymiany karty SIM? Czy ktoś coś słyszał? Podobno w USA są takie możliwości u niektórych opów.

Otwierają się możliwości zastosowania Profilu Zaufanego poza administracją rządową. Można podpisać dowolny dokument PZ, przesłać komuś np. emailem, a odbiorca może sprawdzić poprawność podpisu na tej samej stronie. Nie wiem jednak czy np. podpisanie umowy najmu w ten sposób byłoby wiążące.
https://www.gov.pl/web/uslugi/podpisz-d ... is-zaufany
Z PZ jest jednak pewien problem: autoryzacja operacji podpisu SMSem. Dodatkowo w SMSach brak informacji co właściwie podpisujemy.

Niebezpiecznik porównał szczegółowo różne sposoby autoryzacji w bankach:
https://niebezpiecznik.pl/post/autoryza ... -przelewy/

Trafiłem na całkiem dobry przewodnik co zrobić przed, w trakcie i po wrogim przejęciu numeru telefonu:
https://medium.com/mycrypto/what-to-do- ... 67f296ef4d
Podobają mi się podpowiedzi jak w stresie rozmawiać z konsultantami. Niestety nie wszystkie porady są do zastosowania w Polsce, np. Google Voice/Fi. Jest też podlinkowana lista kontaktów do instytucji zajmujących się takimi sprawami. Wydaje mi się, że w Polsce jest to niepoprawny kontakt: Komenda Główna Policji. Prawdopodobnie trzeba zgłosić to w najbliższej jednostce policji. https://cipherblade.com/cybercrime-reporting/
 #1073541  autor: Remington
 08 cze 2019, 16:05
kemsinenu pisze:
08 cze 2019, 15:23
Otwierają się możliwości zastosowania Profilu Zaufanego poza administracją rządową. Można podpisać dowolny dokument PZ, przesłać komuś np. emailem, a odbiorca może sprawdzić poprawność podpisu na tej samej stronie.

Gdzie coś takiego jest możliwe?
 #1102493  autor: Remington
 04 wrz 2020, 16:36
Najnowszy news:
https://www.telepolis.pl/wiadomosci/bez ... 370-tys-zl

W tym przypadku Orange mogło tylko porównać nr dokumentu, bo skserować go nie mogli, a oszust najczęściej ma replikę z poprawnym numerem. Można jeszcze jakoś skomplikować procedurę i jeśli jest stara karta na wymianę to aktywować nową od razu, a jeśli nie to po np. 24 godzinach zwłoki itd.

Podobno od sierpnia 2021 dowody osobiste będą obowiązkowo biometryczne. Bez masowego wprowadzenia biometrii w dowodach osobistych (i obowiązku jej stosowania) nie będzie wiarygodnego sposobu weryfikacji tożsamości.
 #1102494  autor: forum_tg
 04 wrz 2020, 17:37
Remington pisze:
02 lut 2019, 13:25
A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.
Super rozwiązanie
Przy zabezpieczeniu telefonu hasłem plus hasło z aplikacji banku i dodatkowo hasło potwierdzające płatność jest dość dobrym rozwiązaniem
 #1102498  autor: toms
 04 wrz 2020, 18:45
2020-09-04 18:12:46

Remington - mam kilka pytań do Ciebie z różnych postów, dlatego piszę oddzielnie.
Po pierwsze - żeby uwierzytelnić się w przeglądarce przy logowaniu trzeba:
-znać login,
'-znać hasło,
-znać numer telefonu podpięty pod konkretne konto.
Trochę za dużo tych danych dla złodzieja, nie uważasz?
Moim zdaniem to grubsza sprawa, bo skąd złodziej wziął te wszystkie dane?

No i kwestia wymiany sim.
Jak karta się uszkodzi, w jaki sposób ją zweryfikujesz przez sms?
Na miejscu pracownika salonu, najpierw zadzwonił bym pod wskazany numer, celem dodatkowej weryfikacji.
I wówczas oszustwo wyszło by na jaw, bo prawowity właściciel odebrałby ten telefon, lub przynajmniej byłby sygnał, że numer jest zalogowany.


2020-09-04 18:15:39

Po drugie, konsultanci mają wgląd we wszystkie dane i jeśli karta nie uległa kradzieży, zagubieniu czy zniszczeniu, łatwo można odczytać jej numer wytłoczony na obudowie i zweryfikować go.
Brak karty - telefon kontrolny na wymieniany numer.
Skoro w bazie nie można umieszczać skanów dowodu osobistego, to przynajmniej powinien być dostępny wizerunek właściciela. To też zawęża możliwość oszustw moim zdaniem.
Cała akcja było moim zdaniem dokładnie zaplanowana.
Złodziej jakimś cudem wszedł w posiadanie loginu, hasła i numeru dostępowego.
No i wiedział kogo okrada, skoro właściciel stracił aż 370 tysięcy.
Myślę, że w sprawę mogło być zamieszane większe grono osób.
Ostatnio zmieniony 04 wrz 2020, 19:02 przez Remington, łącznie zmieniany 1 raz. Powód: skopiowane ręcznie z komentarzy na portalu
 #1102499  autor: Remington
 04 wrz 2020, 18:46
toms zacznę od końca. To wszystko.co piszesz o procesie po stronie sieci ma sens. Rzecz w tym, że operatorów jest kilkudziesięciu i każdy musiałby mieć tak szczelne procedury. Przynajmniej najwięksi mają interes by procesy uszczelnić. Ale nawet pomysł z zadzwonieniem na starą kartę ma lukę: oszust powie, że ktoś ukradł mu telefon lub go zgubił, wtedy pracownik przecież nie zadzwoni z prośbą o potwierdzenie kradzieży. Trzeba pamiętać, że wymian kart jest dziennie zapewne setki, a oszustw promil. To usypia czujność, a i operatorzy mają w nosie skutki wydania karty nieuprawnionej osobie, wykraczające poza nabicie rachunku.

Co do loginu i hasła oraz numeru to są dwa aspekty.

Pierwszy, że minęły czasy wyłącznie ataków niespersonalizowanych, gdy ogół ludzi był celem tego samego ataku. Dziś często jest to atak na konkretną osobę, wcześniej odpowiednio przygotowany - gdy znają jego dane, w jakim banku ma większość pieniędzy itd. Kopia dowodu osobistego to jeden z elementów takiego ataku, ona też przecież nie powstaje ot tak, od ręki. Czasem tej konkretnej osobie metodami psychologicznymi wgrywany jest szpieg na telefon, wtedy nawet SIM Swap jest zbędny.

Drugi, że dysponując podróbką dowodu osobistego wcale nie trzeba znać hasła i loginu do banku. Wystarczy podmienić u operatora kartę SIM, a potem zadzwonić do banku, że zapomniało się loginu i hasła... Nieliczne banki w tej sytuacji każą udać się do oddziału. Przepytają z danych, wyślą SMS lub zadzwonią na ten nr telefonu itd.
 #1102563  autor: paciorek
 05 wrz 2020, 17:26
Szanowni

Dlatego w Bankach powinna być autoryzacja PUSH, jako oczywiście alternatywna. Druga sprawa, to wymiana kart SIM. Powinna być autoryzacja dwuetapowa. Np. z wykorzystaniem SMSów wysłanych na starą kartę SIM, lub za pośrednictwem QR CODE, taki QR Code generował by się w aplikacji, oraz znienawidzony przez wszystkich obrazek bezpieczeństwa. Logowanie do BOK nie powinno być przez adres email, lecz poprzez ostatnie kilka cyfr np. z nr karty SIM, nr ewidencyjny abo i td, lub losowo generowany, tak jest w bankach. Druga rzecz, to opy powinny mieć dostęp do bazy MZWiA odnośnie matchowania nr PESEL z NR DOWODU, tak aby zweryfikować, czy dowód nie jest dowodem kradzionym. Lub w POKACH autoryzować specjalnie wymyślonym PINEM, lub kartą płatniczą :P
 #1102570  autor: Remington
 05 wrz 2020, 18:31
paciorek pisze:
05 wrz 2020, 17:26
Druga rzecz, to opy powinny mieć dostęp do bazy MZWiA odnośnie matchowania nr PESEL z NR DOWODU, tak aby zweryfikować, czy dowód nie jest dowodem kradzionym.
piotrzet pisze:Najprostsze zabezpieczenie wymiana karty sim tylko w sklepie u operatora.

Oszuści mają idealne repliki ważnego dowodu osobistego, różniące się tylko zdjęciem. Wtedy taka weryfikacja nic nie da. Trzeba proces wymiany zabezpieczyć tak, aby móc potwierdzić tożsamość czymś więcej niż tylko łatwym do podrobienia dokumentem.
paciorek pisze:Druga sprawa, to wymiana kart SIM. Powinna być autoryzacja dwuetapowa. Np. z wykorzystaniem SMSów wysłanych na starą kartę SIM, lub za pośrednictwem QR CODE, taki QR Code generował by się w aplikacji, oraz znienawidzony przez wszystkich obrazek bezpieczeństwa.

Łatwe do obejścia, podobnie jak kod. Telefon zgubił, więc SMS traci rację bytu, a aplikacja przepadła z telefonem. Albo klient (nawet prawdziwy, a nie oszust) mówi, że kodu nie pamięta i co wtedy? Musi trafić w procedurę nadania mu dostępu na nowo, a w tym momencie trudno o stuprocentową pewność weryfikacji. Plus wysyła PlusKod5 razem z fakturą, ale to tylko do klientów abonamentowych, a klienci prepaidowi wcale nie podają adresu przy rejestracji.

Trzeba też pamiętać, że wymiana karty od ręki jest standardową procedurą od dwudziestu paru lat na wypadek utraty karty SIM, jej zablokowania, zmiany telefonu, uszkodzenia karty itp. Aby brak dostępu do numeru był jak najkrótszy.

W każdej tego typu procedurze trzeba uwzględnić przypadek klienta, który niczego nie pamięta, telefon z kartą zgubił i ma do okazania tylko siebie oraz dowód tożsamości. Czy to bank, czy operator mają swoje procedury dla takich przypadków i... oszuści potrafią znaleźć i wykorzystać w nich luki. Błędne koło.
 #1102573  autor: piotrzet
 05 wrz 2020, 18:35
Operator powinen wysyłać notkę do banku, że karta sim została wymieniona. Wtedy telefon i potwierdzenie jak np przy zablokowaniu konta przez złe hasło kilka razy wpisane. Albo od razu blokada dostępu internetowego po wymianie karty, a dzwonisz sam i odblokowujesz.

https://www.speedtest.net/result/a/6235774785.png
 #1102577  autor: mp107
 05 wrz 2020, 19:39
piotrzet pisze:
05 wrz 2020, 18:35
Operator powinen wysyłać notkę do banku, że karta sim została wymieniona. Wtedy telefon i potwierdzenie jak np przy zablokowaniu konta przez złe hasło kilka razy wpisane. Albo od razu blokada dostępu internetowego po wymianie karty, a dzwonisz sam i odblokowujesz.
Niestety, ale obawiam się, że to rozwiązanie się by nie sprawdziło. Operator nie wie, w jakich bankach użytkownik numeru 123456789 ma konto, więc nie wie też, do jakich banków taką notkę wysłać. Użytkownik nie ma obowiązku ani potrzeby informować operatora o tym, w jakich bankach ma konto, bo to informacje zbędne dla umożliwienia korzystania z telefonu, użyteczne ewentualnie jedynie w takich, jednostkowych przypadkach. A przekazywanie przez operatora informacji typu "Operator X informuje, że użytkownik numeru 123456789 wymienił kartę SIM" do każdego działającego w Polsce banku również wyglądałoby dość kiepsko z punktu widzenia ochrony danych osobowych (numeru telefonu). A bez wiedzy operatora o tym, w jakich bankach użytkownik numeru ma konto, to przekazywanie informacji mogłoby działać jedynie przez wysyłkę (albo wręcz "rozsyłkę") takich ogólnych "notek".

Myślę, że to głównie wina niedostatecznej weryfikacji tożsamości osoby ubiegającej się o wymianę karty SIM po stronie operatorów i to oni (przy ewentualnej współpracy z instytucjami rządowymi, jeśli pojawia się potrzeba wypracowania nowego, ogólnokrajowego rozwiązania) powinni opracować sposób zapobiegania takim nadużyciom.
 #1102584  autor: Remington
 05 wrz 2020, 20:36
piotrzet pisze:
05 wrz 2020, 18:35
Operator powinen wysyłać notkę do banku,

Którego? Banków jest kilkaset w Polsce.
mp107 pisze:Myślę, że to głównie wina niedostatecznej weryfikacji tożsamości osoby ubiegającej się o wymianę karty SIM po stronie operatorów i to oni (przy ewentualnej współpracy z instytucjami rządowymi, jeśli pojawia się potrzeba wypracowania nowego, ogólnokrajowego rozwiązania) powinni opracować sposób zapobiegania takim nadużyciom.

Zgoda. Zwróć jednak uwagę, że operatorów trudno do tego zmusić. Sieć nie odpowiada za to do czego ktoś wykorzystuje telefon. Jeśli w wyniku swojego błędu wyda duplikat osobie nieuprawnionej to odpowiedzialność kończy się na zwrocie kasy za to co ten ktoś nabije na rachunek abonenta. Operator przecież nie wie jak klient wykorzystuje swój numer - czy dany nr zabezpiecza jego pieniądze w banku (żaden przepis prawny takiego wykorzystania nie sankcjonuje, to jest jedynie praktyka banków), czy prowadzi wysokodochodowy biznes mogący się zawalić bez telefonu, może przez nieodebranie jednej rozmowy straci miliony, albo utrzymująca go żona dowie się o kochance i go rzuci itd.

Gdyby wprowadzono Mobile Connect, można byłoby go blokować przez np. 24 godziny od wymiany karty SIM. Jednak problem nadal pozostanie dla operacji innych niż autoryzacja, tj. np. rozmów zwrotnych z banku w celu potwierdzenia podejrzanego przelewu.