paciorek pisze: ↑05 wrz 2020, 17:26
Druga rzecz, to opy powinny mieć dostęp do bazy MZWiA odnośnie matchowania nr PESEL z NR DOWODU, tak aby zweryfikować, czy dowód nie jest dowodem kradzionym.
piotrzet pisze:Najprostsze zabezpieczenie wymiana karty sim tylko w sklepie u operatora.
Oszuści mają idealne repliki ważnego dowodu osobistego, różniące się tylko zdjęciem. Wtedy taka weryfikacja nic nie da. Trzeba proces wymiany zabezpieczyć tak, aby móc potwierdzić tożsamość czymś więcej niż tylko łatwym do podrobienia dokumentem.
paciorek pisze:Druga sprawa, to wymiana kart SIM. Powinna być autoryzacja dwuetapowa. Np. z wykorzystaniem SMSów wysłanych na starą kartę SIM, lub za pośrednictwem QR CODE, taki QR Code generował by się w aplikacji, oraz znienawidzony przez wszystkich obrazek bezpieczeństwa.
Łatwe do obejścia, podobnie jak kod. Telefon zgubił, więc SMS traci rację bytu, a aplikacja przepadła z telefonem. Albo klient (nawet prawdziwy, a nie oszust) mówi, że kodu nie pamięta i co wtedy? Musi trafić w procedurę nadania mu dostępu na nowo, a w tym momencie trudno o stuprocentową pewność weryfikacji. Plus wysyła PlusKod5 razem z fakturą, ale to tylko do klientów abonamentowych, a klienci prepaidowi wcale nie podają adresu przy rejestracji.
Trzeba też pamiętać, że wymiana karty od ręki jest standardową procedurą od dwudziestu paru lat na wypadek utraty karty SIM, jej zablokowania, zmiany telefonu, uszkodzenia karty itp. Aby brak dostępu do numeru był jak najkrótszy.
W każdej tego typu procedurze trzeba uwzględnić przypadek klienta, który niczego nie pamięta, telefon z kartą zgubił i ma do okazania tylko siebie oraz dowód tożsamości. Czy to bank, czy operator mają swoje procedury dla takich przypadków i... oszuści potrafią znaleźć i wykorzystać w nich luki. Błędne koło.