DAJ CYNK
  • Aplikacje i usługi łączące świat finansów i technologii. Także dyskusje o tradycyjnych bankach jeśli są one nowoczesne i innowacyjne.
Aplikacje i usługi łączące świat finansów i technologii. Także dyskusje o tradycyjnych bankach jeśli są one nowoczesne i innowacyjne.

Moderator: Moderatorzy

Regulamin forum: 
Niech nie zmyli Was, że to dział Oprogramowanie.

Tutaj można dyskutować zarówno o aplikacjach związanych z finansami, ale też o usługach fitechów i tradycyjnych banków.

Uwaga! Nie akceptujemy żadnych reflinków, kodów polecających itp.
 #1064346  autor: Morvius
 04 lut 2019, 12:23
Remington pisze:
02 lut 2019, 13:25
A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.
Bardzo wygodne rozwiązanie. W mBanku autoryzacja przychodzi mi natychmiast, a samo potwierdzenie nie jest wybierane pinem a odciskiem linii papilarnych. Uważam, że to chyba jak dotąd najbezpieczniejsze rozwiązanie zaraz po Blik.

Klasyczny obserwator wątku.
 #1066429  autor: Remington
 01 mar 2019, 10:21
Dziś wchodzą zmiany ułatwiające proces MNP poprzez możliwość składania wniosków m.in. elektronicznie:
https://www.telko.in/zmiana-w-procedurz ... ia-numerow

Obawiam się, że będzie to doskonałe pole do nadużyć i przejmowania czyichś numerów. Operatorów jest kilkudziesięciu, a każdy ma swoje procedury i na pewno trafi się taki co łatwo przyjmie wniosek. Bez podpisu elektronicznego nie da się przecież na odległość zweryfikować tożsamości wnioskującego, a podpisów cyfrowych niemal nikt w Polsce nie ma.
 #1066442  autor: umcusumc
 01 mar 2019, 11:13
A wystarczyłoby zamiast "elektronicznie" dać zapis o profilu zaufanym (dla osób fizycznych). Też uważam, że możliwość uruchomienia procedury zmiany dostawcy za pomocą wysłania zaledwie imienia, nazwiska i PESELu to proszenie się o kłopoty. Trzeba jeszcze podać dotychczasowego operatora, niemniej zabezpieczenie praktycznie żadne.
 #1066454  autor: Remington
 01 mar 2019, 12:09
Profil Zaufany przeznaczony jest tylko dla administracji publicznej nie dopuszczają do korzystania z niego żadnych innych instytucji, np. sądów, tym bardziej prywatnych firm.

Za to wprowadzają dowód osobisty z "warstwą elektroniczną", która nie będzie obowiązkowa, niedostępna dla innych instytucji niż państwowe, a jego warstwa "fizyczna" (wykorzystywana niemal wszędzie) nadal będzie prosta do podrobienia.
 #1066464  autor: umcusumc
 01 mar 2019, 12:32
Nie wiem jak to wygląda w przypadku e-dowodu, wiem za to jak wygląda to rozwiązanie w Belgii. I choć z punktu widzenia prywatności jest to słabe, to z danych z dowodu może skorzystać każdy, włącznie z właścicielem. Jest to o tyle ciekawe, że jest tam zapisane wszystko, od wizyt lekarskich, przez wydane leki, produkty zakupione na raty, punkty karne. Jeśli polski e-dowód nie przewiduje takiej funkcjonalności, to znaczy że zmarnowaliśmy szansę na sensowne wykorzystanie tego kawałka plastiku. Co do profilu zaufanego - nie wgryzałem się w takie szczegóły. Jeśli tak jest jak piszesz, to jest to kolejna zmarnowana szansa.

Tak czy inaczej bezpieczeństwo zmiany operatora za pomocą maila wola o pomstę do nieba.
 #1073538  autor: kemsinenu
 08 cze 2019, 15:23
W temacie SIM-swap:
Jak to skutecznie robią w Mozambiku? https://niebezpiecznik.pl/post/szkoda-z ... -kart-sim/
Niektórzy operatorzy jednak myślą o problemie. https://niebezpiecznik.pl/post/czy-graf ... karty-sim/
Zastanawiam się, czy którykolwiek z operatorów w PL wprowadził możliwość ustawienia dodatkowego hasła/PINu do wymiany karty SIM? Czy ktoś coś słyszał? Podobno w USA są takie możliwości u niektórych opów.

Otwierają się możliwości zastosowania Profilu Zaufanego poza administracją rządową. Można podpisać dowolny dokument PZ, przesłać komuś np. emailem, a odbiorca może sprawdzić poprawność podpisu na tej samej stronie. Nie wiem jednak czy np. podpisanie umowy najmu w ten sposób byłoby wiążące.
https://www.gov.pl/web/uslugi/podpisz-d ... is-zaufany
Z PZ jest jednak pewien problem: autoryzacja operacji podpisu SMSem. Dodatkowo w SMSach brak informacji co właściwie podpisujemy.

Niebezpiecznik porównał szczegółowo różne sposoby autoryzacji w bankach:
https://niebezpiecznik.pl/post/autoryza ... -przelewy/

Trafiłem na całkiem dobry przewodnik co zrobić przed, w trakcie i po wrogim przejęciu numeru telefonu:
https://medium.com/mycrypto/what-to-do- ... 67f296ef4d
Podobają mi się podpowiedzi jak w stresie rozmawiać z konsultantami. Niestety nie wszystkie porady są do zastosowania w Polsce, np. Google Voice/Fi. Jest też podlinkowana lista kontaktów do instytucji zajmujących się takimi sprawami. Wydaje mi się, że w Polsce jest to niepoprawny kontakt: Komenda Główna Policji. Prawdopodobnie trzeba zgłosić to w najbliższej jednostce policji. https://cipherblade.com/cybercrime-reporting/
 #1073541  autor: Remington
 08 cze 2019, 16:05
kemsinenu pisze:
08 cze 2019, 15:23
Otwierają się możliwości zastosowania Profilu Zaufanego poza administracją rządową. Można podpisać dowolny dokument PZ, przesłać komuś np. emailem, a odbiorca może sprawdzić poprawność podpisu na tej samej stronie.

Gdzie coś takiego jest możliwe?
 #1102493  autor: Remington
 04 wrz 2020, 16:36
Najnowszy news:
https://www.telepolis.pl/wiadomosci/bez ... 370-tys-zl

W tym przypadku Orange mogło tylko porównać nr dokumentu, bo skserować go nie mogli, a oszust najczęściej ma replikę z poprawnym numerem. Można jeszcze jakoś skomplikować procedurę i jeśli jest stara karta na wymianę to aktywować nową od razu, a jeśli nie to po np. 24 godzinach zwłoki itd.

Podobno od sierpnia 2021 dowody osobiste będą obowiązkowo biometryczne. Bez masowego wprowadzenia biometrii w dowodach osobistych (i obowiązku jej stosowania) nie będzie wiarygodnego sposobu weryfikacji tożsamości.
 #1102494  autor: forum_tg
 04 wrz 2020, 17:37
Remington pisze:
02 lut 2019, 13:25
A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.
Super rozwiązanie
Przy zabezpieczeniu telefonu hasłem plus hasło z aplikacji banku i dodatkowo hasło potwierdzające płatność jest dość dobrym rozwiązaniem
 #1102498  autor: toms
 04 wrz 2020, 18:45
2020-09-04 18:12:46

Remington - mam kilka pytań do Ciebie z różnych postów, dlatego piszę oddzielnie.
Po pierwsze - żeby uwierzytelnić się w przeglądarce przy logowaniu trzeba:
-znać login,
'-znać hasło,
-znać numer telefonu podpięty pod konkretne konto.
Trochę za dużo tych danych dla złodzieja, nie uważasz?
Moim zdaniem to grubsza sprawa, bo skąd złodziej wziął te wszystkie dane?

No i kwestia wymiany sim.
Jak karta się uszkodzi, w jaki sposób ją zweryfikujesz przez sms?
Na miejscu pracownika salonu, najpierw zadzwonił bym pod wskazany numer, celem dodatkowej weryfikacji.
I wówczas oszustwo wyszło by na jaw, bo prawowity właściciel odebrałby ten telefon, lub przynajmniej byłby sygnał, że numer jest zalogowany.


2020-09-04 18:15:39

Po drugie, konsultanci mają wgląd we wszystkie dane i jeśli karta nie uległa kradzieży, zagubieniu czy zniszczeniu, łatwo można odczytać jej numer wytłoczony na obudowie i zweryfikować go.
Brak karty - telefon kontrolny na wymieniany numer.
Skoro w bazie nie można umieszczać skanów dowodu osobistego, to przynajmniej powinien być dostępny wizerunek właściciela. To też zawęża możliwość oszustw moim zdaniem.
Cała akcja było moim zdaniem dokładnie zaplanowana.
Złodziej jakimś cudem wszedł w posiadanie loginu, hasła i numeru dostępowego.
No i wiedział kogo okrada, skoro właściciel stracił aż 370 tysięcy.
Myślę, że w sprawę mogło być zamieszane większe grono osób.
Ostatnio zmieniony 04 wrz 2020, 19:02 przez Remington, łącznie zmieniany 1 raz. Powód: skopiowane ręcznie z komentarzy na portalu
 #1102499  autor: Remington
 04 wrz 2020, 18:46
toms zacznę od końca. To wszystko.co piszesz o procesie po stronie sieci ma sens. Rzecz w tym, że operatorów jest kilkudziesięciu i każdy musiałby mieć tak szczelne procedury. Przynajmniej najwięksi mają interes by procesy uszczelnić. Ale nawet pomysł z zadzwonieniem na starą kartę ma lukę: oszust powie, że ktoś ukradł mu telefon lub go zgubił, wtedy pracownik przecież nie zadzwoni z prośbą o potwierdzenie kradzieży. Trzeba pamiętać, że wymian kart jest dziennie zapewne setki, a oszustw promil. To usypia czujność, a i operatorzy mają w nosie skutki wydania karty nieuprawnionej osobie, wykraczające poza nabicie rachunku.

Co do loginu i hasła oraz numeru to są dwa aspekty.

Pierwszy, że minęły czasy wyłącznie ataków niespersonalizowanych, gdy ogół ludzi był celem tego samego ataku. Dziś często jest to atak na konkretną osobę, wcześniej odpowiednio przygotowany - gdy znają jego dane, w jakim banku ma większość pieniędzy itd. Kopia dowodu osobistego to jeden z elementów takiego ataku, ona też przecież nie powstaje ot tak, od ręki. Czasem tej konkretnej osobie metodami psychologicznymi wgrywany jest szpieg na telefon, wtedy nawet SIM Swap jest zbędny.

Drugi, że dysponując podróbką dowodu osobistego wcale nie trzeba znać hasła i loginu do banku. Wystarczy podmienić u operatora kartę SIM, a potem zadzwonić do banku, że zapomniało się loginu i hasła... Nieliczne banki w tej sytuacji każą udać się do oddziału. Przepytają z danych, wyślą SMS lub zadzwonią na ten nr telefonu itd.
 #1102563  autor: paciorek
 05 wrz 2020, 17:26
Szanowni

Dlatego w Bankach powinna być autoryzacja PUSH, jako oczywiście alternatywna. Druga sprawa, to wymiana kart SIM. Powinna być autoryzacja dwuetapowa. Np. z wykorzystaniem SMSów wysłanych na starą kartę SIM, lub za pośrednictwem QR CODE, taki QR Code generował by się w aplikacji, oraz znienawidzony przez wszystkich obrazek bezpieczeństwa. Logowanie do BOK nie powinno być przez adres email, lecz poprzez ostatnie kilka cyfr np. z nr karty SIM, nr ewidencyjny abo i td, lub losowo generowany, tak jest w bankach. Druga rzecz, to opy powinny mieć dostęp do bazy MZWiA odnośnie matchowania nr PESEL z NR DOWODU, tak aby zweryfikować, czy dowód nie jest dowodem kradzionym. Lub w POKACH autoryzować specjalnie wymyślonym PINEM, lub kartą płatniczą :P