18 listopada 2020

Pan Kamil jest szczuplejszy o 200.000 zł. Wszystko przez „sklonowaną” kartę. Dlaczego banki i telekomy ciągle pozwalają na takie numery?

Pan Kamil jest szczuplejszy o 200.000 zł. Wszystko przez „sklonowaną” kartę. Dlaczego banki i telekomy ciągle pozwalają na takie numery?

Zgłosił się do nas prawnik, który walczy o odzyskanie 200.000 zł dla swojego klienta, któremu ktoś „sklonował” kartę SIM i wyprowadził pieniądze z konta. Oszustwo jest znane i już na „Subiektywnie o finansach” opisane, ale z odzyskaniem pieniędzy łatwo nie jest. A złodzieje wciąż wykorzystują łatwowierność telekomów i ich brak komunikacji z bankami. Co robić, żeby nie podzielić losu pana Kamila? Jak się bronić? Kto tak naprawdę odpowiada za nieautoryzowane transakcje dokonane dzięki „klonowaniu” karty SIM?

Gdy pan Kamil z Warszawy w jeden z lipcowych dni w 2020 r. wracał z siłowni i dostał wiadomość zaskakującej treści: „Hasło SMS do aktywacji aplikacji mobilnej to 1234. Wpisz je w aplikacji mobilnej i nie przekazuj go nikomu”. Nasz czytelnik nie tylko nikomu go nie pokazał, ale też nawet nikomu nie zdążył o dziwnym SMS-sie powiedzieć, bo zaraz dostał dwa następne. Jeden o „zmianie karty SIM” i ostatni o tym, że: „zlecenie numer 1234 zostało wykonane. Dziękujemy”.

Zobacz również:

Nie miał zielonego pojęcia o co może chodzić, ale żeby wyjaśnić sprawę w te pędy pobiegł do najbliższego salonu swojego operatora komórkowego sieci Plus. Generalnie nie wiedział od czego zacząć, więc tylko pokazał treść SMS-ów. Pracownik się zadumał, wklepał kilka danych do komputera, po czym ogłosił wyrok:

„Numer telefonu, na który została zawarta umowa z operatorem, został „przepisany” na inną kartę SIM i jest obecnie użytkowany w Bydgoszczy”

W Bydgoszczy? – powtórzył pan Kamil, po czym dodał, że tego akurat miasta nigdy nie odwiedził. Wyjaśnił więc w pracownikowi, że on nie złożył takiej dyspozycji i zażądał natychmiastowego zablokowania karty SIM. Zapytał też, o co tu w ogóle chodzi, ale żaden z pracowników salonu nie był w stanie odpowiedzieć jak doszło do „przepisania numeru na inną kartę SIM”. Pracownicy uznali, iż mógł mieć miejsce „jakiś błąd w systemie”, jednak nie potrafili wyjaśnić jakiego to typu błąd i jakie konsekwencje może spowodować.

Oszustwo, nazwane SIM-Swap, polega na tym, że przestępcy, dysponujący naszymi danymi osobowymi, mogą skutecznie złożyć wniosek o wydanie nowej karty do telefonu po to, by otrzymywać SMS-y autoryzujące przelewy. Służy do tego dobrze podrobiony dowód osobisty z prawdziwymi danymi oraz fałszywym zdjęciem ofiary. Po poprzedniej fali tego typu oszustw telekomy przeszkoliły pracowników i uczuliły ich na bardzo dokładne sprawdzanie tożsamości osób występujących o nową kartę SIM. Jak widać, minęło trochę czasu i problem powrócił.

Czytaj też: Dane z dowodów osobistych i smartfonów, dane osobowe, tożsamość – to dziś cel złodziei. Jak nie dać się okraść z „cyfrowego majątku”?

Czytaj też: Złodzieje ogołocili twoje konto? Bank musi ci oddać pieniądze następnego dnia. Jest jeden wyjątek, który niestety stał się regułą

Pobojowisko na bankowym koncie pana Kamila

Ponieważ pan Kamil nie zdawał sobie sprawy z tego, że oszuści, „klonując” kartę SIM, sforsowali ostatnią blokadę, która dzieliła ich od pieniędzy na jego koncie,  nie spieszył się ani ze zmianą hasła, ani z zastrzeżeniem karty, czy wyłączeniem numeru telefonu jako metody autoryzacji przelewów.

Po powrocie do domu próbował się zalogować do systemu bankowości elektronicznej, ale za każdym razem jego hasło, którego był pewien, że nie pomylił, było odrzucane. Na infolinii pan Kamil ustanowił nowe hasło, a przy okazji dowiedział się, że kilka godzin wcześniej „zlecił” założenie karty mobilnej. Gdy w końcu się zalogował, zobaczył prawdziwe pobojowisko: mnóstwo nieautoryzowanych przez niego transakcji, z których wynika, że oszuści nie gardzili ani gotówką, ani przelewami: pięć razy wybrali gotówkę z bankomatu przy pomocy BLIK-a, a także zrobili sporą liczbą przelewów do jakiejś spółki-krzak. W sumie ich urobek to 200.000 zł.

Co zrobił czytelnik? A może raczej – co powinien zrobić? W pierwszej kolejności złożył reklamacje w swoim banku, czyli Millennium, z żądaniem zwrotu 200.000 zł. Argument: transakcje nie były przez niego autoryzowane. Niestety, nie przyniosło to żadnego efektu. Potem więc nasz bohater złożył kolejną reklamację. I znowu jak grochem o ścianę. W końcu pan Kamil poszedł do prawnika.

„Fakt, mój klient złożył sporo reklamacji i każda z nich została odrzucona. Bank jednak nie przedstawił powodów ich odrzucenia, wskazał jedynie, że ich nie uznaje, a „zwrotu przedmiotowej kwoty należy dochodzić przez właściwy organ ścigania”

– mówi nam Mateusz Radomyski z Kancelarii Prawnej Capital Legal, która – jak sama o sobie mówi – wyspecjalizowała się ostatnio w sprawach SIM-swap-fraud. Oszustwo to widać ma tyle „ofiar”, że kancelariom prawniczym opłaca się w nich specjalizować.

Sprawa została skierowana do sądu. Historia pana Kamila nie jest ani pierwsza, ani największa – rekordziście zrabowano ponad 1 mln zł. Teraz jednak, jak relacjonuje nam prawnik, okazuje się, że banki wcale nie kwapią się do oddawania tak przywłaszczonych pieniędzy. Oszustwo jest więc bezkarne.

Czy można się dziwić bankowcom, że stają okoniem? To nie one dopuszczają do zamiany karty SIM i wydania nowej komuś, kto nie został porządnie zweryfikowany. Z drugiej strony: bankowcy mają systemy monitoringu i mogą próbować sprawdzać nietypowe, duże transakcje na kontach klientów.

Gdyby jeszcze telekomy za każdym razem przekazywały do bankowych baz danych informację o wydaniu nowej karty SIM do telefonu, to bankowcy mogliby dodatkowo przyglądać się takiemu klientowi i założyć dodatkowy filtr na duże transakcje. Nie wiemy, czy taka wymiana informacji funkcjonuje, a jeśli tak, to czy po obu stronach jest precyzyjna i błyskawiczna.

Klient tym razem nie prosił nas o pomoc ani pośrednictwo w mediacjach z bankiem – jego plan to ‚iść na całość”, czyli do sądu. Ale sam bank nie chciał zostawić, tej sprawy bez komentarza (zaznaczając, że nie zna tego konkretnego przypadku).

Opisane w artykule działania przestępców są możliwe tylko przy użyciu poufnych kodów/haseł, które powinny być znane jedynie klientom. Niestety w wielu przypadkach ich przyczyną jest nieostrożność klienta, która umożliwia osobom trzecim ich pozyskanie. Dlatego banki, w tym Bank Millennium, prowadzą wiele działań edukacyjnych, pomagających podnosić świadomość klientów w zakresie bezpiecznej obsługi swoich produktów bankowych w intrenecie. Podkreślamy również, że banki nie mają uprawnień do dochodzenia, czy działania zgłaszane przez klientów mają charakter oszukańczy lub przestępczy. Dlatego wszelkie tego typu sprawy powinny być zgłaszane do organów ścigania, we współpracy z którymi klienci mogą dochodzić zwrotu środków.

Oszustwo na SIM. Odkręcanie jest trudne

Według Rzecznika Finansowego, który niedawno wydał ostrzeżenie przed oszustwami polegającymi na klonowaniu kart SIM, miesięcznie w bankach próbuje się dokonać kilkanaście tysięcy nieautoryzowanych transakcji (ale nie wiadomo czy znaczący odsetek związany jest z klonowaniem kart). Problem w tym, że próby odzyskania pieniędzy od banków, gdy już do nieautoryzowanych transakcji dojdzie, są często skazane na porażkę i walkę w sądach.

„W ostatnim okresie podjęliśmy szereg interwencji związanych ze stwierdzeniem niewłaściwego działania banków w odniesieniu do nieautoryzowanych transakcji. Nasze interwencje obejmowały także wystąpienie na drogę sądową w imieniu osób poszkodowanych w wyniku nieautoryzowanych transakcji”

mówi Rzecznik Finansowy Mariusz Golecki. Potwierdza to w rozmowie z nami mecenas z kancelarii Capital Legal, która ma coraz więcej takich spraw na wokandzie. W czym problem? Dlaczego nie wystarczy zwykła reklamacja? Przecież gołym okiem widać, że to oszustwo. Zgodnie z ustawą z dnia 19 sierpnia 2011 r. o usługach płatniczych, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank ma obowiązek zwrócić klientowi pełną kwotę.

„Transakcja nieautoryzowana to transakcja, na którą płatnik – klient banku – nie wyraził zgody w sposób wskazany w umowie z bankiem. Jeśli więc transakcje zostały zrealizowane bez zgody płatnika oraz w okolicznościach, za które nie ponosi on odpowiedzialności, a następnie płatnik dokonał zgłoszenia wystąpienia nieautoryzowanych transakcji, to wówczas wyłączona jest jego odpowiedzialność za transakcje, a bank powinien zwrócić środki”

– uważa Mateusz Radomyski. Ale są dwa wyjątki. Pierwszy –  jeśli bank sam podejrzewa i ma co do tego uzasadnione przesłanki, że klient coś kręci i chce wyłudzić kasę, to może zawiadomić pisemnie organy powołane do ścigania przestępstw. Ale to już wytoczenie ciężkich dział, poza tym trzeba mieć jakieś przesłanki żeby oskarżyć cieszącego się nieposzlakowaną opinią klienta o taki przekręt.

A drugi? Jeśli klient ma „zasługi” w tym, że oszuści weszli w posiadanie jego danych do logowania, czyli rażące niedbalstwo, to również może nie oddać pieniędzy. Ale kiedy możemy mówić o rażącym niedbalstwie? Sąd Okręgowy w Łodzi tłumaczy to tak (wyrok z 20 grudnia 2016 r., sygn. akt III Ca 1101/16):

„O rażącym niedbalstwie można by mówić, gdyby powódka całkowicie świadomie udostępniła kartę lub numer innej osobie, bądź przechowywała dane umożliwiające dostęp do jej konta w sposób umożliwiający swobodne korzystania z nich osobom niepowołanym”

W tej historii w ogóle nie ma roli telekomu. Czytelnik mógłby próbować dochodzić od niego roszczeń na drodze cywilnej, ale to długie i żmudne. Tym bardziej, że to pracownicy dali się oszukać, więc można powiedzieć, że też są w jakimś sensie ofiarami tej sytuacji, choć nie brakuje głosów, że telekomy powinny brać odpowiedzialność za takie oszustwa na równi z bankami.

Już dwa lata temu ówczesny prezes Urzędu Komunikacji Elektronicznej, który nadzoruje telekomy, „rekomendował” by na poważnie wzięli się za wykrywanie i zapobieganie tego typu przestępstwom.

Czytaj też: Zastrzeżenie Kredytowe, czyli ochrona przed oszustami, gdy nie masz ochoty na kredyt. Jak działa i czy warto z niego skorzystać?

Czytaj też: Dane z dowodów osobistych i smartfonów, dane osobowe, tożsamość – to dziś cel złodziei. Jak nie dać się okraść z „cyfrowego majątku”?

Trzy warunki udanej zbrodni. Jak przerwać łańcuch nieszczęść i powstrzymać oszustwo?

Żeby oszustwo się udało potrzebny jest splot trzech okoliczności. Po pierwsze, wyciek danych osobowych. Prawdopodobnie przestępcy żeby wyrobić nową kartę SIM, posługiwali się podrobionymi dowodami tożsamości, tzw. kolekcjonerskimi, które do złudzenia przypominają te prawdziwe. Co prawda od połowy 2019 r. wyrabianie takich plastików jest już zakazane i zagrożone więzieniem.  Ale determinacji oszustów to wcale nie ostudziło. Dlatego tak ważne jest żeby nie dać sobie pozwolić kserować, skanować dowodów (chociaż banki i tak mają do tego prawo, ale już nie biblioteki, czy wypożyczalnie różnorakiego sprzętu).

Po drugie – wyciek danych do logowania. Banki do znudzenia powtarzają „chroń swoje dane”, „chroń swoją tożsamość”, „nie loguj się w obcych sieciach wi-fi”, a jeśli korzystasz z publicznego albo pożyczonego komputera lub smartfona, zawsze czyść do kości historię przeglądania, zapisane hasła, które przeglądarki uwielbiają teraz utrwalać. Żeby wyczyścić komuś konto, trzeba się do niego włamać. Nie ma sensu łamać haseł i zgadywać loginów, bo pod tym względem systemy zabezpieczeń mogą okazać się nie do przejścia.

Najczęściej to my sami podajemy na tacy komplet danych, gdy tylko ktoś o nie poprosi, np.  wysyłając maile łudząco podobnego do maila z banku, w którym prosi o zalogowanie do systemu bankowości elektronicznej, który jest stroną oszustów. To dlatego banki powtarzają, że nigdy, ale to nigdy nie proszą klientów w mailach o podanie danych logowania.

Po trzecie – przestępcy muszą namierzyć ofiarę, rzadko jest to osoba przypadkowa. Patrząc na dane statystyczne dotyczące oszczędności Polaków, to przeciętny Polak ma na koncie 30.000 zł. Można więc zaryzykować stwierdzenie, że mało kto ma na koncie 200.000 zł wolnych środków, które można w kilkanaście minut wytransferować. A Rzecznik Finansowy mówił o kolejnych dwóch przypadkach, w których klienci stracili łącznie 650.000 zł.

Grabież tożsamości, wyrobienie dowodu kolekcjonerskiego, zamówienie klonu SIM wymaga sporych nakładów sił, środków no i ryzyko wpadki. Mało prawdopodobne, by oszuści łapali swoje ofiary na „chybił-trafił”. Albo są w posiadaniu dużej liczby danych do logowania i sprawdzają kto ile ma na koncie albo namierzają ofiarę w realu.

Co robić gdy dostaniemy już dostaniemy SMS-a grozy, o tym, że operator przyjął dyspozycję wydania karty SIM albo że zmieniono metodę autoryzacji? Po pierwsze: kontakt z bankiem i zastrzeżenie wszystkiego co się da. Karty, konta, ale też metody autoryzacyjnej. Po drugie, kradzież – jeśli do niej dojdzie – należy zgłosić organom ścigania, tj. prokuraturze lub jednostce policji – bez tego bank nawet nie kiwnie palcem. Nasz rozmówca – prawnik – twierdzi, że komendy wojewódzkie policji powołały specjalne wydziały zajmujące się zwalczaniem cyberprzestępczości, których celem jest zwalczanie przestępstw SIM-swap, więc raczej nikt nas nie spuści na drzewo.

Jeśli chcecie więcej szczegółów, to tutaj obowiązkowy zestaw przetrwania:  Trzy rzeczy, które każdy powinien zrobić, żeby jego pieniądze były bezpieczniejsze. 

Minęły 2-3 lata od opisania pierwszych przypadków klonowania kart SIM i oszustwo takie wciąż się zdarza. W dodatku odzyskiwanie pieniędzy to nie jest bułka z masłem. Piszcie, czy spotkaliście się z podobnymi przypadkami.

————————-

POSŁUCHAJ PODCASTU „FINANSOWE SENSACJE TYGODNIA”

W najnowszym odcinku środowego podcastu „Finansowe sensacje tygodnia” rozmawiamy o tegorocznym Sylwestrze (czy można zarezerwować hotel i czy oddadzą pieniądze gdyby premier zrobił to, co z cmentarzami), o bezpiecznych patentach na walkę z inflacją (podajemy aż cztery pomysły!), o tym skąd wziąć lekarzy do walki z wirusem (z Niemiec, z Ukrainy, ze… szkoły?), o tym czy nieruchomości to naprawdę tak pewna inwestycja, jak myślą niektórzy (naprawdę wierzycie, że nie skonfiskują? to posłuchajcie tego) oraz o wpadce ubezpieczeniowej porównywarki.

Zapraszamy do posłuchania: trzeba kliknąć tutaj albo w baner poniżej.

źródło zdjęcia: Unsplash Paweł Czerwiński/Bermix Studio

Subscribe
Powiadom o
96 komentarzy
Inline Feedbacks
View all comments
nakreche
16 dni temu

przede wszystkim – NIE WOLNO korzystać z banków które wysyłają SMSy autoryzujące jako jedyna metoda 2FA (second factor auth). Należy założyć konto np. w mBanku i do autoryzacji podpiąć aplikację zamiast SMSów. To zabezpiecza przed dwoma rzeczami: SIMswap nic nie da… nawet jeśli jakimś cudem złodziej podepnie drugą apkę (to dużo trudniejsze niż SIMswap), to nasza obecna apka wyrzuci nam o tym ostrzeżenia – będzie czas zadziałać z bankiem. na ekranie apki, podczas potwierdzania operacji mamy pełne dane o tej operacji, a nie szczątkowe skróty, które zmieszczą się w SMS. Jest duża szansa, że jeśli ktoś spróbuje dodać np. zdefiniowane… Czytaj więcej »

nakreche
16 dni temu
Reply to  nakreche

w sumie, to dziwne, że nie piszecie o tym w swoich radach… a jest to rada fundamentalna… nad pozostałymi rzeczami mamy małą kontrolę (wycieki danych z dowodów osobistych, które gdzieś kiedyś podaliśmy, albo trojany na komputerze mniej zaawansowanych użytkowników, które kradną dane logowania). Ale akurat nad formą 2FA mamy pełną kontrolę, i TO WŁAŚNIE powinna być podstawowa rada w zabezpieczaniu swoich środków!

gosc
16 dni temu
Reply to  nakreche

SIMswap nic nie da… ” – to nie jest takie oczywiste. W niektórych bankach, które mają autoryzację mobilną procedury zmiany metod autoryzacji są niedoskonałe. Oszust może zmienić np telefonicznie metodę autoryzacji z mobilnej na sms i wtedy sim swap będzie skuteczny.
Co do autoryzacji mobilnej to tylko kwestia czasu kiedy oszuści sobie z nią poradzą.

nakreche
16 dni temu
Reply to  gosc

kwestia czasu? być może, a być może nie… Jeśli nawet, to wtedy zapewne banki udoskonalą apkę. (to mniej więcej tak, jakbyś pisał, że nie ma sensu kupować dobrego zamka do mieszkania, bo wcześniej czy później złodzieje i tak nauczą się go otwierać).

Póki co 2FA w postaci SMSów albo zdrapek – to metody z późnych lat 90. Dziwne, że ten portal o tym nic nie pisze…

Apka autoryzacyjna jest ZNACZNIE bezpieczniejsza niż tamte metody.

Last edited 16 dni temu by nakreche
Admin
16 dni temu
Reply to  nakreche

Pełna zgoda, autoryzacja przez aplikację mobilną to de facto podwojenie krycia – dostęp do numeru telefonu nic nie da, potrzebne jest samo urządzenie, żeby zatwierdzić transakcję

gosc
16 dni temu
Reply to  nakreche

Chyba nie zna Pan obecnych możliwości trojanów bankowych np anubis:
https://android.com.pl/artykuly/138609-android-malware-google-play-anubis/

nakreche
16 dni temu
Reply to  gosc

dlatego bardzo ważne by jasno dodać: obecnie tylko telefon oparty o iOS daje sensowne poczucie bezpieczeństwa…

gosc
16 dni temu
Reply to  nakreche
nakreche
15 dni temu
Reply to  gosc

:-DDDDD
doskonały artykuł z forbsa… dobrze że słowo „Trojan na iOS” wzięli w cudzysłów.
te trojany na ajfona potrafią robić faktycznie straszne rzeczy… wyświetlają niechciane reklamy, drenują baterię i wzmagają ruch internetowy :-))))
i w dodatku żadnego z nich nie da się obecnie zainstalować… (spróbuj – są nawet linki!)

także postaraj się bardziej opisać, jaki ajfon niebezpieczny… (hint: pegasus)

gosc
15 dni temu
Reply to  nakreche

Zgłębiłem ten temat na tyle, że nie korzystam z aplikacji mobilnych.
Uważam również, że pieniądze są najbezpieczniejsze na koncie bez dostępu przez telefon i internet.

zeneusz
16 dni temu
Reply to  nakreche

daje złudne poczucie bezpieczeństwa bo to po prostu nisza

nakreche
15 dni temu
Reply to  zeneusz

statystycznie ludzie o większych środkach finansowych mają telefony oparte o iOS. Mimo to, w zależności od badań – od 97 do 99% trojanów przydarza się na androidzie.
iOS ma zamknięty (irytujący dla wielu, ale bezpieczny) system, sandboxing aplikacji, ścisłą kontrolę aplikacji w AppStore i brak możliwości instalacji apek spoza sklepu Apple. To wszystko powoduje, że jakiejkolwiek pokrętnej logiki nie użyjecie – iOS JEST BEZPIECZNIEJSZY.
Możecie dyskutować czy jest szybszy/wolniejszy/gorszy/lepszy/ładniejszy/brzydszy – ale ocena analityków bezpieczeństwa nie pozostawia wątpliwości co do tego który system jest bezpieczniejszy.

RobS
15 dni temu
Reply to  nakreche

Wolność wyboru zawsze niesie koszt. Stwierdzenie, ze iOS jest bezpieczniejszy od Andorid jest nadużyciem. Wszytko zależy od tego jak używamy danego systemu. Jeżeli zachowasz podstawowoe zasady bezpieczenstwa które z automatu są na iOS wymuszane to mozesz czuć sie bezpiecznie. Po prostu iOS zwalnia z myślenia, ale zabiera też wolność wyboru.

BdB
15 dni temu
Reply to  RobS

To nie jest nadużycie, idea Androida tj. otwartość sprawiła, że jest on dziurawy, podobnie jak niska jakość weryfikacji aplikacji przez Google. W Apple jest odwrotnie, ograniczenia systemu i weryfikacja aplikacji sprawiają, że wirus to rzadkość porównywalna z yeti, a żadnego bankowego dotąd nie wymyślono.

robert
9 dni temu
Reply to  BdB

wszystko w temacie androida i pozyskiwania danych z telefonu: https://strefa.biz/prawo/pegasus-czy-cba-faktycznie-go-kupilo/

Pibloq
15 dni temu
Reply to  nakreche

A najlepiej, gdyby mój bank dawał mi możliwość wyboru „siły” zabezpieczania głównych, newralgicznych zleceń, jak: przelew wysokiej wartości (lub przekroczenie sumy dziennej), wyrobienie karty wirtualnej, wypłaty blik powyżej X zł/dziennie, zmiana numeru telefonu. Chciałbym takie transakcje zabezpieczyć podwójnie albo potrójnie, typu aplikacja mobilna + sms + obrazek albo użycie słowa klucz.

BdB
15 dni temu
Reply to  Pibloq

Jaki problem trojanem nagrać wybierane obrazki czy słowa.

Radek
16 dni temu
Reply to  nakreche

„to nasza obecna apka wyrzuci nam o tym ostrzeżenia – będzie czas zadziałać z bankiem.”
w jaki sposób to zrobi? Jak złodziej dobierze się do SIM ofiary to usługi zostaną przepięte na nową kartę, a to oznacza, że telefon ofiary i aplikacja nie ma dostępu do Internetu. Ani na siłowni, ani w drodze do salonu Plusa czy Millenium lub domu telefon nie będzie komunikował się z niczym. Prawda/fałsz?

Bohdan
16 dni temu
Reply to  Radek

W domu to raczej większość ma WiFi. Ale już w drodze – racja, stara karta przestaje działać.

nakreche
15 dni temu
Reply to  Radek

zmienialiśmy z moją dziewczyną telefony tydzień temu. przeszliśmy przez oba scenariusze… ja kliknąłem, że mam „stare” urządzenie i zanim przypiąłem nową apkę, musiałem zezwolić na to na starym urządzeniu moja dziewczyna kliknęła, że nie ma starego urządzenia (scenariusz: zepsute/zgubione) i mogła przypiąć nową apkę TYLKO jeśli podała poprawny pin do *starego* mobilnego urządzenia. (inny niż hasło do www banku) oczywiście w obu przypadkach stara apka „krzyczała”, że przypięte jest nowe urządzenie, ale to już tylko formalność. faktycznie – gdyby nie było internetu – to by nie krzyczała. oprócz pegasusa (który mają tajne służby paru krajów, a liczba jego aktywnych instalacji… Czytaj więcej »

BdB
15 dni temu
Reply to  nakreche

Dlaczego niby się nie powiedzie? Reset bankowości internetowej i kobilnej dzięki SIM swap się uda, a potem kasa wypłynie.

nakreche
14 dni temu
Reply to  BdB

przeczytaj raz jeszcze… atak SIM-swap nie działa na aplikację mobilną. opisałem proces zmiany urządzenia i dodania aplikacji… jeszcze raz: SIM-swap NIE działa jeśli masz apkę mobilną mBanku.

Krzysztof
15 dni temu
Reply to  nakreche

Proszę Cię mBank akurat w żaden sposób nchroni twoich pieniędzy, taki jest dziś świat banki nie chronią twoich pieniędzy w ogóle maja to gdzieś.

mKlient
15 dni temu
Reply to  nakreche

mBank umożliwi zlecanie przelewów bez potwierdzania kodem z SMS-a czy mobilną autoryzacją
https://www.cashless.pl/8917-mbank-przelewy-bez-autoryzacji
„mBank opublikował właśnie nowy regulamin, który zacznie obowiązywać w przyszłym roku. Wśród wprowadzonych nowości najciekawszą jest zdaje się funkcja, dzięki której klienci będą mogli wykonywać przelewy zewnętrzne do 500 zł bez potwierdzania kodem jednorazowym z SMS-a czy tzw. mobilną autoryzacją. Co więcej nowa usługa zostanie automatycznie włączona wszystkim klientom korzystającym z serwisu internetowego.”

Klienci chcą aby było wygodnie a mBank chce zaoszczędzić na sms. Ciekawe czy mBank weźmie odpowiedzialność za wszystkie nieautoryzowane transakcje do 500 zł. ?

BdB
15 dni temu
Reply to  mKlient

Nie musi, za nieautoryzowane do jakiejś kwoty euro odpowiada klient. Ale silne uwierzytelnienie tu jeszcze dochodzi, a ono jest z autoryzacją.

Robert Sierant
16 dni temu

w jaki sposób udało się wyrobić nową kartę sim? bo to chyba jest kluczowe w tej metodzie

BdB
16 dni temu
Reply to  Robert Sierant

Pokazali podrobiony dowód osobisty

gosc
16 dni temu
Reply to  Robert Sierant

W Polsce czytałem o 2 metodach – podrobiony dowód w salonie lub wyłudzenie duplikatu sim na infolinii (np gdy operator nie ma salonów). W USA czytałem o przypadkach gdy pracownicy telekomów brali łapówki.

Robert Sierant
16 dni temu
Reply to  gosc

czyli musieli znać dane z dowodu czy tylko imię, nazwisko i powiedzmy zdjęcie?

gosc
16 dni temu
Reply to  Robert Sierant

co najmniej imię, nazwisko, pesel, seria i numer dowodu – te dane powinien sprawdzić pracownik salonu, na podrobionym dowodzie jest zdjęcie oszusta

BdB
15 dni temu
Reply to  gosc

Numer i seria dowodu bez znaczenia, bo są zmienne. Wystarczy wejść imię, nazwisko i PESEL.

sparky
16 dni temu

Jedno mnie zastanawia. Przecież nawet mając kartę SIM, do banku trzeba się najpierw zalogować. Skąd znali hasło?

gosc
16 dni temu
Reply to  sparky

W niektórych bankach przejęcie kontroli nad numerem telefonu wystarcza do zrobienia resetu hasła (procedura zmiany hasła gdy się go zapomniało).

Marek
16 dni temu
Reply to  sparky

Phishing. Zadzwonili na infolinię, podali przekonywującą łzawą historyjkę, że trzeba u lekarza zapłacić za leczenie chorej babci i przekonali kogoś na infolinii do zresetowania hasła.

nakreche
16 dni temu
Reply to  sparky

to nie był przecież fiszing wysłany do miliona osób! to są ataki precyzyjnie celowane… najpierw wytypowali faceta, o którym wiedzieli, że może mieć kasę. Być może od jego byłej, być może od wspólnika. Wiedzieli pewnie sporo o nim, poznali jego pełne dane i wyrobili na niego dowód osobisty, potem pewnie zainstalowali mu trojana i poznali hasło… a na końcu zrobili SIMswap. Miesiące przygotowań. dlatego do znudzenia powtarzam: ZERO SMSow czy zdrapek… te metody byly uzywane w poznych latach 90. Jedynie apka autoryzacyjna w dobrym banku (np mBank) + mobilny system oparty na iOS daje sensowne poczucie bezpieczeństwa. wystarczy poczytać raporty… Czytaj więcej »

Radek
16 dni temu
Reply to  nakreche

Czy mBank wspiera protesty osób oszukanych przy pomocy SIM swap?

Piotrek
15 dni temu
Reply to  Radek

Nie, ale za to wspiera proaborcyjne protesty lewackie 🤣

zeneusz
16 dni temu
Reply to  nakreche

a podpowiedz mi szanowny kolego w jaki sposób się tę aplikację mobilną na nowym telefonie aktywuje? czy przypadkiem nie właśnie poprzez SMS lub kod podany przez automat dzwoniący na numer telefonu? jeśli ofiara korzystałaby z mobilnej autoryzacji to po prostu wcześniej sprawcy zainstalowaliby aplikację na swoim telefonie i ją aktywowali bo pewnie posiadali wszystkie niezbędne informacje by to zrobić, a automat zadzwoniłby już przecież do nich.

nakreche
15 dni temu
Reply to  zeneusz

żeby aktywować apkę na nowym – trzeba najpierw dezaktywować aplikację na „starym” urządzeniu.
jeśli się zgubiło/popsuło stare – są dodatkowe kroki autoryzacyjne.
a w dodatku stare urządzenie daje znać powiadomieniami, że ktoś próbuje go zdezaktywować i zaaktywować nowe.

generalnie: atak jest wciąż możliwy, ale: 1. znacznie trudniejszy 2. łatwiejszy do wykrycia przez ofiarę.

BdB
15 dni temu
Reply to  nakreche

Nieprawda, żaden bank nie ogranicza liczby aplikacji do 1.

nakreche
15 dni temu
Reply to  BdB

akurat zmienialem telefon w mbanku tydzień temu, więc dokładnie wiem jak to działa. musiałem potwierdzić na „starym” urządzeniu, że dodaję nowe ZANIM dodałem nowe. sprawdź. to 5 minut roboty. potem dopiero komentuj.

BdB
15 dni temu
Reply to  nakreche

Mam akurat apkę mBanku na dwóch telefonach i nie musiałem nic potwierdzać inaczej niż wpisując kod wypowiedziany przez lektora.

zeneusz
15 dni temu
Reply to  nakreche

niedawno przełożyłem kartę SIM do nowego telefonu i na nim aktywowałem aplikację. stary telefon ciągle działał. nie wyskoczyło na nim żadne ostrzeżenie, a potem nawet ku mojemu zdziwieniu okazało się, że na starym telefonie apka mbanku dalej normalnie działa. przy aktywacji wystarczyło tylko podanie kodu z automatu, który zadzwonił. więc przy simswap mobilne autoryzacje to żadna ochrona, a po prostu kolejny krok do zrobienia dla oszusta. a dla uczciwego klienta dodatkowe problemy gdy np. zgubi telefon lub ten ulegnie awarii.

Last edited 15 dni temu by zeneusz
nakreche
14 dni temu
Reply to  zeneusz

mylicie się obaj…
obecnie NIE DODACIE apki mbanku na nowym urządzeniu bez wykonania jednej z czynnosci:
1. potwierdzenia na starym urządzeniu ze dodajecie apkę na nowym, LUB
2. wpisania na nowym urządzeniu PINu ze starego urządzenia

(faktycznie kiedyś nie było takich wymogów)

SIMswap nie działa jeśli masz apkę mbanku na urządzeniu iOS

nakreche
14 dni temu
Reply to  zeneusz

zakladam, ze mogliscie nie zwrocic uwagi na to, ze w pewnym momencie apka prosila o PIN ze starego urzadzenia… wpisaliscie pewnie trzy razy swoj pin (raz ze starego, dwa razy ustanawiajac taki sam na nowym).
to czego nie zauwazyliscie, to krok ktorego nie przejdzie atakujący metodą SIMswap. on nie zna PINu na Waszym urządzeniu.

Marek
14 dni temu
Reply to  nakreche

ze strony mbanku:

Nie pamiętam PIN-u do aplikacji mobilnej. Jak mogę go odzyskać?

Odzyskanie PIN-u nie jest możliwe. Musisz zalogować się do serwisu transakcyjnego, zablokować urządzenie i ponownie przejść proces połączenia urządzenia z aplikacją mobilną.

czyli posiadając wszystkie dane jak przestępcy z artykułu w dalszym ciągu jestem w stanie aktywować aplikację.

Piotr
16 dni temu

Prosze wspomnieć o tym ,z e tylko Plus ma usługę 2 Sim jednoczesne, u innych operatorów po sklonowaniu Sim, pierwszy przestaje działać.

Admin
16 dni temu
Reply to  Piotr

Celna uwaga, dzięki!

BdB
15 dni temu
Reply to  Piotr

T-Mobile też ma od czasów Ery, ma także Orange we Flex.

BdB
16 dni temu

Telekomom to wisi, bo nie odpowiadają za to w jaki sposób wykorzystuje się kartę SIM. Pełna odpowiedzialność jest po stronie banku, który opiera autoryzację o tak niepewny i zależny od innego podmiotu byt jakim jest karta SIM.

Randy
16 dni temu

Panie Macieju. Banki nigdy nie dbały o nasze bezpieczeństwo. Zawsze chroniły wyłącznie swój interes. Wielokrotnie spotykałem się jeszcze rok temu i wcześniej z przypadkami, że dzwonił do mnie konsultant z nieznanego numeru telefonu i pierwsze pytanie, to podaj numer PESEL i inne informacje, bo musimy cię zweryfikować, czy ty to ty. Informacje te w komplecie dawały możliwość przejęcia konta bankowego przez osoby niepowołane. Zawsze pracownicy banków byli zdziwieni, że odmawiałem weryfikacji, bo oni mają PROCEDURY – najbezpieczniejsze w świecie. Tylko dla kogo one były najbezpieczniejsze ? Dla banków i jedynie dla nich. Oni mnie weryfikowali, a sami pracownicy banków nie… Czytaj więcej »

Admin
16 dni temu
Reply to  Randy

Jest prawdą, że banki dopiero niedawno zajęły się pomaganiem klientowi, któremu zaoferowały bankowość internetową i mobilną, żeby porządnie zabezpieczył się po swojej stronie

gosc
16 dni temu
Reply to  Randy

Banki mówią, że korzystanie z konta w oddziale jest bezpieczne, korzystanie z konta przez internet jest bezpieczne, korzystanie z aplikacji mobilnej jest bezpieczne.
Jednocześnie w oddziałach banków nie ma dziennych limitów przelewów, w bankowości internetowej większości banków są dzienne limity przelewów, w bankowości mobilnej dzienne limity przelewów są mniejsze niż w bankowości internetowej.
Innymi słowy bankowość w oddziałach jest najbezpieczniejsza a bankowość mobilna najmniej bezpieczna.

BdB
15 dni temu
Reply to  Randy

Głupi Citibank dalej wysyła maile zawierające link do strony logowania i jeszcze naiwnie pisze w nich, że może też wysyłać komunikację z innej domeny i ona jest bezpieczna (oszust napisałby dokładnie to samo).

Jarek
16 dni temu

Czy można się dziwić bankowcom, że stają okoniem? To nie one dopuszczają do zamiany karty SIM i wydania nowej komuś, kto nie został porządnie zweryfikowany.

Bank odpowiada za bezpieczeństwo całego swojego systemu, włączając w to autoryzację. To bank podjął decyzję biznesową o dopuszczeniu sposobu autoryzacji polegającego na firmie trzeciej, więc do banku należą konsekwencje pomyłek, podobnie jak konsekwencje pomyłek pracowników w placówkach. Są przecież inne możliwości, jak chociażby tokeny (które mają swoje wady), albo aplikacje mobilne.

Radek
16 dni temu
Reply to  Jarek

Otóż to. W przeciwnym przypadku dojdzie do sytuacji, w której bank będzie migał się od odpowiedzialności, bo dziura na serwerze była w systemie operacyjnym lub bibliotece, więc oni w banku nie ponoszą odpowiedzialności za nic. Oni przecież tylko tego użyli w swoim bankowym systemie

BdB
15 dni temu
Reply to  Jarek

Zacytowany fragment jest mało sensowny. To bank, a nie klient czy telekom oparł autoryzację o SIM czyli coś zależnego od procedur innego podmiotu.

gosc
16 dni temu

1) „Wszystko przez „sklonowaną” kartę.” – Kiedy zobaczyłem tytuł pomyślałem o sklonowanej karcie płatniczej.  2) „Służy do tego dobrze podrobiony dowód osobisty z prawdziwymi danymi oraz fałszywym zdjęciem ofiary.” – Aby to zdanie miało sens powinno brzmieć: „Służy do tego dobrze podrobiony dowód osobisty ze zdjęciem oszusta.” 3) „Gdyby jeszcze telekomy za każdym razem przekazywały do bankowych baz danych informację o wydaniu nowej karty SIM do telefonu, to bankowcy mogliby dodatkowo przyglądać się takiemu klientowi i założyć dodatkowy filtr na duże transakcje. Nie wiemy, czy taka wymiana informacji funkcjonuje, a jeśli tak, to czy po obu stronach jest precyzyjna i błyskawiczna.”… Czytaj więcej »

metkor
16 dni temu

Przecież zabezpieczenie przed tym jest dość proste:
– zwrot starej karty sim w momencie wniosku o wyrobienie nowej
– sprawdzenie czy stara karta jest aktywna i dlaczego akurat po drugiej stronie Polski 🙂 ten ktoś jest, plus telefon weryfikacyjny w celu sprawdzenia
– zakaz duplikowania sim/numeru telefonu

nakreche
16 dni temu
Reply to  metkor

Telekom prowadzi działalność telekomunikacyjną i nie umawiał się, z żadnym bankiem na obwarowania dotyczące karty SIM. To banki wybrały SMS jako sposób autoryzacji – obecnie bardzo przestarzały. To banki powinny za to odpowiadać.
Telekom chce zarabiać kasę na połączeniach telefonicznych i zapewnić swoim klientom możliwość korzystania z komórek gdy np. zgubią kartę SIM.

MariusZ
15 dni temu
Reply to  metkor

To są złe rozwiązania, wyobraź sobie że ktoś Ci ukradł telefon… Nic nie zrobisz bo zablokowałeś taką możliwość. Zanim odpiszesz mi bzdury, wyobraź sobie że ktoś przychodzi z podrobionym dowodem i mówi, że mu ukradli telefon.

Szron
15 dni temu
Reply to  metkor

> – zwrot starej karty sim w momencie wniosku o wyrobienie nowej
> – sprawdzenie czy stara karta jest aktywna

A teraz zastanów się, kiedy zwykle klient składa wniosek o wydanie nowego SIM? Może jak utraci telefon razem z kartą?

BdB
15 dni temu
Reply to  metkor

Proste, ale nielogiczne. Dziennie wymienia się tysiące kart SIM w tym zgubione (w ten scenariusz uderzy oszust). Oszustwo zdarzy się w promilu przypadków. Zmiana procedur u każdego z kilkudziesięciu operatorów, bo banki bez pytania telekomów o zdanie tak bardzo im ufają, że uzależniają od kart SIM pieniądze klientów?

WieslalaTaczalska
16 dni temu

Krótko, jak to u mnie działa. Po pierwsze higiena danych osobowych. Nie pozwalam na skanowanie dowodu osobistego, czy zapisywanie jego numeru. Nie mam też nigdzie jego skanu. Nie mam e-maili na skrzynce, tylko lokalnie (POP3). Kupiłam drugi numer telefonu do odbierania SMSów autoryzacyjnych, którego nikomu nie podaję. Aparat do autoryzacji SMS leży wyłączony w sejfie i jest włączany tylko na czas autoryzacji (kilka razy w miesiącu). Model to stara nokia 3210, która nie jest podatna na zawirusowanie. Przeszłam na trzymanie oszczędności wyłącznie w gotówce, bo obecnie fizyczne włamanie jest dużo mniej prawdopodobne niż kradzież z konta on-line, więc saldo na… Czytaj więcej »

nakreche
15 dni temu

mam złe wiadomości… Pani numer i dowód osobisty są zapisane w systemach bankowych i dostępne dla konsultantów (często ataki są inicjowane przez „insajderów” właśnie dlatego, bo łatwiej jest wejść w posiadanie takich danych). nie jest szczególnym problemem zatrudnienie się np. w call canter mbanku w łodzi – są przecież ogłoszenia/rekrutacje, itd. O ile numer zarejestrowany jest na Panią – to problemem nie jest również pozyskanie go od operatora. także jeśli atak dojdzie do skutku, to nawet się Pani o nim nie dowie od banku, bo przecież nokia w sejfie wyłączona leży… (i wcale nie chroni jej nic przed SIMswapem) PS. google… Czytaj więcej »

Last edited 15 dni temu by nakreche
WieslawaTaczalska
15 dni temu
Reply to  nakreche

Dla ścisłości POP3S. E-maile od razu są usuwane z serwera po odebraniu. Nie korzystam z usług Google ani Apple. Nie mam Windowsa tylko Linuxa (SELinux enforcing). Higiena danych osobowych i mediów społecznościowych (jak najmniej publikowanych informacji). Konto mam od 2000 roku i nigdy nie używałam aplikacji banku. Nie planuję tego zmieniać. Insider jak zobaczy 0 zł na koncie to odpuści. Pieniądze na koncie są krócej niż 24 godziny bo od razu wypłacam gotówkę z bankomatu. Zaciąganie zobowiązań jest zablokowane. Saldo 0 zł, żeby nie dało się zrobić przelewy autoryzacyjnego.

nakreche
15 dni temu

nie wiem o jakich kwotach rozmawiamy, ale stanie przy bankomacie przez 20 minut i wypłacanie po 1000pln kilkunastu tysięcy… a potem chodzenie z tą samą gotówką do banku, żeby opłacić rachunki… to nie tylko strata czasu, ale zwyczajnie znacznie większe ryzyko straty pieniędzy/bycia okradzionym/napadniętym, niż sensowna polityka bezpieczeństwa…

Szron
15 dni temu

> Aparat do autoryzacji SMS leży wyłączony w sejfie i jest włączany tylko na czas autoryzacji
> (kilka razy w miesiącu). Model to stara nokia 3210, która nie jest podatna na zawirusowanie

Możesz się zdziwić – w przypadku swap sim twój telefon nie jest do niczego potrzebny. To nawet lepiej, że jest cały czas wyłączony.
To autoryzacja przez SMS jest niebezpieczna.

Radek
15 dni temu

Tzn że bank nie zrobił skanu dowodu?

WieslawaTaczalska
15 dni temu
Reply to  Radek

Nie zrobił, konto zakładane w 2000 roku, późniejsza zmiana nr dowodu polegała na pokazaniu dokumentu pracownikowi w placówce.

BdB
15 dni temu

Twoje dane i tak wyciekają, schowany w sejfie telefon nawet nie powiadomi o zmianie karty SIM, konto i tak wyczyszczą.

Piotr
15 dni temu

Jak komuś nie chce się czytać tego artykułu to w MOZAMBIKU zrobili to tak:
Technicznie rzez ujmując działa to tak.

Banki łączą się z platformami różnych operatorów przez VPN.
Gdy dochodzi do transakcji, system bankowości wykonuje do systemu odpowiedniego operatora zapytanie REST API podając jako argumenty numer telefonu i czas (od 24 do 72 godzin).
System operatora zwraca odpowiedź True lub False (zmieniano kartę sim/nie zmieniano)
W razie odpowiedzi False transakcja przebiega bez zakłóceń.
W razie odpowiedzi True transakcja jest blokowana. Jeśli ktoś zmienił kartę SIM i musi dokonać przelewu, może odblokować przelew poprzez wizytę w banku.

https://niebezpiecznik.pl/post/szkoda-ze-nie-ma-tego-w-polsce-czyli-jak-mozambik-polozyl-kres-wyludzeniom-kart-sim/

Admin
15 dni temu
Reply to  Piotr

I to ja rozumiem

BdB
15 dni temu
Reply to  Piotr

Czy Mozambik ma stu operatorów jak Polska czy inne rozwinięte kraje?

zeneusz
15 dni temu
Reply to  BdB

a jakie to ma znaczenie? nie trzeba nikogo do niczego zmuszać. operator czy bank chce zaimplementować rozwiązanie to je robi. nie chce to nie. ale klient ma wtedy wybór i wybiera operatora i bank, które gwarantują mu największe bezpieczeństwo.

Szron
15 dni temu

Nie jest szczególną tajemnicą, że autoryzacja transakcji za pomocą SMS nie jest zgodna z PSD2. Sprawa dla dociekliwych co z tą wiedzą robi nadzór bankowy…?

Admin
15 dni temu
Reply to  Szron

Co prawda to prawda. Niemieckie banki – choć generalnie drewniane – już z SMS-ów rezygnują:
https://subiektywnieofinansach.pl/sms-autoryzacyjny-mobilna-autoryzacja-token-psd2/

Szron
15 dni temu
Reply to  Maciej Samcik

I choćby z powodu dopuszczania autoryzacji przez SMS bank bez dalszych dyskusji powinien ciepłą rączką wypłacić utracone pieniądze. A swoje powinien dołożyć nadzór.

Dominik
15 dni temu

Ale zresetowanie danych nie jest łatwe: Sam teraz sprawdziłem. wymagane jest nazwisko panieńskie, numer telefonu, 2 cyfry z numeru pesel. W przypadku hasła jest aż 5 pytań tak lub nie. Część ok, można zgadnąć bo proste np. czy ma się kartę – większość ma ale żeby wszystkie. To nie takie proste. Co do bezpieczeństwa wystarczy wymusić U2F przy większych przelewach np. na 10 000, nowy odbiorca zdefiniowany, branie pożyczki itd. lub opcjonalnie dla wszystkich. operacji. Klucz U2F jest niepodrabialny i niełamany na ten moment . Blokuje oszustwa na phishing – zalogowanie się na fałszywej stronie banku przez klienta, złodziej tez… Czytaj więcej »

Radek
15 dni temu
Reply to  Dominik

Żeby tak chociaż klucz był dostępny jako opcja…a są urządzenia które obsługują nie tylko USB ale NFC więc można by nadal wygodnie ale i bezpiecznie korzystać z aplikacji mobilnych

gosc
15 dni temu
Reply to  Dominik

Czy mógłbyś podać nazwę banków, które oferują klientom klucz bezpieczeństwa jako metodę autoryzacji?
Nie słyszałem o takim banku. Na stronie youbico, w sekcji https://www.yubico.com/resources/case-studies/ jest tylko mowa o instytucji finansowej, która wdrożyła klucze bezpieczeństwa do użytku wewnętrznego.

Dominik
15 dni temu
Reply to  gosc

Gdzieś czytałem, nie mogę znaleźć na szybko gdzie jest akurat U2F. W oferowaniu chodzi bardziej mi chodzi o użycie Hardware token może to być urządzenie np. tan. Na stronię są przykłady banków które mają hardware token: https://twofactorauth.org/ . Czy jest strike U2F gdzieś wydaje mi się że był w jakimś. Tokeny hardware to prawie to samo np. HSBC USA https://www.us.hsbc.com/content/dam/hsbc/us/docs/pdf/HS2175_OTP_Brochure.pdf

BdB
15 dni temu
Reply to  Dominik

Procedura resetu w każdym banku wygląda inaczej.
Klucz bezpieczeństwa to element uwierzytelnienia, a nie autoryzacji. Choć i tak byłby kepszy niż nic.

Michał
15 dni temu

W tym problem, że autoryzacja mobilna staje się nierealna jak mam 2 telefony!

BdB
15 dni temu
Reply to  Michał

Dlaczego? W Aliorze trzeba wybrać główny telefon, a w mBanku można autoryzować na każdym.

anonymous
15 dni temu

Czy ktoś weryfikuje artykuły przed publikacją? Któryś raz już grafika nie odzwierciedla treści. Tytuł wprowadza w błąd. W treści nie wspomniano o najważniejszym czyli o politykach pisu którzy wprowadzili swap sim do użycia poprzez obowiązek rejestracji kart sim.

Adam
15 dni temu

Pracuję w polskiej bankowości od prawie 30 lat Pracowałem w kilkunastu bankach… W tych największych też Zawsze w pionach IT… Jestem programistą Ad rem… Kiedy Prezes Waszego Banku mówi: „- Dane Klientów mojego Banku są w 100% bezpieczne !!! ” Śmiać mi się chce… Widzę te setki, tysiące możliwości miejsc wycieku Waszych danych !!! Banki korzystają z wymiany plików w protokole FTP W tych plikach jest wszystko o Was Wasze dane z „chronionych” podstawowych baz danych są replikowane „po cichu” do różnych hurtowni baz danych w Banku na różne potrzeby Wszystko dzieje się cały czas w obszarze infrastruktury Banku TYLKO… Czytaj więcej »

zgred
15 dni temu

niektórzy wypowiadają się tutaj, że telefon nie jest bezpieczną metodą 2FA- ja bym tu polemizował, czy w ogóle możemy w tym przypadku mówić o 2FA. jeden z pierwszych przypadków złodziejstwa na SIMswap o jakim czytałem, dotyczył tego że samym sklonowanym SIMem wyprowadzono oszczędności nie tylko ofiary, lecz również wspólników spółdzielni- wykorzystano numer do zresetowania dostępu. do pełni sensacji brakuje jeszcze tylko wątku z długo prowadzonym, zakrojonym na szeroką skalę podsłuchem ofiary, celem zebrania informacji I próbek głosu które posłużą do wytrenowania sieci neuronowej aby ta mówiąc głosem ofiary oszukała konsultanta aby ten zrobił to co chcą przestępcy. dziś nie jest… Czytaj więcej »

Szron
15 dni temu
Reply to  zgred

> wystarczy że pracownik telekomu zadzwoni na numer duplikowanej karty, potwierdzić że
> faktycznie została utracona

Całkiem niezły patent na kolejny atak socjologiczny: dzwoni do ciebie „pracownik operatora” i informuje, że jest podejmowana próba wymiany SIM. Podajesz swoje dane, w celu potwierdzenia, że jesteś właścicielem numeru…? Jeśli tak, rozmówca powie, że blokuje wymianę SIM, podziękuję i będzie życzyć miłego dnia.

nakreche
15 dni temu
Reply to  zgred

jeśli masz zdrapkę i trojana na komputerze – to jesteś ugotowany… wyobraź sobie, że chcesz autoryzować coś zdrapką… zdrapujesz, wpisujesz numerek i zanim kliniesz „dalej”, trojan rozłącza połączenie – a źli ludzie mają już i Twoje hasło do banku i kod ze zdrapki… Twój komputer jest zbrickowany. bardzo niebezpieczny scenariusz… odradzam…

zeneusz
15 dni temu
Reply to  zgred

„I próbek głosu które posłużą do wytrenowania sieci neuronowej aby ta mówiąc głosem ofiary oszukała konsultanta aby ten zrobił to co chcą przestępcy. dziś nie jest to nawet nierealny scenariusz”
to już jest akurat możliwe od jakiegoś czasu i każdy kto się trochę zna na programowaniu może się tym pobawić w domowym kącie

bbt
14 dni temu

Kradzież – jeśli do niej dojdzie – należy zgłosić organom ścigania, tj. prokuraturze lub jednostce policji – bez tego bank nawet nie kiwnie palcem.
Tylko dlaczego to poszkodowany ma zgłaszać – to z banku ukradli a nie jemu z portfela. A już najgorsze co bank robi to odrzucenie reklamacji zamiast zgłoszenia kradzieży.

Tony_Montana
14 dni temu

mam zablokowany dowod osobisty w bik i bankowosci internetowej juz od miesiaca i tak zostawilem, gdy bede chcial cos zalatwic poprosze o odblokowanie a pozniej ponownie go zablokuje, nie wiem jak ma sie to do sieci telefoni komurkowej przy wyrabianiu numeru tel, ale raczej nikt nie powinien wziasc na mnie kredytu gdyz dowod jest zgloszony jako zablokowany, mam tez 2 nr tel jeden wylacznie do autoryzacji, jakis stary samsung, gdyby ktos chcial wyrobic sobie dodatkowy moj nr musialby chyba wyrobic 2 bo nie wie na ktory przychodza kody smsm, chyba ze na chybil trafil wybralby nr do autoryzacji, to takie… Czytaj więcej »

Pawel
20 godzin temu
Reply to  Tony_Montana

Nie rozumiem czemu nie wprowadza tak jak jest tu w Anglii. W apce bankowej jest mozliwosc zamrozenia karty debetowej. W ten sposob: nie wyplacisz z bankomatu, nie zrobisz zakupow, co ciekawe dostep do konta na www tez blokuje! To b dobry patent, bo nikt sie nie zaloguje.
Jak chce wyplacic gotowke z bankomatu to wchodze do apki uaktywniam karte, wyplacam gotowke i z powrotem blokuje karte.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu