4 lutego 2020

Pan Krzysztof, złodzieje pieniędzy i częściowo „podmieniona” tożsamość. Weryfikacja kredytobiorców w Polsce nie działa prawidłowo

Pan Krzysztof, złodzieje pieniędzy i częściowo „podmieniona” tożsamość. Weryfikacja kredytobiorców w Polsce nie działa prawidłowo

Oszuści sfałszowali w Photoshopie skan dowodu osobistego pana Krzysztofa, jakimś cudem zmienili w banku jego dane indektyfikacyjne i numer telefonu do weryfikacji, a potem wzięli sobie kredyt gotówkowy online, jak gdyby nigdy nic. I trzy pożyczki. Jak do tego doszło? Zawiódł człowiek, czy procedury? Jak bank mógł do tego dopuścić? I co zrobić, by nie podzielić losu pana Krzysztofa?

Coraz mniej rzeczy mnie dziwi i przeraża. Ale ta historia mrozi krew w żyłach i sprawia, że włosy stają dęba. Niejedna osoba po lekturze popędzi sprawdzić w BIK historię zapytań kredytowych, albo zastrzeże PESEL. Przesadzam? No to poczytajcie.

Zobacz również:

Praca w Dubaju, a kredyt w Polsce. Tylko kto go wziął?

Odezwał się do nas pan Krzysztof, który w Polsce pojawia się dość rzadko. Od 15 lat pracuje na zagranicznych kontraktach w różnych zakątkach świata, od Dubaju po Brazylię. Mimo, że nad Wisłą nie jest częstym gościem, to stara się rzetelnie sprawować piecze nad swoimi finansami, ma konta w kilku bankach, głównie walutowe. Akurat w ostatnie wakacje wziął trzytygodniowy urlop i przyleciał do Polski.

Kiedy miał chwilę oddechu, zalogował się do bankowości elektronicznej BNP Paribas sprawdzić stan swojego konta. Zajrzał i zdębiał, bo zobaczył, że w systemie wisi zobowiązanie – kredyt gotówkowy w kwocie 11.939 zł. „Gotówki nam nie brakuje, bywa, że stan konta jest sześciocyfrowy, ale pro forma zapytałem żony, czy to nie ona. Oczywiście odpowiedziała, że nie” – opowiada czytelnik. Nie zastanawiał się długo, lecz wykonał pilny telefon do banku.

„Jak to się stało, że mam u państwa kredyt, skoro nie ja go zaciągałem? Ba, nawet nie było mnie wtedy w Polsce, na co mam pieczątki w paszporcie” – zapytał pan Krzysztof. Pani na infolinii nie dała zbić się z tropu tym tekstem o pieczątkach i wyjaśniła, że zobowiązanie zostało zaciągnięte online, po czym przeczytała adres e-mail i numer telefonu kredytobiorcy.

Konsultantka nie zdążyła doczytać ostatniej cyfry numeru telefonu, a pan Krzysztof poczuł, jak po czole spływają mu krople zimnego potu. Powiedział tylko spokojnie: „To nie jest mój adres poczty elektronicznej. To nie jest mój numer telefonu. To nie są dane, które podałem podczas otwierania konta w państwa banku”.

Czytaj też: Czytelnik na wojnie ze złodziejami pieniędzy. Chciał szybko „zastrzec” PESEL, ale dowiedział się, że… te młyny wolno mielą. Sprawdzamy!

Czytaj też: Zastrzeżenie kredytowe, czyli wystarczy jedno kliknięcie i nikt nie wyłudzi kredytu na twoje nazwisko. Dlaczego banki nie lubią tej usługi?

Ponad 50 prób wyłudzenia kredytu. Ale jak oszuści zmienili dane na koncie?

W tym momencie pan Krzysztof zdał sobie sprawę, że kaliber sprawy, w którą został uwikłany jest duży (ale nie wiedział jeszcze jak duży) i że na kontynuowanie rozmowy przez telefon szkoda czasu. Popędził więc do placówki banku.

Wizyta na niewiele się zdała. „Kto wziął kredyt? Kiedy? Osobiście, czy online? Jaki jest numer umowy kredytowej?” – pan Krzysztof strzelał pytaniami, jednak pozostały one na tym etapie bez odpowiedzi. „Jeśli padł pan ofiarą oszusta, proszę iść najpierw na policję” – usłyszał. Zanim więc pan Krzysztof odwiedził najbliższy posterunek, zamówił „Raport BIK” na swój temat.  I dopiero w tym momencie zrozumiał swoje beznadziejne położenie.

Okazało się, że od 29 lipca na jego osobę było ponad 50 zapytań w BIK od różnych banków i firm pożyczkowych. Na zdjęciu przedstawiamy szokujący fragment kopii policyjnego potwierdzenia o wszczęciu dochodzenia w sprawie wykorzystania danych i niekorzystnego rozporządzenia mieniem. W czterech przypadkach nastąpiło wyłudzenie: BNP Paribas (11.939 zł), Incredit (1500 zł), Wonga.pl (2500 zł),  Wandoo (1500 zł).

 

Czytaj też: Pytanie o skanowanie, czyli gdy bank chce podwoić krycie, ale nie dogonił zmieniającego się świata

Nasz czytelnik pozbierał myśli i skontaktował się z firmami, które dały się wmanewrować w wyłudzenie kredytu. Okazało się, że kredyty były udzielane między 1., a 9. sierpnia, wszystkie przez internet na podstawie fałszywego adresu e-mail, fałszywego numeru telefonu, a przede wszystkim sfałszowanego dowodu osobistego. „Złodzieje posługiwali się dowodem o numerach C… a mój zaczyna się od A…. Nikt go nie skradł, nikt go nie skopiował, ktoś zrobił sobie mój nowy dowód!” – grzmi czytelnik.

Wyłudzenie pieniędzy w firmie pożyczkowej – jako dla nowego klienta, gdy z faktami zgadzało się tylko imię i nazwisko oraz adres kredytobiorcy – nie byłoby możliwe, gdyby ktoś w banku nie zmienił danych kontaktowych klienta. Co ciekawe, do tej pory bank nie miał w swoich systemach skanu dowodu osobistego pana Krzysztofa, miał tylko skan jego paszportu. Tymczasem „na okoliczność” oszustwa w systemie banku pojawiły się „ponadprogramowe” i fałszywe dane na temat numeru i serii jego dowodu osobistego. A także fałszywy numer telefonu do kontaktu z klientem. 

Pan Krzysztof usłyszał w banku, że prawdopodobnie dane dowodu osobistego nadpisały się, gdy złodzieje złożyli przez stronę banku wniosek kredytowy i przesłali skan dokumentu. Pan Krzysztof z kolei podejrzewa, że wystarczył do tego jego numer PESEL i przedstawiona na infolinii historyjka o zgubionym dowodzie i konieczności nadpisania nowego w systemach banku. A to z kolei prawdopodobnie pozwoliło złodziejowi uwiarygodnić się w firmach pożyczkowych.

To prawdopodobna teoria, bo panu Krzysztofowi też udało się usunąć nieprawdziwe dane przez telefon, mimo, że początkowo odsyłano go do placówki. Jak to się stało, że ktoś obcy był w stanie zidentyfikować się przez infolinię jako pan Krzysztof? Musiał znać jakieś hasła. To niejedyna zagadka. W przypadku kredytu zaciągniętego bezpośrednio w BNP Paribas pieniądze zostały przelane od razu z ROR-u pana Krszysztofa na konto zewnętrzne.

Jak to możliwe? Nie wiadomo. Może złodzieje zlecili przelew online (udało im się przecież wpisać do systemów banku również fałszywy numer telefonu kontaktowego, a więc mogli przechwycić SMS autoryzacyjny)? A może ustawili zewnętrzny numer konta docelowego podczas zaciągania kredytu?

Tajemnice zaciągniętych pożyczek. Jakie informacje mieli złodzieje?

Rzecz działa się w wakacje, czyli przed wprowadzeniem dyrektywy PSD2, która m.in. zwiększa bezpieczeństwo klientów banków. Od 14 września inaczej logujemy się do bankowości elektronicznej, dodatkowo musimy autoryzować transakcje internetowe, a płacąc w sklepie co jakiś czas musimy podać PIN karty, nawet przy płatnościach do 50 zł. Ale w tym przypadku nawet PSD2 by nie pomogła. Clou oszustwa był fakt, że złodziejom udało się zmienić dane klienta w systemie banku. Teoretycznie można to zrobić tylko w placówce. W praktyce dało się też przez telefon, zapewne konsultant zgodził się na to „w drodze wyjątku”.

W tym kontekście na jedyne w miarę bezpieczne narzędzie weryfikacyjne wyrasta aplikacja-token do jednorazowego zatwierdzania transakcji. Czyli tzw. mobilna autoryzacja (pisaliśmy o niej więcej tutaj). Jest to już opcja do wyboru w niektórych bankach i polega na tym, że zamiast SMS-em autoryzacyjnym wszelkie transakcje zatwierdza się wchodząc do aplikacji mobilnej banku. Złodziejowi, by dobrać się do pieniędzy, nie wystarczy mieć lub zmienić numer telefonu, na który bank wysyłałby SMS-y. Musiałby mieć w ręku fizycznie smartfona klienta „przypiętego” do aplikacji mobilnej.

W tym przypadku na pewno wiemy, że nastąpiła zmiana danych kontaktowych w banku na fałszywe (numer dowodu osobistego, numer telefonu). Niewykluczone, że SMS-y autoryzacyjne bank zaczął wysyłać do złodziei, a oni mogli przekierować pożyczkę uzyskaną z banku na zewnętrzne konto. Niewykluczone też, że w imieniu pana Krzysztofa wysyłali też do firm pożyczkowych przelewy weryfikacyjne (firmy pożyczkowe proszą nowych klientów o skan dowodu i przelew z banku, który zawierać będzie te same dane, które są w dowodzie).

Ale to już wymagałoby nie tylko zmiany danych kontaktowych via infolinia (czyli wykorzystanie luki w systemie), ale też posiadania loginu i hasła do konta pana Krzysztofa. Czy i to miało miejsce – nie wiemy. Co na to bank? Nic konkretnego nie mówi.

„Kradzież tożsamości i podszywanie się pod inną osobę to realne zagrożenie, z którym spotykamy się coraz częściej. Jako Bank każdego dnia dążymy do zwiększania poziomu bezpieczeństwa, jak również propagowania wiedzy na ten temat. Jednocześnie zapewniamy, że Bank m. in. poprzez przeprowadzane audyty dba o to, aby bezpieczeństwo bankowości internetowej stało zawsze na wysokim poziomie. Bankowość elektroniczna jest regularnie audytowana przez zewnętrzne, niezależne organizacje”

Czytaj też: Żegnamy zdrapki i tokeny. Jak po 14 września będziemy się logowali do banków? Lektura obowiązkowa dla każdego!

Czytaj też: Złodzieje ogołocili twoje konto? Bank musi ci oddać pieniądze następnego dnia. Jest jeden wyjątek, który niestety stał się regułą

Kredyt na zdjęcie dowodu osobistego? Ryzykowne!

Szczęście w nieszczęściu pana Krzysztofa polega na tym, że oszuści posłużyli się całkowicie fałszywymi dokumentami, przez co łatwiej było odkręcić sprawę. Wszystkie firmy w zasadzie bez większych problemów usunęły z BIK-u nieprawdziwe wpisy na temat sytuacji kredytowej naszego czytelnika, choć trwało to ponad miesiąc. Bank BNP obiecał, że rat nie będzie ściągał. Potem co prawda próbował to czynić, ale wystarczyło oschłe upomnienie pana Krzysztofa, aby przestał.

Czytaj też: Coraz więcej pieniędzy na zasieki i… coraz więcej kradzieży. Przegrywamy walkę z cyberprzestępcami?

Pozostają jednak dwa pytania. Po pierwsze: jak to możliwe, że w Polsce wciąż tak łatwo jest sfałszować dowód tożsamości? Skoro wnioski pożyczkowe i kredytowy były składane online, to oznacza to, że oszuści wysyłali do pożyczkodawców skany dowodu. Mieli zatem ułatwione zadanie, bo nie musieli wyrabiać fałszywego plastiku, tylko podretuszowali dowolny dowód w Photoshopie.  To przerażające i oznacza, że w tej chwili ktoś może szykować próbę wyłudzenia chwilówki praktycznie każdego z nas. Wystarczy wiedza gdzie mieszkamy, kilka danych osobowych, chociażby PESEL, żeby dopełnić brakujące dane tymi wykreowanymi.

Pan Krzysztof nie ma podejrzeń, kto to mógł być, ale sprawcy wpisali w dowód jeden z jego poprzednich adresów zameldowania, taki sprzed 12 lat. Może więc to ktoś, kto miał wiedzę, że czytelnik rzadko bywa w Polsce, albo ktoś kto miał dostęp do baz danych? Takich przestępstw rzadko dokonują ludzie z przypadku, często to ktoś, kto upatrzył sobie ofiarę, a nawet ją może znać.

Drugie pytanie to kwestie bezpieczeństwa w instytucjach finansowych. Jeśli z taką łatwością, zapewne z ciągu kilkunastu minut można wyłudzić chwilówkę na dowód z Photoshopa, to coś tu jest nie „halo” i systemy weryfikacyjne leżą. A może nie tak całkiem leżą? Z drugiej strony próba wyłudzenia okazała się skuteczna jedynie w czterech przypadkach na ponad 50, czyli w pozostałych instytucjach bezpieczniki mogły zadziałać (choć nie wiemy jaki był powód odrzucenia wniosków o kredyt). W bankach oraz w BIK działają platformy antyfraudowe, które być może ograniczyły skalę nieszczęścia. Ale te cztery przypadki wyłudzenia to i tak o cztery za dużo.

Czytaj też: Na jej nazwisko wyłudzono 50.000 zł kredytu. Umowa zaginęła, bank groził windykacją. Wreszcie są pierwsze dobre wieści

Czy jest skuteczna obrona przed wyłudzeniem kredytu?

Jak się bronić przed próbami wyłudzenia kredytu?  Zwykle opisywaliśmy historię, w której wyłudzacze kradli tożsamość naszych czytelników. Wykorzystywali prawdziwy dowód, prawdziwe dane. Wystarczyłoby więc zastrzec dowód w międzybankowej bazie-systemie zastrzegania dokumentów tożsamści MIG-DZ. Ten przypadek jest inny, bo tożsamość została, przynajmniej częściowo, stworzona na nowo: imię i nazwisko bez zmian,  prawdziwy numer PESEL, ale zmyślony nowy numer dowodu osobistego i telefon.

Żeby nie być na łasce oszustów możemy skorzystać z alertów Biura Informacji Kredytowej. Jeśli jakaś instytucja będzie chciała nas sprawdzić na liście dłużników przed udzieleniem kredytu, dostaniemy alertowe powiadomienie SMS. Jeśli to my, możemy je zignorować, ale jeśli jesteśmy na urlopie, a nasz telefon bombardowany jest SMS-ami o tym, że kolejne banki sprawdzają naszą wiarygodność, to możemy być pewni, że ktoś właśnie próbuje wyłudzić na nasze dane kredyt.

Co zrobić z taką wiedzą? Skontaktować się z instytucjami i po dokładniej weryfikacji tożsamości upewnić się, czy już nie mamy na głowie nowego zobowiązania.

Druga opcja to wyłączenie możliwości zaciągania kredytów – tzw. zastrzeżenie kredytowe pozwala jednym kliknięciem „zamrozić” udzielenie kredytu. Zastrzeżenie jest widoczne dla wszystkich instytucji, które przystąpiły do systemu Zastrzeżenia Kredytowego, w momencie, gdy sprawdzają naszą historię kredytową. Opcję tę klient może w dowolnym momencie wyłączyć – np. gdy będzie starał się o jakiś kredyt. A potem, już po uzyskaniu finansowania, znowu włączyć. Tyle, że w systemie zastrzeżeń kredytowych jest dziś tylko kilka banków i kilka firm pożyczkowych.

Trzecia rzecz to włączenie mobilnej autoryzacji transakcji. Jeśli do zrobienia przelewu lub zmiany danych w systemach banku potrzebny jest login, hasło i telefon klienta, to sytuacja złodzieja jest trudniejsza (nie wyklucza to wyłudzenia pożyczki w zewnętrznej firmie, ale mocno utrudnia proceder). Oczywiście: jeśli w banku da się „oszukać system” wprowadzając zmiany w danych klienta również via infolinia, to zostaje już tylko monitorowanie sytuacji Alertami BIK. I zmiana banku.

źródło zdjęcia: PixaBay

Subscribe
Powiadom o
30 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Kamil
3 lat temu

To może przy tej okazji zajmiecie się Panowie sprawą Virgin, skąd wyciekły dane, a firma twierdzi, że to nic takiego, nie da się za ich pomocą wziąć kredytu i że żadnej rekompensaty (zwrotu za aktywację BIK w moim przypadku) nie przewiduje.

Krzysztof
3 lat temu
Reply to  Kamil

proste, prywatyzacja zysku (oszczędności i zyski na ułatwieniach transakcji i zabezpieczaniach danych) , koszty spadają na Państwo lub obywateli

BdB
3 lat temu
Reply to  Kamil

Wycieki były, są i będą. Nie słyszałem by jakakolwiek firma dotknięta wyciekiem sponsorowałaby abonament w BIK. Trudno oczekiwać tego od Virgin, który jedzie na stracie i przynajmniej raz w roku przyznaje, że rozważał zakończenie działalności.

Sean
3 lat temu
Reply to  BdB

„Są i będą”? A menedżerowie firmy za co właściwie pieniądze biorą? Za dociążanie piętra w korpo?

Sebastian
3 lat temu

Tyle, że w praktyce „Zastrzeżenie kredytowe” nie działa – wystarczy spojrzeć na listę instytucji, które przystąpiły do tego systemu – jest ich całe 14 (jedyna większa firma to Provident).

Artur
3 lat temu
Reply to  Sebastian

A dlaczego jest tylko tyle ? Bo banki nie mają w tym żadnego interesu.

Krzysztof
3 lat temu
Reply to  Artur

Dokładnie, to zwiększenie kosztów administracyjnych i co ważniejsze potencjalne utrudnienie domknięcia transakcji (kluczowy punkt procesu sprzedaży) , no bo żeby wziąć pożyczkę trzeba jeszcze odwołać/zawiesić zastrzeżenie kredytowe, wiec jest dodatkowy moment na refleksje ze strony biorącego kredyt. Jak nie wiadomo o co chodzi , chodzi o pieniądze….

M.
3 lat temu

Clou! Nie clue…

Admin
3 lat temu
Reply to  M.

Przepraszam, błond redaktora, poprawione

And
3 lat temu
Reply to  Maciej Samcik

błąd…

Krzysztof
3 lat temu

cały czas nie pojmuje jak to jest ze za „ochronę” trzeba płacić BiGom, BiKom itp?

To wszystko powinno organizować Państwo , tak jak Policję, bo jednak by nie dostać wp … na ulicy na ogół
nie trzeba wynajmować ochrony?

Jakie jest podejście instytucji rządowych do takich sytuacji w kontekście rozwiązań systemowych?

Jak to jest w innych krajach (Niemcy, Szwecja, Francja……, Czechy)

Lenka
3 lat temu
Reply to  Krzysztof

Kolejna taka historia z BNP Paribas w roli głównej.

Państwo powinno stawać po stronie poszkodowanych, skoro już wymaga od nas używania numeru pesel jako 'tajnego’ identyfikatora, do którego mają dostęp rzesze ludzi.

gosc
3 lat temu
Reply to  Krzysztof

@ Krzysztof Sprawdziłem kiedyś pod tym kontem kraje anglojęzyczne. Usługa credit freeze (zastrzeżenie kredytowe) jest dostępne w USA, Australii oraz Nowej Zelandii. W każdym z tych krajów są trzy główne credit reference agencies (taki BIK + BIG). Aby włączyć credit freeze trzeba wysłać wniosek do każdej agencji z osobna. W USA Prezydent Trump w następstwie ogromnego wycieku danych z jednej z tych agencji wprowadził federalne prawo, że włączenie i wyłączenie credit freeze jest bez opłat. Przedtem o opłatach decydowały poszczególne stany i wynosiły one od zera do kilku dolarów. W Wielkiej Brytanii jest organizacja o nazwie Cifas : https://www.cifas.org.uk/ Cifas… Czytaj więcej »

Konrad
3 lat temu

„Druga opcja to wyłączenie możliwości zaciągania kredytów – tzw. zastrzeżenie kredytowe pozwala jednym kliknięciem „zamrozić” udzielenie kredytu. Zastrzeżenie jest widoczne dla wszystkich instytucji, które przystąpiły do systemu Zastrzeżenia Kredytowego, w momencie, gdy sprawdzają naszą historię kredytową.” Takie zastrzeżenie powinno być możliwe przez ePuap i powinno być połączone z bazą podobną do wspomnianej „międzybankowej bazy-systemie zastrzegania dokumentów tożsamści MIG-DZ”, aby nikt nie wziął na mój pesel kredytu w całej UE. Fizycznej przeszkody nie ma, brak widocznie woli politycznej na szczeblu UE. Na szczeblu krajowym również brak, skoro takiego rozwiązania nie ma w mniejszej skali – skali naszego kraju. Ja się pytam:… Czytaj więcej »

BdB
3 lat temu
Reply to  Konrad

Spytaj swojego posła.

Aleksander
3 lat temu

Papierowe państwo… wszystko dramat…

BdB
3 lat temu
Reply to  Aleksander

Tekturowe, papier brzmi zbyt poważnie.

golem_t
3 lat temu

To mi bardziej wygląda na „kreta w banku” – którego być może nawet namierzono ale zapewne rozwiązano z nim umowę „za porozumieniem stron”. Pan Krzysztof zapewne nie ma czasu aby dochodzić jak było naprawdę. Ukradzione pieniądze gdzieś wyszły z sytemu – przecież złodzieje nie trzymali ich na koncie które w każdej chwili może zostać zablokowane – wypłata w banku była trochę ryzykowna pozostały bankomaty lub bitcony. Ciekawe czy policja zajęła się tym tropem.

gosc
3 lat temu

1) BNP Paribas nie radzi sobie z ochroną interesów swoich klientów oraz weryfikacją wniosków kredytowych. Proszę zobaczyć poniższą sprawę, w której na dane klientki BNP Paribas również został zaciągnięty kredyt: Kradzież tożsamości. Obudziła się rano z kilkunastoma pożyczkami na 30 tys. zł. Nie zaciągnęła żadnej. Nawet banki się nabrały https://wyborcza.pl/7,155287,25652710,obudzila-sie-rano-z-kilkunastoma-pozyczkami-na-30-tys-nie-zaciagnela.html „To, że złodzieje dostali na jej dane chwilówki z firm pożyczkowych, czytelniczki aż tak bardzo nie zdziwiło. Jednak to samo zrobił potężny bank BNP Paribas, którego jest klientką. Dał 3,8 tys. zł przestępcy, który posłużył się jej PESEL-em, ale miał inny adres i inny numer dowodu osobistego. Jeśli teraz ktoś… Czytaj więcej »

gosc
3 lat temu
Reply to  gosc

Jeszcze jedna ciekawa informacja ze strony Rzecznika Finansowego:
Firma pożyczkowa nie może wliczyć w koszty wyłudzonych chwilówek
https://rf.gov.pl/aktualnosci-z-rynku/bankowosc-i-rynek-kapitalowy/Firma_pozyczkowa__nie_moze_wliczyc_w_koszty_wyludzonych_chwilowek__22975
„Dziennik podkreśla, iż firma pożyczkowa przegrała proces w sądach obu instancji. I tak, WSA w Warszawie uznał, że przyjęty przez spółkę system weryfikacji pożyczkobiorców jest z założenia ułomny, gdyż „ryzykowne jest porównywanie danych potencjalnego pożyczkobiorcy z danymi z rachunku bankowego, bo banki nie weryfikują klienta przy zakładaniu rachunku bankowego, tylko przy udzielaniu kredytu”. Zdaniem WSA, nie ma więc tu dochowania należytej staranności.”

mko
3 lat temu

a w jaki sposób zmienia się telefon do przesyłania informacji o alertach BIK? oraz w jaki sposób odwiesza się „zakaz” brania pożyczek? bo choć oczywiście są to pewne utrudnienia dla złodzieja, to skoro zaszedł już tak daleko, że dysponuje możliwością nakłonienia banku do składania zapytań do BIK (czyli np. zmienił już dane kontaktowe w banku), to istnieje duża szansa, że zmieni także dane kontaktowe w BIK. Jedyne skuteczne rozwiązanie systemowe, to przerzucenie ciężaru dowodu na pożyczkodawcę (że nie było przekrętu) oraz ustalenie stałych stawek odszkodowania dla klienta, który został wmanewrowany w przekręt (np. dla banków 20% kwoty „udzielonego” kredytu trafia… Czytaj więcej »

autoryzacja mobilna
3 lat temu

Do: Ireneusz Sudak
Autoryzacja mobilna nie zawsze zwiększa bezpieczeństwo w porównaniu z kodami SMS:
Dlaczego (nie) warto używać aplikacji mobilnej do autoryzacji przelewów?
https://niebezpiecznik.pl/post/autoryzacja-mobilna-aplikacja-bank-przelewy/
Zła informacja dla klientów mBanku
https://niebezpiecznik.pl/post/jeszcze-latwiejszy-sposob-na-ominiecie-mobilnej-autoryzacji-w-mbanku/

Admin
3 lat temu

Upierałbym się, że w zestawieniu w SMS-ami autoryzacyjnymi mobilna autoryzacja jest jednak dużo bezpieczniejsza

autoryzacja mobilna
3 lat temu
Reply to  Maciej Samcik

Zabezpieczenie jest tak dobre jak jego najsłabszy punkt. W każdym banku, który oferuje mobilną autoryzację dostępne są również kody sms. Jeśli procedura zmiany metody autoryzacji z mobilnej na sms jest autoryzowana tylko kodem sms, albo można łatwo sparować aplikację moblną z nowym telefonem po przeprowadzeniu sim swap, albo reset hasła jest dokonywany poprzez wysłanie nowego hasła kodem sms to wtedy wystarczy przejąć kontrolę nad smsami poprzez sim swap albo malware aby złamać zabezpieczenia. Czasami jeśli do resetu hasła w banku jest potrzebny również email, ale ktoś ma ustawione na koncie email kody sms jako 2FA, to często mając kontrolę nad… Czytaj więcej »

mko
3 lat temu
Reply to  Maciej Samcik

tylko jak udowodnić bankowi, że się nie potwierdzało w aplikacji przelewu? bo jeśli bank „się zepsuje” i nie wyśle smsa, to jest trzecia strona (operator komórkowy), która może potwierdzić/zaprzeczyć faktowi wysłania smsa do klienta. A jeśli wszystko odbywa się w środowisku bankowym, to klient jest zdany na łaskę banku. To ryzyko też warto brać pod uwagę przy ocenie obu rozwiązań

Wojciech
3 lat temu
Reply to  mko

nie jestem znawcą ale mój amatorski sposób (od niedawna bo wcześniej nie mialem żadnych aplikacji tylko smsy) jest taki ze włączam na smartfonie (iPhone 11 pro – nie wiem czy inne tez to mają pewnie tak) film który nagrywa moje czynności na smartfonie i widać jakaś tam logiczną sekwencje działań w aplikacjach bankowych. w razie jakiegoś procesu z bankiem mam dowód na to co robiłem. przynajmniej z takiego wychodzę założenia.

mko
3 lat temu
Reply to  Wojciech

ale potrzebujesz dowodu, że czegoś nie zrobiłeś, a na to filmiki nie pomogą 🙂

Somniosus
3 lat temu
Reply to  mko

Bardzo cenna uwaga – informacja o SMS wysłanym przez zewnętrzną firmę (operatora telekomunikacyjnego) to jedyny składnik procedury, przy którym bank nie jest sędzią we własnej sprawie.

Przemo
3 lat temu

Bank twierdzi, że nic nie wie, a tak naprawdę wie wszystko. Tylko pali przysłowiowego głupa. Cóż, ja niedawno dostałem maila od providenta, że nie ma dla mnie oferty w związku z moim wnioskiem i teraz provident też pali głupa, bo jak go o nic nie pytałem, w szczególności nie składałem żadnego wniosku/nie wypełniałem formularza. Chyba pójdę z tym na Policję, tylko czasu mi szkoda na zeznawanie przed tępym pałarzem, który i tak nie ogarnia tematu… Poniżej odpowiedź providenta: Szanowny Panie, dziękujemy za zgłoszenie skierowane do Provident Polska S.A. w sprawie otrzymanej wiadomości odnośnie oferty pożyczkowej. W odpowiedzi informujemy, że Provident… Czytaj więcej »

Zuza
3 lat temu

Niestety a potem dochodzi do tragedii, wyłudzenia lub jakieś niechciane kredyty …

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu