24 stycznia 2019

Skopiowali jego dowód, wyłudzili duplikat karty SIM do telefonu i ukradli z konta 1,1 mln zł. Trzy rzeczy, które warto zrobić, żeby tego uniknąć

Skopiowali jego dowód, wyłudzili duplikat karty SIM do telefonu i ukradli z konta 1,1 mln zł. Trzy rzeczy, które warto zrobić, żeby tego uniknąć

Czy istnieje luka w systemie zabezpieczeń naszych pieniędzy, która sprawia, że każdemu można okraść konto przez internet? „Gazeta Wyborcza” opisała wczoraj przypadek biznesmena, któremu – dzięki duplikatowi karty SIM i kolekcjonerskiemu dowodowi osobistemu – skradziono 1,1 mln zł i wyłudzono na jego dane przynajmniej kilkanaście pożyczek. Jak się ochronić przed taką kradzieżą?

Modus operandi przestępstwa, którego ofiarą padł pan Józef, bohater tekstu Piotrka Miączyńskiego z „Wyborczej”, nie jest jakimś nadzwyczajnym wynalazkiem. To była po prostu kombinacja dwóch znanych metod okradania ludzi, zastosowana do „ogolenia” jednego klienta. Dodajmy, że klienta bardzo dokładnie wyselekcjonowanego, w przypadku którego łup był proporcjonalny do fatygi złodziei.

Zobacz również:

Kluczem do pieniędzy biznesmena okazał się duplikat karty SIM do jego smartfona. Złodziejom udało się go otrzymać od operatora telekomunikacyjnego dzięki temu, że w punkcie obsługi pokazali fałszywy dowód osobisty. A ściślej, tzw. kolekcjonerski dowód, który można zamówić za kilkaset złotych w internecie. Dzięki podmianie karty SIM przestępcy mogli przejąć SMS autoryzacyjny wysłany przez bank, gdy zlecili z konta klienta przelew wart 1,1 mln zł.

Czytaj też: Prawie okradłem znajomego ze wszystkich pieniędzy na koncie. Nowy patent złodziei niestety zadziałał jak złoto. Jak się przed nim obronić?

Czytaj też: Niebezpiecznik.pl rozkłada na czynniki pierwsze kradzież „na duplikat” karty SIM

To brzmi okropnie. Na pierwszy rzut oka w ten sposób można okraść każdego. Zdobyć dane z jego dowodu osobistego, zamówić „kolekcjonerską” kopię, pójść z nią do POK-u telekomu, wziąć duplikat karty SIM, zalogować się na czyjeś konto, zlecić przelew, potwierdzić go SMS-em, który przyjdzie na telefon z nową kartą SIM i… gotowe.

Tak właśnie został okradziony pan Józef, bohater artykułu w „Wyborczej”. Jeśli padł na Was blady strach, to czas „odczarować” temat. Po pierwsze sprawdzimy jakie błędy zrobił okradziony biznesmen i czy rzeczywiście złodziejom wystarczył tylko kolekcjonerski dokument i duplikat karty SIM. Po drugie ustalimy co każdy z nas może zrobić, żeby nie paść ofiarą takiego oszustwa. Po trzecie spiszemy listę rzeczy, które muszą zrobić banki i telekomy, byśmy byli jeszcze bezpieczniejsi.

Czytaj też: Telekom może pomóc złodziejom okraść cię z pieniędzy na koncie. A jak? Dzwoniąc na infolinię i przekierowując połączenia

Czytaj też: Wraca niebezpieczny przekręt. Na celowniku ci, którzy w internecie szukają okazji

Trzy błędy, które ułatwiły kradzież pieniędzy

Zacznijmy od błędów klienta. Bolesna prawda jest taka, że aby dać się tak „zrobić”, trzeba popełnić kilka nieostrożności.

1. Lekkie obchodzenie się z dowodem osobistym i danymi w nim zawartymi. Aby ktoś mógł przyjść do POK-u telekomu z kolekcjonerskim dokumentem, bohater historii musiał wcześniej: a) zostawić komuś dowód osobisty, b) zostawić komuś skan dowodu osobistego, c) dać sobie podejrzeć, sfotografować lub wyłudzić dane z dowodu.

Pamiętajmy, że nigdzie – może poza bankiem, który może od nas tego zażądać – nie powinniśmy zostawiać skanów, kserokopii dowodu ani pełnych danych. A jeśli już musimy zostawić gdzieś kopię, to zasłońmy część danych lub dopiszmy ręcznie „kopia zrobiona w celu…”.

Czytaj też: Złodzieje naszych danych grasują. Oto siedem sposobów jak się przed nimi obronić. I dwa sposoby na skuteczny kontrwywiad

Więcej na temat ochrony tożsamości: znajdziesz na stronie cyklu edukacyjnego “Chroń swoje dane”. Zapraszam do jej odwiedzenia!

2. Udostępnienie złodziejowi numeru telefonu do kontaktów z bankiem. Większość z nas używa do przyjmowania SMS-ów autoryzacyjnych tego samego telefonu, którego używamy do innych czynności niezbędnych do życia. Ale mimo wszystko warto zastanawiać się komu podajemy numer telefonu. Gdyby złodzieje nie znali tego numeru, nie wiedzieliby do którego operatora udać się po duplikat karty SIM.

3. Udostępnienie złodziejowi loginu i hasła do konta. Nawet jeśli złodziej przejął dane pozwalające na sporządzenie fałszywki dowodu osobistego i trafił w telekomie na pracownika, który się nie zorientował, to wciąż za mało, by ukraść pieniądze. Żeby zlecić przelew i czekać na SMS autoryzacyjny, trzeba umieć zalogować się na konto. Złodzieje musieli więc poznać lub wyszpiegować login i hasło do internetowego rachunku ofiary.

Powiedzmy sobie szczerze – żaden z tych błędów z osobna nie jest jakiś szczególnie niespotykany. Każdy z nas kiedyś je zrobił. Akurat zdarzyło się, że złodzieje namierzali bohatera artykułu w „Wyborczej” tak długo, aż skompletowali wszystkie trzy błędy.

Czytaj też: Wirus zaatakuje cię w smartfonie. Podszyje się pod… bank

Czytaj też: Wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy czujesz się najbezpieczniej

Trzy rzeczy, które każdy powinien zrobić, żeby jego pieniądze były bezpieczniejsze

No dobra, czas sprawdzić co mógłby zrobić pan Józef – i co może zrobić każdy z nas – żeby się nie dać okraść w ten sposób. Oczywiście nie licząc próby unikania tych błędów, których nie ustrzegł się bohater artykułu.

1. Mobilna autoryzacja transakcji. Większość z nas autoryzuje przelewy SMS-ami autoryzacyjnymi. To przestarzały i mało bezpieczny sposób. Jeśli mamy wirusa w smartfonie, to SMS-y mogą być automatycznie przekazywane złodziejom. Jeśli ktoś wyłudzi od operatora duplikat karty SIM – to samo.

Kilka banków – w tym mBank, Millennium, Getin, Eurobank czy ING – oferuje tzw. mobilną autoryzację. Polega ona na tym, że bank nie wysyła SMS-ów autoryzacyjnych, tylko powiadomienia do aplikacji mobilnej. A więc jeśli zlecam przelew, to loguję się do banku w smartfonie i klikam guzik zatwierdzający transakcję.

Gdyby bohater historii opisywanej przez „Wyborczą” korzystał z mobilnej autoryzacji, a nie z SMS-ów, złodzieje prawdopodobnie nie zdołaliby ukraść mu pieniędzy. Mobilna autoryzacja jest „spięta” z konkretnym urządzeniem, a nie z numerem telefonu. Zaś ewentualna inicjacja przez złodziei powrotu z autoryzacji mobilnej do tradycyjnej, SMS-owej (teoretycznie to możliwe), na pewno wzbudziłaby podejrzenia banku.

2. Subskrybowanie Alertów BIK. Czasem złodzieje pieniędzy, mając nasze dane, nie silą się na wykradanie pieniędzy z rachunku. Wymaga to dodatkowych starań. Łatwiej po prostu iść do firmy pożyczkowej i wyłudzić na konto klienta kredyty. W przypadku opisywanym przez „Wyborczą” też tak było. Klient ma kilkanaście, a może i kilkadziesiąt pożyczek wziętych na jego dane.

Tymczasem wystarczy za 2 zł miesięcznie kupić Alerty BIK, by już za pierwszym razem móc przyblokować złodziei. To usługa, dzięki której każde zapytanie banku lub firmy pożyczkowej o nasze dane jest nam natychmiast raportowane za pośrednictwem SMS-a. Warto mieć taki tani i skuteczny „kontrwywiad” na wypadek, gdyby ktoś ukradł nasze dane i próbował się nimi posłużyć.

Tutaj więcej: Jak działają Alerty BIK i jak je zamówić?

3. Zdefiniowanie drugiego numeru do kontaktów z bankiem. Zwykle podajemy tylko jeden numer telefonu do kontaktu z bankiem. Ale warto też podać drugi, rezerwowy. Może się zdarzyć, że bank będzie chciał się upewnić czy to rzeczywiście my przelewamy 1,1 mln zł ze swojego konta (bo np. system antyfraudowy wychwyci, że na co dzień nie wykonujemy takich transakcji). Złodziej na wszelki wypadek nie odbierze telefonu, ale jeśli bankowcy mają numer rezerwowy, to mogą z niego skorzystać. Nawet jeśli transakcja już została „wrzucona” do systemu – jeśli upłynęły od niej dosłownie minuty – można próbować ją zablokować.

Czytaj też: To się może zdarzyć każdemu. Telefoniczna weryfikacja po dużej transakcji. Ale jak sprawdzić kto pyta? Coraz częściej pod dzwoniących bankowców podszywają się… złodzieje

Telekomy i banki: co one powinny zrobić, żeby nasze pieniądze były bezpieczniejsze?

Co powinno zmienić się w systemie?

1. Biometryczne dowody osobiste. Jeśli taki dokument stanie się „niepodrabialny”, to jego podróbki, czy kolekcjonerskie kopie staną się znacznie mniej groźne. Od lipca 2019 r. będzie w Polsce obowiązywała ustawa, która delegalizuje produkcję kolekcjonerskich dowodów osobistych w kraju, ale nic nie stoi na przeszkodzie, by sprowadzać te kopie z zagranicy…

Czytaj też: Nawet dwa lata odsiadki za dowody kolekcjonerskie. Ale czy nowe prawo zadziała?

2. Informowanie banków przez telekomy o każdym wydanym duplikacie SIM. Gdyby telekomy – nawet jeśli nie potrafią lepiej kontrolować okoliczności wydawania klientom duplikatów – przynajmniej informowały banki o każdym takim przypadku, banki mogłyby „oflagować” klientów z nowymi kartami SIM i dodatkowo weryfikować każdy większy przelew wychodzący z ich konta.

Czytaj teżEurobank instalował „robaka”, Raiffeisen ubezpiecza, a mBank…

3. Konieczność autoryzacji także przelewów wewnętrznych. Złodzieje bardzo często „zsypują” pieniądze ze wszystkich kont klienta, zrywają lokaty, ściągają pieniądze z kary kredytowych i kont oszczędnościowych, a potem dopiero wykonują jeden, duży przelew. Powód? Im więcej transakcji, tym większe ryzyko wpadki. W przypadku pana Józefa też tak było. Gdyby złodzieje musieli autoryzować każdą z transakcji po kolei, może bank miałby więcej czasu na to, by się zorientować, że coś tu nie gra i jest podejrzany „ruch” na koncie.

Czytaj też: Czy analiza sposobu pisania na klawiaturze może pomóc w wykrywaniu przestępców grasujących na naszych kontach? Oni twierdzą, że tak. I już to testują na polskich klientach

Subscribe
Powiadom o
53 komentarzy
Inline Feedbacks
View all comments
Łukasz
1 rok temu

Dwie uwagi. Nie ma szansy, żeby nie podawać danych z dowodu. niezbędne są chociażby przy zawieraniu umów w telekomach czy przy meldowaniu się w hotelu. Można unikać skanowania dowodu, ale skan nie jest potrzebny, żeby zrobić dowód kolekcjonerski (wystarczy numer dowodu i PESEL który łatwo uzyskać chociażby z KRS) Mobilna autoryzacja nie daje pewnego zabezpieczenia, gdyż posiadając duplikat karty sim można zainicjować proces dodania dodatkowego urządzenia i z niego dokonywać mobilnej autoryzacji (nie trzeba przestawiać na autoryzację przez SMS). Co ciekawe przy domyślnych ustawieniach można nawet dokonać kradzieży na niewielką skalę mając tylko duplikat a nie posiadając loginu i hasła… Czytaj więcej »

Marek
1 rok temu

1. Problem z mobilną autoryzacją w ING jest taka, że w 99% nie działa – tylko otrzymujemy zwykły SMS. Bank cały czas się zasłania, jakich to nie ma skomplikowanych i zaawansowanych algorytmów, które stwierdzają które transakcje potwierdzać tradycyjnie a które jedynie mobilnie. Nie da się wymusić jedynie mobilnej autoryzacji można za to mieć jedynie tradycyjną – przez SMS. 2. I druga, chyba nawet ważniejsza kwestia, odnośnie samej mobilnej autoryzacji – był przypadek w ubiegłym roku, jak w mBank dzięki takiemu sposobowi też wyprowadzili komuś miliony z konta. W przypadku mobilnej autoryzacji nawet nie potrzebowali wyrabiać duplikatu karty – po prostu… Czytaj więcej »

hikju
1 rok temu

Wystarczyłoby, żeby operator przed wydaniem duplikatu zadał kilka dodatkowych pytań:
1. Gdzie obecnie znajduje się poprzednia karta sim?
2. Kiedy przestała być używana?
3. Gdzie po raz ostatni została użyta?
Odpowiedzi są łatwe do zweryfikowania na podstawie historii logowań telefonu do stacji BTS. Jeśli odpowiedzi klienta się nie zgadzają, lub co gorsza karta sim aktualnie jest zalogowana do sieci np. 50km od miejsca pobytu „klienta”, to w systemie powinna włączyć się jakaś procedura alarmowa.

Kirk
1 rok temu
Reply to  hikju

A nie prościej by było gdyby obsługujący w punkcie operatora wysyłał jednym kliknięciem zgłoszenie żądania wymiany SIM do centrali która przez telemarketera mającego dostęp do danych w tym hasła mobilnego dzwonił by na nr klienta z prośbą o potwierdzenie żądania wymiany SIM? Z ofertą potrafią dzwonić w kilka minut po zamówieniu rozmowy to i z tym by dali radę.

marcin
1 rok temu
Reply to  Kirk

Taaa, ukradli mi telefon z simem i jak mam zrobić duplikat? (karta jest nadal aktywna, złodziej odbiera i mówi, że nic nie chce wymieniać).

Sjunde
1 rok temu
Reply to  marcin

Ukradli ci telefon i go nie zablokowałeś? Nie zgłosiłeś i dalej gadają na twój koszt?

metkor
1 rok temu
Reply to  hikju

Wystarczyłoby zażądać od takiego klienta zwrotu starej karty SIM, lub sprawdzenie w systemie czy obecna karta jest aktywna i wykonanie telefonu, sms, wiadomości push-up że następuje procedura wymiany karty sim.

Jerzy
1 rok temu
Reply to  metkor

Pierwszy ruch oszusta, to zablokowac karte sIM w jakimkolwiek salonie, Drugi, to wystapic o nowa karte w innym salonie

blabl
1 rok temu
Reply to  hikju

Proszę bardzo: „ukradli mi telefon, więc karta może być nadal aktywna i nie wiem gdzie jest”.

gosc
1 rok temu

Moim zdaniem trzeba być frajerem aby trzymać tak duże pieniądze w banku z aktywowanym dostępem przez telefon i internet. Gdyby Pan Józef miał czas dla swoich pieniędzy i trzymał je w banku bez dostępu przez telefon i internet – autoryzując wszystkie transakcje własnoręcznym podpisem do tej sytuacji nigdy by nie doszło. Z punktu widzenia klienta własnoręczny podpis to najbezpieczniejszy sposób autoryzacji – nie ma możliwości aby bank się wymigał od odpowiedzialności. Przedkładanie wygody nad bezpieczeństwo kosztowały Pana Józefa 1,1 mln, a banki mówią, że dostęp przez internet jest za darmo … Przykład 170 osób z Łęczycy pokazuje, że nie trzeba… Czytaj więcej »

Marek
1 rok temu
Reply to  gosc

To poczytaj sobie o przykładach, kiedy ktoś przychodził z podrobionym dokumentem do oddziału banku i wypłacał wszystkie pieniądze. I co? Też żadne zabezpieczenie – nawet są osoby na monitoringu nagrane ale w niczym to nie pomogło. Są zabezpieczenia łatwiejsze i trudniejsze ale zawsze człowiek jest najsłabszym elementem systemu i to czasem wcale nie jesteśmy my – tylko zupełnie obca osoba.

gosc
1 rok temu
Reply to  Marek

Nic nie gwarantuje 100% bezpieczeństwa. W przypadku oszusta wypłacającego pieniądze w oddziale łatwo jest dowieść, że wina jest po stronie banku – nagranie monitoringu, podrobiony podpis. Swojego podpisu nie można zgubić ani komuś udostępnić (zawsze powinien być złożony w obecności pracownika banku). Grafolog nie będzie miał problemu z rozpoznaniem fałszerstwa – mamy wygraną sprawę w sądzie. W przypadku internetu i telefonu kwestia rozstrzygnięcia kto ponosi winę za wyprowadzenie pieniędzy z banku jest dużo bardziej skomplikowana. Klienci starają się zrzucić całą odpowiedzialność na bank a banki na klientów – sąd ma zwykle trudne zadanie i nie wiadomo jaki będzie wynik. Jeśli… Czytaj więcej »

Marek
1 rok temu
Reply to  gosc

Zgodzę się, że może być trochę prościej bo wcale nie mamy gwarancji wygranej sprawy w sądzie. Znam – osobiście – przypadki gdy biegły stwierdzał że podrobione weksle podpisywał poszkodowany (który w tym czasie przebywał na drugim końcu świata). I co ci po takiej opinii? Instytucja biegłego w naszym kraju to jest temat na inną dyskusję ale nie ma żadnej weryfikacji ani odpowiedzialności tych ludzi – idziesz się wpisać na listę biegłego i nikt nie sprawdza ile warte są twoje referencje od których potem może zależeć czyjeś, praktycznie, całe życie. I trzeba niestety pamiętać, że bank w obliczu pokrycia wielomilionowej straty… Czytaj więcej »

Pawel
1 rok temu
Reply to  gosc

Poza tym podpis nie musi byc „klasyczny” skladajacy sie tylko z imienia i nazwiska. Mozna stworzyc wlasny unikalny podpis dla danego banku – wtedy chyba to juz tylko wyciek danych z banku otwiera furtke do kradziezy.

gosc
1 rok temu
Reply to  gosc

Przykład oszustwa dokonanego w oddziale:
Chcieli ukraść miliony z kont zamożnych klientów banków
https://www.tvp.info/42583088/chcieli-ukrasc-miliony-z-kont-zamoznych-klientow-bankow

gosc
1 rok temu
Reply to  gosc

Jeszcze jeden przykład:
Pracowniczka banku w Olsztynie miała okradać rachunki zamożnych posiadaczy. Przez dwa lata stali się biedniejsi o 1,4 mln zł. Pieniądze mogły być kobiecie potrzebne na rozkręcenie własnej działalności gospodarczej
http://olsztyn.wyborcza.pl/olsztyn/1,48726,13272395,Kradziez_w_banku__Pieniadze_zamoznych_na_wlasny_biznes.html

Aga
1 rok temu

W ING ostatnio próbowałam ze swojego konta zrobił przelew na 90 tys to musiałam potwierdzać na infolinii ze ja to ja. Z tego co usłyszałam przez tel do bank ustawia odgórnie limit dzienny przelewu na 40 tys. Jak chce więcej to muszę się autoryzować przez tel.

Marek
1 rok temu

Z tymi alertami BIK to nie zabezpieczają one wcale, gdyż osoba która posiada dane z DO, wystarczy, że zadzwoni do BIKu i zamknie konto w BIKu. A ponieważ Złodzieje zdają sobie sprawę z istnienia czegoś takiego, wiec tak robią, a żadna informacja nie przyjdzie.

gosc
1 rok temu
Reply to  Marek

„Złodzieje zdają sobie sprawę z istnienia czegoś takiego, wiec tak robią”
Czy może Pan to czymś poprzeć np linkiem do artykułu opisującym taki przypadek ?

Marek
1 rok temu
Reply to  gosc

W moim przypadku, ktos zamknal moje konto w biku i co najlepsze zalozyl sobie drugie na moje dane podajac inny nr telefonu i email. Co wiecej wykupil sobie pakiet w bliku za 99 zl i przegladal informacje jakie sa na moj temat w biku wraz ze scorringiem.

Rrr
1 rok temu

„Pamiętajmy, że nigdzie – może poza bankiem, który może od nas tego zażądać – nie powinniśmy zostawiać skanów, kserokopii dowodu ani pełnych danych…” – fintechy jak Revolut, kantory internetowe, a ostatnio nawet SkyCash i internetowe Lotto wymagają dokładnych skanów dowodu osobistego. Co jeśli dojdzie do wycieku? Lub kto zagwarantuje, że tylko nieliczni ich pracownicy mają dostęp do tych danych? „Subskrybowanie Alertów BIK” – nie uchroni przed pożyczkami u lichwiarzy „Informowanie banków przez telekomy o każdym wydanym duplikacie SIM” – jak telekomy (których jest kilkadziesiąt wliczając operatorów wirtualnych niekiedy pracujących skrajnie lowcostowo) miałyby wiedzieć, które banki (tych jest kilkaset) powinny poinformować?… Czytaj więcej »

Fabian
1 rok temu

Dziwne jest, że bank bez mrugnięcia okiem wypuścił taka kwotę jak 1 mln zł w oparciu o zwykłe potwierdzenie SMS-em. Mnie nawet 40 tys. zł do odbiorcy zaufanego zablokowano i musiałem interweniować w banku.

Zenek
1 rok temu

Panie Maćku to też nie zadziała. W szajce złodziei często znajduje się osoba pracująca w banku, urzędzie, stanowisku obsługi klienta która wie który i gdzie dany klient ma kasę. Poprzednie kradzieże np w mbanku gdzie okradani byli głównie ci bardziej bogatsi klienci wyraźnie wskazuje na staranną selekcję i prawdopodobną współpracę. Taka osoba bez problemu ma dostęp dostęp do nr telefonu i jak już wyjaśniono może zrobić nawet niepotrzebną kopię dowodu Nie chwaląc się sam mam dostęp do dużej bazy klientów ze wszystkimi danymi, taka praca. Punkt 3 login i hasło można odzyskać na infolini w niektórych bankach wystarczy odpowiedzieć na… Czytaj więcej »

Zenek
1 rok temu
Reply to  Maciej Samcik

Nie popadajmy w jakiś absurd, chodziło mi bardziej o to że jest wiele, dużo osób które pracują na stanowisku obsługi klienta – nie tylko w bankach – które mają dostęp do naszych dowodów, mogą zrobić skan, wiedzą który klient jest potencjalnie bogaty. I klient sam podaje nr telefonu. Poza tematem to sam w ubiegłym roku wysyłałem ze 2x skan dowodu zakładając gdzieś konta. A bankach pracuje tysiące ludzi wystarczy jedna osoba pracującą gdzieś w markecie i przyjmująca wnioski typu założenie konta. Dlatego punkty 1 i 2 są oczywiście słuszne tylko do nie wykonania w 1oo%, BTW nawet kurier sprawdzając dowód… Czytaj więcej »

Zenek
1 rok temu
Reply to  Maciej Samcik

Punkt 3 nadal sa banki gdzie nie ma haseł telefonicznych, dzwoni się, podaje parę naprawdę podstawowych danych i na sms przysyłają id do logowania

K334
1 rok temu
Reply to  Zenek

Nr telefonu do kodów widać po zalogowaniu do mBanku w zakładce doładowania telefonu. Poza tym ta metoda z duplikatem SIM jest znana na zachodzie od lat.

Mko
1 rok temu

Takie afery w normalnym kraju to jest problem oszukanych banków, a nie ich klienta. Ten ma w nosie, ze ktos oszukał bank, w którym ma konto. Gdyby z urzędu był to problem banków, to zostałby rozwiązany w 3 minuty.

Marek
1 rok temu
Reply to  Mko

Prawda, jednak rzecz raczej trudna do przeskoczenia – jest takie coś jak lobbing i głębokie kieszenie bankowe wobec pewnych decydentów. Pamiętajmy o takim ewenemencie na skalę światową jak bankowy tytuł egzekucyjny, który do niedawna u nas funkcjonował. Kredyty w Polsce są zresztą hipoteczne jedynie z nazwy… Więc mamy przykłady, że u nas prawo się tworzy pod interesy banków a nie ochrony obywateli.

Kirk
1 rok temu

Jedna dygresja. Z danymi z dowodu złodziej nie ma problemu bo nigdy nie wiemy czy w banku urzędzie czy innej instytucji nie pracuje człowiek który nasze dane sprzedaje. Przecież tam też są pracownicy co tylko na chwilę trafiają np. na okres próbny, staż lub praktyki . Zwłaszcza w banku przy bezpośredniej obsłudze klienta.

Eley
1 rok temu

Jedyne pewne metody to karta kodów , choćby inteligo, czy token np Toyota Bank. Banki obowiązkowo powinny to oferować.

gosc
1 rok temu
Reply to  Maciej Samcik

Karta kodów nie chroni przed złośliwym oprogramowaniem, które podmienia nr rachunku a na ekranie pokazuje stary nr tak jakby wszystko było ok – człowiek nie wie co autoryzuje.
Wadom mobilnej autoryzacji jest to, że smartfon jest w sieci więc hacker może uzyskać do niego dostęp i w ten czy inny sposób przejąć kontrolę nad aplikacją do autoryzacji. To tylko kwestia czasu kiedy przeczytamy o takich przypadkach.

zeneusz
1 rok temu
Reply to  Maciej Samcik

jeśli ktoś uzyska duplikat karty sim to mobilna autoryzacja też już go przed niczym nie powstrzyma bo mając aktywny nr telefonu podczepi aplikację pod inny telefon. to taki sam rodzaj „bezpieczeństwa” jak kody sms. metody analogowe zawsze będą bezpieczniejsze. a to co pan pisze powyżej Panie Samcik, o autoryzowaniu czegoś innego niż się ofierze wydaje, to można zrealizować niezależnie od metody autoryzacji.

gosc
1 rok temu
Reply to  Maciej Samcik

„bankowi nie przyjdzie nawet do głowy, by oskarżać klienta o „rażące niedbalstwo””
Pana artykuły na tym serwisie nie skłaniają do takiego optymizmu. W ilu sprawach potrzebna była Pana interwencja aby bank zachował się przyzwoicie?
„klient ma bardzo mocny dowód”
Opisał Pan przypadki kiedy banki po zapadnięciu wyroku sądowego robiły klientowi na złość …

gosc
1 rok temu

Ciekawe ilu banki miałyby klientów gdyby przy podpisywaniu umowy o świadczenie usług przez telefon oraz internet musiały poinformować klienta o wszystkich oszustwach dokonanych tymi kanałami. Mam na myśli ilość wniesionych reklamacji rozpatrzonych pozytywnie i negatywnie, ilość spraw sądowych wygranych i przegranych, ilość skarg wniesionych do Rzecznika Finansowego i KNF. Powinny być również ujawnione kwoty. Niestety takie informacje rzadko przedostają się do opinii publicznej. Ma tutaj miejsce taka sama sytuacja jak ta, którą Pan Maciej opisał w artykule z 2017 „Sąd Najwyższy ostry jak chilli …” W tym artykule jest mowa o tym, że hiszpański Sąd Najwyższy orzekł iż „Bank nie… Czytaj więcej »

Jan
1 rok temu

Podstawowe zasady bezpiecznego konta w internecie jakie Ja mam: ****1. posiadam 3 konta internetowe 1, 2 i 3 w tym to ostatnie jest tzw. operacyjne, ****2. na koncie nr 1 mam główne zasoby i jest nie używane do żadnych operacji oprócz wewnętrznych, i znajduje się w innym banku. Do niego mam stary telefon Nokia (osobny nr, tylko rozmowy i SMS-y, nie da się go zawirusować) i który znajduje się na stałe w mieszkaniu i głównie służy do autoryzacji SMS-wej konta nr 1 do ręcznego przelewu (za pomocą komputera) na konto nr 2. Nie jest używany do rozmów. ****3. na koncie… Czytaj więcej »

gosc
1 rok temu
Reply to  Jan

Twoje bezpieczeństwo finansowe zależy od tego jak dobrze jest chronione konto nr 1. Powiedzmy, że na początek hacker zna Twój adres email. Login i hasło do banku można przejąć przez keyloggera i wtedy podejrzeć nr telefonu w serwisie transakcyjnym (chyba, że jest zamaskowany). Czy nr telefonu jest zarejestrowany na Twoje nazwisko …. ? SMSy można przejąć nie tylko instalując złośliwe oprogramowanie na telefonie, ale również hackując system operatora (patrz przykład Telefoniki w Niemczech) lub zmieniając nr telefonu kontaktowego. Dzienny limit przelewów – hacker jeśli np przejmie skan twojego dowodu osobistego ze skrzynki email lub dysku twojego komputera może zadzwonić do… Czytaj więcej »

x11
1 rok temu

Panie Macieju, a może Pan by zainterweniował u telekomów? Każdy klient powinien mieć możliwość blokady wydawania duplikatu karty sim (dodatkowe hasła, dodatkowe dokumenty itp.). W większości przypadków wystarczyłoby żeby nowa karta uruchamiała się dzień później niż była wyłączana stara. Poszkodowany klient miałby szansę żeby pójść do POKa i wszystko zablokować. Na razie metoda kradzieży „na duplikat” wciąż się rozwija. Kiedyś artykuły o tym czytało się tylko na niebezpiecznik.pl teraz u Pana, na popularnych portalach… a telekomy nic.

anonymous
1 rok temu

Mobilna autoryzacja jest łatwa do przejęcia choćby przez screen hacking. Natomiast próba zmiany na inną to rzecz normalna, nic podejrzanego.

gosc
1 rok temu

Bank z Wielkiej Brytanii wpuścił dziennikarzy do Działu Bezpieczeństwa. Artykuł przypomina trochę relację z pola bitwy. Proszę zwrócić uwagę na skalę problemów – pomimo, że jest to bardzo mały bank.
Pewnie w Polsce problem jest trochę mniejszy bo zarabiamy i oszczędzamy mniej niż w Wielkiej Brytanii, ale myślę, że w polskich bankach jest również ciekawie.
Fraud: here’s how scammers get away with it
https://www.theguardian.com/money/2018/jul/07/heres-how-scammers-get-away-with-it

Bohaterem artykułu jest Monzo Bank https://monzo.com/ . – A bank that lives on your smartphone
Jest to tak zwany challenger bank – czyli mały, niedawno utworzony bank, którzy rzuca wyzwanie dużym, tradycyjnym bankom.

Eliot Snel
1 rok temu

Jestem wdzięczny panu posłowi Van Alfonsowi, ponieważ nagle zmienił moją historię. Sprzedał mi pustą kartę bankomatową. skontaktuj się z nim (vanalfons22@outlook.com) Karta działa we wszystkich krajach, skontaktuj się z nim teraz.

Jerzy
1 rok temu

Dyskusja toczy sie w kolko wokol SMSow dla potwierdzenia operacji. Pierwsza sprawa jest jednak zalogowanie sie do serwisu transakcyjnego. Ktos te dane musial skrasc. Jesli mogl skrasc te dane oraz dane z dowodu osobistego, to musial to byc ktos bliski pana Kruka. Albo tez pan Kruk trzymal te dane w jednym miejscu, lub tez byly dane do logowania byly latwe do odgadniecia. Albo tez ktos go podpatrywal przy logowaniu. W dodatku zdobycie zarowno danych do dowodu jak i danych do logowania jest trudne, bo o ile dane mozna zebrac za pomoca szpiegowania za pomoca odpowiedniego wirusa, to do drugich potrzebny… Czytaj więcej »

Sjunde
1 rok temu

W temacie 3 rzeczy, kto każdy zrobić powinien:
Jeżeli ktoś ma wirusa w telefonie to SMSy mogą być automatycznie przekazywane. Owszem.
Ale jeżeli ktoś ma wirusa w telefonie to powiedziałabym, że absolutnie NIE należy się z takiego urządzenia logować do bankowości.
Chyba, że coś w nowoczesności przegapiłam.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu