25 lipca 2019

Stały kontrahent, faktura taka jak zwykle, adres e-mail się zgadza i… 122.000 zł wysłane do złodzieja. Jak to możliwe? Walczymy o kasę!

Mama mojego czytelnika wysłała 122.000 zł do złodzieja, który prawdopodobnie „podstawił” jej fałszywy przelew do wykonania. Pieniądze, zamiast do firmy produkującej świece popłynęły do przestępcy, który się za nią tylko podawał. Jak to możliwe? I czy banki mogły ten przelew powstrzymać na podstawie niezgodności danych? Czy przynajmniej – wspólnie z policją, prokuraturą i operatorem skrzynki e-mail – pomogą odzyskać pieniądze?

Pani Joanna jest drobnym przedsiębiorcą, prowadzi sklep, handluje m.in. świecami. Współpracuje różnymi firmami, od których zamawia towar. Jedną z takich firm jest duży producent świec z Łańcuta. Współpraca trwa od lat, raz na jakiś czas łańcucki producent wystawia pani Joannie faktury. Ostatnia z nich przyszła na e-mail pani Joanny (skrzynka na portalu Onet.pl) 17 czerwca. Kwota do zapłaty: 122.428 zł.

Pani Joanna opłaciła fakturę tak samo, jak poprzednie – zgodnie z dyspozycją, na podane na niej konto bankowe. Dopiero po tygodniu zorientowała się, że coś jest nie tak – firma z Łańcuta zaczęła się niepokoić dlaczego faktura nie została zapłacona. „Przecież zapłaciłam!” – odpowiedziała pani Joanna.

Przelew na 122.000 zł miał iść do kontrahenta, a popłynął do złodzieja

Wystarczyła krótka wymiana e-maili, by kontrahent z Łańcuta uświadomił pani Joannie, że na fakturze jest numer rachunku, który nie należy do producenta świec. Do kogo należy – nie wiadomo. Nie wiadomo też dlaczego pani Joanna nie zdziwiła się, że tym razem faktura ma być zapłacona na inny numer rachunku, niż zwykle. Być może dlatego, że faktury z łańcuckiej firmy opłacała niezbyt często, raz na kilka miesięcy.

„Wcześniej otrzymywałam e-maile z tej firmy w opcji automatycznej. Wiem, że posiada ona certyfikowany system do fakturowania. Nic nie budziło moich podejrzeń do tego stopnia, że po zapłaceniu faktury usunęłam ze skrzynki e-mail z fakturą w załączniku”

Pani Joanna natychmiast zgłosiła się do swojego banku, czyli ING Śląskiego, gdzie pracownik rozłożył ręce i powiedział, żeby zgłosić sprawę na policję, bo najpewniej faktura została profesjonalnie podrobiona. A to oznacza, że nie ma miejsca żadna pomyłka, tylko przestępstwo i to grube.

Ale jak to możliwe, że ktoś dowiedział się, że pani Joanna ma wkrótce płacić fakturę dla firmy z Łańcuta, że zdołał profesjonalnie ją podrobić (zmieniając tylko numer rachunku do zapłaty), wysłać mniej więcej w tym samym terminie, w którym firma z Łańcuta zamierzała to zrobić, a przy tym jeszcze wysłać ten e-mail z adresu firmy z Łańcuta? Wygląda na to, że nie tylko faktura została „podrobiona”, ale i adres e-mail.

Pani Joanna dziś jest w kiepskim stanie, choć od kradzieży 122.000 zł upłynęło kilka tygodni. Nie wie co się stało: czy jej komputer ma wirusa i powinna go wymienić? A może ktoś włamał się na jej pocztę? Doradzono jej tylko, żeby nic nie zmieniała w konfiguracji komputera i nie instalowała programów antywirusowych, by nie zacierać ewentualnych śladów. Policja chyba na razie nie prowadzi „szeroko zakrojonych działań” (a przynajmniej nic o tym pani Joannie nie wiadomo).

Czytaj też: Czy mogą cię okraść z pieniędzy na koncie przez… pocztę głosową na twoim smartfonie? Oni pokazali, że można. Jak się bronić?

Czytaj też: Telekom może pomóc złodziejowi okraść twoje konto w banku? Wystarczy poprosić o przekierowanie połączeń na inny numer i…

Czytaj też: Prawie okradłem znajomego z pieniędzy. Pomógł pracownik telekomu

Czytaj też: Skopiowali jego dowód, wyłudzili kopię karty SIM. Ukradli 1,1 mln zł z konta. Jak tego uniknąć

Jak to się mogło stać? Przecież wszystkie dane się zgadzały…

Pierwotnie pani Joanna obstawiała, że to w firmie z Łańcuta jest jakiś „kret”, który przekierowuje przelewy. Ale okazało się, że po pierwsze firma z Łańcuta wysłała do niej „prawdziwą” fakturę, która z jakich przyczyn nie dotarła do celu (być może maczał w tym palce złodziej, a może to był tylko zbieg okoliczności), a po drugie żaden inny jej kontrahent nie zaraportował kradzieży. A pani Joanna nie jest ani największym, ani tym bardziej jedynym klientem tej firmo. Można byłoby zrobić – mając w firmie „kreta” – znacznie większy „skok”.

Wygląda więc na to, że przestępca wytypował panią Joannę jako cel swojego ataku. Jak najparawodopodobniej wyglądała cała sytuacja? Zapytałem o to MoneyPenny, specjalistkę od cyberprzestępczości, która czasem pomaga mi w wyjaśnianiu spraw, o których nie śniło się filozofom, która czasem pomaga mi w… pomaganiu czytelnikom.

Jej zdaniem ktoś „podrobił” e-mail, który tak naprawdę został wysłany z innego adresu e-mail, który jednakże „udawał” prawdziwy adres e-mailowy producenta zniczy. Da się niestety takie „podstawienie adresu” wykonać, co wynika ze słabych zabezpieczeń niektórych serwerów pocztowych. Zapewne złodziej musiał wcześniej zinflitrować pocztę pani Joanny, choćby po to, by wiedzieć jak będzie wyglądała kolejna faktura.

Czy pieniądze da się odzyskać? To zależy od tego jak wyraźne są „cyfrowe ślady”, które pozostawił przestępca, z jak dużym zapałem do roboty zabiorą się organy ścigania (policja, prokuratura) oraz czy banki oraz dostawca usług pocztowych pani Joanny (Onet) pomogą.

Niepokoją mnie nieco informacje od pani Joanny, że w sprawie dzieje się niewiele. Onet nie odpowiedział w sprawie odzyskania e-maili, zaś bank PKO BP, do którego trafiły pieniądze, nie daje znaku życia w sprawie możliwości ich odzyskania (choć – jak twierdzi ofiara – wysłała do niego pismo z taką prośbą).

Co mogły zrobić banki, żeby powstrzymać kradzież? Cóż, złodziej zapewne założył w PKO BP rachunek na inne dane, niż nazwa i adres producenta świec. A zatem jeśli pani Joanna wysłała na to konto przelew wpisując w polu „odbiorca” dane tegoż producenta, to PKO BP mógłby zauważyć rozbieżność nazwy odbiorcy.

Czytaj też: Dzięki temu trikowi ukradli nam już 260 mln zł. A banki rozkładają ręce

Dlaczego ofiary nabierają się na ten prosty trik, nie podejrzewając oszustwa? Pisaliśmy o tym w artykułach:

>>> „Polskie banki z lenistwa ułatwiają przestępcom okradanie klientów? Mówią, że nie mogą sprawdzić nic poza numerem konta. Ale wreszcie nadchodzą zmiany!”

>>> „To najbardziej rentowny sposób okradania klientów banków. Do złodziei płyną miliony. GIIF upomina bankowców, że powinni się bardziej starać”

Kto założył konto „na słupa” i podszył się pod producenta świec?

Przestępstwa będące skutkiem tego, że banki – wysyłając i przyjmując przelewy – nie sprawdzają nic poza numerem konta, noszą nazwę BEC i należą obecnie do najszybciej rozwijających się. Można dzięki nim szybko ukraść duże pieniądze, korzystając z nieuwagi klientów banków oraz sanych banków.

Np. w Holandii takie przestępstwo najprawdopodobniej nie mogłoby się udać, bo każdy duży przelew podlega kontroli zgodności danych faktycznego beneficjenta i tego, który został wpisany na poleceniu przelewu. Z całą pewnością zarówno bank ING, jak i PKO BP (zwłaszcza ten drugi) mogły sprawdzić czy wszystkie dane się zgadzają ze zleceniem, a nie tylko numer rachunku odbiorcy.

W Polsce też od lipca obwiązuje nowy formularz, na którym banki muszą informować GIIF o wysokowotowych przelewach i w tym formularzu są już pola pozwalające – bankom lub GIIF-owi – wykrywać nieprawidłowości.  Nie wiemy jak ta „proteza” się spisuje, ale w przypadku pani Joanny nie miała jeszcze szans zadziałać, bo kradzież zdarzyła się w czerwcu.

Prawdopodobnie złodziej założył w PKO BP rachunek „na słupa”. Warto byłoby ustalić kto tym „słupem” jest (kiedy i w jaki sposób założył rachunek, czy uchwycił go monitoring w placówce itp.) oraz, czy da się z jego pomocą trafić do właściwego inspiratora feralnego przelewu. Nie zaszkodziłaby wymiana informacji z Onetem, w którym ten sam złodziej musiał założyć skrzynkę pocztową, z której wysłał „podrobionego” e-maila z trefną fakturą.

A jeśli pieniędzy już dawno w PKO BP nie ma, bo „słup” przekazał je dalej? Bank może wydać zlecenie „stop payment” i zablokować je w banku docelowym. Jeśli i na to jest za późno – wtedy ostatnia nadzieja w tym, że policja ustali sprawcę i go zatrzyma.

Można się też zastanawiać nad odpowiedzialnością odszkodowawczą banków, które nie wykryły żadnych nieprawidłowości, chociaż – zgodnie z prawem o zapobieganiu praniu brudnych pieniędzy – powinny tak duże przelewy monitorować i wiedzieć skąd, dokąd i dlaczego płyną.

Jeśli sprawa ostatecznie trafi do sądów, to bankowcy będą musieli się bronić przed zarzutami o niewłaściwe sprawdzenie danych (zarówno dotyczących przelewu, jak i pozwalających na założenie konta „na słupa”). Oby jednak sprawę udało się rozwikłać bez takich „atrakcji”, jak proces sądowy.

Banki też nie działają w próżni: Niedawno zaapelowały do rządzących w sprawie zbyt dużych obciązeń regulacyjnych. „Pchacie nas w bardzo złym kierunku”

Co trzeba zrobić, żeby zachować szansę na odzyskanie kasy?

Niniejszym proszę publicznie, by następujące instytucje nadały najwyższy priorytet następującym sprawom (wiem, że policja i prokuratura się nią zajmują, lecz przydałoby się zajmować się szybko, bo w takich sprawach czas to pieniądz, a państwo nie może być z papieru i z kartonu, jak to drzewiej bywało). Listę zadań pomogła mi sporządzić MoneyPenny:

1. Onet.pl niech jak najszybciej „zamrozi” historię skrzynki pocztowej pani Joanny (prośbę o to zapewne gdzieś macie, a jeśli nie – służę adresem e-mail skrzynki, którą trzeba się „zaopiekować”). Pani Joanna usunęła wiadomość, której szczegóły mogą naprowadzić informatyków policyjnych na ślad prawdziwego jej właściciela-złodzieja. Chodzi o to, by ten e-mail nie zniknął trwale z serwerów.

2. PKO BP niech zabezpieczy – policja zapewne za chwilę się o to zwróci lub juz to zrobiła – dane posiadacza rachunku, na który poszedł przelew, pieniądze na tym rchunku, a także wszelkie dokumenty związane z jego zakładaniem, w tym monitoring. Ważna będzie historia działań na tym rachunku z uwzględnieniem adresów IP komputerów i innych urządzeń, które się z tym rachunkiem łączyły. Jeśli z tego rachunku były wypłacane pieniądze w gotówce – trzeba zabezpieczyć monitoring w miejscach tych wypłat.

3. ING niech przygotuje kopię wiadomości „stop-payment” (o ile – po pierwszym zgłoszeniu od pani Joanny – taką wiadomość do PKO BP wystosował, by PKO wiedział, że ma nie wypuszczać żadnych pieniędzy z rachunku, na które wpłynęło 122.000 zł) oraz wszelkich innych dokumentów, które były wysyłane do PKO w związku z żądaniem zwrotu pieniędzy złożonym przez panią Joannę. Przydałoby się także zapytanie do systemu Ognivo (ING powinien je wystosować, żeby chociaż spróbować – w ramach prezydenckiej nowelizacji prawa, która niedawno weszła w życie – odzyskać pieniądze pani Joanny).

Tutaj więcej: Jak działa Ognivo i w jaki sposób sprawdzić czy ktoś się pod ciebie nie podszył

A ja będę Was informował o tym jak ta sprawa się rozwinęła lub – miejmy nadzieję – w miarę pozytywnie zakończyła. Czy pieniądze da się odzyskać – nie wiem. To zależy od tempa wspólnych działań policji, prokuratury, dostawcy usług pocztowych i banków. Nie mamy dobrych doświadczeń, jakiś czas temu opisywałem sprawę, w której okradziona sama poczyniła większość ustaleń, o których wspominam powyżej i niemal „przyniosła” organom ścigania przestępcę na patelni, ale i to nie wystarczyło, by gnoma „przyskrzynić”…

Nie przegap nowych tekstów z „Subiektywnie o finansach”zapisz się na mój newsletter i bądźmy w kontakcie!

Bankowcu, przeczytaj i puknij się w czoło: Międzynarodowe stowrzyszenie GIIF-ów pisze w sprawie przestępstw „przelewowych”

zdjęcie: Marcello Migliosi, Pixabay

40
Dodaj komentarz

avatar
13 Comment threads
27 Thread replies
2 Followers
 
Most reacted comment
Hottest comment thread
24 Comment authors
JarekAndrzejqweDarekTytus Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Ryszard
Gość
Ryszard

To wszystko nie jest takie proste. Znam mechanizm założenia konta Inteligo z wykorzystaniem danych autentycznego właściciela lokaty (w innym banku) ale danych adresowych Bogu ducha winnego mieszkańca jednego z wieżowców na Pradze w Warszawie. Kurier przywożący papierową wersje umowy zadzwonił na podany we wniosku numer telefonu ale umowę nie podpisał w mieszkaniu ale na ławce przed blokiem bo tam czekał Klient. Konto było założone w dziecinnie prosty sposób a dane inicjujące (e-wniosek) wysłane z karty telefonicznej (wtedy bez obowiązku rejestracyjnego). Dalsza historia …. nie będziemy o tym pisać, bo byłaby instrukcją dla oszusta. W każdym razie cała sprawa może być… Czytaj więcej »

Pibloq
Gość
Pibloq

Fakt, zakładałem konto w Inteligo jakiś kwartał temu. Wschodniojezyczny kurier z Inpostu niespecjalnie wiedział, co sprawdzić. Spieszyl sie, zerknal tylko chwile na 1 strone dowodu, mogl to byc spokojnie dowód kolekcjonerski, a mieszkanie wynajęte na godzinę.
Sprawdził w wydrukowanym schemacie, czy podpisalem, przekazal teczuszkę i stałem się szczesliwym posiadaczem ROR w Pko/Inteligo.
Zero procedur bezpieczenstwa.
Generalnie proces kurierski, przy obecnym zabieganiu kurierów i wysokiej rotacji oraz pracy nie-polskojezycznych kurierów to farsa…

Pawel
Gość
Pawel

No sorry, ale przedsiębiorca, który kasuje email z fakturą?

Bogdan
Gość
Bogdan

„Onet.pl niech jak najszybciej „zamrozi” historię skrzynki pocztowej pani Joanny”

Kiedyś przeglądałem regulaminy różnych skrzynek pocztowych i chyba w każdym jest napisane, że jak się skasuje e-maila to koniec. Nie ma opcji odzyskania. Zatem tutaj raczej nie ma szans na ratunek.

Ania
Gość
Ania

Bogdan, Onet w „Koszu” skasowaną wiadomość trzyma jeszcze 21 dni…

Jarek
Gość
Jarek

Maila pewnie nie ma, ale logi serwerów pocztowych (metadane, czyli skąd i kiedy dokładnie przyszedł e-mail) powinny być i należy je zabezpieczyć.

Michał
Gość
Michał

LOT stracił w ten sposób 2,6 mln, PGZ 4 mln.

Kornel
Gość
Kornel

Przelać taką kwotę i nie sprawdzić w historii bankowości, czy nr konta jest taki, jak ostatnio… Jak co miesiąc płacę czynsz za wynajem to zawsze sprawdzam, czy nr rachunku na fakturze jest ten sam, co ostatnio.

Pibloq
Gość
Pibloq

Dlatego zawsze jak robię przelew za fakturę, którą opłacam, wyszukuje po nazwie w historii ostatni przelew i klikam „wykonaj ponownie” (ING dla firm). Po czym sprawdzam, czy numer konta zgadza sie z bieżącą fakturą – chociaz pierwsze i ostatnie cztery cyfry. A generalnie w duzych firmach/korporacjach juz dawno wprowadzono procedurę, że osoba płacąca faktury w firmie nie ma prawa zrobic przelewu na konto wpisane „z palca” z faktury. Tylko zdefiniowani odbiorcy zaufani, którzy pisemnie potwierdzają nr konta do rozliczeń, a samo wprowadzenie tego numeru do systemu ma ścieżkę akceptacji. Wiele firm stosuje także wpisanie nr konta rozliczeniowego do umowy o… Czytaj więcej »

Zenek
Gość
Zenek

w bankach typu ing czy alior jeśli wyślesz przelew i po minucie się zorientujesz że jest błędny, albo wysłałeś za dużą kwotę to już po zawodach, może być 23 czyli następna sesja rano i nie można tego okręcić

Fabian
Gość
Fabian

Jeśli Alior tak robi to tym bardziej wypowiem umowę, którą i tak zamierzałem rozwiązać. Ja po minucie nie mogę wycofać przelewu mimo, że sesja jeszcze nie wyszła?? A ten bank po raz kolejny zablokował mi poranny przelew, tym razem na zwykłe 10 000 zł, mimo że odbiorca był ustawiony w systemie jako ‚zaufany’ (to moje własne konto w innym banku), a limit przelewu mam ustawiony na 50 000 zł!. Przelew zlecam wcześnie rano by doszedł w tym samym dniu ale blokada powoduje, że nic się nie dzieje, nikt z banku nie dzwoni, środki zatrzymane do dnia następnego i jest jak… Czytaj więcej »

Paweł
Gość
Paweł

Nie blokują to źle. Blokują też nie dobrze.

W innym banku była procedura, że każdy przelew od kwoty 80000PLN oddzwaniany do klienta przez dedykowany zespół. Nie ważne czy pierwszy czy 47 z rzędu do tego samego odbiorcy….

I za każdym razem weryfikacja, odczytanie danych i dopiero szedł…

Don Q.
Gość
Don Q.

Dziwna kwota, czyżby to się wzięło z 20000EUR?
Możesz zdradzić co to za bank? Piszesz w czasie przeszłym, czy to może DB?

Tosiek
Gość
Tosiek

Są ciekawsze historie – sprawa „prowadzona” przez krakowskich śledczych – okres świąteczny, telefon do listonosza że dziś firma zamknięta nie ma nikogo (duża firma ze stałą ochroną) i „podjadę odebrać pocztę tu i tu..”. Listonosz się zgadza, wydaje pocztę obcej osobie na ulicy, w środku podmienia fakturę o dużej sumie (o jedną cyfrę więcej niż w artykule) od stałego kontrahenta i wysyła jeszcze raz do firmy… Kasa przelana znika w bankach. Poczta odmawia odpowiedzialności i broni się prawem pocztowym.
Jak widać nie tylko mailem można okraść firmy.

gosc
Gość
gosc

Pani Joanna w momencie kiedy zaczęła akceptować faktury w formie elektronicznej powinna poczytać nie tylko o korzyściach, ale również ryzykach takiego rozwiązania. Jednym z ryzyk jest e-mail spoofing: https://pl.wikipedia.org/wiki/E-mail_spoofing Pani Joanna powinna również czytać gazety i zdawać sobie sprawę, że skoro ofiarą takiego oszustwa padło metro, LOT, PGZ itd to ktoś może próbować oszukać w ten sam sposób również ją. Pani Joanna nie dołożyła należytej staranności wykonując tą płatność. 1) „Wcześniej otrzymywałam e-maile z tej firmy w opcji automatycznej.” Ten fragment świadczy, że faktura przyszła w trochę inny sposób niż wcześniej (z tego samego adresu, ale inaczej) i to powinno… Czytaj więcej »

gosc
Gość
gosc

No i ciekawe czy Pani Joanna miała włączoną dwuetapową weryfikację do swojej skrzynki email na onet.pl
https://pomoc.poczta.onet.pl/baza-wiedzy/czym-jest-weryfikacja-dwuetapowa/
Jeśli ktoś loguje się tylko za pomocą loginu i hasła to prosi się o kłopoty.

Ania
Gość
Ania

Jeśli poszkodowana zorientowała się dopiero po tygodniu, to żadne stop paymanty już tu nie pomogą. Przestępcy najprawdopodobniej w ciągu kilku minut po otrzymaniu przelewu rozsiali pieniądze na nieokreśloną liczbę kont….
Zgadzam się zdecydowanie, że przelewy powinny być weryfikowane z danymi odbiorcy, jednak klienci musieliby na nowo przywyknąć do dłuższych czasów realizacji transakcji – co dla żyjącego szybko społeczeństwa może być trudne do zaakceptowania. Nie od dziś wiadomo, że komfort z bezpieczeństwem w parze nie idą.

Sosna
Gość
Sosna

Skopiuję własny komentarz sprzed kilku dni: „Banki twierdzą, że sprawdzanie zgodności odbiorcy przelewu zadeklarowanego przez nadawcę z faktycznym właścicielem rachunku doprowadziłoby do paraliżu, bo każda literówka blokowałaby przelew (już nie mówiąc np. o dwuczłonowych nazwiskach, podwójnych imionach, nazwie firmy w rachunku jednoosobowej działalności gospodarczej, sposobu zapisu „sp. z o.o.”). Tymczasem od wielu lat istnieją informatyczne rozwiązania pozwalające na analizę PODOBIEŃSTWA tekstów. Jest niezmiernie mało prawdopodobne, żeby konto złodziei – zazwyczaj założone na słupa – miało „właściciela” o podobnej nazwie, jak osoba / firma, do której chcemy wysłać przelew. Wystarczy więc blokada przelewów w wypadku, gdy np. algorytm wskaże podobieństwo na… Czytaj więcej »

oxo
Gość
oxo

Niestety tego typu algorytm będzie miał pewien próg błędu, będzie odrzucać pewnie poprawne przypadki. Nie będzie tego dużo, pewnie statystycznie poniżej procenta, ale przy 130 mln transakcji miesięcznie zrobią się setki tysięcy zatrzymanych przelewów i .. setki tysięcy wkurzonych klientów, których trzeba obsłużyć „ręcznie”. Drooogo.

Druga sprawa, skąd wykonujący przelew bank A ma wiedzieć, że konto K w banku B należy bez wątpienia do firmy X szczególnie w przypadku, kiedy firma X dla klienta E nadaje konto K, ale dla klienta F już konto L i nie powiadamia o tym nawet banku B?

oxo
Gość
oxo

Problem nie jest czas wykonania takiej usługi w banku w sposób automatyczny, bo nawet dla miliona przelewów takie hurtowe match-owanie by trwało .. góra kilka minut na przyzwoitej bazie danych na sprzęcie klasy „mocny” PC. Problemy są logiczne: 1) jaki poziom błędów dopuszczać. np „T MOBILE POLSKA S A” – taki jet wpis w KRS, a jak ktoś napiszę „T-mobile polska” to jest OK? „T mobile”? „Tmobile”? „Tmobile SA”? „T. mobile S.A.” Do tego jeszcze dorzuć możliwe zapisy ulic w adresie „Marynarska”, „ul. Marynarska” „ulica Marynarska” „ul Marynarska” itp … a jak ktoś walnie literówkę „ul. Mrynarska” to puścić? czy nie?… Czytaj więcej »

Sosna
Gość
Sosna

Ad 1) Właśnie o tym pisałam wyżej – badamy PODOBIEŃSTWO tekstów i odrzucamy tylko te, które są bardzo mało podobne. Przy czym w algorytmie badania podobieństwa większość wariantów popularnych zapisów jest już ujęta (np. „al.” = „aleja” = „aleje”, czy też podany przez Ciebie T-mobile). Taki algorytm jest do zrobienia przez zwykłego informatyka pracującego na dużej bazie danych w ciągu miesiąca, już nie mówiąc o nowoczesnych rozwiązaniach typu sieci neuronowe.
Ad 2) Stąd weryfikacja zgodności danych musiałaby leżeć po stronie banku PRZYJMUJĄCEGO przelew.

Ohu
Gość
Ohu

Dlatego nie warto żałować paru groszy na firmową skrzynkę we własnej domenie bez spamu, z SSL z becupem i wieloma mechanizmami wykrywającymi próbę wyłudzenia. Pozorna oszczędność paru złotych rocznie skończyła się okropnie.

Tytus
Gość
Tytus

No nawet we własnej domenie ale znowu przyczepie się do serwera, większość nawet porządnych i drogich dostawców w Polsce nie ma 2etapowego logowania. Dlatego ja polecam zawsze gsuite od googla bo Ma i możliwość obsługi własnej domeny i 2etapowego logowania w tym z u2f. Oczywiście wszystko co napisałeś o certyfikatach to swieta prawda.

Tytus
Gość
Tytus

Ja mam takie przemyślenia: 1.oczywiście e-mail „na wygląd” nadawcy można podrobić banalnie, więc płacenie skądinąd wysokich faktur przesłanych tylko emailem, ale bez certyfikatu, jest ryzykowne. Mało która mała polska mała/średnia firma certyfikat dla emaila, choć najprostszy potwierdzający adres kosztuje na rok grosze; ale jest wtedy sposób-bierzemy telefon do firmy (ale ten który znamy albo jest na stronie, a nie ze stopki emaila z faktura) i potwierdzamy dzwoniąc , szczególnie przy wysokich kwotach, szczególnie kiedy zmienił się numer rachunku. 2. Mega nieprofesjonalne, z mojego punktu widzenia jest trzymanie firmowej poczty na skrzynce typu Onet bez 2skladnikowego uwierzytelnienia. W takim przypadku ktoś… Czytaj więcej »

Darek
Gość
Darek

Jeśli Pani Joanna opłaca kontrahenta co jakiś czas to nie wierzę że nie zapisała w banku podmiotu na stałe. Czy ktoś z was płacąc za gaz, wodę, energię czy telefon nie posiada zapisanego w banku internetowym podmiotu?

Andrzej
Gość
Andrzej

Kilka dni temu zakładałem lokatę w „nie swoim banku”. Po dokonaniu przelewu z mojego banku, dostałem info na stronie, że przelew jest wstrzymany i mam czekać na telefon z banku. Po kilku minutach zadzwonił konsultant i było po sprawie.

Kwota 20 000.

Jarek
Gość
Jarek

„Da się niestety takie „podstawienie adresu” wykonać, co wynika ze słabych zabezpieczeń niektórych serwerów pocztowych. Zapewne złodziej musiał wcześniej zinflitrować pocztę pani Joanny, choćby po to, by wiedzieć jak będzie wyglądała kolejna faktura.” Jeśli przestępca miał dostęp do poczty pani Joanny (a po lekturze artykułu zgadzam się, że to prawdopodobne), to mógł podstawić sfałszowanego maila niezależnie od zabezpieczeń serwerów pocztowych. Mógł po prostu zmodyfikować oryginalnego maila bezpośrednio na koncie pocztowym. Wiem, że MoneyPenny najchętniej by w całym Internecie wdrożyła DMARC i pewnie to miała na myśli pisząc o zabezpieczeniach, ale w tym przypadku, jeśli przyjmujemy nieautoryzowany dostęp do konta pocztowego… Czytaj więcej »

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss