15 września 2021

To się nazywa mieć pecha. Złodzieje trzy razy próbowali okraść panią Annę. Dwa cyberataki im się udały. Zawiniła tylko klientka czy trochę też jej bank?

To się nazywa mieć pecha. Złodzieje trzy razy próbowali okraść panią Annę. Dwa cyberataki im się udały. Zawiniła tylko klientka czy trochę też jej bank?

Cyberataki to prawdziwa plaga. Jak oszuści próbują nas oszukać? Co robią, że nawet rozsądny człowiek czasem daje się nabrać? Na przestrzeni dwóch ostatnich lat pani Anna trzy razy padała ofiarą cyberataku. Za każdym razem metoda była inna. Niestety dwa razy górą byli złodzieje. Oto historia naszej czytelniczki, którą opisujemy, żeby przestrzec was przed popełnieniem podobnych błędów. A do bankowców apelujemy: załatajcie dziury w zabezpieczeniach waszych systemów

„Ofiarą internetowych oszustów padają tylko naiwniacy, ja bym się nie dał wykiwać” – komentarze utrzymane mniej więcej w takim tonie często pojawiają się pod tekstami o internetowych oszustwach. Pani Anna też uważała się za osobę rozsądną. Nigdy by nie pomyślała, że może dać się oszukać. A jednak… Na przestrzeni ostatnich dwóch lat padła ofiarą ataku aż trzy razy. Straciła pieniądze.

Zobacz również:

Ostatni z ataków – skuteczny – nastąpił w sierpniu tego roku. Sytuacja nie jest jeszcze do końca rozstrzygnięta, bo nasza czytelniczka złożyła reklamację w banku i jeszcze czeka na cud, czyli zwrot pieniędzy. Ale sama przyznaje, że szanse na to, by bank uznał reklamację, są nikłe. Dlaczego postanowiła opowiedzieć swoją historię?

„Piszę z nadzieją, że może ta historia z mojego życia kogoś ustrzeże przed podobnymi przypadkami. Mam też nadzieję, że może podzielenie się tą traumą ukoi żal i ból. I po słowie tutaj poczuję spokój”.

Przeczytaj też: Z powodu pandemii (ale nie tylko) staliśmy się bardziej aktywni w internecie. I kusimy cyberprzestępców. Jak technologie i my sami możemy się przed nimi chronić?

Cyberatak numer 1. Metoda: na dobroć

Pierwszy raz pani Anna padła ofiarą oszusta w październiku 2019 r. Z jedną ze swoich sąsiadek miała „przelotne relacje”, ale – jak mówi – wypadło ją mieć na Facebooku wśród znajomych. Pewnego dnia sąsiadka poprosiła panią Annę o pożyczenie na jeden dzień 1000 zł. Sąsiadka zapewniała, że pieniądze zwróci następnego dnia z nawiązką.

„Zgodnie z prawdą napisałam, że, jasne, pomogę, ale mam tylko 720 zł. Jak ostatnia naiwna tłumaczyłam się, że nie jestem w stanie tych pieniędzy jej pożyczyć, bo sama byłam spłukana. Ale potem serce mi zmiękło. Jestem człowiekiem, który – jeśli może – to nigdy nie odmówi pomocy. Odmówiłam przyjęcia jakichkolwiek odsetek”.

Pani Anna co prawda zdziwiła się, że sąsiadka, z którą ma powierzchowne relacje, prosi akurat ją o pomoc. Ale ostatecznie się zgodziła. Jak miało dojść do przekazania pieniędzy? Sąsiadka poprosiła o podanie kodu BLIK, który umożliwił wypłatę gotówki z bankomatu. Jak się domyślacie, prośby o kod BLIK nie wysłała sąsiadka, a ktoś, kto włamał się jej na komunikator, facebookowy Messenger.

„Skończyłam z nieuregulowanymi płatnościami i wstrętem do siebie samej. Jak ja, jako matka, mogłam pożyczyć obcej kobiecie ostatnie pieniądze? W imię czego? Wstyd, wstyd i jeszcze raz wstyd. Tydzień przepłakanych nocy zapamiętam na zawsze”

– opowiada pani Anna. Sprawę oszustwa obie panie zgłosiły na policjię, ale pieniędzy nie udało się odzyskać. Nasza czytelniczka mówi, że ta sytuacja nauczyła jej jednego:

„Nie reaguje, gdy ktoś, z kim nie mam relacji, prosi o coś przez internet. A jeśli znów mocniej zabije mi serce, by pomóc, to dzwonię do konkretnej osoby i pytam, czy to ona pisze do mnie. Polecam. Ta lekcja kosztowała mnie dużo”.

Cyberatak numer 2. Metoda: na odcięcie od rozrywki

Do drugiego ataku doszło w marcu 2021 r. Pani Anna opisuje, jak przebiegał. Tym razem nie zaczęło się od komunikatu wysłanego przez media społecznościowe, lecz przez e-mail.

„Dostałam mail, że trzeba uaktualnić dane z karty płatniczej, ponieważ Netflix nie dostaje już ode mnie opłaty miesięcznej. Z racji wcześniejszych doświadczeń przeczytałam tego maila trzy razy. Zwróciłam uwagę, że zamiast „Netflix” było napisane „Netlix”. Zaniepokoiła mnie ta nietypowa treść, tym bardziej, że sprawdziłam  terminy płatności i według moich informacji żadnych zaległości nie było”.

Pani Anna zadzwoniła na infolinię Netflixa i do banku, gdzie zgłosiła próbę wyłudzenia. Narobiła sobie tylko kłopotów, bo jednocześnie musiała zmienić sposób opłacenia subskrypcji – Netflix zażądał tego w ramach procedury bezpieczeństwa.

Tym razem udało się uniknąć straty. Pomogło skupienie, nieufność, spostrzegawczość i trzeźwość myślenia. Jeśli ktoś czyta uważnie to, co jest napisane na ekranie i podświadomie szuka pewnych nieprawidłowości i nieścisłości – zwykle wykryje próby phishingu. W skuteczności cyberataków na naszą czytelniczkę było więc 1:1.

Przeczytaj też: Bankowa infolinia wrotami do kradzieży pieniędzy. Uwaga na wyjątkowo perfidny trik cyberprzestępców! Jeśli mają twój e-mail i numer telefonu z wycieku…

Cyberatak numer 3. Metoda: na naiwność

Trzeci atak miał miejsce pod koniec sierpnia tego roku. W tle pojawia się znany serwis ogłoszeniowy OLX, który w ostatnim czasie wydaje się być rajem dla cyberprzestępców. Pani Anna mówi, że miała ciężki dzień w pracy (z jej relacji wynika, że pracuje w sklepie internetowym). Poprzedniego dnia doszło do awarii w firmie, dlatego robotę dwudniową trzeba było wykonać w jeden dzień. A że jej się nie przelewa, cieszyła się, że przynajmniej udało się sprzedać płaszcz.

Od jakiegoś czasu sprzedawała ciuchy na Vinted i nigdy nie miała z tym serwisem problemów. Tym razem klientka z Vinted poprosiła panią Annę, by transakcję przenieść na OLX, bo w tym serwisie jest tańsza wysyłka.

„Robiłam wszystko „na chybcika”, bo ogrom pracy w pracy trzeba było wykonać. Koniec miesiąca na zamknięcie planów sprzedażowych to dla handlowca świętość… Zgodziłam się, ale ta dziewczyna od płaszcza musiała mi pomagać i mówić krok po kroku, co mam zrobić, bo nie ogarniałam sprzedaży na OLX”.

Pani Anna w przerwie obiadowej wystawiła więc na OLX płaszcz i dwie kurtki i wróciła do pracy. Wyglądało na to, że panie dobiły targu. Kupująca zapytała, że dostawę można załatwić przez OLX. Nasza czytelniczka się zgodziła i dostała zrzut ekranu, z którego wynikało, że zamówienie zostało opłacone i czeka na potwierdzenie.

„Dostałam link od kupującego i instrukcję, że pod linkiem muszę wypełnić formularz, aby otrzymać pieniądze. Wszystko w pośpiechu, kliknęłam więc w link i pojawiła się opcja wyboru banku. Wybrałam swój, a następnie miałam się zalogować. Tak zrobiłam. Podałam hasło, login i nagle wyskoczył komunikat: ERROR”

W pierwszej chwili pani Anna pomyślała, że jest w magazynie (w piwnicy), to być może jest problem z zasięgiem internetu. Chwilę później odczytała SMS-y z ING Banku. I ją zmroziło.

„ING Bank Śląski. Aktywujesz aplikację Moje ING mobile na telefonie Xiaomi M2101K9AG. Upewnij się, że posiadasz ten telefon. Będzie on połączony z Twoim kontem. Jeśli to nie Ty aktywujesz aplikację, skontaktuj się z naszą infolinią.”

Pani Anna, klikając w link, przekazała oszustom login i hasło, a oszuści dodali do systemu swój telefon jako zaufany. Kiedy nasza czytelniczka zorientowała się, że właśnie padła ofiarą kradzieży, od raz zadzwoniła do banku. Zanim się połączyła, leciały cenne sekundy.

„Uwierzcie mi, gdy to piszę, zdaję sobie sprawę, że zgubił mnie pośpiech, schemat i mój zadaniowy charakter. Bank oczywiście musiał zweryfikować podczas rozmowy, że ja to ja. Nie zdążyliśmy. Oszuści za pomocą BLIKa i nowego telefonu jako zaufanego wypłacili 2000 zł. Zrobiło mi się słabo”.

Przeczytaj też: Kupujesz albo sprzedajesz na OLX? Możesz stracić wszystkie pieniądze ze swojego konta bankowego. Czy to z OLX jest coś nie tak, czy z nami?

Dlaczego bank nie zareagował?

Pani Anna przyznaje, że przy trzecim ataku zgubił ją pośpiech i nadzieja, że mogła dorobić na sprzedaży ciuchów. Może gdyby nie była wówczas w pracy, zachowałaby się bardziej trzeźwo. Wini przede wszystkim siebie, ale nie ukrywa, że zła jest też na bank.

„Pytałam pani z banku dlaczego bank nie zareagował, gdy dodawano jakiś numer jako zaufany. Dlaczego ja na mój numer nie dostałam żadnej możliwości potwierdzenia, że to ja dodaję numer do zaufanych. Jak tu trzymać pieniądze w banku, jeśli tak łatwo można paść ofiarą oszustów. Dziecinna naiwność, ktoś powie, ktoś inny pocieszy, że pośpiech, a ktoś inny nie zostawi suchej nitki na mnie, że mogłam tak mechanicznie, bez rozumu zareagować”.

Sprawa została zgłoszona na policji, pani Anna złożyła też reklamację w banku, ale – jak mówi – dookoła słyszy, że złodziei nie znajdą, pieniędzy nie zwrócą i że bank raczej odrzuci jej reklamację. I że powinna się cieszyć, że straciła tylko 2000 zł.

Podobnych historii jest niestety coraz więcej. Banki dały nam do ręki wygodne narzędzia – bankowość elektroniczną. Wygodnie, o każdej porze, z poziomu domowego fotela możemy zrobić przelew czy zakupy w sklepie internetowym. Za tę wygodę często płacimy czujnością.

Gdy sugeruje się bankowcom, by uszczelnili swoje systemy zabezpieczeń, zwykle słyszymy, że to nie spodoba się większości klientów. Będą wściekli, że muszą forsować dodatkowe zabezpieczenia i tracić czas, a liczba kradzieży to tylko kropla w morzu bezpiecznych transakcji. Tylko że ta kropla to dramaty tysięcy oszukanych klientów.

Przy pierwszym ataku panią Annę zgubiło „dobre serce”, przy drugim uchroniła czujność. Przy trzecim zgubne były pośpiech i naiwność. Myślę jednak, że bank – gdyby chciał – mógłby temu zapobiec. Dodanie kolejnego urządzenia jako zaufanego (przy braku dezaktywacji pierwszego) na kilometr śmierdzi próbą oszustwa.

Bank mógłby np. skontaktować się z klientem i zapytać, czy to faktycznie on coś zmienia. A jeśli to przerasta „moce przerobowe” bankowej infolinii, mógłby wprowadzić czasowy bufor, podczas którego od momentu dodania nowego urządzenia klient nie może dokonać niektórych operacji, np. przelewów czy zmiany limitów transakcyjnych. Nie wiem, jak długi powinien być ten bufor. W przypadku pani Anny, nawet godzina wystarczyłaby, żeby zareagować.

W tej sytuacji bank powinien wziąć na siebie częściową przynajmniej odpowiedzialność za dokonanie przestępstwa. Owszem, klientka podała login i hasło złodziejowi, ale do kradzieży nie musiałoby dojść, gdyby bank lepiej się zabezpieczał na takie sytuacje. Liczymy na to, że pani Anna odzyska część pieniędzy. Będziemy Was informowali o dalszym ciągu tej historii.

————-

Posłuchaj podcastu: Maćki subiektywnie o inflacji, Aion Banku i rządowej łapie na pre-paidach

W tym odcinku podcastu „Finansowe sensacje tygodnia” dwa Maćki (a wszystkie maćki to fajne chłopaki, jak powszechnie wiadomo) zastanawiają się nad tym, czy rzeczywiście nie da się już nic zrobić z rosnącą inflacją – i trzeba tylko siąść i płakać – oraz obchodzą pierwszą miesięcznicę wejścia na rynek Aion Banku. To sukces czy chaos? Porażka czy rewolucja? Zastanawiamy się też, czy pomysł, żeby rząd położył łapę na niewykorzystanych pieniądzach z naszych pre-paidów to jakiś znak. Zapraszamy do posłuchania tutaj oraz na dziewięciu popularnych platformach podcastowych (w tym Spotify, Google Podcast i Apple Podcast)!

Źródło zdjęcia tytułowego: Pixabay

 

Subscribe
Powiadom o
114 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Ed 2k
1 miesiąc temu

Czytając te perypetie to Pani Anna do orłów to raczej nie należy… zwłaszcza, że każdy z tych rodzajów ataków co najmniej raz w miesiącu jest opisywany we wszystkich mediach i naprawdę trudno uchronić się przed świadomością zagrożenia oraz sposobu jego działania. A jednak dla chcącego nic trudnego 🙂

Don Q.
1 miesiąc temu
Reply to  Ed 2k

No opis tego trzeciego przypadku aż trudno się czyta. Pomijając już kolejne błędy, to przede wszystkim pani Anna korzystała z apki, której wielką zaletą jest właśnie to, że nadzoruje płatności i umożliwia bezpieczne wymienianie się starymi ciuchami; zgodna na przejście na platformę OLX, znaną z wszelkiego rodzaju wyłudzeń i zagrożeń, była w tym przypadku absurdalna.

Don Q.
1 miesiąc temu
Reply to  Don Q.

To jakby pojechać do Szwajcarii, żeby tak w salonie firmowym kupić zegarek renomowanej firmy, ale zmienić zdanie i kupić coś, co zarośnięty bezdomny o słowiańskich rysach twarzy oferuje dużo taniej przed wejściem do salonu na ulicy…
Wiem, przesadzone porównanie, ale jak ktoś się łapie na takie rzeczy, to da się nabrać na wszystko…

Jacek
1 miesiąc temu
Reply to  Ed 2k

A do tego wg artykułu jest wysokie prawdopodobieństwo, że ta pani pracuje w handlu internetowym. Szewc bez butów chodzi, skoro nie ma elementarnej wiedzy nt. oszustw występujących na rynku, na którym funkcjonuje. Dobrze, że (póki co) ta pani straciła tylko takie pieniądze, choć przypuszczam, że w jej branży może to nie być mała kwota i szczerze współczuję. Ciekawe, czy jeszcze usłyszymy o kolejnych wałkach z jej udziałem – może następnym razem nigeryjski książe obieca jej odzyskać stracone pieniądze w zamian za niewielką opłatę? 😉

gosc
1 miesiąc temu

😉

E4BEy65VEAYfX5N.jpg
Don Q.
1 miesiąc temu
Reply to  gosc

Bez emaila da się żyć, ale bez telefonu komórkowego korzystać z bankowości internetowej nie można, nawet wybierając zamiast kodów sms tzw. „autoryzację mobilną” jakiś numer w banku podać trzeba. Bez telefonu zostaje tylko obsługa w oddziałach i zatwierdzanie operacji (np. zlecenia przelewu) podpisem; choć pewnie nawet dla takiej wersji obsługi nie we wszystkich bankach da się założyć konto bez podania numeru telefonu…
A rezygnacja z bankowości internetowej i telefonicznej wcale nie zwiększa bezpieczeństwa, wtedy istnieje ryzyko kradzieży przez pracownika banku, a przy braku możliwości internetowej kontroli stanu konta klient może nawet nie wiedzieć, że został okradziony…

gosc
1 miesiąc temu
Reply to  Don Q.

Przez te dwa obrazki zawarłem to co zwykle piszę w komentarzach pod takimi historiami. 1) Większe bezpieczeństwo często można osiągnąć poprzez rezygnację z pewnych rozwiązań niż poprzez wprowadzenie nowych. 2) Należy stosować zabezpieczenia na różnych poziomach (bank, oprogramowanie, filtry DNS, BIK itp.) „A rezygnacja z bankowości internetowej i telefonicznej wcale nie zwiększa bezpieczeństwa, wtedy istnieje ryzyko kradzieży przez pracownika banku, a przy braku możliwości internetowej kontroli stanu konta klient może nawet nie wiedzieć, że został okradziony…” Ryzyko kradzieży przez pracownika banku istnieje niezależnie od tego czy się korzysta z bankowości internetowej i telefonicznej. Większość osób nie sprawdza tego co się… Czytaj więcej »

jsc
1 miesiąc temu
Reply to  gosc

(…)filtry DNS(…)
Chyba lepiej byłoby strzelić serwer w stylu Bind i załadować predefioniowaną strefę…

gosc
1 miesiąc temu
Reply to  jsc

https://pl.wikipedia.org/wiki/BIND – jak dla mnie to bardzo skomplikowane rozwiązanie,

Przez filtry DNS miałem na myśli: https://avlab.pl/polecane-serwery-dns/
Najlepiej gdy usługa DNS blokuje strony używane przez cyberprzestępców w Polsce oraz domeny zarejestrowane w ciągu ostatnich 30 dni.

jsc
1 miesiąc temu
Reply to  gosc

Mi się wydaje, że lista zaufanych adresów IP jest lepsza niż te całe filtrowanie… jak Bind jest zbyt skomplikowane to można tą listę załadować do pliku hosts.

gosc
1 miesiąc temu

!

good-security-policy-is-like-onions-many-layers.jpg
Rafał
1 miesiąc temu

Gdyby Pani Anna była regularnym czytelnikiem tego portalu, to by się nie nabrała. Wchodzenie na stronę i wpisywanie loginu i hasło aby ODEBRAĆ pieniądze? Naprawdę nie wierzę, że ludzie dają się wkręcić w takie rzeczy.

BdB
1 miesiąc temu
Reply to  Rafał

toby – to jeden wyraz

Last edited 1 miesiąc temu by BdB
BdB
1 miesiąc temu
Reply to  BdB

Minusujących odsyłam do podstawówki.

Radek
1 miesiąc temu
Reply to  Rafał

Citi Handlowy smsem wysyła linki do potwierdzenia płatności. Czyli wchodzisz na link z smsa, podajesz dane logowania i potwierdzasz. Jeśli bank(!) tak robi, to dlaczego jakiś fintech czy OLX nie może wymagać zalogowania się by odebrać kasę?

BdB
1 miesiąc temu
Reply to  Radek

Mój rejestrator domen też chce być taki fajny i wysyła SMS-em link do szybkiej płatności.

Aaa
1 miesiąc temu
Reply to  BdB

Nie wchodzisz wtedy na znaną stronę rejestratora (co już w miarę łatwo zweryfikować) tylko od razu jest płatność?

BdB
1 miesiąc temu
Reply to  Aaa

Dokładnie. W sumie to bez sensu, bo płacą i za sms, i za pośrednictwo w płatności. Wystrczyłby zwykły przelew.

K.T
1 miesiąc temu

Sytuacja faktycznie trochę na krawędzi. W pierwszej sytuacji faktycznie można było skontaktować się z daną osobą. Ja również nie podałbym kodu BLIK lecz przelał środki na konto czy też nawet numer telefonu. W ostatniej sytuacji faktycznie bank powinien wymagać dodatkowej weryfikacji w przypadku dodania nowego urządzenia zaufanego. Tak jak robi to jeden z większych banków na rynku (aczkolwiek jego procedury bezpieczeństwa potrafią być lekko nadgorliwe – czego doświadczyłem kilka dni temu). Nie mogę się natomiast zgodzić że aktywacja aplikacji bankowej na nowym urządzeniu bez dezaktywacji starego śmierdzi na odległość oszustwem. Sam od wielu lat mam aplikacje na dwóch lub nawet… Czytaj więcej »

Radek
1 miesiąc temu
Reply to  K.T

a jednak śmierdzi. Nie chodzi o to by całkiem zabronić instalowania apki na kilku urządzeniach, ale każda zmiana mogłaby być dodatkowo weryfikowana, np przez powiadomieniem push do akceptacji na posiadanym już urządzeniu.

Pibloq
1 miesiąc temu

Klopot jest, gdy na poprzednim telefonie miałeś apke banku wraz z autoryzacja mobilną. Zdarzyla mi się sytuacja, ze w telefonie stłukł mi się wyswietlacz. I wpadlem w czarną dziurę. Nie moglem autoryzowac nowej aplikacji, bo to wymagało mobilnej autoryzacji na poprzednim urzadzeniu. Nie moglem zmienic metody autoryzacji na smsy w serwisie www, bo również potrzebna była autoryzacja mobilna takiej dyspozycji. Pozostal kontakt z infolinią, Pani musiała się nagimnastykowac, by przwrocic mi swobodne korzystanie z konta…

Don Q.
1 miesiąc temu
Reply to  Pibloq

No właśnie, dlatego już tu pisałem „ja instalowania na drugim [telefonie] także nie uważam za nic dziwnego, w innych bankach, wymuszających »mobilną autoryzację« jest to wręcz niezbędne”. A o jakim banku piszesz? W większości, łącznie z ING, można w każdym momencie zrezygnować z „mobilnej autoryzacji” (piszę w cudzysłowie, gdyż to tak naprawdę jest uwierzytelnianie, niekiedy może pełni też funkcję identyfikacji, ale na pewno nie autoryzacji); wtedy jednak, gdy zawsze można przejść na sms, traci się przewagę bezpieczeństwa nad wersją sms… (W każdym razie @Radek pitoli głupoty, pani Anna nie miała wcześniej zainstalowanej apki, gdyby miała, to złodzieje nowej instancji użyć… Czytaj więcej »

Last edited 1 miesiąc temu by Don Q.
Don Q.
1 miesiąc temu
Reply to  Radek

„każda zmiana mogłaby być dodatkowo weryfikowana”
Aktywacja apki na nowym urządzeniu wymaga uwierzytelniania dwuskładnikowego, podania kodu z sms. Jest to więc nieodporne na metodę na duplikat sim, ale w opisanym przypadku nie mieliśmy do czynienia z tym przypadkiem.

Radek
1 miesiąc temu
Reply to  Don Q.

dlatego wspomniałem o powiadomieniu push. Co z tego, że zrobią sim swap? nic im to nie powinno dać

Don Q.
1 miesiąc temu
Reply to  Radek

Tak, powiadomienia push, ale też email, mogą zwiększyć bezpieczeństwo, choćby informując klienta o zdarzeniach na koncie nawet w przypadku, gdy karta sim nie działa, albo została przez złodzieja zduplikowana. Jednak chodzi o powiadomienia powiadamiające, moim zdaniem nie można wymagać posiadania starego urządzenia przy instalacji apki na nowym, gdyż taką operację pewnie często się robi właśnie w momencie, gdy stare się zepsuło albo ma wyładowaną baterię. Instalowanie apki na kolejnym urządzeniu jest w przypadku ING dobrze zabezpieczone, nie tylko loginem i hasłem oraz jednorazowym kodem sms, lecz także osobnym PIN. Ale w tym przypadku nie mieliśmy z tym do czynienia, pani… Czytaj więcej »

BdB
1 miesiąc temu

Problem to inteligentny inaczej sposób autoryzacji w ING. Od ponad 10 lat działa to tak, że ów system dynamicznie decyduje czy daną czynność autoryzować czy nie. Ktoś go jak widać słabo skonfigurował, tak jak ktoś z Ubera tak skonfigurował autonomiczny samochód, że zabił bezdomną kobietę.

Admin
1 miesiąc temu
Reply to  BdB

W tym przypadku inteligencja okazała się bardzo sztuczna

Stef
1 miesiąc temu
Reply to  BdB

Potwierdzam. Pisałem nawet do ING z prośbą o wprowadzenie możliwości wyboru przelew zaufany/niezaufany ale jak grochem o ścianę.

Admin
1 miesiąc temu
Reply to  Stef

To jest kolejny argument, że jednak warto

Alf/red/
1 miesiąc temu

Przepraszam że nie na temat (do wycięcia) ale nie widzę lepszego miejsca -> na Spotify w odcinku 70 jest włożony dźwięk z odcinka 68, z panem Samirem.

Don Q.
1 miesiąc temu

Haha, świetny odcinek. Nieźle się red. Samcik rozkręcił na temat inflacji i zwiększającego rozwarstwienie wzrostu cen nieruchomości, ale słowotok, ale fajnie. 😉
A teraz jestem przy temacie Aion, świetne uzupełnienie naszej dyskusji o „oscylatorze”: o tym kredycie studenckim przerzucanym na lokatę. 😆

Stef
1 miesiąc temu

Czy autor może się dowiedziec:
1. Ile w skali miesiąca operatorzy wymieniają kart sim
2. Ile w banku ING miesięcznie ludzie zmieniają urządzeń.

Czy są to setki, tysiące czy miliony?
Wydaje mi się że spokojnie infolinia banku może wyłapać przypadki zmiany urządzenia.

Admin
1 miesiąc temu
Reply to  Stef

Pełna zgoda, to nie jest mission impossible

John
1 miesiąc temu
Reply to  Maciej Samcik

Mnie interesuje inna rzecz. Gdzie są zabezpieczenia w banku? Zwykły szary klient od x lat bierze wypłatę na konto, płaci co miesiąc te same rachunki, nigdy w życiu nie wziął kredytu. I nagle pewnego pięknego dnia dodaje nowe urządzenie, przerzuca środki z oszczędnościowego, wypłaca kilkanaście czy kilkadziesiąt tysięcy to dlaczego po stronie banku nie zapala się jakaś czerwona lampka?

Admin
1 miesiąc temu
Reply to  John

No właśnie, zwłaszcza że ING ma systemy bazujące na zabezpieczeniach behawioralnych, które właśnie takie rzeczy powinny wychwytywać i żądać dodatkowej autoryzacji

Don Q.
1 miesiąc temu
Reply to  Maciej Samcik

Ale akurat w opisanym przypadku nie wydarzyło się nic podejrzanego. Nie jest niczym dziwnym, że klient w końcu decyduje się zainstalować apkę; nie jest też niczym dziwnym, że po jej zainstalowaniu wypłaca pieniądze używając Blik, a nie karty. Kwota wypłaty też nie była podejrzana, 2000 zł to w dzisiejszych czasach nie jest wiele…

@John pisze o jakimś innym przypadku, nie wiemy o jakim, nie znamy szczegółów, nie wiemy nawet o jaki bank chodzi.

Admin
1 miesiąc temu
Reply to  Don Q.

Każde przypięcie nowego urządzenia jest podejrzane ;-). A 2000 zł BLIKiem? No, nie wiem, to nie jest typowa wypłata z bankomatu (sądząc po statsach NBP)

Don Q.
1 miesiąc temu
Reply to  Maciej Samcik

„Każde przypięcie nowego urządzenia jest podejrzane ” — no właśnie, można uznać, że bank za podejrzaną powinien uznawać każdą normalną czynność, jak instalacja apki czy wypłata pieniędzy, i blokować dostęp do konta, ale to by było absurdalne, ja bym z takiego banko korzystać nie chciał. Szczególnie, że aby to miało jakiś sens, to w celu do odblokowania trzeba by iść do oddziału, bo w przypadku złodzieja, który ukradł dane klienta, wyrobił fałszywy dowód osobisty i duplikat sim telefon w celu weryfikacji by się nie sprawdził (odebrałby złodziej podając się za osobę okradaną). Ja gotówki w ogóle nie używam, ale co… Czytaj więcej »

Admin
1 miesiąc temu
Reply to  Don Q.

To nie chodzi o to, żeby zmuszać ludzi do przychodzenia do oddziału. Wystarczy to:
https://subiektywnieofinansach.pl/duplikat-karty-sim-bank-moze-zablokowac-konto/

Don Q.
1 miesiąc temu
Reply to  Maciej Samcik

„Wystarczy to” — ale „to” dotyczy zmiany karty sim. W opisanym przypadku nic takiego nie nastąpiło, pani Anna ciągle miała swój telefon (i otrzymywała na niego sms z banku), nigdy wcześniej nie miała też zainstalowanej apki (gdyby miała, to miałaby zdefiniowany PIN do niej i złodziej musiałby go znać, by apki użyć na innym urządzeniu), więc mieliśmy do czynienia z najnormalniejszą pierwszą instalacją apki potwierdzoną loginem, hasłem i kodem jednorazowym z sms, który pani Anna podała złodziejom. „ING ma systemy bazujące na zabezpieczeniach behawioralnych, które właśnie takie rzeczy powinny wychwytywać i żądać dodatkowej autoryzacji” — jakie rzeczy? Nie jest niczym… Czytaj więcej »

Last edited 1 miesiąc temu by Don Q.
Admin
1 miesiąc temu
Reply to  Don Q.

Urządzenie przypisane do bankowości mobilnej było innym, niż to, które było przypisane do kontaktu z bankiem. To nietypowe (choć np. klientka mogła podpinać sprzęt, którego chciała używać tylko do kontaktu z bankiem, co akurat byłoby bardzo rozsądne). Upieram się, że jeśli bank nie żąda od klienta potwierdzenia przypięcia nowego urządzenia to powinien wdrożyć inne zasady bezpieczeństwa. Na przykład „to”. Przypominam: do konta zostało przypisane nowe narzędzie autoryzacyjne bez potwierdzenia ze strony klienta. To dokładnie tak, jakby bank otworzył komuś moją skrytkę bankową tylko dlatego, że ten ktoś znał moje imię i nazwisko. Dlatego „to” by w tym przypadku pomogło, bo… Czytaj więcej »

Don Q.
1 miesiąc temu
Reply to  Maciej Samcik

„Urządzenie przypisane do bankowości mobilnej było innym, niż to, które było przypisane do kontaktu z bankiem” — nieprawda, było to innego rodzaju urządzenie, wcześniej pani Anna w ogóle nie korzystała z bankowości mobilnej. To nie jest tak, że apka w jakiś sposób jest powiązana z kartą sim w urządzeniu, na którym jest zainstalowana, apka nie ma do karty sim żadnego dostępu, apka może nawet być zainstalowana na urządzeniu (np. tablecie) bez karty sim, łączącym się z Internetem np. przez WiFi (zresztą smartfon w domu czy pracy też często łączy się przez WiFi). Nawet w zalinkowanym wpisie jest napisane: „Mobilna autoryzacja… Czytaj więcej »

Last edited 1 miesiąc temu by Don Q.
John
1 miesiąc temu
Reply to  Don Q.

O każdy bank może chodzić. Niezbyt często straty kończą się na 2000 zł. Czasem to kilkadziesiąt tysięcy i dodatkowy kredyt.
Kilka razy zdarzało mi się zmieniać telefon i instalować aplikację, ale nigdy nie wiązało się to ze sporą wypłata gotówki kilka chwil później.

Don Q.
1 miesiąc temu
Reply to  John

„O każdy bank może chodzić” — więc zdecyduj się, czy piszesz o opisanej powyżej sytuacji czy o jakiejś innej, w tym drugim przypadku powinieneś dokładnie ją opisać, by było wiadomo, o co chodzi, kto i w jaki sposób zawalił. W opisanym przypadku pani Anna podała złodziejom login, hasło i jednorazowy kod z sms do instalacji apki, więc pisanie pod wpisem opisującym tę sytuację „Mnie interesuje inna rzecz. Gdzie są zabezpieczenia w banku?” narusza dobre imię banku, który w tym przypadku w żaden sposób nie zawinił; może jakby Cię pozwali, to byś się nauczył, że warto się zastanowić, zanim się coś… Czytaj więcej »

John
1 miesiąc temu
Reply to  Don Q.

Tak, dokładnie piszę o powyższej sytuacji. Pani dała się wkręcić w podanie komuś loginu i hasła, ale dlaczego bank nie zareagował? Przecież widać, że ktoś loguje się z innego IP, z innego miasta i natychmiast próbuje wypłacać pieniądze. I co? I nic. Żadnej reakcji. Mi się raz zdarzyło, że próbowałem przelać większą kwotę będąc w delegacji. Nie wiem czy bank zdziwiła kwota czy inne miejsce, ale zadzwonili i potwierdzili. A Ty nie rozumiesz, że wkręcanie klientów na takie rzeczy jest już plagą i bank mógłby reagować na podejrzane operacje? Ale lepiej zawsze zwalać winę na klienta. Wykonanie telefonu też nie… Czytaj więcej »

Don Q.
1 miesiąc temu
Reply to  John

„Przecież widać, że ktoś loguje się z innego IP, z innego miasta” — nieprawda, niczego nie widać. Jest normalne, że zmienia się używane IP, jest też normalne, że ludzie się przemieszczają i mogą się znaleźć w innym miejscu, niż byli poprzednim razem. Zresztą lokalizacja bazująca na IP pracującym w sieci mobilnej jest bardzo zawodna. Podkreślę też, że skoro apka była świeżo instalowana, to nie było niczym dziwnym, że zamiast połączenia przez dostawcę domowego (lub służbowego) internetu, z którego pani Anna korzystała wcześniej być może wiele dni lub tygodni temu (i którego IP też mogło się w międzyczasie zmienić) instalując apkę… Czytaj więcej »

John
1 miesiąc temu
Reply to  Don Q.

Bankowiec widzę…

John
1 miesiąc temu
Reply to  Don Q.

Twoje teorie są strasznie nieżyciowe. Typowy bankowiec. Do okienka w banku przychodzi lekko podenerwowany staruszek. Autentyk. Chce wypłacić większą kwotę. Pracownica jest czujna, podpytuje staruszka, wzywa policję. Dziadek miał być ofiarą wyłudzenia na wnuczka, sprawcy zostali zatrzymani. Akcja miała miejsce całkiem niedawno. Idąc Twoim tokiem myślenia, to pracownica powinna była dać dziadkowi kilkadziesiąt tysięcy i sie niczym nie interesować. Przecież staruszek jednoznacznie chciał wypłacić gotówkę. Zero problemów. Tu jest dokładnie to samo. Nie mówimy o jednym zdarzeniu, tylko o splocie kolejnych zdarzeń. Nowa instalacja aplikacji, nowe miejsce, spora wypłata, do tego czasem kredyt. I to najczęściej u klienta, który korzysta… Czytaj więcej »

Admin
1 miesiąc temu
Reply to  John

Pełna zgoda, tu nie nadmiar podejrzliwości nie szkodzi

Don Q.
1 miesiąc temu
Reply to  John

„Nowa instalacja aplikacji” — blisko 15 milionów klientów klientów w Polsce korzysta z apek do bankowości, instalowanie apki, by na przykład skorzystać z wypłaty Blik, to nic dziwnego; niczym dziwnym nie jest też przetestowanie wypłaty Blik po instalacji apki. „nowe miejsce” — bzdura, powyżej już wytłumaczyłem, że lokalizacji po IP z mobilnej sieci nie da się ustalić. Czyli w tym momencie należy już uznać, że kłamiesz. „spora wypłata” — nieprawda, 2000 zł. „do tego czasem kredyt” — ale w opisanym przypadku nie mieliśmy do czynienia z braniem kredytu, nie manipuluj. „Jeśli ukradziono 50000” — nie manipuluj, w opisanym przypadku ukradziono… Czytaj więcej »

Last edited 1 miesiąc temu by Don Q.
John
1 miesiąc temu
Reply to  Don Q.

Wypisujesz bzdury na każdym kroku. Kto i po co testuje wypłaty blikiem po instalacji nowej wersji aplikacji? Co chcesz sprawdzać? Czy cyferki działają? Kartę rozumiem – wymaga aktywacji z użyciem PINu. Ale BLIK? No bez przesady? Wypłata blikiem w bankomacie po instalacji nowej aplikacji. Klient mieszka w Krakowie, wypłata jest w Gdańsku. Nie da się tego ustalić, że to inne miasto? Wiem, że to możliwy przypadek, aczkolwiek podejrzany. Zwłaszcza, że kilka chwil temu zainstalowano nową aplikację. W opisanym przypadku nie mieliśmy kredytu, ale bardzo często mamy. I bank też umywa ręce. 2000 to w tym przypadku. Zazwyczaj jest to większa… Czytaj więcej »

Don Q.
1 miesiąc temu
Reply to  John

„I nie czepiaj się tego przypadku” — zapewne są przypadki, w których to bank zawalił, ale w tym to pani, pani Anno, zawaliła w fatalny sposób: podając złodziejom nie tylko login i hasło, ale także kod do aktywacji apki z wiadomości sms o jednoznacznie sformułowanej treści.
Do tego bardzo nieładnie pani kłamie, fałszując treść tej wiadomości (usuwając część z kodem) i w ogóle nie wspominając o podaniu kodu. Pisanie głupot typu „Gdzie są zabezpieczenia w banku?” jest w pani przypadku wyjątkowo niestosowne.

Don Q.
1 miesiąc temu
Reply to  John

„Do okienka w banku przychodzi lekko podenerwowany staruszek”
— pani Anna nie jest podenerwowanym staruszkiem podchodzącym do bankowego okienka. Po prostu podała złodziejom login, hasło i kod z esemesa o jednoznacznej treści („ING Bank Slaski. Aktywujesz aplikacje Moje ING mobile na telefonie Xiaomi M2101K9AG. UPEWNIJ SIE, ze posiadasz ten telefon. Bedzie on polaczony z Twoim kontem. Jesli to nie Ty aktywujesz aplikacje, skontaktuj sie z nasza infolinia. Kod do autoryzacji wpisz TYLKO w aplikacji mobilnej: XXXXXXXX”).

Manipulujesz.

Typowy polityk.

Admin
1 miesiąc temu
Reply to  Don Q.

Tylko że ta pani wykonała dyspozycję i skontaktowała się z infolinią, która powiedziała, że nic nie da się zrobić

Don Q.
1 miesiąc temu
Reply to  Maciej Samcik

„Tylko że ta pani wykonała dyspozycję” — nieprawda. Pani Anna nie działała zgodnie z instrukcjami zawartymi w esemesie, postępowała zupełnie wbrew zawartym tam ostrzeżeniom („[…] UPEWNIJ SIE, ze posiadasz ten telefon. […] Kod do autoryzacji wpisz TYLKO w aplikacji mobilnej […]”).

Nieprawdą jest też, że infolinia „powiedziała, że nic nie da się zrobić”; takiej informacji nie ma nawet w powyższym tekście red. Bednarka opartym na zakłamanej relacji pani Anny.

Don Q.
1 miesiąc temu
Reply to  John

Pani Anno, Pani kłamie. Kłamie Pani twierdząc, że „bank nie zareagował, gdy dodawano jakiś numer jako zaufany” — nowy numer nie był dodany, esemesy były wysyłane na stary. Kłamie Pani twierdząc, że treść pierwszego esemesa brzmiała „ING Bank Śląski. Aktywujesz aplikację Moje ING mobile na telefonie Xiaomi M2101K9AG. Upewnij się, że posiadasz ten telefon. Będzie on połączony z Twoim kontem. Jeśli to nie Ty aktywujesz aplikację, skontaktuj się z naszą infolinią.” — w rzeczywistości było to „ING Bank Slaski. Aktywujesz aplikacje Moje ING mobile na telefonie Xiaomi M2101K9AG. UPEWNIJ SIE, ze posiadasz ten telefon. Bedzie on polaczony z Twoim kontem. Jesli to nie Ty aktywujesz aplikacje, skontaktuj sie z… Czytaj więcej »

Admin
1 miesiąc temu
Reply to  Don Q.

A skąd Pan wie, że treść była taka, jak Pan podaje? Gdyby tak było, to rzeczywiście pani Anna nie mogłaby mieć pretensji do banku. Ale – mając wiedzę o tym, że ING stosuje biometrię behawioralną – nie jestem pewny jak było naprawdę

Don Q.
1 miesiąc temu
Reply to  Maciej Samcik

„A skąd Pan wie, że treść była taka, jak Pan podaje?” — bo wiem, jak wygląda aktywacja apki Moje ING. Proszę zauważyć, że zakłamana treść wiadomości podana przez panią Annę nie ma sensu: „ING Bank Śląski. Aktywujesz aplikację Moje ING mobile na telefonie Xiaomi M2101K9AG. Upewnij się, że posiadasz ten telefon. Będzie on połączony z Twoim kontem. Jeśli to nie Ty aktywujesz aplikację, skontaktuj się z naszą infolinią.” Ta wiadomość ma sens tylko z końcówką: „Kod do autoryzacji wpisz TYLKO w aplikacji mobilnej: XXXXXXXX”. Proszę zwrócić uwagę na czas teraźniejszy w „aktywujesz aplikację” oraz przyszły w „Bedzie on [telefon] polaczony z Twoim kontem”. Wynika to z tego,… Czytaj więcej »

Last edited 1 miesiąc temu by Don Q.
BdB
1 miesiąc temu
Reply to  Stef

Co ma wymiana SIM do rzeczy? Bank o niej nie wie i się nie dowie.

Jacek
1 miesiąc temu
Reply to  BdB

Oszustwo typu sim swap.

BdB
1 miesiąc temu
Reply to  Jacek

Ale bank o zmianie SIM nie wie dlatego pytam gdzie tu związek? Zatem bez znaczenia czy to będzie 100 tys wymienionych kart czy 100 mln.

Don Q.
1 miesiąc temu
Reply to  Stef

„1. Ile w skali miesiąca operatorzy wymieniają kart sim” — w przypadku pani Anny nie nastąpiła wymiana karty sim. „2. Ile w banku ING miesięcznie ludzie zmieniają urządzeń” — w przypadku pani Anny nie nastąpiła zmiana urządzenia. „spokojnie infolinia banku może wyłapać przypadki zmiany urządzenia” — infolinia może wyłapać? Co to za bzdura? Przede wszystkim w ING nie ma czegoś takiego jak „zmiana urządzenia”; apkę można niezależnie aktywować na wielu urządzeniach. Zgaduję, że chodzi Ci o to, by z banku telefonowano do klienta w przypadku aktywacji apki na drugim i kolejnym urządzeniu? Moim zdaniem to bez sensu, podczas aktywacji klient… Czytaj więcej »

Don Q.
1 miesiąc temu

Dziwne. Brakuje mi jednej ważnej informacji, jednego ważnego kroku w opisie tej trzeciej sytuacji. Przetestowałem aktywowanie apki Moje ING i otrzymałem sms: ING Bank Slaski. Aktywujesz aplikacje Moje ING mobile na telefonie blackberry STV100-4. UPEWNIJ SIE, ze posiadasz ten telefon. Bedzie on polaczony z Twoim kontem. Jesli to nie Ty aktywujesz aplikacje, skontaktuj sie z nasza infolinia. Kod do autoryzacji wpisz TYLKO w aplikacji mobilnej: XXXXXXXX Porównajmy to z sms, który ponoć otrzymała pani Anna: ING Bank Śląski. Aktywujesz aplikację Moje ING mobile na telefonie Xiaomi M2101K9AG. Upewnij się, że posiadasz ten telefon. Będzie on połączony z Twoim kontem. Jeśli to nie Ty aktywujesz aplikację, skontaktuj… Czytaj więcej »

Don Q.
1 miesiąc temu
Reply to  Don Q.

Dlaczego ja na mój numer nie dostałam żadnej możliwości potwierdzenia, że to ja dodaję numer do zaufanych.

Jaki numer? Przecież numer telefonu nie został zmieniony, skoro sms przyszedł na stary.

A przy zmianie numeru oczywiście na stary przychodzi sms:

ING Bank Slaski. Zmieniasz numer telefonu do autoryzacji zlecen w bankowosci. Kod do autoryzacji: XXXXXXXX

Albo istnieje jakaś inna ścieżka, umożliwiająca zmianę numeru telefonu bez dwuskładnikowego uwierzytelniania (w co nie wierzę) albo… ktoś tu jest kłamczuszkiem…

Don Q.
1 miesiąc temu

O to właśnie chodzi w upierdliwym na co dzień uwierzytelnianiu dwuskładnikowym: nawet jeśli ktoś zdradzi coś, co wie (login i hasło), to nie straci pieniędzy bez udostępnienia drugiego składnika, czegoś, czym jest (np. używając biometrii w telefonie) lub czegoś, co ma (przeważnie chodzi o kartę sim albo przy tzw. „mobilnej autoryzacji” o konkretne urządzenie z zainstalowaną bankową apką). Pani Anna nie tylko login i hasło podała po kliknięciu w link. Pani Anna musiała użyć także drugiego składnika, np. podać kod z sms. Pani Anna kłamie, twierdząc że „bank nie zareagował, gdy dodawano jakiś numer jako zaufany”, gdyż skoro sms otrzymała na stary… Czytaj więcej »

BdB
1 miesiąc temu
Reply to  Don Q.

Wygląda na to, że ta pani pomówiła w tym artykule bank o brak reakcji na zmianę numeru, podczas gdy do niej wcale nie doszło.

Don Q.
1 miesiąc temu

Telefon z banku za każdym razem, gdy ktoś instaluje bankową apkę? Sorry, ale to byłaby absurdalna przesada. Warto też dodać, że pani Anna najwyraźniej nie miała zainstalowanej apki Moje ING, gdyż tam używa się PIN, innego niż hasło do bankowości www, za to wspólnego dla wszystkich urządzeń. Czyli albo mieliśmy do czynienia z aktywacją apki na pierwszym urządzeniu, czyli niczym podejrzanym (choć ja instalowania na drugim także nie uważam za nic dziwnego, w innych bankach, wymuszających „mobilną autoryzację” jest to wręcz niezbędne), albo pani Anna oprócz loginu i hasła podała też złodziejom PIN do apki (którego nie powinno się podawać… Czytaj więcej »

~marcin
1 miesiąc temu

Analiza sytuacji:

1) Gdy idziemy załatwić coś w bankowym okienku, mówimy pani/panu w okienku co chcemy zrobić, ewentualnie pokazujemy dowód osobisty i pani/pan odwala za nas całą robotę. Nie musimy się na niczym znać ani nad niczym zastanawiać – wystarczy, że sprawdzimy na pokwitowaniu, że operacja jest taka jak chcieliśmy.

2) Gdy obsługujemy się sami za pomocą kodów SMS, aplikacji internetowej czy mobilnej, BLIK-a, profilu zaufanego itd., musimy rozumieć, co robimy i jakie są tego konsekwencje. Najwyraźniej ogarnięcie tych spraw dla wielu osób jest nieosiągalne, stąd plaga oszustw. I to się nie zmieni.

~marcin
1 miesiąc temu

A do tego jest coraz mniej fizycznych oddziałów.

gosc
1 miesiąc temu

Dla osób, które padną ofiarą kradzieży internetowej opcja druga będzie dużo droższa niż opcja pierwsza. Klienci zakładają, że to się im nie przydarzy, ale statystyki nieautoryzowanych transakcji mówią co innego.

Don Q.
1 miesiąc temu
Reply to  ~marcin

„wystarczy, że sprawdzimy na pokwitowaniu, że operacja jest taka jak chcieliśmy” — a widzisz, czyli jednak. Potwierdzając operację przy pomocy sms albo w apce także musimy przeczytać, czy potwierdzamy taką operację, jaką chcieliśmy. Czyli różnica nie jest taka duża…

~marcin
1 miesiąc temu
Reply to  Don Q.

Po pierwsze: Różnica jest taka, że SMS może nadejść wskutek zarówno działań naszych, jak i działań przestępców. A pokwitowanie jest skutkiem wyłącznie naszych działań. Czyli przy SMS-ach trzeba być bardziej czujnym. Ujmując to samo inaczej, za SMS-em może stać nasz wróg, a za pokwitowaniem jedynie pracownik banku. Zatem w przypadku SMS-a cała nadzieja jest jedynie w nas samych. A w przypadku pokwitowania, żeby stracić pieniądze, musi dojść zarówno do pomyłki/przestępstwa ze strony pracownika banku, jak i niedopatrzenia ze strony nas samych. Czyli jest to scenariusz dużo mniej prawdopodobny. To samo inaczej: jak ktoś dokonuje płatności w banku, to nawet, gdy… Czytaj więcej »

Don Q.
1 miesiąc temu
Reply to  ~marcin

Byli tacy, co twierdzili, że poszli do banku założyć lokatę, a kupili obligacje korporacyjne spółki windykacyjnej o ratingu spekulacyjnym. 😉

Don Q.
1 miesiąc temu

80 lat to mieli ci, co poszli po lokatę, a założyli 10-letni program inwestycyjno-ubezpieczeniowy, z którego nie dało się bez ogromnych opłat przedwcześnie wyjść. 😉

jsc
1 miesiąc temu

Co nie zmienia faktu, że w tym wypadku doszło do ordynarnego misselingu…

~marcin
1 miesiąc temu
Reply to  Don Q.

To niestety prawda. Ten problem dałoby się rozwiązać – w taki sposób, że: każdy domyślnie miałby dostęp jedynie do podstawowych produktów bankowych, które niosą małe ryzyko nadużycia (np. rachunek bieżący, rachunek oszczędnościowy, zwykła lokata, karta płatnicza). Jak ktoś chciałby kupić coś ryzykownego, to raz w życiu musiałby zaświadczyć na piśmie, że rozumie, co robi (następnie taka zgoda trafiałaby np. do jakiegoś ogólnokrajowego systemu informatycznego). Jedyny problem to sposób odbierania takiego zaświadczenia. Od jakiegoś czasu dyrektywa MiFID – przy dokonywaniu inwestycji – nakazuje odbierać od klienta ankietę dotyczącą świadomości tego, co też klient robi. Problem jest taki, że taką ankietę odbiera… Czytaj więcej »

gosc
1 miesiąc temu
Reply to  ~marcin

Generalnie się z tym zgadzam, ale warto pamiętać, że bardzo sporadycznie zdarzają się, sytuacje, iż pracownik banku okradnie klienta. Aby zminimalizować ryzyko wystarczy regularnie, co najmniej raz w miesiącu sprawdzać historię rachunku bankowego.

Dodałbym jeszcze, że klientowi jest znacznie łatwiej wykazać, że nie brał udziału w oszustwie, które miało miejsce w oddziale (analiza podpisu, monitoring, świadkowie, alibi).
W przypadku kradzieży internetowej banki mogą próbować (i często to robią) przerzucić odpowiedzialność na klienta. Klientowi znacznie trudniej jest się w takiej sytuacji bronić.

~marcin
1 miesiąc temu
Reply to  gosc

klientowi jest znacznie łatwiej wykazać, że nie brał udziału w oszustwie, które miało miejsce w oddziale”

Właśnie, to prawda. Bo w oddziale banku to pracownik banku jest odpowiedzialny za prawidłowe przeprowadzenie transakcji. Oraz transakcja jest wykonywana w zaufanej sieci komputerowej, której nikt nie używa do przeglądania podejrzanych stron w internecie (bo się zwyczajnie nie da – wyjście na świat jest zablokowane).

A przy bankowej samoobsłudze przez internet jest dokładnie na odwrót. Tutaj to klient jest odpowiedzialny za prawidłowe przeprowadzenie transakcji, a urządzenia i sieć są niezaufane – są wykorzystywane do wielu czynności, w tym grożących zainfekowaniem przez złośliwe oprogramowanie.

jsc
1 miesiąc temu
Reply to  ~marcin

(…)Bo w oddziale banku to pracownik banku jest odpowiedzialny za prawidłowe przeprowadzenie transakcji.(…)
To przy transakcji zdalnej nikt nie musi sprawdzać czy konto danym numerze na pewno należy do wpisanego podmiotu? LUDZIE SAMI POZWALACIE NA TAKIE PRZEWAŁY!!!!

~marcin
1 miesiąc temu
Reply to  jsc

Po części problem jest w tym, że nieraz złośliwe oprogramowanie podmienia numer konta w tle. I to, co widzimy na ekranie komputera czy smartfona, nie musi być tym, co faktycznie zlecamy.

jsc
1 miesiąc temu
Reply to  ~marcin

(…)Po części problem jest w tym, że nieraz złośliwe oprogramowanie podmienia numer konta w tle.(…)
Zmienia numer, ale nazwa podmiotu zostaje stara… a co po za tym o czym tu mówić jak swego czasu była afera z fomularzami, PAPIEROWYMI, na przelewy dla Rydzyka.

~marcin
1 miesiąc temu
Reply to  jsc

Niezależnie od tego, co na ten temat uważamy, to nazwa podmiotu nie ma znaczenia przy kierowaniu przelewu do odbiorcy.

Natomiast czym innym jest papierowy formularz wpłaty na konto, z którym ktoś przychodzi na pocztę czy do banku, a czym innym jest papierowe potwierdzenie otrzymane od kasjera w banku. Powyżej jest mowa o tym drugim przypadku.

jsc
1 miesiąc temu
Reply to  ~marcin

RydzykGate to raczej pierwszy przypadek.

Don Q.
1 miesiąc temu
Reply to  ~marcin

No tak, jest to coś innego; ale ogólnie chodzi o to, że korzystanie z papierowej bankowości i realnych oddziałów niesie ze sobą nowe zagrożenia. Jeśli ktoś raz poprawnie zdefiniuje w bankowości internetowej numer konta dostawcy gazu czy prądu, to później nie grozi mu wysłanie przelewu na błędny numer; natomiast jeśli ktoś działa „analogowo”, wyjmuje ze skrzynki na listy rachunek z blankietem wpłaty i idzie z nim do okienka, to ryzykuje, że zrobi przelew na konto oszustwa, który mu podrzucił sfałszowany rachunek ze swoim numerem konta (formalnie słupa). Wiem, że to ogólnie mało prawdopodobny przypadek, ale jeśli ktoś stosuje bezpieczeństwo informatyczne… Czytaj więcej »

~marcin
1 miesiąc temu
Reply to  Don Q.

To wszystko prawda, niemniej z jednym zastrzeżeniem: stosowanie reguł bezpieczeństwa informatycznego w praktyce nie jest do końca skuteczne, z dwóch powodów. 1) Ludzie zwyczajnie się nie znają. Osoby, które siedziały w komputerach 20 lat temu, to jeszcze wiedzą, co to jest domena internetowa oraz rozszerzenie/typ pliku. Natomiast kilka/kilkanaście procent osób bez namysłu kliknie w załącznik Faktura.exe w mailu otrzymanym z adresu wkgiyfa@spamgate.com. Te kilka procent przekłada się na dziesiątki tysięcy klientów banków w skali naszego kraju. 2) Programy antywirusowe nie są skuteczne w 100%. Na przykład w ostatnim dostępnym badaniu (https://www.av-comparatives.org/tests/real-world-protection-test-july-august-2021-factsheet/ – w połowie strony jest wykres) na 17 przetestowanych… Czytaj więcej »

Don Q.
1 miesiąc temu
Reply to  ~marcin

„Na 17 przetestowanych programów tylko 3 okazały się w 100% skuteczne” — tak, ale to nie oznacza, że taki o skuteczności mniejszej, niż 100%, przepuści akurat malware podmieniające numer konta na stronie internetowej i w sms, a o tym była mowa.(Skądinąd ja używam Norton 360, widzę że należy do tych 100-procentowo skutecznych.) Ale najważniejszy jest ten Twój punkt pierwszy, to nie niedoskonałości programów antywirusowych są problemem, nawet nie niedoskonałe procedury w bankach. Problemem są ludzie klikający w załącznik Faktura.exe w mailu otrzymanym z adresu wkgiyfa@spamgate.com. Widać to właśnie w opisanym przypadku pani Anny, podsumujmy: Pani Anna korzystała z apki, której… Czytaj więcej »

Last edited 1 miesiąc temu by Don Q.
~marcin
1 miesiąc temu
Reply to  Don Q.

Zgrabne podsumowanie. Tak jeszcze dorzucę parę słów od siebie: „to nie oznacza, że taki o skuteczności mniejszej, niż 100%, przepuści akurat malware podmieniające numer konta na stronie internetowej i w sms” To prawda, niemniej – skoro takie złośliwe oprogramowanie istnieje – to znaczy, że jest ono wystarczająco opłacalne. A zatem suma osób, u których złośliwe oprogramowanie przedrze się przez antywirusa, jest wystarczająco duża. Pomijając już milczeniem triki w rodzaju „nasz program lojalnościowy nie jest kompatybilny z zabezpieczeniami twojego komputera – wyłącz program antywirusowy, aby odebrać swój kupon do Biedronki”. „na platformę OLX, znaną z wszelkiego rodzaju wyłudzeń i zagrożeń.” To… Czytaj więcej »

jsc
1 miesiąc temu
Reply to  ~marcin

(…)To prawda, niemniej – skoro takie złośliwe oprogramowanie istnieje – to znaczy, że jest ono wystarczająco opłacalne.(…)
Nie zawsze to prawda… np. goście, którzy dobrali się do exploita, który posłużył za jeden filarów kryptera WannaCry zakrzyknęli taką sumę, żeby w końcu nikt im nie zapłacił… opublikowali za darmo.

~marcin
1 miesiąc temu
Reply to  jsc

No tak, problemy biznesowe zdarzają się w każdej branży, w przestępczej także 🙂

jsc
1 miesiąc temu
Reply to  ~marcin

Zwłaszcza, gdy woła się o sumę, która wystrzeliła kurs BTC w kosmos… kolesie chcieli pół miliarda.

Don Q.
1 miesiąc temu
Reply to  ~marcin

„To my o tym wiemy” — no tak, pisząc o stosowaniu bezpieczeństwa informatycznego chodziło mi nie tylko o wiedzę, że trzeba aktualizować oprogramowanie i używać antywirusów, ale także o tego rodzaju wiedzę. A jak chodzi o to urządzenie zaufane, to zauważ, że ING się tu świetnie spisał, wcale nie trzeba wcześniej buszować po bankowości, wystarczy przeczytać sms: „ING Bank Slaski. Dodalismy telefon Xiaomi M2101K9AG jako Twoje zaufane urzadzenie. Liste zaufanych urzadzen znajdziesz w ustawieniach w MoimING” — więc użytkownik dowiaduje się, że taka lista się tam znajduje i może się domyślić, że może tam urządzenia usuwać. No ale nie dotyczy… Czytaj więcej »

~marcin
1 miesiąc temu
Reply to  Don Q.

Hehe, dzięki 🙂 Pewien odsetek osób zignoruje każde ostrzeżenie, nawet jeśli jego treścią będzie „właśnie jesteś oszukiwany”. To jest chyba zjawisko psychologiczne tego samego rodzaju, co wjeżdżanie samochodem na schody, bo nawigacja tak poprowadziła. Ludzie przyjmują do wiadomości informacje zgodne z tym, czego oczekują, oraz ignorują informacje przeciwne. Czytałem kiedyś felieton o niejakim Mawrodim. Gościu obrobił ludzi za pomocą najzwyklejszej, ordynarnej piramidy finansowej. Ale lepsze wydarzyło potem. Część ludzi oczywiście nie chciała przyjąć do wiadomości, że została oszukana, i tym sposobem Mawrodi wykorzystał ich jeszcze raz: „[…] wcale nie zniknął z kasą, jak dziesiątki podobnych przed nim i po nim;… Czytaj więcej »

~marcin
1 miesiąc temu
Reply to  jsc

Jeszcze dodam, że gdy przestępca uzyskał już możliwość podmiany numeru konta w zlecanym przez ofiarę przelewie, to równie dobrze może też podmienić nazwę odbiorcy.

jsc
1 miesiąc temu
Reply to  ~marcin

Mógł, ale widać nie musiał…

gosc
1 miesiąc temu
Reply to  ~marcin

W 100% zgadzam się z analizą sytuacji. Klienci myślą, że korzystając z bankowości internetowej czy mobilnej bank za darmo daje im tańszy dostęp do usług bankowych. To nie jest prawda, nie ma nic za darmo. W zamian za niższe prowizje bankowe klient bierze na siebie wprowadzanie operacji do systemu bankowego i ryzyko z tym związane. Kiedy takie ryzyko się zmaterializuje (nastąpi nieautoryzowana transakcja) to okazuje się, że wcale nie było taniej. W przypadku nieautoryzowanej transakcji musimy się liczyć z tym, że: bank nie zwróci pieniędzy po złożeniu reklamacji i będzie trzeba podjąć dodatkowe kroki aby wywrzeć na bank nacisk, będziemy… Czytaj więcej »

Don Q.
1 miesiąc temu

Ciekawe, czy złodzieje byli przygotowani na kradzieże ze wszystkich banków.

„Dostałam link od kupującego i instrukcję, że pod linkiem muszę wypełnić formularz, aby otrzymać pieniądze. Wszystko w pośpiechu, kliknęłam więc w link i pojawiła się opcja wyboru banku. Wybrałam swój, a następnie miałam się zalogować. […]”

Czyli po wybraniu innego banku nastąpiłaby zapewne próba kradzieży z innego banku, metodą dostosowaną do danego banku, być może nawet nie w każdym przypadku złodzieje po zdobyciu loginu i hasła użyliby metody na apkę i Blik…

Admin
1 miesiąc temu
Reply to  Don Q.

Wydaje mi się, że to był atak celowany, czyli dzięki innym źródłom (być może włamowi do poczty e-mail) złodzieje wiedzieli, który bank trzeba „emulować”

Don Q.
1 miesiąc temu
Reply to  Maciej Samcik

Atak celowany dla dwóch tysięcy złotych?! Hard work…

Admin
1 miesiąc temu
Reply to  Don Q.

Atakuje się tych, o których już się coś wie (e-mail, numer telefonu, PESEL, nazwa banku)

QVX
1 miesiąc temu
Reply to  Maciej Samcik

Raczej w dyskusji przed przeniesiem akcji na OLX wyciągnęli od niej numer konta (lub nawet bank). A potem dostali od niej kod do aktywacji apki.

Admin
1 miesiąc temu
Reply to  QVX

Racja, w numerze konta zaszyta jest nazwa banku, więc można to było zrobić bez wzbudzania podejrzeń

TOMASZ
1 miesiąc temu

A nie łaska zrobić normalny przelew na konto? Powariowali z tymi Blikami i linkami.

Admin
1 miesiąc temu
Reply to  TOMASZ

Przelew ma dużo cyferek 😉

jsc
1 miesiąc temu
Reply to  Maciej Samcik

Dwadzieścia ileś w samym numerze konto to zdecydowanie za dużo…

TOMASZ
1 miesiąc temu
Reply to  Maciej Samcik

I jeszcze kwestia podstawowa; do zatwierdzania operacji bankowych(SMS) należy BEZWZGLĘDNIE używać OSOBNEJ karty SIM. Ta karta ma służyć tylko do tego celu! Najlepiej, jeżeli jest włożona do telefonu BEZ systemu operacyjnego i dostępu do Internetu (np. stara Nokia sprzed 10 lat) Taka prosta rzecz radykalnie poprawia bezpieczeństwo.

Admin
1 miesiąc temu
Reply to  TOMASZ

Tak, dobra rekomendacja

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!