On Thu, 31 Jul 2008 18:49:51 +0200, Krzysztof Halasa wrote:

> Czyli w gruncie rzeczy problemem bylo uzyskanie dostepu przez
> nieuprawniona osobe przez IVR (telefon), nie przez Internet?
> Troche sliskie dla banku.

Żeby wykonać przelew internetowy z konta w Citi do nowego odbiorcy należy:
1. Zalogować się do Citi Online podając login i hasło internetowe.
2. Wprowadzić dane nowego odbiorcy.
3. Aktywować odbiorcę:
a) kodem SMS-owym
lub
b) dzwoniąc do CitiPhone.
4. Zlecić przelew w Citi Online.

--
Marcin Mokrzycki
gg:659336 o2:mmokrzycki

do góry

Jarek Andrzejewski <p...@g...com> napisał(a):


>
> Czy na pewno? Pr=F3buj=B1c zrobi=E6 taki numer "dla siebie" oszust
> ryzykowa=B3by wykrycie go poprzez docelowe konto (np. podczas wyci=B1gania
> z bankomatu).
>
> --
> Jarek

docelowe konto przy takich przekretach jest zakladane na slupy albo falszywe
id, jak nie zlapiesz goscia za reke przy bankomacie albo z falszywym dowodem
to jest bezkarny

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Wed, 30 Jul 2008 21:51:58 +0200, zlotowinfo napisał(a):

> 5. ing
> logowanie: login, hasło wybrane znaki - ciekawe zabezpieczenie
> operacje: zapomnialem :p - ostatnio nie przelewałem
> podpowiedź: duże bezpieczeństwo dzięki selektywnym znakom

Moim zdaniem to nie jest skuteczne zabezpieczenie, jeśli w komputerze znajdzie
się trojan - malware może obserwować wpisywane znaki i po kilku-kilkunastu
razach pozna wystarczającą ilość znaków hasła, by umożliwić szansę na
nieuprawnione logowanie.

Z tego co wiem, same przelewy nie zawsze są autoryzowane hasłem SMS (decyduje
o tym jakiś algorytm).

Pozdrawiam,

--
Michał Miszewski

do góry

Użytkownik "Michał Miszewski" <m...@g...spamerom-nie.com>
napisał w wiadomości news:4891f530$0$29610$f69f905@mamut2.aster.pl...
> Dnia Wed, 30 Jul 2008 21:51:58 +0200, zlotowinfo napisał(a):
>
>> 5. ing
>> logowanie: login, hasło wybrane znaki - ciekawe zabezpieczenie
>> operacje: zapomnialem :p - ostatnio nie przelewałem
>> podpowiedź: duże bezpieczeństwo dzięki selektywnym znakom
>
> Moim zdaniem to nie jest skuteczne zabezpieczenie, jeśli w komputerze znajdzie
> się trojan - malware może obserwować wpisywane znaki i po kilku-kilkunastu
> razach pozna wystarczającą ilość znaków hasła, by umożliwić szansę na
> nieuprawnione logowanie.
>
chyba coś w tym jest bo hasło wprowadza się w różnych polach
gdyby było w jednym, to mogłoby się wydawać że jest to za każdym razem
inne hasło, a tak idealnie w tych polach co trzeba wpisujemy

do góry

Użytkownik "Michał Miszewski" <m...@g...spamerom-nie.com>
napisał w wiadomości news:4891f530$0$29610$f69f905@mamut2.aster.pl...
> Dnia Wed, 30 Jul 2008 21:51:58 +0200, zlotowinfo napisał(a):
>
>> 5. ing
>> logowanie: login, hasło wybrane znaki - ciekawe zabezpieczenie
>> operacje: zapomnialem :p - ostatnio nie przelewałem
>> podpowiedź: duże bezpieczeństwo dzięki selektywnym znakom
>
> Moim zdaniem to nie jest skuteczne zabezpieczenie, jeśli w komputerze znajdzie
> się trojan - malware może obserwować wpisywane znaki i po kilku-kilkunastu
> razach pozna wystarczającą ilość znaków hasła, by umożliwić szansę na
> nieuprawnione logowanie.
>
nie ma tego w żadnym banku, ale...
co sądzisz o obrazku pokazującym pozycje znaków z hasła które trzeba wpisać

do góry

Dnia Fri, 01 Aug 2008 08:00:04 +0200, zlotowinfo napisał(a):

> co sądzisz o obrazku pokazującym pozycje znaków z hasła które trzeba wpisać

Rysunek wyświetlany na ekranie też można przechwycić....

do góry

Użytkownik "jureq" <j...@X...to.z.adresu.Xop.pl> napisał w wiadomości
news:g6u9nn$rgo$2@news.onet.pl...
> Dnia Fri, 01 Aug 2008 08:00:04 +0200, zlotowinfo napisał(a):
>
>> co sądzisz o obrazku pokazującym pozycje znaków z hasła które trzeba wpisać
>
> Rysunek wyświetlany na ekranie też można przechwycić....
no to ja pasuje, trza pozamykać konta ;p

moje lukas i bgż bez tokena w miarę są bezpieczne,
można przelać tylko do zdefiniowanych w banku odbiorców
moje własne konta: mbank i polbank

polbank raczej nie do sforsowania, zdefiniowane tylko do mbanku
mbank wszystkie przelewy zdefiniowane oprócz polbank i emax/emaxplus
zabezpieczone hasłem sms

bzwbk - masz 200zł na koncie
inteligo max 400zł na koncie
ing - 0zł na koncie

millenium siostry, już nie używam żeby nie było takich jaj w głównym wątku

do góry

zlotowinfo <u...@g...pl> napisał(a):

> > Rysunek wyświetlany na ekranie też można przechwycić....
> no to ja pasuje, trza pozamykać konta ;p
>

trzeba dbac o komputer :>

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dodam do tej listy

VWBDirect:

Internet: hasło+token do każdej operacji
IVR: wybrane znaki z kodu dostępowego

Raiffeisen:
Internet: hasła jednorazowe (jawnym tekstem)
IVR: prawie żadne
(m.in. z tego powodu zamknąłem konto w Raiffeisenie)


Za najbezpieczniejszy sposób uważałbym:

wybrane znaki z długiego kodu (co najmniej 8 cyfr) + zdrapka lub token

Najbliższe ideałowi z banków, które testowałem są VWBD i Inteligo.
(VWBD ma za krótki kod i nie wymaga tokena w IVR - ustawiłem więc niski
limit telefoniczny, Inteligo nie wymaga hasła do przelewu, tylko samej
zdrapki)

Dziwi mnie bardzo, że zabezpieczenia operacji telefonicznych są w
większości banków dużo słabsze od internetowych.

zlotowinfo wrote:
> może w takim razie omówimy sposoby autoryzacji i zabezpieczania się w
> bankowości?
> może ktoś podpowiedzieć jak obejść autoryzację, a zarazem ustrzec się...
>
> podstawowa uwaga: nie trzymać pieniędzy na koncie z kartą
> najlepiej się wychodzi
> 1. w polbanku dowolna ilosc przelewów z konta oszczędzam w godzinach
> wieczornych przelew wewnętrzny może dojść rano
> 2. mbank, niestety tylko jeden przelew w miesiącu, kolejny płatny ale
> właściwe zabezpieczenie przed kolejnym przelewem który kosztuje 5zł
>
> pozostałe banki ździerają za kolejny przelew z kont oszczędzających bez
> ostrzeżeń więcej niż mbank
>
>
> 1. mbank
> logowanie: login/hasło (jednolitym ciągiem)
> operacje: hasła sms
> podpowiedź: zablokować wszystkie kanały oprócz internetowego
>
>
> 2. bzwbk
> logowanie: login/hasło jednolitym ciągiem, osobne pola dla każdego znaku
> operacje: hasła sms, chyba że zdefiniowany odbiorca
>
>
> 3. inteligo
> logowanie: login/hasło (jednolitym ciągiem)
> operacje: hasła jednorazowe
>
>
> 4. lukas
> logowanie: dość krótki login/hasło (jednolitym ciągiem)
> operacje: bez tokena, możliwość przelewu wyłącznie na zdefiniowanych
> odbiorców
> podpowiedź: duże bezpieczeństwo - kasa wypłynie tylko do zdefiniowanych
> nadawców, mniejsza wygoda
> wady: hasło potwierdzające operacje to samo którym się logujemy na konto
>
>
> 5. ing
> logowanie: login, hasło wybrane znaki - ciekawe zabezpieczenie
> operacje: zapomnialem :p - ostatnio nie przelewałem
> podpowiedź: duże bezpieczeństwo dzięki selektywnym znakom
>
>
> 6. bgż
> logowanie: login/hasło (jednolitym ciągiem)
> operacje: hasła jednorazowe
>
>
> 7. polbank
> logowanie: login/hasło (jednolitym ciągiem)
> operacje: extremalne bezpieczeństwo, instalowany certyfikat
> zabezpieczony hasłem
> wady: konto działa tylko na jednym komputerze
>
>
> 8. millenium
> logowanie: login/hasło1 (jednolitym ciągiem) + 2 wybrane cyfry z pesela
> operacje: haslo2
> podpowiedź: duże bezpieczeństwo, różne hasło logowania i operacji,
> selektywne dodatkowe hasło logowania
>

do góry

Adam Płaszczyca pisze:
> On Wed, 30 Jul 2008 18:01:29 +0200, Pogo <w...@g...com>
> wrote:
>
>> Z tego co wiem poszkodowana uzywa kodow sms do autoryzacji przelewow.
>> Telefon miala przy sobie na wakcjach. Po powrocie pieniedzy juz nie bylo
>> na rachunku. Co mozna zrobic dalej w tej sytuacji? Wiadomo do kogo
>> trafil przelew, bank odrzuca reklamacje? Co proponujecie?
>
> Prawnika.

Bank ma CID telefonu z ktorego przyszlo polaczenie do aktywacja IVR
czemu nie dziala wiem wiem pewnei jakis taktak ?


--
Portal edukacyjny o inwestowaniu - http://www.inwestowanie.org.pl/

do góry