Kilka tygodni pisałem o wyroku nakazującym oddanie wyprowadzonej kasy
przez "złośliwe oprogramowamie".
Tym razem sprawa dot. mBanku i podobny wyrok. Poszkodowany
zainstalował w dobrej wierze z poddstawionej strony "oprogramowanie
antywirusowel" na telefon, które przekierowało smsy autoryzacyjne na
inny nr telefonu. Oczywiście jego laotop też już był wcześniej
skompromitowany, przez co złodzieje uzyskali dostęp do hego loginu i
hasła.

Konkluzja wyroku: jeśli bank by miał dobre zabezpieczenia sytuacja
nie miała by miejsca.
Poszkodowanemu nie można zarzucić rażącego niedbalstwa (jedyny
argument broniący bank w takich sytuacjach) bo miał legalny system
operacyjny oraz oprogramowanie antywirusowe.
Mój komentarz: na korzyść staranności poszkodowanego świadczy pewnie
fakt jego gorliwość w instalacji kolejnego oprogramowania
antywirusowego zalecanego przez podstawioną stronę :-)


Wyrok:

http://orzeczenia.ms.gov.pl/content/bankowo$015bci$0
020internetowej/152510000000503_I_C_001908_2014_Uz_2
016-02-08_001

Sąd wyraźnie stwierdza, że to nie jedyny przypadek w mBanku więc
(zdaniem sądu) ewidentnie świadczy to o słabych zabezpieczeniach,
skoro transakcje mogą dokonywać nieutoryzowani użytkownicy.


Druga ciekawostka wynikająca z tego wyroku to oddalenie biegłego
informatyka, jakiego chciał powoływać bank. Domyślam się, że chodziło
o wykazanie rażącego niedbalstwa użytkownika. Sąd stwierdził, że jest
to zbyteczne bo sprawę można wyjaśnić wyłącznie na gruncie ustawy o
instrumentach płatniczych. Czyli user autoryzowany to tylko ten, z
którym bank ma umowę a nie ten, który się autoryzuje mechanizmami
autoryzacyjnymi oferowanymi przez bank.

Trzecia ciekawosta, gamoń protokolant notujący tekst orzeczenia nie
był konsekwentny w pisowni nazwy banku "mBank", raz napisał m-bank
przez co anonimizacja orzeczenia metodą "znajdź-zamień" nie bardzo
się udała ;)

--
Marek

do góry

Użytkownik "Marek" napisał w wiadomości grup
dyskusyjnych:a...@n...neos
trada.pl...
>Tym razem sprawa dot. mBanku i podobny wyrok. Poszkodowany
>zainstalował w dobrej wierze z poddstawionej strony "oprogramowanie
>antywirusowel" na telefon, które przekierowało smsy autoryzacyjne na
>inny nr telefonu. Oczywiście jego laotop też już był wcześniej
>skompromitowany, przez co złodzieje uzyskali dostęp do hego loginu i
>hasła.

>Konkluzja wyroku: jeśli bank by miał dobre zabezpieczenia sytuacja
>nie miała by miejsca.
>Poszkodowanemu nie można zarzucić rażącego niedbalstwa (jedyny
>argument broniący bank w takich sytuacjach) bo miał legalny system
>operacyjny oraz oprogramowanie antywirusowe.
>Mój komentarz: na korzyść staranności poszkodowanego świadczy pewnie
>fakt jego gorliwość w instalacji kolejnego oprogramowania
>antywirusowego zalecanego przez podstawioną stronę :-)

Wychodzi z tego, ze ... banki powinny polecac konkretny program
antywirusowy ?

>Wyrok:
>http://orzeczenia.ms.gov.pl/content/bankowo$015bci$
0020internetowej/152510000000503_I_C_001908_2014_Uz_
2016-02-08_001

Prawomocny ? Kasacja nie zlozona ?
Podejrzewam, ze bank sie odwola, chocby "z ostroznosci prawnej".

>Sąd wyraźnie stwierdza, że to nie jedyny przypadek w mBanku więc
>(zdaniem sądu) ewidentnie świadczy to o słabych zabezpieczeniach,
>skoro transakcje mogą dokonywać nieutoryzowani użytkownicy.

Sad ma nieograniczona nieodpowiedzialnosc, to sie nie musi zastanawiac
nad wlasnymi wyrokami :-)

Bo co dalej ? Zmiana telefonu do autoryzacji wylacznie w oddziale ?
Dodatkowa karta kodow jednorazowych ?

>Druga ciekawostka wynikająca z tego wyroku to oddalenie biegłego
>informatyka, jakiego chciał powoływać bank. Domyślam się, że chodziło
>o wykazanie rażącego niedbalstwa użytkownika. Sąd stwierdził, że jest

No wiesz - moglo jeszcze chodzic o ustalenie prawdy - ma jakiegos
sprytnego wirusa, czy mowi ze ma, a tak naprawde sam przelal.

>to zbyteczne bo sprawę można wyjaśnić wyłącznie na gruncie ustawy o
>instrumentach płatniczych. Czyli user autoryzowany to tylko ten, z
>którym bank ma umowę a nie ten, który się autoryzuje mechanizmami
>autoryzacyjnymi oferowanymi przez bank.

Czyli zapraszamy do zlozenia przelewu w oddziale, po wylegitymowaniu
sie i zlozeniu odcisku palca ?
Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
wpisze w koszty dzialalnosci ...

J.

do góry

Użytkownik "Marek" <f...@f...com> napisał w wiadomości
news:almarsoft.1666742944708606059@news.neostrada.pl
...
> Kilka tygodni pisałem ...

Ja też wolno piszę :).
P.G.

do góry

On Fri, 29 Apr 2016 10:31:51 +0200, "J.F."
<j...@p...onet.pl> wrote:
> Bo co dalej ? Zmiana telefonu do autoryzacji wylacznie w oddziale ?
> Dodatkowa karta kodow jednorazowych ?

Wystarczy sprzętowy token dla chętnych. mBank ma już działającą
infrastrukturę opartą o tokeny, jeszcze nie zdecydowali się
udostępnić ją w detalu.

> Czyli zapraszamy do zlozenia przelewu w oddziale, po
wylegitymowaniu
> sie i zlozeniu odcisku palca ?

Nie wiem, czekamy na ich ruch.

--
Marek

do góry

On Fri, 29 Apr 2016 11:00:48 +0200, Piotr
Gałka<p...@c...pl> wrote:
> Ja też wolno piszę :).

Czepiasz się. Na napisanie posta często mam tylko czas na czerwonym
świetle i (pisząc w telefonie), to daje średnio 30sek x 9 świateł po
drodze do pracy. Wybacz jeśli czasami błąd się wkradnie.

--
Marek

do góry

Użytkownik "Marek" napisał w wiadomości grup
dyskusyjnych:a...@n...neos
trada.pl...
On Fri, 29 Apr 2016 10:31:51 +0200, "J.F."
<j...@p...onet.pl> wrote:
>> Bo co dalej ? Zmiana telefonu do autoryzacji wylacznie w oddziale ?
>> Dodatkowa karta kodow jednorazowych ?

>Wystarczy sprzętowy token dla chętnych.

Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
transakcji.
Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli SMS
"czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".

OK - taki telefon mozemy nazwac tokenem, ale musi miec lacznosc z
centrala, najlepiej niezaleznym kanalem.

Ewentualnie mozna tokenem zeskanowac kod QR z ekranu lub przepisac do
tokena dlugi, zaszyfrowany, kod operacji.
No - jeszcze mozna transmisje audio uskutecznic, USB, Bluetooth, ...
ale prosciej chyba bedzie GSM ...

> mBank ma już działającą infrastrukturę opartą o tokeny, jeszcze nie
> zdecydowali się udostępnić ją w detalu.

Mbank ma/mial karty kodow jednorazowych, ale postanowil je wycofac.

>> Czyli zapraszamy do zlozenia przelewu w oddziale, po
>> wylegitymowaniu sie i zlozeniu odcisku palca ?
>Nie wiem, czekamy na ich ruch.

Mysle, ze pierwszym ruchem bedzie apelacja/kasacja.
Bo z drugiej strony patrzac - po stronie komputerow banku zadnej
dziury w bezpieczenstwie nie bylo.

J.

do góry

Użytkownik "Marek" <f...@f...com> napisał w wiadomości
news:almarsoft.6864275293685003624@news.neostrada.pl
...
> On Fri, 29 Apr 2016 11:00:48 +0200, Piotr
> Gałka<p...@c...pl> wrote:
>> Ja też wolno piszę :).
>
> Czepiasz się. Na napisanie posta często mam tylko czas na czerwonym
> świetle i (pisząc w telefonie), to daje średnio 30sek x 9 świateł po
> drodze do pracy. Wybacz jeśli czasami błąd się wkradnie.
>
Napisałem uśmieszek, bo mi fajnie ten początek wyglądał.
P.G.

do góry

Dnia Fri, 29 Apr 2016 10:31:51 +0200, J.F. napisał(a):

>>Wyrok:
>>http://orzeczenia.ms.gov.pl/content/bankowo$015bci
$0020internetowej/152510000000503_I_C_001908_2014_Uz
_2016-02-08_001
>
> Prawomocny ? Kasacja nie zlozona ?

Jest podany numer telefonu powoda, można zadzwonić i się zapytać ;/
Ktoś chyba musi popracować nad procedurami "anonimizacji".

> Czyli zapraszamy do zlozenia przelewu w oddziale, po wylegitymowaniu
> sie i zlozeniu odcisku palca ?
> Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
> wpisze w koszty dzialalnosci ...

Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
Ustawianych ze strony. Nie robię przelewu z karty. Nie loguję się z
bankowości mobilnej. Nie loguję się spoza Polski. Nie robię przelewu
większego niż X. Operacje które naruszają powyższe założenia -
potwierdzać telefonicznie (o, zabolało bank?), z nieco większym maglem
autoryzacyjnym niż zazwyczaj.

Wydzwaniać z ofertami to mogą, ale zadzwonić do klienta, który by sobie
tego życzył, w momencie realizacji przelewu większego niż X ustawiony
przez klienta, to już nie?

Oczywiście, na tej grupie jest zapewne sporo osób, które logują się za
pośrednictwem bankowości mobilnej, korzystają z banku będąc poza
granicami Polski, a przelewy robią większe niż mój roczny budżet.
Ale niejednokrotnie ktoś już zauważał, że ta grupa jest
niereprezentatywna ;) Zresztą - mogą podrzucić bankowi własne pomysły na
zabezpieczenia-utrudnienia. I tak mamy nieomalże gwarancję, że bank z
nich nie skorzysta. Bo utrudniłoby to userowi *natychmiastowy* dostęp do
pieniędzy. Że złodziejowi również - to już nieistotne z punktu widzenia
banku. Może jeśli będzie więcej takich wyroków to zmienią zdanie.

A tak już zupełnie na marginesie. Co trzeba zrobić żeby dostać
fake-maila z mBanku? Albo SMSa z prośbą o instalację czegoś-tam?
Mam tam konto trzynaście lat, jeszcze ani razu nic takiego nie dostałam
;/

--
Imka

do góry

Użytkownik "Imka" napisał w wiadomości
Dnia Fri, 29 Apr 2016 10:31:51 +0200, J.F. napisał(a):
>> Czyli zapraszamy do zlozenia przelewu w oddziale, po
>> wylegitymowaniu
>> sie i zlozeniu odcisku palca ?
>> Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
>> wpisze w koszty dzialalnosci ...

>Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
>Ustawianych ze strony. Nie robię przelewu z karty. Nie loguję się z
>bankowości mobilnej. Nie loguję się spoza Polski. Nie robię przelewu
>większego niż X.

Skoro ustawianych ze strony, to moze je sobie hacker ustawic.

>Operacje które naruszają powyższe założenia -
>potwierdzać telefonicznie (o, zabolało bank?), z nieco większym
>maglem
>autoryzacyjnym niż zazwyczaj.

Myslisz, ze nie zaczna sie falszywe autoryzacje ?
Umowionego z bankiem hasla nie pamietam, a inne dane mozna jakos
zdobyc.

>Wydzwaniać z ofertami to mogą, ale zadzwonić do klienta, który by
>sobie
>tego życzył, w momencie realizacji przelewu większego niż X ustawiony
>przez klienta, to już nie?

Jest to jakis pomysl ...

>A tak już zupełnie na marginesie. Co trzeba zrobić żeby dostać
>fake-maila z mBanku? Albo SMSa z prośbą o instalację czegoś-tam?
>Mam tam konto trzynaście lat, jeszcze ani razu nic takiego nie
>dostałam

Jak widac - coraz ambitniejsi hackerzy sie za sprawe biora.

J.

do góry

Dnia Fri, 29 Apr 2016 15:13:47 +0200, J.F. napisał(a):

>>> Czyli zapraszamy do zlozenia przelewu w oddziale, po
>>> wylegitymowaniu
>>> sie i zlozeniu odcisku palca ?
>>> Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
>>> wpisze w koszty dzialalnosci ...
>
>>Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
>>Ustawianych ze strony. Nie robię przelewu z karty. Nie loguję się z
>>bankowości mobilnej. Nie loguję się spoza Polski. Nie robię przelewu
>>większego niż X.
>
> Skoro ustawianych ze strony, to moze je sobie hacker ustawic.

Każda operacja na zabezpieczeniach potwierdzana hasłem jednorazowym.
SMSowym, z odpowiednią treścią SMSa typu "Potwierdzenie blokady/zdjęcia
blokady logowania spoza Polski". Sądzę, że takiej treści nawet
roztargniony user by nie przegapił.
Lub jeszcze lepiej hasłem z listy TAN - chyba mniej jest kradzieży list
TAN niż zhackowanych telefonów. Aczkolwiek zaporowa cena TAN w mBanku
odstrasza i wymusza niejako przejście na (IMO!) mniej bezpieczny system
potwierdzania.

>>Operacje które naruszają powyższe założenia -
>>potwierdzać telefonicznie (o, zabolało bank?), z nieco większym
>>maglem autoryzacyjnym niż zazwyczaj.
>
> Myslisz, ze nie zaczna sie falszywe autoryzacje ?
> Umowionego z bankiem hasla nie pamietam, a inne dane mozna jakos
> zdobyc.

No cóż, Twoja kasa, Twoje zasady. Albo dbasz o swoją kasę i pamiętasz,
albo masz to gdzieś. Ostatecznie tak zupełnie wszystkiego na bank bym
nie zwalała ;->

--
Imka

do góry