On Fri, 29 Apr 2016 14:12:36 +0200, Imka <s...@g...pl>
wrote:
> Jest podany numer telefonu powoda, można zadzwonić i się zapytać ;/
> Ktoś chyba musi popracować nad procedurami "anonimizacji".

Jak ktoś miał do czynienia w sądzie lub prokuraturze z osobami
wykonującymi prace typu "zapisz, przepisz, kopiuj-wklej-wydrukuj,
zakopertuj" to wie, że większych gamoni gdzieś indziej trudno
spotkać. Widać tym pozatrudnianym mistrzom intelektu (czyt.
pociotkom) poszerzono zakres obowiązków o dokonywanie anonimizacji.

--
Marek

do góry

On Fri, 29 Apr 2016 14:12:36 +0200, Imka <s...@g...pl>
wrote:
> Wydzwaniać z ofertami to mogą, ale zadzwonić do klienta, który by
sobie
> tego życzył, w momencie realizacji przelewu większego niż X
ustawiony
> przez klienta, to już nie?

PKO BP tak ma taki limit kwoty powyżej której dzwonią. Niestety
oficjalnie nie mówią jaki to limit. Kiedyś zrobiłem test i wyszło że
zaczynają dzwonić gdy przelew był pow. 18k.

--
Marek

do góry

W dniu piątek, 29 kwietnia 2016 16:49:33 UTC+2 użytkownik Marek napisał:

>
> PKO BP tak ma taki limit kwoty powyżej której dzwonią. Niestety
> oficjalnie nie mówią jaki to limit. Kiedyś zrobiłem test i wyszło że
> zaczynają dzwonić gdy przelew był pow. 18k.

Ostatnio płaciłem karta via net- kwota 12USD
Transakcje robiłem ok 19tej ok 22giej telefon z banku z pytaniem czy to ja tą
transakcje robiłem.

do góry

W dniu 2016-04-29 o 12:45, J.F. pisze:

> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w transakcji.

To zależy jaki, są takie które mogą podpisywać transakcje.
Tyle że to mało wygodne w porównaniu do kodów sms.

do góry

On 4/29/2016 2:27 AM, Marek wrote:
> Czyli user autoryzowany to tylko ten, z którym bank ma umowę a nie ten,
> który się autoryzuje mechanizmami autoryzacyjnymi oferowanymi przez bank.

Nareszcie ktoś to zauważył.

do góry

Dnia Fri, 29 Apr 2016 13:19:21 +0200, Piotr Gałka napisał(a):

Tak przy okazji, a propos starej wymiany zdań.
<cit>
W dniu 19 listopada 2013 r. niezidentyfikowany sprawca dokonał bez
wiedzy i zgody powoda szeregu operacji [cut] przelewu z karty kredytowej
w kwocie 13.400 zł
</cit>

Drugi powód dla którego nie warto mieć w tym samym banku karty
kredytowej i ROR-a :)


--
Imka

do góry

W dniu 2016-04-29 o 12:45, J.F. pisze:
> Użytkownik "Marek" napisał w wiadomości grup
> dyskusyjnych:a...@n...neos
trada.pl...
> On Fri, 29 Apr 2016 10:31:51 +0200, "J.F."
> <j...@p...onet.pl> wrote:
>>> Bo co dalej ? Zmiana telefonu do autoryzacji wylacznie w oddziale ?
>>> Dodatkowa karta kodow jednorazowych ?
>
>> Wystarczy sprzętowy token dla chętnych.
>
> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w transakcji.
> Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli SMS
> "czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".

WBK miał kiedyś tokeny z klawiaturą, do których wklepywało 8-cyfrowy kod
ze strony a na stronę wpisywało się odpowiedź tokena. Częścią tego kodu
był kawałek numeru docelowego konta, więc jak coś w międzyczasie
podmieniłoby ten numer, to transakcja zapewne by nie przeszła, bo
odpowiedź tokena była (znów "Zapewne") weryfikowana w momencie przyjęcia
zlecenia przelewu. tylko dlaczego zrezygnowali?

a.

do góry

witek <w...@g...pl> writes:

>> Czyli user autoryzowany to tylko ten, z którym bank ma umowę a nie ten,
>> który się autoryzuje mechanizmami autoryzacyjnymi oferowanymi przez bank.
>
> Nareszcie ktoś to zauważył.

Zasadniczo to było jasne od zawsze. Nie dla banków pewnie.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
> transakcji.

Rozwiąże bardzo ładnie.

> Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli SMS
> "czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".

A po co kolejny telefon. Dostęp radiowy, niepotrzebny i niebezpieczny.

> Ewentualnie mozna tokenem zeskanowac kod QR z ekranu

Ciepło

> lub przepisac do
> tokena dlugi, zaszyfrowany, kod operacji.

No nie, bez przesady. Jasne że skaner QR kodu.
Nie musi być zresztą szyfrowania - wystarczy podpisanie przez bank.
Wynik może być kilkucyfrowym "PINem", nie trzeba tego wtykać do żadnego
USB.
No i PIN żeby uruchomić urządzenie.

> No - jeszcze mozna transmisje audio uskutecznic, USB, Bluetooth, ...
> ale prosciej chyba bedzie GSM ...

Wszystkie powyższe są niebezpieczne, w sensie takim, że narażają
"telefon" na ataki za pośrednictwem skomplikowanych, potencjalnie
(i praktycznie) wadliwych bezprzewodowych metod dostępu.

> Mysle, ze pierwszym ruchem bedzie apelacja/kasacja.
> Bo z drugiej strony patrzac - po stronie komputerow banku zadnej
> dziury w bezpieczenstwie nie bylo.

Nie można jednak nie zauważyć, że sposób dostępu do banku został
ustalony przez bank. Bank jest "pro" i przecież przeprowadził analizę
ryzyka.
--
Krzysztof Hałasa

do góry

Dnia Fri, 29 Apr 2016 14:12:36 +0200, Imka napisał(a):

> Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
> Ustawianych ze strony. [...] Nie loguję się z
> bankowości mobilnej.

Oups.
Zastrzeżenie logowania z urządzeń mobilnych jest.
Jeśli to jest to, co myślę że jest, to przepraszam mBank.
Reszta pozostaje w mocy.
... no chyba że zaraz znajdę i resztę ;)

--
Imka

do góry