Imka w
<news:yae72y3jgsr9.1ws3nywk7x8za$.dlg@40tude.net>:

> Swoją drogą... rodzą się nowe pytania.
> Ciekawe czy można w ten sam sposób zmienić hasło przy niezablokowanym
> dostępie oraz po ilu próbach podania odpowiednich cyferek telekodu bank
> zaczyna się orientować, że coś tu nie gra?

Owszem, nie bank tylko teleoperator:

Nie podałem telekodu, więc obyła sie dodatkowa weryfikacja -- pesle, adresy,
imiona/ nazwiska ojca/matki w tym panieńskie...

Porażka -- kiedyś za aprobatą siedzącego obok przyjaciela załatwiłem za
niego reklamację w banku, znając jego date urodzenia, imiona i nazwiska
rodziców, i inne takie -- telefony wtedy nie były powszechne, ale to i teraz
nie problem, da się bez problemu zmienić, nie pytajcie jak, nie odpowiem ;P

--
'Tom N'

do góry

W dniu 2017-03-13 o 21:14, Imka pisze:

> Jeśli telekod był nietypowy, to nadal pozostaje pytanie - jakim cudem
> sprawca poznał tylko telekod a nie hasło?

Np. podsłuchał uchem lub podsłuchem.

do góry

W dniu 2017-03-13 o 21:14, Imka pisze:
> Akurat parę dni temu sama się zablokowałam w mBanku i przerobiłam tę
> ścieżkę. Wystarczy numer klienta i telekod żeby zmienić hasło do ST.
Wystarczy jeszcze telefon właściciela, z którego on dzwoni. Nie uda się
ta sztuczka złodziejowi.


--
animka

do góry

"J.F." <j...@p...onet.pl> writes:

> -nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło
> w bankowości internetowej. Dostęp do serwisu transakcyjnego został
> zablokowany.

Wydaje mi się, że to do czegoś było potrzebne. Tzn. zablokowanie konta
internetowego - no bo jeśli przestępca znał hasło, to mógł także je
zmienić (skutecznie).

> -Nieznany sprawca zalogował się do serwisu bankowości telefonicznej
> (podając numer klienta i telekod) i ustalił nowe hasło do bankowości
> internetowej.
> -Złodziej połączył się z infolinią banku, zalogował się i podając się
> za posiadacza rachunku zlecił pracownikowi dokonanie zmiany numeru
> telefonu, na który przesyłane są hasła jednorazowe SMS.
> -Pracownik infolinii zweryfikował dane podawane przez połączoną osobę,
> uzyskał poprawne odpowiedzi i ręcznie zaktualizował numer telefonu.
> -Nieznany sprawca zalogował się do serwisu bankowości internetowej i
> zlecił przelew na ponad 120 tys. zł.
>
> Wychodzi na to, ze poznal telekod. Dziwne to troche, bo jego sie
> niemal nie uzywa.

Przypuszczalnie "telekod" został ustawiony przez Internet, jeszcze przed
zablokowaniem. Późniejsze działania to może jakaś procedura awaryjna (na
wypadek zablokowania konta w sieci) - dziurawa niestety.
Możliwe też że opis jest niedokładny.

> A gdyby tak niefrasobliwie udostepnila telefon, na ktory przychodza
> SMS ?

oraz jednocześnie hasło do konta - no to byłby problem. Jest to
prawdopodobne, jeśli włamanie nastąpiłoby na "telefon" (tablet z GSM
itp) używany do dostępu do konta oraz do haseł SMS. Dlatego nie powinno
się tego robić.
Dodatkowo SMSy nie gwarantują tajności, to też jest problem.

> Albo ksiazeczke czekowa ?

Jak to było? 1000 zł * liczba czeków przez 24 godziny od momentu
zastrzeżenia (w tym samym oddziale)? A może 48 godzin, nie pamiętam.
Alternatywnie, 300 zł na poczcie.

> Albo dowod osobisty ...

No to akurat nie powinno oznaczać automatycznie wielkiego zagrożenia,
tam jest zdjęcie i w przypadku przynajmniej istotnych operacji powinno
się na nie patrzeć, we własnym interesie. Nie daje to całkowitej
gwarancji zresztą.

>>Jasne, ale jeśli ktoś już zobaczył, że coś jest nie tak, to powinien
>>upewnić się, że to tylko błąd. To może pomóc.
>
> Ale juz za pozno :-)

Tu tak, ale w innym przypadku może nie.

> Jakies to niesymetryczne mi sie wydaje.
> Moze i tak ma byc ... a moze w razie wykrycia oszustwa powinno byc 10
> lat dla obu.

A to swoją drogą.

> Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa juz
> chyba jest w miare normalna.

Tak, ale wtedy trzeba zmienić numer w banku wcześniej. Albo oddział itp.

> Oby sie tylko nie skonczylo ze "pieniedzy nikt nie ukradl, ale dostep
> ma do nich tylko osoba znajaca haslo".
> I ciekawe, czy sad cos tu moze pomoc, skoro taka umowa :-)

Możliwości są. Zawsze można się pofatygować osobiście do oddziału, każdy
bank działający w Polsce ma tu chyba oddział?

> Moglem wpisac kod do kontaktow z oddzialem ... tylko kto by go
> pamietal przez tyle lat nieuzywania :-)

Oczywiście. Tak w ogóle, takie kody używane raz na 10 lat są bez sensu.
Chyba że sprawa jest naprawdę ważna a kody dobrze chronione.
--
Krzysztof Hałasa

do góry

Imka <s...@g...pl> writes:

> Nieznany sprawca nie znał hasła do rachunku poszkodowanej, natomiast
> znał telekod. Albo wyłapał ten telekod podczas jego ostatniej zmiany,
> albo faktycznie łatwo go było zgadnąć.
> Jeśli telekod był nietypowy, to nadal pozostaje pytanie - jakim cudem
> sprawca poznał tylko telekod a nie hasło?

Telekod można łatwo podsłuchać. Wystarczy, że ktoś tego używa
(np. telefonem analogowym, albo w ogóle radiowym analogiem). Problem
w tym, że tego prawie nikt nie używa, ale może tu było inaczej.
--
Krzysztof Hałasa

do góry

007 <n...@i...dyndns.org.invalid> writes:

> Owszem, nie bank tylko teleoperator:
>
> Nie podałem telekodu, więc obyła sie dodatkowa weryfikacja -- pesle, adresy,
> imiona/ nazwiska ojca/matki w tym panieńskie...

No ale to nie bank. Gdyby tak jednak było w banku...

Inna sprawa, że w wielu krajach takie coś pewnie przejdzie także
w banku. Nawet bez tak wielu pytań.
--
Krzysztof Hałasa

do góry

W dniu 2017-03-13 o 17:04, Krzysztof Halasa pisze:
> Liwiusz <l...@b...tego.poczta.onet.pl> writes:
>
>>> No ale co dokładnie "ukradli"?
>>
>> Tak się mówi.
>> https://pl.wikipedia.org/wiki/Kradzie%C5%BC_to%C5%BC
samo%C5%9Bci
>
> Wiem że tak się mówi, ale zapytałem co KONKRETNIE ukradli.

Przecież Alfred wyraźnie napisał, że tożsamość, czyli użyli jej danych
osobowych.

"najpierw zablokowali dostęp przez
internet, a potem telefonicznie zmienili numer komórki z
powiadamianiem SMS."

Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to ja
bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o
przywrócenie buuu".

--
Liwiusz

do góry

Dnia Tue, 14 Mar 2017 10:26:17 +0100, Liwiusz napisał(a):


> "najpierw zablokowali dostęp przez
> internet, a potem telefonicznie zmienili numer komórki z
> powiadamianiem SMS."
>
> Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to ja
> bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o
> przywrócenie buuu".

Nie żadna bidna odcięta kobita buuu, tylko "Dzień dobry, mówi Iksińska,
właśnie zmieniłam telefon na nowy, uprzejmie proszę o aktualizację
mojego numeru telefonu w systemie" ;->

Ciekawe dlaczego ja nadal wolę papierowe hasła SMS...
--
Imka

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości
"J.F." <j...@p...onet.pl> writes:
>> -nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić
>> hasło
>> w bankowości internetowej. Dostęp do serwisu transakcyjnego został
>> zablokowany.

>Wydaje mi się, że to do czegoś było potrzebne. Tzn. zablokowanie
>konta
>internetowego - no bo jeśli przestępca znał hasło, to mógł także je
>zmienić (skutecznie).

Byc moze po to, aby infolinia bez podejrzen "odblokowala dostep".

>> A gdyby tak niefrasobliwie udostepnila telefon, na ktory przychodza
>> SMS ?

>oraz jednocześnie hasło do konta - no to byłby problem. Jest to
>prawdopodobne, jeśli włamanie nastąpiłoby na "telefon" (tablet z GSM
>itp) używany do dostępu do konta oraz do haseł SMS. Dlatego nie
>powinno
>się tego robić.
>Dodatkowo SMSy nie gwarantują tajności, to też jest problem.

>> Albo ksiazeczke czekowa ?

>Jak to było? 1000 zł * liczba czeków przez 24 godziny od momentu
>zastrzeżenia (w tym samym oddziale)? A może 48 godzin, nie pamiętam.
>Alternatywnie, 300 zł na poczcie.

Ale czy tak od razu zauwazy brak ksiazeczki. Albo czy codziennie liczy
w niej czeki :-)

>> Albo dowod osobisty ...
>No to akurat nie powinno oznaczać automatycznie wielkiego zagrożenia,
>tam jest zdjęcie i w przypadku przynajmniej istotnych operacji
>powinno
>się na nie patrzeć, we własnym interesie. Nie daje to całkowitej
>gwarancji zresztą.

I mowisz, ze nie da sie podstawic podobnej osoby ?
Szczegolnie, jak zdjecie sprzed 10 lat ...

>> Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa
>> juz
>> chyba jest w miare normalna.
>Tak, ale wtedy trzeba zmienić numer w banku wcześniej. Albo oddział
>itp.

No to dzwonisz, zmieniasz, i banku to nie dziwi :-)

>> Oby sie tylko nie skonczylo ze "pieniedzy nikt nie ukradl, ale
>> dostep
>> ma do nich tylko osoba znajaca haslo".
>> I ciekawe, czy sad cos tu moze pomoc, skoro taka umowa :-)

>Możliwości są. Zawsze można się pofatygować osobiście do oddziału,
>każdy
>bank działający w Polsce ma tu chyba oddział?

A tam "nie wyplacamy na dowod, wyplacacamy na haslo" :-)

J.

do góry

Dnia Tue, 14 Mar 2017 11:17:14 +0100, J.F. napisał(a):

>>> -nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić
>>> hasło
>>> w bankowości internetowej. Dostęp do serwisu transakcyjnego został
>>> zablokowany.
>
>>Wydaje mi się, że to do czegoś było potrzebne. Tzn. zablokowanie
>>konta
>>internetowego - no bo jeśli przestępca znał hasło, to mógł także je
>>zmienić (skutecznie).
>
> Byc moze po to, aby infolinia bez podejrzen "odblokowala dostep".

Żadna infolinia z podejrzeniami - do odblokowania dostępu w mBanku jest
automat. Podaje się numer klienta, telekod, nowe cyferkowe hasło i
pozamiatane.

--
Imka

do góry