Witam,

Czytalem wlasnie ostatniego CHIP-a, a w nim artykul
a wlasciwie test bankow internetowych. mBank wygral.

Chip nie jest wprawdzie dla mnie autorytetem w zadnej
dziedzinie, a juz zwlaszcza bankowosci, ale zwrocili
tam uwage na kilka istotnych szczegolow zwiazanych
z bezpieczenstwem (zwlaszcza w dodatkowym artykule,
ktory nie wszedl do numeru i znalazl sie jako PDF na CD).

Jako jedna (z nielicznych) wad mBanku wymieniono tam
niezabezpieczona (np. zdrapkami) lise haslel jednorazowych.
Napisali, ze takiej listy nie trzena nawet krasc wlascicielowi,
wystarczy zkserowac.

Dla mnie akurat nie jest to zadna wada, bo nie trzymam
oryginalnej listy hasel, ale przepisana "po mojemu",
czyli z cyframi pozmienianymi wg tylko mnie znanego
systemu. Taka to sobie moga kserowac do woli :-)

Natomiast, idac tym tropem, z przykroscia dowiedzialem sie,
ze w mBanku w ogole nie potrzeba listy hasel jednorazowych
aby dokonac przelewu DOWOLNEGO!!!
Wytarczy zadzwonic na mLinię i pomyslnie przejsc proces
logowania. Wtedy juz mozna "na gębę" dokonać dowolnego
przelewu, bez zadnych limitow (tan brak limitu mnie martwi),
a nawet bez oddzwaniania na telefon klienta !!!

I tak sobie mysle, ze moje pieniadze tak naprawde chroni wiec
tylko ten glupi 6-cyfrowy telekod, o ktorego 2-3 cyfry jestem
pytany przy logowaniu przez telefon. Jesli ktos podsluchuje
moj telefon przez pare tygodni - bez problemu "zgromadzi"
cyfry mojego telekodu (o innych danych typu pesel czy nazwisko
matki, to nawet nie wspominam, bo to banał).

Czyli co mi pozostaje? Czesto zmieniac telekod?
A skoro jest on praktycznie jedyna linia obrony,
to ciekawe co sie robi jak sie samemu go zapomni.
Zapewne mozna go odzyskac lub nadac nowy,
ale nie wiem jak dokladnie taka procedura wyglada,
mam nadzieje, ze choc oddzwanianie wchodzi w jej sklad.

Niedawno zaczalem tez testowanie Pekao24.
Akurat pod wzgledem bezpieczenstwa w sytuacji
opisanej powyzej, Peako jest o 2 kroki do przodu!
Nie dosc ze: sa limity, haslo jednorazowe jest potrzebne
zawsze, to jeszcze konieczne jest oddzwanianie
do klienta w sytuacji, gdy chce przez telefon zmienic
cos waznego (typu limit).

A najbardziej w Peako24 cieszy mnie to, ze moge
czesc kasy przerzucic na lokate, i wtedy jest ona
nie do ruszenia ani przez inetenet, ani przez
rozmowa glosowa!

Prosze o refleksje innych (zwlaszcza mBankowcow) na ten temat,
bo ja juz przez to zle sypiam od paru dni :-/

Pozdrawiam,

latet

do góry

Użytkownik "Latet" <N...@p...onet.pl> napisał w wiadomości

> Natomiast, idac tym tropem, z przykroscia dowiedzialem sie,
> ze w mBanku w ogole nie potrzeba listy hasel jednorazowych
> aby dokonac przelewu DOWOLNEGO!!!
> Wytarczy zadzwonic na mLinię i pomyslnie przejsc proces
> logowania. Wtedy juz mozna "na gębę" dokonać dowolnego
> przelewu, bez zadnych limitow (tan brak limitu mnie martwi),
> a nawet bez oddzwaniania na telefon klienta !!!
>

Witam,
proponuje blokade kanału teleserwisu

Pozdrawiam

do góry

> Prosze o refleksje innych (zwlaszcza mBankowcow) na ten temat,
> bo ja juz przez to zle sypiam od paru dni :-/

z tym podsluchiwaniem przez teleofn telekodu to bym nie przesadzal.
Przez ostatni rok dzownilem do mBanku RAZ i to tylko dlatego, ze chcialem
miec SFI....

ale.

zapomniany kod = autoryzacja z danych typu pesel, nazwisko mamy itd.
czyli nie jest to zawily problem...

pozdrawiam

romekk

do góry

Latet pisze:
>Czyli co mi pozostaje? Czesto zmieniac telekod?

Nie popadać w paranoję.

--
mailto:r...@f...inv.pl
! Odpowiadając na priv usuń 'inv.' z adresu !
Nic tylko się pociąć czerstwą bułką

do góry

> zapomniany kod = autoryzacja z danych typu pesel, nazwisko mamy itd.
> czyli nie jest to zawily problem...

No swietnie, to juz nawet telekod nie stanowi zabezpieczenia :-(((
Czyli co? Wystarczy kilka podstawowych danych osobowych,
aby zadzwonic i oskubać klienta?

Latet

do góry

> Witam,
> proponuje blokade kanału teleserwisu
>

Niestety, zbyt czesto musze zamawiac opieczetowane
potwierdzenia przelewow i takie tam rozne......
tak czy inaczej - dzwonic tam (z logowaniem) niestety
musze.

Latet

do góry

On Sun, 4 May 2003 19:25:45 +0200, "Latet"
<N...@p...onet.pl> wrote:

>> zapomniany kod = autoryzacja z danych typu pesel, nazwisko mamy itd.
>> czyli nie jest to zawily problem...

Jak ja zapomnialem telekod (nie myslalem, ze kiedys bedzie mi
potrzebny), to bylo oddzwanianie.
GM

do góry

"Latet" <N...@p...onet.pl> wrote in message
news:22905-1052069149@ursus93.spray.net.pl...
>
> No swietnie, to juz nawet telekod nie stanowi zabezpieczenia :-(((
> Czyli co? Wystarczy kilka podstawowych danych osobowych,
> aby zadzwonic i oskubać klienta?
>

Bzdura. sprobuj zmienic telekod mowiac, ze zapomniales a dowiesz sie jaka
jest procedura...

Maciej

do góry

On Sun, 4 May 2003 18:46:30 +0200, Latet wrote:

>Prosze o refleksje innych (zwlaszcza mBankowcow) na ten temat,
>bo ja juz przez to zle sypiam od paru dni :-/

Moje spostrzeżenia:

1. mLinia istotnie wygląda na najsłabszy i najłatwiejszy do sforsowania
element mBanku;
2. na dobrą sprawę jedyne informacje, z których zdobyciem włamywacz może
mieć rzeczywiste kłopoty, to telekod, ilosć kont oraz ew. pełnomocnicy -
i na nich trzeba się skupić. Telekodu używać jak najrzadziej i tylko z
"pewnych" linii i aparatów, a od kiedy niekiedy - zmienić. Liczbę kont
również dobrze miec w przedziale nie do końca standardowym (czyli 3-5);
3. posiadane zasoby na pewno warto trzymać w funduszach. Nie wiem, jak
sprawy stoją z ich odkupywaniem via mLinia, ale tak czy inaczej to
kolejne utrudnienie i dodatkowe kilka dni na zorientowanie się, że
dzieje się coś nieplanowanego.

Z grubsza biorąc, odrobina przezorności i pomyślunku powinna zapobiec
nieszczęsciu. Co nie zmienia wrażenia, że kwestię mLinii mogliby
rozwiązać lepiej.

Maciek

do góry

On Sun, 04 May 2003 21:00:12 +0200, brodsky <d...@t...SPAM.pl>
wrote:

> Telekodu używać jak najrzadziej i tylko z
>"pewnych" linii i aparatów,
a ktore sa "pewne" ? Najlepiej chyba z automatow
bo male sa szanse ze ktos bedzie podsluchiwal wszystkie automaty aby
zdobyc Twoj kod :)

WAM

do góry