Kamil Jońca (news:dncapb$p47$1@news.onet.pl)
Napisał(a):
> 1) mBank dalej nie potrafi się uwierzytelnić przed użytkownikiem (jak
> zresztą inne banki).

Pytanie:
Czy ten problem rozwiazaloby zastosowanie kart z certyfikatami wedlug
standardu EMV (np z oferty www.sigillum.pl) ? Wtedy w komunikacji dwie
strony moga sie uwierzytelniać.


Robert

do góry

Użytkownik "Kamil Jońca" <k...@p...onet.pl> napisał w wiadomości
news:dncvru.3b8.1@bambus.kjonca.bogus...

> Ale jak ocenić czy dzwoni do mnie bank czy oszust w przypadku
> "niezapowiedzianej" rozmowy ze strony banku ?


Ja z reguły robię to w ten sposób, że informuję klienta, iż w chwili
obecnej nie mam czasu i oddzwonię za chwilę, by mi podał numer
zwrotny. Potem albo sprawdzam w dostępnych źródłach, albo dzwonię na
znany mi numer w moim banku i pytam, czy wiedzą coś o takiej akcji i
takim numerze telefonu.

Chyba, że dzwonią w sprawie, która w żaden sposób nie zagraża moim
interesom. Jakaś propozycja nowej usługi, czy zapytanie o realizacje,
takiej lub innej dyspozycji. Wówczas wychodzę z założenia, że jak
nawet to oszust, to co mu przyjdzie z mojej zgody na wysłanie
przelewu, jeśli nie jest z banku.

do góry

Robert Tomasik wrote:
> Użytkownik "Kamil Jońca" <k...@p...onet.pl> napisał w wiadomości
> news:dncvru.3b8.1@bambus.kjonca.bogus...
>
>> Ale jak ocenić czy dzwoni do mnie bank czy oszust w przypadku
>> "niezapowiedzianej" rozmowy ze strony banku ?
>
>
> Ja z reguły robię to w ten sposób, że informuję klienta, iż w chwili
> obecnej nie mam czasu i oddzwonię za chwilę, by mi podał numer
> zwrotny. Potem albo sprawdzam w dostępnych źródłach, albo dzwonię na
> znany mi numer w moim banku i pytam, czy wiedzą coś o takiej akcji i
> takim numerze telefonu.

Ale tzw. procedura w mBanku nie przewiduje, że jeśli *Ty* dzwonisz to
moższ sobie aktywować dostęp. Jak *to* chcesz rozwiązać ?
KJ

do góry

Kamil Jońca <k...@p...onet.pl> writes:

> Nie zdążyłem jeszcze odpowiedzieć kiedy zaczęła
> dzwonić komórka. Rozłączyłem się i odebrałem - faktycznie mBank, a
> przynajmniej tak pani się przedstawiła. Tyle, że zadałem bezczelne
> pytanie " a skąd ja mam wiedzieć, że pani faktycznie z mBanku dzwoni"
> nie potrafiła odpowiedzieć nic ponad to, że "tak sie przedstawiła" :)

Procedura powinna po prostu przewidywac, ze po takim oddzwonieniu bank
nie uzyskuje zadnych poufnych informacji. Bo i tak naprawde po co mu
one?

Natomiast w potwierdzeniu przez klienta ze owszem, to on dzwonil do
banku, i ze to on chce odblokowac czy zablokowac czy cokolwiek tam
chce, nie widze zadnego problemu.
--
Krzysztof Halasa

do góry

> Procedura powinna po prostu przewidywac, ze po takim oddzwonieniu bank
> nie uzyskuje zadnych poufnych informacji. Bo i tak naprawde po co mu
> one?
>
> Natomiast w potwierdzeniu przez klienta ze owszem, to on dzwonil do
> banku, i ze to on chce odblokowac czy zablokowac czy cokolwiek tam
> chce, nie widze zadnego problemu.

Jak bez tych 'poufnych informacji' bank pozyska pewność, że odblokuje dostęp
klientowi, a nie komuś podającemu się za klienta i mającemu choćby
krótkotrwały dostęp do jego aparatu telefonicznego?

K.K.

do góry

Użytkownik "Kamil Jońca" <k...@p...onet.pl> napisał w wiadomości
news:dnd2q7.2js.1@bambus.kjonca.bogus...

> Ale tzw. procedura w mBanku nie przewiduje, że jeśli *Ty* dzwonisz
to
> moższ sobie aktywować dostęp. Jak *to* chcesz rozwiązać ?

Procedury mBanku nie znam. Z tego, co opisywano tutaj telefon był
bezpośrednio po telefonie zainteresowanego. No to jak napisałem
prawdopodobieństwo przypadkowego podszycia się przez kogoś jest
bardziej, niż znikome. Nawet, jak to bedzie za godzinę, to też jest
znikome. Przecież nikt nie bedzie na pałę dzwonił do przypadkowych
osób i podawał się za bank tylko w oczekiwaniu, że akurat mieli zamiar
uruchomić jakiś kanał bankowy. no i musi mieć pewnie jeszcze dane
osobowe rozmówcy.

do góry

Dnia Sat, 10 Dec 2005 00:12:25 +0100,
osoba podpisana: K.K. <e...@d...wytnij.pl>
napisała:
[...]
> Jak bez tych 'poufnych informacji' bank pozyska pewność, że odblokuje dostęp
> klientowi, a nie komuś podającemu się za klienta i mającemu choćby
> krótkotrwały dostęp do jego aparatu telefonicznego?
A dlaczego nie można odpytać klienta w czasie rozmowy inicjowanej *przez
klienta* i na tej podstawie odblokować mu dostęp? Cały czas nie mam
odpowiedzi na to pytanie.

KJ


--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/index.xhtml#f4y
EMACS = Even a Master of Arts Comes Simpler

do góry

> Nie zdążyłem jeszcze odpowiedzieć kiedy zaczęła dzwonić komórka.

Cytat wyrwany z kontekstu, ale chciałbym tu zwrócić uwagę na elementy
dbałości o bezpieczeństwo klienta. O niej świadczy dzwonienie w pierwszej
kolejności na komórkę (transmisja cyfrowa i ograniczone możliwości
podsłuchu) i dopiero po nieudanej próbie (chyba nawet wielokrotnej)
dodzwonienia się na zarejestrowany numer telefonu komórkowego dochodzi do
dalszych prób na numer telefonu stacjonarnego. IMHO jednak czegoś się uczą.
Bezzwłoczne oddzwanianie też o tym świadczy. Inni dowodzili jakie znaczenie
ma ta szybkość oddzwaniania. Kidyś czekało się godzinami, a nawet dniami.

> 1) /..../ Ciekawy jestem czy dopiero jak banki (czy ich klienci) popłyną
> na wyłudzeniach telefonicznych to ktoś ruszy d... zacznie chociaż myśleć
> nad odpowiednimi procedurami

Nie tylko myślą, ale też wdrożyli pakiet aktywacyjny. On też nie jest bez
wad, a podstawową wadą jest czas. Dla części klientów jest to jedyny lub
główny rachunek bankowy. Jeśli dodamy do tego jeszcze aktywne korzystanie,
to okazuje się, że wielu z nich nie może sobie pozwolić na kilku lub
kilkunastodniowe oczekiwanie na odblokowanie dostępu. Ta zwłoka często
powoduje frustracje, bo przeciętny klient nie rozważa tak głęboko kwestii
związanych z bezpieczeństwem lub widzi tylko swoje racje i chyba z tych
przyczyn pozostawiono lub wrócono do oddzwaniania. Jednak nie tylko odmowa,
ale też najmniejsza wątpliwość przy identyfikacji powoduje przejście na
pakiet aktywacyjny. Wtedy cierpią klienci, ale takicj jest już zdecydowanie
mniej. Chyba do nich należysz ;-)

> 2./..../ kiedyś było tak, że po telefonie na mLinię, i poprawnej
> odpowiedzi na dziwne pytania, można było sobie od razu aktywować kanał
> Internet - i komu to przeszkadzało ?

Podobno popłyneli przez ten brak oddzwaniania, a więc chyba powinno
przeszkadzać ;-)
Poza tym nie widzisz sprzeczności między pkt. pierwszym i drugim? ;-) IMHO
jest. Motasz się i szukasz idealnego rozwiązania (to bynajmniej nie zarzut)
i nie potrafisz pogodzić się z faktem, że dla wirtualnych banków takie
rozwiązanie nie istnieje, bo jeśli będzie idealnie bezpieczne i wygodne, to
nie będzie do zaakceptowania z takich przyczyn jak choćby koszty (np.
certyfikat kwalifikowany). Ta patowa sytuacja chyba się zmieni za jakieś dwa
latka, ale do tego czasu musimy się pogodzić z tym co jest. Innego wyjścia
nie ma. Może się mylę. Chciałbym się mylić. Jednego jestem pewien. Przez te
pięć lat wiele się nauczyli. Efekty są, choć nie zawsze wyeksponowane, bo
dla bezpieczeństwa wiele procedur musi pozostać w otoczce tajemnicy, a to
może prowadzić do wątpliwości po stronie klientow. Lepsze jednak wątpliwości
od kawy na ławę kosztem tego bezpieczeństwa ;-)

Pozdr.
K.K.

do góry

>> Jak bez tych 'poufnych informacji' bank pozyska pewność, że odblokuje
> > dostęp klientowi, a nie komuś podającemu się za klienta i mającemu
> > choćby krótkotrwały dostęp do jego aparatu telefonicznego?
> A dlaczego nie można odpytać klienta w czasie rozmowy inicjowanej *przez
> klienta* i na tej podstawie odblokować mu dostęp? Cały czas nie mam
> odpowiedzi na to pytanie.

Można go odpytać, ale wtedy mogą wystąpić uzasadnione wątpliwości co do
tożsamości (1) dzwoniącego z numeru (2), którego nawet nie można ustalić z
całkowitą pewnością!!
1) Nie tylko my znamy te dane, z których odpytuje mLinia. W praktyce mogą
wystąpić różne okoliczności sprzyjające włamaniom. Ich lista jest
ograniczona tylko naszą wyobraźnią. Wymienię tylko jedną okoliczność.
Telefon kontaktowy w pracy, a my na chorobowym lub w delegacji. Kolega z
pracy może być w finansowej potrzebie i może się zdarzyć, że będzie potrafił
zablokować dostęp dzięki jawnie wpisywanemu identyfikatorowi. Podczas
wpisywania jest widoczny na ekranie, więc może podejrzeć. Hasło już sobie
zdobędzie przy odblokowaniu dostępu, a wtedy jeden telefon i .... nie masz
już problemu na co wydać kasę ;-)
2) Istnieją dosyć proste techniczne możliwości wyświetlenia u mLinii
dowolnego numeru telefonu. Jest też blokada prezentacji numeru tel.
dzwoniącego.
1 + 2 to proszenie się o nieszczęście. W każdym bądź razie bez oddzwaniania
mamy do czynienia z znacznie mniejszym bezpieczeństwem, co chyba już zostało
wykorzystane, a oni się na tym czegoś nauczyli i stąd nowe procedury w
trosce o zwiększenie bezpieczeństwa.

do góry

Użytkownik Kamil Jońca napisał:
Tyle, że zadałem bezczelne pytanie " a skąd
> ja mam wiedzieć, że pani faktycznie z mBanku dzwoni" nie potrafiła
> odpowiedzieć nic ponad to, że "tak sie przedstawiła" :) Na moją
> odpowiedź, że potencjalny oszust tak samo mógłby się przedstawić, nie
> potrafiła odpowiedzieć nic więcej niż "decyzja należy do pana"

No dobrze, czego zatem oczekiwał byś od banku, żebyś wiedział, że to oni
do Ciebie dzwonią? Mogłoby to być jakieś hasło, ale wtedy nadal bank
musiałby wiedzieć, że do Ciebie dzwoni. Czyli pewnie standardowo
zapytaliby o nazwisko panieńskie matki a może o Pesel. (Inaczej
złamaliby tajemnicę bankową, przekazując osobie trzeciej, że masz u nas
konto) A Ty znowu powiedziałbyś, że ktoś się podszywa pod bank i chce
Twoich danych osobowych.


Ot specyfika elektronicznych kanałów dostępu.
Nie wiem czy to jest technicznie wykonalne, ale jakimś rozwiązaniem by
było, żeby wprowadzić możliwość wklepywania swoich "tajnych kodów"
rónież przy rozmowie wychodzącej z banku.

pozdr.
Szewc

do góry