W dniu 24.04.2012 18:29, Kris pisze:
> W dniu wtorek, 24 kwietnia 2012 16:39:34 UTC+2 użytkownik m napisał:
>> W dniu 24.04.2012 13:12, Kris pisze:
>>> Oczywiście nie ma obowiązjku wtedy podawac swoich danych jak ktoś jest wrazliwy,
ale bank z reguy potwierdza imie nazwisko(a to chyba nie problem podać?) + jakies
pytanie weryfikujace(data urodzenia, czy posiadasza taki a taki kredyt itp) To tez
moim zdaniem żaden problem. Zresztą nie wiem co za problem byłby gdytby oprócz
imienia i nazwiska podac równiez swój pesel? Przecież te dane do niczego nikomu się
nie przydadzą.
>>
>> Mogą się przydać do zidentyfikowania się "awaryjnego" i wyciągnięcia
>> kasy z konta.
>
> Uważasz że imie nazwisko i pesel wystarczą do pobrnia kasy z konta?
> podaj nazwe banku w którym to Twoim zdaniem jest możliwe

Wymieniłeś:
- imię,
- nazwisko,
- data urodzenia,
- czy posiadasz taki a taki kredyt
- pesel

Taki zestaw prawie wystarczy do tego, żeby zmienić hasło do citiphone w
Citibanku.

Jeżeliby wyłudzić w innym przebiegu podszywania się pod bank jeszcze
email (który możemy już znać), nazwisko panieńskie matki, adres
korespondencyjny, to taki zestaw pozwala na identyfikację "awaryjną"
chyba w każdym banku.

p. m.

do góry

W dniu wtorek, 24 kwietnia 2012 19:46:20 UTC+2 użytkownik m napisał:

> Wymieniłeś:
> - imię,
> - nazwisko,
> - data urodzenia,
> - czy posiadasz taki a taki kredyt
> - pesel
>
> Taki zestaw prawie wystarczy do tego, żeby zmienić hasło do citiphone w
> Citibanku.

Napisales "prawie". A prawie robi wielką różnicę.
Wymienileś 5 elementów- a do wstepnej weryfikacji wystrczą imie nazwisko i jeden z
3pozostałyc. Poza tym bank w żadne sposób nie wymusza podania tych danych- Jesteś
wrażliwy- nie chcesz nie podajesz- dygasz do oddzialu.
Niektórzy sa tak "wrazliwi' że karty kredytowej kasjerce do reki nie podadza czy
dziwi ich to ze na slipie sklepu są pełne, niewykropkowane dane.

> Jeżeliby wyłudzić w innym przebiegu podszywania się pod bank jeszcze
> email (który możemy już znać), nazwisko panieńskie matki, adres
> korespondencyjny, to taki zestaw pozwala na identyfikację "awaryjną"
> chyba w każdym banku.

Ale to kolejne kilka pozycji do wyludzenia. A identyfikacja awaryjna jak ja nazwałes
też nie od razu pozwala wyczyścić Tobie konto.
A do bankowości internetowej nie boisz sie logować?

do góry

Kris <k...@g...com> writes:

> W dniu wtorek, 24 kwietnia 2012 14:22:21 UTC+2 użytkownik Kamil Jońca napisał:
>> No to co?
>> Tu chodzi tylko o to, żeby uprawdowopodobnić, że dzwoni do mnie bank,
>> przed rozpoczęciem odpowiadania na dość wrażliwe pytania (na które
>> teściowa czy złodziej telefonu i tak nie odpowie)
>
> Podaj przykład tych "dość wrażliwych" pytań?
> Jak bank dzwoni z oferta to z reguły nie potrzebuja dokładnie identyfikować klienta
bo dzonia najczesciej wynajete Call Center i nawet nie maja dostepu/podgladu do konta
osoby do ktorej dzwonia.
> Jak dzwonia tak jak do autora tego postu aby potwierdzic zlozenie wniosku to nie
widzę równiez problemu aby potwierdzić że sie wniosek złozyło.
> oczywiscie jakies pytania weryfikujace zaddza ale to kwestia "wrazliwości"
pytanego. Dla niektórych potwierdzenie daty urodzenia, czy potwierdzenie czy sie
posiada/nie posiada dany produkt to juz "wrazliwe' pytania. Dla mnie np to żaden
problem- po co popdać w paranoje.

Pesel to pewnie bardzo tajny nie jest, ale pytanie o posiadanie lub nie
jakiegoś produktu, to jednak jest używane do uwiarygadniania
tożsamości i ja np. niekoniecznie chciałbym to powierzać anonimowi.

KJ


--
Gdyby ktoś miał zbędny Toshiba G450 - to chętnie przejmę ;)
Never trust a computer you can't repair yourself.

do góry

W dniu wtorek, 24 kwietnia 2012 20:22:00 UTC+2 użytkownik Kamil Jońca napisał:

> Pesel to pewnie bardzo tajny nie jest, ale pytanie o posiadanie lub nie
> jakiegoś produktu, to jednak jest używane do uwiarygadniania
> tożsamości i ja np. niekoniecznie chciałbym to powierzać anonimowi

Nawet jak ktoś wyłudzi informację czy posiadasz produkt czy nie to aby ją w jakiś
sposób wykorzystać wyłudzacz musi zadzwonić do banku(bo bank raczej do niego nie
zadzwoni)
A jak taki ktoś zadzwoni DO banku to uwierzytelnianie będzie dokładniejsze a nie na
zasadzie "posiada pan karte czy nie"
No i podstawowa sprawa- bank nikogo nie zmusza do podwania danych przez telefon więc
nie widze sensu informowania KNF jak niektórzy tu proponują.

do góry

Kris <k...@g...com> writes:
[...]
> No i podstawowa sprawa- bank nikogo nie zmusza do podwania danych przez telefon
więc nie widze sensu informowania KNF jak niektórzy tu proponują.

Otóż zdziwisz się. Wg panienek (co najmniej 3) z citibanku nie da się
ustawić hasła telefonicznego po jego zablokowaniu inaczej niż spowiadając się
anonimowi. Nawet w oddziale się nie da.
KJ

--
ehttp://blogdebart.pl/2010/03/17/dalsze-przygody-swi
nki-w-new-jersey/
Drink Canada Dry! You might not succeed, but it *__is* fun trying.

do góry

W dniu 24.04.2012 20:08, Kris pisze:
> W dniu wtorek, 24 kwietnia 2012 19:46:20 UTC+2 użytkownik m napisał:
>
>> Wymieniłeś:
>> - imię,
>> - nazwisko,
>> - data urodzenia,
>> - czy posiadasz taki a taki kredyt
>> - pesel
>>
>> Taki zestaw prawie wystarczy do tego, żeby zmienić hasło do citiphone w
>> Citibanku.
>
> Napisales "prawie". A prawie robi wielką różnicę.

Tą różnicę złodziej może już znać, może też ją też wyciągnąć przy
następnej sesji podszywania się pod bank.

> Wymienileś 5 elementów- a do wstepnej weryfikacji wystrczą imie nazwisko i jeden z
3pozostałyc. Poza tym bank w żadne sposób nie wymusza podania tych danych- Jesteś
wrażliwy- nie chcesz nie podajesz- dygasz do oddzialu.
> Niektórzy sa tak "wrazliwi' że karty kredytowej kasjerce do reki nie podadza czy
dziwi ich to ze na slipie sklepu są pełne, niewykropkowane dane.
>
>> Jeżeliby wyłudzić w innym przebiegu podszywania się pod bank jeszcze
>> email (który możemy już znać), nazwisko panieńskie matki, adres
>> korespondencyjny, to taki zestaw pozwala na identyfikację "awaryjną"
>> chyba w każdym banku.
>
> Ale to kolejne kilka pozycji do wyludzenia. A identyfikacja awaryjna jak ja
nazwałes też nie od razu pozwala wyczyścić Tobie konto.

Ależ oczywiście że pozwala. W znanych mi bankach, tj - Citibank,
Multibank, mBank - jeżeli "awaryjnie" zmienisz hasło, masz pełen dostęp
do usług. W tym - przelew na inne konta.

> A do bankowości internetowej nie boisz sie logować?

No jakoś się nie boję. Skąd pomysł że miałbym się bać?

p. m.

do góry

W dniu 24.04.2012 21:18, Kris pisze:
> W dniu wtorek, 24 kwietnia 2012 20:22:00 UTC+2 użytkownik Kamil Jońca napisał:
>
>> > Pesel to pewnie bardzo tajny nie jest, ale pytanie o posiadanie lub nie
>> > jakiegoś produktu, to jednak jest używane do uwiarygadniania
>> > tożsamości i ja np. niekoniecznie chciałbym to powierzać anonimowi
> Nawet jak ktoś wyłudzi informację czy posiadasz produkt czy nie to aby ją w jakiś
sposób wykorzystać wyłudzacz musi zadzwonić do banku(bo bank raczej do niego nie
zadzwoni)
> A jak taki ktoś zadzwoni DO banku to uwierzytelnianie będzie dokładniejsze a nie na
zasadzie "posiada pan karte czy nie"

Ale "posiada Pan kartę czy nie" będzie jednym z pytań. Odpowiedzi na
resztę pytań trzeba zdobyć (albo mieć wcześniej, np. z wrzucenia w
google czyjegoś imienia i nazwiska)[*], w ten sam sposób w jaki zdobywa
się informację czy "posiada Pan kartę czy nie".


[*] - kiedyś, nie będąc pewny kontrahenta na rzecz którego wykonałem
trochę roboty a mi na kilka dni znikł z sieci, postanowiłem go
wygooglać. I trochę pogrzebawszy, znalazłem na stronach jakiegoś
uniwersytetu, bodajże UG, podanie o przyjęcie na studia (wypełnione).
Miałem tam wszystko o człowieku. W zasadzie, do ograbienia go ze
zgromadzonych na Citi środków, potrzebowałbym:
- wiedzieć czy ma konto w Citi,
- wiedzieć właśnie czy ma kartę, konto w CHF, funtach, dolarach .....

Pewnie podobnie w wielu innych bankach.

p. m.

do góry

Elo

Kris napisał(a) :
>> Jeżeliby wyłudzić w innym przebiegu podszywania się pod bank jeszcze
>> email (który możemy już znać), nazwisko panieńskie matki, adres
>> korespondencyjny, to taki zestaw pozwala na identyfikację "awaryjną"
>> chyba w każdym banku.
>
> Ale to kolejne kilka pozycji do wyludzenia. A identyfikacja awaryjna jak ja
nazwałes też nie od razu pozwala wyczyścić Tobie konto.
> A do bankowości internetowej nie boisz sie logować?

Kto mówi, że pozyskanie potrzebnych danych ma się odbyć w ciągu
kilkudziesięciu sekund jednej rozmowy? Kto mówi, że ma to być
podszywanie się tylko pod jeden bank? I kto mówi, że to ma być
zawsze jakikolwiek bank? Sposobów jest co niemiara. Spersonalizowany
atak osoby, choćby tylko pobieżnie znającej ofiarę, może być
skuteczny. Jeśli ta ofiara to "ofiara" i wszystkim cwaniaczkom
kłapie na lewo i prawo swoimi wrażliwymi danymi.

--
Pozdrawiam
Zbyszek
PGP key: 0x5351FDE3

[Człowiek zaczyna używać dopiero wtedy rozumu, gdy kończą mu się
wszystkie możliwości.]

do góry

Zbynek Ltd. <s...@p...onet.pl> wrote on
2012-04-24_17:09
> Zbynek Ltd. napisał(a) :
>>
>> Chyba zadzwonię ze skargą na dezinfolinię.
>
> No to spędziłem ponad 33 minuty tłumacząc sprawę trzem coraz
> bardziej wygadanym firewallom (czyt. zaporom). Jeśli jest czwarty
> stopień ochrony, to czwarta by pewnie na mnie już krzyczała :-D
>
> Pani nr 2 oświadczyła, że może mi jeszcze raz wypełnić, usunięty
> już, wniosek przez telefon, ale potem zadzwoni do mnie znowu jakiś
> noname, żeby mnie zweryfikować. Beton, normalnie beton. Albo mogę
> sobie iść do oddziału.
>
> Pani nr 3 raczyła łaskawie przyjąć skargę na procedurę weryfikacji
> poprzez pytania nonema o dane osobowe inne niż imię i nazwisko.
> Zażyczyłem sobie pisemnej odpowiedzi. Czas oczekiwania do 30 dni.
>
I znowu słusznie - ja już się przekonałem, że telefonicznie plotą,
co im ślina na język przyniesie - dopiero, gdy się zażąda
*przeczytania* tekstu odpowiedzi, można się dowiedzieć co naprawdę
zawiera...

witrak()

do góry

On 24.04.2012 21:32, m wrote:
> Ależ oczywiście że pozwala. W znanych mi bankach, tj - Citibank,
> Multibank, mBank - jeżeli "awaryjnie" zmienisz hasło, masz pełen dostęp
> do usług. W tym - przelew na inne konta.
nieprawda
w mbanku musisz miec karte kodow lub odebrac SMS. Podejrzewam ze w
pozostalych wymienionych bankach jest podobnie.
Marx

do góry