Zrodlo: expander.pl

<cytat>

Jeden z naszych czytelników zwrócił się do nas z prośbą o sprawdzenie
systemu zabezpieczeń w mBanku. Jego zdaniem wystarczy podać imię,
nazwisko, numer PESEL-u, serię i numer dowodu osobistego i nazwisko
panieńskie matki, by zmienić kody dostępu do rachunku (telefoniczny i
internetowy). Zdaniem naszego czytelnika nie trzeba w tym celu znać
6-cyfrowego numeru indentyfikacyjnego ani numeru rachunku.

Postanowiliśmy zadzwonić do mBanku. Wcześniej
przygotowaliśmy dowód osobisty "wtajemniczonego" posiadacza eMaxa (nie
omieszkaliśmy zapytać go o nazwisko panieńskie matki, którego w
dowodzie nie ma). Założyliśmy, że nie znamy numeru rachunku ani
6-cyfrowego numeru identyfikacyjnego (NIK-u), a wszystkie kody dostępu
zapomnieliśmy. Rozmowę z operatorem mLinii poprzedził krzepiący
komunikat: "W trosce o bezpieczeństwo klientów wszystkie rozmowy są
rejestrowane". Gdy zgłosiła się operatorka przedstawiliśmy problem:
chcemy zmienić telefoniczny kod dostępu (telekod). Posypały się
pytania. Pierwsze dziecinnie proste - imię i nazwisko, PESEL, seria i
numer dowodu osobistego, a na koniec nazwisko panieńskie matki.
Okazało się, że to nie koniec. Potrzebny był jeszcze adres stałego
zameldowania (nie ma problemu - mamy przecież dowód) i, o zgrozo,
telefon do domu rodzinnego. Postanowiliśmy zastosować prowokację
udzielając niezbyt rozsądnej odpowiedzi "nie pamiętam". Przeszło.
Jeszcze tylko numer telefonu klienta. W tym przypadku była to komórka,
którą nasz "współpracujący" posiadacz eMaxa nam udostępnił. To było
ostatnie pytanie. Pańskie zgłoszenie zostało przyjęte zaraz ktoś do
Pana zadzwoni w celu ustalenia nowego telekodu - zakończyła rozmowę
operatorka.

Uznaliśmy, że telefon odbierze nasz "współpracownik".
Oddzwoniono za kwadrans. Spodziewaliśmy się informacji typu: "ktoś
chciał zmienić pański telekod, ale nie pamiętał numeru do domu". Nic z
tych rzeczy. Padło natomiast pytanie o adres korespondencyjny (można
zaryzykować, że jest taki sam jak adres stałego zameldowania) i numer
telefonu, który nasz współpracownik trzymał w ręku. Potem miał już
tylko podać nowy telekod. W tym momencie nasz współpracownik "pękł" i
oświadczył, że to był tylko test i tak naprawdę to nie chce nic
zmieniać.

Zastanówmy się co by było gdybyśmy, dzwoniąc do mLinii po
raz pierwszy, podali inny numer telefonu? To by "nie przeszło" - mBank
ma nasz telefon i podany numer musi się zgadzać. Czy można go zmienić?
Tak ale w tym celu niezbędny jest telekod. Zakładając więc, że
złodziej wszedł w posiadanie naszego dowodu osobistego i, jakimś
sposobem, dowiedział się jakie nazwisko miała nasza matka przed
ślubem - nie zmieni telekodu. Konieczna będzie także komórka, a
komórkę zaraz po kradzieży z reguły blokujemy.

Zastanówmy się jeszcze, co przyjdzie złodziejowi ze
znajomości telekodu? Czy wykona on wówczas dowolny przelew? Tak, jeśli
będzie także znał pełny numer naszego rachunku. Na wszelki wypadek nie
zapisujmy go więc na czystych stronach dowodu.

Koniec końców, jeśli mimo wszelkich przeszkód złodziejowi
uda się przelać nasze pieniądze na swoje konto zostanie jeszcze
ostatnia deska ratunku. Jak wspomnieliśmy, rozmowy są nagrywane, a jak
wiadomo ludzie "mówią różnie". Na tej podstawie będziemy mogli
reklamować nieuprawnioną transakcję - bank zbada nagrania i, jeśli
uzna, że operator rozmawiał z kimś innym, zwróci pieniądze.
Pozostaje jeszcze Internet, ale to już zupełnie inna historia
(polecamy tekst z 7 stycznia pt. "Połączenie z bankiem z komputera w
kafejce internetowej").


Data: 2002-01-18 18:39:02 Maciej Kossowski

</cytat>

--

Pozdrawiam,
Pawel Miduch [ GRAFOT ]
_______________________

Portfolio http://grafot.com/
GG# 731911

do góry

Dlatego w końcu mbank powinien zdecydować się na pytanie weryfikacyjne z
odpowiedzią podaną wcześniej przez użytkownika bo tak to pozostaje nam
liczyć na dociekliwość mlinki a jak ona będzie w kiepskiej formie to kicha.
Wystarczy przekierowanie komórki kolegi na prepayda albo budkę telefoniczną
i parę danych do wyprowadzenia kasy z jego konta.


Użytkownik "[ GRAFOT.com ]" <g...@m...it> napisał w wiadomości
news:3c495bce@news.home.net.pl...
> Zrodlo: expander.pl
>
> <cytat>
>
> Jeden z naszych czytelników zwrócił się do nas z prośbą o sprawdzenie
> systemu zabezpieczeń w mBanku. Jego zdaniem wystarczy podać imię,
> nazwisko, numer PESEL-u, serię i numer dowodu osobistego i nazwisko
> panieńskie matki, by zmienić kody dostępu do rachunku (telefoniczny i
> internetowy). Zdaniem naszego czytelnika nie trzeba w tym celu znać
> 6-cyfrowego numeru indentyfikacyjnego ani numeru rachunku.
>
> Postanowiliśmy zadzwonić do mBanku. Wcześniej
> przygotowaliśmy dowód osobisty "wtajemniczonego" posiadacza eMaxa (nie
> omieszkaliśmy zapytać go o nazwisko panieńskie matki, którego w
> dowodzie nie ma). Założyliśmy, że nie znamy numeru rachunku ani
> 6-cyfrowego numeru identyfikacyjnego (NIK-u), a wszystkie kody dostępu
> zapomnieliśmy. Rozmowę z operatorem mLinii poprzedził krzepiący
> komunikat: "W trosce o bezpieczeństwo klientów wszystkie rozmowy są
> rejestrowane". Gdy zgłosiła się operatorka przedstawiliśmy problem:
> chcemy zmienić telefoniczny kod dostępu (telekod). Posypały się
> pytania. Pierwsze dziecinnie proste - imię i nazwisko, PESEL, seria i
> numer dowodu osobistego, a na koniec nazwisko panieńskie matki.
> Okazało się, że to nie koniec. Potrzebny był jeszcze adres stałego
> zameldowania (nie ma problemu - mamy przecież dowód) i, o zgrozo,
> telefon do domu rodzinnego. Postanowiliśmy zastosować prowokację
> udzielając niezbyt rozsądnej odpowiedzi "nie pamiętam". Przeszło.
> Jeszcze tylko numer telefonu klienta. W tym przypadku była to komórka,
> którą nasz "współpracujący" posiadacz eMaxa nam udostępnił. To było
> ostatnie pytanie. Pańskie zgłoszenie zostało przyjęte zaraz ktoś do
> Pana zadzwoni w celu ustalenia nowego telekodu - zakończyła rozmowę
> operatorka.
>
> Uznaliśmy, że telefon odbierze nasz "współpracownik".
> Oddzwoniono za kwadrans. Spodziewaliśmy się informacji typu: "ktoś
> chciał zmienić pański telekod, ale nie pamiętał numeru do domu". Nic z
> tych rzeczy. Padło natomiast pytanie o adres korespondencyjny (można
> zaryzykować, że jest taki sam jak adres stałego zameldowania) i numer
> telefonu, który nasz współpracownik trzymał w ręku. Potem miał już
> tylko podać nowy telekod. W tym momencie nasz współpracownik "pękł" i
> oświadczył, że to był tylko test i tak naprawdę to nie chce nic
> zmieniać.
>
> Zastanówmy się co by było gdybyśmy, dzwoniąc do mLinii po
> raz pierwszy, podali inny numer telefonu? To by "nie przeszło" - mBank
> ma nasz telefon i podany numer musi się zgadzać. Czy można go zmienić?
> Tak ale w tym celu niezbędny jest telekod. Zakładając więc, że
> złodziej wszedł w posiadanie naszego dowodu osobistego i, jakimś
> sposobem, dowiedział się jakie nazwisko miała nasza matka przed
> ślubem - nie zmieni telekodu. Konieczna będzie także komórka, a
> komórkę zaraz po kradzieży z reguły blokujemy.
>
> Zastanówmy się jeszcze, co przyjdzie złodziejowi ze
> znajomości telekodu? Czy wykona on wówczas dowolny przelew? Tak, jeśli
> będzie także znał pełny numer naszego rachunku. Na wszelki wypadek nie
> zapisujmy go więc na czystych stronach dowodu.
>
> Koniec końców, jeśli mimo wszelkich przeszkód złodziejowi
> uda się przelać nasze pieniądze na swoje konto zostanie jeszcze
> ostatnia deska ratunku. Jak wspomnieliśmy, rozmowy są nagrywane, a jak
> wiadomo ludzie "mówią różnie". Na tej podstawie będziemy mogli
> reklamować nieuprawnioną transakcję - bank zbada nagrania i, jeśli
> uzna, że operator rozmawiał z kimś innym, zwróci pieniądze.
> Pozostaje jeszcze Internet, ale to już zupełnie inna historia
> (polecamy tekst z 7 stycznia pt. "Połączenie z bankiem z komputera w
> kafejce internetowej").
>
>
> Data: 2002-01-18 18:39:02 Maciej Kossowski
>
> </cytat>
>
> --
>
> Pozdrawiam,
> Pawel Miduch [ GRAFOT ]
> _______________________
>
> Portfolio http://grafot.com/
> GG# 731911
>
>

do góry

> Dlatego w końcu mbank powinien zdecydować się na pytanie weryfikacyjne z
> odpowiedzią podaną wcześniej przez użytkownika bo tak to pozostaje nam
> liczyć na dociekliwość mlinki a jak ona będzie w kiepskiej formie to
kicha.
> Wystarczy przekierowanie komórki kolegi na prepayda albo budkę
telefoniczną
> i parę danych do wyprowadzenia kasy z jego konta.

Szkoda, ze opisujac to, nie odniesli sie do bankow tradycyjnych, gdzie
wystarczy tez dowod ukrasc, podmnienic zdjecie i juz... ;) (teoretyzuje tak
saom jak udostepnianie komorki i tak dalej i tak dalej)

do góry

In article <3...@n...home.net.pl> , "[ GRAFOT.com ]" <g...@m...it>
wrote:

> Zrodlo: expander.pl
>
> <cytat>
>
> Jeden z naszych czytelników zwrócił się do nas z prośbą o sprawdzenie
> systemu zabezpieczeń w mBanku. Jego zdaniem wystarczy podać imię,
>
Czyli lepiej nazwisko panienkie matki i numer konta trzymac w tajemnicy...
:-)

Pinio
--
"Bo jak się człowiek przejmie rolą sam pan wisz
to zaraz plecy go rozbolą albo krzyż..."
--

do góry

Romek <j...@o...pl> wrote:
> Dlatego w końcu mbank powinien zdecydować się na pytanie weryfikacyjne z
> odpowiedziš podanš wcze?niej przez użytkownika bo tak to pozostaje nam
> liczyć na dociekliwo?ć mlinki a jak ona będzie w kiepskiej formie to kicha.
> Wystarczy przekierowanie komórki kolegi na prepayda albo budkę telefonicznš
> i parę danych do wyprowadzenia kasy z jego konta.

Wie ktos, czy przy aktywnej liscie hasel trzeba podac numerek by zmienic telekod?


--
* Filip Ozimek * filip(at)zamoyski.edu.pl * kiedys 2:480/33.56 *

Made with 100% recycled materials. No electrons were destroyed to write
this mail.

do góry

W ogóle w bankach jest problem z autoryzacją nie użytkownika a użytkownika
przez bank. Jeśli zadzwonie do osoby która ma konto w inteligo lub mbank i
wypowiem formułkę najlepiej dzwoniąc z numeru Łódzkiego (mbank) lub lubelskiego
(inteligo) "W celu weryfikacji proszę o podanie imienia i nazwiska, adresu
zamieszkania, numeru konta, nazwiska panienskiego matki etc to na 100 ludzi
powie mi 30-40. Powodem dla którego dzwoni bank może być dowolna informacja
typu czy pan zgłaszał przelew do operatora komórkowego - z 10 mln ludzi którzy
mają komórki pewnie 1/5 ma konto w virtualnym. Powodzenie murowane.
Z takimi danymi można próbowac w bankach, sporo ludzi ma dwa konta w inteligo i
mbank więc za jednym telefonem do użytkownika można próbować w "drugim" banku.
Banki nie są zabezpieczone lub nie chcą być zabezpieczone przed
techniką "social engineering". Wystarczyłoby poinformowac, że bank będzie się
kontaktował z klientem tylko w zdefiniowanych przypadkach.

Wystarczy zrobić testy a swoją drogą szkoda że żadne czasopismo nie zrobiło
testów zabezpieczeń.

szkoda. bo odpowiedzialność banków wtedy jest żadna.

Pamiętajmy pilnujmy danych i numerów kont.



--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

----- Original Message -----
From: "Filip Ozimek" <w...@z...edu.pl>
Newsgroups: pl.biznes.banki
Sent: Monday, January 21, 2002 9:18 PM
Subject: Re: Bezpieczeństwo naszych pieniędzy w mBanku /dlugasne troche/
>
> Wie ktos, czy przy aktywnej liscie hasel trzeba podac numerek by zmienic
telekod?

W internecie możesz zablokować wszystkie kanały, zmienić hasło bez użycia
hasła jednorazowego ale jak będziesz chciał wycofać przelew z datą przyszłą
to zapyta Cię o hasło.
Nawet jak będziesz chciał odblokować którykolwiek kanał dostępu to nie i w
tym właśnie sęk bo można by choć do tego wykorzystać hasła jednorazowe.

do góry