W dniu 2015-03-17 o 21:36, jj pisze:
> Zrozumiałem wszystko - skoro rzadko zmieniają to jednak czasem zmieniają. Ergo -
pomysł by na tej podstawie kogoś uwierzytelniać jest do dupy.

Według Ciebie. Tylko dlaczego chcesz narzucać swoje wizje
kilkudziesięciu milionom klientów?

Uwierzytelnianie na podstawie IP i mac-adresów w LAN jest stosowane od
dawna i świetnie się sprawdza.

>> Tak Ci się wydaje.
>
> Kolejny rzeczowy argument.

Uznajesz jedynie swoje tezy. Ja jestem za wyborem - Ty za narzucaniem
jedynie słusznej woli. Nie dogadamy się.

>> Przyznam, że kopiuj-wklej w pismach do różnych klientów to jednak
>> przegięcie... dla mnie.
>
> Zachowanie banku to jest inny temat (który mnie nie interesuje i o którym nie mam
ochoty dyskutować).

Rzeczywiście "kolejny rzeczowy argument" ;-) Zachowanie banku to akurat
sprawa kluczowa, bo gdyby bank zabezpieczył to, za co mu płacą problemu
by nie było. Skoro nie zabezpieczył - mógł się ubezpieczyć tudzież
przejąć odpowiedzialność. Jeśli nie jest w stanie - nie świadczyć
usługi. Cały ten problem to zachowanie banku w sytuacji kradzieży środków.

--
-----------
Pozdrawiam
Szymon

do góry

W dniu 2015-03-17 o 16:47, S pisze:

> Nieprawda. Ja - podobnie jak poszkodowani i pewnie większość klientów -
> loguję się z jednego komputera: domowego. Mam stałe IP. Zatem tak jak
> podaję jeden, konkretny numer telefonu do autoryzacji, tak mógłbym
> podawać IP, z którego można się logować. Już. Rozwiązałem Twój
> niemożliwy do rozwiązania problem.

Nie zrozumiałeś problemu, atak może zostać przeprowadzony z użyciem
Twojego IP i komputera.

do góry

W dniu 2015-03-17 o 21:53, MarcinF pisze:
> Część winy ponosi ten który zdecydował, że jedynym zabezpieczeniem
> tego mieszkania jest łatwy do skopiowania klucz.

Więcej nawet... jeśli nie masz odpowiednich zabezpieczeń to
ubezpieczyciel może odmówić usługi (np. AC w niektórych TU wymagają co
najmniej 2 zabezpieczeń auta przed kradzieżą).

> Po stronie banku jest do dyspozycji sporo mechanizmów zabezpieczających,
> więc jeśli narzuca hasła jednorazowe jako jedyne zabezpieczenie to na
> pewno nie robi wszystkiego co by mógł by chronić klientów.

Czasami wręcz celowo rezygnując ze sprzętowego tokena na rzecz SMS lub
tokena w telefonie. Jeśli dodamy do tego możliwość mobilnego dostępu do
konta to przy marnym zabezpieczeniu przejęcie telefonu może oznaczać, iż
Klient narażony jest na utratę oszczędności.

> Rozumiem jeśli bank nie wydaje na zabezpieczenia bo taniej mu wychodzi
> oddawanie skradzionej kasy klientom, ale opisanym przypadku kasy nie
> oddał. Z oświadczenia nie wynika też, że bank dokłada wszelkich starań
> by do takich sytuacji unikać przez używanie dodatkowych zabezpieczeń.
> Może ich nie posiada wcale, albo się nie przyznaje do nich skoro w tym
> przypadku zawiodły, za to wyraźnie i całkowicie odciął się problemu.

Nie tylko na tym taniej wychodzi, ale wręcz zarabia. Złudą jest
myślenie, iż z tych 35 mln cała kwota trafiła do złodziei. Bank policzył
za przelewy, przewalutowania, być może też wypłaty w obcych bankomatach
itd. To wszystko są bardzo kosztowne usługi.

Doprawdy zastanawiające, że tego nie dostrzegacie...

--
-----------
Pozdrawiam
Szymon

do góry

W dniu 2015-03-17 o 22:00, MarcinF pisze:
> Nie zrozumiałeś problemu, atak może zostać przeprowadzony z użyciem
> Twojego IP i komputera.

Tylko wtedy, gdy dobierzesz się do mojego komputera i IP, a to wymaga
włamania do lokalu. Innej opcji nie ma. Za dużo filmów oglądacie ;-)

--
-----------
Pozdrawiam
Szymon

do góry

Użytkownik "S" napisał w wiadomości grup
W dniu 2015-03-17 o 20:05, J.F. pisze:
>> Do jednostki ? Jak najbardziej tak, choc tam raczej zwyczaj ze
>> obcych
>> cywili nie wpuszcza sie samopas.
>> Ale jak pokazesz legitymacje oficerska i powiesz "sluzbowo do
>> kwestury",
>> czy jak to sie tam nazywa, to pewnie spisza i wpuszcza

>Na podstawie jednego patologicznego przypadku nie wnioskuj o całości.

Ja mysle ze to nie jeden przypadek tylko norma.
Jednostka nie wiezienie, ludzie tam przychodza, wychodza.
Jest wartownia, na wartowni spytaja do kogo, spisza, do jednych gosci
wezwa kogos do odprowadzenia, do innych nie.


>> W banku do skarbca nie wpuszcza sie kazdego ... ale co za problem
>> sie w
>> banku zatrudnic ?
>> Dowod osobisty potrzebny :-)
>> Sprzatac tam tez chyba ktos czasem musi :-)

>No właśnie... i tylko DO potrzeby, czy jeszcze "ciut" więcej? ;-)

CV, list motywacyjny i takie tam :-)

>Ostatnio wyprosili mnie i innych klientów na kilka chwil z oddziału
>Aliora, bo pieniądze z sejfu do kasy transportowali. O swoje dbają...

a wystarczy sie zatrudnic w ochronie :-)

>> WH tez przewiduje rozne formy wspol/pracy, ale tu jest szansa ze
>> SS/FBI
>> przeswietli przed zatrudnieniem.
>W PL pewnie jeszcze trzeba zaświadczenia o niekaralności, stosownego
>wykształcenia i wbrew pozorom określonych uprawnień.

Na falszywy dowod zaswiadczenie chyba dostaniesz ... no chyba ze
falszywe personalia byly karane :-)
wyksztalcenie ... przy tej ilosci roznych szkol to pewnie wystarczy ze
powiesz "doniose dyplom pozniej" :-)

>To nie jest tak, że zaczynasz pracę i od ręki masz dostęp do
>wszystkiego jako człowiek z ulicy.

Nie mowilem ze nie. Oczywiscie - wszystkie drzwi nie stoja od razu
otworem.
Ale z innym zaufanym pracownikiem do skarbca moze i wejdziesz.
Trzeba tylko postarac i byc pod reka gdy bedzie potrzeba cos ciezkiego
przyniesc :-)

>To tylko gdy chodzi o dorobek życia Klienta wystarczy hasło czy
>dwa...

No coz, dawniej wystarczyl dowod ...

J.

do góry

S <a...@w...pl> writes:

> W dniu 2015-03-17 o 22:00, MarcinF pisze:
>> Nie zrozumiałeś problemu, atak może zostać przeprowadzony z użyciem
>> Twojego IP i komputera.
>
> Tylko wtedy, gdy dobierzesz się do mojego komputera i IP, a to wymaga
> włamania do lokalu. Innej opcji nie ma. Za dużo filmów oglądacie ;-)

Jesteś bardzo pewny siebie w tym temacie. To raz.
Dwa. Owszem, może 1 czy 2 % ludzi potrafi się zabezpieczyć i syfu nie
złapie. Może kolejnych 10 % się zastanowi. Ale pozostaje >70% prywatnych
kompów które spkojnie można zainfekować.
KJ (który już parę zasyfionych maszyn widział)

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
"Sęk w tym, że człowiek rozumny jest statystycznie głupi" - Stanisław Lem.

do góry

W dniu 2015-03-17 o 22:10, J.F. pisze:
>> Na podstawie jednego patologicznego przypadku nie wnioskuj o całości.
>
> Ja mysle ze to nie jeden przypadek tylko norma.

Niestety nie. Ja to wiem.

> Jednostka nie wiezienie, ludzie tam przychodza, wychodza.

Tak, gdy mają przepustkę. Tę wystawia komendant jednostki.

> Jest wartownia, na wartowni spytaja do kogo, spisza, do jednych gosci
> wezwa kogos do odprowadzenia, do innych nie.

Tyle z filmów. Rzeczywistość troszkę jest inna.

>> Ostatnio wyprosili mnie i innych klientów na kilka chwil z oddziału
>> Aliora, bo pieniądze z sejfu do kasy transportowali. O swoje dbają...
>
> a wystarczy sie zatrudnic w ochronie :-)

No to już wiemy, że na pewno nie jesteś informatykiem, na pewno nie
pracowałeś w wojsku i na pewno nie masz pojęcia o ochronie mienia i
konwojowaniu gotówki.

> Na falszywy dowod zaswiadczenie chyba dostaniesz ... no chyba ze
> falszywe personalia byly karane :-)

Na pewno.

> wyksztalcenie ... przy tej ilosci roznych szkol to pewnie wystarczy ze
> powiesz "doniose dyplom pozniej" :-)

Oczywiście. Do tego pozwolenie na broń dostaje się na legitymację
gimnazjum. A nieee... sorrry... do konwojowania gotówki to proca
wystarczy, prawda?

> Nie mowilem ze nie. Oczywiscie - wszystkie drzwi nie stoja od razu otworem.
> Ale z innym zaufanym pracownikiem do skarbca moze i wejdziesz.

Sejf może w przeciętnym oddziale. Ten skarbiec to w centrali raczej.
Tak, wejdziesz.

> Trzeba tylko postarac i byc pod reka gdy bedzie potrzeba cos ciezkiego
> przyniesc :-)

Nie. Standardowe szkolenie pracowników placówek bankowych.

>> To tylko gdy chodzi o dorobek życia Klienta wystarczy hasło czy dwa...
>
> No coz, dawniej wystarczyl dowod ...

Tak... a zatem złodziej ryzykował ujawnieniem twarzy (monitoring),
wezwaniem ochrony w przypadku wątpliwości, wreszcie... nie mógł ogolić
konta w PL będąc w Argentynie ;-)

--
-----------
Pozdrawiam
Szymon

do góry

Użytkownik "S" napisał w wiadomości
W dniu 2015-03-17 o 19:33, J.F. pisze:
>> Sobie moze rozwiazales, ale wielu innych nie ma stalego IP.
>> Podziekuj TP.
>Nadal twierdzę, iż nie jest problemem ograniczenie dostępu do
>providera, Polski itd.

>> Wielu wychodzi przez proxy. Klient tez chce miec dostep z domu, z
>> pracy.
>Ale nie z Peru, Argentyny, byłego ZSRR, Bułgarii, Rumunii, Alaski
>itd. "W domu i z pracy" eliminuje 95% fraudów. Całkiem niezły wynik.

No wiesz, mnie sie czasem zdarza wyjezdzac za granice ..

>Uszczelnić jeszcze przelewy,

I miec 95% zwrotow ?

> wzmocnić bezpieczeństwo kart

Popieram.

>i ograniczyć łatwość zakładania lewych kont

bedzie trudno.

>i dojdziemy do 99%. Nadal powstaje pytanie dlaczego jest coraz gorzej
>z bezpieczeństwem?

Nie jest gorzej. Jest lepiej. Przestepcy sie rozwijaja, banki sie
rozwijaja.

>> Mozna by sie spytac czemu zaden bank tego nie oferuje ...
>Proste: kasa. Bank pobiera opłaty za przelewy międzynarodowe,
>przewalutowanie itd. Źródło dochodu i tyle.

Nie, myslisz ze na prowizji od fraudu mu sie zwroci ?

Moze nie ma zapotrzebowania, moze nie wpadli na ten pomysl, moze
uznaja ze 90% sobie nie poradzi z konfiguacja.

>> moze zbyt
>> minimalny, a moze nie maja ochoty miec infolinii zajetej
>> zmienianiem IP
>> klientom.
>Znowu przesada. Numer telefonu też się podaje i jakoś nie ma z tym
>problemu.

Bo sie go nieczesto zmienia :-)

>> No i ... jak masz odpowiedniego wirusa na komputerze, to czemu nie
>> mialby i pakietow do banku przetunelowac ?

>Bo to bajka dla naiwniaków.

Niestety nie.

>Na poziomie tej, iż Eurobank wskazał na bliżej nieokreślonego wirusa
>nie widząc nawet komputera, z którego się logowano. Kaszpirowski
>normalnie ;-) Skan na odległość.

No coz, nie wiem co tam bylo, ale taki wirus/trojan calkiem mozliwy
jest.
A jak chcesz ograniczyc blokade do operatora, to nie musisz nawet sam
go zlapac :-)

>>> Pewnie jakieś 10 lat temu pojawiły się chipy w kartach.
>>> Niekopiowalne.
>>> Banki uznały, że rok, może dwa i po dostosowaniu czytników karty
>>> nie
>>> będą miały pasków, co wyeliminuje skimmerów. Tylko chip i PIN.
>>> Minęła
>>> kupa czasu, a nadal nie umiem wskazać banku, w którym karta
>>> płatnicza
>>> byłaby tylko na chip.
>
>> Silna opozycja w USA. Tam paski sie sprawdzaja, a sa tanie.
>A u nas się nie sprawdzają i co? Nadal nie mam wyboru.

A moze sie jednak sprawdzaja ?
Zreszta pasek moze byc, a bank ponoc i tak moze odmowic wyplaty na
zasadzie: karta chipowa, terminal chipowy, to czemu z paska korzystaja
?

>> Francuskie trzeba by sprawdzic - oni mogli byc przodujacy i chip
>> only
>> wprowadzic.
>Chip jest od wielu lat. Tymczasem łatwiej o naklejkę zbliżeniową
>tudzież jakiś breloczek niż kartę z samym chipem. Jak widać po tym
>niebezpieczne rozwiązania są o wiele chętniej stosowane niż
>bezpieczne.

A to swoja droga ... choc prawde mowiac to one az tak bardzo
niebezpieczne nie sa.
Wyprowadzenie gotowki przez hackerow wymagaloby zarejstrowania firmy,
zostania klientem, a potem szybko by ktos zwrocil uwage ze wyjatkowo
duzo reklamacji w tej firmie.

Bardziej bym sie bal studentow, co by wodke kupowali na zdalny dostep
:-)

>> Ale wiesz - wnioski sa tez takie, ze na swiecie na tych przekretach
>> kartowych to wlasnie banki traca.
>> Czyzby tracili mniej niz zarabiali ?
>A kiedy tracą? Jak się konkretnym przypadkiem media zainteresują ;-)
>Zwróć uwagę, iż banki umywają ręce.

Polskie. Amerykanskie nie umywaja, bo by dawno klientow stracily.
U nich ten system dziala od pol wieku bez zadnych zabezpieczen.

>W piśmie Eurobanku było stwierdzenie, iż "nie są stroną sporu". Ta
>sama retoryka przy foreksie, polisolokatach, ubezpieczeniach itp.
>produktach oferowanych przez bank, na których klient nie ma szans
>zarobić.

O przepraszam, na forexie klient ma szanse zarobic. Tzn wykluczyc nie
mozna.

J.

do góry

W dniu 2015-03-17 o 22:13, Kamil Jońca pisze:
> Jesteś bardzo pewny siebie w tym temacie. To raz.

Owszem, bo to nie jest takie niezwykłe. Zawsze najsłabszym ogniwem jest
człowiek.

> Dwa. Owszem, może 1 czy 2 % ludzi potrafi się zabezpieczyć i syfu nie
> złapie.

To trzeba tak zabezpieczyć resztę, by system niwelował ich błędy.

Może kolejnych 10 % się zastanowi. Ale pozostaje >70% prywatnych
> kompów które spkojnie można zainfekować.

I to problem banku, by zabezpieczyć konta klientów.

> KJ (który już parę zasyfionych maszyn widział)

OK, ale to nie jest tak, że wirus=ogolone konto. Dużo rzeczy musi
zaistnieć, by to konto ogolić. Bez większego problemu możesz się
dowiedzieć, jaki mam IP. Wiesz też, że mam konto w Eurobanku. Zapraszam
do podjęcia próby zainfekowania mojego systemu, skoro to taki banał.
Przekonasz się, że to nie jest takie proste nawet przy niskim
bezpieczeństwie, jakie banki dziś oferują.

--
-----------
Pozdrawiam
Szymon

do góry

jj pisze tak:

> Telecomy sa odpowiedzialne za wirusy na smartfonach, dealerzy
> samochodowi za niezmieniony olej i starte klocki hamulcowe, a
> linie lotnicze za ważność twojego paszportu. No weź.


Nie to jest lenistwo banku i jakiś głupi strach żeby nie zdenerwować
narwańców.

Jeśli pan Nikt co ciuła na ekstra emeryturę ma na koncie 98tyś i
raptem robi przelew na -98tyś to system powinien to zasygnalizować a
przelew trafić np do jednodniowej poczekalni a słuchawka powinna
zadzwonić czy pan Nikt faktycznie chce zrobić taki przelew.

Przecież i tak przelewy kwitną w weekendy. Pieniędzy już nie ma i
jeszcze nie ma.


Kiedy na moim koncie w UK wykryli "podejrzaną aktywność" od razu
zadwonii. Można? można.


--
Piter

w banku bądź czujny jak pies podwójny!

do góry