Alf/red/ <a...@u...waw.pl> writes:

> Gdzieś dziś czytałem jak. Kolesie ukradli (nie wiem czy liczba mnoga
> jest zasadna) tożsamość kobity,

No ale co dokładnie "ukradli"?

> najpierw zablokowali dostęp przez
> internet, a potem telefonicznie zmienili numer komórki z
> powiadamianiem SMS. No i natychmiast przelali.

No ale najpierw podobno zalogowali się przez Internet. To mógł być
rzeczywiście np. key logger lub inna strona wyłudzająca hasła,
i w związku z tym klientka przyczyniła się do całej sprawy. Z tym, że
to bank wybrał takie a nie inne możliwości identyfikacji klienta
(najtańsze dla niego), typowy klient nie jest w stanie żadnym sposobem
zapewnić bezpieczeństwa tym informacjom (login + pojedyncze hasło).
Zresztą nietypowy także nie, włamania dotyczą przecież nawet firm
specjalizujących się w bezpieczeństwie.

Później poszło już z górki? Przestępcy potrzebowali już tylko danych,
które można względnie łatwo zdobyć (np. nazwisko panieńskie matki).

Dostęp telefoniczny ustawili sobie przez Internet?

> Pani dostała wiadomość
> o zmianie około 11-tej, ale nie odczytała aż do wieczora, kiedy
> stwierdziła, że to musi być jakiś błąd, i olała.

Zresztą było już "po ptokach", bez znaczenia, ale oczywiście to był jej
kolejny błąd, którego nie powinna robić.

Wniosek jest IMHO taki, że procedury banku były (są?) wadliwe. Jeśli
hasła jednorazowe są wymagane do zapewnienia bezpieczeństwa
niezdefiniowanych przelewów (bo sam login + hasło nie są wystarczająco
bezpieczne) - to wszelkie możliwości "obejścia" konieczności podania
hasła jednorazowego (bez podawania np. lepiej strzeżonych danych) są
dziurą w procedurze.

Jeśli ktoś zgubi listę haseł jednorazowych, nie będzie miał telefonu
o zdefiniowanym numerze itp. - no to trudno, może niestety powinien
pofatygować się z dowodem osobistym do oddziału banku? To oczywiście
także jest jakieś ryzyko banku (normalne ryzyko prowadzenia działalności
gospodarczej), ale jednak jest ono znacznie mniejsze niż w przypadku
pytań o jakieś nazwiska panieńskie itp.
--
Krzysztof Hałasa