eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiPKO BP IKO - mistrzowie procesuRe: PKO BP IKO - mistrzowie procesu
  • Data: 2016-04-01 22:50:00
    Temat: Re: PKO BP IKO - mistrzowie procesu
    Od: janek z pola <a...@e...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Michal 'Amra' Macierzynski wrote:

    > W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola
    > napisał:
    >> Witam,
    >>
    >> jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji
    >> przelewów na apce mobilnej IKO:
    >>

    [...]

    >
    > Tablet nie moze byc pierwszym urzadzeniem - musi byc jakis pierwszy
    > telefon. Potem juz sie da to zrobic - przynajmniej 500k tysiecy klientow
    > nie mialo z tym problemow. Po co? Dla bezpieczenstwa - czynnik bialkowy
    > moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest
    > klient banku z numerem, ktory jest zarejestrowany w banku - a nie
    > przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim

    Fajnie, że się odezwałeś, bo najbardziej liczyłem na Twoją odpowiedź. Tyle,
    że do dzisiejszego dnia mój pogląd na ten proces się zmienił - po pierwsze
    po rozmowach z konsultantami PKO BP, a po drugie po przeczytaniu Twojej
    odpowiedzi.

    Ale po kolei.

    Pierwsza sprawa jest taka, że konsultanci PKO BP oddzwaniają o godzinie
    07:30. Pozdrawiam. Ponieważ próbowałem aktywować aplikację 2 razy, to potem
    drugi telefon był o 08:30. Uznałbym, że to złośliwość pierwszej konsultantki
    z którą rozmawiałem... ale telefony o 07:30 miałem i w czwartek i w piątek,
    mimo że w czwartek zaznaczyłem w rozmowie, że proszę o kontakt w piątek po
    10:00. Rozumiem, że skoro ja śpię o tej godzinie, to prawdopodobnie oznacza,
    że nie jestem w profilu typowego klienta PKO BP. Widocznie typowy klient PKO
    BP nie śpi o 07:30.

    Przechodząc do adremu. Ten proces jest dla mnie jeszcze bardziej zagadkowy.
    Teraz piszesz, że "pierwszym urządzeniem nie może być tablet". Czyli
    rozumiem, że jako klient PKO BP instalując apkę IKO pierwszy raz i chcąc ją
    aktywować, muszę to zrobić z telefonu z kartą SIM. Ale instalując ją kolejny
    raz, mogę już to zrobić na tablecie bez karty SIM? To gdzie tu logika,
    przecież ten rzekomy przestępca może "atakować" klientów, którzy apkę
    mobilną już mają na telefonie - i jak rozumiem w przypadku takich klientów
    weryfikacji po SIM już nie ma?

    > numerze. Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i
    > powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP -
    > klient potwierdza. IKO generalnie jest w tej wersji na telefony nie na
    > tablety, wiec... trzeba poczekac na wersje na tablety

    To teraz Cię zaskoczę - ten proces nie wygląda tak. Ja byłem przekonany, gdy
    pisałem tego poprzedniego posta, że proces aktywacji pełnej funkcjonalności
    IKO wymaga przesłania SMSa do PKO BP. Niestety nie. Jest gorzej.

    Okazuje się, że apka mobilna PKO BP IKO podejmuje na telefonie, na którym
    jest wykonywana aktywacja pełnej funkcjonalności, próbę odczytania numeru
    telefonu. To jest kuriozum. Zgodnie ze wszelkimi dostępnymi materiałami dla
    systemu Android nie ma możliwości pozyskaniu numeru telefonu na systemie
    Android. Jest tak, ponieważ karta SIM nie ma takiej funkcjonalności. Karta
    SIM ma numer IMSI i tylko operator telekomunikacyjny wie, jaki numer IMSI
    wywołać w przypadku gdy ktoś się próbuje dodzwonić na numer telefonu XYZ.

    Ale dokumentacja jedno, a praktyka drugie. Mimo, że zgodnie ze standardem
    SIM, numer telefonu nie jest zapisany na karcie, to czasami operatorzy
    telekomunikacyjni jednak gdzieś go tam umieszczają. I teraz apka PKO BP IKO
    wykonuje ekwilibrystykę informatyczną, starając się pozyskać numer MSISDN
    (czyli numer telefonu w formie +XX XXX XXX XXX).

    Jeżeli aplikacji się to uda, to wykonywane jest zapytanie do API PKO BP.
    Takie zapytanie idzie po transmisji danych. Czyli to jest wywołanie
    internetowe, które nie ma nic wspólnego z siecią komórkową. Jeżeli na
    telefonie jest połączenie WiFi to idzie to po WiFi, a jak jest tylko sieć
    komórkowa to idzie po sieci komórkowej. Ale to zapytanie nie jest SMSem ani
    próbą połączenia telefonicznego, tylko jest to wywołanie internetowe.

    Jednak aplikacji PKO BP IKO wprowadza klienta w błąd, ponieważ na ekranie
    urządzenia pojawia się komunikat: "Potwierdź numer telefonu, na którym
    będzie aktywowana aplikacja IKO. Aby to zrobić, wyślij SMS nie zmieniając
    jego treści." Pod spodem jest przycisk "Wyślij SMS" oraz dodatkowa notatka
    "Opłata za SMS zostanie pobrana według stawek Twojego operatora". Otóż nie.

    Nie jest wysyłany żaden SMS - tzn. uściślając - w moim przypadku aplikacja
    PKO BP IKO dla systemu Android - apka w wersji 3.33.22 dla Androida w wersji
    4.2.1 (czyli jest to jak rozumiem tzw. nowsza aplikacji IKO) - okłamuje
    klienta, ponieważ wywala na ekran dialog "wyślij SMS" a tak naprawdę
    wykonuje pod spodem żądanie API do serwerów PKO BP, które jest wysyłane po
    sieci komputerowej i nie ma nic wspólnego z SMSem, który jest wysyłany po
    sygnalizacji GSM/UTMS/HSDPA/etc.

    Moim zdaniem to jest draństwo ze strony PKO BP. Tym bardziej, że bank jest
    tego świadomy. Dzisiaj konsultant w trakcie aktywacji mojej aplikacji
    przekazał mi, że bank sobie doskonale zdaje sprawę, że nie jest tam wysyłany
    żaden SMS, ale PKO BP używa nazwy "SMS". O ile dobrze rozumiem, to powodem
    używania nazwy "SMS" na ten rodzaj komunikacji jest to, że taka nazwa dobrze
    się kojarzy klientom. Rozumiem, że klientom jest miło, jak się ich okłamuje,
    że będzie wysłany SMS.

    >
    > Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at)
    > pkobp . pl - podaj tez model telefonu, wersje androida, czy jest
    > zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc.

    Wiesz, ja sobie tego posta, którego teraz czytasz, rozszerzę o dodatkowe
    informacje, wytnę te cytaty z Twojego posta i prześlę formalnie jako
    reklamację do PKO BP. To jest draństwo, żeby żerować nie niewiedzy klientów
    i wmawiać im, że aktywacja przebiega poprzez wysłanie SMSa, podczas gdy tak
    naprawdę aplikacji wykonuje zapytanie API po sieci komputerowej i przesyła
    do PKO BP dane o urządzeniu (numer telefonu jaki zdobyła w sposób wprost
    opisany w dokumentacji systemu Android jako nieistniejący).

    Stawiacie się na poziomie przestępców, którzy piszą aplikacje przechwytujące
    SMSy autoryzacyjne. Tam też jest tak, że aplikacja ma opisane, że robi
    czynność A podczas gdy tak naprawdę robi czynność B.

    Oczywiście niezależnie od wprowadzania klientów w błąd, sam proces aktywacji
    obejmujący niby potwierdzenie numeru telefonu jest moim zdaniem bardzo
    przekombinowany. Tym bardziej, że aplikację aktywowałem w rozmowie
    telefonicznej na jakiś zupełnie inny numer telefonu. Po prostu nie rozumiem,
    dlaczego PKO BP wytacza armatę w postaci opisanego powyżej procesu na
    potwierdzanie numeru telefonu, skoro można ten proces obejść używając
    dowolnego numeru telefonu poprzez 2-minutową rozmowę telefoniczną z bankiem.

    --
    Wysłane z pola.



Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1