Re: PKO BP IKO - mistrzowie procesu - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › PKO BP IKO - mistrzowie procesu › Re: PKO BP IKO - mistrzowie procesu

X-Received: by 10.157.59.194 with SMTP id k60mr307056otc.7.1459706762927; Sun, 03 Apr
2016 11:06:02 -0700 (PDT)
X-Received: by 10.157.59.194 with SMTP id k60mr307056otc.7.1459706762927; Sun, 03 Apr
2016 11:06:02 -0700 (PDT)
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
.pl!news.nask.org.pl!goblin3!goblin1!goblin.stu.neva.ru!news.glorb.com!nt3no735
1340igb.0!news-out.google.com!u9ni350igk.0!nntp.google.com!gy3no6769igb.0!postn
ews.google.com!glegroupsg2000goo.googlegroups.com!not-for-mail
Newsgroups: pl.biznes.banki
Date: Sun, 3 Apr 2016 11:06:02 -0700 (PDT)
In-Reply-To: <ndrb7j$1i99$1@gioia.aioe.org>
Complaints-To: g...@g...com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=79.185.163.181;
posting-account=jIpx_woAAACnR3f-oMhsD0lahM22Ioqh
NNTP-Posting-Host: 79.185.163.181
References: <ndhld6$16ur$1@gioia.aioe.org>
<9...@g...com>
<ndmmto$rq9$1@gioia.aioe.org>
<7...@g...com>
<s...@p...org>
<5...@g...com>
<ndrb7j$1i99$1@gioia.aioe.org>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <5...@g...com>
Subject: Re: PKO BP IKO - mistrzowie procesu
From: "Michal 'Amra' Macierzynski" <m...@g...com>
Injection-Date: Sun, 03 Apr 2016 18:06:02 +0000
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
Xref: news-archive.icm.edu.pl pl.biznes.banki:621818
[ ukryj nagłówki ]
W dniu niedziela, 3 kwietnia 2016 17:01:10 UTC+2 użytkownik janek z pola napisał:
> Michal 'Amra' Macierzynski wrote:
>
> > W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech
> > Bancer napisał:
> >> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
> >>
> >> [...]
> >>
> >> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak
> >> > robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie
> >> > czekaliby na telefon z banku, podszywajac sie pod klienta.
> >>
> >> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem
> >> standardowym? W sensie loguję się do swojego panelu na www, zgłaszam chęć
> >> podpięcia urządzenia mobilnego, podpisuję to SMSem, dostaję kod
> >> jednorazowy do aktywacji urządzenia i finito. Bez udziału czynników
> >> białkowych.
> >>
> >> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
> >> niebezpieczne.
> >
> > Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to
> > co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie
> > autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac
> > pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu,
> > etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle
> > czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy
> > wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad
> > tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze
> > aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta
> > (a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez
> > mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon
> > komorkowy,. ktory jest w systemie...
>
> Tak jak już wcześniej wspominałem, z tym ostatnim zdaniem nie mogę się
> zgodzić. Aplikacja wcale nie wysyła SMSa - może są jakieś przypadki gdy jest
> rzeczywiście przesyłany SMS - ale nie w mojej konfiguracji i również
> potwierdziły to na tej grupie 2 inne osoby.
>
> Gdyby się pojawiła treść SMSa na ekranie, to bym go wysłał z numeru
> zarejestrowanego do wiadomości banku. Tylko, że to się sprowadza do
> scenariusza: apka pokazuje na ekranie sekretny ciąg znaków i zadaniem
> klienta jest przekazanie tego ciągu znaków do banku - jako SMS z numeru
> zaufanego i wówczas bez czynnika białkowego LUB w rozmowie telefonicznej z
> pracownikiem banku.
>
> Taki proces zrozumiałbym. Ale nie rozumiem, dlaczego proponujesz nam taką
> wersję procesu jako fallback na proces, które jest rzeczywiście
> zaimplementowany. Tzn. rozumiem tyle, że według mnie ten zaimplementowany
> proces jest wielką armatą, z której trzeba oddać jeden mały strzał. Co
> więcej zamiast tego strzału można wyjąć tą kulkę i jako fallback podać
> przesłać ją do banku z innej, dużo mniejszej armatki, może nawet pocztą.
>
> Oczywiście nadal mam na uwadze, że ten fallback na wysyłkę SMSa z innego
> urządzenia jest niewykonalny, ponieważ tam żaden SMS nie jest wysyłany. Ale
> po co ta wielka armata, skoro fallback powoduje ten sam efekt, a wymaga
> znacznie mniej implementacji?
>
> --
> Wysłane z pola.

Bo tu nie chodzi o przekazanie tego ciagu znaku przez czlowieka - nie rozniloby sie
to niczym, gdyby na numer telefonu przychodzil SMS (jak w innych bankach), ktory
wpisujesz w telefonie czy na innym urzadzeniu.
W ten sposob weryfikujemy powiazanie urzadzenie - telefon z kartoteki klienta.
Jesli instaluejsz appke na telefonie, ktory nie jest w kartotece klienta w banku
(sprawdzamy ten numer poprzez wyslanie SMSa) - telefon np. z IVR kierowany jest nie
na ten telefon, ale telefon, ktory dodales w oddziale (i jest zarejestrowany w
banku). Albo ta "bialkowa" obdzweonka tez jest kierowana na numer z kartoteki.
Zauwaz, ze login i haslo mozna poznac poprzez zwykly phishing - ten kod, ktory
generuje telefon i przesyla do banku - mozna podobnie w ten prosty phishing przejac.
Moze Ty tego nie potrzebujesz- ale przy kilku milionach klientow niestety caly czas
widac, ze zlodzieje wykorzystuja ludzka naiwnosc.

Jesli aplikacja mobilna ma byc tak samo pelnoprawnym kanalem jak bankowosc
internetowa - musi byc bezpieczna.

A to wysylanie SMSow z androida - sprawdze jutro - tak jak pisalem - na swoim
androidzie mam wysylane SMSy, a samej platformy nie znam za bardzo i korzystam jako
3ciej przede wszystkim do HCE