On 2016-04-03, Michal 'Amra' Macierzynski <m...@g...com> wrote:
> W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech Bancer
napisał:
>> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
>>
>> [...]
>>
>> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
>> > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
>> > banku, podszywajac sie pod klienta.
>>
>> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
>> W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
>> mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
>> i finito. Bez udziału czynników białkowych.
>>
>> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
niebezpieczne.
>
> Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to co
mowisz jest
> Twoim klientem.

Takie zabezpieczenie wystarcza do potwierdzenia przelewu, a nie wystarcza do
autoryzacji
aplikacji (z tego samego kanału)?

> Niestety ale i login i haslo i narzedzie autoryzacyjne mozesz przejac.

Zawsze i wszystko da się przejąć i bank nie ma na to wpływu.

> A przez ten telefon mozesz przelewac pieniadze, przesylac je on-line do innych

Tak samo możesz zrobić jak masz dostęp do konta i możliwość odczytania SMSów
autoryzacyjnych. :)

> bankow, wyplacac z bankomatu, etc. Co oznacza, ze standardowe antyfraudowe
> zabezpieczenia nie maja tyle czasu co w przypadku standardowej bankowosci
> internetowej.

To dlaczego w mBanku/BZWBK/Raiffaisenie to jakoś wystarcza?
Tylko PKO ma tak upierdliwą procedurę. :)

--
Wojciech Bańcer
p...@p...pl