Re: mBank wycofuje listy haseł jednorazowych - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › mBank wycofuje listy haseł jednorazowych › Re: mBank wycofuje listy haseł jednorazowych

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed2.atman.pl!newsfeed.atman.pl!go
blin1!goblin.stu.neva.ru!newsfeed.neostrada.pl!unt-exc-01.news.neostrada.pl!unt
-spo-a-02.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
Subject: Re: mBank wycofuje listy haseł jednorazowych
Newsgroups: pl.biznes.banki
References: <5...@4...net>
<5...@g...com>
<m...@p...waw.pl> <5c4aeded$0$31099$65785112@news.neostrada.pl>
<m...@p...waw.pl>
From: Michał Jankowski <m...@f...edu.pl>
Date: Mon, 28 Jan 2019 12:53:27 +0100
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101
Thunderbird/52.2.1
MIME-Version: 1.0
In-Reply-To: <m...@p...waw.pl>
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Language: pl-PL
Content-Transfer-Encoding: 8bit
Lines: 54
Message-ID: <5c4eed38$0$484$65785112@news.neostrada.pl>
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 193.0.80.79
X-Trace: 1548676409 unt-rea-a-02.news.neostrada.pl 484 193.0.80.79:34712
X-Complaints-To: a...@n...neostrada.pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:640681
[ ukryj nagłówki ]
W dniu 25.01.2019 o 20:42, Krzysztof Halasa pisze:
> Michał Jankowski <m...@f...edu.pl> writes:
>
>> Jak się nie obrócić, dupa z tyłu.
>
> No niestety :-(
>
>> W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...
>
> Podejrzewam że bankowcy to ocenili i odrzucili, niestety.
>
> W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
> a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
> komputera, ale np. długo nie wykonujemy operacji wymagających
> zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
> ruch. Raczej nieistotny przypadek.
> b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
> np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
> (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
> dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
> ten ktoś potrafi sprawić, że dostanie).
> c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
> może to bardziej kwestia procedur niż techniki.
>
> To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
> chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
> telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
> tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
> jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
> pokryć statystycznie koszty całego włamania).

Wydajemisie, że połączony atak typu - podmieńmy numery kont na
ekranie komputera i równocześnie ukradnijmy komuś numer telefonu na
dowód kolekcjonerski to jednak rzadko się zdarza. A zainfekowanie
telefonu, to w ogóle nie wiem...

>
> Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
> tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
> wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
> dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
> problem).
>

Z tym, że jeszcze niedawno sporo banków przysyłało smsy, w których nie
było co czytać. Np. w citibanku jeszcze w czerwcu sms miał treść
'Autoryzacja transakcji. Kod: 123456. Citi Handlowy'.

A w ogóle, to jeśli faktycznie dowody kolekcjonerskie są nie do
odróżnienia, to bierzemy taki dowód, idziemy do banku, zmieniamy wzór
podpisu i hulaj dusza. Co prawda marmurowy PKOBP ostatnio w kasie
wypłaca też na sms, ale przecież nie muszę mieć telefonu w ogóle...

MJ