On 2020-12-10, Michal Jankowski <m...@f...edu.pl> wrote:

[...]

> Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
> 1. Przejąć numer telefonu (kartę sim)
> 2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)

A teraz przy apce:
Pierwsze zalogowanie z nowego urządzenia przez www wymaga
autoryzacji. Jeśli autoryzacja jest robiona przez SMS, to
jesteś w domu (bo np. sklonowałeś SIMa).

Jeśli przez apkę, to push autoryzacyjny albo nie wyjdzie,
albo wyjdzie na oryginalne (stare) urządzenie [1], a nie na nowe.

[1] do końca nie wiem jak się zachowa push na urządzeniu z internetem,
ale bez działajacej karty SIM

> Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na swoim
> telefonie.

No nie do końca, bo nie będzie miał 2, a do aktywacji apki (w przypadku
mBanku) są wymagane inne dane niż do logowania przez www. Oczywiście
roboczo można założyć, że przygotowany złodziej może i te dane znać,
ukraść dowód, czy cokolwiek tam jeszcze, ale przed czymś takim,
to nie wiem czy się da zabezpieczyć inaczej niż rezygnując z konta
i trzymając gotówkę w sejfie :-)

--
Wojciech Bańcer
w...@g...com