On 2020-12-29, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> A który nie poda Ci imion + nazwiska, adresu zamieszkania i salda?
>
> Saldo poda - ale nic mi z niego.

Tobie nic. Złodziejom pozwala typować ofiary.

> Adres zamieszkania, skąd miałby wiedzieć? :-) Też niepotrzebny.

A które potwierdzenie przelewu, czy wyciąg go nie zawieara?

>> PESEL (lub NIP) masz np. w numerze rachunku do skarbówki, wystarzy że
>> np, opłacasz co miesiąc przelew za podatek PPE (ryczałtowy).
>
> Co miesiąc - to chyba trzeba "spełnić" jakieś ciekawe wymagania.
> Tak czy owak, to nie są tajne dane, więc jeśli bank na ich podstawie
> udziela dostępu do konta...

Przecież co miesiąc się wpłąca zaliczki na podatek ryczałtowy.
W drodze _wyjątku_ można co trzy, jeśli spełniasz warunki i złożysz
papiery w odpowiednim terminie.

Oczywiście ze te dane nie są tajne, a które dane osobowe niby są tajne?

>> Poza tym wektor ataku może być inny, tzn. po przejęciu przeglądarki
>> można poczekać na to by użytkownik sam zechciał zrobić jakąś operację
>> wymagającą potwierdzenia, podmienić wywołanie na definiujące przelew
>> zaufany i potem już z górki.
>
> No ale z SMSami to może nie przejść, jest (powinien być) numer konta.
> Wystarczy rzut oka i od razu widać, że coś jest nie tak. Jeśli ktoś nie
> sprawdza danych z SMSa, to ma problem - ale *może* sprawdzić.
> W przypadku pojedynczego urządzenia i jego przejęcia - nie ma żadnej
> obrony.

To pogadamy o tym jak ta Twoja prosta teoretyczna możliwość będzie
realizowalna praktycznie, a nie tylko teoretycznie. Jak na razie
przejmowanie telefonu nie jest takie proste, aplikacje bankowe mają
ograniczoną funlcjpnalność, ktorej z ich poziomu nie zmienisz,
a operacje wymagają nadal potwierdzania, czy to pinem użytkownika,
czy to biometryką.

--
Wojciech Bańcer
w...@g...com