Cytat:ZeuS zmanipuluje dane i wyśle od komputera klienta do systemu zlecenie na sto tysiecy
W przypadku dużych kwot dzwoni do klienta pracownik banku, który dodatkowo potwierdza zlecenie. Pamiętam, że kiedyś (może i nawet do dziś to działa) mogłem zlecić przelew z ING, który nie musiał być autoryzowany (pomimo, że nie był zaufany). Co bank to obyczaj (stosowali jakieś algorytmy, bo wiadomo bank oszczędzał na smsach).
Cytat:Karty zdrapki i tokeny wciąż są potrzebne i przydatne.
Zauważ, że typowego kowalskiego nie interesuje temat ochrony systemu. Ile razy słyszałem "wyłączyłem ochronę, bo avast blokował instalację wtyczki". Raz, dwa, trzy, kłopot gotowy. Zagrożenie podmieni stronę, a my nie wiemy co dokładnie autoryzujemy. Na tym polega wada kart.
Moim zdaniem, dobrym rozwiązaniem byłoby wysyłanie kodów wiadomością push (tu przykład jak mBank wykorzystuje push
[Aby zobaczyć linki, zarejestruj się tutaj]
przy powiadamianiu o nowej transakcji), którą możemy przeczytać po podaniu kodu PIN do aplikacji mobilnej (
[Aby zobaczyć linki, zarejestruj się tutaj]
). Wtedy kod nie jest odczytywany nawet jak inna aplikacja ma dostęp do smsów. Czy to by się sprawdziło, to pytanie do niebezpiecznika. Albo stosowanie coś ala blik, gdzie autoryzujemy w apce, po zalogowaniu.
Nowe pokolenie korzysta ze smartfonów, więc apkę mogą ściągnąć. Natomiast ci starzy korzystają ze "starych nokii", więc zainfekowanie telefonu im nie grozi (w kontekście sms-kodów).
(30.07.2016, 15:15)konti napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj]
Pamiętam, że kiedyś (może i nawet do dziś to działa) mogłem zlecić przelew z ING, który nie musiał być autoryzowany (pomimo, że nie był zaufany). Co bank to obyczaj (stosowali jakieś algorytmy, bo wiadomo bank oszczędzał na smsach).
W ING jest tak, że małe kwoty mogą być autoryzowane przez SMS, ale nie muszą, natomiast zlecenia na wyższe kwoty - zawsze.
(30.07.2016, 15:15)konti napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj]
Zauważ, że typowego kowalskiego nie interesuje temat ochrony systemu. Ile razy słyszałem "wyłączyłem ochronę, bo avast blokował instalację wtyczki". Raz, dwa, trzy, kłopot gotowy. Zagrożenie podmieni stronę, a my nie wiemy co dokładnie autoryzujemy. Na tym polega wada kart.
Jak typowego Kowalskiego to nie interesuje, to niech Kowalski nie wydziera się na Wykopie, że zły bank pozwolił na zarąbanie z konta hajsu, tylko niech siedzi cicho i cieszy się że dostał 20 tysięcy za swoją totalną głupotę.
Jedynym remedium na wszystkie problemy z bezpieczeństwem bankowości elektronicznej są testy kompetencyjne. Jak ktoś go nie zaliczy, to trudno - musi dybać do banku. Z dowodem osobistym.
Albo inaczej - każdy sobie rzepkę skrobie.
PS. Korbenn... wykopałeś temat sprzed 5 (słownie: pięciu) lat
...
Bohater, znalazł istniejący, zamiast niepotrzebnie kopiować nowy zakładań o identycznym tytule
Cytat:Wykopie, że zły bank pozwolił na zarąbanie z konta hajsu
Pieniążki
aż poszukałem tego wpisu, oczywiście java czeka na zaktualizowanie. 40k poszło.
Cytat:Jedynym remedium na wszystkie problemy z bezpieczeństwem bankowości elektronicznej są testy kompetencyjne.
KNF sugeruje oświadczenie
[Aby zobaczyć linki, zarejestruj się tutaj]
Testy tak jak w przypadku produktów inwestycyjnych w banku. Przykładowo w BZWBK:
Cytat:Test Wiedzy i Doświadczenia Klienta
Poniższa ankieta ma na celu dokonanie oceny Państwa doświadczenia i wiedzy w zakresie inwestowania w produkty inwestycyjne* i określenia, czy będą Państwo mogli ocenić poziom ryzyka związanego z oferowanym lub nabywanym produktem lub usługą inwestycyjną**. W przypadku zamiaru nabycia produktu ubezpieczeniowego o charakterze inwestycyjnym, zgodnie z odrębnymi przepisami prawa, mogą być Państwo poproszeni o przekazanie informacji niezbędnych dla dokonania oceny adekwatności tego produktu.
Oczywiście testy powinny być.
Już widzę jak 40-letni Janusz biznesu i 40-letnia Grażyna, jego żona, wypełniają test. Janusz walnie pięścią w stół i powie że on nie musi, bo on wie wszystko. A tak naprawdę jest ciemny jak świąteczny piernik. A żona będzie mu wtórować. Smutne to. W sumie to już kwestia kultury i poczucia pokory.
Oświadczenia będą o tyle lepsze od obecnej sytuacji, że bank po prostu będzie miał spokój. Jak przyjdzie krzykacz z zawirusowanym pecetem to mu się wyciągnie papier i sorry Winnetou, podpisałeś kwit żeś mądry. A tak naprawdę dureń. Ciekawe czy w tej sytuacji można gościa oskarżyć o składanie fałszywych oświadczeń
.
Amen.
Więc kwestia robi się filozoficzno-polityczna. Mi, czytając powyższe posty, przyszedł do głowy pomysł podpisywania różnych innych oświadczeń. Na przykład o znajomości zasad zdrowego trybu życia. Ile szpitale oszczędzą! zamiast leczyć choroby serca, odeślijmy pacjenta z kwitkiem, że jadł za dużo tłustego mięsa zapitego wódą!
Analogicznie, w przypadku ubezpieczenia samochodu, podpisanie kwitu, że znamy zagrożenia płynące z podróżowania razem z młodymi-gniewnymi polskimi kierowcami i ofiara stłuczki czołowej z szalejącym Sebonem jest sama sobie winna, że trafiła na takiego kierowcę na drodze i nie zastosowała zasad podwójnej ostrożności
Przypadek 2 chyba bliższy realiom Internetów pełnych dziadostwa, phishingu i różnych szkodników.
(30.07.2016, 18:44)Mcin napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj]
Na przykład o znajomości zasad zdrowego trybu życia. Ile szpitale oszczędzą! zamiast leczyć choroby serca, odeślijmy pacjenta z kwitkiem, że jadł za dużo tłustego mięsa zapitego wódą!
Mi pielęgniarka powiedziała: trzeba było nie chorować.
Myślę że oświadczenie byłoby okej, gdyby ludzie wiedzieli co podpisują.