20:53
7/8/2018

Tydzień temu opisaliśmy jak szajka przestępców okrada klientów polskich banków dzięki nielegalnie wyrabianym duplikatom kart SIM. Wydawało nam się, że w tamtym artykule dość jasno wskazaliśmy co należy robić, aby zminimalizować straty, w sytuacji gdy ktoś uzyska duplikat Waszej karty SIM. Mimo to, w komentarzach pod artykułem wielu (zbyt wielu) czytelników sugerowało innym czytelnikom niezbyt dobre działania prewencyjne, takie jak np. przejście na autoryzację transakcji za pomocą jednorazowych kodów z kart zdrapek…

Postanowiliśmy więc porównać wszystkie metody autoryzacji operacji w bankowości internetowej i raz na zawsze wytłumaczyć, dlaczego generalnie zdrapki to nie najlepszy pomysł. Oraz dlaczego każdy, kto może powinien jak najszybciej przejść na tzw. mobilną autoryzację, czyli potwierdzanie transakcji na telefonie komórkowym. Ale nie kodem z SMS-a, a “przyciskiem” w aplikacji mobilnej banku.

Ale podczas tworzenia tego artykułu stało się coś zaskakującego dla nas samych. Otóż, im bardziej przyglądaliśmy się temu jak wyglądają wdrożenia autoryzacji mobilnej w różnych bankach, tym więcej poważnych błędów zauważaliśmy i w przypadku niektórych banków wręcz dochodziliśmy do wniosku, że włączenie autoryzacji mobilnej nie da klientowi w zasadzie żadnego pożytku, a może wręcz wiązać się z dodatkowymi kłopotami.

Dlatego w tym tekście poruszymy też bardzo niewygodne dla banków minusy korzystania z autoryzacji mobilnej — te o których banki celowo (bądź przez przeoczenie ;) nie chcą głośno mówić. Bo autoryzacja mobilna, niestety, nie jest świętym Graalem, jak mylnie sądzą niektórzy bankierzy. Ale zacznijmy od początku.

Dlaczego “karty zdrapki” to zły pomysł?

W przypadku wykonywania transakcji na rachunku bankowym, z punktu bezpieczeństwa klienta, ważne są dwie sprawy. Nie tylko to KTO wykonuje transakcję (tu zresztą nigdy bank nie będzie mieć 100% pewności, że to faktycznie jego klient, a nie ktoś komu klient dał wszystkie potrzebne dane i urządzenia) ale przede wszystkim CO konkretnie jest przedmiotem wykonywanej transakcji.

Jest różnica, czy robimy przelew za usługę kurierską na 25 PLN, czy transferujemy 20 000 na rachunek przestępcy. A właśnie brak świadomości tego CO się potwierdza, jest największym problemem korzystania z jednorazowych kodów z karty zdrapki (lub kodów jednorazowych “z listy”). Jeśli komputer zostanie zainfekowany złośliwym oprogramowaniem albo jeśli ofiara nabierze się podczas zakupów na przekręt z fałszywym Dotpay’em (czyli de-facto phishing), to w przypadku “zdrapek” nie będzie miała żadnych szans, żeby zorientować się, że to co widzi na ekranie swojego komputera (np. potwierdzenie przelewu za usługę kurierską na kwotę 25 PLN) jest tak naprawdę czymś innym (potwierdzeniem przelewu na 20 000 PLN na konto przestępcy).

Zapamiętaj! Złośliwe oprogramowanie “w tle” może podmienić to co w przeglądarce widzi ofiara, a kod jednorazowy (w przeciwieństwie do komunikatu w SMS-ie lub komunikatu w mobilnej aplikacji banku) nie informuje czego dotyczy autoryzowana transakcja.

Jednym zdaniem: jeśśli korzystasz z kart zdrapek z kodami, to przestępca ma ułatwione zadanie. Wystarczy że zainfekuje tylko jedno Twoje urządzenie — komputer — i koniec. Tracisz oszczędności życia. Jeśli jednak korzystasz z kodów przesyłanych SMS-em, to masz szansę wykryć, dzięki lekturze treści SMS-a, że wcale nie robisz przelewu na rachunek kuriera, a na rachunek przestępcy (lub, jak to zwykle bywa, potwierdzasz operację stworzenia nowego odbiorcy zaufanego, dzięki czemu przestępca później sam zrobi sobie wiele przelewów bez konieczności proszenia Cię o kody przesyłane Ci przez bank SMS-em. Przelewy do odbiorców zaufanych takich kodów nie potrzebują).

I właśnie dlatego kody przesyłane SMS-em są lepsze od kart zdrapek. O ile oczywiście zawierają szczegóły transakcji, której kod dotyczy. Niektóre banki takich informacji klientom nie przekazują (EDIT: Getin ponoć już pokazuje):

a inne potrafią zaprzestać pokazywania:

Ale SMS-y z kodami i szczegółami transakcji też nie są idealne, bo…

Jak wiecie z naszego zeszłotygodniowego artykułu, SMS-y z kodami z banku, które są wysyłane na Wasz telefon ktoś może przejąć. Bo albo wyrobi duplikat Waszej karty SIM, albo zainfekuje Wasz smartfon złośliwym oprogramowaniem (por. Uwaga na fałszywą aplikację mobilną BZWBK w oficjalnym sklepie Google) albo dokona ataku wprost na protokoły GSM (np. IMSI-Catcherem). Każda z powyższych metod pozwala przestępcy na przekierowanie lub pozyskanie treści SMS-ow z banku.

Fałszywy BTS w formie przenośnej walizeczki

IMSI Catcher służący do przejmowania komunikacji telefonu komórkowego znajdującego się w jego zasięgu

Dlatego od kodów przesyłanych SMS-ami lepsze są tzw. tokeny challenge-response, które jako “challenge” przyjmują atrybut autoryzowanej operacji. Takich tokenów nie da się zainfekować, zduplikować lub zdalnie podsłuchać. Bo token to osobne “niekomunikujące się ze niezaufanym internetem” urządzenie.

Aby na tokenie wygenerować kod potrzebny do potwierdzenia transakcji, trzeba najpierw wprowadzić do niego np. 4 ostatnie cyfry rachunku docelowego. Algorytm generujący jednorazowy kod do autoryzacji transakcji używa tych cyfr do obliczeń. Więc jeśli złodziej “w tle” podmieni rachunek kuriera na rachunek giełdy kryptowalut, to wygenerowany przez token kod (bazujący na 4 cyfrach rachunku kuriera przepisanego z faktury) nie potwierdzi transakcji, bo nie będzie pasował do końcówki podstawionego przez przestępcę numeru rachunku giełdy.

Ale uwaga! Nie każdy token sprzętowy otrzymywany od banku, to token challenge-reponse, który generowanie jednorazowych kodów opiera o cechy transakcji (np. 4 cyfry numeru rachunku docelowego). Tokeny, które nie wymagają wpisywania fragmentu rachunku docelowego podczas autoryzacji, czyli nie bazują na cechach transakcji, są w zasadzie bez sensu, bo mają wszystkie wady tokena (bateria, zgubienie, zapomnienie) i wszystkie wady karty zdrapki (brak powiązania z autoryzowaną transakcją).

Niestety, mało który bank w Polsce udostępnia klientom tokeny Challenge-Response bazujące na cechach transakcji. I w sumie nie ma się co dziwić, bo nie należą one do najtańszych, trzeba w nich wymieniać baterie, klienci je zapominają ze sobą zabierać na wyjazdy, gubią i generalnie narzekają (zupełnie słusznie!) na łatwość użycia (tzw. usability). Z tych właśnie powodów, klienci (z negatywnym skutkiem dla swojego bezpieczeństwa) preferują dostawać (mniej bezpieczne) SMS-y. Każdy kto korzystał z tokenu w BGŻ Optima to potwierdzi:

Banki z tą niechęcią klientów walczą forsując rozwiązania “tokenów GSM”, czyli tak naprawdę aplikacji mobilnych. Klienci mają je przy sobie, regularnie ładują i generalnie od strony banku “taniej” jest zarządzać oprogramowaniem (aplikacją mobilną) niż sprzętem (tokenem). Problem w tym, że tokeny-aplikacje działają na urządzeniu, które można zainfekować i na tym polu przegrywają z tokenami z kretesem…

Czy autoryzacja transakcji aplikacją mobilną to dobry kompromis?

Biorąc pod uwagę wady i zalety wszystkich opisanych do tej pory metod autoryzacji przelewów, najsensowniejszym pod kątem bezpieczeństwa sposobem autoryzacji transakcji wydaje się więc aplikacja mobilna banku (o ile jest dobrze zaimplementowana — o tym za chwilę).

Aplikacja mobilna nie tylko wyraźnie pokazuje użytkownikowi co jest przedmiotem autoryzowanej operacji, ale dodatkowo dzięki szyfrowaniu komunikacji uniemożliwia przechwycenie lub zmodyfikowanie treści komunikatu (zarówno operatorowi GSM, który “widzi” treści SMS-ów, jak i osobie która wykonuje wspomniane wcześniej ataki na sieć GSM np. za pomocą protokołu SS7 lub IMSI Catchera). Nie mówiąc już o tym, że jeśli używa się aplikacji mobilnej do autoryzacji transakcji, to nie trzeba tracić czasu na “przepisywanie” kodu. Jest szybciej i wygodniej! A dla banku także taniej, bo nie bank nie musi ponosić kosztu wysyłanych do klienta SMS-ów (a jeśli myślicie, że dla bogatych banków taki koszt nie ma znaczenia, to jesteście w dużym błędzie :).

W poniższej tabeli, dla przejrzystości zestawiamy odporność zarówno mobilnej autoryzacji, jak i kart zdrapek oraz autoryzacji SMS-owej na popularne ataki na bankowość internetową:

Na niebiesko podkolorowano sytuacje, w których bezpieczeństwo mocno zależy od uwagi, świadomości i rozsądku klienta

Jak widać, dla autoryzacji mobilnej powyższe zestawienie wygląda świetnie, prawda? Wygrywa ona z SMS-ami. Ale zobaczmy jak korzystanie z autoryzacji mobilnej poradzi sobie z atakiem przy użyciu “duplikatu karty SIM“, czyli atakiem który jest bezpośrednią przyczyną powstania tego artykułu.

Atak na autoryzację mobilną w mBanku i kradzież dowolnej kwoty

Atak ten rozpiszemy na przykładzie mBanku, bo z tego banku korzystała jedna z opisywanych przez nas ofiar. Ofiara co prawda nie korzystała z autoryzacji mobilnej i być może dlatego wiele osób sugerowało, że gdyby jednak korzystała, to atak nie miałby szans powodzenia… Popatrzmy więc:

    Złodziej w ataku z duplikatem karty SIM posiada:

      – duplikat karty SIM ofiary (wyrobiony w salonie)
      – PESEL ofiary (nie jest tajemnicą w przypadku właścicieli firm figurujących w KRS)
      – nazwisko panieńskie matki ofiary

    Mając te dane, złodziej może zainstalować aplikację mobilną mBanku na swoim telefonie, a następnie może powiązać ją z kontem ofiary. Wystarczy, że pobierze aplikację, zainstaluje ją, wprowadzi PESEL i nazwisko panieńskie ofiary oraz odbierze SMS-a z kodem jednorazowym (na duplikacie karty SIM). Kod ten musi podać chwilę później, kiedy zadzwoni do niego automat z mBanku (wstukuje się go na klawiaturze). W odpowiedzi automat podyktuje kod, który należy wpisać w aplikacji.

    2 minuty i złodziej jest podpięty aplikacją mobilną pod konto ofiary. mBank jest tego świadomy i dlatego ryzyko kradzieży środków przez aplikację mobilną minimalizuje nakładanymi na aplikacje mobilną limitami:

    A więc za pomocą aplikacji mobilnej złodziej nie wytransferuje więcej niż 5 000 PLN. Gdyby chciał zmienić ten limit w serwisie online (a przypomnijmy, że w opisywanych przez nas atakach z duplikatem karty SIM, złodzieje mają hasło ofiary do serwisu online), napotka pewien problem:

    No to wybierzmy maksymalną wartość 10 000 i spróbujmy wpisać 100 w liczbę transakcji:


    Przechodzi.

Przestępca może więc teraz aplikacją mobilną wytransferować 10000*100, czyli milion złotych dziennie. Wszystko dlatego, że potwierdzenie zmiany limitu dla aplikacji mobilnych przychodzi SMS-em, a więc złodziej mający duplikat karty SIM będzie w stanie go odczytać.

Zauważmy zresztą, że jeśli złodziej ma login i hasło (a w przypadku ataków z duplikatem karty SIM złodziej musi mieć te dane, jeśli chce wykraść więcej niż domyślne 5000 PLN), to w ogóle nie musi modyfikować limitów dla aplikacji mobilnej. Może po prostu zalogować się do serwisu internetowego banku i robić z niego dowolne przelewy.

Czy korzystanie z autoryzacji mobilnej utrudnia atak z duplikatem karty SIM?

Nie. I to było dla nas sporym zaskoczeniem.

Gdyby ofiara korzystała z autoryzacji mobilnej, wszystko przebiegałoby dokładnie tak samo, z tym, że złodziej wcześniej musiałby włączyć autoryzację mobilną na swoim telefonie. Takie przepięcie autoryzacji mobilnej na złodziejski telefon to nic trudnego — wystarczy, że złodziej kliknie w aplikacji mBanku (którą złodziej wcześniej spiął z kontem ofiary) w jeden link:

Podsumowując, w przypadku mBanku, złodziej który ma login i hasło do konta oraz duplikat karty SIM może:

  1. Podpiąć aplikację mobilną pod konto ofiary (każda nowopodpięta aplikacja mobilna ustawia limit na 1000 x 5). Niestety, mBank o podpięciu nowej aplikacji informuje SMS-em, ale już nie powiadomieniem typu PUSH na starą aplikację, jeśli ofiara ma ją już zainstalowaną.

    Czyli ten komunikat SMS o “nowym urządzeniu” widzi już tylko złodziej, a nie ofiara! Ona na tym etapie nie otrzymuje już SMS-ów, bo jej karta jest nieaktywna.

  2. Włączyć na urządzeniu autoryzację mobilną. To zaledwie 2 kliknięcia. Złodziej ma wszystko, czego do tego potrzebuje. I tu znów ofiara o niczym się nie dowie, bo niestety, mBank nie informuje właściciela wcześniej podpiętej do konta aplikacji mobilnej o tym, że ktoś “zabrał” mu zdolność do mobilnej autoryzacji. Czy to naprawdę takie trudne?
  3. Z włączoną autoryzacją mobilną złodziej może spokojnie podnieść limit do 10 000 x 100 (czyli miliona złotych), albo po prostu przełączyć rodzaj potwierdzania operacji na SMS i dowolnie zmienić limity oraz okraść konto ofiary z wszystkich środków, jeśli systemy antyfraudowe banku nie zareagują.

 
Tu przyznamy, że trochę nas takie zachowanie mBanku przeraziło. Bo już chcieliśmy rekomendować autoryzację mobilną jako najlepsze zabezpieczenie, ale okazuje się, że obecne wdrożenie autoryzacji mobilnej w mBanku w żaden sposób nie chroni klientów przed atakiem z duplikatem karty SIM. A wystarczyłoby np.:

  • wysyłać o jednego PUSH-a więcej, jeśli ofiara miała skonfigurowaną aplikację mobilną i pod jej konto podpinana jest kolejna aplikacja (a dodatkowo — bo dlaczego by nie — także e-maila na adres e-mail klienta). Generalnie: powiadomić go każdym dostępnym kanałem.
  • pozwolić klientom (na ich własne ryzyko, opcjonalnie) blokować na stałe (tj. do wizyty w banku) możliwość zmiany autoryzacji mobilnej z jednego urządzenia na inne.

Oba działania są proste do wdrożenia i nie obciążają klienta, jeśli sam tego nie chce. Co prawda takie “zdejmowanie blokady” tylko podczas wizyty w banku to jest pewne ryzyko dla banku. Bo jeśli to bankier (a nie pracownik operatora) dałby się nabrać na fałszywy dowód osobisty lub notarialne upoważnienie, to wina za kradzież pieniędzy z konta byłaby wtedy w 100% po stronie banku. Obecnie banki może się winą dzielić z operatorami.

Poszerzając więc naszą tabelę o przypadek ataku z duplikatem karty SIM dla mBanku mamy:

Oczywiście czym prędzej zwróciliśmy się do mBanku z pytaniami w tej sprawie.

mBank się tłumaczy

Odpowiedzi błyskawicznie udzielił nam Krzysztof Olszewski, rzecznik prasowy mBanku:

Niebezpiecznik: 1. Dlaczego mBank o podpięciu nowej aplikacji mobilnej informuje jedynie w kanale SMS, a nie również pushem przez aplikację mobilną, jeśli właściciel rachunku już ma taką aplikację zainstalowaną? To mogłoby ostrzec ofiarę/właściciela rachunku, że coś jest nie tak.

Krzysztof Olszewski: Wysyłanie informacji o aktywacji nowej aplikacji w wiadomości SMS było jak dotąd najpewniejszym sposobem szybkiego informowania klienta o takim zdarzeniu. Scenariuszy ataków jest wiele, a ten z duplikatem SIM jest tylko jednym z nich. W zdecydowanej większości przypadków powiadomienia SMS-owe są więc skuteczne w kwestii poinformowania klienta o zdarzeniu. Wysyłanie pusha na aktywowaną wcześniej aplikację mobilną z informacją o aktywacji nowej aplikacji tylko w niewielkim stopniu podniesie poziom bezpieczeństwa. Tą drogą informacji i tak nie otrzyma klient, który wcześniej z aplikacji mobilnej nie korzystał. Powiadomienie nie dotrze też w sytuacji, gdy telefon użytkownika (z nieaktywną już kartą SIM – po aktywacji duplikatu przez przestępcę) nie będzie w zasięgu sieci Wi-Fi. Stale pracujemy nad rozwojem naszej aplikacji – powiadomienia, o których mowa, wkrótce będą dostępne.

NBZP: 2. Dlaczego o włączeniu autoryzacji mobilnej w nowej aplikacji mBank nie informuje właściciela rachunku na innym urządzeniu, na którym właściciel uprzednio zainstalował aplikację mobilną, w której ma aktywną autoryzacją mobilną? Bez takiego powiadomienia właściciel nie wie, że ktoś inny przejmuje autoryzację mobilną, może dzięki niej zwiększyć limity transakcji i w konsekwencji może okraść konto.

KO: Taka funkcja jest w trakcie przygotowywania. Klient będzie otrzymywał pusha z informacją o zmianie urządzenia lub aplikacji z aktywną mobilną autoryzacją na wszystkie powiązane z nim urządzenia. Mówimy o informowaniu klienta o takiej zmianie, a nie zatwierdzaniu na poprzednim urządzeniu aktywacji mobilnej autoryzacji dla nowego urządzenia. Wynika to z faktu, że obecnie tylko kilka procent użytkowników aktywnie korzysta z więcej niż jednej aplikacji połączonej z rachunkiem. Zdecydowana większość klientów aktywnie używa wyłącznie ostatniej uruchomionej aplikacji. Te osoby, nie zamierzają korzystać z poprzednio aktywowanej aplikacji lub wręcz nie mają już takiej możliwości (np. z powodu odinstalowania aplikacji bez odłączenia jej od konta mBanku, resetu fabrycznego telefonu lub jego zniszczenia). Aktualnie analizujemy również możliwość zmiany procesu aktywacji aplikacji na kolejnych urządzeniach w oparciu o dodatkowe elementy całego ekosystemu bezpieczeństwa, m.in. badającego reputację oraz wiarygodność urządzeń. Dodatkowa informacja: wysyłamy również SMS informacyjny przy każdej zmianie metody autoryzacji z SMS na mobilną autoryzację.

NBZP: 3. Czy mBank planuje także wprowadzić dodatkowe (ale opcjonalne, czyli do decyzji klienta i na jego ryzyko) metody ochrony przed atakami z duplikatem karty SIM? Np. trwałe zablokowanie możliwości dołączania nowych urządzeń mobilnych do rachunku bankowego, co w przypadku np. zguby telefonu wymagałoby fizycznego stawienia się w oddziale banku aby znieść blokadę?

KO: Nieustannie pracujemy nad rozwiązaniami z dziedziny bezpieczeństwa, by jak najlepiej chroniły klientów przed kolejnymi pomysłami przestępców. Jest to wyzwanie, z którym w dzisiejszym świecie muszą mierzyć się nie tylko banki, ale i wszystkie poważne firmy. Nie jest tak, że raz opracowane zabezpieczenie będzie w pełni skuteczne do końca. Wiemy o tym, i dlatego wciąż je udoskonalamy. W tym wypadku, w parze z działaniami banków, musi iść też odpowiednia reakcja operatorów. Powiedzmy to wprost – jeśli wydawcy kart SIM nie zmienią polityki dotyczącej duplikatów, każde zabezpieczenie, wdrożone przez bank, może być niewystarczające. Ograniczenie aktywacji aplikacji mobilnej na nowych urządzeniach byłoby wbrew interesom klientów. Średnio miesięcznie aż 100 tys. z nich dokonuje ponownej aktywacji swojej aplikacji, co wynika głównie ze zmiany, zgubienia lub awarii urządzenia. Zresztą konieczność odwiedzenia oddziału banku i tak mogłaby być niewystarczająca, biorąc pod uwagę ataki spear phishingowe z wykorzystaniem fałszywych dowodów tożsamości (które de facto przestępcy już posiadają, żeby móc wystąpić o duplikat karty SIM).

Odpowiedzi mBanku trochę nas uspokoiły. Podsumowując — będzie lepiej. Oby szybko. Cieszymy się, że choć mBank początkowo starał się wykazywać, że proponowane przez nas rozwiazanie nie będzie użyteczne i “w niewielkim stopniu podniesie poziom bezpieczeństwa”, to jednak w dalszej części wypowiedzi zobowiązał się do wprowadzenia zabezpieczeń polegających dokładnie na tym, co proponowaliśmy. I zgadzamy się, że w ataku “z duplikatem karty SIM” działania do podjęcia mają przede wszystkim operatorzy GSM, którzy te duplikaty bezpodstawnie wydają (cudownym operatorom poświęcimy osobny artykuł niebawem).

Wierzymy w to, że mBank jest w stanie szybko reagować na problem, bo już to raz widzieliśmy w praktyce. Na przełomie roku opisaliśmy sytuację klienta, któremu przestępca przekierował telefon w T-Mobile i przekierowanie wykorzystał do instalacji aplikacji mobilnej mBanku na swoim złodziejskim telefonie. Tak, w T-Mobile wystarczy zadzwonić na infolinię i podać PESEL klienta… mBank wtedy zareagował bardzo szybko, wprowadzając do procedury instalacji aplikacji również wymóg podania kodu z SMS-a (SMS-ów nie da się przekierować).

Jest więc szansa, że niebawem autoryzację mobilną w mBanku będzie sens włączyć, a powodem do jej włączenia będzie nie tylko “brak konieczności przepisywania kodu SMS z telefonu do formularza na stronie” czy zawierające więcej szczegółów, dłuższe komunikaty autoryzacyjne, a również aspekty wyższego bezpieczeństwa.

Zresztą z tymi bardziej szczegółowymi niż w SMS-ach komunikatami to też póki co trochę ściema. Popatrzcie na poniższy przykład — co konkretnie potwierdza klient?

A tak wygląda analogiczna operacja potwierdzana SMS-em, który wedle mBanku ma co do zasady zawierać zdecydowanie mniej informacji na temat potwierdzanych transakcji:

Jak widać, komunikaty w aplikacji mobilnej nie (zawsze) są bardziej szczegółowe, choć mogłyby być i sam mBank taką “większą szczegółowość” wykazuje jako zaletę autoryzacji mobilnej.

Jeszcze jeden śmierdzący problem autoryzacji/aplikacji mobilnych…

Na koniec warto autoryzacji mobilnej (a raczej koniecznej do jej działania aplikacji mobilnej banku) wytknąć jeszcze jeden minus. Zainstalowanie aplikacji banku (ale nie tylko banku) na telefonie to częściowa utrata prywatności. W zależności od udzielonych uprawnień (ale i sprytu programistów), bank (czy inny producent aplikacji) może uzyskać dostęp do naszej lokalizacji, danych naszych znajomych, nazwy naszego urządzenia, sieci Wi-Fi, numerów IMSI czy IMEI (por. Używając aplikacji mobilnych płacisz swoimi danymi).

Banki — miejmy nadzieję — będą bardziej zainteresowane aby te informacje wykorzystać nie do profilowania a do ochrony swoich klientów (np. wykrycie zmian w lokalizacji pomiędzy autoryzacjami, choć obie zostały zainicjowane z tego samego IP). Ale zawsze warto mieć na uwadze że instalując jakąś aplikację, dajemy jej dostęp do naszych danych i “wierzymy” że nic złego z nimi nie robi. A czasem ta wiara jest bardzo naiwna (por. błędy w aplikacjach mobilnych polskich banków).

A jak to wygląda w innych bankach?

Na koniec zaznaczmy jeszcze raz, że sensowność wykorzystania autoryzacji mobilnej w ochronie przed duplikatem karty SIM pokazaliśmy na przykładzie wyłącznie mBanku. W innych bankach zachowanie może być lepsze (albo gorsze). Prowadzimy w tym zakresie własne badania, ale z przyjemnością przyjmiemy Waszą pomoc, drodzy Czytelnicy.

Jeśli macie konto w innych bankach — przeprowadźcie poniższe eksperymenty na własną rękę i wklejcie w komentarzach nazwę banku oraz odpowiedzi na takie pytania:

    A. Co jest potrzebne aby zainstalować i powiązać z kontem ofiary aplikację mobilną (nazwisko, pesel, numer rachunku, panieńskie matki)?
    B. Czy ofiara dowiaduje się (inaczej niż przez SMS), że aplikacja mobilna została powiązana z kontem?
    C. Czy aplikacja mobilna posiada ograniczenie na liczbę / kwotę przelewów, jeśli tak, to jakie?
    D. Co jest potrzebne aby włączyć autoryzację transakcji przy pomocy aplikacji mobilnej?
    E. Czy można mieć aktywne więcej niż 1 urządzenie do autoryzacji mobilnej?
    F. Czy jeśli ofiara korzysta z autoryzacji mobilnej, a złodziej aktywuje autoryzacje mobilną na swoim telefonie (na aplikacji powiązanej z kontem ofiary) to ofiara otrzyma jakiś komunikat (inaczej niż przez SMS)?
    G. Co jest potrzebne, aby podnieść limity transakcji (login, hasło, sama aplikacja mobilna, odebranie kodu z SMS)?
    H. Co jest potrzebne, aby zmienić sposób autoryzacji transakcji z mobilnego z powrotem na kody SMS-owe?

A jeśli interesują Was ogólne porady jak bezpiecznie korzystać z bankowości internetowej, to zapraszamy na nasz wykład pt. Jak nie dać się zhackować?. Niebawem ruszamy w Polskę i odwiedzimy Warszawę, Kraków, Gdańsk, Wrocław oraz po raz pierwszy Katowice. W 3 godziny pokażemy jak zabezpieczyć swój komputer, smartfon i cyfrową tożsamość — nie tylko podczas korzystania z bankowości internetowej ale również w trakcie zakupów online i zwykłego “relaksowania się” na portalach społecznościowych. Szczegółowe daty, miejsca i możliwość rezerwacji miejsca jest możliwa tutaj.

PS. Jeśli po lekturze tego artykułu dalej chcesz korzystać z kart zdrapek, to albo jesteś osobą, która nie przeczytała artykułu ze zrozumieniem, albo bardzo specyficznym przypadkiem osoby, która transakcje w banku robi tylko i wyłącznie na jednym, osobnym, dedykowanym wyłącznie do celów bankowości ciągle aktualizowanym urządzeniu i tylko tam. Ciężko nam uwierzyć że takie osoby istnieją. Ale nawet gdyby istniały, to wtedy w mBanku i tak można je okraść duplikatem karty SIM do kwoty 5000 PLN.

PPS. Jeszcze w tym tygodniu opublikujemy opis tego, jak kilka razy w różnych salonach próbowaliśmy wyrobić, w sposób nieautoryzowany, duplikat czyjejś karty SIM (spoiler: udało nam się). Artykuł obecnie okraszamy kilkoma Waszymi historiami, które ostatnio podsyłaliście, a które opisywały jak operatorzy nie weryfikowali Waszej tożsamości i wydawali Wam duplikaty bez sprawdzania danych osobowych. Jeśli i Tobie się to przydarzyło, daj nam znać.

Przeczytaj także:

277 komentarzy

Dodaj komentarz
  1. Czy wy czasem namawiając czytelników do publicznej odpowiedzi na wasze pytania nie ulatwiscie zloczyncom zdobycie informacji?

    • Co to za przestępca który sam o tym nie wie? :)

    • W pierwszej chwili też mi to przyszło do głowy ale przestępcy sami “rozpracowują” te mechanizmy. Publikacja takich informacji powinna wywołać dyskusję i wstęp do poprawy zabezpieczeń w bankach. Poza tym wyjdzie tu swoiste porównanie kto,co i jak robi (banki). W przypadku braku reakcji na publikację ze strony banku i wprowadzenia zmian klienci sami “ich za to rozliczą” i dobrze. Jednostkom trudniej wywierać “presję zmian” na duże instytucje niż grupom. Trzymam kciuki

    • Adwokaturze security through obscurity czas najwyższy powiedzieć STOP. Jawność metod, jawność zabezpieczeń, tajność i odpowiedni stopień zabezpieczenia kluczy – to jest rozwiązanie.

  2. To juz wole krypto… Mam klucz prywatny i wiem, ze za niego odpowiadam.

    • Jak klucz prywatny rozwiązuje Twoje problemy?

  3. Zweryfikujcie jak bezpieczny jest mobilny PekaoToken z Pekao S.A. Uzywam go od jakiegos czasu i wydaje sie dosc sensownie zorganizowany i sposob kojarzenia aplikacji z rachunkiem tez wydaje się bezpieczny.

  4. >Nie mówiąc już o tym, że jeśli używa się aplikacji mobilnej do autoryzacji transakcji, to nie trzeba tracić czasu na “przepisywanie” kodu. Jest szybciej i wygodniej!
    ==========
    Za to trzeba odpalić aplikację, wpisać hasło do aplikacji, wejść w menu. Jak się robi kilka(naście) przelewów, to ta wersja jest szybsza i wygodniejsza. A jak jeden, to wersja z SMSem lepsza. Testuję właśnie mobilne autoryzacje mBanku i sam nie wiem co wybrać, bo jednak często robię 1 przelew i wtedy procedura przez apkę jest mozolnie niewygodna :(

    • Zależy jaka aplikacja. Moja wysyła powiadomienie push o czekaniu na potwierdzenie przelewu i po kliknięciu notyfikacji przenosi do aplikacji. Przy nowych telefonach nie trzeba wpisywać hasła, bo można się uwierzytelnić odciskiem palca. Dlatego w moim przypadku to są dokładnie 4 kliknięcia:
      1. dotknięcie czytnika linii papilarnych.
      2. kliknięcie w powiadomienie.
      3. uwierzytelnienie palcem.
      4. kliknięcie w przycisk.
      Cała procedura trwa więc kilka sekund, czyli szybciej niż czekanie na SMS ;).

    • Wiemy też z doniesień czyteonikow, że apka mBanku ma problem z FaceID – wiesza się i nie pokazuje powiadomień po “odtwarzowaniu”.

    • W Android też był taki problem, że czasem powiadomienie znikało. Ale to jeszcze w becie poprawili. Pamiętam, bo zgłaszałem ;-).

      Zresztą nawet jeśli zniknie powiadomienie, to można wejść samemu w listę i też działa… A każdym razie u mnie działa ;-)

  5. Pekao:
    A: PeoPay: w zasadzie 12 cyferek: 8 to nr klienta, 4 to pin
    PekaoToken: Trzeba się zalogować na stronę banku i wygenerować kod autoryzacji tokena, do przepisania w apce
    B: PeoPay: Żadnego powiadomienia
    PekaoToken: Tylko SMS
    C: Są, jak dobrze pamiętam to 500zł dziennie
    D:W punkcie A
    E: Nie sprawdzałem
    F: Nie sprawdzałem
    G: Zmiana limitu w aplikacji natychmiast generuje połączenie z infolinii banku
    H: Wystarczy kliknięcie przycisku na stronie banku, ale SMS są płatne 20gr za 1

    • Co do A, to powinienem jeszcze dodać, że jeżeli klient banku nie instalował wcześniej aplikacji mobilnej, to nie ma kodu PIN, wtedy loguje się swoim normalnym hasłem do banku, tak jakby logował się przez przeglądarkę

    • W PeoPay identyfikator użytkownika jest różny od numeru klienta do Pekao24 (przychodzi w mailu po aktywowaniu apki po raz pierwszy, można go też uzyskać na infolinii banku po uwierzytelnieniu się + dodatkowych pytaniach weryfikacyjnych od konsultanta).

      Co do B – można takie powiadomienia włączyć we wszystkich przypadkach, SMS-em (usługa dodatkowo płatna, bodajże 20 gr od powiadomienia)

      C – limity można dowolnie modyfikować, ich zmiana wymaga potwierdzenia aktualnie używaną metodą autoryzacji. Zmiana metody autoryzacji wymaga podania kodu z obecnie używanej, w przypadku krytycznym (np. telefon się zresetował do fabryki – klucze prywatne apki NIE są backupowane) kontakt z infolinią, po drobiazgowej weryfikacji klienta mogą zmienić metodę uwierzytelniania na SMS.

      D – dopowiem jeszcze, że apka mobilna ma zupełnie inne uwierzytelnianie przelewów niż serwis webowy – do przelewów z apki trzeba ustawić PIN potwierdzenia, różny od wszystkich innych używanych, szczególnie od pinu do PekaoTokena i do TelePekao.

      E – do autoryzacji nigdy w życiu, skojarzenie apki uwierzytelniającej wymaga podania kodu autoryzacyjnego, który jest jednorazowy (to jest jedna z dosłownie DWÓCH operacji, podczas których wymagany jest dostęp do internetu po stronie mobilnej – drugą jest zmiana PINu do apki) – skojarzenie drugiego urządzenia wywala już skojarzone. Co innego apka Pekao24 – tych może być bodajże cztery skojarzone z jednym kontem, żeby dodać kolejną trzeba wyrejestrować jedną z już używanych (Ustawienia -> Aplikacja mobilna).

      F – nie zrobi tego, dopóki nie ma dostępu do starej apki (kod potwierdzenia przy próbie wygenerowania kolejnego authkodu trzeba pobrać z już zautoryzowanego urządzenia) – ewentualnie dopóki nie przekona pracownika banku na infolinii do zresetowania metody autoryzacji (a konsultanci Pekao mają takie metody weryfikacji, że dane z FB są zupełnie niewystarczające – czasem pytają się o rzeczy już na samym rachunku, których nie widać bez podania chociaż “pobranego kodu” – PekaoToken ma DWA rodzaje kodów – “pobierane” i challenge/response – te drugie np. do wykonywania przelewów czy dodawania odbiorców zdefiniowanych).

      W ogóle Pekao ma TRZY (właściwie to pięć, ale trzy dla indywidualnych) aplikacje, każda do czego innego:
      – Pekao24 (w sklepie MS: Bank Pekao) – do obsługi samego rachunku
      – PekaoToken – do uwierzytelniania operacji
      – PeoPay – płatności mobilne, NFC, wypłaty z bankomatów bez karty itp.

      Dla biznesowych są jeszcze dwie:
      – PeoPay mPOS – przyjmowanie płatności zbliżeniowych/mobilnych
      – PekaoFirma24 – odpowiednik zwykłego Pekao24 dla rachunków firmowych.

    • Od kiedy zrobili rework PeoPay, jest to nr klienta. Przez identyfikator już się nie da zalogować

    • “Rework” nie dotknął jeszcze W10M – tutaj w dalszym ciągu pozostaje niezależny identyfikator ;)

  6. co do pekao i peopay trzeba również zaznaczyc ze aby uruchomić aplikacje trzeba o ile dobrze pamiętam, wysłać request o aktywacje na stronie banku.

    • Do pekaotoken tak, ale peopay wymaga tylko jednej aktywacji, kolejne logowania nie wymagają niczego poza nr klienta i pinem

  7. W ING przy autoryzacji każdej transakcji można kliknąć – “zmień sposób autoryzacji na SMS” i bez problemu zatwierdzić ją smsem.

  8. Powtarzam po raz kolejny, odklejcie się trochę od ekranów telefonów i aplikacji mobilnych. Aplikacja mobilna banku to zło tak samo jak karta płatnicza (brak kontroli wydatków, przerwy techniczne, śledzenie, profilowanie…). Telefon do autoryzacji: kupujemy starą Nokię i dodatkowego prepaida, trzymamy ją w szufladzie ze skarpetkami a włączamy tylko żeby autoryzować transakcje (numer znamy tylko my i bank).
    Wyjazdy? Idziemy do kantoru po banknoty, nosimy w nieprzemakalnych woreczkach na szyi. Czasem wożę tak kilka tyś. USD i w przeciwieństwie do wad telefonu czy kart (zalanie wodą morską, uszkodzenie fizyczne, niekorzystne przewalutowania, blokada po wykryciu transakcji z Tanzanii…) nie miałem żadnych problemów.

    • W przypadku mbanku oddzielny numer do przelewów jest i tak widoczny po zalogowaniu po wejściu w doładowanie telefonu, także zlodziej mając dane logowania wie do jakiego numeru dorobić duplikat.

    • To już chyba wolę trzymać na koncie bankowym i potem łazić po sądach szargając się o odszkodowanie, niż stracić całą kasę w przypadku dostania w zęby. Oczywiście strata dokumentów i telefonu w niczym nie przeszkadza w okradzeniu konta, jeżeli ktoś się uprze. Zawsze może ci zrobić włam do domu. Numer telefonu też może zebrać phishingiem. Wyżej też masz przykład maszyny, do przechwytywania smsów, nawet z telefonu, o którym nikt nie ma pojęcia. Inaczej mówiąc – jak ktoś chce i potrafi to i tak znajdzie sposób, żeby dobrać się do twoich pieniędzy.

    • Nie, numeru nie znasz tylko Ty i twój bank… zna go także Twój operator komórkowy dzięki ustawie antyterrorystycznej i wymuszeniu rejestracji numerów. Tak, szeregowi pracownicy z reguły mają dostęp do danych klientów i pewne sprzedadzą je za bezcen.

    • Rozwiązaniem czasem są po prostu 2 konta. Na pierwszym trzymamy grubszą kasę i mamy na nim tylko jednego odbiorcę zdefiniowanego (siebie w drugim banku). Do tego tylko karta zdrapka do autoryzacji, którą zaraz po zdefiniowaniu tego jedynego odbiorcy niszczymy. Jeżeli ktoś chce nas wyczyścić z kasy musi przejąć 2 konta. Do tego prosta zasada, że nigdy nie dostajemy się do obu kont z tego samego urządzenia. Ryzykujemy tylko środki bieżące na rachunku z kartą i dostępem do przelewów. Czyli w moim przypadku około 2000PLN

    • A wypożyczałeś kiedyś samochód za granicą?

    • KBL, ryzykujemy nie tylko 2kPLN, ale także zaciągnięte kredyty.

    • Mbank – potwierdzam – beznadziejnie zabezpieczony bank!
      Kupiłem specjalną kartę SIM tylko do potwierdzeń sms-owych. I co z tego, jak ten nowy numer jest od razu widoczny przy próbie robienia przelewu. Po przechwyceniu loginu i hasła (nasłuch lub fałszywy dotpay) to jestem całkowicie bezbronny na duplikat karty SIM.
      Dlatego czym predzej przelałem wszystkie pieniądze do innego banku, a było ich całkiem dużo!!! Pytałem o token sprzętowy Mbanku – w praktyce niemożliwy! I tak wyglądają realia, a Pan z Mbanku – twierdzi że wina operatorów GSM, – nikt bankom nie nakazuje oferować autoryzacji SMS – to jest ich wybór.

  9. Wysyłajcie odpowiedzi najlepiej na maila… mniej info dojdzie do nieodpowiednich ludzi :p

  10. Pekao SA (żubr)
    A. Numer klienta, hasło do serwisu internetowego, potwierdzenie z kodu SMS (niezależnie od metody autoryzacji), który zawiera informację o typie operacji (rejstracja aplikacji mobilnej).
    B. Nie ma żadnej informacji po dodaniu aplikacji.
    C. Są dwa rodzaje limitów: limit na transakcje bezgotówkowe, limit na wypłaty z bankomatów, każdy z nich dodatkowo dzieli się na limit dzienny i miesięczny operacji danego typu, brak limitów co do ilości transakcji.
    D. Aplikacja obsługująca serwis płatności nie posiada możliwości dokonywania autoryzacji, natomiast bank oferuję osobną aplikację typu token (challenge-response), do aktywacji tej aplikacji potrzebne są numer klienta oraz hasło do serwisu internetowego oraz kod z obecnej metody autoryzacji.
    E. Tak, można mieć kilka urządzeń.
    F. Nie wiem
    G. Login, hasło, kod z obecnej metody autoryzacji
    H. Login, hasło, kod z obecnej metody autoryzacji

  11. PKOBP

    A. Login do bankowości internetowej i hasło do niej, a później weryfikacja poprzez wysłanie sms z numeru
    B. Nie
    C. Blik: 1000 PLN dziennie, Przlewy 1000 PLN dziennie, płatności internetowe 1000 PLN dziennie (są one domyślne, przez aplikację zmienić nie można)
    D. Nie można autoryzować przelewów przez aplikacje (nie licząc przelewów zleconych w aplikacji)
    E. Można mieć zaktywowaną tylko jedną aplikację. Przy próbie zalogowania się na pierwszą aplikacje jest informacja, że konto skasowane, zaloguj się ponownie
    F. W wersji aplikacji na Androida nie ma opcji dotyczących powiadomień, lecz wygląda na to, że w wersji na iOS opcje powiadomieć istnieją: https://iko.pkobp.pl/funkcje/powiadomienia/
    G. Login, hasło, sms
    H. NIe dotyczy

    • G. Sama aplikacja, można zmienić od ręki np limit wypłaty z bankomatu itp.

      do przelewów przez www:
      Można użyć aplikacji do generowania tokenów, iPKO się nazywa, osobno generuje kod potrzebny do zalogowania do banku i osobno kod do autoryzacji przelewu. Kod do autoryzacji przelewu dostajemy po uprzednim wklepaniu kodu operacji, otrzymanego na stronie banku.

    • D. Przez IKO nie można, ale jest od tego oddzielna aplikacja – “Token IPKO” – którą to można ustawić jako narzędzie autoryzacyjne.

    • Aktywowanie nowej aplikacji Token IPKO wymaga podania kodu c-r z poprzedniej, w przeciwieństwie do PekaoToken. Czyli w PKO BP aplikacja z tokenem wygląda na odporną na atak z duplikatem karty SIM, a w Pekao bezpieczny jest tylko token sprzętowy.

    • Drobne sprostowanie:

      Po pierwsze, PKO posiada 2 osobne aplikacje: jedna do tokenów (i działa 1:1 jak token challenge-response, wymaga tylko połączenia z internetem przy jej pierwszym uruchomieniu/aktywacjii), oraz 2gą aplikację mobilną do “normalnej” bankowości. Nie dzielą one między sobą żadnych funkcjonalności. Niżej odpowiedzi odnośnie tokena

      A. Numer klienta + hasło + jednorazowy kod z dotychczasowej metody autoryzacji (token mobilny, smsy lub zdrapki)
      B. Niestety, nie
      C. Aplikacja do tokena nie posiada możliwości dokonywania przelewów samodzielnie, aplikacja IKO posiada (ale nie posiada funkci tokena) i domyślne to 1000 na każdy z 3ch typów operacji, można je zmienić przez stronę WWW, co wymaga podania kodu z metody uwierzytelniania.
      D. Aby włączyć uwierzytelnianie tokenem iPKO, patrz punkt pierwszy. Jeśli chodzi o IKO: nie ma takiej możliwości, do uwierzytelniania służy token, nie IKO.
      E. Jedynie jako metodę zapasową, co wymaga działań jak wyżej. Skorzystanie z metody zapasowej wymaga ustawienia jej jako główną np dzwoniąc na infolinię. Na infolinii nie ma możliwości aktywacji nieautoryzowanej wcześniej metody uwierzytelniania, jeśli nie mamy dostępu do innej.
      F. Nie
      G. Login + hasło + kod dotychczasowej metody
      H. Login + hasło + kod dotychczasowej metody

      Jedna tylko uwaga co do tokenu iPKO: jest to “standardowy” token challenge-response w formie aplikacji. Ma jednak on jedną wadę, mianowicie nie przepisujemy tam danych z transakcji, ale numer transakcji który bank nam podaje, gdy próbujemy jej dokonać. Nie jest on w widoczny sposób powiązany z transakcją (nie jest to fragment numeru konta, kwoty itp), więc nie wiemy czy na pewno autoryzujemy to, co widzimy na ekranie.

  12. Wydaje mi się, że autoryzacja na telefonie (ale niepowiązana z sim) to zmniejszenie bezpieczeństwa.
    Wystarczy znajomość hasła do bankowości oraz dostęp do telefonu i można sobie “przenieść” autoryzację na inne urządzenie. Po czym telefon wyczyścić (sms) i zostawić jak gdyby nigdy nic.
    Do momentu sprawdzenia stanu konta ofiara jest nieświadoma problemu.
    To krok gorzej niż duplikat SIM bo wtedy “od razu wiadomo” – nie działa telefon. Gorzej niż kradzież telefonu, bo wtedy też się od razu wie (raczej).

  13. Hm w jaki sposób operatorzy wydają duplikat skoro muszą wylegitymować osobę, która przychodzi pod duplikat. A złodziej nie ma przecież naszego dowodu

    • Zlodziej ma fałszywy dowód. Taki dowód na dowolne dane można zamówić w necie za 350 zł.

    • Ostatnio było tu o tym głośno (T-Mobile i Orange)

    • Fałszywy dowód z moim zdjęciem? Po co sieci skanują dowody (mimo, że to niedozwolona praktyka) gdzie widnieje zdjęcie właściciela.

    • Przeciez nie musi to byc Twoje zdjecie ;) Pomijamy tez tutaj fakt, ze wielu pracownikow operatora nawet nie sprawdza danych. Podajesz PESEL i masz wszystko :/

    • Już nie skanują dowodów. Więc zdjęcie nie ma znaczenia. Poza tym ma być niedługo art., że czasem udaje się uzyskać duplikat SIM bez dowodu.

  14. Straszne kombinacje z tymi aplikacjami mobilnymi, a wystarczy odpalić na smartfonie mini operę i mamy szyfrowane połączenie z pełną autoryzacją.

    • Chyba nie do końca zrozumiałeś o czym my tu :-)

  15. Akurat z tymi phisingiem na kody zdrapki nie do końca trafione. Kod ze zdrapki wpisuje się zawsze na stronie banku (przynajmniej w PKO BP), a nie w dotpayach. Phising jest utrudniony przez losowość i jednorazowość kodu (na phising musiałbym się więc złapać dopiero w momencie gdy przestępca zlecił przelew, odświeżenie strony zużywa kod). Dlatego właśnie uważam, że to rozwiązanie jest najbezpieczniejsze z wymienionych, bo trudno uzyskać kod poza fizyczną kradzieżą.

    Sam się przesiadłem na smsy ze względu na wygodę, ale jak czytam o tych podróbkach kart SIM to myślę, że wrócę do zdrapek.

    • Przeczytaj tabelkę z wierszem MITM/MITB

    • Strona banku, którą widzisz na komputerze, może być kompletnie spreparowana, gdy Twój komputer jest zainfekowany. Będziesz “widział”, że robisz przelew, który planowałeś, a tak na prawdę jak wspomniano w artykule, zatwierdzasz zupełnie co innego. Widziałem już na youtube nagrania rozgoryczonych klientów, którzy np. pokazują na nagraniu, jak w historii transakcji jest, że swoje “pieniążki”, przelewali tam, gdzie chcieli, a potem otwierają potwierdzenie pdf i tam zupełnie inne konto. I to bank zły, bo na stronie “oszukujo”. A to po prostu wirus bez problemu podmienia html, ale z pdf’em już nie ma tak łatwo.

  16. Bank Millenium:
    A. Millekod, Hasło SMS, Hasło Mobilne (ustalane przy pierwszym powiązaniu aplikacji)
    B. Tak, wiadomość Push w aplikacji mobilnej na każdym urządzeniu
    C. Tak, dzienny kwotowy (nie znam domyślnego zmieniłem to dawno temu)
    D. Millekod, H@sło1, Hasło SMS – SMS nie zawiera opisu (np. Operacja nr 5 z dn. 07-08-2018 HasłoSMS: 123456)
    E. Tak
    F. Autoryzacja jest uruchamiana na konto nie na telefon (aktywując autoryzację mobilną autoryzuje się wszystkie podpięte urządzenia – z tego co ja rozumiem bo nie można włączyć autoryzacji tylko na jednym urządzeniu)
    G. Millekod, H@sło1, Hasło SMS – można zmienić tylko przez stronę www (w aplikacji mobilnej tylko podgląd części limitów)
    H. Millekod, H@sło1, Hasło SMS – SMS nie zawiera opisu (np. Operacja nr 5 z dn. 07-08-2018 HasłoSMS: 123456)

  17. Ehh, nawiązując do Waszego PS. Pracowałem w T-Mobile i nigdy, ale to nigdy sam nie wyrobiłem karty klientowi, jeśli nie okazał dowodu. Raz za to, byłem świadkiem sytuacji, w której kolega został zmuszony przez kierownika, do wyrobienia karty Panu “Heniowi” bo to kolega kierownika. No nie wiem, ja wyzwiska i wulgaryzmy od żon, których “mąż ciężko pracuje w Anglii i nie ma czasu przyjechać wyrobić tej je***** karty” przyjmowałem na klatę, więc nie wiem jakim trzeba być bezmózgiem, żeby takie duplikaty wydawać.

  18. Hej, niebezpiecznik, jednego typa od tych złodziejów, policja już złapała, wiadomo co z resztą tej grupy?

  19. A według mnie takie instalowanie drugiej apki i spinanie jej z kontem powinno być potwierdzane przez właściciela w pierwszej apce. Tak, żeby jedna apka była główna, a reszta zależnymi od niej. I np mam apkę główną i chcę zainstalować drugą np żonie. Wtedy dostaję powiadomienie w głównej apce, że dodatkowa apka spina się z moim kontem i pyta czy się zgadzam. Zgadzam się i z tej drugiej apki można potwierdzić przelew, ale dopiero za zgodą w głównej. Trochę uciążliwe i widzę za co płaci żona, ale można nadać uprawnienia zależnej apce w głównej. W takim wypadku tylko zgubienie telefonu może pozwolić na spięcie innej apki z kontem, a to już nie będzie konieczne, bo telefon z główną apką ma złodziej i robi co chce.

    • A co jak zgubisz telefon? Albo – jak wskazuje rzecznik mBanku – odinstalujesz apke bez odpięcia?

    • W mBanku odpięcie apki od konta i przejście na SMS-y wymaga potwierdzenia w tejże apce. Przynajmniej tak było jakieś 3 tygodnie temu, o ile mnie pamięć nie myli. Dziwne, że zmiana apki na inny telefon tego nie wymaga. A co zrobić w przypadku odinstalowania/zgubienia? Pewnie dzwonić na infolinię i zautentykować się inaczej.

    • Mozna ‘atak’ rozciagnac w czasie – wtedy wlasciciel ma jeszcze jakas mozliwosc zareagowania.
      Np: dodatkowa appka domyslnie zautoryzuje sie po 3,6, 24h, chyba ze wczesniej zatwierdzimy ja w poprzedniej instancji appki albo wdzwonimy sie na infolinie (AVR) i zautoryzujemy nowa instancje appki.

    • @Piotr. W przypadku braku możliwości autoryzowania aktywacji nowej aplikacji mobilnej przez wcześniej zainstalowaną można jeszcze wysłać e-maila z kodem aktywacyjnym.

    • Ale to o czym pisze “rar” chyba jest lepszym pomysłem. Aktywacja nowej aplikacji przy potwierdzaniu we wcześniej uruchomionej, a jeżeli nie zostanie ona wykonana w ciągu 24 godzin zezwolić na przesłanie kodu za pomocą SMS’a. Raczej w takim czasie każdy się zorientuje, że nie ma dostępu do swojego numeru (w razie wyrobienia duplikatu SIM).

  20. Ja już od dłuższego czasu noszę smartfona bez karty SIM. Łączę się z domowego hotspota wifi, albo z publicznie dostępnych sieci, przez VPNa chodzącego na mojej domowej maszynie (bo mogę tam sobie postawić DNS over TLS, adblocki, etc). Numer telefonu mam voipowy, od dużego, znanego providera. zza granicy. Jedyny mankament, że nie mam na ten numer SMSów, ale bank ma opcję oddzwaniania.

  21. Użycie aplikacji do uwierzytelnienia przelewów jest fajne, dopóki aplikacja działa poprawnie. Ok. pół roku temu aplikacja mBanku regularnie rozparowywała/deaktywowała się na moim telefonie co najmniej raz w tygodniu, a trwało to ok. 2 miesiące, a do tego aktywacja udawało się dopiero za drugim razem, co dyskwalifikowało użycie aplikacji do uwierzytelnienia i zmusiło do powrotu do SMSów.
    Na szczęście ok. 2-3 miesiące temu problem ustąpił, ale nie można być nadal pewnym, że nie powróci z różnych powodów (a może to być jakaś aktualizacja producenta telefonu, Google czy mBanku).
    Z tego też powodu blokada ponownego sparowania z koniecznością wizyty w oddziale banku, w ogóle by mnie zniechęciło do użycia aplikacji.

    • Jestes jednym przypadkiem na milion. Ze wzgedu na Ciebie reszta klientow nie powinna cierpiec.

    • No nie wiem, mam wrażenie, że złe działanie apki mobilnej jest częstsze niż kradzieże z kont bankowych, szczególnie w wypadku słabego zasięgu

    • też miałem takie problemy, u mnie obserwowałem to zawsze rano po cotygodniowym backupie, chociaż faktycznie nie co tydzień (a wtedy jakoś co chwilę aktualizowali apkę).

  22. W EuroBank jest 3 stopniowa autentykacja.
    Potrzebny jest:
    – login
    – haslo
    – token do logowania (jednorazowe haslo do zalogowania),
    a do przelewu znów:
    – token do potwierdzenia przelewu, który podaje co potwierdzamy (aplikacja daje kod, ty wklepujesz w apke i dostajesz info co potwierdzasz oraz kod autoryzacji do wklepania).
    Dodopatkowo powinno być dodatkowe haslo i sms dla przelewow powyżej np. 10 tys i jest ciężko to przeskoczyć

    • > autentykacja
      Uwierzytelnienie! Potworki językowe zostawmy w spokoju ;)

  23. Szkoda ze wystarczyły Wam tylko 3 tygodnie by zapomnieć jak łatwo można zainstalować złośliwą aplikację na IOS.

    • Dokladnie o tym samym pomyslalem.
      Jakby na komorki nie bylo wirusow albo podrobionych aplikacji bankowych.
      Desktop (najlepiej nie windows, wpisywanie urla z palca/zakladek/sprawdzanie certyfikatu + SMS) jak dla mnie wyglada bezpieczniej niz komorka na ktorej nosi sie sporo dziwnych aplikacji.

  24. https://c1.staticflickr.com/2/1218/1438197131_1e0d474266_b.jpg

    Barclays w UK od lat stosuje PINsentry, kiedyś miałem wątpliwości co do tego urządzenia głównie dlatego, że gdyby ktoś poznał mój PIN do karty i ukradłby mi portfel na ulicy to uzyskałby cały dostęp. Jednak teraz gdy korzystam z Apple Pay i karta leży bezpieczna w domu to jednak gwarantuje to trochę większy poziom bezpieczeństwa w dobie ataków na duplikaty SIMów

    • Tak jak Ty też walnę offtop, ale jako odpowiedź w kwestii PINu,
      to w Austrii bank Die Erste ma również coś podobnego, jest to customowany Kobil TAN Optimus generator, OEM’owe rozwiązanie. Ino że w kwestii bezpieczeństwa:
      1. Karta siedząca w środku wydaje z siebie tylko ID, które jest częścią challenge (z punktu widzenia tokena). Mechanizm porównałbym tu do Enigmy i jej kodów dziennych.
      2. PIN-do-karty != PIN-do-“tokena”. Piszę w cudzysłowie, bo de facto
      to nie do tokena samego w sobie, lecz jest uzupełnieniem challenge.

      W kwestii wygody zaś:
      1. Token nie jest pre-programowany, t.j. wymiana baterii nie pociąga za sobą konieczności dymania do banku; w przypadku uszkodzenia/utraty zamiennik jest wydawany z kartona od ręki za 19 euro, ew. zgodny z serią Kobil ChipTAN.

      2. Autoryzacja challenge-response “z ekranu”, dzięki czemu i nie trzeba przepisywać nic z kompa.
      Nie wiem, jak to nazwać… “mrugacz”? – przykładasz do kilkupaskowego mrugającego pola na monitorze i cechy transakcji zostają wgrane do tokena.
      Jako backup alternatywnie z klawiatury, ale oczywiście więcej klikania. Przećwiczyłem “dla zasady”, choć przez 6 lat nie miałem problemów (na LCD, na CRT nie wiem).

      3. Działa z wybraną kartą banku (zwykłą płatniczą lub dodatkową “e-bankingową” za 5 euro).
      Tu duży plus dla Die Erste, że zmianę autoryzacji można przeprowadzić tylko w placówce.

      Drzewiej takie tokeny (nie pomnę już nazwy producenta) miało PKOSA,
      gdy jeszcze mieli internety w oddziale w Łodzi,
      oraz (świeć panie nad jej duszą) Nordea.

    • #Franek o ile wiem belgijskie banki np. KBC też takie coś używają. Vasco (obecnie OneSpan) oferuje token CrontoSign oparty na odczytywaniu kodów QR. Token ten jest oczywiście sprzętem offline (ma port Micro USB do ładowania baterii). Niestety istnieje też jego wersja w postaci apki, co na starym Androidzie może być mniej bezpieczne. W holenderskim Rabobanku oferowany jest token CrontoSign dodatkowo z czytnikiem karty, więc jego uruchomienie wymaga wpisania kodu PIN

  25. Aplikacje mobilne banków są nie tylko niebezpieczne, że zawierają jakieś podatności, braki czy błędy wykonania. One są niebezpieczne ze względu na błędy w założeniach projektowych. Podstawowy problem to definicja do czego taka aplikacja ma służyć. A kolejny to uleganie specom od marketingu, różnych mediów i efektów wow. Kiedyś przed instalacją próbowałem zweryfikować, jakich uprawnień wymaga aplikacja banku. Kiedy zobaczyłem, że do aparatu foto, kontaktów, SMS i wielu innych rzeczy, to uznałem że coś jest nie tak i aplikacja musi być lewa. No bo po co jej to. Ale sprawdzałem dalej. Po długich poszukiwaniach (banki niechętnie podają szersze informacje) znalazłem, że kontakty, bo jakbym chciał wysłać przelew znajomemu, to sobie pobiorą jego dane, aparat, bo skanowanie kodów czy coś innego. To nie tylko rodzaj uwierzytelniania przelewu jest problemem, ale projektowanie aplikacji, która otwiera wiele furtek i pozbawia czujności użytkownika. Bo skoro banki stosują takie samo podejście jak przestępcy, to jak ich odróżnić?

    • Pekao24 “wymaga” aparatu do działania funkcji “fotoprzelew”, kontaktów do wyszukiwania numerów kont z książki adresowej albo do doładowania jakiegoś prepaida. Uprawnienia można odebrać w menedżerze uprawnień LineageOS (android) / Ustawienia ->Prywatność (W10M), zakończy się to czarnym ekranem na fotoprzelewie i pustą listą kontaktów przy szukaniu adresata przelewu/doładowania w kontaktach. Identyfikator telefonu jest przechowywany przez bank – zabezpieczenie przed kradzieżą całego isolated storage i przeniesieniem na inne urządzenie. Te uprawnienia można wytłumaczyć w tym wypadku ;)

  26. Ze zdrapkami Inteligo jest jeszcze jedna fajna sprawa, system pyta się o numer kodu do autoryzacji, jednak często gęsto nie pyta o kolejny niezdrapany, tylko o jeden, dwa dalej. Np zdrapany jest 1, 2 i 3, a pyta o 5. Sprawia to wrażenie, jakby ktoś inny zużył kod 4.

    • Gdybyś był uważnym Klientem Inteligo i czytał komunikaty to wiedziałbyś, że wcześniej bank pytał o kody ze zdrapek po kolei: 1,2,3,4, itd. Dopiero od pewnego czasu wprowadzono pytania o losowe kody, jako dodatkowe zabezpieczenie.

  27. A ja proponuję zajać się źródłem problemu – czyli duplikatem SIM
    Ewidentnie operatorzy mają problem który powinni szybko i w miarę skutecznie rozwiązać.
    Moja propozycja nie odpłatna a mam jeszcze jedną:
    Duplikat karty SiM który zostaje wydany jest aktywowany po minimalnym określonym czasie – do ustalenia (niem niej niż 30min)
    W czasie tych np.30 min OPERATOR wszystkimi dostępnymi technicznie środkami a ma ich kilka (SMS,push, teleinfo) wysyła informację, ostrzeżenie na stary SIM dajac uzytkownikowi szansę na zablokowanie duplikatu , usuniecie tel z banku itp jesli to nie on zdobył duplikat
    OCzywiście jakas mała kampania informacyjna u telecomów

    Wystarczy chcieć i naprawdę ten przekręt mozna szybko uszczelnić niewielkim kosztem.

    • O tym też mamy już artykuł – patrz PS.

  28. Trzymajcie nieużywane w danej chwili wolne środki w pieniężnych funduszach inwestycyjnych. Odkupienie jednostek funduszy inwestycyjnych to przynajmniej kilka dni. W tym czasie zorientujecie się, że ktoś przejął dostęp do waszego konta. Oczywiście w połączeniu z powiadomieniami SMS o zalogowaniu do konta (zakładam, że złodziej spróbuje się zalogować do konta przed wyrobieniem karty SIM jeżeli kody przychodzą na numer telefonu, którego nikt nie zna). W artykule brak jeszcze jednej ważnej informacji – mBank nie daje możliwości wysyłania powiadomień PUSH informujących o logowaniu do konta. W sumie przeprowadziłem już kilka dni temu takie samo śledztwo w mBanku jak to w artykule (mBank oczywiście najpierw namawiał mnie do przejścia na autoryzację mobilną – ale wytknąłem mu możliwość aktywowania aplikacji na nowym urządzeniu za pomocą SIM) i oczywiście na koniec geniusze z mBanku zaproponowali kartki zdrapki. tłumaczenie mBank jest też nie do przyjęcia – twierdzą, że klient, który chce zastosować dobrowolnie na żądanie bezpieczne ale mniej wygodne rozwiązanie, nie wie co czyni i działa na swoją szkodę – przykre…

  29. “pozwolić klientom (na ich własne ryzyko, opcjonalnie) blokować na stałe (tj. do wizyty w banku) możliwość zmiany autoryzacji mobilnej z jednego urządzenia na inne.”

    To… kiepskie rozwiązanie.
    Lepsze jest takie z wyborem w ustawieniach przez klienta, np.:
    – brak blokady zmiany autoryzacji mobilnej
    – blokada, w celu zmiany dyspozycja słowna na mLinii (po przejściu weryfikacji z podaniem telekodu)
    – blokada, w celu zmiany trzeba poczekać 24 godziny

    I tyle, proste i bezpieczne (znaczy 2 ostatnie opcje).

    • ps. w celu zmiany tego ustawienia zastosowanie powinien mieć także aktualny “profil” – czyli np. telekod albo czekanie. Oczywiste, ale wolałem dopisać…

    • _opcjonalnej_ w cytacie jest. Ale jak najbardziej wszelkie warianty pośrednie też mogą być rozwiązaniem. Pytanie ile czasu zajmie dogranie procesów i softu.

    • Właśnie podobnie jest reinstalacja PekaoTokena rozwiązana, jak nie ma się dostępu do poprzedniej instancji (doświadczyłem na własnej skórze): po którejś letniej (2017) aktualizacji zabezpieczeń mojej Lumii 950 wprowadzili jakieś dodatkowe zabezpieczenie wymagające dwóch restartów do pełnego włączenia… tyle że telefon “zdążył” zaciągnąć sobie konfigurację z opcją, która mogła zostać włączona dopiero po pełnej procedurze restartów i telefon, widząc to podczas drugiego restartu (“wybuchowe” połączenie “Ochrony przed zresetowaniem urządzenia” i “Szyfrowania urządzenia”)… sformatował mi cały wbudowany w słuchawkę TPM, odcinając dostęp do absolutnie wszystkiego na nim – zaszyfrowana karta pamięci, zaszyfrowana partycja danych, zaszyfrowana nawet partycja systemowa i generalnie softbrick (“BitLocker recovery (…) press Enter key to continue” – ktoś wyobraża sobie naciśnięcie entera na urządzeniu bez fizycznej klawiatury?). Dane z SD odszyfrowałem ściągnąwszy kopię klucza z OneDrive (standardowo Bitlocker trzyma tam backupy kluczy), ale telefon trzeba było odtworzyć z obrazu systemu, apki z kopii w chmurze, no i oczywiście te nieeksportowalne ustawienia apek (jak np. klucze od Pekao) poszły do piachu.
      Oczywiście dało radę dodać apkę, tylko że wymagało to kontaktu z infolinią, uwierzytelnienia się raz, potem drugi po wyjaśnieniu po co dzwonię, i przejściu szczegółowej odpytki – zmieniono metodę autoryzacji na SMS, co pozwoliło na wyjście z pętli czekania na klucz ze starej apki, żeby kodem z SMS-a potwierdzić aktywację nowej.

  30. Nigdy w życiu nie będę używał aplikacji mobilnej. To wg. mnie najgorsza metoda, owszem może i wygodna, ale najbardziej niebezpieczna.

    • Podzielisz się wynikami Twojego modelowania zagrożeń?

    • Może się mylę – ale to moje zdanie. Doświadczenia w używaniu aplikacji mobilnych nie mam, ale słyszałem i czytałem wiele złego na ich temat: fałszywe aplikacje, przechwytywanie transakcji, inne aplikacje szpiegujące zainstalowane na tym samym telefonie, itp.
      Nie mam zaufania do Androida bo go nie znam i nie wiem (tak jak w Windows) co gdzie jest poumieszczane w strukturze plikowo-dyskowej i jak działa jakakolwiek aplikacja. Jakoś jest to wszystko pochowane.
      Jak na razie do przelewów używam tylko jednego komputera, operacje bankowe wykonuję tylko w domu (za firewal’em NGFW). Tylko jeden raz (pewnie z kilku tysięcy operacji w ciągu powiedzmy 20 lat) wykonałem płatność z tabletu (ale też w domu).

    • Mhm czyli klasyczne nie znam się ale się wypowiem bo Marcin powiedział, że jego tata powiedział…

    • @Jan
      Hmmm, nie chcę być czepialski, ale… czepiasz się. Gość napisał, że to jest jego zdanie i może się mylić, a Ty… no cóż wykazujesz się znajomością starych seriali.
      Może w zamian za to powiesz nam wszystkim, dlaczego android jest nieprzejrzysty? Bo jest. Mam androida (niestety, a mimo to z własnej woli) i nie wiem dlaczego wymaga tych uprawnień, których wymaga. Dlaczego deweloperzy nie piszą czego i dlaczego wymagają, dlaczego brak zgody na dostęp do np. lokalizacji banuje całą aplikację, dlaczego trzeba zmieniać telefon co dwa lata (co najwyżej!) żeby mieć w miarę aktualnego androida, dlaczego na mój – całkowicie sprawny i wszystkomający – telefon nie mogę łatwo zainstalować ani LineageOS ani nawet guglowego oreo?
      Masz prawo uważać, że to jest bicie piany, ale – i to z kolei jest moje zdanie – w takim wypadku powinieneś dzielić się nim tylko wtedy jeśli możesz coś konstruktywnego dorzucić.
      W tym wypadku po prostu odpowiedzeć na w/w pytania

  31. Nie do konca zgodze sie z brakiem mozliwosci zabezpieczenia karty zdrapki, badz np listy kodow jednorazowych.
    Taka liste mozna wrzucic w Excela, zamienic miejsca kolumn i znaki w kazdej kolumnie. Taka lista moze sobie lezec w pliku z haslem i nie ma problemu z jej zabezpieczeniem (lub tez w keepass).
    Oczywiscie nie zabezpiecza to przed podmiana autoryzacji, ale umowmy sie – przelewy na nowe konta, czy tez na wyzsze kwoty wykonuje z bezpiecznego sprzetu, ktory ma mniejsze ryzyko przejecia niz jakis postronny PC czy Mac. Dodatkowo mozna miec aplikacje zabezpieczajaca przegladarke.

    • A teraz powiedz to halinie :) Twoje podejscie jest nie tylko błędne w założeniach ale i nierealne dla każdego normalnego człowieka.

    • A może jakieś argumenty? Czy Halina przebywa za dużo z Januszem?

  32. Citibank Handlowy

    A. login i hasło identyczne jak do portalu bankowości internetowej.
    B. nawet nie przez sms
    C. identyczny jak dla bankowości internetowej; tylko limit sumaryczny dzienny.
    D. nie ma takiej możliwości
    E. tak. Powiadomienia PUSH przychodzą tylko na urządzenie, z którego ostatni raz były aktywowane (zmieniając urządzenie trzeba powiadomienia wyłączyć i znowu włączyć). Aktywacja powiadomieć nie wymaga potwierdzenia.
    F. ja nie dostałem nawet smsa
    G. kod z sms. Zmiana możliwa tylko z bankowości internetowej. Limit wspólny dla bankowości internetowej i mobilnej.
    H. nie dotyczy

    • Mowa o aplikacji na androidzie, nie wiem jak iOS. Ale żeby nie było tak źle, smsy do potwierdzenia transakcji są bardzo rozbudowane.

      A sama aplikacja jest naprawdę jedną wielką niedoróbką, co widać po opiniach aplikacji (id apki androidowej com.konylabs.cbplpat)

  33. Niech operatorzy dadzą przed przełączeniem przynajmniej 6h zanim zacznie działać duplikat albo i nawet 24h gdy logowal się do sieci stary SIM w ciągu ostatniej doby. Oprócz tego niech przyślą od razu przy wyrabianiu duplikaty powiadomienie na stary SIM ze jest wyrabiany nowy z opcja odpowiedzi STOP w celu zatrzymania procedury. Przestępca w garści od ręki.

    • A co jak klient potrzebuje karty na już? A co jak nawet 6h nie wystarczy bo ktoś jest w samolocie albo w pracy, gdzie nie ma pod ręką telefonu?

    • lepiej kraść tozsamosc bo ktos chce na już…
      jeśli potrzeba nagle to może dostac nowy numer, albo niech przynajmniej oba działają przez jakiś czas przecież to nie problem skoro zapomnialeś orginalu albo zgubiles i nie używasz (przynajmniej w trybie otrzymywania połaczeń/sms)
      w kazdym razie powiadomienie powinno być wysyłane na “stary” SIM z informacja o duplikacie w momencie wyrabiania!!

  34. Może warto zacząć forsować na bankach następujące rozwiązanie:
    Potwierdzenie przy pomocy “karty zdrapki” plus “kod sms, lub push na aplikację mobilną” takie rozwiązanie pozwoli na wyeliminowanie wszystkich opisanych ataków kosztem drobnej niewygody. Takie rozwiązanie mogłoby być tylko dla chętnych – dla mnie osobiście byłoby dużym plusem przy wyborze banku. Plusem takiego rozwiązania jest to że istnieje narzędzie autoryzacyjne którego nie musimy mieć zawsze przy sobie oraz jedna z jego składowych jest całkowicie offline.

    • to już lepiej token. I niektóre banki, jak wspomniano w artykule, takie tokeny udostępniają.

    • SMS i karta zdrapka, skuteczne i TANIE

    • Albo hasło SMS dla wszystkich operacji, oraz dodatkowy token np. tylko dla operacji od jakiejś określonej większej kwoty. Dla małych kwot nikomu nie opłacałoby się wyrabiać dupkilkatu SIM a na większe kwoty byłaby dodatkowa ochrona.

  35. Nikt chyba nie wspomniał o tokenie sprzętowym RSA z CA.
    Na siłę go zabierają, jest ciut większy od pena i wisi ładnie przy kluczach…
    Coś w temacie?

    • Token Credit Agricole nie jest tokenem challenge-response, więc jest na poziomie bezpieczeństwa kart zdrapek.

  36. Wszystko fajnie, ale poza aplikacją trzeba zwykle mieć też dane logowania do banku. Na bezpieczeństwo tych danych bym położył nacisk. A jeżeli mimo to są obawy to oszczędności trzymać na innym koncie które nie ma bankowości internetowej i wymaga wizyty w banku celem wypłaty lub wpłaty.

    • To jest może i realne dla kowalskiego, ale nie dla kont firmowych. A wlasnie te czyszczą atakiem z duplikatem SIM.

    • @BioZ – dokładnie tak, niektóre Banki mają opcję założenia dodatkowego konta (tzw. Technicznego) i ograniczenie go tylko i wyłącznie do obsługi przez okienko w oddziale. W ten sposób masz:

      > konto główne, na którym trzymasz tylko tyle, ile jest potrzebne na bieżące opłaty. Tu realizujesz płatności via SMS, aplikacja mobilna, czy Token. Minimalizujesz ryzyko do poziomu przechowywanych środków.

      > konto techniczne, na którym g… zrobi ktoś, kto nawet i zaloguje się via Internet (bo nie będzie miał takiej opcji w systemie). Może się co prawda udać do okienka z lewym dowodem, ale wówczas to już w 100% odpowiedzialność spada na Bank ;-) Jak robisz większe przelewy od czasu, do czasu – możesz się przejść do “okienka”, przy tej okazji dowiesz się o “nowych”, specjalnie dla Ciebie przygotowanych ofertach Banku ;-)

      P.S. Do tego zestawu najlepiej wyrobić jeszcze kartę płatniczą PrePaid’ową i jej używać w płatnościach internetowych. Zasilasz ją tylko taką kwotą, jaką w danej chwili realizujesz płatność, a jak wycieknie jej numer, cóż wyrabiasz kolejną (albo się nie przejmujesz, bo przez 99% czasu jest na niej 0 PLN).

      @Kowalski – konta firmowe, chyba najlepiej jednak zabezpieczyć transakcje na zasadzie tokenu “challenge-response”. Ofert Banków jest wiele i jeżeli nie ma takiej opcji, to nie zakładam konta i idę do konkurencji. Pani Halinka “Księgowa” odpowiada głową za przelew, więc jak odpowiednio ją przeszkolisz, to będzie go obsługiwać. A nawet lepiej, bo token dodatkowo sprawdzi przynajmniej część danych (np. końcówkę numeru rachunku) ;-)

  37. A może to podpięcie aplikacji powinno być potwierdzane kodem ze zdrapki, wpisywanym w tą aplikację. Wtedy zdrapka nie służy do potwierdzania czegoś nieznanego na stronie którą ktoś mógł podmienić, tylko do jednego celu w (przynajmniej teoretycznie) kontrolowanych warunkach. O ile nie zgubię listy, to tylko ja mogę podpiąć aplikację na nowym urządzeniu. Oczywiście nadal pozostają inne niebezpieczeństwa aplikacji, ale to eliminuje jej główny problem – ten w momenci podpięcia.

  38. Jest kolejne proste rozwiązanie dla banków – ciasne limity transakcji (np. max 1000zł dziennie) w ciągu 3-7 dni od aktywacji nowej aplikacji.
    I zapomnieliście (wraz z bankami) jeszcze o jednym – powiadomienia (“push” w nowomowie) o aktywacji nowej aplikacji można również wysłać mailem.

    • Nierealne dla firm.

  39. wydanie duplikatu karty sim powinno się odbywać wyłącznie po otrzymaniu droga listowną kodu PIN z którym udajemy się do operatora gsm, problem rozwiązany

    • Przy tempie z jakim działa nasz poczta to w sytuacji zgubienia lub kradzieży karty/telefonu trzeba będzie z pół tygodnia czekać na duplikat. To niestety odpada.

  40. Ja mam aplikację banku w bezpiecznym folderze. Więc autoryzacja poprzez aplikację jest nie wygodna. Muszę się najpierw zalogować do bezpiecznego folderu i później do aplikacji.

  41. Ja wiem, że offtop, ale jak się czyta o tych “limitach do 1 miliona” (lub więcej?), to człowiek się zastanawia, czy z tą bankowością internetową nie zapędziliśmy się w kozi róg: szukamy technicznych rozwiązań dla problemów, które sami sobie właśnie wygenerowaliśmy, a zapominamy o podstawowym rozwiązaniu polegającym na dywersyfikacji.
    Bo gdy trzymamy kasę w skarpecie, to nie trzymamy oszczędności życia w jednym miejscu (zgubienie/kradzież/pożar/zalanie/grzyb), lecz część w piwnicy, część na strychu, trochę zakopane w ogórku.

    Podobnie z eBankingiem; czemu nie przyjmiemy, że eBanking to taka “portmonetka” do płacenia za prąd/gaz/telefon czy zakupów na alledrogo?

    Spróbujmy tak:
    1). jakieś tanie konto i/lub wirtualna karta w banku X właśnie w celach eBankingu.

    2). kolejnym naturalnym krokiem jest posiadanie osobnego konta w banku Y ze zleceniami stałymi na czynsz (w miarę stały), raty kredytu (bank sam się obsłuży), alimenty (też zwykle stałe w funkcji miesięcy), przelewy na prywatny fundusz emerytalny. Do tego konta dostęp mamy “offline”, czyli w okienku.
    Jeśli chcemy mieć kontrolę nad tym, co tam się dzieje, to większość znanych mi banków pozwala na elektroniczne wyciągi na skrzynkę elektroniczną, niektóre (mBank, die erste) nawet w wersji szyfrowanej.

    3). na koniec wspomniane “oszczędności życia” i co za tym idzie otwarcie konta oszczędnościowego/obligacji/whatever, na które spływają nadwyżki z pkt 2.

    … chyba, że zarabiamy więcej niż “programista za 15k”, to mamy finansowego konsjerża,
    a on już się technikaliami zajmie…

  42. Korzystam z aplikacji mBanku na dwóch telefonach. Na podstawowym telefonie mam włączoną mobilną autoryzację, jednak gdy chcę ją też uruchomić na drugim, pojawia się komunikat o konieczności nadania dodatkowych uprawnień – klikam i NIC. Mobilna autoryzacja dalej działa tylko na moim podstawowym telefonie. Nie wiem jak wyglądałoby to w przypadku tego samego numer telefonu, ale jeśli chodzi o korzystanie z aplikacji mobilnej na dwóch urządzeniach z różnymi numerami to nie działa!

    • wkleisz screeny?

  43. “złodziej który ma login i hasło do konta oraz duplikat karty SIM może…” – innymi słowy: “złodziej, który posiada duplikat kluczy do Twojego domu (zdobył od producenta zamka) oraz zna adres i pin do alarmu może…” :) podziękował za lekturę ;)

    • Słyszałeś kiedyś o zainfekowaniu komputera złośliwym oprogramowaniem? Zdajesz sobie sprawę z tego ile “złodziejów” codziennie jest rozsyłanych do ludzi e-maila mi?

  44. Ale jak klient jesty tylko w zasięgu sieci GSM (nie jest podlaczony po Wi-Fi) to tego rekomendowanego PUSHa w aplikacji mobilnej nie otrzyma przecież bo jego karta SIM jest (już) nieaktywna :(
    Rozwiązaniem byłby PUSH ale taki który musiałby zostać (w jakiś sposób) potwierdzony.

    • To może telefon z Dual SIM? Druga karta najlepiej u innego operatora.

    • Ale ten patent z pushem to ma byc dodatkowa forma powiadomienia best-effort, a nie forma prewencji. Wysylajac cos takiego bank stara sie wszystkimi mozliwymi kanalami poinformowac klienta, ze operacja miala miejsce co daje klientowi czas na reakcje. Mozna tez emailem.

    • puszek … no i właśnie o to chodzi, że to powiadomienienie nie dotrze do właściciela konta, a w tym czasie ktoś kto przejął kartę SIM zrobi co miał zrobić. Gdyby PUSH wymagał jakiegoś działania (bez którego aplikacja na innym telefonie nie zostałaby autoryzowana) to miałby on sens bo by operację podpinania kolejnej aplikacji do konta WSTRZYMAŁ.

  45. Czytam Niebezpiecznika regularnie i dawno nie widziałem tak dobrego artykułu. Jedno do czego mogę się doczepić to słowo Nie Dotyczy zamiast, moim zdaniem, Niemożliwe w polach dla kart zdrapek. Jeśli chodzi zaś o zdrapki (których sam używam) to pomimo oczywistej jej wady (przejęcie kontroli nad komputerem) warto zauważyć że jest to jedyna jej wada której łatwo zapobiec wydzielając osobny (mikro)komputer do przelewów: np. Raspberry Pi. Poza tym nad bezpieczeństwem naszego komputera mamy kontrolę; nad tym czy podrobią naszą kartę SIM – niestety nie. No i używając zdrapek bank nie ma dostępu do naszej prywatności. Niecierpliwie czekam na artykuł o podrabianiu kart SIM i mam nadzieję że będzie jeszcze lepszy!!!

  46. Credit Agricole (brak autoryzacji mobilnej)
    1) trzeba “podpisać” umowę bankowości mobilnej – czyli wyklikać zgodę w bankowości internetowej – potwierdzane SMSem lub tokenem
    2) w aplikacji trzeba wpisać login i hasło z bankowości internetowej (jak ktoś ma token to też wskazanie tokena)
    3) trzeba ustalić hasło do aplikacji
    4) trzeba ustalić hasłod o transakcji
    5) przepisać kod z smsa

    Więc apka jest totalnie podatna na atak z duplikatem sima. Trochę pomaga token, ale wiadomo jak łatwo go zfiszować (sfiszować?).

    • A! Domyślny limit transakcji w aplikacji to 2000 zł, zwiększyć się da przez infolinię lub w placówce (w bankowości internetowej da się tylko zmniejszyć)

  47. Ciekawe jak w przedstawionym przez Was porównaniu wypadłaby usługa Mobile Connect, która jest wprowadzana przez operatorów:

    https://www.gsma.com/identity/mobile-connect-banking

    usługa oferuje atrybuty operatorów, które banki mogłyby wykorzystać w zabezpieczaniu swoich procesów biznesowych.

  48. Uzywalem autoryzacji mobilnej przez krotki czas, dla mnie problemem była zawodność , może to byla choroba wieku młodzieńczego bo zacząłem jej uzywac jak tylko Mbank ja wprowadził ale po 2 tygodniach efekt był taki ze przestała Działać calkowicie i nie byłem w stanie nic autoryzoqac nigdzie , wrócił em do SMS ów, i raczej aie nie wybieram spowrtoem

  49. Tutaj trzeba pochwalić T-Mobile usługi bankowe. Nie znam innego banku (może Wy znacie?), który pozwala na skonfigurowanie autoryzacji logowania do bankowości internetowej za pomocą aplikacji mobilnej.

    • @Czepiacz
      Jest taka opcja w Inteligo, o ile się nie mylę.

  50. Czemu słyszę pierwszego gifa? xd

    • Chcielibyśmy, żeby ludzie nie tylko go słyszeli, ale również zapamiętali ;)

  51. Ja kiedyś kontaktowałem się z mBankiem, bo był okres, że logowałem się z niezaufanych komputerów do konta. Na moje pytanie kiedy mBank wprowadzi obsługę YubiKey jako dodatkowy token dostałem mglistą odpowiedź, że pracują nad podniesieniem bezpieczeństwa.

    A wystarczyłoby “wymusić” na klientach zakup takiego tokena ($40) i odpowiednio go zaimplementować jako dodatkowe zabezpieczenie dla np. mobilnych tokenów. Tak jak to robi Google ze swoim zabezpieczonym GMailem (zapomniałem jak ta opcja się nazywa).

    Tak, żeby np. instalacja mobilnej apki lub zmiana limitów powyżej jakieś wartości wymagała tokena YubiKey lub podobnego.

    Myślę, że każdy rozsądny klient mBanku wyda te $40 dolarów, tym bardziej że ten token może wykorzystać w innych serwisach.

    • Kiepski pomysł wymagać od klientów, żeby coś kupili. Gdyby była taka opcja, to ja bym z niej skorzystał, ale w zasadzie większość moich znajomych machnęłaby ręką, że po co ma specjalnie dopłacać. Te klucze mocno staniały, sam mam dwa klucze feitian (jeden na bluetooth i jeden, awaryjny, na USB) i zapłaciłem za komplet 40 euro, ale bank mógłby wprowadzić promocję, w której jeden klucz dawałby za darmo, albo za dopłatą wersję z bluetooth. Niestety prawda jest taka, że te klucze nie są szczególnie popularne, większość osób tak naprawdę o nich nie słyszała. Strony też je słabo wspierają – na chrome to działa, ale ja np nie lubię chrome. W firefoksie da się włączyć obsługę w about:config, do safari na maka jest plugin, ale co z tego, skoro google twierdzi że musisz mieć chrome, żeby z tego skorzystać, na facebooku trzeba zmienić user agenta i udawać chrome’a a banki, czyli strony, które najbardziej chcielibyśmy zabezpieczyć o technologii praktycznie nie słyszały.

      Zadałem kiedyś pytanie do allegro czy jako lider w wielu aspektach technologicznych rozważają u2f to support powiedział że nie ma żadnych potwierdzonych informacji i że przekazali do czarnej dziury z sugestiami.

    • U2F niekoniecznie produkcji yubico to świetne rozwiązanie, ale _tylko_ w celu ubicia zalogowania się do serwisu online i ochrony w przypadku pozyskania/kradzieży/wycieku haseł użytkowników. Tu co prawda ubiłoby to atak z duplikatem SIM, bo do niego (aby wyczyścić konto >5kPLN potrzeba znać hasło).

      Wdrożenie U2F (jako opcję) nie jest takie trudne. Też mnie zastanawia dlaczego banki nie chcą świadomym klientom dać takiej opcji.

    • W tej chwili czekam na rozpatrzenie reklamacji w Alior Banku.
      Zgłosiłem jako powód reklamacji – niezabezpieczony kanał autoryzacji – tj SMS
      I czekam na odpowiedź (formalnie powinieniem dostać 2 ego wrzesnia )
      Jak dostanę informację zwrotną to podzielę się informacją z redakcją.

    • A nawet wystarczyłby moim zdaniem drugi składnik w postaci Google Authenticatora do logowania. Jest on niezależny od karty SIM i apki mobilnej mBanku a bez niego nie da się zalogować jak jest ustawiony. A zakładam że telefon mamy przy sobie i jest to smartfon (jak już mamy tę nieszczęsną apkę mobilną :))

      P.S.
      Trochę pogrzebałem w interfejsie konta i tam w sekcji Ustawienia -> Limity jest opcja zablokowania zmiany limitów przez serwis transakcyjny. Gdy się ją ustawi zmieniać można wyłącznie przez mLinię, więc ewentualne “wpadki” idą na konto banku.

      P.S.2.
      Zastanawia mnie czy banki zbierają próbki głosowe i identyfikują po głosie. Nigdzie mi nie mignęło takie info, może Ty Piotrze wiesz coś na ten temat?

  52. A co z kartami chipowymi do podpisu przelewów w przeglądarce? Banki spółdzielcze korzystają z takiego rozwiązania opartego o javę.

    • Jakiś bank jeszcze używa apletów javy? O ludzie…

    • Żadna normalna przeglądarka nie obsługuje już apletów Javy. Na stronach rządowych zorientują się za 10 lat.

    • Tak, bank spółdzielczy w Kłodzku z pewnością ma jeszcze klientów z tym problematycznym rozwiązaniem.

  53. Nie mam smartfona, nie mam aplikacji mobilnej. Weryfikacja tylko SMS.
    Dlaczego nie mam smartfona, odpwoedz prosta żaden smartwon nie wytrzyma 2-3 tygodni bez ładowania.

    • Ale robisz coś, co uniemożliwia Ci ładowanie co 2 dni, czy upierasz się przy byciu dinozaurem dla zasady?

    • @Fin:
      pewnie “robi”: nie-pozwala-technice-na-zrobienie-z-niego-niewolnika
      ;)

    • Te 3 tygodnie to chyba w standby? ewentualnie z paroma smsami i kilkoma minutami rozmowy. W sumie to jakby tak użytkować smartfona to nie jeden wytrzyma z 10 dni a pewnie znajdą się i takie które dałyby radę i ze 2 tygodnie.

  54. Zastanawiam się tak bardo luźno nad najlepszym rozwiązaniem tych wszystkich problemów. To co mi przychodzi do głowy, to dodanie przycisku i jakiegoś taniego prostego alfanumerycznego ekranu (e-ink na przykład) do telefonu. W telefonie musiałby być wydzielony układ do którego byłby podłączony ów przycisk i ekran (system nie miałby możliwości wyświetlania czegokolwiek na dodatkowym ekranie lub symulowania naciskania przycisku). Zadaniem układu byłoby generowanie na dowolne żądanie z systemu i przechowywanie jednej pary kluczy (publiczny-prywatny) oraz podpisywanie wiadomości przychodzących z systemu. Przy czym klucz prywatny nie mógłby być w żaden sposób wytransferowany poza układ, a klucz publiczny byłby dostępny na dowolne żądanie, ale jedynie przez wspomniany wydzielony ekran – tak by była wymagana fizyczna obecność np w banku w celu potwierdzenia przynależności klucza publicznego.

    Proces autoryzacji byłby wtedy banalny:

    Wiadomość do podpisania wyświetlałaby się na dodatkowym ekranie, a jej podpisanie polegałoby na naciśnięciu przycisku.

    Ależ by było pięknie ;-)

    • A gdyby tak zintegrować ze smartfonami klucze U2F (hardware’owo) i zachęcić (chrome ma do tego fajne narzędzie “TA STRONA NIE JEST BEZPIECZNA) adminów do wprowadzenia obsługi tych kluczy? Każdy ma smartfona, to nie jest osobne urządzenie, które trzeba kupić.

  55. A może warto pójść w biometrię twarzy? Dziś wszystkie telefony mają kamery w związku z tym wprowadzenie dodatkowego elementu autoryzacji nie byłoby problemem. I w takiej sytuacji można zlodziejowi oddać wszystkie hasła, telefony i tokeny dobrowolnie….

    • Ktoś ci mocno nastuka i przez miesiąc nie wykonasz przelewu. ;)

  56. Dlaczego czas zauważenia braku posiadania urządzenia w przypadku karty sim jest długi, a w przypadku smartfona szybki? Zakładamy że nosimy kartę sim poza smartfonem?

    • To raz. A dwa, że jak stracisz zasięg w smartfonie, to dalej możesz z niego korzystać i tego nie zauważysz (bo grasz w grę, jesteś na Wi-Fi i oglądasz film, itp.).

    • Bo jak przestępca wyrobi duplikat SIMa to nie tracisz go fizycznie, tracisz jedynie dostęp do usług. W razie braku zasięgu pierwsza myśl każdego człowieka to awaria albo problem z telefonem a nie “ktoś mi wyrobił duplikat sima”. Nikt nie panikuje, tylko na spokojnie w wolnej chwili kołuje skądś drugi telefon, sprawdza czy sim działa a potem idzie do salonu po duplikat. To daje przestępcy mnóstwo czasu. Jak zginie Ci telefon to panikujesz i od razu zastrzegasz SIMa, nie myśląc nawet o banku a o tym, że ktoś Ci nabije rachunek.

    • Dlatego przy wyrabianiu duplikatu SIM operatorzy powinni przesyłać komunikat SMS o tym, że taka operacja miała miejsce. Oczywiście na tyle wcześnie, aby miała szansę dotrzeć na starą kartę.

    • DOKŁADNIE!

      To bardzo dobre zabezpieczenie! W salonie: “Ok, już panu wydajemy kartę, ale moment, tylko dostanę komunikat wysłania informacji SMS tak… Chwilę… Ok…”

      A tak wogle to taka operacja powinna trwać, zgubiłeś kartę, ktoś ci ja zabrał, trudno, dziś zgłaszasz, a po 24 godzinach dostajesz nową. A w tym czasie od razu wysyłany jest sms i jest czas, by na niego mógł zareagować prawdziwy właściciel numeru!

      Podświetlcie to na czerwono i dobrze było by to zaproponować operatorom.

      PS. A JAK KTO BY SIĘ BURZYŁ, TO PRZY UMOWIE MOŻNA BY WYRAŹNIE ZAZNACZYĆ, BY W RAZIE ŻĄDANIA DUPLIKATU NIE ZOSTAŁ ON WYDANY WCZEŚNIEJ NIŻ 24 GODZIN PO WYSŁANIU SMS-a INFORMUJĄCEGO O DUPLIKACIE!

    • @MegaMan

      Złodziej miał wszystkie dane, żeby chwilę przed wizytą w salonie, po duplikat, wyłączyć prawdziwą kartę SIM i pewnie tak robili.

    • SMS o wyrobieniu duplikatu? Po co? Przecież duplikat wyrabia się bo stara karta zginęła albo padła z założenia, więc kto w legalnym przypadku miałby tego smsa odebrać?

      Pomysł nielogiczny.

    • @Toya.
      Jeżeli operator pozwala zablokować kartę to również o takiej procedurze powinien informować SMS’em. Szczególnie w przypadku, gdy karta SIM jest aktywna w sieci.

      @Borek.
      Informacja o blokadzie karty SIM powinna być wysłana, gdyż w innym przypadku użytkownik może odnieść wrażenie, że to po prostu awaria. Jako ogranicznik można wysłać ten SMS tylko w przypadku, gdy karta jest zalogowana w sieci.

  57. W ING aby zalogować się do aplikacji mobilnej ustawia się oddzielny PIN (jest on taki sam dla wszystkich instancji aplikacji). Weryfikacja poprawności PINu przebiega po stronie serwera (tak przypuszczam. Ddy nie ma połączenia z Internetem, to nie pojawia się nawet ekran do wprowadzenia PINu tylko od razu błąd połączenia). Jak się dobrze rozegra politykę PINów (tj. inny do karty SIM, inny do karty debetowej a inny do aplikacji mobilenj i żadne nie mają logicznego związku), to mamy dodatkowa barierę przy próbie korzystania z aplikacji mobilenj przez nieautoryzowane osoby (nie tylko przy ataku z duplikatem karty SIM).

  58. Stare macie te zrzuty ekranu ze smartfona. W Getin Banku już dawno są wpisane kwoty przelewów w smsach z potwierdzeniem.

  59. Ja kiedyś próbowałem używać autoryzacji mobilnej w mbanku, ale pewnego pięknego dnia postanowiła przestać działać.
    Nie udało mi się wtedy przełączyć na smsy inaczej niż przez kontakt z infolinią…

    Od tego czasu nie wróciłem do aplikacji mobilnej, choć może stała się już na tyle popularna, że globalnych awarii już nie ma ;)

  60. A jak wygląda sprawa bezpieczeństwa przy tzw. “mobilnym podpisie” (vide BZWBK). Tak nośnikiem klucza jest karta SIM. Czy jak złodziej uzyska duplikat mojej karty SIM z “mobilnym podpisem” – to przejmie moje uprawienia z tego podpisu?

    Lucas

    • Duplikat karty SIM nie powinien zawierać “mobilnego podpisu”. Gdyż procedura ta to tak na prawdę przypięcie danego numeru telefonu do nowej karty SIM z nowymi kluczami autoryzacyjnymi.
      Teraz tylko pozostaje pytanie jak taki “mobilny podpis” instalujesz na karcie SIM w BZWBK. Jeżeli przy użyciu autoryzacji przez SMS to złodziej nie będzie miał większego problemu z taką operacją.

  61. Co do duplikatu karty SIM to warto mieć operatora jak np. Mobile Vikings, bo tam żeby wyrobić duplikat trzeba im wysłać email z konta email na które jest zarejestrowane konto. A że ja mam gmail z logowaniem przez sms (na nowe urządzenia) to nikt się nie zaloguje bez karty SIM, więc nie może złożyć wniosku o duplikat. Także polecam coś takiego.

    • A czy na pewno nie dadzą się namówić “bo my zgubiliśmy hasło do poczty”? :)
      W dodatku adres maila łatwo sfałszować przy wysyłaniu.

    • Myślisz, że u operatora ktoś sprawdzi czy nie zespoofowałeś adresu e-mail, jeśli wszystkie dane się zgadzają?

    • No to wtedy pozywam operatora skoro wydał duplikat na inny adres email niż mój.

    • Pytanie, czy sąd przyzna odszkodowanie stosowne straconych środków, czy do tego, co płacisz operatorowi?
      Czy masz w umowie jakieś wysokie gwarancje bezpieczeństwa?

  62. W przypadku autoryzacji SMS warto wspomnieć, że niekoniecznie trzeba mieć duplikat karty SIM. Posiadacze iPhone (iMessage) a od niedawna także i Androida (Android Messenger) mają możliwość korzystania z aplikacji do wiadomości bezpośrednio z komputera.
    Jeżeli osoba korzysta z takiej funkcjonalności i ma zainfekowany komputer to bardzo łatwo może wykraść kod przesłany SMS.
    Zadanie jest o tyle ułatwione w przypadku Androida, że Android Messenger jest aplikacją webową uruchamianą w przeglądarce. Wystarczy wtedy dobrze spreparowany dodatek/rozszerzenie przeglądarki.

    W podobny sposób można się narazić używając Pushbullet – aplikacji m.in. do synchronizacji powiadomień z telefonu na komputer. Zainfekowany komputer widzi wtedy wszystkie powiadomienia pojawiąjce się na telefonie, w tym SMS z kodami.

    Dobrze mówię?

  63. “Powiedzmy to wprost – jeśli wydawcy kart SIM nie zmienią polityki dotyczącej duplikatów, każde zabezpieczenie, wdrożone przez bank, może być niewystarczające.”

    Czyli zrzucanie winy na operatorów, którzy wiadomo, że nie stosują adekwatnych zabezpieczeń?
    Trochę szkoda.
    Kto trzyma pieniądze, bank, czy operator? Skoro bank, to bank powinien wprowadzić takie zabezpieczenia, jakie są konieczne, a nie sugerować, że winni są operatorzy.

    Są tokeny U2F z wyświetlaczem (Trezor), które potencjalnie (nie wiem, czy standard to obsługuje) mogłyby wyświetlać do potwierdzenia dane przelewu. Czy jakikolwiek bank choćby bada możliwość wprowadzenia czegoś takiego? Ja nie słyszałem :(

    Czy to nie absurd, że konto mailowe zabezpieczamy lepiej (U2F) niż pieniądze w banku?

    • Winne są procedury u operatorów – zbyt łatwo można wymienić kartę SIM ! I tu nie chodzi o banki – banki i my wszyscy zyskają przy okazji. Operator powinien zabezpieczać swoje interesy bo następuje przejęcie numeru telefonu !!!! Czyli przejęcie usługi świadczonej przez operatora !!! Rozumiesz teraz ? A za tym idzie cały PR, marketing, opinie użytkowników etc. które przekładają się na bezpośrednio zyski operatora w przyszłości.

    • Jeśli podpisujesz z kimś umowę i płacisz komuś za to, żeby przechowywał klucz do Twojego domu, to jeśli go odda byle komu to jest wina tego co przechowywał klucz czy producenta zamka?

      Operatorzy komórkowi mają pełną świadomość, że telefon jest drugim składnikiem uwierzytelnienia bo biorą pieniądze za przyjmowanie takich smsów autoryzacyjnych do swojej sieci, więc powinni czuć się odpowiedzialni za bezpieczeństwo takiej autoryzacji. Problem w tym, że jak wszyscy robią źle to nikt nie ma motywacji żeby coś zmienić.

    • Damian, Fln:
      Ja rozumiem, że winni są operatorzy i powinni podnieść bezpieczeństwo swoich usług. Ale w praktyce, wyłudzanie duplikatów to bardzo stary proceder i jakoś żaden operator się nie chwali, że u niego jest bezpiecznie, prawda?

      Producenci zamków wprost przeznaczają swoje produkty do zabezpieczania drzwi. W przypadku operatorów SMS to gratis, nikt operatorów nie weryfikuje pod kątem bezpieczeństwa. Za SMS dostają grosze i raczej niespecjalnie kontrolują wysyłanie takich rzeczy.

      Już chyba kilka lat temu NIST wydało zalecenie, że nie należy używać SMS jako 2FA i tyle. Mam wrażenie, że to trochę jak używanie SSN w USA. Wiecie, że oryginalnie identyfikatory z SSN miały nadrukowane zastrzeżenie “not for identification purposes”? Ale wbrew intencji utrzymujących system zostały użyte do identyfikowania ludzi w różnych innych usługach i teraz w Ameryce ludzie mają problem w razie wycieku SSN i nikt nie czuje się winny. Nie ma prawie żadnego parcia, żeby było bezpiecznie :(

    • Deutsche Bank dla kont firmowych ma klucz sprzętowy z wyświetlaczem. Służy do potwierdzania logowania i transakcji.

  64. A gdyby tak rejestracja aplikacji bankowej na nowym telefonie wymagala klikniecia zgody w aplikacji na juz zarejestrowanych telefonach? Zlodziejowi nic by nie dalo przejecie karty SIM.

    • To proste rozwiązanie, ale uciążliwe – jak stracisz stary telefon (zgubisz, ukradną Ci, popsuje się), albo po prostu dziecko Ci przez przypadek usunie aplikację, to masz problem.

    • @Fln, jako fail-safe trzeba byłoby umożliwić autoryzacje aktywacji nowej aplikacji mobilnej banku poprzez SMS, ale dopiero po upływie przykładowo 24 godzin.

    • @Fin:
      Tak, jak dziecko spuści klucz do drzwi w kiblu, to masz problem.

  65. Nest Bank – Tu nic nie działa jak powinno: Brak powiadomień push, brak autoryzacji mobilnej, brak zdrowego rozsądku banku…

  66. W UK w Barclays token jest wydawany bez zadnych danych konta itp. Dopiero wlozenie karty platniczej i wpisanie pinu uaktywnia wszystkie funkcje. To jest fajnie zaprojektowany system, bo mozna miec 2 tokeny jeden w domu, drugi wpracy i oba bez karty sa calkowicie bezuzyteczne, a karte kazdy ma zawsze ze soba. Wszystkie operacje wlaczajac logowanie na konto sa calkowicie kontrolowane przez pare token+karta. Mialem juz raz problem z wykonaniem przelewu. 3 krotnie kod podany przez token nie “wszedl”. Dopiero odpalenie z zewnetrznej karty pamieci Linuxa i zalogowanie sie z czystego systemu rozwiazalo sprawe. Czyli typowy atak MIDM na windows XP.

  67. Bank ING klienci inwidualni
    Ad. A
    Login do banku (częściowo psełdolosowy), PESEL, Pin do aplikacji, Kod z SMS-a. (Przy próbie nie pamiętam pinu każe wpisywać hasło maskowane do konta)
    Ad. B
    Można mieć wiele aplikacji podłączonych i jest ewentualnie lista aktywnych aplikacji zakopana gdzieś w ustawieniach. Jest też coś ala rejestr zdarzeń ale też trzeba go monitorować ręcznie
    Ad. C
    Nie widziałem takiego ograniczenia.
    Ad. D
    Nic. Jest automatycznie uruchamiana po powiązaniu z aplikacją lecz działa tylko na przelewy i też nie wszystkie. Czasami woła o aplikacje a czasami woła o kod SMS.
    Ad. E
    Tak
    Ad. F
    Nie. Tylko kod SMS o aktywacji i ewentualna informacja w zdarzeniach. Powiadomoeń nie ma (a przydały by się)
    Ad. G
    Autoryzacje o limitach idą zawsze SMSem niezależnie od jakiego limitu (nawet zmiana limitu na 0 musi być potwierdzona SMSem)
    Ad. H
    Zalogowanie się do bankowości internetowej i wyłączenie wszystkich aplikacji i wyłączenie możliwości autoryzacji aplikacją mobilną

  68. Jeżeli dobrze pamiętam do bankowości online (w sensie potwierdzenie sms) kiedyś polecaliście “starą Nokię” z numerem używanym tylko do tych operacji. Jak to wypada w porównaniu z aplikacją mobilną?

    • Nigdy takiego czegoś nie sugerowaliśmy.

      Na marginesie: stare telefony nie mają problemów z infekcją złośliwym oprogramowaniem, ale to nie znaczy, że nie mają innych problemów na poziomie firmware ;)

    • @Piotr sugerowaliście: https://niebezpiecznik.pl/post/6-rad-jak-bezpiecznie-wykonywac-przelewy/ :
      “Do odbierania bankowych SMS-ów wyznacz dedykowany telefon. Nie smartphone — telefon. Stara nokia sprawdzi się idealnie — im “głupszy” (starszy) telefon, tym lepiej, bo ciężej go zainfekować. ”

      Aczkolwiek cyberbezpieczeństwo to szybko zmieniająca się dziedzina, więc w 2015 aplikacje mobilne banków mogły być rzadkością i te rady były najlepsze.

      @Voltir odpowiedź na pytanie “SMS vs. dobrze (ale DOBRZE!) zrobiona aplikacja mobilna” masz w artykule. Oczywiście nie ma nic za darmo i zwiększenie bezpieczeństwa odbywa się prywatności: 1. Przyznanie aplikacji bankowej wymaganych przez nią uprawnień; 2. Telefon z zainstalowanymi Google Play Services in the first place, no bo przecież na F-Droida żaden szanujący się bank nie wypuści aplikacji.

    • * “odbywa się kosztem prywatności”

  69. Czyli dobrym rozwiązaniem byłoby szybkie wdrożenie przez operatorów e-SIM.

    • Takie coś działa m.in. w USA i oznacza tak naprawdę zahardkodowanie w telefonie pracy z jednym (i tylko tym jednym) operatotem. Niezbyt dobre dla konkurencji rynkowej ;)

  70. Można by zlikwidować wady haseł SMS i zdrapek.
    Wystarczy, żeby bank przy potwierdzaniu transakcji wysyłał SMS z opisem transakcji i numerem hasła jednorazowego.
    Hasła jednorazowe powinny znajdować się na karcie-zdrapce, którą fizycznie posiada właściciel konta.

    Duplikat karty SIM nie pomoże przestępcy, bo nie będzie on miał listy haseł.
    Podmiana danych na stronie (w locie) nic nie da bo dostaniemy SMS z opisem transakcji.
    Podmiana strony i karty SIM nie pomoże przestępcy bo właściciel konta nie dostanie SMS-a z prośbą o “hasło nr …”

  71. Mając już skonfigurowaną autoryzację aplikacją mobilną mBanku nie jestem w stanie zmienić urządzenia do autoryzacji ani z poziomu tego urządzenia, ani z poziomu nowego urządzenia, ani z poziomu serwisu transakcyjnego. Albo wymaga to kontaktu z mLinią, albo ta funkcja jest tak dobrze ukryta w aplikacji i nie umiem jej znaleźć :)

    • masz pokazane na obrazku w artykule jak zrobic to krok po kroku na nowym urzadzeniu

  72. Autoryzacja SMS jest dobrym zabezpieczeniem, a cała wina leży po stronie procedur wymiany karty SIM/duplikatu karty SIM u operatorów sieci komórkowych. Należy zacząć od zadania sobie prostego pytania: Kiedy prawdziwy użytkownik wymienia kartę SIM ?

    1. Najczęstszą przyczyną jest utrata karty SIM poprzez zagubienie i/lub kradzież.
    2. Innym powodem jest po prostu uszkodzenie karty SIM czy to fizyczne (złamanie itp.) czy bardzie sprzętowe (po prostu chip nie działa).
    3. Czy ktoś zna inny powód wymiany karty SIM ? Kiedyś było głośno o klonach karty SIM, ale ten temat jest już chyba nie mozliwy do realizacji.

    O ile w pierwszym przypadku prawdziwy użytkownik jak i przestępca nie będą mieli starej oryginalnej karty SIM to w drugim przypadku takowa karta powinna się znaleźć na biurku pracownika operatora (bez starej karty nie ma możliwości jej wymiany!). W obu tych przypadkach mamy jednak wspólny mianownik czyli: stara karta SIM i numer telefonu przypisany do niej jest NIEAKTYWNY i nie można się na niego dodzwonić ! Wystarczy wdrożyć procedurę weryfikacji czy dany numer telefonu jest aktywny w tej chwili, a jeśli nie jest (przestępca musiałby mieć niezwykłe szczęście – np. wakacje prawdziwego użytkownika) to kiedy był ostatnio aktywny jeśli doszło do kradzieży lub zagubienia karty SIM. Do tego weryfikacja tożsamości po dwóch dokumentach ze zdjęciem (tak jak to było kiedyś). Tego typu informacje będzie posiadał tylko prawdziwy właściciel karty SIM, a jeśli numer telefonu jest w chwili próby wymiany karty SIM aktywny to fraud zdemaskowany !

    • Też o tym myślałem – sprawdzanie czy “stara” karta jest aktywna. Problem pojawi się wtedy, gdy zgubimy telefon, nikt go nie znajdzie i będziemy musieli czekać aż łaskawie raczy się rozładować. Również jeśli telefon ukradnie ktoś, komu z jakiegoś powodu zależy na tym, żeby go nie wyłączać. Aczkolwiek w tej sytuacji można po prostu na taki telefon zadzwonić – prawdziwy właściciel powie, że nie wyrabia duplikatu i natychmiast zdemaskuje oszusta. Problem w zasadzie robi się wtedy bardzo wąski – gdy zgubimy telefon i jakiś dowcipniś będzie odbierał mówił że jest właścicielem i nie wymienia sima, lub gdy nikt nie będzie odbierał.

      To chyba dobry pomysł, ale potrzebna dobra wola ze strony operatorów, którzy póki co kompletnie się nie poczuwają do odpowiedzialności.

      Jestem przeciwny wymagania dwóch dokumentów ze zdjęciem – są ludzie, którzy nie mają prawa jazdy ani paszportu i nie są już uczniami ani studentami, więc siłą rzeczy mają tylko jeden dokument. No chyba, żeby przy zawieraniu umowy zachęcać do użycia kilku dokumentów i potem ich wymagać przy załatwianiu spraw, ale wciąż – prawo jazdy można stracić, paszport może się przeterminować…

    • Złodziej miał wszystkie dane, żeby przed wizytą w salonie zablokować połączenia z karty SIM do której chciał wyrobić duplikat, można to zrobić np. na infolinii Play lub logujac się na konto Orange. Dziwne, żeby tego nie zrobił.

  73. Może nie w każdej sieci ale nie zgodzę się ze stwierdzeniem, że nie da się przekierować SMS’ów, w PLAY od lat istnieje usługa Wiadomości SMS i MMS na email https://www.play.pl/uslugi/wiadomosci-na-email/

    • Te z banków nie są przekierowywane. Patrz tu: https://niebezpiecznik.pl/post/przestepcy-przekierowali-mu-telefon-i-okradli-konto-w-banku/

    • Skoro tak piszesz to pewnie tak jest. Owszem czytałem ten artykuł. Ale zgodnie z Regulaminem §2 ust. 1 (…)usługa nie obejmuje wiadomości SMS i MMS przychodzących z zakresów numeracyjnych:
      a) 5x (4, 5, 6 – cyfrowe) oraz,
      b) 6x (4, 5, 6 – cyfrowe).

      Więc tak naprawdę nigdy nie mamy pewności 100% czy sms przyszedł rzeczywiście od banku bo banki zazwyczaj przesyłaj SMSy z własnym polem nadawcy więc nie da się bezpośrednio zidentyfikować czy numer rzeczywiście zaczynał się od 5 lub 6 i był 4, 5 bądź 6 cyfrowy, a z poza tego zakresu SMSy zostaną przekazane na e-mail. Niestety od co najmniej roku nie posiadam już numeru w Play i nie jestem w stanie tego przetestować we własnym banku, bo jestem ciekaw czy by to zadziałało.

  74. kto ma aktualnego androida ;)
    i koniec art. banki po prostu powinny same zaprojektowac porzadne tokeny
    i przy okazji zaczac publikowac odciski klucza www

  75. Screen z Windows Phone. Nikt nie używa windows phone! A gońcie się!!

  76. Aby uniknąć przejęcia danych do logowania do banku, jak dobrym pomysłem jest logowanie się z Live CD, ale z przestarzałą/niezaktualizowaną przeglądarką?

    • Zainstaluj sobie linuxa na Karcie pamieci.
      Uruchamiaj go raz w tygodniu, zeby sie zupdate’owal a uzywaj tylko do logowania sie do bankow.

  77. mBank mógłby te powiadomienia o aktywacji aplikacji, zmianie parametrów słać dodatkowo na adres e-mail powiązany z kontem bankowym.

    Dałbym także możliwość autoryzowania tak ważnych rzeczy jak aktywacja apki, przepięcie mobilnej autoryzacji i pewno jeszcze kilka innych by się znalazło przez stary dobry link aktywacyjny wysyłany na e-mail (np. w tym powiadomieniu).

    Powinno to trochę utrudnić sprawę.

  78. Czy rolę dedykowanego urządzenia do operacji bankowych może pełnić Raspberry PI 2B z systemem Rasbian? Oczywiście zakładając że będzie on na bieżąco aktualizowany i nie będzie używany do niczego innego.

    Czy jest to dobry pomysł? Jeśli nie to dlaczego?

    Pozdrawiam,
    Grzegorz

    • Rozumiem, że to miałoby zapobiegać przejęciu danych do logowania (malware, phishing, etc)

      Moim zdaniem – nie. System na Rasppery/jakimkolwiek innym urządzeniu/komputerze może zostać zainfekowany zanim zdążysz go zaktualizować (teoretycznie)

      Prawdopodobnie lepszym rozwiązaniem byłoby LiveCD. Ale tu jest kolejny problem – brak możliwości aktualizacji przeglądarki/systemu.

    • Każde dedykowane urządzenie będzie bezpieczne, tzn., że jedyną rzeczą jaką na nim robimy będzie wejście z przeglądarki na stronę banku, nie ma mozliwości infekcji czy przekierowania.

    • @toja – raczej bezpieczniejsze niż bezpieczne. Ale to też zależy od poziomu paranoi ;)

    • Nawet start z innego niż dysk twardy nośnika na nic się zda, jeżeli wektorem ataku jest tzw. ring0 (hiperwizor – pojęcie z dziedziny wirtualizacji, ale chodzi tu ogólnie o firmware płyty głównej itp.). Niektóre APTy potrafiły zagnieżdżać się nawet w bateriach, ba – kon-boot działa dokładnie tak samo, “atakuje” system operacyjny przez ring0, patchując kod jądra tuż przed wykonaniem.

  79. “Jednym zdaniem: jeśśli korzystasz z kart zdrapek z kodami, to przestępca ma ułatwione zadanie. Wystarczy że zainfekuje tylko jedno Twoje urządzenie — komputer — i koniec. Tracisz oszczędności życia.”

    Po każdej transakcji można sprawdzić (dowolnie wybranym kanałem), jaka kwota została przelana. W przypadku nadużycia transakcję można zablokować natychmiast na infolinii. Ponadto można włączyć (odpłatnie) raportowanie transakcji na koncie poprzez wysyłanie SMS, więc pomimo zlecenia transakcji do realizacji jej nie dojdzie, jeżeli po prostu sprawdzamy to co robimy.

    Pozdrawiam

    Pozdrawiam

    • Powodzenia w sprawdzaniu historii przelewów ekspresowych, nie mówiąc już o tym, że malware jest w stanie i historię podmienić (na zainfekowanym urządzeniu).

    • “Powodzenia w sprawdzaniu historii przelewów ekspresowych…”

      Ale o co chodzi?
      Nie można sprawdzić historii przelewów expres, nie wysyłają powiadomień w tym przypadku?

      Czy też sugerujesz, że przelewu ekspresowego nie można zablokować po kilku minutach od zgłoszenia oszustwa?

    • Jeżeli przelew już “poszedł” między systemami banków, to oba banki (a ściślej – ich działy informatyczne) muszą współpracować, by wyksięgować taką transakcję. Admin “tylko z jednej strony” za wiele nie zrobi bez takiej współpracy, bo tu chodzi o faktyczne środki przetransportowane z banku do banku (choć formalnie są zapisem księgowym, to jak się kasuje zapis z jednej strony, to MUSi być też skasowany z drugiej, by bilans był na zero).

  80. > – PESEL ofiary (nie jest tajemnicą w przypadku właścicieli firm figurujących w KRS)

    A jeśli tam tego nie znajdziemy, to w serwisie online można wybrać “Płatności > Przelew > Wykonaj przelew jednorazowy > Podatkowy” i odczytać PESEL który jest automatycznie wpisywany, nawet jeżeli nie robiliśmy przelewów podatkowych z mBanku. Samo wejście na stronę przelewu podatkowego nie generuje kodu SMS.

    • W ogóle to też błąd logiki biznesowej, że przelew podatkowy traktuje się w niektórych bankach jako inną kategorię niż krajowy. Przecież można go normalnie puścić przez zwykły elixir znając numer konta odpowiedniego US i jego dane adresowe.

    • A format tytułu płatności znasz? A VAT wolisz płacić z rachunku głównego, zamiast z konta split playmentowego?

  81. Czy aplikacja mobilna banku nie powinna gromadzić informacji o IMSI i IMEI w ramach bezpieczeństwa?
    Wówczas jeśli nastąpi atak duplikatem karty SIM, serwery banku będą wstanie wykryć ten atak.
    NP jeśli IMSI i IMEI się zmieniły to zablokować komunikację z tym numerem i wymagać osobistej autoryzacji aplikacji (w placówce banku).
    Jeśli jednak zmienił się IMSI a nie IMEI (zapewne instalacja aplikacji mobilne pozostanie stara) to wszytko powinno być ok (chyba, że nastąpiła kradzież telefonu).

    Poza tym, operatorzy i banki powinni spisać umowę. Operatorzy mogliby powiadamiać o wydawaniu duplikatów zanim zostaną aktywowane. A banki mogły by pomóc w autoryzowaniu klientów w biurach obsługi operatorów.

    • Taka umowa nie ma racji bytu – z jednej strony masz tajemnicę telekomunikacyjną, z drugiej tajemnicę bankową. Już nie wspominając o tym, że “adwokatury ochrony danych osobowych za wszelką cenę” miałyby doskonały temat spekulacyjny.

  82. Ten atak z użyciem duplikatu gsm to jakaś masakra jest. Nie dość że nic z tym nie można zrobić (a może można?), to przecież nawet po wykryciu takiego przejęcia nie da się tego szybko odkręcić. W tym momencie brak telefonu, zdalnie mamy mniejsze uprawnienia niż intruz, jeśli w ogóle jakieś. Zostaje osobista wizyta u operatora tel, bankach itp.

    • Można, można.
      Wystarczy obarczyć Operatorów odpowiedzialnością za Fraud i sprawa załatwiona.
      Przy kiklkuset takich sprawach operatorzy sami wdrożą zabezpieczenia albo odejdą w siną dal.

    • Operator może nawet nie zdawać sobie sprawy, że ma do czynienia z oszustwem – dobrze przygotowana maska na twarz i kolekcjonerski dowód na prawdziwe dane “podrobiony” z dokładnością 99.9% i nie idzie go odróżnić od prawdziwego.

    • Maska do lewego dowodu? Chybaś na głowę upadł… A zrobić można wiele – choćby wysłać SMS na starą kartę i bez potwierdzenia, że doszedł, zmianę wprowadzić dopiero na następny dzień roboczy, a z potwierdzeniem żądać przesłanego PIN-u. Jeżeli klient twierdzi, że telefon skradziono – kartę blokować, ale nową wydawać dopiero po otrzymaniu papierka z policji.
      Alternatywnie autoryzować przelewem z konta, z którego płacone są faktury (albo okazanie potwierdzenia wpłaty, jakim zostały opłacone ostatnie faktury). Przepytać z wysokości ostatnich faktur, najczęściej wybieranych numerów (albo i nawet najczęściej odbierane), prosić o okazanie telefonu z IMEI, jaki był do tej pory używany i tak dalej. Sprawdzić, czy aby na pewno karta nie zgłaszała się godzinę temu gdzieś daleko za granicą. Wysłać maila do potwierdzenia na adres, na który wysyłany są e-faktury.
      Na dowody “kolekcjonerskie” też jest rada – sprawdzać daty ważności poprzednich dokumentów. Jeżeli nie minął termin przydatności do spożycia, a zmienił się dokument, przyglądać się uważniej.

  83. “Ciężko nam uwierzyć że takie osoby istnieją. Ale nawet gdyby istniały, to…” odp. linux live

  84. Z aplikacją mobilną i SMS podobnie jest jeden zasadniczy problem. Jeśli zlecasz przelew (/inicjujesz transakcję) na komórce i na tej samej komórce autoryzujesz, to średnio można to uznać za pełnowartościowe dwuskładnikowe uwierzytelnienie.

  85. A co sądzicie o zainstalowaniu Ubuntu na karcie microsd z adapterem, na którym można mechanicznie zablokować zapis? Po instalacji systemu zrobić aktualizację czego się da i zablokować zapis. Rozważam zrobienie sobie takiego systemiku i się zastanawiam czy by byl dobry.

  86. Czy nie byłoby dobrym rozwiązaniem zdefiniowanie losowego sekretu i wydrukowanie go w umowie. Dodanie nowego urządzenia wymagało by użycie tego sekretu.

  87. Co do SMSów to bym dodał, że często wystarczy nawet chwilowy fizyczny dostęp do cudzego telefonu by odczytać SMSy z kodami autoryzacyjnymi, które pojawiają się na ekranie powiadomień. Bez potrzeby odblokowania telefonu…

    • Należy zablokować wyświetlanie treści informacji w powiadomieniach. W Androidzie istnieje taka możliwość.

    • na ekranie blokady. Zapomniałem dopisać.

  88. Dobrze też, jakby natychmiast przy żądaniu wystawienia duplikatu karty SIM na poprzednią przychodził SMS z informacją o tej operacji. Mielibyśmy kilkanaście minut na ewentualną reakcję… A przynajmniej zorientowanie się, że coś śmierdzi.

    • Złodziej wyłącza prawdziwą kartę i ten SMS pójdzie w kosmos.

    • @Toja.
      Przy wyłączeniu karty SIM również powinien być wysyłany SMS, że taka operacja ma miejsce. Można przykładowo zablokować połączenia wychodzące z wyjątkiem numeru, na który można zadzwonić i ewentualnie proces odwrócić.
      To przyśpieszyło by reakcję na tego typu przekręty.

  89. Mam konto w niemieckim banku. Aplikację można aktywować tylko na JEDNYM urządzeniu. Jak chcesz zmienić urządzenie, to musisz albo zdeaktywować poprzednią aplikację na starym urządzeniu, albo zdeaktywować ją poprzez infolinię.

    • Tak samo jest w eurobanku

  90. No pięknie, ale złodziej musi znać login i hasło do panelu przez www, co nie jest takie proste.

  91. Istotną słabością aplikacji mobilnej mBanku jest sposób potwierdzenia tożsamości użytkownika podczas jej instalacji. Nazwisko, pesel, numer rachunku, nazwisko panieńskie matki, to informacje, które z większym lub mniejszym trudem przestępca może pozyskać. Może zamiast tego bank powinien umożliwić zdefiniowanie do konta zestawu sekretnych pytań, na które odpowiedź (co najmniej na dwa) dawałaby dopiero możliwość przejścia do pozostałych kroków autoryzacji instalacji. Ewentualna zmiana sekretnych odpowiedzi na pytania powinna być oczywiście autoryzowana w aplikacji mobilnej. Zakładając, że przestępca nie wydobył od ofiary odpowiedzi, nie zdoła podpiąć aplikacji do konta. Nawet przy próbie ataku brute force na odpowiedzi, użytkownik będzie miał czas na zorientowanie się, że jego karta sim przestała działać.

  92. Czy nie wystarczyłoby aby hasło (kod autoryzacyjny) do nowego uruchomienia po zainstalowaniu aplikacji przychodził na maila?
    Zapewne większość i tak poda maila , który jest na telefonie, ale jeśli użytkownik ustawi sobie maila innego niż ma w telefonie to musi wejść do dodatkowej poczty (ma trochę trudniej), a złodziej ma kolejny bardzo trudny próg do przejścia.

  93. Heh, a rozwiązanie WSZYSTKICH tych problemów jest tak proste i tanie… Nazywa się klucz U2F Fido.
    Logowanie do banku oznaczało by login+hasło+Fido. Przechwycenie pary login+hasło nic nie da.
    Do potwierdzania transakcji starczy wtedy SMS lub apka mobilna (tutaj bez zmian).
    Aktywacja aplikacji mobilnej możliwa tylko za pośrednictwem serwisu www (po logowaniu z Fido).
    Koszt również niskie – w detalu takie klucze kosztują 5-7 euro, więc ile mogą kosztować w hurcie (kilkaset tysięcy sztuk rocznie minimum) – pewnie z 2e max. Samo Fido jest bezobsługowe (brak baterii), proste w użyciu.

    Aż się w pale nie mieści, że chyba ŻADEN bank w PL z tego nie korzysta.

    Ktoś widzi jakieś wady tego rozwiązania?

    • Kolejny dongiel… niestety czasem portów USB brakuje, poza tym standardów dongli nasiali już co najmniej dziesięć niekompatybilnych ani ze sobą, ani z niczym interoperacyjnym – mam już iLoka i jeszcze dwa inne, każdy do czego innego i jestem wkurzony, że nie można tego połączyć, i że nie działa na mojej przeglądarce ;)

    • Dla smartfonów potrzebny jest klucz U2F z NFC a dla iPhone działający na Bluetooth, choć Apple niedawno lekko otworzył chip NFC, niestety tylko w nowszych modelach. Google oferuje dodatkowe zabezpieczenie konta, ale niestety po włączeniu U2F nie da się odbierać Gmaila w aplikacji (nie wiem, czy zadziała przekazywanie). A co powiecie o czyms takim, OraSaifu https://www.indiegogo.com/projects/orasaifu-first-all-in-one-smart-wallet-design#/. To jest lepsze od Trezora i ma backup na chipie zbliżeniowym. Cena jednak poraża

    • Da się. Tylko kup sobie u2f z bluetooth.

    • @Lukasz032 nikt nie wspomina o jeszcze jednym problemie wynikającym z istnienia portów USB oraz USB-C i tego, że nowsze komputery maja tylko porty USB-C (Macbook 2015 ma tylko jeden port USB-C). Potrzebne są dwa dongle w razie konieczności użycia na “normalnym” komputerze stacjonarnym lub laptopie lub przejściówka z USB na USB-C bez której nie podłączysz Yubikey ze zwykłym portem USB do Maca (od 2015 maki mają porty USB-C), dongiel z dwoma rodzajami wtyczki USB (zwykła i USB-C), ale chyba nie ma takich dongli U2F lub dongiel NFC/Bluetooth, ale on z kolei wymaga ładowania

  94. W skandynawi a dokladnie w szwecji mam aplikacje do podpisu elektronicznego bank id.Moge spiac z telefonem tylko podajac wygenerowany kod na stronie i numer telefonu ktory przepisuje do aplikacji.za kazdym razem wyswietla sie czy to logowanie gdzie cxego dotyczy albo cz i8y to podpis.Jesli ludxie nie daja sie oszukac telefonicznie i nie wpidza komus kodu to nie ma za wiele sxans do ataku.nieautoryzowane sklepy czy tez zakupy w internecie tez wymagaja tym razem juz przepisania kodu wiadomosci sms w przypadku przelewow ,platnosci podpis w bank id.z kolei w hiszpani musze przepisac kod wyslany tez na aplikacje bankowa.dodatkowo tam mozna sie logowac do skojarzonej aplikacji odciskiem palca
    .

    • W Skandynawii poszło to dalej i do wszystkich banków możesz się logować przez Bank.id (Szwecja, Norwegia) lub Nem.id (Dania). U nas podobnie miałby działać system oparty na rozwiązaniu zakładającym identyfikację poprzez operatora komórkowego. Ale tu znów jest problem wyłudzenia duplikatu karty SIM. Ten problem jest zresztą nie tylko w Polsce

  95. Gdyby Mbank i inne banki dorosły umysłowo do poziomu Facebooka, czy Mozilli (bugzilla),
    to może mi powiadomienia, kody jednorazowe i wycviągi przysyląć mailem szyfrowanym GNUPG.
    Na Androidzie Openkeychain, na komputerze Enigmail i GNUPG, i mamy system X razy bezpiezniejszy niż SMS i aplikacja mobilna.
    I przy okazji, każdy błąd bezpieczeństwa GNUPG powoduje taki alarm w internecie, że ślepy i głuchy by zauważył, do tego mój Linux i Android poprawki bezpieczeństwa instalują automatycznie.
    Klucz GPG jest zabezpieczony frazą kodującą, OpenKeychain wyświetla powiadomienie po wywołaniu go przez aplikację, dużo bezpiecznejsza sprawa niż spartolona strona WWW wyswietlana jako “aplikacja mobila”.

    Ciekawe z resztą, dlaczego nikt nie ocenia appek moblinych pod kątem podrzucenia malware w bibliotece Androida, ktorej taka appka banku potem użyje do działania.

    Jeżeli widzę, że gość instaluje appkę do banku w 2018 roku na Androidzie 4.2 w Galaxy Note 2 i ta appka tam dziala, to nie mam więcej pytań.

    Przydaloby się też logowanie do banku chronione certyfikatem PKCS#11 lub PKCS#12.
    Malware nieprędko nauczą się używać certifkatu zapisanego w TPM, czy Yubikeyu,
    czy choćby w przeglądarce, a Google Play bardzo starannie pilnuje przeglądarki Chrome.

    Pozdro

    • Miło mi zwrócić uwagę na pierwszą osobę, która zaproponowała rozwiązania, które są już od dawna, są darmowe i do tego bezpieczne, mam na myśli wspomniane tu GnuPG! Wiele razy podnosiłem ten temat, lecz nigdy nie trafiał on do nikogo… Zawsze ktoś inny odpisywał, że to trudne itd…

      Banki mogłyby wdrożyć prosty bezpieczny system wykorzystując wolno dostępne opracowania, czemu tego nie robią? Głowię się nad tym pytaniem od wielu przeszło lat! Prawdopodobnie nie tacy jak ja głowili się nad nim i kolejni będą się nad nim głowić!

      Zresztą co powiedzieć, skoro ludzie wybierają pośród darmowych dobrych rozwiązań i tych płatnych totalnie zepsutych prowizorek mających udawać system… oczywiście ten drugi… A czemu muchy omijają piękne kwiatki na polanach i wolą odwiedzać śmietniki?

      Spotyka się czasem ludzi pszczółki, ale większość zdecydowanie to jak najbardziej muchy… Nie mam pytań… A ci bankowcy to osy i szczury normalnie… Wyścig os trwa w najlepsze, niech będą systemy bezpieczne, ale nie zbyt bezpieczne… No właśnie! Czemu nie mogą być zbyt bezpieczne??? Zna ktoś odpowiedź?

    • Powiadomienia push a maile… trochę krok w tył, nie uważacie? Poza tym w pushach kanał jest szyfrowany, w mailach zależy od ustawienia klienta. I niektóre banki już wysyłają maile cyfrowo podpisane (windowsowy klient poczty widzi podpis i go weryfikuje).

  96. W przypadku aplikacji T-Mobile Usługi Bankowe, aby podnieść limity transakcji tylko dla samej aplikacji przy użyciu tylko niej samej potrzebne jest tylko potwierdzenie tym samym hasłem, którym logujemy się do aplikacji.

    Limity jakie można ustawić sobie w aplikacji tego banku to:
    Gotówkowe – Max. 15 tys. zł.
    Bezgotówkowe – Max 25 tys. zł.
    Internetowe – Max 25 tys. zł.
    Zbliżeniowe – Max 25 tys. zł. (płatności zbliżeniowe możemy całkowicie wyłączyć w aplikacji mobilnej, ale nie możemy tego zrobić w bankowości internetowej)
    Czy to dużo? Raczej tak, tym bardziej, że nie ma ani słowa o ograniczeniach w liczbie takich transakcji w miesiącu.

    Ustawiając limity w bankowości internetowej (możliwe tylko poprzez potwierdzenie sms) mamy:
    Kanał internetowy
    Wysokość transakcji, które mogą być wykonane w kanale internetowym (dotyczy Nowej Bankowości Internetowej):
    Limit jednorazowej transakcji – Max 1 mln zł.
    Limit miesięczny transakcji – Max 1 mln. zł.

    Wysokość transakcji, które mogą być wykonane w kanale mobilnym:
    Limit jednorazowej transakcji – Max 5 tys. zł.
    Limit miesięczny transakcji – Max 30 tys. zł.

  97. ZDRAPKI są najbezpieczniejsze. Najbardziej upierdliwe, ale coś za coś.
    1. Masz oddzielny komputer/laptop (to nie jest na dzień dzisiejszy tak drogie) służący TYLKO do przelewów.
    Nie używasz go do NICZEGO innego – KONIEC KROPKA. DO NICZEGO INNEGO! Leży nieużywany i czeka, aż zrobisz przelew.
    Masz na nim, na wszelki wypadek zainstalowanego antywirusa (dobrego).
    2. Śpisz spokojnie
    3. Tylko fizyczna kradzież karty zdrapki będzie problemem.
    Zastanawiam się jak wygląda sprawa używania systemu na VM (VirtualMachine) tylko do przelewów.
    Chyba malware nie dostaje się do sandboxow (o ile nie udostępni się współdzielonych katalogów/napędów i nie uruchomi się czegoś w VM)
    No chyba, że malware umie przechwycić transmisje z VM?

    • Spróbuj sobie podpiąć do konta aplikację mobilną i sprawdź czy wymaga podania kodu że zdrapki.

  98. W mojej ocenie porównanie jest dosyć tendencyjne i bazuje na założeniu, że aplikacje mobilne są idealne, nie do podrobienia a jedynym ryzykiem jest fizyczna kradzież telefonu. W prawdziwym świecie tak nie jest.
    Kilka przykładów gdzie autoryzacja mobilna będzie gorsza od SMSów:
    – W części banków podpięcie aplikacji mobilnej wymaga podania hasła do konta i nici z 2FA – jeżeli komórka jest zainfekowana (a często nowe urządzenia mają już malware) atakujący ma wszystko co potrzebuje do wytransferowania środków – w przypadku SMSa sama infekcja komórki to za mało.
    – Aplikacje mobilne pozwalają na wykonanie przelewów – znowu mamy brak 2FA i sama infekcja komórki pozwala na przelew (większość osób nie zmieni limitów, a strata 5 tys., a jak ok. północy to w sumie 10 tys., też może zaboleć)
    – Osoba posiadajaca aplikację mobilną jest bardziej podatna na phishing z użyciem urządzenia mobilnego w stylu “podaj hasło by odblokować aplikację mobilną”
    – Zresetowanie dostępu do aplikacji w większości przypadków można zrobić SMSem, jak ktoś wyrobi duplikat karty SIM to trzeba mieć dużo szczęścia, żeby zdążyć zablokować wychodzący przelew ekspresowy, nawet jak akurat będzie wi-fi, na komórkę przyjdzie powiadomienie o podpięciu aplikacji na innym urządzeniu i w gąszczu innych powiadomień akurat damy radę je odczytać – a znam wiele osób które nie mają potrzeby tulenia komórki 24h/7 i wystarczy im 1-2 razy dziennie.
    – Jeżeli komuś uda się przejąć konto dewelopera oraz klucze i wypuścić nową wersję aplikacji mobilnej to automatycznie może wykonać “w imieniu” wszystkich użytkowników przelew. A jakość aplikacji bankowych, zwłaszcza w wykonaniu mniejszych banków, mieliśmy już okazję oglądać na łamach Niebezpeicznika, więc nie jest to jakiś mocno nierealny scenariusz.

    Oczywiście można podnieść bezpieczeństwo aplikacji mobilnej – powiązanie z kontem nie powinno opierać się na haśle, instalacja na nowym urządzeniu tylko po wizycie w oddziale (albo wygoda albo bezpieczeństwo), brak możliwości wykonywania innych operacji z urządzenia.

    A najbezpieczniejsze oczywiście byłyby tokeny challenge-response – tylko, że są drogie i mniej wygodne dla użytkowników no i szkoda, że banki w Polsce nie są na razie chętne na wprowadzenie takiego rozwiązania.

    • tokeny challenge-response był w Eurobanku za free 10 lat temu.
      Do dziś go mam.

    • > tokeny challenge-response był w Eurobanku za free 10 lat temu

      Jesteś pewien że to challenge-response? Próbowałem znaleźć informacje o tokenach w Eurobanku, ale jedyny który znalazlem to nie jest challenge-response.

      Generalnie, jeżeli token nie ma klawiatury to nie jest tokenem challenge-response, ponieważ nie można wprowadzić elementu “challenge”.

    • Pierwszy talken to była apka na telefon instalowana w banku.
      Bez wymogu podłączenia telefonu do Internetu (z wyjątkiem samej instalacji).

      Co do działania to podawało się numerek z przelewu widocznego na komputerze, apka wyświetlała to co np. mbanku przychodzi SMSem (operacja przelewu na konto 1144…3432 na kwotę 11 000zł, kod 54536765) no i kod wpisywało się do komputera.

      Dziś apka jest podobna, choć ma więcej możliwości to nadal działa bez podłączenia do internetu. Nie da się jej też przenieść na inny telefon (przynajmniej w teorii).

  99. tak jak ktos tu napisał wczesniej. wydaje mi sie ze to byłoby najlepsze zabezpieczenie, czyli wysyłany do klienta sms z banku z informacja jaka kwota i gdzie jest przelewana oraz informacja jaki numer hasła z listy haseł jednorazych ma byc uzyty. złodziej musiałby miec dostep do 3 rzeczy: konta (login+hasło), telefonu (duplikat karty sim), papierowej listy haseł. wg mnie awykonalne dla złodzieja ktory nie ma kontaktu bezposredniego z ofiarą, polegającego na włamaniu sie komus do domu i torturowaniu własciciela do momentu wydania listy, telefonu i danych do konta.

  100. Karta zdrapka jest jak najbardziej bezpieczna (w połączeniu z kodami SMS) tylko, że komu się chce wpisywać 2 kody, lepiej już stracić te sto baniek …

  101. Rozwiązaniem problemu duplikowania kart SIM mogło by być wprowadzenie możliwości zakazu ich duplikowania u operatorów przez klienta w formie wniosek (klient) – zaświadczenie (od operatora) z listą zablokowanych przed powieleniem kart SIM. Przy zniszczeniu lub zgubieniu karty traciło by się w ten sposób tylko numer tel. No ale coś za coś. Odpytam swojego operatora czy jest taka możliwość.

    • No chyba ktoś jest tu nienormalny. Dla wielu ludzi nr jest bardzo cenny np. dla osób prowadzących firmę bezcenny. Takie coś można sobie w umowie zastrzec przy rejestracji karty SIM i hardkorzy mogą sobie takie coś zaznaczyć.

  102. Ja mam jeszcze jeden sposób na zabezpieczenie aplikacji mobilnej inny niż push. W serwisie internetowym wystarczy dodać limit aplikacji mobilnych domyślnie ustawiony na jedną. Po zainstalowaniu i skonfigurowaniu aplikacji należy włączyć autoryzację przez aplikację. Zmiana limitu aplikacji w serwisie powinna być autoryzowana przez aplikację.

  103. Jakiś rok temu próbowałem korzystać z mobilnej autoryzacji w mbanku. I wszystko byłoby fajnie, gdyby nie to, że apka miała w zwyczaju robić sobie factory reset po backupie telefonu – nie zawsze, ale jednak.
    No i pewnego razu, będąc akurat na zagranicznym festiwalu, zostałem odcięty od dostępu do banku, bo apka się zresetowała, a żeby sparować nową musiałem..potwierdzić to w aplikacji.
    Po powrocie do domu, z pomocą infolinii udało mi się to jakoś obejść, ale postanowienie “nigdy więcej” pozostało.

  104. Najciekawsze rozwiązania stosowne przez banki:
    – Eurobank, logowanie 3 kodami (login, haslo, jednorazowy kod/ talken) + drugi kod do przelewu,
    – AliorBank, login i wybrane (zawsze inne) znaki hasła,
    – Raiffeisen, autoryzacja przelewów dwiema autoryzacjami ( w praktyce, dwie osoby, dwa rozne komputery firmowy i domowy, dwa rozne numery telefonu i telefony) //konto służbowe//

  105. Wydaje mi się że nikt poruszył jeszcze tego wątku: czy jest to fizycznie możliwe, i czy są jakieś przepisy, które tego zabraniają, żeby podać w każdym banku/instytucji losowe nazwisko panieńskie matki? Jest ono na ścieżce krytycznej większości procedur przywracania dostępowów i resetowania haseł/telekodów, więc zrobienie z niego prawdziwego sekretu powinno podnieść poziom bezpieczeństwa. Pytania uwierzytelniające przez infolinię są często tak łatwe, że nie trzeba infekować komputera.

  106. A co jeśli do uwierzytelniania zdrapką użyć systemu uruchamianego z płyty (dowolny bootowalny Linux)? Bo o ile zdrapka nie wygląda dobrze, tak biorąc pod uwagę jak łatwo można zrobić duplikat karty to i pozostałe rozwiązania nie wyglądają dużo bezpieczniej na chwilę obecną.

    • Możesz używać linuxa z płyty (live) ale trochę wygodniej jest mieć na kompie wirtualkę którą używasz tylko do operacji bankowych. Bardzo fajnym systemem jest tu np. Qubes OS, im bardziej niszowe rozwiązanie, tym mniejsze prawdopodobieństwo infekcji.

    • @Gall: Czyli wirtualna maszyna jest bezpieczna nawet jeśli host jest zainfekowany? W sumie jeśli maszyna wirtualna przechwytuje klawiaturę (można też przekazać na potrzeby wirtualki drugą klawiaturę na wyłączność) i mysz, to teoretycznie uodparnia to na keyloggery?

    • No właśnie nie. Jeżeli host jest zainfekowany, to z punktu widzenia wirtualki tak jakby zainfekowany był hiperwizor – w praktyce: host może bez ograniczeń grzebać w kernelu działającego na wirtualce systemu po prostu patchując mu pamięć ;) System gościa nie połapie się w ogóle, hosta mamy już zarażonego, więc praktycznie zero ochrony. Co innego, gdyby zawirusowana była wirtualka przy czystym hoście – wtedy, jeżeli stack wirtualizacji jest “cały” (niepodatny na ataki ucieczki międzyringowe), hostowi czy pozostałym maszynom nic nie ma prawa się stać ;)

  107. Zwykle miałem złe zdanie o PEKAO bo to “konserwa”. Jednak jako jedni z nielicznych mają takie cudo dostępne dla klientów indywidualnych jak DIGIPASS 270. Mało tego “Generating a Challenge Response”.

  108. Uff,
    przez rozwój technologii sami sobie generujemy problemy.
    Kiedyś SMS był uznawany za bezpieczny drugi składnik uwierzytelniania – Bankowi zlecenia składaliśmy używając komputera a potwierdzaliśmy telefonem i nazywano to 2FA. Tak – atak “duplikat SIM” też zadziała.

    Problem to nazywany przeze mnie “wrong assumption error” – Banki zakładają, że numer telefonu jest ściśle związany z abonentem, że nikt nie przeczyta jego SMSa, że nikt nie przechwyci rozmowy czy wiadomości. Bazując na tym (a) traktują lub traktowały SMSa za bezpieczny drugi czynnik w 2FA/MFA, (b) próbowały zrzucać winę na klienta, któremu przechwycono kod z wiadomości.
    A telco-op jest zainteresowany byś kliencie dzwonił, bezpieczeństwo twoich operacji w Banku nie jest przedmiotem waszej umowy …

    Potem okazało się, że można mieć Bank w telefonie a niestety nadal korzystamy z SMSów uwierzytelniających odbieranych na tym samym urządzeniu.
    Chyba naszedł czas by sięgnąć głębiej do nauki (teorii) i zmienić co nieco.

    1. Odnośnie powiadomień (push/SMS) przy aktywacji kolejnej aplikacji mobilnej Bank powinien wysyłać dodatkowo maila co najmniej informacyjnego. Można to połączyć z opóźnionym aktywowaniem nowej instancji aplikacji – np. staje się ona w pełni funkcjonalna po 24h.
    2. Proces aktywacji aplikacji może angażować maila – albo w wiadomości znajduje się link aktywujący nową aplikację albo dodatkowy kod (split secret) niezbędny do aktywacji nowej aplikacji. Wiadomość o aktywacji aplikacji może też mieć linka do odrzucenia tej aktywacji. Tak, wiem – poczta nie jest bezpiecznym medium komunikacji ale ona tu nic nie zastępuje ale wspiera.
    3. Potwierdzanie operacji, czy to kod SMS czy w aplikacji, powinno wymagać podania dodatkowego kodu PIN (2PIN) – łączysz 2PIN z kodem z SMSa albo w aplikacji potwierdzasz operację 2PINem.
    Może ten 2PIN wysyłać mailem …

    Jak to często bywa – trzeba poprawić proces a oczekiwania są sprzeczne.

    T

  109. W dobie zalewu rynku chińskimi telefonami z “gratisami” wolę karty zdrapki, niż potwierdzenia przez SMS…

  110. Z przedstawionych podsumowań wynikają problemy typu (w pionie)
    1. Utrata/kradzież narzędzia
    2. Ataki socjotechniczne
    3. Ataki i luki technologiczne

    Pragnę zauważyć że zdrapki dają 100% odporności w przypadku pkt. 3, co uważam zostało tendencyjnie zaprezentowane jako “niedotyczy”. Powinno być na zielono “niemożliwe” ;-0

  111. A dlaczego nie zalecacie używać SMS-ów ale na oddzielnej zabezpieczonej PIN-em karcie SIM w baaardzo starym telefonie typu NOKIA 6150 lub Ericsson R320s? W przypadku mBanku numer do odbioru SMS-ów jest jednocześnie numerem kontaktowym (chyba nie można podać oddzielnych numerów) i to jest kolejna wielka zaleta! Zawracacze dupy będą dzwonić z ofertami kredytów na numer, który przez 99% czasu jest wyłączony i leży w szufladzie! :)

    • Wiek telefonu nie ma chyba znaczenia w przypadku wyrobienia duplikatu karty SIM. Ba, jest o tyle gorzej, że skoro telefon nie jest codziennie używany, to czas zauważenia nieprawidłowości wydłuży się.

  112. Czy znacie jakieś banki oferujące obecnie w PL tokeny chal-resp?

  113. xyzz – pisałem wyżej. Pekao DIGIPASS 270 za 1 zł msc.

    • A wiążą challenge z transakcją (np. ostatnie cyfry rachunku), czy tylko podają np. losowy id transakcji?

  114. Co z artykułem na temat duplikatów kart SIM :)

  115. Czyli bardzo dobrą metodą byłoby:
    1. Przesłanie SMS-em informacji o przedmiocie transakcji wraz z identyfikatorem np. “Transakcja nr 1 z dn 13/08/2018, przelew kwota XX na konto…”
    2. Autoryzacja transakcji za pomocą zdrapki.

    Dobra metoda bo:
    1. Tania – nie wymaga sprzętowego tokenu.
    2. Dostępna – SMS-y odbierze każdy.
    3. Bezpieczna – zdrapkę można sobie zabezpieczyć fizycznie, tak samo jak dedykowany *durny* telefon do odbioru potwierdzeń.

    Niestety z tego co wiem żaden bank tego nie umożliwia. Inteligo ma blisko ale potwierdzenie transakcji przychodzi SMS-em PO jej wykonaniu (zawsze coś).

    Ja osobiście programowo NIE WYKONUJĘ ŻADNYCH transakcji za pomocą smartphone. Nie i już. Gdzie się da mam też ten kanał poblokowany, a jak już potrzebuję to nakładam limity.

  116. Ok, tylko że mam pytanie o bezpieczeństwo aplikacji mobilnych i odporność na próbę przechwycenia/skomunikowania się “złej” aplikacji ze sklepu androida z aplikacją banku.

    Do tej pory używam komputera do logowania (zawsze) + telefoniczne potwierdzenia SMS na telefonie gdzie nigdy nie zalogowałem się do bankowości elektronicznej (zasada 2 niezależnych kanałów komunikacji). Skoro złośliwe aplikacje z androida potrafią przejąć w tle SMS i wykonać przelew to czy potrafią przejąć PIN aplikacji mobilnej/przejąć ją/potwierdzić operację?

    Jako klient Mbanku:
    1. Brakuje mi aplikacji, która będzie służyć tylko i wyłącznie do potwierdzania operacji, bez całej funkcjonalności przelewów itp.

    2.Chętnie skorzystałbym z pary SMS + token do potwierdzania operacji. Zapłacę i 100zł za przesłanie tokenu jeśli tylko do potwierdzenia operacji będzie wymagany zarówno SMS jak i kod z tokenu.

  117. Zastanawiam się czemu nie ma w zadnym banku logowania się do banku za pomocą klucza prywatnego
    Umieszczony na bezpiecznym urządzeniu, byłby rozwiązywał dużo problemów

    W moich marzeniach byłby to naprzyklald klucz zapisany w nowym dowodzie osobstym :)

    • Biometria w aplikacjach mobilnych tak wlasnie dziala.

      Poprzez uwierzytelnienie biometryczne, odblokowujesz dostep do klucza zapisanego w urzadzeniu. Czesc urzadzen ma tzw bezpieczny element i w nim go trzyma. Tym kluczem podpisujesz dane autoryzacyjne które potem bank weryfikuje.

  118. Przy aktywacji Aplikacji Mobilnej w mBanku trzeba teraz podać kod jednorazowy z SMSa. A co, jeśli mam hasła jednorazowe, a nie SMSowe? Zostanę poproszony o jeden z kodów z kartki? Bo jeśli tak, to jest to gigantyczna zaleta haseł jednorazowych, zwłaszcza przy tak beznadziejnej autoryzacji przyłączenia Aplikacji Debilnej…

  119. A ja mam jedno pytanie, dlaczego żeby zalogować się na GitHuba potrzebuję trzeci faktor, a do banku tylko hasło ograniczone do 12 znaków?
    W ogóle ilość banków i innych instytucji ograniczających durnie hasła jak za czasów script kiddies PHP jest zatrważająca… Przecież w dzisiejszych czasach żaden szanujący się framework nie dopuści SQL injection nawet jak kropka i procent będą w haśle dopuszczalne.
    W ogóle koncepcja logowania hasłem wydaje się przestarzała.

  120. W sumie to niewiele wysilając się można by znaleźć może nie do końca eleganckie, ale całkiem skuteczne i proste zabezpieczenie wykonywania weryfikacji transakcji bankowych (via SMS). Wystarczy do tego celu – mieć jeszcze jeden, osobny, telefon – nawet mocno starej daty odbierający jedynie SMSy z banku. Co ISTOTNE – zarejestrowany nie na siebie ale na zupełnie inna osobę (może być z rodziny o ile posiada inne nazwisko) . Wtedy odpadają ciupasem wszystkie 4 wątpliwe pola z tabelki za powyższego artykułu :)

    Oczywiście jest jedna mała niewygoda takiego rozwiązania – mianowicie że przelew można wykonać TYLKO posiadając przy sobie ten drugi aparat. Ale za to poziom bezpieczeństwa praktycznie dorównuje opisanemu w przypadku klucza/tokenu sprzętowego – bo nawet jeśli by się włamywacz dostał na moje konto i zczytał sobie numer telefonu na który mam wysyłane przelewy , po czym wybrał się z MOIMI podrobionymi dokumentami (przecież atak ma iść na MNIE, na MOJE konto!) do siedziby operatora GSM (pozdrawiam tutaj Operatorów :) ) – to i tak nic nie wskóra, bo taki numer nie figuruje i nigdy nie figurował na mnie , więc sobie nie wyrobi duplikatu karty choćby nie wiem co …. A może jeszcze przy okazji jeszcze wpaść podczas wykonywania takiej operacji ..(jeśli ‘konwulsant’ w salonie będzie odpowiednio bystry)

    Mogę tylko dodać że używam podobnej metody od ….z górą kilku lat i przez ten czas nie miałem jeszcze żadnych problemów z nieautoryzowanymi przez siebie przelewami. Może tylko nie mogę wykonać przelewu ot tak , na mieście (jak nie zabiorę tamtego urzadzenia wcześniej) ale to chyba niewielka niewygoda… do innych, szybkich operacji mam przecież kartę :)

    Pozdrawiam

  121. Nie zgadzam się waszymi uwagami dotyczącymi token challenge-reponse – posiadam takie urządzenie jako posiadacz konta w holenderskim ABN Amro – nazywa sie ono ‘e-dentifier2′ i służy mi dzielnie od lat ponad 9 (niedługo bedzie z 10 lat) – urządzenie jest przenośnym terminalem w którym wkładamy kartę debetowa i musi być ona obecna przez cały czas transakcji.
    Warunkiem przejścia do części transakcyjnej jest zalogowanie się PIN’em z włożoną kartą a potem wpisanie 8 cyfrowego kodu generowanego przez bank do terminala – w efekcie terminal zwraca nam 8 znakowy kod autoryzujący transakcje.
    Urządzenie ma interfejs USB i może być podłączone kabelkiem wtedy jest de facto zdalnym terminalem PIN dla banku. Takie urządzenia są standardem w Holandii od co najmniej lat 10 – co więcej można używać urządzeń innych banków holenderskich – autoryzują one transakcje bez problemu. Nigdy nie wymieniałem baterii, zawsze można pożyczyć od kogoś urządzenie, nie trzeba go przypinać do komputera – zawsze dziwiłem się ze u nas nie ma czegoś takiego – zresztą wydaje mi się ze Polska na tle innych krajów Europy Zachodniej jest szczególnym miejscem na mapie szwindli i przekrętów – mam teorie ze tak naprawdę jest to za przyzwoleniem władz Polski – nie zdarzyło się by ktoś nękał mnie reklamami produktów przez telefon, dzwonił na dziwne numery, by moje dane były udostępniane komukolwiek w jakiś magiczny sposób.

  122. Nie łatwiej byłoby gdyby w serwisie transakcyjnym nie dało się zobaczyć numeru telefonu a w celu jego zobaczenia i innych danych trzeba byłoby wpisać kod z sms-a ? To by trochę utrudniło pozyskanie duplikatu karty sim.

  123. Getin Bank

    A. Co jest potrzebne aby zainstalować i powiązać z kontem ofiary aplikację mobilną (nazwisko, pesel, numer rachunku, panieńskie matki)?

    Login, hasło. Kod SMS jest potrzebny aby ustawić PIN potrzebny do autoryzacji transakcji.

    B. Czy ofiara dowiaduje się (inaczej niż przez SMS), że aplikacja mobilna została powiązana z kontem?

    Nie

    C. Czy aplikacja mobilna posiada ograniczenie na liczbę / kwotę przelewów, jeśli tak, to jakie?

    Domyślnie 5 000zł dziennie, można zwiększyć do 50 000zł z poziomu bankowości internetowej (wymaga potwierdzenia wybraną metodą autoryzacji) lub z poziomu bankowości mobilnej (wymaga kodu SMS, nawet jeżeli mobilna autoryzacja jest włączona)

    D. Co jest potrzebne aby włączyć autoryzację transakcji przy pomocy aplikacji mobilnej?

    Kod PIN, którego ustawienie wymaga kodu SMS

    E. Czy można mieć aktywne więcej niż 1 urządzenie do autoryzacji mobilnej?

    Nie wiem

    F. Czy jeśli ofiara korzysta z autoryzacji mobilnej, a złodziej aktywuje autoryzacje mobilną na swoim telefonie (na aplikacji powiązanej z kontem ofiary) to ofiara otrzyma jakiś komunikat (inaczej niż przez SMS)?

    Nie wiem

    G. Co jest potrzebne, aby podnieść limity transakcji (login, hasło, sama aplikacja mobilna, odebranie kodu z SMS)?

    Z poziomu bankowości internetowej: Wybrana metoda autoryzacji (kod SMS, mobilna autoryzacja)
    Z poziomu bankowości mobilnej: Kod SMS

    H. Co jest potrzebne, aby zmienić sposób autoryzacji transakcji z mobilnego z powrotem na kody SMS-owe?

    Z poziomu bankowości internetowej: Usunięcie urządzenia. Przy logowaniu użytkownik dostanie komunikat: “Dostęp zablokowany! Odblokuj dostęp przez Bankowość Internetową i spróbuj ponownie.”. Komunikat ten jest mylący, bo nie można odblokować dostępu. Usunięcie urządzenia nie wymaga żadnego potwierdzenia, nawet kod SMS nie jest wymagany.
    Z poziomu bankowości mobilnej: Kod PIN i kod SMS

  124. A dlaczego nie powiązać aplikacji mobilnej z urządzeniem. Tak jak przy płatnościach NFC telefonem. Wtedy możemy się logować do applikacji mobilej tylko z tego konkretnego modelu smartfona o tym nr karty sim.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.