18:38
8/3/2021

Jeden z naszych Czytelników przesłał nam ciekawy opis swojego nieudanego logowania do mBanku. Pomylił się przy wpisywaniu hasła (jeden raz) i zobaczył komunikat, że jego konto zostało zablokowane. Aby je odblokować musiał podać PESEL, nazwisko panieńskie matki i swój identyfikator. I to go lekko zestresowało, bo choć zdarzało mu się w przeszłości podczas logowania wpisać błędne hasło, to nigdy wcześniej po pierwszej nieudanej próbie nie doświadczył blokady konta.

Przerażenie potęgowało pytanie o dane takie jak PESEL i nazwisko panieńskie matki, często wykorzystywane w atakach z duplikatem karty SIM, co opisywaliśmy właśnie w kontekście mBanku na Niebezpieczniku jakiś czas temu. Zwracamy też uwagę na “logo” które przesłania napis i budzi obawy, że tak niedopracowana strona, to fałszywka.

Czytelnik doszedł do wniosku, że najlepiej będzie skontaktować się z BOK mBanku, aby dowiedzieć się więcej. Bo może ktoś wcześniej logował się na jego konto złym hasłem. Niestety, rozmowa z BOK go nie uspokoiła:

Czasami zdarza się, że już po jednym błędnym wpisaniu danych blokujemy konto ze względów bezpieczeństwa (…) Nie mogę udzielić Panu szczegółowych wytycznych dotyczących blokowania dostępu do serwisu transakcyjnego jeśli chodzi o bezpieczeństwo. Zabezpieczenia tego typu są poufne. (…) Dział bezpieczeństwa przeanalizował kwestię dotycząca wprowadzenia rozwiązania odblokowania dostępu na naszej stronie przed wdrożeniem tej możliwości, jest to zgodne naszym zdaniem z bezpieczeństwem jakie oferujemy.

Historia naszego Czytelnika pokazuje, że czasem działania prawdziwych instytucji można pomylić z phishingiem. Prośba faktycznie była niecodzienna i co więcej, zdarzyła się w sytuacji, w której nigdy wcześniej się Czytelnikowi nie przytrafiała. Naszym zdaniem słusznie wzbudziło to jego czujność i podejrzenia.

Szczęśliwie, Czytelnik jest osobą świadomą technicznie i wiedział, że znajduje się na prawdziwej stronie banku. Chociaż jako osoba bardzo świadoma technicznie, zaczął się martwić, że jego urządzenie może być zainfekowane złośliwym oprogramowaniem — bo nawet wtedy, kiedy domena banku i certyfikat są poprawne, w sesję HTTP(S) malware wstrzyknąć może swoje fałszywe formatki (tzw. webinject).

Dlatego Czytelnik nie chciał ryzykować podawania danych na komputerze na którym zobaczył tę wiadomość. I naszym zdaniem słusznie postąpił. Co więc zrobił?

Infolinia jako alternatywa

Aby odblokować swoje konto zadzwonił na mLinię, bo przypomniał sobie, że kiedyś jak jego konto zostało zablokowane, to właśnie na infolinię odsyłał komunikat. Czytelnik użył więc innego urządzenia (co do którego nie zachodziło podejrzenie infekcji) i odblokował dostęp do swojego rachunku, używając innych danych dostępowych niż wymagane w kanale WWW PESEL i nazwisko panieńskie matki. Niestety, o tej możliwości mBank (już) nie wspomina, kiedy blokuje klientowi dostęp do rachunku po nieudanej próbie logowania:

Stanowisko mBanku

Zapytaliśmy o tę sprawę mBank, czy używana do tej pory procedura blokady konta została zmieniona i jak wygląda ona w przypadku użytkowników z zainstalowaną aplikacją mobilnę. Oto odpowiedź, jaką przekazał nam zespół prasowy mBanku:

Klient ma do wyboru kilka opcji odblokowania: https://www.mbank.pl/indywidualny/serwis-transakcyjny-ib/pierwsze-kroki/aktywacja-dostepu/#serwis Przy odblokowaniu przez internet, prosimy o PESEL, nazwisko panieńskie matki i identyfikator. W ten sposób sprawdzamy, czy osoba wpisująca dane to faktycznie nasz klient. Żeby zamówić pakiet aktywacyjny konieczne jest podanie tych danych poprawnie. Idąc dalej, pakiet aktywacyjny wysyłamy na zarejestrowany adres email podany przez klienta (oczywiście podpisany cyfrowo). Żeby go odczytać, potencjalny przestępca musiałby nie tylko znać wszystkie wcześniejsze dane, ale mieć też dostęp do skrzynki mailowej.Kolejnym zabezpieczeniem jest jednorazowy kod SMS, którym zabezpieczony jest pakiet aktywacyjny. Jest wysyłany tylko i wyłącznie na numer telefonu klienta zarejestrowany w systemie. Oczywiście posiadamy jeszcze nasze wewnętrzne zabezpieczenia, które wychwytują nietypowe sytuacje i w przypadku podejrzeń mogą zablokować aktywację serwisu do czasu wyjaśnienia problemu.

Podsumowalibyśmy to jakimś zabawnym bon motem, ale w tej sytuacji każda ze stron ma swoje racje. Klient ma prawo podejrzewać, że to jest atak, bo wcześniej w takich sytuacjach “system zachowywał się inaczej”. Bank z kolei zawsze powinien reagować, jeśli wykryje “anomalie” w działaniu klienta, a tu najwyraźniej coś wzbudziło systemy bezpieczeństwa nawet po pierwszym nieudanym logowaniu. Bank powinien też zweryfikować, czy klient to klient — i tu pytanie pozostaje otwarte, czy tak powinna ta weryfikacja wyglądać, zarówno co do formy weryfikacji jak i danych, o które bank odpytał.

Czy można lepiej?

Pogdybajmy. Może równie dobrą z punktu widzenia banku metodą weryfikacji byłby push na aplikację mobilną u klienta w momencie blokady? A może nie? W każdym razie, naszym zdaniem informacja o możliwości odblokowania przez mLinię powinna się w tym przypadku pojawiać przed formatką podania PESEL-u i nazwiska panieńskiego matki.

Jeśli coś wydaje się nietypowe, warto się zatrzymać, przemyśleć, zawsze. I nawet jeśli domena i certyfikat są poprawne, warto skontaktować się z bankiem. Zwłaszcza w przypadku banków warto być ostrożnym.

PS. W sumie to trochę zabawne, że taki incydent najbardziej zastanowi (przerazi?) tych najbardziej technicznie świadomych, którzy wiedzą czym są i jak działają webinjecty.


Aktualizacja 9.03.2021, 15:10
Po publikacji artykułu otrzymaliśmy od mBanku dodatkowe wyjaśnienia:

(…) po lekturze komentarzy nasunęło mi się, że warto do tekstu jeszcze uzupełnić kwestię zablokowania kanału i kiedy to się może zdarzyć.
Najczęściej kanał zostaje zablokowany gdy klient:
– 3 razy z rzędu wpisuje błędne hasło
– po raz 50. od ostatniej zmiany hasła wpisał nieprawidłowe hasło.
I z tym drugim przypadkiem mamy tu prawdopodobnie do czynienia, skoro już po pierwszej próbie klient zablokował kanał.
Jeszcze jedna sprawa, a mianowicie prezentacji sposobów odblokowania. Wszystkie sposoby są dostępne pod ekranem logowania, wystarczy kliknąć „Odblokuj dostęp”. Cała lista jest też zawarta na stronie internetowej, którą można w takich sytuacjach sprawdzić: ten link

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

76 komentarzy

Dodaj komentarz
  1. Poufne sroufne. mBank odkąd istnieje ma dwa liczniki błędnych prób wprowadzenia hasła: licznik kolejnych prób i globalny. Pierwszy resetuje każde poprawne podanie hasła, drugi… trzeba zresetować samemu po jego osiągnięciu. Tak jest tam od zawsze, sprawa była wielokrotnie poruszana na nieistniejącym już forum mBanku i oficjalnie potwierdzał to bank.

    • Słusznie, sam się o tym dowiedziałem dawno temu, i dwa razy w życiu do tego “globalnego” limitu dobiłem. Wynosił jakoś 50 logowań.

    • Też kiedyś zamknąłem globalny licznik, na infolinii wprost powiedzieli, że chodzi o 50 błędnych logowań. To było minimum 10 lat temu, więc pewnie zasady poufności się zmieniły.

    • Niestety też do tego globalnego limitu dobiłem (a wtedy nie było opcji odblokowania na stronie).
      Oczywiście moment był najgorszy z możliwych, na wakacjach za granicą gdy potrzebny był szybki dostęp do banku :-(

    • a czy mbank nie powinien zmniejszać licznika globalnego jeśli z danego IP ciągle przychodzą poprawne logowania?

  2. Ano, miałem dziwną sytuację, gdy się logowałem do Alior Banku. Podczas jakiegoś logowania zobaczyłem, że hasełko liczy… 3 znaki. To znaczy były tylko trzy znaki do wpisania hasła (a standardowo bank wyświetla tych miejsc kilkanaście, a część jest maskowana. I tez wtedy złapałem za słuchawkę, bo bardzo mi się to nie spodobało.

    • @OSH, a czy podałeś prawidłowy CIF/login i miałeś poprawny obrazek? Jak wpiszesz cokolwiek pojawi Ci się maskowane hasło od kilku do kilkudziesięciu znaków i losowy obrazek, w ten sposób chyba unikają jawnej informacji, że podałeś zły login.

  3. Warto dodać, że trigger tego nieudanego logowania to absolutny licznik nieudanych prób logowania ustawiony na 50. Drugi licznik, który też blokuje dostęp to 3 nieudane próby logowania pod rząd. Wiem, bo przećwiczyłem tą procedurę na sobie.

  4. Mniej ważne jak działa licznik. W tym przypadku ważny jest proces, ktory zespsuli. Też by mnie oblał zimny pot jakbym coś takiego zobaczyła przy logowaniu. I jeszcze to zepsute logo.
    Zgadzam się że najlepiej wtedy na mlinie zadzwonić. Szkoda że o tym nie informują.

    • Ja kiedyś zwróciłem im uwagę na to, że w tej procedurze odzyskiwania hasła jak wpisze się dobry pesel to zapala się zielona ikonka. To mnie konsultant zapytał, czy nie ufam ich ekspertom od bezpieczeństwa.

    • @Pietrek
      To pewnie tylko walidacja poprawności samego numeru PESEL co nie jest tajne, a nie czy to jest faktycznie twój PESEL zarejestrowany podczas zakładania konta w mBanku. Sprawdzałeś co się stanie jak wpiszesz inny poprawny PESEL? Pewnie też pokaże się na zielono :)

  5. W momencie zablokowania dostępu przez www, otrzymuje się SMS-a z informacją o tym, że dostęp został zablokowany.
    Pod okienkiem logowania jest link “Odblokuj dostęp”, gdy się go kliknie otworzą się 4 różne możliwości odblokowania dostępu. Wg mnie najprostszą metodą jest odblokowanie przez app (ustawienia -> dostęp do banku) bo kliknięcie tam Aktywuj powoduje wygenerowanie rozmowy w której automat odczyta hasło, a SMS-em przyjdzie tymczasowy identyfikator.

  6. Dlaczego jeszcze ktokolwiek ma konto w mbanku? Afera za aferą, amatorka, tanizna cyberbezpieczeństwa, beznadziejna obsługa, rosnące koszta. Serio, kto jeszcze broni tego chlewu poza jego pracownikami i inwestorami? Niech Pan klient z artykułu przeniesie swoje oszczędności na coś powazniejszego niż internetowy portfel dla licealistów jakim jest mbank, to zrobi dobrze sobie i reszcie społeczeństwa.

    • @szczery

      No ja po około 20 latach zlikwidowałem u nich konto bo któraś kolejna akcja przelała tzw czarę goryczy. Każdemu bym radził wypróbować sobie niezobowiązująco jakiś inny bank i wtedy zdecydować, czy pozostaje się przy tym.

    • Nie przesadzaj ;) nie było afery za aferą. Następnym razem czytaj dokładnie albo wróć do szkoły.

    • Bywają różne powody. Choćby mKarta. Albo portfel inwestycyjny. Albo…

    • Sraty pierdaty. Jaki inny? BNP ze starym systemem jeszcze pamiętającym commodore? Pisowskie PKO BP czy PKO SA? Alior ze swoim PZU? Zostaje ewentulanie ING ale….jak ktoś w banku robi więcej niż Blik za opony na allegro to niestety ale zauwazy przewagę mBanku. Obsluga Giełdy aż miło. Spróbuj kupić akcje za pomocą DM z PKO BP….to dopiero skansen…

    • Może dlatego że nie ma lepszego?

    • Jakie inne banki polecasz w takim razie pod kontem bezpieczeństwa, nie oferty ?

    • Ja siedzę w mBanku (mój podstawowy bank) ze względu na nieograniczony dostęp do historii rachunku. Mała rzecz, a cieszy.

    • Też się zastanawiam. Ja czekam na kuriera z umową z mBank kilka lat (chyba 9), do dziś nie dotarł. Najlepsze jest to że nadal jestem w ich systemach i przetwarzają moje dane osobowe mimo że nie podpisałem umowy, nikt nie wypełnił obowiązku informacyjnego zgodnie z rodo itp. Totalny burdel i bezprawie, strach trzymać tam pieniądze.

  7. BOK jak zwykle wykazał się zerową umiejętnością sprawdzenia danych w mAgencie. Wspomniane “zablokowanie już po jednym błędnym logowaniu” nie zdarza się czasem, tylko zawsze w określonym momencie momencie przekroczenia dużego licznika błędnych logowań o 50-te błędne wpisanie hasła łącznie.
    https://natemat.pl/98547,masz-konto-internetowe-w-mbanku-uwazaj-50-razy-zle-wpiszesz-haslo-zablokuja-ci-konto

  8. Hmm i tak odpowiedź która uzyskał od BOK mBanku była z gatunku odpowiedzi na temat. Pamiętam jak próbowałem dopytać się mBanku jak uchronić się przed sim swapem i atakiem przy jego użyciu. Dostałem odpowiedź żebym zaktualizował antywirusa. Ręce opadają przed korpo-zlewactwem. Po czymś takim trudno mi uwierzyć w ich profesjonalizm w zabezpieczaniu tego rodzaju ryzyka. Chciałem nawet z nimi porozmawiać na ten temat ale mieli mnie w mD…e.

  9. Jakiś czas temu miałem zabawną przygodę z infolinią mBanku. Miałem zablokowane powiadomienia sms dla transakcji w mBanku, gdyż wcześniej podejrzewałem, że ktoś usiłował przejąć moją kartę SIM, więc sam zadzwoniłem na mLinię, żeby je zablokować do czasu wyjaśnienia tej sprawy.
    Kiedy okazało się, że z kartą SIM wszystko w porządku, chciałem te powiadomienia odblokować, co okazało się drogą przez mękę z powodu dość skomplikowanej procedury, którą zdaje się zna tylko co trzeci pracownik mBanku. Najlepsze jednak dotyczyło weryfikacji, bo dzwonić musiałem w sumie dwa razy, a to z powodu nieważnego dowodu oaobistego. Za pierwszym razem, kiedy pracownik w ramach weryfikacji spytał mnie o dowód, podałem numer nowego dowodu, którym się od jakiegoś czasu posługuję. Niestety weryfikacja przebiegła niepomyślnie, bo bank dysponował jedynie numerem starego dowodu, który na szczęście pamiętałem i od razu po nieudanej weryfikacji podałem. I tu perełka: pracownik powiedział, że z powodów bezpieczeństwa nie może tego dopuścić, więc żebym zadzwonił jeszcze raz i podał tylko numer starego dowodu :)
    Oczywiści facet po ludzku nagiął po prostu odrobinę swoje procedury, ale ciekaw jestem ile takich prób podania właściwego numeru by dopuścili? Do skutku? :)

  10. Mam opinię o tym pseudobanku…. Dziwię się ,że Jurek tak mocno z nimi się zasymilował… Totaln prymitywizm… Wpłać,ok. Podaj nr karty,cvv na niezabezpieczonych stronkach ad hoc utworzonych na potrzeby… Niestety ,Jurku. Nie tędy droga. Jak i z fioletową plamą… Ale co ja tam wiem… Ok,wiem,że Solorz dostał zakaz współpracy od załupieżonego bezzębnego gnoma ,pod grożbą likwidacji interesu… Taki byk,a skulił się przed takim kundlem….:-)

    TU to się należy… sorki.

    • Pochwała maklera w mbanku to najgorszy żart jaki ostatnio czytałam. Awaria za awarią, apka to jakieś totalne nieporozumienie, wywalanie zleceń. Zatrzymali się w rozwoju z 10 lat temu i ani drgną, głos klientów mają w poważaniu. Korzystam obecnie z czterech banków i mbank zdecydowanie na końcu w ogonku, jeżeli chodzi o wygodę korzystania i proklienckie podejscie.

  11. @szczery – jaka zbieżność, ja też po 20 latach zlikwidowałem konto w mBanku (a miałem to konto prawie od początku istnienia mBanku)

  12. Swoją drogą nazwisko panieńskie matki to ciekawa opcja uwierzytelnienia. Zwłaszcza dla osób, których matka zostawiła sobie nazwisko panieńskie jako pierwszy człon nazwiska po ślubie. ;)

  13. Kiedyś ojcu walnęli blokadę. Trafiłem na sensowniejszego pracownika niż przedstawiony klient, czy rzecznik prasowy i usłyszeliśmy że błędne logowania są liczone i sumowane zarówno ze strony jak i apki. Jak się zbierze pół setki to wchodzi blokada taka jak wyżej. Tamten konsultant zapytał o dane i wysłał zabezpieczony pdf w jednorazowym hasłem. Można? Można, tylko ze to mogło być przed aktualizacją zasad

  14. Niemcy. Wiadomo. Niby ordung jest ale…. szkoda gadać

  15. Kiedyś chwalili się, że będą wprowadzać analizę behawioralną. Może już wprowadzają?
    Więcej: https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/

  16. > Zabezpieczenia tego typu są poufne

    Super poufne jak co drugi tutaj w komentarzach o nich wspomina XD
    BTW dziękuję komentującym, nie wiedziałem o tym globalnym limicie 50 złych logowań.

    • @Marek to wcale nie znaczy, że to, co piszą te wszystkie osoby jest prawdą. Nawet jeśli kiedyś mieli taki mechanizm, to mogli wprowadzić jakieś zmiany.

  17. Jaki bank wydaje się dziś najbezpieczniejszy? Posiadam konto w ing, ale zastanawiam się nad zmianą ponieważ:
    1. Nie prosi o autoryzację logując się z nowego urządzenia
    2. Nie zawsze prosi o hasło sms podczas przelewu (nawet czasami gdy robię po raz pierwszy przelew do nowego odbiorcy… z drugiej strony czasem muszę podać hasło gdy spłacam kartę kredytową)

    Co możecie polecić?

  18. Czy informacje o zabezpieczeniach są poufne to nie wiem, ja dostałem informację jak zablokowano mi konto po jednej nieudanej próbie. Uzyskałem informacje, że są dwa liczniki, mały który służy do blokowania konta w przypadku złego wpisania hasła pod rząd ( tutaj jest chyba 5 prób), i po wpisaniu dobrego hasła ten licznik się resetuje. Jest też duży licznik, po wpisaniu bodajże 50 razy złego hasła konto też się blokuję, jednak tutaj po wpisaniu dobrego hasła, licznik się nie resetuje. Więc możliwe, że konto zostanie zablokowane w najmniej oczekiwanym momencie.

  19. Ja też miałem “przygodę” z blokadą konta w mBanku, choć akurat mnie spotkało to w zupełnie innej sytuacji. Podpinałem do konta drugi telefon (drugą aplikację mobilną) – świeżo zainstalowany Android, bez żadnych podejrzanych aplikacji itp. Podpięcie aplikacji przebiegło sprawnie, nie spodziewałem się problemów. Kilka godzin później wykonując transakcję BLIK-iem, używając starego (podkreślam – starego) telefonu, dostałem błąd, a po kilku sekundach powiadomienie, że odłączono wszystkie moje aplikacje mobilne, zablokowano konto, zablokowano transakcje itp.

    Dostałem z mBanku maila z informacjami jak odblokować konto, co się nie udało, bo na jednym z etapów wymagane było wykonanie autoryzacji na urządzeniu mobilnym które zostało kilka minut wcześniej odłączone. Tutaj mamy pierwszą wpadkę mBanku: odłączyli wszystkie aplikacje, ale nie zmienili sposobu autoryzacji na SMS, więc wykonanie autoryzacji nie było możliwe.

    Po wykonaniu telefonu do infolinii konto udało się odlokować. Podpinam ponownie jedną aplikację, potem drugą, wykonuję transakcję BLIK… i znów błąd, znów blokada konta, odłączone aplikacje mobilne. Deja vu?

    Przez ponad godzinę próbowałem na infolinii ustalić, co się właściwie stało, też byłem zbywany informacjami o tym, że nie mogą nic powiedzieć, poza tym, że wykryli zagrożenie na posiadanym przeze mnie urządzeniu mobilnym, i że mam oba telefony przywrócić do ustawień fabrycznych i ponownie sparować z kontem po jego odblokowaniu. Nie chciałem tego robić, bo nowo zainstalowany i podpięty do konta telefon był resetowany kilka godzin wcześniej, a zresetowanie starego i przywrócenie wszystkiego zajęło by kilka godzin. Chciałem wiedzieć, co takiego wykryli na moim urządzeniu, co spowodowało blokadę konta. Po dłuższej rozmowie, Pan z infolinii poszedł coś z kimś skonsultować, po czym dowiedziałem się od niego, że to “zagrożenie” polegało na samym podpięciu drugiej aplikacji, a nie na faktycznym wykryciu jakiegokolwiek problemu na urządzeniu.

    Tutaj mamy więc drugą wpadkę mBanku: twierdzą, że wykryli zagrożenie, strasząc klienta konsekwencjami braku resetu telefonu, mimo, że tak naprawdę żadnego zagrożenia nie wykryli, poza tym, że faktycznie podpinana była do konta druga aplikacja.

    Po rozmowie z tym konsultantem i zapewnieniu go kilkukrotnie, że jestem posiadaczem obu urządzeń, że mam je przed sobą, i że oba chcę sparować z kontem, w końcu udało się odblokować wszystko i podpiąć oba telefony. Całość zajęła w sumie kilka godzin.

  20. Mnie bardziej zastanawia zbieżność czasu – bo miałem dokładnie taka sama sytuację dosłownie kilka dni temu. Ciekawe, jakie jest prawdopodobieństwo takiego zdarzenia.

    Tyle, że mi infolinia od razu powiedziała o dwóch limitach: 3 złe hasła pod rząd albo 50 od ostatniej zmiany hasła.

    • Ostatnio banki ale tez operatorzy komórkowi wzieli sie na sposób aby wyłudzić pare PLN od swoich klientów i pod różnymi pretekstami każą nam się ponownie logować. Do tego musimy otrzymać pewne kody bądź prze

  21. nie korzystam z takich dzinwych bankow jak m bank

  22. wlasnie zamykam konto w mbank mialem tam konto 20 lat takze doskonale widzialem jaka to rownia pochyla :) polecam

  23. Przepełnił się duzy licznik błędnych logowań. System zlicza błędne logowania i po 3 kolejnych blokuje dostęp. Liczy tez ogólna ilość błędnych logowań. Koedys było to 100 i ten licznik się przepełnił. Miałem tak z 10 lat temu jak długo nie zmieniałem hasła.

  24. Z tego co kojarzę to koleś musiał 50 raz wpisać błędny login i dlatego zagotowała

  25. Przed jakim wektorem ataku chroni ten kumulatywny licznik 50 niezależnych błędnych prób logowań? Bo jakoś nie mogę sobie wyobrazić scenariusza.

    • Przed brute forcem rozłożonym w czasie (np. 4 próby słownikowe na dzień i tak przez 20 lat aż do zamknięcia konta ;-) ).

  26. Trochę off-topic, ale o bezpieczeństwie w mBanku Wprowadzili jakiś czas temu potwierdzanie w aplikacji mobilnej rozmowy z konsultantem. Miałem ostatnio taki przypadek: dzwoni mój telefon, pokazuje się numer mBanku (ale to przecież nic nie znaczy, prawda?) i zaczynam rozmowę z konsultantem, który informuje mnie na wstępie, że muszę potwierdzić rozmowę w aplikacji mobilnej. Dostaję po chwili powiadomienie push z aplikacji bankowej, w którym mam kliknąć OK na komunikacie: “Oświadczam, że rozmawiam z konsultantem mBanku”. Może się czepiam o sformułowanie, sama procedura nie jest zła, ale to chyba mBank ma oświadczyć i potwierdzić, że dzwoni właśnie do mnie konsultant?

    • >potwierdzanie w aplikacji mobilnej rozmowy z konsultantem.
      Czy mBank ma podgląd na to czy apka jest zainstalowana? Jak mam potwierdzić gdy używam telefonu nokia 3310 zamiast smartfona

    • Kolego, do mnie kiedyś dzwonili z Aliora i kazali się przedstawiać. Powiedziałem, że grzeczność i kultura wymaga by to osoba inicjująca połączenie się przedstawiła. Pani poinformowała mnie, że jeżeli nie podam swoich danych to rozmowa nie będzie mogła być kontynuowana. Musiałem poinformować zszokowaną Panią, że jakoś to przeboleje ;] Miałem jeszcze dwa takie rozweselające mnie telefony, po czym telefony z Aliora się urwały

  27. > Zabezpieczenia tego typu są poufne

    Aha! Czyli mBąk oficjalnie przyznaje się do security by obscurity! :)!

  28. Pewnie takim, gdy napastnik próbuje “odgadnąć” Twoje hasło, ale robi to stosując maksymalnie dwie nieudane próby. Twoja trzecia (poprawna) resetuje mały licznik. I tak w kółko, aż do skutku lub rezygnacji.

  29. Ostatnio banki ale tez operatorzy komórkowi wzieli sie na sposób aby wyłudzić pare PLN od swoich klientów i pod różnymi pretekstami każą nam się ponownie logować. Do tego musimy otrzymać pewne kody smsami bądź przeprowadzić rozmowę z konsultantem. W obydwu przypadkach ponosimy koszty smsów i połączeń z infolinią… I o to tu wszystko chodzi aby w dobie psycho covido pandemii pociągnąć parę zlotych z kieszeni obywateli

  30. Przeszedłem przez to, wg mnie kompletnie poroniony pomysł, pierwsze co przychodzi do głowy to próba wyłudzenia danych. Przez długie lata (10+) jak kilka razy źle wpiszesz hasło to przychodzi SMS że logowanie zablokowane, zadzwoń na mLinie żeby odblokować. Nagle jednego dnia wpisujesz złe hasło i zamiast prośby o kontakt telefoniczny jest prośba o podanie danych wrażliwych. Google nic nie słyszało na ten temat (przynajmniej na tamten czas), no to jak to mam inaczej zinterpretować jak nie jakiś podstęp?

  31. To nie jest pierwsze nieudane logowanie. D*powaty mbank ma system zliczajacy GLOBALNE nieudane logowania i jesli na przestrzeni ostatniego tysiaclecia klient pomylil sie 50 razy to system go zablokuje. Bo wiecie, jesli ktos sie blednie logowal w czasach Mieszka I, to dzisiaj nie mozna mu juz ufac.

    Security by obscurity.

  32. przed żadnym, to obsciurity wynikające z niezrozumienia tematu lub jakaś zaszłość której nie chcieli ruszać
    jedyne wytluamcznie że liczy wszystkie błędy w autoryzacji np. blednie przepisane hasło SMS

  33. Napiszę tak Lepiej konto miec w prawdziwym Banku np te co maja placówki i sie nazywaja Bankami a nie te które sa barabankami typu kasa styfcz

  34. U mnie był taki przypadek. Półtora miesiąca bez dostępu do serwisu, bo nie mogłam dodzwonić się na mlinie z zagranicy

  35. Banki ostatnio są w formie, Santander całkiem niedawno wysyłał globalne info, że od tej pory będzie wysyłał linki w wiadomościach SMS i mail do swoich klientów i mam się nie obawiać w nie klikać. Czyli miesiące tłumaczenia starszym osobom z rodziny, żeby nie klikać w linki z maili bo to zapewne phishing poszły na marne, bo bankowi tak wygodniej spamować ofertami…

  36. Dodam, że mBank jako chyba jedyny nie podaje na stronie transakcyjnej daty ostatniego udanego i nieudanego logowania! Moim zdaniem to jest skandal. Dwukrotnie składałem reklamacje, przekazywałem sugestie do zmiany tego stanu rzeczy i dostawałem odpowiedzi, że nie wprowadzą w najbliższym czasie tej funkcjonalności!

    • Mam podobne doświadczenie z reklamacjami i sugestiami. Wolą uruchomić aplikację junior niż zadbać o długoletnich klientów.
      Ustaw sobie powiadomienia sms o udanych i nieudanych logowaniach. Powiadomienia o udanych logowaniach są nawet ważniejsze, bo jeśli to nie Ty to …

  37. “Najczęściej kanał zostaje zablokowany gdy klient:” – warto dodać, że próba logowania przez sieć Tor również kończy się zablokowaniem konta

  38. Warto dodać, że próba logowania przez sieć Tor również kończy się zablokowaniem konta

  39. Mam dla Państwa jedyne sluszne posumowanie. Należy omijać Banki, których ninja security ssie do tego stopnia, że myli się je z phishingiem. Dziękuję za uwagę.
    P.S. Nie, Bank nie ma racji!

  40. Nigdy mój umysł nie pojmie jak dane nie-prywatne mogą posłużyć do odblokowania konta… Mój pesel znajduje się na różnych umowach, nie jest więc 100% prywatny. Znajduje się w dowodzie więc ktoś go mógł zapamiętać. Nazwiska mogą znać sąsiedzi.
    Uwielbiam też weryfikację: Proszę podać NIP i adres firmy. Dane które w 2 sekundy każdy może wyczytać z googla…

  41. Jest jeszcze jeden bardzo prozaiczny powód dla którego system mógł zablokować logowanie.
    Wystarczy, że inna osoba pomyli się przy wpisywaniu swojego nr klienta i wpisuje swoje hasło nie do swojego konta i np po 2 próbach się zorientuje. Potem wystarczy raz się pomylić przy swoim logowaniu chociażby Caps lock i już dostęp zablokowany.

  42. Jest jeszcze jeden warunek, gdy mBank blokuje dostęp do konta: Mialem wykonać przelew, kod przyszedł w SMS i musiałem na chwilę oderwać się od komputera. Po ok 3 minutach wpisałem kod – nie działa, po 3 próbach konto zablokowane.

  43. Kiedyś w starym serwisie było widoczne kiedy ostatni raz było udane i nieudane logowanie.
    teraz tego nie ma.

  44. Mnie ciekawi coś innego – mam zainstalowaną aplikację mbanku ze sklepu google. Jak mogę sprawdzić czy autorem jest faktycznie mbank?

  45. Co za bzdura totalna, do zablokowanego konta nie można się zalogować z innego urządzenia, konto zablokowane jest kontem zablokowanym…
    Kto pisze te teksty? Mam wrażenie że pięciolatek z bujną wyobraźnią

  46. Wystarczy dobrze patrzeć na nazwę www,online mbank to nie mbank

  47. Konto w MBanku = niskie IQ. Tydzień bez afery w tym pato banku tygodniem straconym.

  48. A ja czekam aż chociaż jeden bank się ogarnie i zacznie oferować autoryzację z użyciem jakiegoš porządnego standardu.

    Ale na razie powszechnie używane krypto wydaje się bardziej prawdopodobne…

  49. Mbank ma coraz większe wtopy.

  50. Mi mBank zablokował konto po nieprawidłowo wpisanym haśle.
    Na infolinii dowiedziałem się że jest licznik nieprawidłowych logowań i po pięćdziesiątym błędnym logowaniu, konto jest automatycznie blokowane.
    I licznik ten jest ogólny anie tylko z danego urządzenia czy sesji.

  51. Wielokrotnie jest napisane, że globalny licznik kasuje się przy zmianie hasła.

    Z tego co piszecie wynika, że mało który z was, wielkich znawców bezpieczeństwa, zmienia regularnie hasła w najważniejszych systemach. Tak, dla mnie banki są na szczycie listy ważnych systemów, które używam – i nie dotyczy to tylko mBanku.

    Ludzie myślcie, to nie boli.

  52. W banku mają inne problemy i nie znajdują czasu na klienta.
    Od dawna dzwoniąc do klientów rządają od nich danych osobowych, chociaż klient wcale nie wie kim jest dzwoniący.
    Tutaj też zbierają informacje, jakby chcieli przyzwyczaić klienta do głupiego zachowania polegającego na podawaniu wszystkiego jak leci. Akcja anty-edukacyjna, ogłupianie klienta.

  53. Pamiętacie awarię, co obcy ludzie przypadkowo przejęli cudze konta?
    Bardzo się tym przejęli. Tak bardzo, że przy usuwaniu awarii kierownik oglądał mecz, a następnego dnia jego dyrektor wyjechał na urlop.
    Dopiero KNF im wytłumaczył co i jak.

  54. Mnie zastanawia dlaczego nadal nie mogę używać mojego yubikeya do zabezpieczenia logowania do banku i te cholerne obniżenie siły mojego hasła tylko do 5 znaków ustawowo. Kto za tym lobbował – sprawa dla dziennikarzy? Dlaczego nie mogę mieć silnego hasła w banku, a nawet jak mam 32 znakowe to jego siła jest obniżana do 5 znakowego?

Odpowiadasz na komentarz Marek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: