22:54
11/5/2016

W piątek na redakcyjną skrzynkę otrzymaliśmy wiele zgłoszeń na temat nowej kampanii phishingowej wymierzonej w klientów banku BZWBK. Przestępcy nie od dziś podszywają się pod banki i wyłudzają dane logowania, więc tematu w ogóle nie planowaliśmy podejmować — ot kolejny phishing jakich wiele. Okazało się jednak, że ten phishing był wyjątkowy z 2 powodów. Skali ataku i wymiaru strat finansowych klientów, których wygenerowanie, żeby było śmieszniej, ułatwiła pewna niefortunna decyzja samego banku…

Jak przebiegał piątkowy atak

Oto, jak wyglądał piątkowy e-mail rozsyłany masowo na skrzynki Polaków (nie tylko klientów BZWBK):

Od: BZ WBK24 <rozne@adresy.e-mail>
Data: 06.05.2016 15:59 (GMT+01:00)
Temat: Blokada rachunku BZWBK

Data: 06.05.2016 r.
Dostęp do Twojego konta BZWBK został zablokowany!

W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie BZWBK24 internet, powodem jest nieautoryzowany dostęp do konta. W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na:

www.bzwbk.pl/weryfikacja
[link prowadził do: hxxp://centrum24.pw/?email=email@ofiary.pl]

Serdecznie pozdrawiamy,
Zespół Bank Zachodni WBK S.A.
W przypadku jakichkolwiek pytań prosimy o kontakt z Infolinia 1 9999

Ten e-mail został wygenerowany automatycznie. Prosimy na niego nie odpowiadać. Bank Zachodni WBK S. A. z siedzibą we Wrocławiu, ul. Rynek 9/11, 50-950 Wrocław, zarejestrowany w Sądzie Rejonowym dla Wrocławia – Fabrycznej, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000008723, REGON 930041341, NIP 896 000 56 73, kapitał zakładowy i wpłacony 992.345.340 zł.

Jeśli ktoś dał się nabrać (a takich było wielu, ale o tym za chwilę) i kliknął w link, to jego oczom ukazywało się to:

bzwbk-phishing-1

Po wpisaniu Numeru Identyfikacyjnego Klienta, oczom ofiary ukazywała się prośba o PIN:

bzwbk-phishing-2

A potem o dane karty płatniczej:

bzwbk-phishing-3

Na marginesie, pytanie o kartę w przypadku BZWBK nie jest superpomysłem, bo domyślnie karty wspierają 3DSecure, a więc płatność taką kartą będzie znacznie utrudniona. Skoro pieniądze nie były wykradane przez karty płatnicze, to w jaki sposób przestępcy czyścili konta ofiar?

Otóż okazało się, że…

W BZWBK sam login i hasło wystarczyły do kradzieży pieniędzy…

Kiedy zaczęły do nas docierać informacje o tym, że klienci w wyniku tego phishingu stracili z kont dziesiątki tysięcy złotych, zadaliśmy sobie pytanie — jak to możliwe?
Przecież jedyne co przestępcy pozyskali od ofiar, to login i hasło do banku, a BZWBK, jak każdy inny bank, do wykonania przelewu z konta wymaga dodatkowej autoryzacji przy użyciu kodu z SMS-a lub tokena.

I wtedy przypomnieliśmy sobie nasz artykuł sprzed 2 miesięcy pt. Klienci BZWBK, bank wyłączył wam potwierdzanie transakcji kodem SMS.

Bank wyłącza obowiązek podawania kodu z SMS

Otóż na początku marca, klienci BZWBK zaczęli nam masowo zgłaszać, że podczas internetowych zakupów z płatnością przez tzw. pay-by-linki, czyli usługę BZWBK o nazwie “Przelew24” — analogię do np. mTransferu — realizowaną przez pośredników w płatnościach takich jak Przelewy24, PayU, tpay, po przekierowaniu na stronę logowania banku potwierdzali szczegóły transakcji, ale nie byli (jak to miało miejsce wcześniej) proszeni o wprowadzenie kodu SMS. BZWBK po prostu z dnia na dzień zaczął “ufać” takim przelewom.

Bardziej dociekliwi klienci zauważyli nagle w ustawieniach swojego konta takie ustawienie:

12822701_10207448895919356_1035154648_o-768x275

Możemy tylko podejrzewać, że bank zdecydował się na taki ruch, ponieważ uznał, że transakcje przez pay-by-linki są niskiego ryzyka i chciał przyoszczędzić na wysyłanych SMS-ach. W przesłanym nam wtedy oświadczeniu, BZWBK tłumaczył, że taką zmianę wprowadził jeszcze w kwietniu 2015 roku — jest więc zastanawiające, dlaczego dopiero w marcu 2016 zaczęliśmy otrzymywać w tej sprawie e-maile od naszych czytelników.

Hulaj dusza, do 10 tysięcy per klient

Podsumowując, osoby stojące za piątkową kampanią phishingową, po pozyskaniu loginu i hasła ofiary, przechodzili na różne sklepy internetowe (np. giełdy bitcoinowe, serwisy finansowe) i kupowali usługi oraz przedmioty, wybierając płatność szybkim przelewem przez BZWBK. Podawali wykradziony login i hasło …i tyle. Płatność była akceptowana, bo BZWBK przestał wymagać dla tego rodzaju transakcji dodatkowego potwierdzenia SMS-em.

Ile klienci mogli stracić? Domyślny limit dzienny dla transakcji internetowych to aż 10 000 PLN. Ale wiemy, że niektórym klientom z kont wykradziono więcej. Być może były to osoby, które ten limit kiedyś z jakiegoś powodu zwiększyły i zapomniały go zmniejszyć po dokonaniu transakcji?

Co na to BZWBK?

Czy BZWBK, usuwając dodatkowe uwierzytelnienie kodem SMS, zdawał sobie sprawę z ryzyka? Może po prostu takie straty są dla banku po prostu akceptowalne? Postanowiliśmy o to zapytać. Odpowiedzi na nasze pytania udzieliła Katarzyna Prus-Malinowska, dyrektor bankowości mobilnej i internetowej w Banku Zachodnim WBK:

Niebezpiecznik: Czy BZWBK potwierdza, że ostatni atak phishingowy wygenerował po stronie klientów banków straty finansowe? Jeśli tak, na jakim poziomie?

Katarzyna Prus-Malinowska: Bank przykłada dużą wagę do przestrzegania klientów przed podawaniem danych do logowania, systematycznie prowadzi akcje informacyjne. Pomimo tego rzeczywiście odnotowaliśmy sytuacje, w których klienci nieostrożnie podali swoje dane na fałszywych stronach. Każdą taka sytuację bank rozpatruje w trybie indywidualnej reklamacji.

Czy BZWBK wiąże tak wysokie straty związane z piątkowym atakiem z faktem niedawnego, wymuszonego na wszystkich klientach wyłączenia dodatkowego potwierdzania kodemSMS/tokenem transakcji internetowych tzw. Przelewu24?

Przestępcy faktycznie wykorzystali tę możliwość.

Czy w związku z piątkowym incydentem, usługa potwierdzania transakcji internetowych dodatkowym kodem SMS zostanie z powrotem włączona wszystkim klientom?

Nastąpiło już centralne włączenie dodatkowej autoryzacji kodem SMS przy wszystkich transakcjach Przelewem24.

Czy osoby poszkodowane (te które straciły środki w wyniku piątkowego ataku) mogą liczyć na ich zwrot?

Wszystkie reklamacje klientów będziemy rozpatrywać indywidualnie.

Jakie wskazówki ma BZWBK dla swoich klientów w związku z piątkowym incydentem?

Bank systematycznie informuje o konieczności ochrony danych do logowania, prowadzi akcje informacyjne, w których prosi, aby zachowali ostrożność i posiadali ograniczone zaufanie w stosunku do e-maili lub SMS-ów, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linków kierujących na stronę internetową banku. Linki mogą prowadzić do fałszywej strony, która ma wyłudzić dane do logowania. Przypominamy, że nie prosimy nigdy o podawanie jakichkolwiek danych w wiadomoście-mail lub SMS.

Z kont klientów zniknęło kilkaset tysięcy złotych — BZWBK sypię głowę popiołem

Choć BZWBK nie odpowiedział na nasze pytanie o wysokość strat, nieoficjalnie udało nam się ustalić, że kwota jaka została wyprowadzona z kont klientów przekracza kilkaset tysięcy złotych, z czego odzyskać (a dokładnej “zatrzymać”) udało się niestety tylko znikomy procent.

Warto też zauważyć, iż BZWBK wycofał się już z braku potwierdzania kodem SMS transakcji w ramach szybkich przelewów. Czy należy to niejako uznać za posypanie głowy popiołem i przyznanie się do tego, że decyzja o zniesieniu kodów SMS nie była trafna, a nawet okazała się bolesną?

Mam konto w BZWBK — co robić, jak żyć?

Po centralnym przywróceniu przez bank konieczności dodatkowej autoryzacji kodem SMS przelewów w ramach usługi Przelew24, nic już nie powinno Ci grozić (o ile nie podasz komuś kodów z SMS-a).

Warto jednak, abyś wykonał 2 kroki:

  • sprawdź, czy faktycznie autoryzacja SMS dla płatności internetowych została przywrócona na Twoim koncie. Kiedy sprawdzaliśmy to ustawienie wczoraj (wtorek o 15:00, 4 dni po ataku), dalej domyślnie zaznaczona była opcja “NIE”.

    bzwbk-potwierdzenie-nie

    Bank musiał więc ją przestawić dopiero wczoraj wieczorem, miejmy nadzieję, że nie po sugestiach z naszego maila, tylko na podstawie własnej decyzji.

  • udaj się do ustawień swojego konta i odpowiednio pomniejsz limity transakcyjne dla płatności internetowych. Kto wie, czy BZWBK nie wpadnie kiedyś na pomysł ponownego zniesienia dodatkowej autoryzacji kodami SMS… Lepiej dmuchać na zimne. (Są 2 miejsca, w których można zmieniać limity):

    limity1

    limity2

Strzały w stopę się zdarzają

Trzeba przyznać, że tak ułatwiającej przestępcom kradzież środków z kont klientów decyzji już dawno nie widzieliśmy. Ostatnim znanym nam przypadkiem na okradanie klientów bez konieczności kodów jednorazowych był błąd logiczny w bankowości PKO BP. Serwis internetowy pozwalał zmienić numer rachunku dla “zdefiniowanego odbiorcy” na dowolny, bez konieczności potwierdzenia tej operacji kodem. Następnie przestępca czekał, aż ofiara wykona przelew zdefiniowany, który wyjdzie na podmieniony rachunek.

Nie wiemy co przyświecało BZWBK kiedy znosił dodatkową autoryzację kodem SMS, ale niech ta wpadka będzie przestrogą dla innych instytucji finansowych, które “stawiają na wygodę/szybkość” procesu płatności lub szukają oszczędności (hej, PayPal, patrzymy na ciebie).

Dobitka

Zyski z piątkowej kampanii musiały pozytywnie zaskoczyć przestępców, ponieważ dziś, przed kilkoma godzinami ponownie przestępcy zaczęli rozsyłać tą samą wiadomość na polskie adresy e-mail. Tym razem strona kieruje pod URL hxxp://centrum-24.xyz/?email=.

Co ciekawe, teraz po podaniu numeru karty pojawia się komunikat “oczekiwania”, aby zapewne powstrzymać ofiarę przed jakimkolwiek logowaniem się na swoje konto w trakcie jego czyszczenia:

bzwbk-phishing-4

Przestępcy chyba też mszczą się na tych, którzy jak my, podali im fałszywe dane (albo nagradzają tych, którzy podali dane prawdziwe), ponieważ po kilkudziesięciu sekundach zostaliśmy przekierowani na stronę mocno pornograficzną:

bzwbk-phishing-6

Dla niektórych może to być najdroższy bilet na film w życiu…

PS. Jeśli jesteś jednym z kientów BZ WBK, który w wyniku tych ataków została okradziona, skontaktuj się z nami.

Aktualizacja 12.05.2016
BZWBK poinformował nas, że z racji przywrócenia wszystkim klientom obowiązku podawania kodu SMS, z interefejsu użytkownika zniknęła opcja pozwalająca włączać/wyłączać SMS-y.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

151 komentarzy

Dodaj komentarz
  1. Do nowej akcji BZWBK wysyłają z emaila: lewanda@lions.org.pl

    • Ile masz próbek? Trochę bez sensu by było korzystać z jednego maila, szczególnie że nic ich nie ogranicza, żeby każdy mail był z innego adresu.

    • Wczoraj trafiło do mnie z kilku różnych maili (co ciekawe, kilka wygląda na przejęte firmowe z imieniem, nazwiskiem, inne starają się udawać nazwy jak z banku: centrum, bzwbk, obsluga, weryfikacja). Nowa domena z literówką.

  2. “są 2 miejsca, w których można je przestawić”
    Przecież ten drugi screen dotyczy ustawień kart.

  3. “zostaliśmy przekierowani na stronę mocno pornograficzną”
    “HARDEST GANGBANG PORN VIDEO EVER”

    W ten sposób informują użytkownika, że go własnie mocno “wyruchali”.

    • Wideo już usunięte ze strony

    • Widzę, że screen został lepiej ocenzurowany, bo wcześniej było “wszystko” widać.

  4. No cóż, bank na to ewidentnie zasłużył. “Każdą reklamację rozpatrzymy indywidualnie” – oj chyba nie wszyscy dostaną utracone środki na skutek tego ataku. Czasami ciężko przyznać się do własnego błędu (czyli wyłączenie autoryzacji sms kodem). BZWBK fail.

  5. 1. Trafić na tak rażącą wpadkę banku
    2. Zalogować się na swoje konto anonimowo np. z TORa
    3. Wytransferować środki na jakieś btc itp.
    4. Złożyć reklamację w banku z wnioskiem o zwrot środków bo “ktoś” nas okradł a Bank mu to ułatwił
    5. Profit :P

    • Wypadało by więc zrobić taki przelew z IP identycznego, do tego z jakiego logowali się przestępcy. Bankierzy na pewno sprawdzą z jakiego adresu IP się logowanie w celu przelewu.

    • @Pawel, a Ty myślisz, że przestępcy to z jednego IP się logowali?

    • @Kamil – tego nie mogę wiedzieć, ale śmiało mogę założyć, że porównali by IP chociażby w przybliżeniu lokalizacyjnie z tym, kto robił przelew. Dla przykładu – przestępca robi przelewy z kafejki w Poznaniu, potem z Wrocławia, następnie ze Szczecina. Albo z proxy zagranicznego (najpewniej tak właśnie, aby łatwo nie namierzyć). Tymczasem klient chce oszukać bank i robi przelewy z tej samej miejscowości, z której zawsze się loguje, np z Krakowa. Bezpieczniki w banku mogą to porównać i wyciągnąć konkretne wnioski. Nie mówię, że metoda na wykrycie klienta-oszusta 100% skuteczna, ale na pewno ryzyko by istniało.

    • @Pawel – a jak przestępca korzysta z Tor i oszust też? Zaciekawił mnie temat. Nie mam zamiaru oszukiwać, nawet ;) banku, ale czyżby takie oszustwo było aż tak proste? Trochę mi się nie chce wierzyć. Jak w przypadku Tor-Tor udowodnić, że to oszustwo?

    • FTFY:
      5. Kradzież

  6. O, to by tłumaczyło, czemu BZWBK kazał zmieniać hasła niedawno…

    • A kazał?
      AFAIK okresowo przypominają (co miesiąc? 2? 3?) powiadomieniem po zalogowaniu, a co któreś przypomnienie (co rok?) wymuszają zmianę. Niczego innego niż ta procedura “niedawno” nie zaobserwowałem.

    • Każą zmieniać co rok, ale po zmianie można znowu ustawić poprzednie hasło, nie ma blokady na poprzednie hasła.

  7. Dziwne, ale nie ma u mnie opcji “Ustawienia przelewów” oraz “Sposób potwierdzania zleceń” – znikły, czy mam konto w wersji shareware?

  8. Do WBK kiedy loguje się z dodatkowym uwierzytelnieniem przez sms i kod przepisze się źle… to bank proponuje wyłączenie (nie wiem czy nadal tak jest, nie używam już). Tak samo było z maskowanym hasłem – “masz ciężko się zalogować? Wyłącz dodatkowe zabezpieczenie”

  9. A u mnie w ogóle nie ma zakładki “Sposób potwierdzania zleceń”. Usunęli całkowicie?

  10. U mnie w “Ustawieniach” nie ma opcji
    “Sposób potwierdzania zleceń”.

    Po
    “Kolejność rachunków”
    od razu jest
    “Transakcje BLIK i przelewy na telefon”.

    Też ktoś tak ma?
    Co z moim kontem nie tak?

    • u mnie tez nie ma tej opcji – wymuszenia kodów sms. Dodatkowo zmiane limtów mam tylko w jednym miejsu, w tym drugim widze jakie one sa ale bez opcji ich zmiany

    • U mnie tak samo…

    • Usunęli żebyś nie widział ustawienia.
      :)

  11. Jest jeszcze jeden sposób pozyskania pieniędzy z konta ofiary. Otóż wszędzie grzmicie, że należy czytać uważnie treść SMSa z potwierdzeniem, jako, że zawiera on informacje na temat konta docelowego, jednak mowa tu tylko o przelewach…

    Teraz weźmy pod lupę lokaty… w bankach pana Czarneckiego lokaty online domyślnie oznaczone są jako “autoodnawialne” (jednak w tym przypadku następuje odnowienie na mało korzystnych dla klienta warunkach). W momencie miany parametrów lokaty (przy założeniu, że klient nie posiada konta w tym samym banku) należy podać numer konta na który wpłyną środki po zakończeniu lokaty. I owszem… taką zmianę trzeba potwierdzić kodem z SMSa o treści:

    “Operacja z dnia: 2015-12-24 Zmiana danych lokaty: 12…34567890 Kod SMS nr 1: 123456”

    W treści SMSa NIE MA informacji o numerze konta, który wprowadziliśmy. Zakładając, że trafi na użytkownika, któremu numer konta zostanie podmieniony w przeglądarce przed wysłaniem, bądź sam request zostanie zmieniony przez złośliwe oprogramowanie to niewielka jest szansa na wykrycie tego typu oszustwa.

    Warto tu też wspomnieć, że ostatnio IDEA Bank zmienił sposób edycji istniejących lokat i obecnie jedynym sposobem zmiany parametrów lokaty jest kontakt z infolinią. Getin Bank natomiast wciąż jest podatny… bo IMHO to jest właśnie podatność.

    • Akurat to co zrobił IDEA Bank to tylko chęć nabicia kabzy a nie dbanie o bezpieczeństwo. Wcześniej dało się lokatę ustawić na nieodnawialną sms-em ale numer podawało się na stronie. A teraz co? Dyktuj komuś przez telefon? A jak źle wpisze? Kto mi to udowodni?

    • To w Getin lepszym bajerem jest to, że po pierwsze: do książki adresowej odbiorców można dodać nowego odbiorcę bez żadnej weryfikacji SMSowej (jeśli oczywiście nie zaznaczy się opcji “Odbiorca zaufany”), a po drugie zmiana numeru konta dla takiego “niezaufanego pozostałego odbiorcy” również nie wymaga potwierdzenia SMSem.
      A więc pomimo tego, że wysłanie przelewu będzie wymagało podania SMS weryfikującego, to złodziej może bez żadnych problemów podmienić wcześniej numery kont dla ‘niezaufanych’ odbiorców i liczyć na to, że użytkownik nie sprawdza danych przelewu przed wysłaniem i zautoryzuje przelew SMS – wtedy to bank zapewne umyje ręce.

  12. Ostatnio zainteresowałam się bardziej zabezpieczeniem swojego konta w BZWBK. Jeśli ktoś nie wie, to istnieje mozliwość sms-owego potwierdzenia logowania za każdym razem. Drugą rzeczą jest… ustalenie obrazka, który zawsze będzie się wyświetlał przy logowaniu -na stronę banku-. Jest ich ok 20 wzorów- jeśli wybrany indywidualnie przez ciebie obrazek po wpisaniu loginu się nie wyświetla.. po prostu nie jesteś na stronie banku.

    • Co ciekawe, obrazek ten pokazuje się też w aplikacji mobilnej… Naprawdę prosty sposób na weryfikację czy mamy do czynienia ze stroną banku czy fałszywką :-) szkoda że tak samo dowiedziałem się o niej dopiero przekopując ustawienia, gdyby bank jakoś promował to zabezpieczenie może miałby teraz mniejsze straty :-P

    • Nie wiem jak miałoby to pomóc. Przecież skoro pozyskano od nas dane logowania to automat może się zalogować i link do obrazka umieścić na podmienionej stronie logowania. T-mobile bankowe też to ma, ale do pozyskania obrazka nie potrzeba nawet hasła. Wystarczy spisać poprawny login, a hasło wpisuje się na kolejnej stronie, już z obrazkiem. Jak ktoś robi taki atak to nie wydaje mi się, że będzie dla niego problemem pobranie linka do obrazka, który można pobrać nawet bez logowania.

    • Wszystko ładnie w momencie kiedy logujesz się identyfikatorem. Ja osobiście identyfikatorem logowałem się z 2x. 1x żeby ustawić Alias, a drugi raz sprawdzając czy ID jest prawidłowe. Inne logowania wykonuję tylko podając Alias, który znam tylko ja. I bank :-)

    • A jak wpiszesz alias na czyjejs stronie, to kto jeszcze go pozna?

    • @Sebastian. Przecież weryfikacji obrazka jak i poprawności certyfikatu trzeba dokonać przed podaniem danych logowania. Po wpisaniu danych to już nie będzie miało znaczenia.

    • @Sebastian Obrazek wybierasz sobie sam i tylko ty wiesz jaki ma się pokazać. Fałszywa strona nie pokaże prawidłowego obrazka bo link jest zmienny (link do mojego obrazka https://www.centrum24.pl/centrum24-web/securityImage?h=1239508175). No chyba, że phisher siedzi i czeka aż wpiszesz login po czym sprawdza na stronie jaki obrazek się wyświetla i podsuwa go ręcznie na stronę podawania hasła.

    • Nie musi czekać, wystarczy że system phishingowy do którego wpisujesz alias albo nr, pójdzie do strony twojego banku i wpisze też, ściągnie obrazek i wyświetli

    • @Houas – zmienny link raczej nic nie zmienia, bo w końcu automat może pobrać content, przez choćby selektor CSS. Potem go zaserwuje jako lokalny plik. Nawet nie musi być dl z banku/ul do przest., bo wystarczy dl i hash, a wg tego zaserwowanie obrazka, który jest już na serwerze przestępcy (bo wybór ograniczony). Jakby to miało trwać sekundę czy dwie, to ofiara nie nabierze podejrzeń. Właśnie pomyślałem, że ten obrazek nie jest taki fajny. Ludzie zamiast na certa, patrzą na obrazek i ufają mu. O, mam kiełbaskę, to strona banku – a kiełbaska zaserwowana przez podrobioną stronę. BTW w T-Mobile jest to samo. Może by _trochę_ pomógł dynamiczny znak wodny? Np. taki z datą i godziną. To by mogło utrudnić sprawę, bo wcale nie jest prosto skopiować/przerysować skomplikowany znak, żeby użyć go do znakowania swoich obrazków. Nawet jeszcze można by dać userowi wybór czcionki, jakieś różniące się – choćby black sans serif, komiksowa, skryptowa i zwykły serif. Takie nie do rozpoznania po WTF. Coś takiego, tylko łatwiejsze do odczytania + jakieś logo. http://imgur.com/HnPpDGA

    • Od 1 sierpnia BZ WBK postanowił zarobić na dbających o bezpieczeństwo i korzystających z SMSkodu przy logowaniu, ponownie wprowadził opłatę za SMSkody (58 strona TOiP).

      @gizus kliknij sobie na BLIK to zobaczysz czy się pokazuje. Akurat tam zrobili osobne logowanie i bez wyświetlania obrazka.

  13. Polecam wlaczyc potwierdzenie SMSem przy samym logowaniu do banku. Dzieki temu, id/pw nie beda wystarczajaca dla osob “trzecich”…
    Ponadto mozna ustawic obrazek ktory bedzie zwiazany z kontem i bedzie wyswietlal sie podczas logowania.Gdy bedzie inny badz brak – jestesmy na fake’u.
    Plus radze wylaczyc tranzakcje “bezdotykowe” karta – w przypadku zgubienia karty, znalazca moze dosc szybko oproznic konto bez posiadania PINu.
    Ogolnie 2FA ON wszedzie tam gdzie liczy sie bezpiecznestwo i kasa ;-)

    • Nawet posiadając kartę z wyłączonym PayPass można opróżnić konto nie znając PIN. Np. we Wrocławiu w biletomatach w autobusach nie trzeba podać PINu (nawet dla kart w wyłączoną funkcją zbliżeniową). Po prostu wkładasz kartę, biletomat mieli i dostajesz bilety, a środki ściągane są z konta.

  14. Uff, jak dobrze, że zakładałem konto jeszcze w samym WBK i do autoryzacji transakcji przez stronę banku dostałem (zapłaciłem 70 zł) token. Z jednej strony bez fizycznego dostępu do tokenu nawet nie zaloguję się do strony banku (token leży w szufladzie domowego biurka, więc nie mam szans zrobić transakcji ad-hoc, np. z pracy), no ale z drugiej strony to mam jakieś tam poczucie bezpieczeństwa.
    Parę lat temu w czasie wizyty w placówce dowiedziałem się, że dla klientów indywidualnych tokenów już nie ma (tylko SMS) – teraz na stronie banku widzę, że jest on dostępny tylko dla firm. Szkoda, że w tę stronę poszła polityka banku po fuzji.

    • To samo w BGZ po przejęciu przez BNP Paribas – likwidują TOKENY. Teraz będą SMSy.

    • Autoryzujesz się piętnastoletnim tokenem? Coś koloryzujesz. Nawet gdyby bateria się jeszcze nie wyczerpała (w co wątpię), to i tak już dawno byłby unieważniony.

    • @gs – zdziwisz się, ale ja w BGŻ mam konto z tokenem od wielu, wielu lat. Był wymieniany ze względu na żywotność baterii, ale do dziś autoryzuję nim logowanie i transakcje. Pierwszy token jaki dostałem posiadał funkcję czytania kodu generowanego przez bank i wyświetlanego w postaci migających pół prezentowanych obok postaci numerycznej na stronie. Później bank zmienił model urządzenia i wprowadził go również do innego swojego konta. Wyglądał tak: https://upload.wikimedia.org/wikipedia/commons/9/91/Vasco_Digipass_250.jpg
      Teraz, po fuzji bank wycofuje tokeny. Będą w użyciu do końca czerwca.

    • Trzeba zauważyć, że ludzie niestety idą na łatwiznę!
      W WBK mam konto o wielu, wielu lat.
      Posiadam do konta token od momentu ich wprowadzenia w WBK-u i praktycznie bez niego nie mogę dokonać żadnych operacji, nawet ustawień konta.
      W promocji na początku taki token kosztowały 25 zł.
      Wszystko co można praktycznie zabezpieczam tokenem.
      Wiele razy pracownicy banku prowadzili akcję propagandową i proponowali mi przejście na SMS-y, że łatwiej, wygodniej, takie tam ble,ble,ble…..
      Z uporem maniaka trwam cały czas przy tokenie, choć kolega matematyk kładzie mi do głowy, że i to można złamać. Zapewne.
      A token leży bezpiecznie w szufladzie.
      Myślę, że wszystko zależy od własnej organizacji korzystania z tokena.
      No tak ktoś powie, ale mogą go ukraść złodzieje.
      No i co złodziejowi z takiego tokena.
      Ktoś pisał, że wyczerpują się baterie.
      Ok, to można taki token wymienić na nowy (czytaj reklamować).
      Dostajesz nowy i po kłopocie.
      Podczas takiej wymiany pracownicy znów starają się przekonać klienta do SMS-ów, mówiąc im, że nie mają tokenów w oddziale, żadnego egzemplarza na wymianę. Bzdury.
      Zawsze, podkreślam zawsze jest w oddziałach kilka sztuk na wymianę – są w dyspozycji dyrektorów oddziałów, a w przypadku ich nieobecności, osób ich zastępujących np. kierownika sali.
      Nie pozwólcie sobie wcisnąć kitu, że nie mają, że muszą je zamówić w centrali.
      To tylko gra, aby zmiękczyć i zniechęcić klienta do tokena, a zachęcić do SMS-ów.
      To proste, tokeny to kłopot i koszt dla banku.
      A myślę, że po tej historii tokeny mogą wrócić do łask.

  15. Już wiadomo skąd wiadomość “Przypomnienie zasad bezpiecznego korzystania z bankowości internetowej i mobilnej”
    Swoją droga ciekawe co przyświeca bankowi, że limit na transakcje przez aplikację mobilną jest stały i niezmienny 3000 zł, szczególnie, że transakcje te nie wymagają autoryzacji.

  16. Link świadczący o zmianie siedziby mojego banku na Palau z pewnością by mnie zainteresował i pewnie zanim bym go przekazał z programu pocztowego do przeglądarki WWW, z ciekawości sprawdziłbym wreszcie gdzie jest to Palau.

  17. Bzwbk wyłączył. W przypadku ING nigdy nie byłem proszony. Kontaktowałem się z nimi i cały czas twierdza ze korzystają z super hiper algorytmy który decyduje o tym kiedy wysłać SMS z kodem. Mi dalej się wydaje ze po prostu oszczędzają na smsach. Mam konta w dwóch innych bankach i te potrafią autoryzować nawet durne przelewy na kilka, kilkanaście złotych.

    • Posiadam konto w ING i potwierdzenia SMS otrzymuję przy każdym przelewie – oprócz odbiorców zaufanych (których notabene jest dosłownie kilka – do płacenia rachunków).

    • Posiadam konto ING, sytuacja wygląda podobnie :(

  18. Ja to już dawno temu zauważyłem jak robiłem zakupy internetow, wtedy tak się wkurzyłem na nich, że złożyłem reklamację bo Bank sobie, bez pytania mnie o zdanie, obniżył bezpieczeństwo mojego konta. Przecież mogli wprowadzić taką opcję ale z domyślnym ustawieniem ‘opcja nieaktywna’ i każdy musiałby sobie to samemu aktywować. Ale nie, Bank sobie… Ale z drugiej strony, przecież na swojej stronie non stop informują, że nie wysyłają żadnych maili w których proszą o logowanie do systemu. Dlaczego ludzie się jeszcze nie nauczyli… Oczywiście jeśli chodzi o reklamacje, to przecież Bank w tym przypadku nie ponosi żadnej odpowiedzialności. Żadnej, bo udostępniono dane logowania do konta osobie trzeciej. I to by było na tyle…

    • Ja powiedziałbym że bank ponosi 50% odpowiedzialności. Zwróć uwagę że żadna z obu wpadek (klienta – bo podał login i hasło, banku – bo bez uprzedzenia zniósł bardzo ważny element zabezpieczenia) nie zagrałaby bez zaistnienia drugiej. Mamy tu typowe uwierzytelnianie dwuskładnikowe, jeden składnik zmarnował klient, drugi zmarnował bank.

      Traktuję to jako sytuację w której masz kolizję samochodem, łamiesz sobie żebra o kierownicę, okazuje się że w Twoim modelu producent zrezygnował z montażu poduszek powietrznych (mimo że w specyfikacji samochodu poduszki są), a na koniec argumentuje “to twoja wina, trzeba było nie przekraczać prędkości i jechać ostrożnie”.

      Moim zdaniem klienci mają spore szanse dochodzenia przynajmniej części utraconej kwoty.

      Pozdrawiam
      Werner

  19. To samo jest w ING. Przelewy do 2000 zł autoryzowane “losowo”.

  20. Jak by tego było mało to nie mogę znaleźć opcji “Sposób potwierdzania zleceń”
    http://wstaw.org/m/2016/05/12/BZWBK.png

  21. Czy u Was też zniknęła opcja wyboru, czy transakcje mają być potwierdzane tokenem?
    Myślałem, że po prostu włączą tą opcję a oni całkiem wyrzucili taką możliwość…
    Sam z tego korzystałem z ustawionym niewielkim limitem – dla bardzo małych transakcji.

  22. No cóż, dobrze, że włączyłem autoryzację po waszym wpisie dot. wyłączenia autoryzacji (https://niebezpiecznik.pl/post/klienci-bzwbk-bank-wylaczyl-wam-potwierdzanie-kodem-sms/) – nie wiem czemu Bank Zachodni wyłączył WSZYSTKIM potwierdzenie smsKodem – niby to miało przyspieszyć operacje, odbyło się to jednak z poważnym skutkiem ubocznym…

  23. Mi ten email wpadł w GMailu od razu do spamu – dziwne, że tylu ludzi się złapało…

  24. Ja gdy przeczytałem, ten artykuł “Klienci BZWBK, bank wyłączył wam potwierdzanie transakcji kodem SMS”, to odrazu zmieniłem aby wymagany był sms. Ale co mnie zdziwiło to do zmiany nie był wymagany żaden sms, poprostu zmiana i klik zastosuj ;-(. Do zmiany limitów też nie wymagali sms potwierdzajacego. Ciekawe czy dalej tak jest

    • może zmiany zrobiłeś na fikcyjnej stronie ;)

  25. – Skąd przestępcy mieli adresy email użytkowników BZWBK?
    – Rozumiem, że link był w formacie takim, że na końcu był właśnie email na który był wysłany?
    – Czy jesli chodzi o fałszywy link w emailu to po najechaniu myszką był widoczny docelowy fałszywy url? Czy po kliknięciu linka w pasku adresu przeglądarki był widoczny nieprawidłowy adres?

    • Do mnie przyszło dokładnie na te same adresy na które od kilku lat przychodzi mi informacja o “Blokadzie konta iPKO” – mimo, że i tu i tu konta nie mam :-P
      Po najechaniu na url w wiadomości był widoczny docelowy personalizowany link : ęhttp://centrum24.xyz/?email=XXXXX@XXXXXX.pl”

  26. Ciekawe czy Allegro i mbank zreflektują się i na tej fali też wycofają sie ze swojego IMHO mocno dyskusyjnego pomysłu kupowania za pomocą kliknięcia, “bez zbędnego potwierdzania transakcji SMSami”. Denerwujące jest to natarczywe promowanie tego, za każdym razem trzeba potwierdzać, że nie chce się uaktywnić tej “funkcjonalnosci”.

  27. “A ponieważ do zdefiniowanych odbiorców przelewy szły bez dodatkowej autoryzacji, przestępca po uzyskaniu loginu i hasła po prostu podmieniał rachunek jakiegokolwiek zdefiniowanego odbiorcy na swój i wyprowadzał środki kilkunastoma kliknięciami myszy.”
    To jest nieprawda. Przelew do odbiorcy zdefiniowanego wymagał kodu z narzędzia autoryzacyjnego. Nie wymagała go jedynie edycja tego przelewu. Zatem po modyfikacji odbiorców przestępca czekał aż klient zrealizuje sam przelew. Kodu nie wymagała płatność (czyli przelew zaufany), ale edycja tej płatności kodu wymagała.

  28. “POLSKA” :)

  29. “Sposób potwierdzania zleceń” zniknął z dziś całkowicie z opcji konta. Czyli bank nie daje już nawet opcji wyłączenia tego.

    • Raczej logiczniejsze jest to, że bank wyłączył tę funkcję zupełnie (no i też faktycznie tak zrobił, bo płaciłem dziś za hosting).

  30. jakaś epidemia wczoraj mail z powiadomienia@allegro.pl dokładna treść wiadomości

    Witaj!
    Musisz potwierdzi swoje konto.
    Zauwaylimy e Twoje konto zostao dostp z kilku adresw IP.
    Aby potwierdzi rejestracj, e jeste wacicielem tego konta.
    Kliknij na poniszy link i wpisa swoje dane konta
    [tu jest link do strony logowania allegro]
    adres który jest ukryty pod tym linkiem jest taki
    http://ferreterialand.cl/new/allegro1.html
    nie logowałem się na stronę ponieważ może tam być wszystko począwszy od trojanów a najprawdopodobniej wyciągnięcie haseł allegro

  31. z całym szacunkiem do ludzi ale tylko idiota mógł nabrać się na ten atak. BZWBK ma przecież maskowane hasło a w odnośniku do fałszywej strony tego zabezpieczenia nie ma. Po prostu ludzie nie myślą.

    • Niestety dla większości dorosłych ludzi, którzy przygodę z komputerem zaczęli późno, zauważanie i rozróżnianie takich rzeczy przychodzi bardzo ciężko. Trudno jest wytłumaczyć np. seniorowi kwestie interfejsu graficznego, tego, jak wyglądają okna przeglądarek, poszczególne elementy i dlaczego pewien wygląd treści na ekranie jest właściwy a inny powinien wzbudzać podejrzenia… Wiele osób po prostu nie ma wyczucia. Jeśli się bawiło na kompie w latach 90-tych czy niedługo po 2000 roku to ma się zupełnie inny “feeling” pod tym względem, takie coś trudno ludziom opisać, wytłumaczyć. Sam się dziwię, że ludzie jeszcze się nabierają, bo ostatnio bardzo dużo się o tym mówi i każdy powinien być ostrożny dostając takie maile.

    • “BZWBK ma przecież maskowane hasło” – nieprawda. Hasło maskowane jest opcją, możesz z niej nie korzystać. Ja wpisuję całe.

    • Kiedyś bank wprowadził jako jedyną formę hasło maskowane i tak było przez jakiś czas. Później bank ugiął się po narzekaniach klientów, że to spore utrudnienie.

  32. Odnośnie karty zabezpieczonej przez 3D Secure nie jest do końca tak, że za każdym razem przychodzi sms. Wydaje mi się, że przynajmniej raz, gdy podawałem dane karty w systemie płatności [na pewno nie było to PayU], sms mi nie przyszedł. Niestety nie pamiętam systemu płatności, ale mogły to być zakupy w sklepie internetowym decathlonu.
    Może ktoś potwierdzić?

    • Sklep może nie obsługiwać 3DS

    • A obsługuje PS Vita? :D

  33. Dla zainteresowanych:
    nie wiem jak inne banki, ale ING na przykład, potwierdza swoje przelewy wybierając tylko te “godne uwagi”. Dzieje sie to zupełnie randomowo i nie ma możliwości włączenia potwierdzeń przelewów na stałe.

  34. Dostałem coś takiego w zeszyły piątek, ale bank nie zna mojego emaila, wiec wywaliłem to gówno w kosmos!

    PS. Nie sposób dodzwonić się było w poniedziałek na infolinie!

  35. Mam proste rozwiązanie dla banku. Stworzenie konta email ,,security@ wbk.pl
    Każdy kto tylko otrzyma wiadomość z żądaniem kliknięcia w jakiś link, natychmiast tę wiadomość przekazuje na maila security. W ten sposób bank pierwszy wie, że właśnie zaczyna się jakaś akcja kradzieży i może natychmiast zareagować. Czemu tego nie wprowadzili do tej pory???

  36. Nie rozumiem że aż tak głupie mogą być banki… nielimitowane SMS ile kosztują 9zł? A dla banku ile by wyszło tysiak? Skoro administracja ma full-bezlimitu za 4-9zł od karty w przetargach, to śmieszne pieniądze dla banku – wystarczy dopisać obsługę systemu masowego SMSa, wiadomości o wszystkim mogą przychodzić za 3-5zł od Klienta… albo darmo. Yderem jest mBank, jak Ci przyjdzie potwierdzenie po 3 dniach przez serwer z nazwą onet….
    Jakoś np. idea, wysyła natychmiastowo. Dużym bankom się nie chce – maja za dużo dyrektorów i mamy tak głupie decyzje. Skoczy się tym że ktoś wyleci, albo nic mu nie zrobią jak znajomek królika, a straty spiszę się na starty – oczywiście w PL piekiełku pierw wmówi Klientowi że jego wina nie :)

    • Nielimitowane SMSy kosztują 9zł tylko wtedy gdy jesteś “człowiekiem” i generujesz zarówno ruch wychodzący jak i przychodzący. Intercharge międzyoperatorski kosztuje obecnie ok 4gr za wiadomość. Przy dwustronnej wymianie SMSów – operatorowi się to bilansuje. Przy jednostronnej masowej wysyłce już absolutnie nie i te min. 5gr za każdy SMS ktoś musi zapłacić.

  37. Czytam was wystarczajaco dlugo (choc jestem laikiem w tematach dot. bezpieczenstwa) ze w/w sprawa przykula moja uwage gdy jakies 2-3 miesiace temu takie przelewy zaczely przechodzic z automatu. Tez mi sie to nie spodobalo wiec udalo mi sie wylaczyc ta opcje samemu.

    Swoja droga, juz na etapie wpisywania hasla zapalilaby mi sie czerwona lampka w glowie – w BZWBK NIGDY nie trzeba wpisywac calego hasla – zawsze tylko fragmenty.

    • To zależy jak sobie ustawisz

  38. To dziwne, że ludzie się łapali przeciez w BZ jest też ta weryfikacja strony przez obrazek, który samemu sie wybierało i zawsze sie wyświetla przy logownaiu (przy podawaniu hasła)

    • A jakie to zabezpieczenie? Przecież bot może wysłać login do strony banku i pobrać właściwy obrazek.

  39. Niestety, bank postąpił podobnie jeśli chodzi o zgodę na przesyłanie wiadomości marketingowej. Też jest checkbox zaznaczony, a ja nigdy bym tego nie zaznaczył. Nigdy.

  40. Zauwazyłem, że wyłączyli konieczność potwierdzania transakcji tokenami podczas dokonywania płatności kartą – ku mojemu zdziwieniu nie było potrzebne żadne dodatkowe potwierdzenie, było to już jakiś spory czas temu.

    Zadzwoniłem wtedy na infolinie banku i domagałem się rozmowy z jakimkolwiek kierownikiem. Jak już Pani, która nie za bardzo chciała przekazać rozmowę do kierownika przestałą polemizować i ów kierownik łaskawie odezwał się w słuchawce to zjechałem go jak szmate za narażanie moich pieniędzy na kradzież, gdyż zabezpieczenia zostały wyłączone bez mojej zgody i żadnej bezpośredniej informacji ze strony banku – sorry, ale nie wchodze codziennie na stronę banku, żeby czytać ich ogłoszenia.

    Bez mojego pozwolenia zmienili preferencje mojego konta, moje preferencje, które ustawiłem, aby chroniły moje pieniądze. Kierownik zaczął się odgrażać, że rozmowa jest nagrywana i za bluzgi, które poleciały w jego kierunku może chcieć złozyć zawiadomienie – zapytałem wówczas czy nie chce kopa w dupe, aby szybciej na komisariat doleciał.

    Złozyłem telefoniczne zażalenie na jakość usług świadczonych przez bank z żadaniem pisemnego ustosunkowania się – minęło kilka tyg jak nie miesięcy i 0 odpowiedzi.

    Sam bank trąbi wszędzie, żeby uważać, żeby nie dać się okraść, żeby używać maskowanych haseł, żeby ku… trzymać karty w bunkrze z 8-metrowym stropem.. a tu ci ch.. wyłączają postawowe zabezpieczenie – 2way auth zabezpieczający dokonanie czynności mogących wyprowadzić pieniądze z konta. Frajestwo do kwadratu – takie działanie można uznać by za celowe, aby kuzyn dyrektora banku mogł sięnachapać, a potem ktoś za to zapłaci. Beznadzieja

    • Co chcesz uzyskać bluzgając na pracowników? Na co realnie mają wpływ? Chciałeś się na kimś wyżyć i poczuć jak panisko? Otrzymałeś poprawną informację-nie masz prawa ich personalnie obrażać.
      Jak się coś w banku nie podoba to składasz na tą rzecz reklamacje.
      Jeśli bank nie zmienia tego co chcesz- uwaga zmieniasz bank!
      Sam jesteś beznadziejny.

    • O rany… myślałem że lata 90-te już minęły i tacy ludzie, wraz z białymi skarpetkami do mokasynów i dużymi telefonami komórkowymi odeszli do historii… ale widać jeszcze nie całkiem.

      Umiesz wskazać związek między “jakimkolwiek kierownikiem” którego bohatersko przez telefon “zjechałeś jak szmatę” a wyłączeniem uwierzytelnienia SMS w banku? Rozumiem że jeśli np. był kierownikiem zmiany w dziale przyjmującym zgłoszenia od klientów, jest on winny tego że dział bezpieczeństwa banku wyłączył Twoje SMSy? Obyś nie trafił kiedyś na Niemca któremu przyjdzie do głowy zjechać Cię jak szmatę za to że jakiś Polak kiedyś ukradł mu samochód.

      Chyba nie zdajesz sobie sprawy czym się na tym forum właśnie pochwaliłeś…

    • No dobra, to co w takim razie gość miał zrobić? Pokornie podziękować za to, że mu opcje bezpieczeństwa bank bez jego wiedzy zmienił? Pracujesz w helpdesku to bierzesz ryzyko na siebie, że jakiś wkurzony klient cię opieprzy. A jak ich będzie więcej, to może jednak ten kierownik pójdzie do swojego przełożonego i powie hola ale coś mi klienci strasznie narzekają i mieszają mnie z błotem, może zmieńcie tę opcję z powrotem na sensowną? Więc opieprz moim zdaniem ma sens.

    • Wrzuć zażalenie pisemnie do Banku i cc. do KNF.
      Odpowiedzą dokładnie w 30 dni.

      Sprawdzone!!!

  41. Jeśli ktoś jest idiotą… To nie ma rady. Idiotę zawsze da się okraść… tu nie trzeba wyrafinowanych technik, kilka sprytnych ruchów i masz nie ograniczony dostęp.

  42. Obrońcy uciśnionych się znaleźli.. dołaczcie do zielonych i puszczy chronic w takim razie. Tak, trzeba opierdzielać ludzi, inaczej na głowe zaczna wchodzic – a jak mawiał Piłsudski “Bić Kurwy i Złodzieji”

    Mam prawo zjechać człowieka, który jest na stanowisku kierowniczym, a który pracuje dla instytucji, która naraziła bezpieczeństwo moich pieniędzy.

    W bankach nikt nie bierze odpowiedzialności.. gdybym chciał sprawe ciagnac dalej to właśnie przez podrzędnego kierowniczynę poszedłbym wyżej. W obecnych czasach nikt nie pilnuje swojego, a potem ludzie płacza jak im się coś zabiera. Więc z całym szacunkiem, ale czepcie się drzewa w lesie.

    • Nie wiem jak drugi kolega, ale jeśli o mnie chodzi, to nie tyle obrońca uciśnionych, co raczej prześmiewca histeryków, którzy myślą że telefoniczne wrzaski w stronę losowej osoby w BOKu mają skuteczność inną niż zero.

      Skuteczne działanie przeciwko bankowi osiągasz poprzez kancelarię prawną i pisma, nie przez telefon. Do ludzi którzy faktycznie odpowiadają za wyłączenie autoryzacji SMS (Dział Bezpieczeństwa) to najprawdopodobniej nawet nie dotarło, bo nie miało formy pisemnej.

      Swoim bohaterskim zachowaniem (jak ustaliliśmy – zainspirowanym dokonaniami marszałka Piłsudskiego), być może zepsułeś dzień jakiemuś chudemu konsultantowi, który za parę tauzenów musi siedzieć w BOKu w białej koszulce i słuchać takich telefonów jak Twój. Warto było?

  43. Banki powinny gratisowo dostarczać swoim klientom zabezpieczone terminale, z których mogliby składać dyspozycje. PS. I ludziska, zacznijcie korzystać z wirtualnych kart kredytowych, zamiast szybkich przelewów. Przynajmniej jest charge back.

    • @qlawy Banki nie oferują już prepaidowych kart kredytowych. KNF zabronił.

  44. “Mam konto w BZWBK — co robić, jak żyć?”

    Zmienić bank …
    Miałem tam konto i nigdy więcej nie będę miał – najgorszy, bajdroższy i najbardziej chciwy bank jaki znam :-(

    • Brawo Ty, brawo ja

      Też już zmieniłam Bank i to samo doradzam wszystkim innym rozsądnie podchodzącym do swoich finansów

  45. “W przesłanym nam wtedy oświadczeniu, BZWBK tłumaczył, że taką zmianę wprowadził jeszcze w kwietniu 2015 roku — jest więc zastanawiające, dlaczego dopiero w marcu 2016 zaczęliśmy otrzymywać w tej sprawie e-maile od naszych czytelników.”
    Bardzo możliwe, że tak było jak twierdzi BZWBK. Bank wysłał w tamtym roku informację, że taka zmiana będzie wprowadzona. Było to nie później niż we wrześniu.

  46. Ciekawi mnie zatem bank ing w którym to hasło z smsa wymagane jest przy(chyba) losowych operacjach tzn. raz proszą a 10 razy nie…

    • ING wysyła kody w przypadku wystąpienia nietypowych transakcji. Jeżeli przelewasz pewną kwotę po raz dziesiąty na to samo konto, to raczej nie ma potrzeby wysyłania takiego kodu. Co innego, gdy nagle z Twojego konta przelewane jest 15.000zł na konto zarejestrowane w Dżibuti.

  47. Ja regularnie co tydzień dostaję e-mail od “Allegro” pt. Twoje konto zostało zawieszone.
    Link do logowania prowadzi do http://otadanbatik.com/wp-content/themes/Boutique/allegro1.html oraz http://ferreterialand.cl/new/allegro1.html

    Tylko ile razy można zawieszać zawieszone konto? xD

  48. Kazdy wie albo i nie ze jezeli sie loguje to własnego konta to dodatkowa opcja zabezpieczająca jest obrazek wyświetlający sie obrazek, ktory wcześniej ustawiliśmy, i pojawia sie w prawym górnym rogu na pasku wpisywanego hasła= ze nick poprawnie został wpisany!! Pozdrawiam nie myślących!

    • Dokładnie o tym samym pisałem :) Klikają jak małpy a następnie płacz bo konto wyczyścili, po to jest ten obrazek, jak by sobie gołą babę ustawił to by zwrócił uwagę że jej brak :)

  49. @Redakcjo
    A jaki sens ma w tym przypadku przywoływanie sytuacji z Trustly/eBuy? Przeciez Trustly z zadnym bankiem nie wyłącza i nie zamierza wyłączyć autoryzacji przelewu kodem SMS? Nie jest w stanie tego dokonać bez współpracy banku. Tu ewidentnie za współwinnego można skarcić serwis Przelewy24 który zgodził się uczestniczyć w tak daleko idącym ułatwieniu.

    • Marku, przelewy24 (posrednik) nie ma zwiazku z ta sprawa bo w artykule przywolywany jest Przelew24 – to usluga BZWBK o ludzoco podobnej nazwie, a bedaca odpowiednikiem mtransferu.
      Co ma Trustly do tego? Wierze, ze Twoja znajomosc tematu platnosci, ktora zademonstrowales w poprzednich postach, pozoli Ci samemu znalezc odpowiedz na to pytanie :)

  50. BZWBK powinien wprowadzić potwierdzenie SMS logowania do ich aplikacji lub strony www. Wtedy klient wiedziałby, że ktoś nielegalnie zalogował się do Banku. W Bankach Spółdzielczych większy nacisk jest kładziony na bezpieczeństwo. Przykładowo BZWBK do dziś umożliwia kopiowanie konta poprzez schowek. Pokazuje się tylko informacja, aby podczas kopiowania uważać i sprawdzić konto. W Bankach Spółdzielczych w zależności z jakiego oprogramowania korzystają takie rzeczy zostały dawno już zabronione.

    • Jakby jakiś bank robił ze mnie durnia i robił przeszkody w przeklajaniu czegokolwiek, to najprawdopodobniej zrezygnowałbym z jego usług.

  51. BZWBK… mam z nimi złe doświadczenia… ich karta prepaid nagle odmówiła posłuszeństwa, po zgłoszeniu do helpdesku pani po prostu stwierdziła, że tak to po prostu może być i nie zawsze wszystkie transakcje będą przechodzić.. no jakieś jaja po prostu :-)

  52. Pytanie: czy przy okazji wcześniejszego artykułu, gdy kontaktowaliście się z Bankiem, ostrzegaliście ich przed potencjalnym niebezpieczeństwem dla klientów?
    Jeśli tak to poszkodowani w wypadku negatywnego rozpatrzenia reklamacji powinni w sądzie powołać was na świadka, iż bank został ostrzeżony o swojej niedbałości, wiec powinien ponieś pełną odpowiedzialność za zignorowanie waszych ostrzeżeń.

    • A co klient nie pamięta jaki obrazek ma przy logowaniu ustawiony tj. przy wpisywaniu hasła ??? w ogóle masz konto w tym banku. Obrazek przy logowaniu jest jednym z zabezpieczeń konta w przypadku przekierowania na podmienioną stronę logowania wystarczy zwrócić uwagę, a nie klikać jak małpa we wszystko co przysyłają !!!

  53. “bohaterskie zachowanie zainspirowane dokonaniami marszałka Piłsudskiego” – made my day. propsy!

  54. Co tam pareset tysięcy strat, prezes i tak weźmie kilkumilionową miesięczną premię…. Zawsze jest tak, że tracą niewinni, tutaj klienci…

    • Czy klienci są niewinni? oddaj mi klucze od mieszkania to ja sprawdzę czy masz bezpieczne zamki.
      Kretyni powinni płacić za głupotę – dzieci FB.

  55. Niezła wpadka…chociaż idiotów, którzy dali się okraść jakoś nieszczególnie mi żal. Już od ładnych paru lat się o tym trąbi, a ciągle znajdują się tacy.
    Jak widać debili nie sieją…

  56. Nie mam tego co podaje Niebezpiecznik.pl

    https://niebezpiecznik.pl/wp-content/uploads/2016/05/bzwbk-potwierdzenie-nie.png

  57. Dla mnie to była przygotowana wcześniej akcja. Musiał tylko upłynąć okres karencji miedzy wyłączeniem SMSów i samym atakiem.

  58. moim zdaniem jedynym wyjściem jest zalecenie dobrych praktyk przez KNF. Skoro KNF zabronił bankom przenoszenia rachunków z innego banku za pomocą screen scrappingu, to tak samo może zakazać wyłączania potwierdzania płatności przez przelewy internetowe. Swoja droga powinni bez mrugnięcia okiem zwrócić środki klientom, a potem domagać się ich zwrotu od przestępców. Raz a dobrze i po poniesieniu strat bank się nauczy. W tym wypadku KNF powinien być stanowczy, tak jak był w przypadku lokat antybelkowych czy screen scrappingu. Żaden bank działający w Polsce nie będzie wojował z nadzorem, bo nie chce stracic licencji bankowej.

  59. Ewakuuję się z tego banku. I tak miałem to zrobić.

  60. no i extra… na stronie BZWBK wymuszenie zmiany hasła;
    Po zalogowaniu się ID+Pass Musiałem podać pełne stare hasło i nowe… cały czas bez SMS;
    Dopiero ponowne logowanie wymusiło kod SMS.
    ?????????

    • Tak jest, ale w moim przypadku skończyło się niepowodzeniem.
      Przej jakiś czas nie mogłem się zalogować a potem sms.
      Przypuszczam, że celowo “programiści” tak zagrali.
      Generalnie syfylis jak całość tej krainy.

  61. Albo się za dobrze chronię, albo cyberprzestępcy mnie nie lubią :(((

    #smuteg

  62. A jedno pytanie – w kroku drugim przy wpisywaniu hasła PIN gdzie obrazek weryfikacji np. kwiatek wybrany przez klienta ??? jest to jeden z elementów zabezpieczenia dostępu do konta gdy zostanie podmieniona strona logowania !!! w załączonych zrzutach nie ma go. Jak ktoś klika jak małpa w co mu przyślą na maila i nie patrzy co jest na stronie banku to jego wina !!! wszystko w tym temacie.

    • Jedna odpowiedź – jak na podmienionej stronie podasz już swój login, to ona bez problemu poda Ci Twój obrazek, który ściągnie ze strony banku.
      Wszystko w tym temacie.

  63. Ja mam jeszcze jeden ans do banków – dlaczego nie mogę sobie włączyć geolokalizacji?! Czyli jestem stolicy na przykład lub w Polsce i żadne inne ip jeno stołeczne/polskie nie może się uwierzytelnić na moim koncie – takie zabezpieczenia co prawda nie konfigurowalne ma yahoo i społecznościówki – jeśli wykrywają niespotykany wcześniej adres logowania pytają o potwierdzenie lub wyłączają konto (dostęp ofcz)- banki w tym kierunku nie idą (przynajmniej pl)…

    ps. czy zapytalibyście firmy obsługujące autostrady dlaczego nie mogą choćby zbliżeniówek wystawić poza okienko – zawsze jak oddaję kartę osobie w okienku nie widzę mojej karty co najmniej pół minuty…

  64. BZWBK – po tym co ten parabank robi w ostatnich latach, tylko frajerzy trzymaja tam pieniadze. A frajer to frajer – dymac go, bez litosci. Moze (duze “moze”) wtedy sie czegos nauczy. Moze nie jets to mile co pisze, ale nie zwyklem owijac w bawelne. Jak bardzo glupim trzeba byc, aby w tym parabanku trzymac pieniadze po tych wszystkich aferach, wpadkach, “probemach technicznych”?

  65. A i jeszcze jedno: bank bez sprzetowego tokena, to nie bank, a jakas stodola w ktorej szmal lezy na ziemi. Ludzie autentycznie maja zerowa swiadomosc konsumenta.

    • a niby pod jakim wzgledem sprzetowy token jest lepszy od SMS ? token moge zgubic lub ktos ukradnie , telefon przynajmniej mam mozliwosc zabezpieczyc …

  66. No tak, SMSowe potwierdzenia włączyli i…
    wprowadzili za nie opłatę: https://blog.bzwbk.pl/2016/05/zmiana-taryfy-oplat-i-prowizji-od-1-sierpnia-2016-r
    Innymi słowy 6. przelew w miesiącu będzie płatny.

    • To wygląda na jakiś ponury żart. Chociaż po przejrzeniu listy kont:

      smsKod
      1.1 dla posiadaczy Konta<201, Konta<30, Konta Godnego Polecenia, Konta 123, Konta24 VIP, Konta VIP, rachunków Ekstrakonto: Plus, Concerto, VIP, Elita, Profil Aktywny, Profil Ambitny, Profil Zdobywcy Bez opłat

      Nie wygląda to tak tragicznie, przynajmniej dla znacznej części ludzi.
      Jednak kompletnie nie rozumiem tej decyzji, głupie konta do gier bywają lepiej zabezpieczone (i za mniejsze pieniądze)…

    • Czyżby potrzebowali kasy, by było z czego “rozpatrywać reklamacje”? ;)

    • @Mdl: zacytowałeś stare opłaty, te właśnie obowiązują. Zobacz od strony 49.
      “smsKod dla posiadaczy Konta<20, Bez opłat
      dla klienta niebędącego posiadaczem Konta <20,
      smsKod 6-ty i kolejne w danym miesiącu 0,20 zł"

      Więc od 01.08.2016 będą właściwie wszystkich kasować za SMSy (poza 1 kontem dla młodziaków). A przez to wielu na pewno ograniczy użycie SMSów obniżając bezpieczeństwo.

    • @k kurczę, też nie zauważyłam! Na pierwszej stronie jest “Obowiązuje od dnia 11.03.2016 r. (zawiera również wersję obowiązującą od 01.08.2016 r.)”, a w spisie treści nie wspominają że to od strony 49, trzeba ręcznie przewinąć za połowę dokumentu… (pewnie sporo osób będzie tej “wersji obowiązującej od 01.08.2016r.” szukać w formie przypisów przy interesujących ich polach w tabelce, tak jak ja, a jak nie znajdzie, uzna, że to coś zupełnie innego się zmienia, co ich nie dotyczy…)

      No to po sesji będę musiała napisać ładne oświadczenie o braku zgody na zmiany (ciekawe, czy postąpią zgodnie z zasadami i zamkną konto dzień przed ich wejściem sami, czy tak jak w Meritum – zleją/zgubią gdzieś pismo i będzie trzeba chodzić do banku i tam zamykać w “normalnej” procedurze ;) )

  67. Według mnie tylko osoby, które dopiero zaczynają korzystać z sieci mogą się nabrać na tak kiepską próbę shakowania, młodszy user w życiu nie nabierze się na tak żałosną próbę wyłudzenia danych.

    • Oj, dziwił(a) byś się…..

  68. Jestem po rozmowie z ING. Przelew (Allegro/PayU) został dokonany po podaniu tylko użytkownika i hasła. Przelew taki realizowałem po raz pierwszy – więc trudno mówić o “kolejnym” przelewie, transakcja nie była “typowa” – bo z tego konta nie dokonywałem takich przelewów. Oczywiści infolinia poinformowała o “hiper-algorytmie”, który zna tylko ING (? ciekawe ile osób znających ten algorytm nie pracuje już w ING) i dodatkowo nic nie można zrobić.
    Oczywiście z dniem jutrzejszym kończę moja przygodę z ING i przestrzegam: szukajcie sobie prawdziwego banku.

    *wyrażam zgodę na zamieszczenie tego wpisu przez każdy bank, konkurencyjny w stosunku do ING, który nie traktuje swoich klientów jak nic nie rozumiejących kretynów.

    • A ten przelew, był fałszywy? Sprzedawca “lewy”?

  69. Chyba “mtransfer mobilny” w Allegro podobnie działa. Jak jest włączony to nie trzeba żadnego potwierdzania smsem.

  70. Dokładnie takiego samego maila dostałem dziś, ale zamiast WBK jest ING. I tak, mam tam konto i wiadomość przyszła na maila powiązanego z kontem. No ale już nadawca jest dziwny (kni2@pedigre.hu) a adres na który prowadzi link podobnie dziwny: http://ingbank-zaloguj.com/?email=xxxxx
    Ciekawostką jest, że podany w mailu nr infolinii 801 601 607 po wpisaniu w google daje w kilku pierwszych wynikach strony ING, prawdziwe, ale ja tego numeru tam się nie doszukałem

  71. Nie wiem co sie dzieje z tym bankiem, ale własnie ja i mój kolega z pracy dostaliśmy na adres domowy przesyłki listowe z płytą CD o zmianie regulaminu BZWK i z informacją, że jesli nie zgadzamy się na nie to możemy wypowiedzieć umowy – tylko, że obaj nie jestesmy klientami tego banku od przeszło 4 lat.
    PS
    Podobno Bank z Poznania poszukuje specjalisty ds bezpieczeństwa i bardzo im sie spieszy ;-)

  72. Na razie mam token, ale odnośnie wyłączenia potwierdzeń sms, to wyłączone zostało też autoryzowanie przelewów za pomocą tokena, więc wyłączyli wszystkim, bo widocznie sms to dla nich również token.

    Ktoś pisał, że można zgubić token i co wtedy? Token jest zabezpieczony 5 cyfrowym pinem, po jednej nieudanej próbie wprowadzenia pinu i wyłączeniu tokena, po ponownym włączeniu wyświetla fail1 i puki nie wprowadzimy poprawnego pinu, to będzie cały czas fail1. Po 3 błędnych pinach, token sam z siebie kasuje algorytm generowania kodów (ale tego wolałem nie sprawdzać).
    Ciekawe ile osób zmieniło sobie domyślny kod pin na inny.

  73. No to ostatnio to nawet PKO BP zaczęło błaznować, i poblokowało z marszu karty zdrapki do autoryzowania transakcji. na szczęście wystarczy zalogować się w serwisie telefonicznym, odpowiedzieć na mnósssstwo pytań na które odpowiedzi hackerzy już dawno mają, i ….. przywracają do życia kartę zdrapkę.

  74. Moim zdaniem do takich sytuacji dochodzi w każdym banku i tak naprawdę nie ma się czym niepokoić. Jeszcze nie słyszałem osobiście o przypadku kiedy to ktoś rzeczywiście zostałby “shakowany” w banku.

  75. Naprawdę nikt nie zwrócił uwagi, że po wpisaniu loginu nie pojawił się wybierany przez klientów avatar? A w sumie to nie dziwne patrząc na przypadki, które opisuje Niebezpicznik – nic mnie nie zdziwi.

  76. Pytanie trochę z innej beczki, ale też chodzi o bankowość.
    Czy takie logowanie do systemu bankowości elektronicznej w celu weryfikacji danych osobowych jakie wdrążył serwis pożyczkowy monedo (www.monedo.pl) jest bezpieczne?
    Bo mam co do tego duże wątpliwości. Serwis nie przekierowuje nas na stronę banku.

  77. Nieźle, miałem kiedyś konto w bzwbk. Czy przypadkiem wpisyując pin w panelu logowania nie trzeba było podawać tylko niektóre kratki?

  78. Nie znam się za bardzo na tego typu sprawach, ale akurat też dostałem wczoraj takiego maila(oczywiście nie weryfikowałem go przez podany link ^^) i zastanawia mnie skąd oszuści mieli mój adres mail? Czy może rozsyłali je randomowo licząc na szczęśliwy traf?

  79. Dalej wysyłają ten spam, chociaż domena już chyba nie działa.

  80. Ja dzisiaj dostalem o 17:00 @ z informacja o blokadzie, hehe.

    http://www.bzwbk.pl/weryfikacja -> prowadzący do: http://centrum24bzwbk-pl.com/?email=

    wpisalem byle jakie dane i jest odpowiedz:

    Szacowany czas oczekiwania: 235 sekund
    Numer weryfikacji WBK1923/582022. Twoje dane są aktualnie weryfikowane przez pracownika banku. Prosimy nie zamykać okna przeglądarki.

    Doszło do 0s i cisza… hehe

  81. OH YES BZWBK!
    http://www.wykop.pl/artykul/2743689/bezpieczenstwo-wg-bzwbk/

  82. Witam jestem osobą której hakerzy dokonali włamu na konto w banku BZWBK tak zwana akcja phishingowa w dniu 11.05.2016r z konta skradziono mi 10 tyś zł. nie dostając hasła sms-owego. Proszę o kontakt osoby które znalazły się w takiej samej sytuacji. prosze o kontakt e-mail: monika.broczek@o2.pl.

  83. Wspólnymi siłami może uda się odzyskać Nasze pieniądze lub złożyć pozew zbiorowy do sądu.

  84. Z BZWBK wypływają pieniądze z mojego konta,zaznaczam limit dzienny 5 tys,a przelew zrobiony na jakieś konto 9867zł,a w następnym dniu 9500zł.Wtedy dzwonią i pytają ,czy nie robiłam przelewów.Co za cynizm!Natychmiast nie pytając się o zgodę zgłaszają do reklamacji,która trwa i trwa.Po ciągłym przypominaniu się przychodzi odpowiedź z reklamacji,oczywiście negatywna,brak ostrożności przy logowaniu itp. na adres gdzie nie mieszkam już rok!adres był podany do korespondencji przy reklamacji ,ale żeby było śmieszniej daty skradzionych pieniędzy z konta są rozbieżne i nie zgadzają się z wydrukiem z banku .Wiele by pisać o niedbałości pracowników bzwbk i ich super zabezpieczeniach!Sprawa trwa zgłoszone do prokuratury!Nigdy nie korzystajcie z usług tego banku,chyba że chcecie się szarpać o swoje pieniądze i jeszcze zacytuje wypowiedź dyrektora banku w Trzebnicy'”nie jestem księdzem ,ani spowiednikiem,tylko pracownikiem”taką odpowiedź na pocieszenie dostałam!A Jeżeli chodzi o pytanie ,czy mam zgłosić sprawę na policję ? odpowiedź dyrektora po co?przecież reklamacja jest zgłoszona i specjalne służby się tym zajmą,pytam kiedy?To co dzieje się w tym banku to przekracza ludzkie pojęcie …JAK NAJDALEJ TO ZŁODZIEJE!Oczyszczą konta i cisza pisma za pismami,ale to nie przelewki zgłosiłam do Generalnego Insp.Finansowego o zabezpieczniach bankowych.

  85. Osobiście mam 3 różne rachunki w różnych bankach. Najbezpieczniej czuję się w Inteligo, gdzie od pewnego czasu wróciłem do tradycyjnej karty kodów. Przynajmniej ryzyko ataku online odpada.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: