22:06
3/3/2016

Dostaliśmy dziś informacje od kilku czytelników — klientów banku BZWBK, że w trakcie opłacania zakupów internetowych przy pomocy swojego konta, nie musieli potwierdzać transakcji kodem SMS. Jak pisze jeden z czytelników:

właśnie robiłem zakupy internetowe i dokonywałem płatności z bzwbk. O dziwo nie było pytania o potwierdzenie SMS co mnie oczywiście zaniepokoiło (zawsze było). Zalogowałem się do bzwbk i sprawdziłem w ustawieniach – sposób potwierdzania zleceń – było wyłączone potwierdzaniem SMS.

12822701_10207448895919356_1035154648_o

Na 100% tego nie zmieniałem, więc mam podejrzenie, że to systemowy problem/błąd po ich stronie – ciekawe czy nie na szerszą skalę? Druga sprawa – zmiana tego wymogu potwierdzenia też co do zasady mogłaby/powinna wymagać autoryzacji SMS/tokenem.

Pytaliśmy kilku posiadaczy kont w BZWBK, większość potwierdziła, że zamiast jak do tej pory zaznaczonego “TAK” mają wybraną opcję “NIE”.

Jeden z czytelników doszukał się takiej informacji prasowej (jeszcze z poprzedniego roku) w której Bank BZWBK informował o włączeniu uproszczenia transakcji (czyli przekładając z “pijarowego” na polski: wyłączeniu autoryzacji kodem SMS wszystkim klientom). Dlaczego nasi czytelnicy zauważyli to dopiero dziś? Przypadek? Czy rozłożone na raty wdrożenie?

Podsumowując, wszyscy, którzy dalej chcą mieć kontrolę nad każdą transakcją, powinni przywrócić ustawienie “TAK” w sekcji “sposób potwierdzenia zleceń” w ustawieniach swojego konta.

Aktualizacja 25.03.2015
BZ WBK podesłało następujące oświadczenie:

o zmianie informowaliśmy klientów poprzez wiadomość w Poczcie24 dostępnej w usługach bankowości elektronicznej w dniu 21 kwietnia 2015r, zamieszczenie komunikatu o zmianie na stronie logowania do usług bankowości elektronicznej BZWBK24 oraz na stronie Przelewu24 we wrześniu 2015 r. Informacja o zmianie ukazała się także na blogu Banku Zachodniego WBK 15 września 2015 r.

Zmiana sposobu autoryzacji Przelewu24 została wprowadzona we wrześniu ubiegłego roku. Od tej pory nie jest wymagane potwierdzenie smsKodem lub tokenem.

Zmiana dotyczy wszystkich klientów indywidualnych oraz firmowych posiadających usługi BZWBK24 firma oraz BZWBK24 Mini firma.

Potwierdzenia smsKodem/tokenem nie wymaga płatność Przelewem24 w większości sklepów i serwisów aukcyjnych w przypadku, gdy dana transakcja nie przekracza dziennego limitu transakcji niewymagających autoryzacji smsKodem/tokenem. Standardowa (domyślna) wysokość dziennego limitu transakcji niewymagających autoryzacji smsKodem/tokenem to 10 000,00 zł, jednak każdy klient może ją zmienić wg własnych preferencji.
Każdy klient może zmieniać sposób autoryzacji płatności Przelewem24 poprzez potwierdzenie smsKodem lub tokenem w BZWBK24 Internet. Aby to zrobić należy zalogować się do usług bankowości elektronicznej BZWBK24 Internet i w zakładce Ustawienia wybrać sposób potwierdzania zleceń.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. Też u mnie wyłączyli na koncie potwierdzanie SMS’em.

  2. u mnie od kilku miesięcy tak jest. Na pewno nie od wczoraj.

  3. Najśmieszniej jest w ING, pomimo aktyanej opcji potwierdzeń SMS nie pamiętam kiedy owego SMSa dostałem. Widnieje tylko piękny komunikat, że przy danej transakcji nie jest wymagana autoryzacja, dafaq? Niebezpieczniku, jak żyć?! Domyślam się, że to czas na zmiane konta – czego wolałbym uniknąć.

    • Zmień komputer z którego robisz operacje i będziesz musiał potwierdzić sms’em. ING rozpoznaje “twój” komputer i jeśli wcześniej nie było problemów z autoryzacją uznaje, że nie potrzeba wysyłać sms’a.

    • Na podstawie czego rozpoznaje?

    • ciasteczek? no tak najprościej

    • bl4desofglory
      Napisał “zmień komputer”, z powodu ciasteczek…?

    • ING dla przelewów poniżej bodajże stu złotych nie wymaga potwierdzenia SMS, powyżej tej kwoty już tak… Zmień komputer bo ciasteczka wiedzą o Tobie wszystko

  4. Płaciłem wczoraj i nie było smskodu, ale transakcja była na kwotę kilkunastu złotych, więc mnie to nie zaniepokoiło (w jakimś banku była opcja wyłączenia autoryzacji przez sms dla określonej kwoty), ale dzisiaj sprawdziłem i opcja potwierdzania przez sms była rzeczywiście wyłączona. Od ok. lipca do stycznia potwierdzanie kodami sms działało jak chciało – raz trzeba było potwierdzić, raz nie. Zmieniłbym bank, ale byłaby to kolejna zmiana bez efektów…

    • Zmien na bank z czerwonym e … nigdy jeszcze nie mialem sytuacji, bym nie otrzymal sms’a- jest to wymagane przy kazdej operacji, zmianie ustawien itp…
      Pozdrawiam.

    • Szczerze, jestem ciekawy, o jakim banku myślisz ;) Myślę o jednym, w którym sam mam konto, ale tam nie ma SMS, tylko token :D

  5. Dawno temu…może w tamtym roku spotkałem się z tym że nie przyszedł mi SMS, na początku się zdziwiłem, pomyślałem że zmienili regulamin i przy małych kwotach nie wysysają smsa, dopiero po zalogowaniu okazało się ze powiadomienia są wyłączone. oszczędzają :)

    • Przez rurkę ssą.

  6. Bo ing od dawna ma system co sam decyduje czy smsa potrzeba czy nie. Reputacja konta docelowego, kwota przelewu, adres ip, browser fingerprint, etc.

    • Znowu ktoś wie lepiej.
      Demokracja padnie.

    • @openworld 2016.03.04 12:50

      Znowu ktoś wie lepiej.
      Demokracja padnie.

      To, że “ktoś wie lepiej” jest kwintesencją socjalizmu.
      A socjalizm jest pochodną demokracji.
      Tak że, nic nie padnie. ;)

  7. Czy płatność była wykonana z 3D-secure? Jeżeli tak to dlatego nie zostaliście poproszeni o SMS kod, tak mi to wytlumaczyła Pani z infolinii. Robiłem wtedy płatność na 1, 500 zł i mocno się zdziwiłem że nie zostałem poproszony o potwierdzenie tokenem.

    • A mnie się podoba ostatnie zdanie z WIKI
      “Całkowitą odpowiedzialność za transakcję dokonaną przy użyciu 3D Secure ponosi właściciel karty.”

    • Nie da się oprzeć wrażeniu, że dla banku najlepszy klient to taki który 1) weźmie kredyt 2) zostanie okradziony 3) weźmie kolejny kredyt na pokrycie strat 4) zostanie ponownie okradziony 5) weźmie kolejny kredyt… trudno inaczej wytłumaczyć dlaczego banki uporczywie i konsekwentnie ułatwiają życie złodziejom (np. na siłę wciskając zbliżeniówki i zapierając się że są “bezpieczne”, chociaż bynajmniej, jak wielokrotnie udawadniano, takie nie są) a odpowiedzialność za straty będące mniej lub bardziej bezpośrednim następstwem ich (tj. banku) decyzji przerzucają na klienta.

  8. Przy kupowaniu na Allegro pojawiła się domyślna opcja, aby “zapisać konto bankowe jako zaufane i rezygnowaniu z potwierdzenia SMSem transakcji”.

    Jest jeden wielki kolorowy przycisk TAK i mały przycisk “pomiń”.

    Może przez nieuwagę skorzystali z podpuchy Allegro?

  9. Ale bzdura. Klient mógłby się zainteresować co trafia na jego skrzynkę wewnętrzną w banku, chyba, że nie logował się do konta od kwietnia 2015 roku. Fakt fakt, że praktyka zmiany czegokolwiek w ustawieniach konta bez wyraźnego kliknięcia przez klienta “tak, zgadzam się” niezbyt mi się podoba ale jednak mógłby się pan znerwicowny rozejrzeć po koncie zanim zacznie wszczynać alarmy.

    SMSkod dla usługi “przelewy24” został we wrześniu 2015 zdjęty dla transakcji które mieszczą się w limicie dziennym dla przelewów bez smsKodu, który można dowolnie ustawić (nawet na 0,00 zł), potwierdzając każdą zmianę smsKodem oczywiście.

    Podsumowując, jeśli ktoś już wcześniej przedkładał wygodę nad bezpieczeństwo (limit dla transakcji bez smskodu > 0 zł) i tak narażał się na skubnięcie drobnych kwot z konta, bo równie dobrze ktoś mógł zamiast korzystać z bramki do przelewów (zakłam, że login i hasło już wcześniej wykradł) skopiować dane do przelewu, zalogować się na konto ofiary i wykonać przelew ręcznie (bez smsKodu).

    Nie będę nawet wspominał, że jak ktoś rzeczywiście dba o bezpieczeństwo swoich danych to ma w opcjach systemu transakcyjnego ustawione potwierdzanie smsem KAŻDĄ próbę logowania. Nie każdy bank ma taką opcję.

    Pozdrowienia dla panikarzy i miłośników teorii spiskowych.

    • Masz zadatki na dobrego niewolnika systemowego.

    • Mógłbyś rozwinąć swoją bzdurną tezę?

    • Gdybyś mnie miał nie pytałbyś.

    • Nie miał.. oczywiście.

    • No dobrze, to zdanie.

      “Fakt fakt, że praktyka zmiany czegokolwiek w ustawieniach konta bez wyraźnego kliknięcia przez klienta “tak, zgadzam się” niezbyt mi się podoba ale jednak mógłby się pan znerwicowny rozejrzeć po koncie zanim zacznie wszczynać alarmy.”

      Godzisz się z czymś na co żadnej akceptacji być nie może. Grzebanie w PRYWATNYCH ustawieniach jest całkowicie nieakceptowalne.

      A każdy komu się to jedynie nie podoba ma takie predyspozycje.
      Większość ma.

  10. Swoją drogą redakcjo moglibyście się bardziej przykład do sprawdzenia przychodzących do was informacji zanim je bezrefleksyjnie wrzucicie na stronę, przynajmniej jeśli wpis dotyczy tak stresogennych tematów jak bezpieczeństwo naszych pieniędzy. Z wpisu w obecnej formie wynika tyle, że każdy kto wejdzie w posiadanie loginu i hasła do bzwbk może wyczyścić klientowi konto nawet, jeśli ten uprzednio nie ustawił limitu dla transakcji bez smsKodu na większy niż 0 zł co jest absolutnie niezgodne z prawdą.

  11. BZWBK co jakiś czas ma takie problemy. Już nie mówiąc o losowych kwotach w aplikacji mobilnej….

    • Zobacz jakie masz ustawione limity transakcji dla każdego kanału dostępu.

  12. Ja zauważyłem ten problem już dawno temu, może byłem nieświadomym early adopterem.

    Pisałem o tym do niebezpiecznika we wrześniu 2015 z prośbą o zajęcie się tym tematem ale się nie zainteresowali.

    Na infolinii BZWBK pani napisała mi wtedy: ‘W związku z aktualizacją systemu rzeczywiście w przypadku Przelewów24 nie przy wszystkich przelewach jest Pan proszony o autoryzację. Może Pan jednak dokonać zmiany wybierając “Ustawienia” u góry strony > “Sposób potwierdzania zleceń”.’

    Dodam jeszcze, że Pani wyjaśniła mi, że brak autoryzacji dotyczy ‘tylko’ zamkniętej listy sklepów internetowych przygotowanej przez bank (w moim przypadku – payU).

  13. No faktycznie, potwierdzanie przelewów zostało wyłączone. A kiedy dokładnie to nie wiem

  14. potwierdzam ze wbk zrealizowal nie autoryzowana tranzakcje karta kredytowa na reklamacje z pytaniem jak to mozliwe bank odpowiedzial ze takie rzeczy sie zdarzaja

  15. No cóż. U mnie też wyłączyli. Dlaczego się nie zorientowałem? Kwestia używania urządzeń mobilnych. Zakupy … na telefonie. Płatność aplikacja BZWBK na telefonie. Autoryzowana aplikacja na telefonie nie wymaga SMS kodu. Stąd też przyzwyczajenie, że SMS kodu już nie potrzeba. I tak oto socjotechnicznie dałem się shakować – wyłączyłem oczekiwanie na SMS i nie zwracałem uwagi na sytuacje kiedy on powinien być.
    To tak jak dziecko odkładające telefon dotykowy i stające przed telewizorem. Macha ręką z lewa na prawo albo z prawa na lewo a program się nie zmienia. No telewizor się zepsuł…

  16. Mbank to samo, wyłączył na jakiś czas, następnie tylko dla zapisanych kontaktów. Niezbyt podoba mi się ta “funkcja”, która na pewno do bezpiecznych nie należy.

  17. Wspomniałam już o tym kiedyś zdziwiona pod artykułem o gwizdnięciu 40 tys. zł klientowi mBanku – jak się zorientowałam, że przy przelewie za pizzę nie przyszedł mi SMS… U mnie domyślnie ustawionym “niskim limicie” (takie określenie było użyte w wypowiedzi banku, o: https://www.facebook.com/bzwbk/posts/10153717929823694) kwotą było 10 tysięcy zł – słabo mi się zrobiło, jak zobaczyłam tę wartość…

    PS Niebezpieczniku, możecie poprawić link pod “informował”, jakby co ;)

  18. wyłączenie sms kodu nastąpiło tylko przy platnosciach ‘automatycznych’ np. przez payU

  19. Jakieś 4 miesiące temu to zauważyłem i zadzwoniłem na infolinie to poinformowali mnie, że w życie wszedł nowy regulamin itd. :)

  20. Od sporego czasu payu i przelewy4 maja wyłączone potwierdzanie w wbk .

  21. Polecam inteligo, tam od 10 lat nikt nie odwalił takiej szopki

  22. To dobrze, na moim plastiku jest napis, że karta została wydana przez bank i pozostaje jego własnością:).

  23. U mnie to samo. Wyłączone a na pewno 1 marca jeszcze działało potwierdzanie smsem.

  24. Co do samej zmiany opcji “wymagać/nie wymagać kodu sms” zmiana na “wymagać zawsze” rzeczywiście nie prosi o potwierdzenie kodem sms, ale gdy chcemy zmienić na nowo “nie wymagaj haseł sms” to system wysyła smsa z kodem jednorazowym. Także bank rzeczywiście zmiany wprowadził, ale można je łatwo odkręcić.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: