17:15
28/11/2013

Czy można wyczyścić komuś konto bankowe, znając tylko jego login i hasło do bankowości online, ale nie mając dostępu do kodów jednorazowych potwierdzających przelewy? Tak. Wystarczy podmienić numer konta w jakimkolwiek zdefiniowanym przelewie klienta… bo taka zmiana nie wymaga potwierdzenia kodem. Przynajmniej w PKO BP.

Klient przelał 86 000 PLN na rachunek złodzieja

Incydenty, które właśnie w ten sposób pozbawiały klientów banku PKO BP gotówki opisuje Wojciech Boczoń z Bankier.pl. Trwały od sierpnia 2012 do czerwca 2013. Klient stracił 86 tys. zł., a bank nie uznał reklamacji, twierdząc, że właściciel rachunku nie dochował zasad bezpiecznego korzystania z bankowości internetowej (tj. ktoś wszedł w posiadanie jego danych do logowania) oraz nie zweryfikował poprawnie numeru rachunku, który bank pokazuje na ekranie podsumowania.

Tu podkreślić należy, że pomimo tego, iż przelew jest “zdefiniowany”, to i tak w PKO BP każdorazowo trzeba go potwierdzić, np. kodem z SMS-a, który to zawiera numer rachunku — a więc uważny klient miał szansę zorientować się, że nie jest to poprawny rachunek (zakładając, że go pamiętał…):

Przelew na rachunek 35…1600; Kwota xxxx PLM Kod sms nr x:

Zmiana zdefiniowanego odbiorcy - PKO BP

Zmiana zdefiniowanego odbiorcy – PKO BP, fot. Bankier.pl

Skąd przestępcy mieli login i hasło?

Klient przyznaje, że korzystał z “ogólnodostępnych sieci Wi-Fi” — ale naszym zadaniem, ciężko bez wzbudzenia podejrzenia “podsłuchać” dane do logowania do bankowości w publicznej sieci Wi-Fi (otwartej lub szyfrowanej WEP-em). Ponieważ połączenie z bankiem jest szyfrowane, to o ile klient weryfikuje certyfikat SSL i nie daje się nabrać na wprowadzanie loginu i hasła na podstawianych, nieszyfrowanych stronach, jest bezpieczny.

Bardziej prawdopodobne jest atak przy użyciu keyloggera, albo na komputerze klienta (poprzez zainfekowanei go trojanem) albo na cudzym sprzęcie, z którego klient skorzystał do wykonania operacji na swoim rachunku (np. w kawiarence internetowej).

Warto także zauważyć, że ponieważ złodzieje znaleźli lukę w module zmian przelewów zdefiniowanych, nie musieli oni stosować dodatkowo socjotechniki do zainfekowania telefonów komórkowych swoich ofiar w celu pozyskania kodów SMS-owych (jak robi to np. ZeuS w wersji mobilnej).

Atak był “prawie” doskonały — prawie, bo odbiorcy “zdefiniowani” po pewnym czasie zaczynali się dopominać swoich należności.

W trakcie wykonywania testów penetracyjnych szuka się tego typu możliwości “nadużycia” zaufania w systemie bankowym, a ewentualne błędy tego gatunku nazywa się “błędami logiki biznesowej“.

Weryfikuj rachunki kontrahentów

Podobny mechanizm oszustwa, z tym, że bazujący na podmianie numerów rachunków bankowych poprzez faksowanie oświadczenia o zmianie numeru konta opisywaliśmy nie dawno na podstawie wpadki warszawskiego metra, które posłało ponad pół miliona złotych na podstawiony rachunek.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

85 komentarzy

Dodaj komentarz
  1. Gdyby Klient miał dodatkowo włączoną usługę wprowadzenia tokena (z aplikacji mobilnej) podczas logowania to możliwe, że by się uchronił przed nie autoryzowanym logowaniem.

    • Polecam przeczytać opinie na temat aplikacji token iPKO.
      W tym banku akurat bałbym się z niej skorzystać.
      https://play.google.com/store/apps/details?id=pl.ipko.mobile&hl=pl

    • Ja korzystam z Tokenów IPKO i nie miałem z nimi nigdy problemów. Ostatnio przeinstalowałem na nowy BB i bangla, aż miło, a ja czuję się bezpieczniej. Marti to, że można się zalogować na stronę mobliną bez używania tokenów, ale ta strona to kastrat strony standardowej.

      A jeśli chodzi o odbiorców zdefiniowanych, nigdy nie ufam temu co zapisałem, bo od początku jest mi wiadome, że można te dane zmienić po uzyskaniu loginu i hasła. Ja jestem na tyle paranoikiem w tych sprawach, że nawet z tokenem iPKO staram się ostrożnie podchodzić do tematu i wyszukuję odbiorcę zdefiniowanego przez numer rachunku bankowego :)

    • Z tych opinii wynika tylko tyle, że ludzie byli przekonani, że jest to aplikacja banku, w której zrobią przelew, sprawdzą stan konta etc. Stąd te “jedynki”. Face Palm. Posiadacze Androidów…

      Aplikacja spełnia swe zadanie, jak nie ma zasięgu i tak zrobię przelew. Do tego two-factor authentication, coś, co wiem + coś, co posiadam.

    • Najlepsi są ci, którzy jęczą ze jak podają zły pin to im aplikacja generuje złe tokeny :>
      To pewnie jakiś spisek!
      Oj zła ta aplikacja…. rzeczywiście bardzo zła :P

  2. mBank też tak traktuje przelewy do odbiorców zdefiniowanych – żadne hasło, poza hasłem podawanym podczas logowania się do banku, nie jest wymagane.

    • ale zmiana istotna, czyli zmiana numeru konta w takim przelewie wymaga potwierdzenia kodem jednorazowym/sms

    • Nie prawda. W mbanku mozna ustawic czy przelew do odbiorcy zdefiniowanego ma byc dokonany za potwierdzeniem haslem, czy nie. Mam i takich i takich odbiorcow i wiem ze dziala. Ponadto nie mozna zmienic danych odbiorcy zdefiniowanego bez hasla jednorazowego, a to wlasnie taka zmiana byla dokonana w tym artykule

    • To zależy od ustawień – przy definiowaniu odbiorcy podajesz, czy chcesz żeby przelewy były weryfikowane kodem czy nie.

      Na pewno tak jest w starym systemie mBanku, w nowym nie wiem bo nawet kijem nie tknę tego wytworu szalonego cukiernika.

    • jest wymagane potwierdzenie kodem kazdego przelewu z odbiorcow zdefiniowanych, chyba ze na ustawisz inaczej, domyslnie trzeba potwierdzac kodem.

    • BZDURA. Aby móc wykonywac “bezhasłowe” przelewy do odbiorcy zdefiniowanego, trzeba ustawić taką opcję dla każdego z osbiorców z osobna. A taka zmiana jest, jak i każda modyfikacja danych odbiorcy zdefiniowanego, potwierdzana hasłem SMs-owym.

    • I dlatego te zaufane przelewy muszą być naprawdę zaufane. Czytaj – bez mrugnięcia możesz przelać takiej osobie wszystkie środki, a ona Ci zwróci bez problemu… W sumie można by zaszkodzić komuś znając jego hasło (poprzez prowizje), ale raczej ciężko byłoby wyciągnąć coś.

    • Ale przecież zmianę danych na takim przelewie trzeba
      zatwierdzić kodem

  3. W ING też wystarczy login i hasło, większość przelewów nie wymaga kodu jednorazowego.

    • Żeby zmienić coś w przelewie zdefiniowanym musisz podać hasło sms.

      //Czytajcie ze zrozumieniem. Przelewy zdefiniowane najczęściej lecą bez potwierdzenia SMS. Chodzi o zmianę danych w takim przelewie.

    • Dziabu czytac nie umie?
      Wlasnie sprawdzilem czy dam rade zmienic zdefiniowany przelew:
      “ING Bank. Sprawdz KWOTE i RACHUNEK. Kod autoryzacyjny dla zapisania wzorca na rachunek XX XXX XXX, na kwote XX to: XXXXXXX * 2013.11.28 * 22:41:09.”
      Zeby wyslac, ok, nie potrzeba kodu. Ale tak ma byc, zeby zdefiniowany przelew byl latwy i wygodny. A skoro definiujesz odbiorce w ten sposob to jest on twoim zaufanym odbiorca. A jesli nawet nie, to takie przelewy mozesz z latwoscia reklamowac.
      Przelewy do odbiorcow ktorzy nie sa zdefiniowani wymagaja juz kodu z sms, wiec nie ma opcji, zeby bez tego w jakikolwiek sposob przelac pieniadze na jakies konto ktore nie jest w tym momencie zdefiniowane.
      Przelewow ani odbiorcow nie edytujesz ani nie dodasz. A jesli nie jest dodany, wymaga kodu. Wyjatkiem jest sytuacja kiedy czesto wysylasz gdzies przelewy i nie masz danego rachunku zdefiniowanego. Wtedy tez nie wymaga kodu, no ale musial bys wyslac kilka czy kilkanascie przelewo na rachunek zlodzieja, zeby mogl nastepnie przelewac z twojego konta pieniadze na swoje bez wymaganego kodu.
      Jednym slowem. Fail PKO.

    • Qu: a gdzie ja napisałem coś o przelewach zdefiniowanych?

      “Przelewy do odbiorcow ktorzy nie sa zdefiniowani wymagaja juz kodu z sms”

      No właśnie ot nie jest prawda – w ING przelewy do odbiorców niezdefiniowanych w większości przypadków przechodzą bez podania hasła jednorazowego!

    • “Typowe” przelewy. Czyli jeśli chciałbyś nagle wysłać 500 zł na rachunek, na który nigdy wcześniej nie wysyłałeś takich kwot, to musiałbyś potwierdzić.

    • Nie tylko “typowe”. Przelewy wysyłane na nieużywany wcześniej rachunek też na ogół nie wymagają hasła jednorazowego.

  4. Ja zawsze robiąc przelew sprawdzam konto, gdyż firmy – a szczególnie urzędy administracji państwowej – dość często zmieniają konto. Wyjątkiem są płatności, ale tam żeby coś zmienić potrzebny jest kod jednorazowy.

  5. czy ktos z was wie, jakie jeszcze banki nie weryfikuja zmiany nr konta, jak PKOBP?

  6. Bez wzbudzania podejrzeń bardzo łatwo jest wychwycić hasła w sieci przy pomocy sslstrip’a.

    • Ba, są gotowe skrypty – YAMAS; nawet dziecko obsłuży, a paranoików sprawdzających certyfikat SSL znak po znaku przy każdej sesji jest mało.

    • Czy autor wpisu, który z taką pewnością twierdzi że “…bardzo łatwo jest wychwycić hasła…” zadał sobie trud, żeby przeprowadzić taki eksperyment? Czy po prostu naoglądał się filmów z youtuba i widział parę poleceń na krzyż?
      Jeżeli to wiedza tylko oparta o “filmiki” to mogę zapewnić, że środowisko testowe a środowisko produkcyjne to dwa różne środowiska, owszem teoretycznie jest to ‘łatwe’ praktycznie ciut trudniejsze.

    • @yellowgreen, nie zgodzę się, że “łatwo”. W przypadku poprawnie skonfigurowanego serwera banku (a chyba wszystkie mi znane, są pod tym kontem poprawnie skonfigurowanie) sslstrip nic nie pomoże.

      ssltripa można wykorzystać, kiedy formularz logowania jest serwowany z http (a action ma na https, patrz nk.pl) lub kiedy da się wymusić wejście na stronę logowania do banku po http (spróbuj wejść na mbankową po *http* -> https://www.mbank.com.pl/)

    • @Piotr Konieczny: fakt nie da się wejść po http, ale w przypadku MITM
      można odpowiedzieć na żądanie po http. Zresztą na http://www.mbank.pl jest link “Zaloguj”, a nawet gdyby nie było to w przypadku MITM zawsze można dodać.

    • tak się jeszcze zastanawiam, próba wejścia na http://www.mbank.com.pl po http kończy się redirectem 301 tym samym nie wymagany jest MITM, wystarczy man-in-the-side, a jak wiadomo Quantum czuwa ;)

  7. To dla przykładu w BZWBK każda zmiana danych odbiorcy/zlecenia stałego jest zatwierdzana SMS kodem.

  8. a samo ustanowienie odbiorcy zdefiniowanego nie jest potwierdzane kodem jednorazowym?

  9. Akurat to jest dość złożony problem. Ogólnie istnieją w bankowościach tak zwane “przelewy zdefiniowane”. Przelew zdefiniowany może być “zaufany” (niewymagający autoryzacji) i “zwykły”, który przy wykonywaniu tej autoryzacji wymaga.

    Teraz – każda istotna zmiana przelewu “zaufanego” wymaga (powinna wymagać – inaczej to błąd) autoryzacji. Istotna zmiana to np. zmiana numeru rachunku docelowego.

    W przypadku przelewu “zwykłego” założenie jest takie, że użytkownik w trakcie wykonywania przelewu zweryfikuje dane – jest przecież krok autoryzacji. Dlatego zarówno modyfikacja takiego przelewu, jak i jego usunięcie co do zasady nie wymaga autoryzacji.

    Oczywiście jak to zwykle bywa – założenia sobie, a rzeczywistość sobie. Klient ufa przelewowi “zwykłemu”, który sam wprowadził, bo nie ma świadomości, że przelew taki może być zmodyfikowany przez kogoś innego niż on. No i tu jest właśnie piękny przykład jak to działa w praktyce.

  10. Według mnie PKO ma problemy od wielu lat. Przejście na oprogramowanie CESAR spowodowało, że uciekłem do innego banku. Dwa tygodnie czekałem by zobaczyć swoje pieniądze z wypłaty…
    Sądzę, że największym problemem PKO są zarządzający i, nie wiem jak to nazwać, sposób korzystania z informatyków?

    • no i gdzie przeniosłeś konto? już dobrych kilka lat jestem ich klientem i nie miałem takich jaj, jak mówisz – ostatnio jedynie wpadka z bankomatami. A 2 tygodnie czekałeś, bo pracodawca Cię ciulnął, that’s why. Wystarczy login i hasło trzymać przy 4 literach i pilnować bezpiecznego logowania, unikać otwartych sieci – dotyczy to każdego logowania (nie wspomnę o różnych hasłach). Jestem ciekaw co zrobisz, gdy Twój nowy bank zaliczy wpadkę…

    • Alex – ale Cesar to chyba nie PKO BP, tylko Pekao? Niech ktoś mnie poprawi jeśli się mylę. A do wszystkich piszących uwagi o niewymaganiu potwierdzenia kodem przelewów zdefiniowanych powtórzę prośbę kolegi Pawła: przeczytajcie jeszcze raz! Autor mówi o modyfikacji przelewu zdefiniowanego, nie o jego wykonaniu! Wykonanie może być czasem w niektórych bankach bez potwierdzenia, czasem z potwierdzeniem w innych bankach, a czasem opcjonalnie z potwierdzeniem. Natomiast modyfikacja takiej definicji jednak zawsze powinna być potwierdzana. W tym przypadku podobno nie była.

  11. Ogólnie polityka bezpieczeństwa tego banku to jakieś nieporozumienie. Przecież to aż się prosi o oszustwo. Bank teraz robi dobrą minę do złej gry, ale w rzeczywistości straci klienta(ów). Ogólnie epic fail and shame, PKO.

  12. W przypadku mBanku do zmiany rachunku wymagany jest kod sms. Dotyczy to wszystkich odbiorców zdefiniowanych – również tych zaufanych – czyli tych do których wykonanie transferu nie wymaga podania kodu sms. Właśnie to sprawdziłem na nowym serwisie.

  13. Dla mnie jest to błąd logiczny interfejsu banku, pytanie kto za taki błąd powinien odpowiadać. Ten bank naprawdę miał ostatnio w kilka niedzieli pod rząd awarię ? czy to tylko plotki po tej awarii z przed miesiąca ? Może faktycznie to sygnał że zespół zarządzający stracił kontakt z rzeczywistością ?

  14. Ja mam konto w PKO BP (ipko) i za każdym razem jak wykonuje przelew muszę podać kod sms. Nawet jeśli wykonuje przelew do osoby którą mam w zdefiniowanych odbiorcach. Robiłem dzisiaj dwa przelewy na dwa różne konta i za każdym razem musiałem podać kod sms.

    • Sebastian, napisz proszę, czy w tym SMS-ie z kodem jest także “podsumowanie” transakcji, której kod dotyczy – tj. np. ile i na jaki numer konta?

    • Oto treść wiadomości:
      data, czas (zlecenia tranzakcji);
      Przelew na rachunek 35…1600; Kwota xxxx PLM Kod sms nr x:

    • Od wielu lat mam konto w PKOBP i podobnego problemu nigdy nie zauważyłem.
      1. Przy definiowaniu “Zdefiniowanego odbiorcy” zawsze musiałem podać kod jednorazowy bądź kod z sms.
      2. Przy zmianie ww tak samo.
      3. Przy wysłaniu przelewu tak samo.
      a) Przy definiowaniu “Płatności” zawsze musiałem podać kod jednorazowy bądź kod z sms.
      b) Przy zmianie ww tak samo.
      c) Przy wysłaniu przelewu nie trzeba podawać kodów.

      Więc naprawdę nie wiem o co cały ten szum.

    • @Piotr – nie kumam tej logiki: “3. Przy wysłaniu przelewu
      tak samo. a) Przy definiowaniu “Płatności” zawsze musiałem podać
      kod jednorazowy bądź kod z sms. b) Przy zmianie ww tak samo. c)
      Przy wysłaniu przelewu nie trzeba podawać kodów.” to przy wysłaniu
      przelewu musisz podać, czy nie? Zawsze kiedy wysyłam przelew to
      podaję kody sms…

    • @command_dos Przy wysyłaniu zwykłego przelewu oraz przelewu zdefiniowanego, zawsze trzeba podać kod, czego nie trzeba robić przy “Płatności”, która jest 3 formą zlecania przelewów.
      Ale zawsze przy zmianie jakichkolwiek danych w przelewach zdefiniowanych oraz w płatnościach trzeba podać kod.

  15. klientowi można podstawić fałszywy certyfikat
    a to “o ile klient weryfikuje certyfikat” to jest zapewne sedno problemu
    nie wiem dlaczego ale pomimo tego że już chyba nie potrafię się do końca wczuć w zwykłego klienta/użytkownika i nie wiem jak świadomi są oni teraz to sądzę że 89% z nich nie do końca ogarnia te wszystkie certyfikaty

    • Co to znaczy “podstawić fałszywy certyfikat”?

    • To znaczy że wykonując atak mitm
      możesz podstawić inny dowolny certyfikat oczywiście wiąże się to z powiadomieniem użytkownika że coś jest nie halo, no ale tu pojawia się właśnie problem świadomości,
      zaufania w niemożliwe do złamania zabezpieczenia banków etc

    • Bo mnie to nie może spotkać, takie rzeczy to tylko w telewizji , jakaś awaria w banku, spieszy mi się,
      kliknę ok bo mam milion ważnych powodów no i po cherbacie

    • *herbacie

    • Zresztą nie zdziwiłbym się gdyby duża część ludzi widząc komunikaty o błędach certyfikatów
      uważała że to wina przeglądarki www :D

  16. A w BZWBK trzeba wpisać smsKod, czuję się bezpieczny. Polecam!

  17. Bank BPH ma fajnie bo przy logowaniu nie wpisuje się całego hasła tylko kilka liter z naszego hasła o które prosi system. Przy każdym logowaniu są to inne litery.

    • W ing tez tak jest. Kilka losowych liter hasła. Co do przelewów to rzadko kiedy trzeba wpsywac hasła SMS. Głównie przy. Wyższych kwotach lub kilku przelewach po kolei. Co do przelewów zdefiniowanych to nie wiem bo nie korzystam. Wole w historii wyszukać odbiorcę np Play czy Orange i zrobić przelew .

  18. Jak to dobrze, że mBank każdą zmianę potwierdza kodem jednorazowym – nawet gdy ta zmiana dotyczy przelewów zdefiniowanych, które się wcześniej oznaczyło jako niewymagające takiego kodu do jego wykonania :)

    • U mnie tego typu przelewy (zdefiniowane i zaufane) nie wymagają podania kodu mTAN.

    • PK: ale zmianę numeru konta takiego przelewu zdefiniowanego trzeba potwierdzić kodem – inaczej się nie da. I to jest OK.

  19. Swoją drogą ode mnie ING losowo nie wymaga kodów jednorazowych przy wykonywaniu nawet zwykłych przelewów, czasami wymaga tego przelew czy doładowanie telefonu na 20 pln, a czasami przelewam do nowych odbiorców po kilka tysięcy bez potwierdzenia.

    • Ponieważ algorytm uwzględnia również tzw. reputację rachunku docelowego, a nie tylko wielkość kwoty przelewu

    • Nie wiedziałem o tym, szkoda, że google nic nie zwraca na ten temat. Muszą wchodzić w grę jeszcze inne czynniki, bo kilka dni temu przelewałem bez potwierdzenia ~3k pln na czyjeś prywatne konto istniejące od kilku tygodni, natomiast musiałem potwierdzać ~200 pln przelane do chyba największej polskiej księgarni, gdzie numer rachunku nie jest indywidualnie generowany dla każdej transakcji.

    • A może po prostu dokonałeś w tej samej sesji przelewu, który potwierdziłeś sms-kodem i system oznaczył Cię jako w pełni autoryzowanego użytkownika. Przez co możesz robić dalsze przelewy bez potwierdzenia.

  20. Ufff. dobrze, że w zdefiniowanych mam Tylko gazownię,
    elektrownie inne rachunki… Oni zawsze się upomną jak kasa nie
    dojdzie :)

  21. W banku Credit Agricole nie wymaga się kodów SMS do
    potwierdzania zmian w zdefiniowanym odbiorcy – horror. Od jakiegoś
    czasu analizuje poczynania banków i jasno widać, że bank wdraża
    tylko takie zabezpieczenia, które powodują zmniejszenie ryzyka
    strat ponoszonych przez bank a nie przez klienta. Ogólnie rzecz
    biorąc jeżeli coś się dzieje po stronie klienta to martw się
    kliencie tym sam. Banki inwestują miliony w zabezpieczenia, ale
    tylko wtedy gdy im się to opłaca. A jaki mają interes w tym, aby
    zabezpieczyć klienta przed stratą pieniędzy? Żaden. Kody SMS są
    tego doskonałym przykładem. Bank wysyła jednorazowe hasło SMS do
    klienta z numerem konta bankowego, które to klient ma sam
    zweryfikować… Z czym ma to zweryfikować ze swoimi zapiskami? Bo
    przecież nie z numerem konta ze zdefiniowanego przelewu. Bank jest
    zabezpieczony – przecież sam potwierdziłeś ten przelew, a że nie
    sprawdziłeś odbiorcy, to już twój problem.

  22. heh, właśnie przetestowałem i faktycznie można zmienić
    konto bankowe zdefiniowanego odbiorcy bez podawania kodu
    jednorazowego.

  23. Dziwne. wlasnie sprobowalem zmienic numer konta w
    zdefiniowanych płatnościach i od razu krzyczy o kod
    jednorazowy.

    • @szymon – to ciekawe – jakie masz konto? u mnie na superkoncie z kredytem odnawialnym poszło jak złoto…

  24. W PKO BP wystarczy zamiast z przelewów zdefiniowanych korzystać z “płatności”. Tam do zmiany czegokolwiek potrzebna jest weryfikacja kodem lub sms.

  25. To co , to bank nie sprawdza czy numer konta się zgadza z danymi osoby wpisanej? Powinna dana osoba się sądzić o nieuznanie reklamacji, bo wg mnie obowiązkiem banku jest sprawdzanie

    • wlasnie, najlepiej samemu dbac o swoje pieniadze, a nie potem zwalac na bank

  26. W Raiffeisen przy jakiejkolwiek zmianie w danych odbiorców zdefiniowanych jest wymagane hasło z sms’a. Natomiast przy przelewie do takich odbiorców baz zmiany danych nie ma weryfikacji sms.
    Czyli wygoda i bezpieczeństwo- tak powinno być!

  27. Odgrzewacie stare kotlety. Informowałem już o tym problemie iPKO w marcu 2013 tutaj w komentarzach: https://niebezpiecznik.pl/post/nie-oplacaj-rachunkow-wyjetych-ze-skrzynki-na-listy/

    Kiedyś mBank miał tak samo, ale się poprawili.

  28. skapi traca podwojnie, nie stac bylo go na modem do lapka, no to plac

  29. Rozmawiałem dzisiaj z jednym z posiadaczy rachunku w PKO i po krótkiej analizie doszliśmy do tego o co chodzi ;)

    Więc tak jak się ma zdefiniowany przelew (bez wymagania potwierdzenia) to wtedy przy zmianie rachunku wymaga potwierdzenia go kodem ;)
    Ale jak się ma zdefiniowany przelew (ale tak że nadal wymaga kodu potwierdzenia) to wtedy zmiana rachunku nie wymaga potwierdzenia kodem.

    Atakujący podmienił nr rachunku w takich przelewach za powiedzmy prąd wodę itp i potem grzecznie czekał aż właściciel konta wykona taki przelew potwierdzając go zresztą kodem ale NIE sprawdzając nr rachunku ;)

  30. Jestem klientem i uważam to za poważny błąd projektowy – w innym banku każde wprowadzenie i modyfikacja danych do stałych przelewów niesie za sobą wysłanie smsa potwierdzającego z kodem – tak jak za przelew.

  31. Jeszcze wiecej go@$anych karteczek z wykserowanymi karteczkami i komoreczek z SMSikami. I znow dojrzalosc konsumencka: poplaczemy, pomarudzimy i nic nie zmienimy.

  32. Jeżeli podmieniony został tylko numer rachunku, a nie dane
    odbiorcy, to dlaczego przelewy przechodziły?

    • Bo, niespodzianka, dane opisowe w zasadzie nie mają znaczenia. To znaczy ewentualnie w sądzie mają (był nawet taki przypadek), ale do realizacji przelewu – nie są istotne (w większości wypadków). Po prostu koszt sprawdzania danych jest większy, niż ewentualne straty wynikające z braku weryfikacji tych danych.

  33. Całe zdarzenie tym bardziej dziwne, że bank PKO BP, chyba jako jeden z nielicznych, po zatwierdzeniu przez użytkownika w ipko przelewu na większą kwotę, dzwoni do klienta i wymaga podania dodatkowych danych (zwykle nazwisko panieńskie matki). Dokładnie nie wiem od jakiej kwoty zaczynają dzwonić (na pewno więcej niż 20k).

  34. Pracownik banku mogl miec dostep do loginow i hasel pewnie, wiec bank sam mogl okradac klientow a potem nie uwzgledniac reklamacji ?

  35. Dla pokrzywdzonego tą drogą (gdyby PKO ostatecznie umyło od tego ręce) polecam dobrego prawnika i wniesienie sprawy z Kodeksu Cywilnego – podstawa prawna tzw. :bezpodstawne wzbogacenie się”.
    http://pl.wikipedia.org/wiki/Bezpodstawne_wzbogacenie

  36. zastanawiam sie co to są “Zasady bezpieczenstwa korzystania z bankowosci internetowej” ? Czy w umowie podpisanej z bankiem jest punkt ze klient musi czegos takiego przestrzegac ? Bo ja myslalem ze kwestie bezpieczenstwa leza po stronie banku

    • bank nie postawi bankiera u Ciebie w domu nad głową żeby pilnował bezpieczeństwa komputera, z którego się logujesz

  37. Jeżeli klient nie przestrzega zasad bezpiecznej bankowości elektronicznej, to powinien nie mieć pretensji do banku przy włamach. Lub jak wynajmujesz dom to też nie masz

    • pieniadze oddaje sie do banku bo maja byc tam bezpieczne, to oni sa odpowiedzialni za bezpieczenstwo.

  38. Przecież ta weryfikacja działała. Oj po ostatnim wielkim update kompletnie napsuli. nie zachowali funkcjonalności. Ciekawe czy tylko tę funkcjonalność usunęli.

  39. używam w PKO kont prywatnych i biznesowych. Jest opcja płatność, która się definiuje i później szybko się przelewa pieniądze na dane konta.
    A żeby zmienic numer czy cokolwiek w tak zdefiniowanej płatności, należy zapodać kod z tokena (iPKO biznes) lub kod ze zdrapki (iPKO prywatne).

  40. Zdaje się że prawdopodobnie mechanizm weryfikacji
    zdrapki/tokena dało się ominąć, o czym jest napisane w
    artykule.

  41. […] już wywnioskować z zrzutu ekranu powyżej. W przypadku mBanku przestępcy nie mieli możliwości wykorzystania błędu logicznego, który pojawia się w niektórych bankach — musieli więc skorzystać z socjotechniki, aby przekonać ofiarę do samodzielnego […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: