13:00
2/7/2014

Jeden z naszych czytelników chciał w placówce Aliora podpisać umowę na pewną usługę. O ile spodziewał się, że warunkiem koniecznym do podpisania umowy będzie przedstawienie potwierdzeń dochodów z ostatnich 6 miesięcy, to wymagana przez bank forma potwierdzenia trochę go zaskoczyła…

Konsultant każe mi logować się do innego banku …na komputerze Aliora

Oddajmy głos czytelnikowi:

W celu sfinalizowania jednej z usług, które chciałem zawrzeć z bankiem, zostałem poproszony (jako wymóg konieczny do udzielenia umowy) o wydrukowanie potwierdzeń dochodów z ostatnich 6 miesięcy. Nie było by w tym nic dziwnego gdyby nie fakt że otrzymałem ekran dotykowy Wacom podłączony do stacji roboczej pracownicy banku, okno Internet Explorera 10 i klawiaturę na której miałem zalogować się na nie swojej stacji roboczej do swojego banku w celu wydruku potwierdzeń.
Pracownik niby nie widzi co tworzę na jego komputerze, jednak można obawiać się keylogerów i innych cwanych programików które zarejestrują nasze dokonania na stacji roboczej.
W momencie w którym powiedziałem że nie zaloguje się na jej stacji roboczej bo mam obawy o wyciek swoich danych prywatnych zaproponowałem że zaloguje się do banku na swoim komputerze i swoim mobilnym połączeniu internetowym. Oczywiście Pani wielce oburzona że tak nie może być, że jej nie pozwalają i nie ma pewności że nie oszukam jej poprzez spreparowanie strony.
Finalnie pożegnaliśmy się bez zawierania umowy

Obawy naszego czytelnika są jak najbardziej słuszne. Podawanie hasła do swojego konta bankowego poza swoim, zaufanym sprzętem lub w innych miejscach niż na stronie swojego banku (por. praktyki Sofortu) to działanie bardzo nieroztropne, żeby nie powiedzieć głupie.

Czym grozi wpisanie hasła na cudzym komputerze?

Wpisywanie hasła na cudzym sprzęcie naraża nas nie tylko na to, że ktoś może wykonać fałszywe transakcje na naszym koncie, ale również umożliwia wgląd w znaczną część naszych prywatnych danych (wysokość zgromadzonych środków, historię transakcji na karcie, itp.). Wydawałoby się, że zwłaszcza Alior zdaje sobie z tego sprawę, ponieważ już raz wiceprezes tego banku publicznie rozważał profilowanie i sprzedaż danych klientów banku.

Co na to Alior?

Skoro o powyższych ryzykach wiedzą pracownicy Aliora, nie wydaje nam się, aby bank nie przewidział innej procedury na zweryfikowanie dochodów niż zalogowanie się z komputera pracownicy oddziału banku. Aby się upewnić, że w istocie istnieje jakieś inne wyjście z tej kuriozalnej sytuacji (być może pracownica banku nie była odpowiednio przeszkolona?) zadaliśmy następujące pytania rzecznikowi Aliora, Julianowi Krzyżanowskiemu:

1. Dlaczego przy realizowaniu umów lub usług z bankiem, klient koniecznie musi zostać zweryfikowany przez zalogowanie się do konta na komputerze pracownika banku?
2. Jaka jest gwarancja, że pracownik banku nie widzi wpisywanych danych logowania przez klienta w procesie weryfikacji za pomocą urządzenia dotykowego?
3. W jaki sposób dbają Państwo o zabezpieczenie procesu weryfikacji przed podsłuchaniem bądź zapisaniem (np. keyloggerem) danych klienta przy korzystaniu z komputera pracownika?
4. Czy klient Państwa banku, ma możliwość do zalogowania się na swoim urządzeniu (laptopie/smartfonie/tablecie) na potrzeby procesu weryfikacji?
a) Jeśli nie, to czy przewidziane są inne formy przeprowadzenia weryfikacji klienta, gdy odmówi on zalogowania się do konta na cudzym (proponowanym przez bank) urządzeniu?
b) Jeśli tak, to czy klient jest informowany o tym przed zainicjowaniem procesu weryfikacji?

Niestety, po wielokrotnych próbach kontaktu z rzecznikiem jedyna odpowiedź jaka do nas spłynęła to:

Pragnę zapewnić, że Alior Bank dokłada wszelkich niezbędnych starań, aby zapewnić najwyższy poziom bezpieczeństwa danych swoich klientów. Dotyczy to również wspomnianej procedury weryfikacji danych klienta przeprowadzanej w oddziale Banku. Bank korzysta w tym celu z najnowocześniejszych systemów teleinformatycznych oraz procedur, do przestrzegania których zobligowani są wszyscy pracownicy , w tym bankierzy w oddziałach

Pozostaje więc tylko mieć nadzieję, że Alior rzeczywiście ma jakieś “najnowocześniejsze procedury” wykluczające keylogery i wymazujące z pamięci klientów błędne wzorce zachowania, a jedyny problem Aliora to jakość komunikacji (zarówno bankierów z klientami, jak i rzecznika z prasą).

PS. Jak piszą nasi czytelnicy na naszym Facebooku, podobne propozycje padają także w Aspiro (punktach obsługi mBanku), ale tam klienci mogą logować się na swoim sprzęcie lub donosić potwierdzone pieczęcią oświadczenia pochodzące z własnych banków.

Aktualizacja 14 lipca 2014
KNF wystosował ostrzeżenie w tej sprawie — Komisja Nadzoru Finansowego zwraca m.in. uwagę na to, że klient podający bankowi dane do logowania do innego banku może utracić prawo do reklamacji.

Przeczytaj także:

149 komentarzy

Dodaj komentarz
  1. > Pragnę zapewnić, że Alior Bank dokłada wszelkich niezbędnych starań, aby zapewnić najwyższy poziom bezpieczeństwa danych swoich klientów.

    Mam wrażenie, że “swoich klientów” jest tu kluczowe. ;)

    • dokładnie ;) W końcu w trakcie wprowadzania swoich danych jeszcze nie jesteś “ich klientem” co najwyżej “potencjalnym” więc wszystko morze się zdarzyć

    • To znaczy ze maja antywirusa i uznaja sprawe za zamknieta :)
      BTW – kazdy bank jaki widzialem uzywa bluecoat’ow i podobnych z wlasnymi CA zaszytymi na stacjach, nie zdziwilbym sie jakby lista wyjatkow interceptu nie obejmowala konkurencji (oj, zapomnielismy ich dodac ale juz to robimy, serio.. o juz teraz!) :-P

  2. Toż to jest absurdalne…

  3. żadna nowość – alior sync – mailowo uzyskujemy specjalny odnośnik który ustanwai w przeglądarce video połączenie – widzimy ekran przeglądarki na komputerze pracownika banku i logujemy się do obcego banku następnie odpowiednio filtrujemy wyszukując po przelewach datą – kwotą / nazwą by wyłapać tylko przelewy od naszego pracodawcy i by pracownik banku mógł zrobić zrzuty ekranów

    jak dla mnie nie ma w tej sytuacji nic szczególnie niebezpiecznego i robicie aferę – często przecież logujemy się z cudzego sprzętu i po to są hasła SMS żeby zabezpieczyć wszelkie transakcje dodatkowo

    • Nie każdy bank ma 2FA. A poza tym, oprócz tego co redakcja NB zauważyła jest jeszcze jedna grupa ryzyka; poznanie hasła użytkownika może ujawnić sposób generowania przez niego haseł do innych serwisów, bo nawet nie podejrzewam, że ktoś ma jeszcze gdzieś takie samo hasło jak do banku.

    • Panu z Aliora już dziękujemy…

    • “często przecież logujemy się z cudzego sprzętu ” <- w czasach przenosnych komputerow/smartfonow, to zdanie nie jest prawdziwe.

    • No nie wiem. Ja z zasady nie loguję się z cudzego sprzętu. W szczególności do banków.

    • ktogdziejak: „często przecież logujemy się z cudzego sprzętu” — Zupełnie nie rozumiem na jakiej podstawie dokonujesz tak śmiałych uogólnień? Namawiam do większej precyzji, czyli np. napisz: — „Kto jest głupi, ten często loguje się z cudzego sprzętu…” — O! I teraz dobrze!

    • Skoro czytelnik chciał zalogować się z własnego sprzętu to:
      – powinien zalogować się z własnego, zmienić hasło
      – zalogować się z bankowego
      […procedura banku…]
      – wylogować się z bankowego
      – zalogować się z własnego, zmienić hasło

      Żadne hasło nie jest ujawnione.

    • Vanitas: chroni to jedynie hasło ;)

      W żaden sposób nie chroni jednak przed zautomatyzowanym wydobyciem szczeg. danych dotyczących historii transakcji na rachunku, operacji kartowych, poznanie preferencji użytkownika co do sposobu użytkowania przez niego rachunku (komu, za co, za ile, jak często), to samo z kartą, a także wiele innych informacji od aktualnych wniosków kredytowych, po szczegółowe dane posiadacza np MMN kończąc.

  4. Citi Handlowy ma identycznie glupia procedure. Rowniez podziekowalem.

  5. Ostatnio widziałem przy innej okazji ale ten artykuł mi to przypomniał -> http://www.rootsweb.ancestry.com/~ohwyand2/w/o_mission/dc/7/failor_floyd_h__mildred_traxer.jpg :]]]

  6. Hahahahaha! W IdeaBank jeszcze lepiej. Mają przygotowaną podstronę, gdzie klient może wybrać bank w jakim aktualnie posiada konto, a następnie proszony jest o login i hasło do tegoż banku, aby IdeaBank mógł “wyssać” jakiekolwiek informacje chce. Oczywiście nie podałem im tych danych, ale zaskoczyło mnie w ogóle istnienie takiej możliwości.

    • Pozostałe banki mogłyby mieć z nimi cichą współpracę — kto się dał na to namówić automatycznie złamał umowę ze swoim bankiem, więc dzięki temu bank jest kryty na każdą okoliczność wyczyszczenia konta. :))

    • Poszedłbym nawet dalej niż cicha umowa, i zaryzykował stwierdzeniem, że mają filtr połączeń i połączenia z domen innych banków skutkują dodaniem do czarnej listy za ujawnienie haseł i loginów.

  7. Praktyka od lat stosowana także w innych bankach, już nawet nie pamiętam gdzie ale kilka lat temu proszono mnie o podobną akcję ale wolałem wybrać opcję za 30zł – potwierdzony wydruk z mojego banku.

  8. “[…] w tym bankierzy w oddziałach” – jaki rzecznik taki bank…
    Bankier to właściciel banku… A w oddziale mogą siedzieć najwyżej bankowcy :-)

  9. Jeśli to była placówka banku a nie partnerska to być może jakiś poziom zabezpieczeń mają, niestety w placówkach partnerskich z tego co miałem okazję zobaczyć pracują osoby które nie do końca wszystko wiedzą o samym banku/usługach a co dopiero zabezpieczeniach.
    Dziwne że konieczne jest logowanie na ich sprzęcie, ten sprzęt taki bezpieczny czy wręcz przeciwnie?

    • “jakiś poziom” jest dla mnie żadnym określeniem. Co więcej, nawet określenie “najnowocześniejszych technologii” nic za sobą nie niesie.

      To jest absurdalna procedura i Klienci nie powinni się na nią godzić, gdyż ryzyko (i impakt jaki ze sobą niesie) jest zbyt wysokie.

  10. Jak czytam takie odpowiedzi, to coraz bardziej się przekonuję, że ci rzecznicy pracują analogicznie do pomocy technicznej z IT Crowd: https://www.youtube.com/watch?v=PtXtIivRRKQ

  11. Podpisywanie umowy z Aliorem via kurier jest też poza standardami bezpieczeństwa. Życzą sobie m.in. abym złożył wzór podpisu na druku który zabiera kurier ze sobą. Ale kurier nie zamyka podpisanych druków w jakiejś bezpiecznej kopercie tylko bierze luźne kartki i pakuje je potem w “centrali”. Na drukach są wszystkie moje dane które są potrzebne do wzięcia kredytu…
    Infolinia Aliora też jakoś nie widzi problemu… To niech Pan przyjdzie do oddziału.

    • No ty przynajmniej masz mozliwosc pojscia do oddzialu a gosciu ktory jest bohaterem arta nie dostal zadnej alternatywy ;]

    • Tylko po to wybieram opcję załatwienia przez kuriera bo mam cholernie daleko do najbliższego oddziału. Jakby to powiedzieć, wyprawa na 3-4 godziny mnie nie urządza za bardzo ale raczej wyjścia nie ma.

  12. Identyczną sytuację miałem w banku ING.

    • Ja też. Po zadzwonieniu na infolinię ING następnego dnia pani która mi to proponowała straciła robotę. Nie to co w wypadku Aliora.

  13. To chyba dość częsta praktyka. Kilka miesięcy temu, przy podpisywaniu umowy kredytu mieszkaniowego w PKO BP, zostałem poproszony o wydrukowanie z komputera kierownika oddziału potwierdzenia przelewu mojego wkładu własnego. Potwierdzenia, które wydrukowałem w domu i przyniosłem ze sobą były niewystarczające pomimo tego, że zawsze na takich dokumentach znajduje się informacja, że nie wymagają one podpisu i pieczęci (banki same nie ufają systemowi, który stworzyły).

    Zwróciłem uwagę, że przeglądarka z której korzystałem została uruchomiona przez pracownika banku w jakiejś wirtualnej maszynie/piaskownicy, ale pewnie bardziej chodziło o zabezpieczenie systemów bankowych ponieważ nikt im nie zagwarantuje, że klient nie wejdzie na jakąś podstawioną stronę np. z exploitem.

    Po raz pierwszy cieszyłem się też, że mój główny bank stosuje hasło maskowane – dzięki temu w systemie PKO BP zostało co najwyżej kilka znaków z mojego hasła.

    • Kilka znaków i cały cache sesji :] ale akurat watpie aby ich interesowala lista ostatnich przelewow. rzeczywiscie gorzej maja niemaskowani w tej sytuacji.

    • Jeśli bank nie działa zbyt złośliwie, a taki Pan Klient ma jakąś technologiczną świadomość to może sobie wyczyścić wszystkie dane z przeglądarki. (Sporo założeń przyjąłem ;) )

    • @boo Opisana procedura jest niezgodna z zasadami obowiązującymi w PKO Banku Polskim. Bardzo prosimy o informację, w którym oddziale miała miejsce opisana sytuacja.
      Ekspert PKO Banku Polskiego

    • Informacyjnie, “Ekspert PKO Banku Polskiego” rzeczywiście dodał komentarz z adresu IP Banku PKO BP.

    • @Ekspert PKO Banku Polskiego: Jaka w takim razie jest procedura w PKO BP? Domyślam się, że nie jest wymagane dostarczenie potwierdzenia papierowego z pieczęcią i podpisem – gdyby tak było, potwierdzenie drukowane przeze mnie w oddziale byłoby niewystarczające i cała zabawa poszłaby na marne. Wniosek: bank akceptuje potwierdzenia generowane w systemie transakcyjnym innego banku. Trudny uwierzyć, że panie w oddziale same wymyśliły, że klient będzie sam drukował potwierdzenie na sprzęcie należącym do banku. Po co miałyby to robić skoro wystarczyłoby potwierdzenie przyniesione przez takiego klienta?

      Poza tym wydaje mi się, że zespół IT/bezpieczeństwa PKO BP ma możliwość sprawdzenia które oddziały działają niezgodnie z procedurami. Założę się, że aktywność pracowników banku w internecie jest monitorowana, wystarczy więc przyjrzeć się tym którzy korzystają z systemów transakcyjnych innych banków. Jeśli ktoś zajmuje się podpisywaniem umów kredytowych i z jego komputera ktoś loguje się do systemów różnych banków, to warto to zbadać.

    • Jest to sprawa indywidualna, ale generalnie wydruk elektroniczny potwierdzający dokonanie przelewu, w którym jest zapis że jest to dokument, który nie wymaga dodatkowego potwierdzenia, jest akceptowany w Oddziałach PKO Banku Polskiego. Jest on następnie potwierdzany w akcie notarialnym, w którym jest zapis o środkach otrzymanych do tej pory przez sprzedającego.

  14. Rowniez spotkalem sie z taka sytuacja i to pi razy drzwi cztery lata temu w Aliorze – pracownik bez ceregieli odwrocil monitor, podal klawiature i poprosil o zalogowanie sie i wydrukowanie wyciagu – oczywiscie odmowilem, jednak alternatywe dostalem by przyniesc podbity wyciag z oddzialu swojego banku.

  15. Tym sposobem Alior strzelił sobie w stopę. -1000 do promocji. Odpowiedź rzecznika też nie jest wysokich lotów.
    W sumie dobry punkt przy ewentualnej ocenie i wyborze banku dla siebie.

    • To jest żadna odpowiedź. Kopypasta na moje oko :)

  16. Używam KeepassX i nie pamiętam swojego hasła. Co wtedy?
    PS. Wszyscy znajomi są zawsze wielce zdziwieni jak nie mogę się gdzieś zalogować do poczty, bo hasło mam w Keepassie…

    • Zawsze możesz rozważyć wrzucenie kpdb z ultra silnym hasłem gdzieś do sieci i dorzucenie jeszcze keyfile’a (ktorego masz na telefonie np.). Nie tak prosto złamać kpdb w takim wypadku (chyba że się myle, to chętnie posłucham! :-) )

      W sumie nie bawiłem się KeePassX, mam “zwykłą” wersję KeePass Password Safe, ale podejrzewam że też ma support dla tych opcji :-)

    • KeepassX nie różni się niczym od zwykłego tylko tym, że nie jest już wspierany oraz przeznaczony jest dla OS X.

    • @Bbbi: oj różni się różni. 1. kto inny go napisał, 2. w innym języku (Mono vs. Qt), 3. nie ma supportu ze strony autora Keepass, ponieważ pkt 1, ale jest nadal rozwijany przez swojego autora, obecnie przechodzi kompletny rewrite kodu. Koniec końców, z punktu widzenia fanów GNU/Linuxa, KeepassX jest dużo lepszy od pierwowzoru.

  17. A dlaczego banki nie przyjmują potwierdzeń w formie elektronicznej? Przecież dokumenty można podpisać elektroniczne poświadczając w ten sposób ich autentyczność. mBank – pobierz potwierdzenie i po problemie. Czy to nie może być tak proste, żeby było prawdziwe?

    • Ha! To byłoby wreszcie coś! Ja osobiście nie mogę się doczekać aż będę mógł mojemu bankowi dać mój klucz publiczny PGP żeby mi wszystkie maile, jakie do mnie przysyłają, nim szyfrowali. Niestety… wszystko średniowiecze tutaj :-/.

    • Ad. mysteq, W mbnku potwierdzenie przelewu w pdf jest cyfrowo podpisane. Ad. Cyber Killer – szyfrowane wyciągi bankowe są dostępne w inteligo. Ale…. musisz im podesłać certyfikat niekwalifikowany. Nie możesz sobie sam wygenerować klucza GPG jak piszesz tylko musisz kupić certyfikat. Więc na taką funkcjonalność o której marzysz jeszcze sobie dłuugo poczekasz. Banki są bardziej zainteresowane wdrażaniem wodotrysków, wideo czatów i innych udziwnień. A nie poprawą prywatności klientów.

    • Ad. mysteq, W mbanku potwierdzenie przelewu w pdf jest cyfrowo podpisane. Ad. Cyber Killer – szyfrowane wyciągi bankowe są dostępne w inteligo. Ale,…. musisz im podesłać certyfikat niekwalifikowany. Nie możesz sobie sam wygenerować klucza GPG jak piszesz tylko musisz kupić certyfikat. Więc na taką funkcjonalność o której marzysz jeszcze sobie dłuugo poczekasz. Banki są bardziej zainteresowane wdrażaniem wodotrysków, wideo czatów i innych udziwnień. A nie poprawą prywatności klientów.

  18. Gorzej, że Alior dzwoni do pracodawcy celem potwierdzenia danych, pracodawca lepiej wyedukowany (np. mój) odmawia podania danych przez telefon, a Alior – niezgodnie z opinią i zaleceniami GINBu – uzależnia od tego sprzedaż produktu (pożyczki). Sam fakt dzwonienia przez telefon i potwierdzania danych osobowych jest dla mnie absurdem…

    • W bankach nie ma produktów tylko usługi.

    • @qwrty
      proponuje się dokształcić, “Produktem bankowym nazywamy jednolity, wyraźnie wyodrębniony pod względem formalnym i cenowym składnik oferty bankowej.” źródło: Zbigniew Dobosiewicz, Katarzyna Marton-Gadoś, Podstawy bankowości z zadaniami. , Wydawnictwo Naukowe PWN, Warszawa 2008, str 29

  19. Uznałem to dwa lata temu za wielkie ułatwienie. Zamiast biegać po zaświadczenie o dochodach pokazałem wpływy na konto w innym banku. Mając oczywiście alternatywę i świadomość niebezpieczeństwa takiego strasznego postępowania. Wybrałem lenistwo.

  20. W ING jest prosciej – pracownik banku znajac nazwe firmy byl sobie sam znalezc w “systemie” odpowiednie wplywy bez proszenia sie mnie o cokolwiek. Dodam, że systemy banków mają zabezpieczenia przed nieautoryzowanym dostępem do różnych kont np. w PKO BP jeżeli pracownik chciałby sprawdzić konto sąsiada wyląduje na dywaniku z notką w aktach. Jeżeli zostanie ‘wskazany’ przez system ponownie to straci prace także nikt, raczej, w PKO nie przegląda danych losowych osób.

    Zreszta developerzy maja swoja baze do podgladu danych takze wole jak juz sobie pracownik sam wyciagnie wszystko, anizeli bedzie sie prosil mnie o logowanie w dziwnych miejscach.

    • Prościej może i tak… ale pracownik widzi znacznie więcej niż tylko przelewy od pracodawcy.
      Ma podgląd aktualnego stanu rachunków otwartych na koncie i być może innych wrażliwych danych (te widziałem :) ).
      Swoją drogą ciekawe jak wygląda procedura na podstawie której pracownik może uzyskać dostęp do danych konkretnego klienta.

    • Ah bo w artykule jest ze pracownik Aliora kazal logowac sie do innego banku, buaha to takie absurdalne, ze przeczytalem po swojemu. Ja bylem pewien ze pracownik Aliora kazal logowac sie do Aliora :D

      Z jednej strony nigdy bym sie na cos takiego nie zgodzil, z drugiej salda, potwierdzenia przelewow to wszystko jest tak latwo spreparowac – i na pewno sie zdaza. Dodam ze mbank podpisuje swoje pdfy, no ale w postaci elektronicznej, na papierze cos tego certyfikatu nie widac :D

    • @Rafał
      Tez jestem ciekawa tych procedur, bo właśnie w Aliorze, Pani siedząca w oddziale, z która wcześniej załatwiałam jakąś sprawę, zadzwoniła do mnie z propozycją debetu w koncie, bo.. lepiej mi będzie niż branie chwilówki.. (tak wzięłam raz jeden 500 PLN z darmowej oferty VIVUS-a natychmiastowa potrzeba na 2-3 dni). Jak się zapytałam skąd wie, to mi odpowiedziała “no przecież widzę” Szok… na szczęście mam drugie konto w innym banku i teraz na koncie w Aliorze nie robię żadnych dodatkowych ruchów, nie wpłacam żadnych dodatkowych pieniędzy (zresztą wpłacenie we wpłatomacie nie jest za darmo) , wpływa stała kasa co miesiąc, place podstawowe rachunki i tyle. Nawet za zakupy w internecie płacę z tego drugiego konta, bo nie bardzo mi się uśmiecha, żeby jakaś cizia w byle oddziale wiedziała, co i od kogo dostaje i na co wydaje

  21. Spotkała mnie w mBanku podobna sytuacja – wydruk z konta internetowego nie wystarczał, chcieli żebym zalogował się u nich na komputerze – ale obsługa zgodziła się na moją propozycję pokazania historii przelewów na moim laptopie i przez moje łącze :P

    • A zanim wpisałeś hasło, przeszedłeś do blind spota CCTV? :-)

    • Zmieniłem układ klawiatury na Dvorak…

    • Po za tym, jeśli jest się mocno zbudowanym, wystarczy obrócić się tyłem do kamery, zasłonić swoim cielskiem klawę lapka a z przodu “klapkę” spuścić tak żeby było widać tyle o ile. I nie trzeba zmieniać układu ani przechodzić w ślepy punkt.

    • O’rly ? A ja spędziłem miesiąc męcząc Dvoraka w Mistrzu Klawiatury…

  22. Tak samo jest w Multibanku (aktualnie mBank). Podczas brania pożyczki na firmę przyniosłem wyciąg z drugiego banku w którym mamy rachunek firmowy. Pani prosiła żeby zalogować się na chwilę do tego banku, żeby porównała saldo (czy np. przypadkiem nie wydrukowałem sobie sam tego potwierdzenia bankowego).

  23. Podobnie jest w placówkach mBanku (nie tylko w Aspiro) …i również Internet Explorer

  24. Problem w tym, że z jednej strony jako klienci wymagamy od banków wygody, braku zaświadczeń itp., a z drugiej strony bank musi się zabezpieczyć. Wydruk albo zwykły PDF z wyciągiem czy potwierdzeniem operacji jest banalny do spreparowania… Sama klauzula, że dokument został wygenerowany elektronicznie jest nie wiele warta, a jeśli pojawia się na dokumencie wydrukowanym, wręcz jest komiczna. Stąd banki chcą mieć pewność, że dokument jest autentyczny – co osiągają np. w sposób opisany w artykule.
    Idealnie byłoby, aby banki zaczęły generować wyciągi podpisywane certyfikatem kwalifikowanym, co umożliwiłoby wykorzystanie ich w obrocie w pełni elektronicznym

  25. No i cóż z tego? Robicie z igły widły. Pracownik poznałby najwyżej jego numer CIF, który i tak już zna – bo jest na każdej umowie i w systemie komputerowym po wpisaniu numeru PESEL. Hasło do logowania w Aliorze jest maskowane i wpisuje się tylko pojedyncze litery i cyfry, sesja zaś wygasa po 10 minutach lub można wylogować się ręcznie. Do przelewu, ustawienia zlecenia stałego, zmiany pinu, czy jakiejkolwiek innej operacji bankowej wymagane jest hasło SMS. W takim wypadku można się zalogować nawet z najbardziej zawirusowanego komputera a i tak przestępca nic nie będzie w stanie zrobić.

    • Ktoś tu ma problemy z czytaniem ze zrozumieniem. Alior kazał zalogować się do INNEGO banku na ICH komputerze ;)

  26. A podpisanie każdego wyciągu z banku, czy to papierowego czy elektronicznego to do diabła 1 linijka kodu! sha1sum ( $tresc_dokumentu . $klucz_znany_tylko_bankowi ) i potem wystarczy do dowolnego banku który dokument podpisał zadzwonić i zapytać, czy podpis waszego dokumentu o id abc / cde / efg brzmiący 5d8a7e90c9d499a57a81257acc8454491eec7be5 jest prawdziwy? I to tyle.

    • Buahahahahahaha. Ten pomysł jest tak głupi, że sobie go zachowam dla potomności.

    • Czasem jeszcze ważne jest _kiedy rzeczywiście_ coś zostało podpisane ;)

    • To jest coś co wymyśliłem w kilka sekund, może zamiast wyśmiewania konkretne argumenty? Poza tym nie twierdziłem, że jest to rozwiązanie idealne a jedynie, że najprostsze. Co do daty podpisania – data może być w treści dokumentu, a suma kontrolna wyliczana była by dla całości.

    • To taka dobra rada na przyszłość – nad następnym pomysłem pomyśl trochę dłużej, zastanów się czy ma sens, spróbuj znaleźć słabe punkty, uświadom sobie, że możesz nie mieć racji, przemyśl jeszcze raz, napisz komentarz, poczekaj 10 minut, przeczytaj go jeszcze raz i dopiero wtedy wyślij.
      Mam dobry dzień, więc zamiast wyszydzić cię bardziej wskażę jeden z problemów – kompletnie pomyliłeś stronę, która ma wygenerować skrót dokumentu. (że nie wspomnę o pomyleniu pojęć funkcji skrótu i podpisu).

    • Słuchaj cwaniaczku o ksywie “c”. Nie jestem specem od bezpieczeństwa / kryptografii – jestem “tylko” programistą. Wiem, że dla idealnej funkcji skrótu nie można wywołać kolizji. Wdrażałem do różnych systemów informatycznych integrację z API np. DHL, UPS, PayU. Im taka forma podpisu wystarcza. Oświeć mnie i powiedz gdzie się mylę, albo zamknij się i wyp…….. do /dev/null. Ja nigdy w życiu nie nabijałem się z nikogo tylko dlatego, że ma mniejszą wiedzę ode mnie w jakiejś dziedzinie.

    • Ponieważ nadal mam dobry dzień to spokojnie ci wytłumaczę mimo twojego gówniarskiego zachowania gdzie w twoim scenariuszu robisz błąd:
      Logujesz się do banku A i drukujesz wyciąg z ID i hashem wygenerowanym jak opisałeś. Załóżmy, że robisz zrzut do pliku (papierową wersję ci odpuszczę, bo nie kopie się leżącego), a w drugim pliku masz wygenerowany hash (rozumiem, że nie muszę tłumaczyć, czemu się nie da mieć hasha w pliku z którego chcesz robić hasha). Idziesz do banku B z tymi plikami. Bank B nie wygeneruje hasha porównawczego, bo nie ma tajnego klucza. Bank B może sobie zadzwonić do Banku A (wprawdzie wygodnie pominałeś szczegóły gdzie, na jaki numer, na helplajn czy do prezesa itp.) i dyktuje parę ID:hash. Teraz – kto bankowi B zagwarantuje, że ten pliczek z wyciągiem się nie zmienił w międzyczasie?
      Błędnie założyłeś, że hash == podpis (a jak chcesz dodać podpis, to już nie jest jedna linijka, tylko się robi z tego spory system podpisu elektronicznego). Błędnie wymyśliłeś system weryfikacji – bo to bank B powinien wygenerować hasha i porównać z hashem banku A, a w zasadzie powinien porównać podpis cyfrowy (ale to znowu, nie jedna linijka, tylko cała wymiana kluczy między różnymi Bankami). Dwa poważne błędy, a jeszcze nie doszliśmy do krypto i formatu podpisywanego wyciągu (który musi mieć pośrednie sumy kontrolne albo odpowiedni format (żeby np. nie dokleić sobie cyferki w ostatnim polu opisu do kwoty przelewu).
      Powstrzymam się od dalszych złośliwości.

    • Nie prościej byłoby wdrożyć takie rozwiązanie:
      1. klient Kowalski przychodzi do banku B z wydrukami wpływów zawierającymi ID transakcji z banku A.
      2. bank B zleca przelew instant na konto Kowalskiego w banku A (np. opłata 2zł).
      3. bank B prosi Kowalskiego o ID transakcji , którą przed chwilą zlecił na jego konto.
      4. Kowalski loguje się na swoim telefonie, laptopie i pobiera ID transakcji od banku B.
      5. bank B wysyła zapytanie do banku A czy ID transakcji pokrywają się z kwotami na wydrukach oraz czy wszystkie transakcje należą do tego samego konta.
      6. Bezpiecznie i anonimowo.

    • Potrzebujemy Centralnego Rejestru Potwierdzenia Dochodów!

    • @Bartek:
      Pkt2 – przelewy sorbnetowe kosztują 35 pln i trwa do godziny.
      Kolejny beznadziejny pomysł – wszystkie kroki są zbędnę jak już pani z banku A dzwoni do banku B to prościej zapytać, czy pan kowalski ma faktycznie takie wpływy na koncie. Oczywiście nikt odpowiedzi przez telefon nie udzieli. A jak podyktujesz same Idiki to jak zwykle nie są one związane kwotą.

      Żeby ukrócić inne średnio udane pomysły pokaże swój:
      1. Klient w domu loguje się do swojej bankowości i klika ‘opublikuj zestawienie’
      2. Bank poprzez read-only API wystawia wyciąg pod https://bank.com/id_klienta/%5Ba-zA-Z0-9%5D*8&gt;
      3. Poproszony w banku o podanie wyciągu podaje pani URL’a
      4. Bank wysyła sms’a potwierdzającego do klienta
      5. Pani w banku A wbija kod z sms’a i na 10 minut uzyskuje dostęp do wyciągu
      6. Po 10 minutach dostęp wygasa

      Bez wielkiego krypto, bez dzwonienia i dyktowania przez telefon. Jak kiedyś w banku X w okolicach 2008 zaproponowałem takie read-only API do różnych rzeczy (np. dla kontomierza) to się dowiedziałem, że to bez sensu, bo nikt tego nie będzie używał.

    • @Piotr: pewnie dałoby się z US wyciągnąć.
      @c: Powiedziałeś akurat tyle, że można Cię zidentyfikować :) Albo nie masz na imie Tomek:)

    • Lol miałem na mysli “OkropNick” nie “c”. Za ciepło:)

    • @Filip: Mam na imię Kuba – miło mi :)

  27. “najnowocześniejszych systemów teleinformatycznych” – zapewne mówił o IE 10

  28. To jest przesada. Nie wystarczyłyby pliki PODPISANE CYFROWO z innego banku ktore przekazujemy pracownicy na pendrive (oczywiscie zainfekowany keyloggerem ;) ) lub mailowo, lub zaswiadczenie wysylane z innego banku na nasa prosbe podpisane cyfrowo przez bank o takich i takich dochodach – nie jest to wiarygodne?

    Ale logowanie sie na czyims kompie do swojego banku? TO JEST KPINA I ABSURD! A tłumaczenie rzecznika… niech uda się na szkolenie Niebezpiecznika, to może zrozumie jak zabawny żart powiedział ;)

  29. Banksterzy robią co chcą … jak widać staje się to już normą :D

  30. Ostatnio dzwoniła do mnie Pani z Inteligo żeby potwierdzić dyspozycję dużego przelewu (nietypowego jak na mnie).

    Telefon z regularnego numeru (kierunkowy z Pcimia albo innej metropolii) i od razu tekst:

    “Dzień dobry bla bla bla, imię, nazwisko, data urodzenia, panieńskie matki, pesel?.”

    Żadnej procedury weryfikacyjnej dla mnie. Jakieś hasło ustalone przeze mnie albo odwrócony token. Oczywiście powiedziałem, że danych nie podam a przelew potwierdzam, dziękuję. Przelew poszedł.

    Mam wrażenie, że takich procedur “na krawędzi” jest w bankowości cała masa. Jedyne co możemy zrobić to – tak jak ten Pan – podziękować i wyjść. Większość z nas na co dzień nie ma jednak “noża na gardle” i nie musi bezwarunkowo podporządkowywać się procedurom, które budzą wątpliwości.

    • Przerabiałem to samo, z tym, że domagałem się autoryzacji drugiej strony. Hasła do komunikacji bank-klient nie mogą (lub nie chcą) ustawić, ale w sytuacji potwierdzania przelewu można się rozłączyć, zadzwonić na infolinię i potwierdzić przelew mając pewność, że rozmawia się z bankiem. Lub zrobić tak jak Ty – potwierdzić od razu bez podawania danych :)

  31. Doznałem tego ze 4 lata temu jak zakładałem konto w Aliorze … też mocno się zdziwiłem, ale po aktywacji praktycznie w przeciągu godziny, przelałem cała kasę do Aliora wiec… hmm , nie zastanawiałem się wtedy nad tym. Ale czytając komentarze, widzę ze nie są odosobnieni.

  32. Niebezpieczniku i Czytelniku, który zgłosił problem.

    Rozumiem podejście skrajne (każdy ma do tego prawo), natomiast popatrzymy na to z innej strony. Czym bank ryzykuje żeby oszukać (potencjalnego) klienta, zapisać dane umożliwiające zalogować się do bankowości w innym banku (o ile w trakcie logowania dochodzi do przekazania kompletu danych by zastosować atak powtórzeniowy – ten sam identyfikator i hasło) i następnie logować się do bankowości elektronicznej (łamiąc kodeks karny, prawo bankowe)?

    Sugeruję popatrzenie na to z tej strony. Bank ryzykowałby bardzo dużo (ogromne kary jeśli nie odebranie licencji na prowadzenia działalności typu bank), znacznie więcej niż kafejka czy inne publiczne miejsce. Artykuł generalizuje, upraszcza ryzyka. Podchodząc w ten sposób bezpieczeństwo miałoby nieograniczony apetyt na ryzyko -> budżet potrzebny by go zapewnić (zapewne taki że żaden biznes by tego nie przeżył), a produkty/usługi dla klientów byłyby tak niewygodne w użycia dla większości społeczeństwa, że nie chcielibyśmy z nich korzystać, pomijając, że nikt nie chciałby nam ich sprzedawać bo kto lubi sprzedawać słabe produkty Słowa klucze: analiza ryzyka i zarządzanie nim. Proponuję autorowi artykułu powtórkę i aktualizację artykułu o merytorykę poza retoryką, czytelnik zgłaszający problem i inni mogą się przy okazji czegoś sensownego nauczyć.

    Abstrahując od banków, sofort: https://www.sofort.com/pol-PL/kupujacy/sb/bezpieczenstwo-sofort-banking/ – ostatni punkt. Czy naszemu społeczeństwu to się podoba czy nie, aktualnie takie, a nie inne jest obowiązujące stanowisko Federalnego Urzędu Antymonopolowego.

    • Przemku, wydaje mi się, że nikt; ani niebezpiecznik ani czytelnik-autor zgłoszenia; nie wątpi w to, że bank mógłby chcieć połasić się na jego fundusze lub dane. Masz rację, instytucja za dużo ryzykuje.
      Życie jednak pokazuje, że na dane najcześciej pojawi się pracownik banku (pracownik supermarketu, pracownik cocomo, etc.). Bo mu brakuje na waciki, bo mu nie starcza do nowego samochodu, you name it.
      Problemem niepodważalnym jest to, co zauważył bodaj Piotr K. na swoim profilu FB. Pracownicy banku pracują zazwyczaj ‘za prowizję’ i mogą być zmotywowani do tego aby sprzedać więcej.
      Więcej sprzedaje się dając klientom dopasowany produkt, a dopasowany produkt zdobywa się mając wiedzę na temat klienta. W tym przypadku pracownik banku mający dostęp do wpisanego hasła ma tę wiedzę; ma wgląd w konto, produkty, fundusze i lokaty, historię karty klienta bez konieczności podawania kodu SMS.
      Zakładam oczywiście, że klient nie stosuje hasła maskowanego a pracownikowi udało się na stacji podłożyć swojego keylogera. Nie wiem jak w Aliorze, ale wiem, że w agencjach innych banków jest to niestety możliwe [i niestety nie tylko na skutek przeoczeń IT w zarządzaniu politykami na workstacjach pracowników].

    • Jasne, rozumiem. Natomiast wtedy mamy do czynienia z tzw. wew. zagrożeniem, gdzie rozgarnięta organizacja będzie utrudniała niezwiązaną z pracą aktywność (najlepiej by uniemożliwiała, ale o 100% nie będziemy teraz dyskutować :)) oraz monitorowała co robi pracownik ze służbowym sprzętem. Bez względu jaki i który pracownik organizacji takiej jak bank musi ogarniać takie zagadnienia, ryzyka żeby realnie wzbudzać zaufanie do siebie. Czarne owce mogą występować w każdym środowisku, nie ma co opowiadać o tym, że są “święte” zawody, ale właśnie po to uwzględnia się ryzyko “czarnej” owcy by nawet z nią na pokładzie źle się nie działo minimalizując ryzyko.

      Po to jest nadzorca w postaci KNFu, po to jest szereg Rekomendacji, które wydaje, wg. których audytuje, itd. by dać solidną podstawę, a część banków nie spoczywa na tym i idzie dalej. Każdy doświadczony bezpiecznik wie, że zgodność z regulacjami to tylko podstawa strategii zapewnienia bezpieczeństwa, coś co musi spełniać, czasem to totalne podstawy, czasem bardzo szczegółowe opisy w jaki sposób realizować dany proces.

      Byłem w swojej karierze bezpiecznikiem ofensywny jak i defensywnym. Wskazywanie w artykule głównie, jeśli nie “tylko”, ofensywnych cech sprawy Czytelnika – wskazywanie ryzyk, jak to niebezpieczne jest logowanie się z komputera pracownika banku do bankowości drugiego banku to tylko jedna strona medalu.

      Bądźmy obiektywni albo szukajmy sensacji i powołajmy komisję, która to wyjaśni jak robią to nasi politycy.

      Jeszcze raz apeluję by redaktor lepiej rozpoznał sytuację zanim po raz kolejny napisze bardzo życzeniowy ofensywnie artykuł. To nie pierwszy przypadek kiedy robi się sensacje (patrz: podejrzenie oscylatora w Aliora, które okazało się pomyłką klienta), a część ludzi nie kojarzy nawet aktualizacji tylko zapamiętało, że oscylator był/jest możliwy co jest mitem.

      I na koniec, tuż po zalogowaniu się ze stacji pracownika banku X do bankowości banku Y, możecie zmienić hasło zanim skończycie wizytę z użyciem np. tel/tabletu czy innego urządzenia, które Wam to umożliwi i jest tylko pod Waszą “kontrolą”. NAWET jeśli pracownik okaże się “czarną owcą”, nie zaloguje się na Wasze konto i nie pozna Waszych “tajemnic”.

    • Co do Sofortu: jesteśmy w Polsce, i nie interesuje nas (kretyńska do granic możliwości) decyzja niemieckiego urzędu.

    • @Przemek: Ja jako bezpiecznik rozumiem inaczej kwestię wspomnianego przez Ciebie minimalizowania ryzyka. O ile dla instytucji najważniejsze jest ryzyko jej własne, tj. działań podejmowanych przez nią, czyli pracowników, to nie oznacza w żadnym stopniu, że klient patrząc z jego perspektywy może być poddawany każdemu ryzyku. Jest ogólnie przyjęte, że nie wpisujemy elementów uwierzytelnienia na sprzęcie, który pozostaje poza naszą kontrolą. Dla klienta opisywane zdarzenie jest dużym ryzykiem i nijak ma się zapewnienie instytucji, że “dokłada wszelkich niezbędnych starań, aby [ciach]”.
      Dlaczego tak ustawiono proces? Dla mnie nie jest to teraz ważne, dlaczego ktoś “wyżej” podjął ostatecznie decyzję, że jest OK. Ważne jest natomiast to, czy ABI/ISO w ogóle zaprotestował przeciwko takiej konstrukcji.

      Dlatego nie zgadzam się na usprawiedliwienie takie, by dla realizacji celu – dokonanie weryfikacji – uświęcono środki stwarzające obiektywne ryzyko dla klienta. W tym sensie uznaję za nietrafiony sposób minimalizacji ryzyka poprzez niezwłoczną/natychmiastową zmianę hasła przez klienta. Dlaczego tak uważam? Bo żadne z tych działań nie jest pro-klienckie, a przecież zależy nam na klientach! No, chyba że ma się duże mniemanie o sobie, swojej ofercie… Uważam ponadto, że nie ma tu miejsca na rozważania o “zaufaniu do instytucji”.

      Pewnie daleko jest od tego rodzaju ryzyka do ryzyka utraty reputacji, ale czy cała ta dyskusja toczyłaby się, gdyby bank jednakże zminimalizował ryzyko, na jakie eksponuje klienta?

    • Przemku – to nie nasz urząd antymonopolowy podjął taką decyzję, tylko niemiecki. W polsce jak na razie nie ma takiej decyzji, a jest słuszna zgodna na postępowanie banków, które sporo zasobów poświęcają na edukacje klientów w zakresie bezpieczeństwa i analogicznie do kont poczty elektronicznej zalecają NIE PODAWANIE NIKOMU loginów i haseł, więc buntują się przeciw pomysłom sprzecznym z tą zasadą.

    • @jerzyk,

      Jeśli rozmawiamy o zarządzaniu ryzykiem to w całości, nie wybiórczo. Nie poznamy na łonie niebezpiecznika wyników analizy ryzyka, bo to ani miejsce ani czas, są od tego stosowne jednostki.

      Jestem przeciwko rozdmuchiwaniem pojedynczych ryzyk bez spojrzenia na całość i przypinanie tego jednemu bankowi w tytule wpisu. Niebezpiecznik nie jest regulatorem ani kreatorem poczucia (nie)zaufania ludzi do firm/instytucji/inicjatyw czy osob. Niech czytelnicy zastanowią się komu i dlaczego (nie)ufają. Bo Niebezpiecznik tak napisał?

    • @Pepe,

      Jest ogromna różnica miedzy zalogowaniem się z komputera w banku a logowaniem za pomocą sofortu. Sofort robi MITM rozszywajac sesje klienta banku, właściwie to sofort łączy się do banku, a nie komputer klienta.

      Co do edukacji klientów mam inne odczucia. Mówi się o kosztach edukacji, a ja proszę o przykłady tych akcji poza komunikatami w cmsach i widocznymi przed/po logowaniu do bankowości elektronicznej.

      Ma ktoś inne doświadczenia i chce się nimi podzielić?

    • @Przemek: ale ja nie neguje tego ze Sofort robi to inaczej niz to co sie dzieje w oddzialach, jest jak mowisz: jedno to MITM, drugie to potencjalne narazenie sie na podsluchanie transmisji. Ale oba przypadki to ryzyko podania komus loginu i hasla.

      Co do edukacji: nie pisalem o kosztach, tylko zasobach. Myslalem bardziej o tym, ze ktos w dobrej wierze (jasne ze zgodnie z naszym interesem, ale chyba nie powiesz, ze w tym przypadku przeciwko interesowi klienta) przyzwyczaja klientow do okreslonych zachowan. Zachowan zgodnie popieranych przez specow od bezpieczenstwa, ogolnie uznawanych za sluszne, stosowanych rowniez do systemow innych niz bankowe itp. A tu przychodzi ktos i mowi, ze to niewazne, ze to tylko dlatego zeby nie dopuscic do rynku takiego jak on.

      Przepraszam Cie, ale jak to rozsadzic ma laik?

    • no i psikusa mi zrobili, bo mnie oderwali do telefonu :D
      bylo: “(jasne ze zgodnie z naszym interesem, ale chyba nie powiesz, ze w tym przypadku przeciwko interesowi klienta)”,
      a mialo byc:
      “(jasne ze zgodnie ze swoim interesem, ale chyba nie powiesz, ze w tym przypadku niezgodnie z naszym klientow interesem)”,

    • @Pepe,

      Ok, rozumiem co miałeś na myśli.

      Jak już pisałem w innym wątku, komentarze na niebezpieczniku nie są miejscem do otwartej dyskusji na ten temat, a moim zdaniem dopiero jej wynik byłby przeznaczony w strawnej postaci dla szerokiego grona.

      Pozdrawiam :-)

  33. Jest to normalna praktyka, jak sądzę we wszystkich bankach. Wynika to z procedury, która dopuszcza wyciąg z bankowości internetowej jako poświadczenie wpływów, ale warunkiem jest wpisanie na dokumencie przez pracownika banku ” wydrukowano w mojej obecności”. Oczywiście klient ma inne wyjście, może dostarczyć wyciąg z pieczątką banku, tylko że często musi za niego płacić więc to jest praktyka dla jego wygody. Mamy na komputerach bankowych zablokowany dostęp do internetu i można wejść tylko na zaufane witryny, m.in, na strony bankowości innych banków. Sama kupując telewizor na raty w Media Markt musiałam w punkcie kredytowym zalogować się do mojego banku by wydrukować wpływy. Kredytował mnie wtedy Lukas Bank, dla mnie jako pracownika Aliora ta procedura nie była niczym podejrzanym.

    • no ale moglas doniesc potwierdzenie a gosciowi z artykulu baba nie pozwolila na zalogowanie sie na swoim sprzecie ani doniesienie oswiadczenia , wiec w przeciwienstwie do ciebie nie mial innego wyboru. rzecznik aliora w wypowiedzi dla niebezpiecznika tez zlal pytanie proszace o wyjasnienie czy jest opcja aby inaczej sie uwierzytelnic z dochodami wiec trzeba zakladac ze nie ma.

    • No wszystko fajnie, ale jaką mam gwarancje, że pracownik banku z działu obsługi klienta (nie ma co ukrywać, przemiał tam jest taki że można założyć że “wczoraj wzięty z ulicy”) nie wykorzysta tej sytuacji, instalując oprogramowanie do zbierania informacji o ewentualnym użytkowniku (login, hasło, stan konta itd. itp) ?

      Druga sprawa, załóżmy że pracownicy, święci i wspaniali, aureola nad głową, skrzydła na plecach. Jeżeli komputer jest niezabezpieczony (nie chodzi mi o blokowanie stron) to wystarczy że wcześniejszy ‘klient’ włoży na kilka sekund małego pendrive albo kartę SD z której zainstaluje na nim odpowiednie oprogramowanie. I znowu z powodu niedbalstwa banku klienci mogą być pokrzywdzeni.

      Trzeba powiedzieć sobie wprost, czasy kiedy komputer z internetem był zabawką, niewinnym narzędziem do usprawniania pracy już dawno minęły. Teraz trzeba zawsze dmuchać na zimne, zabezpieczyć się przed najgorszym, a już szczególnie w sprawach związanych z finansami. Może do ameryki jeszcze nam daleko, ale naród mamy pomysłowy, szczególnie w kwestii związanej z wyciąganiem kasy od (naiwnych/niewinnych) ludzi.

  34. No nie moge po prostu !!! Co za HIPOKRYZJA bankow !!! pamietam jak w artykulach dotyczacych sofortu kazdy z bankierow jeb… sofort jak burą su… za to ze zmusza do podawania hasel komus innemu niz prawdziwy bank … a tu nagle okazuje sie ze prawie kazdy z polskich bankow z aliorem na czele robi dokladnie to samo zeby chronic swoje interesy i nie wtopic na kredycie. LOL do kwadratu!

    tak , uczcie klientow podawania hasel gdziekolwiek pod byle pretekstem to juz widze jak za chwile beda chodzili po domach lewi przedstawiciele UPC oferujac znizke na net o ile ktos sie zaloguje do banku na ich tablecie, zeby pokazac ze regularnie oplaca rachunki za faktury :]]]

    • Artur, wskaż wspólne cechy dla SOFORTu i banków, o których mowa w artykule – ja ich nie widzę na ten moment.

      A w razie czego zapraszam redaktorów Niebezpiecznika do wsparcia Artura, czas na odpowiedzialność za swoje artykuły i jak je Czytelnicy interpretują.

      Haters gonna hate. Wspomogę Cię Artur z całą mocą jeśli są wspólne cechy.

    • Logując się do banku nie ze swojego sprzętu nie masz 100% pewności jakie zabezpieczenia są przez niego stosowane, czy system i przeglądarka nie są zainfekowane itp. a więc nie możesz na pewno stwierdzić, że strona banku którą widzisz jest prawdziwa – czyli masz pierwsze podobieństwo – logowanie się na witrynie która może nie być witryną banku. Dodatkowo ktoś w komentarzach powyżej napisał że w jednym z banków spotkał się z osobnym systemem, który po podaniu loginu i hasła sam automatycznie wyciągał dane z konta – tutaj podobieństwo do SOFORTu jest już 100%.

      Podsumowując: Arturowi chodziło o hipokryzję banków, które z jednej strony w umowie zastrzegają, że to użytkownik odpowiada za bezpieczeństwo swoich danych do logowania (a oni nie ponoszą za to odpowiedzialności), uczulają ludzi w kwestii spreparowanych stron, wirusów, wyłudzeń itp. Z drugiej strony proponują klientowi obcego banku logowanie się na ich sprzęcie, narażając go tym samym na niebezpieczeństwo, przed którym sami ostrzegają (ale co ich to obchodzi, przecież to nie ich pieniądze i na razie nie ich klient).

      Dodam tylko, że nie obawiam się celowego szkodliwego działania banku (np. zapamiętywanie haseł w celu późniejszego wykorzystania). Obawiam się szkodliwego działania któregoś z pracowników (celowego np. poprzez zainfekowanie systemu, czy też przypadkowego np. poprzez nieznajomość lub olewanie zasad bezpieczeństwa itp.)

      Nie oszukujmy się, cyberprzestępcy zawsze będą o krok przed zabezpieczeniami – nie wiemy ile krytycznych luk (np. jak heartblead) nie zostało jeszcze wykrytych, a są wykorzystywane. Nawet najlepsze zabezpieczenia w banku mogą nie uchronić go przed atakami, jednak jako olbrzymi “agregator danych o użytkownikach” jest potencjalnie lepszym celem ataku niż mój komputer, którego odpalam tylko do przelewów (tak, mam Linuksa postawionego tylko do obsługi banku)

      I jeszcze odpierając inny argument: wiem, że mój bank też może być zainfekowany, ale mam z nimi podpisaną umowę i jak coś schrzanią to będą za to odpowiadali. Jeśli natomiast schrzani coś Alior, a ja się u nich logowałem do swojego banku to jak myślisz, który z nich chętniej pokryje moje ewentualne straty :) ?

    • Przemek – IdeaBank ktoś wskazał powyżej, jako firmę stosującą praktyki identyczne z Sofortem. To raz. Pozostałe banki wymagają zalogowania się na ich infrastrukturze, a zatem trzeba założyć, że wszystko co zostało w takim komputerze podane – zostaje w banku. Jeśli nie masz maskowania haseł lub też 2FA, to skutek jest dokładnie ten sam.

    • @DK,

      Z większością się zgadzam. Natomiast Alior to nie Sofort i trzeba to oddzielić – dla uczciwości i rzetelności. Większość tematów poruszyłem już w pozostałych komentarzach, nie mam nic wiecej do dodania :-)

    • @matja,

      Sofort i analogiczne to dla mnie już przegięcie, i na logowanie się w moim imieniu już się nie zgadzam. Dlatego z nich nie korzystam i tyle. Bez afery na moim blogu ;-)

  35. Zasady niektórych banków są chore (i trzeba czasem skorzystać z wersji chroniącej dane, dopłacając – typu wcześniejsza wizyta w innym banku i papierek z wyciągiem i pieczątkami). Takich banków się unika i pracownicy banków mają obowiązek zapisać ewentualnie przez klienta podany powód. Moim powodem do podziękowania Aliorowi kilka lat temu była właśnie nadmierna ingerencja w moje życie prywatne. Nigdy nie brałem kredytów ani pożyczek w żadnym banku – byłem “zwykłym” klientem, miałem zablokowane wszelkie możliwości przetwarzania moich danych pod kątem oferowania mi czegoś, ale sami u siebie zawsze znajdowali, w umowie której ‘nie mogłem nie podpisać’, jakieś kolejne kruczki do tego żeby jednak zadzonić i np. zadać bezwartościowe pytanie o zadowolenie z usług i “produktów” i “przy okazji” zaproponować “nowy produkt”, “bo z wyciągów mojego konta wynika że powinienem być zainteresowany.”

    I nie oszukujmy się – każdy bank to robi, ale niektóre banki kupują lepszych ludzi do PR niż Alior i lepiej przedstawiają sytuację (jak widać) albo “robią” pozwolenia od klientów na przetwarzanie danych. Kowalskiemu wystarczy że powiedzą, że mu zwrócą X% kasy wydanej w miesiąc i taki Kowalski nie patrzy na fakt że musi powiedzieć bankowi wszystko o sobie i nawet na listę sklepów gdzie takie gratyfikacje z karty obowiazują nie spojrzy – efekt – często drożej niż w “tanim banku internetowym”

  36. Po pierwsze po takiej operacji można przecież zmienić hasło.

    Po drugie Pani ma rację – klient może oszukać. Mogę bez większego problemu zrobić mobilną stronę banku. Co więcej mogę ją puścić na serwerze zainstalowanym gdziekolwiek. Nawet certyfikat mogę bez problemu spreparować. To przecież taki samo-phishing, tyle, że mam tutaj pełny dostęp do urządzenia, bo jest moje.

    Oczywiście Pani mogłaby przelać złotówkę na moje konto i kazać pokazać przelew w historii i sprawa by się sypła ;-)… Zresztą Paypal robi podobny numer.

  37. Pamiętam jak miałem w Aliorze konto i po jego zamknięciu, po kilkudziesięciu dniach, kiedy to powinno być już nieaktywne mogłem dalej się na nie zalogować. Poszedłem do jego placówki (firmowej, a nie partnerskiej) i tam zgłosiłem, że coś jest nie tak. Pracownica banku powiedziała, że wszystko jest ok bo przecież mój rachunek z listy rachunków po zalogowaniu zniknął, a samo konto na którym widnieją moje dane to po prostu tak jest, gdybym np. kiedyś do nich wrócił. Łaskawie nie odpowiedziała dlaczego nie zostałem poinformowany, że tak będzie gdy zamykałem konto. Powiedziała, że nie można całkowicie go zamknąć bo bank musi przechowywać dane klientów przez 5 lat (ok, tylko czemu musi je udostępniać przez internet???) i mogła tylko dezaktywować dostęp do konta przez internet, czyli jak będę chciał jeszcze raz u nich otworzyć rachunek to nie będę mógł zrobić tego przez internet tylko muszę pamiętać aby udać się do placówki i poprosić o ponowną możliwość dostępu online bo ponowne “założenie” konta nie jest tak naprawdę założeniem tylko ponowną aktywacją i bank pamięta że zablokowaliśmy dostęp przez internet….
    Okazało się również, że gdy pomagałem komuś innemu w otwarciu u nich konta maklerskiego przez internet (również po uprzednim zamknięciu jakiś czas wcześniej zwykłego konta), to stare hasło wciąż pasowało… Po założeniu nowego konta powinni przysłać pierwsze, nowe “robocze” hasło, ale tego nie zrobili i ta osoba nie wiedziała o co chodzi, ale na szczęście miała jeszcze gdzieś zapisane stare hasło i pasowało jak ulał pomimo że tym razem otwierała rachunek do biura maklerskiego Aliora. Mogliby łaskawie informować o wiecznym koncie z aktywnym hasłem, bo kto niby przechowuje stare hasło do konta przez kilka lat??? (Jak nie pamięta to po założeniu przez internet musi i tak udać się do placówki i prosić o reset starego sprzed kilku lat, po prostu geniusze…)

    Jeszcze jedno, jakiś czas temu było głośno w mediach, że centrala Aliora postanowiła nagrywać audio (poprzez zamontowane w stołach mikrofony) wszystko co się dzieje między klientem, a pracownikiem i była mowa wtedy, że to może być naruszenie tajemnicy bankowej bo przecież takie nagrania trzeba przechowywać i mogą one przecież wyciec… Więc więcej niż pewne jest to, że wszystko co robi na komputerze firmowym pracownik (lub klient) jest całkowicie monitorowane… oczywista oczywistość.

  38. Alior to najgorsze co może być. Jakiś czas temu wziąłem sobie tv na raty, sprawdzając wcześniej czy na pewno nie dostane rat właśnie w aliorze. Co z tego że sprawdziłem skoro sprzedano mój dług aliorowi właśnie. Co więcej info o tym przyszło w zwykłym liście na którym był nowy numer konta na które należało wpłacać pieniądze. List w żaden sposób nie zabezpieczony. Masakra.

  39. “srały muszki, będzie wiosna”, jak mówiła moja babcia :-), a nie najnowocześniejsze procedury. Prawda jest taka, że odpowiedź rzecznika banku to typowa, politycznie poprawna regułka, która ma tylko i wyłącznie “zamknąć pytającego”.

    Niebezpiecznik, powinniście pójść za ciosem, ponowić pytania, wypunktować beznadziejność tej odpowiedzi (prawdopodobnie nawet nie konsultowanej z działem technicznym banku, tylko ‘wyciągniętej z instrukcji’).

    Niestety, bank kiedy ma dbać o swoje pieniądze, to zdolny jest do wszystkiego, łącznie z wymogiem podpisania parafką i czytelnym podpisem, każdej strony wniosku o kredyt czy egzekwowania opłaty za samo spojrzenie na wniosek klienta, ale kiedy już chodzi o naszą kasę to ma to gdzieś. Keylogger ?? A po co keyloggery, połowa osób, w ogólnym pośpiechu i zdenerwowaniu, w czasie załatwienia bankowych spraw zapomni się nawet wylogować z konta.

    To co opisuje czytelnik niebezpiecznika w Aliorze to chleb powszedni także i w takim Ing czy np Nordei (wiem z własnego doświadczenia), Ameryki nikt nie odkrył.

    Mimo wszystko będę wdzięczny za drążenie tematu, niech banki zaczną faktycznie dbać o klienta (w szczególności o jego pieniądze), nie tylko w reklamach ale i w rzeczywistości!

    • maniac ja do tego bym dodal ze banki zamiast usprawniać procedury obsługi, otrzymują przy życiu armie PRaowcow ;) ktorych jedynym zadaniem jest paletac sie po forach takich jak Niebezpiecznik, wylapywac nnieprzychylne komentarze a nastepnie “rozmydlać” temat.

      Mógłbym (ale tego nie zrobię) wskazac po nickach osoby z zespołu PR, ktore udzielaly sie w tym temacie. Jezyk i styl wypowiedzi tych osób pozostaje bez zmian niezależnie od forum.

      A tak na marginesie, i totalnie OT poniewaz w Krakowie wyszzlo juz slonce pora isc spac po nieprzespanej nocy :) Swoja droga jestem ciekaw gdzie mozna kupic te faine koszulki z logo niebezpiecznika, przydalo by mi sie jakies trofeum z grodu smoka wawelskiego :)
      Pozdrawiam

  40. PKO SA – niby dinozaur, ale pani w oddziale nie robiła mi żadnych problemów kiedy przesłałem jej wykaz operacji z 3 banków w PDF-ach. Umowa była dość poważna, bo dotyczyła kredytu hipotecznego.

    • I tak powinno być. Jeśli cokolwiek będzie nie tak – wtedy bank zweryfikuje prawdziwość tych papierów i jeśli okaże się, że były sfałszowane – klient ma przerypane.

    • Jezeli wszystkie przedstawione dokumenty byly falszywe, a klient to jakis bezrobotny pijaczek to wtedy bank ma przerypane. Ba jezeli klient pracuje ale ma pensje minimalna, a mieszkanie najmuje to komornik i tak nic nie sciagnie. W Polsce nie idzie sie za dlugi do wiezenia chyba ze za dlugi wobec ZUSu.

    • @Stefan: “Jezeli wszystkie przedstawione dokumenty byly falszywe, a klient to jakis bezrobotny pijaczek”. Wybacz, ale to czysta demagogia. Każdy, kto kiedykolwiek załatwiał większy kredyt wie, że przetrzepią Cię na wszystkie strony, wyciągną historię kredytową za ostatnie fafdziesiąt lat i jak zapomniałeś zapłacić rachunek za telefon w 1997r to też do tego dotrą. O przyznawaniu kredytów bezrobotnym pijaczkom na dowód naprawdę zapomnij.
      Każdy oszust kredytowy to osoba, która współpracuje z pracownikiem banku na niższym lub wyższym szczeblu. Osobiście miałam o czynienia z człowiekiem, który nabrał kredytów na milion złotych przy miesięcznym zysku jego firmy w wysokości 1100 zł. Wszystkie kredyty w tym samym banku. Kruczek polegał na tym, że oddziałowi szefowała jego bliska znajoma.

    • @Alex problem z biednym pijaczkiem jest taki, ze w BIKu jest czysty – brak zadluzen, a dokumenty ktore przedstawia sa ok. Po to cale sprawdzanie opisane powyzej, aby upewnic sie ze dokumenty nie zostaly podrobione.

      Zreszta zeby przekonac sie ile jest oszustow podrabiajacych dokumenty wystarczy wystawic laptopa na allegro. Ostatnio jak sprzedawalem to byl kupowany z 5 razy przez ludzi z Ukrainy, Anglii czy Nigerii i za kazdym razem dostawalem maile z potwierdzeniami przelewow i inne pierdoly z grozbami od FBI wlacznie.

  41. Na szczęście nie jestem klientem tego banku.
    W innym przypadku już dawno bym się przeniósł, zwłaszcza po tym wywiadzie jego wiceprezesa.

  42. Kapeluszniki (czyt. alior bank) już tak mają… kiedyś miałem podpisać umowę, po 30 min wypełniania różnych rzeczy w placówce ostatecznie musiałem wyrazić zgodę na udostępnianie swoich danych, które uznałem, że są zbyt szczegółowe jak dla “podmiotów współpracujących”. Też się pożegnaliśmy bez podpisywania umowy.

  43. Wygląda na to (o czym cicho sza w mediach), że kilka banków już dało kredyt słupom z lewymi wydrukami (albo lewą stroną banku na swoim komputerze). Stąd tak absurdalne procedury. Innego wytłumaczenia nie znajduję.

    PS. Sama odpowiedź rzecznika na tym samym poziomie co ich “najnowocześniejsze procedury”. LMAO!

  44. Nie tylko Alior stosuje takie praktyki. Wiem z własnego doświadczenia że inne banki robią dokładnie to samo

  45. Ciekawe praktyki też stosuje PKO BP. Weryfikują zdolność kredytową na podstawie edeklaracji wysłanej do urzędu skarbowego. Przy czym weryfikacja takiej deklaracji polega na porównaniu numeru referencyjnego na *wydruku* papierowej deklaracji z numerem na UPO – według nich jest to gwarancja, że ta deklaracja została rzeczywiście wysłana ;)
    XML UPO ma podpis elektroniczny i skrót deklaracji, dzięki któremu można sprawdzić czy rzeczywiście została ona wysłana, ale po co z tego korzystać, jak można udawać że się coś robi :)
    http://www.bankier.pl/wiadomosc/Interwencja-Bankier-pl-mam-trudnosci-z-wzieciem-kredytu-hipotecznego-bo-zlozylem-PIT-przez-internet-2690173.html

  46. W OpenFinance to także stała praktyka a słowa – ‘proszę zalogować się do swojego banku z mojego laptopa’ (dokładnie tak, z jego laptopa, z którym właśnie przyjechał z weekendu i wyjął z plecaczka) – to zwyczajowy tekst agentów przy zawieraniu umów. Oczywiście ‘w celu weryfikacji’.

    • Szanowny Panie,

      bardzo serdecznie proszę o zgłoszenie tego faktu, dzwoniąc pod bezpłatny numer infolinii 801 600 200.

      W razie pytań pozostaję do Pana dyspozycji.

      Pozdrawiam, Piotr Szymański
      Online Ekspert Open Finance

  47. Ogolnie mam wrazenie, ze z powyzszych komentarzy wysuwa sie smutny obraz polskiej bankowosci, ktora sama uczy złych praktyk przez co daje pożywkę róznego rodzaju oszustom.

    Nie tylko bankowość ma taki problem. Co jakiś czas dzwoni do mnie biuro obsługi mojego operatora tel., które chce mi przedstawic super oferte jako stałemu klientowi, ale zanim to zrobi prosi o podanie moich danych w tym numeru PESEL. Zawse odmawiam i nigdy nie dowiedziałem się co to za super oferta ;(

  48. W WBK jest to samo.

  49. Biorąc kredyt wspierasz lichwę i banksterów – pamiętajcie o tym.

  50. Przecież wystarczy, ze klient zaloguje się do swojego konta w wygodnym fotelu wskazanym przez pracownika banku. Oczywiście odpowiednio ustawione kamery będą dokładnie obserwowały co i jak taki Klient napisze na klawiaturze swojego tabletu. BTW. niestety mikrofony w tym przypadku nie będą już tak użyteczne, jak przy standardowej klawiaturze :P

  51. @Przemek Dobrze popatrzmy na to z punktu widzenia dobrych praktyk bankowych.

    Z końcem roku banku będzie obowiązywac nowa wersja rekomendacji D KNF’u.
    http://www.knf.gov.pl/Images/Rekomendacja_D_8_01_13_uchwala_7_tcm75-33016.pdf
    Rekomendacja 16 – Zarządzanie elektronicznymi kanałami dostępu
    punkty 16.8 i 16.9 Edukacja klientów.
    cytuję:
    “16.8. W związku z tym, że znaczna część kanału świadczenia usług znajduje się poza bezpośrednią kontrolą banku, bank powinien dążyć do zapewnienia klientom korzystającym z elektronicznych kanałów dostępu odpowiedniego poziomu wiedzy pozwalającej na zrozumienie zagrożeń związanych z wykorzystaniem tych kanałów i stosowanie kutecznych sposobów zabezpieczania się przed tymi zagrożeniami. … ”
    i “16.9 16.9. Bank powinien informować klientów o zagrożeniach związanych w szczególności z:
    – nieodpowiednim zabezpieczeniem danych wykorzystywanych do logowania do elektronicznych kanałów dostępu,
    – nieodpowiednim zabezpieczeniem urządzeń wykorzystywanych do realizacji usług świadczonych za pośrednictwem elektronicznych kanałów dostępu (telefonów komórkowych, komputerów), w tym o istotności stosowania oprogramowania antywirusowego i zapór sieciowych, kontroli fizycznego dostępu, regularnej aktualizacji oprogramowania itp.,
    – innymi technikami mającymi na celu przechwycenie informacji umożliwiających dostęp do rachunku (np. poprzez ataki oparte o technikę phishing), wraz ze wskazaniem sposobów zabezpieczania się przed takimi technikami. ”

    Alior się do tego stosuje jak widać na stronie:
    http://www.aliorbank.pl/pl/bankowosc_elektroniczna/internet/zasady_bezpieczenstwa

    I teraz cytat z tej strony:
    “Ponadto pamiętaj o następujących zasadach:
    Przy logowaniu do systemu bankowości internetowej nie korzystaj z niezaufanych komputerów.
    [..]
    – Nie loguj się do systemu z adresu strony, przesłanej przez innego użytkownika drogą elektroniczną (np. w wiadomości e-mail lub wiadomości w komunikatorze internetowym). ..
    – Nie loguj się do systemu z komputera, na którym inny użytkownik jest już zalogowany.”

    Teraz prosze się zastanowić czy:
    – obcy komputer (nawet w placówce banku) jest dla użytkownika zaufanym urządzeniem?
    – jak się ma zalecenie Aliora dotyczące nie logowania się do systemu bankowości elektronicznej z komputera na którym jest już zalogowany inny użytkownik do rzeczywistości w której o to proszą?

    Mnie uczono, że zaufane urządzenie to może być takie nad którym mam pełną (najlepiej wyłączną) kontrolę. Ale ja nie wiem co teraz “wyższa kultura bankowości” wymyśliła ;>

    W ramach “kopania leżącego” ze strony:
    http://www.aliorbank.pl/pl/bankowosc_elektroniczna/internet/zasady_bezpieczenstwa/bezpieczenstwo_komputera
    “Dbaj o swój komputer
    Jedną z najważniejszych czynności poprzedzających korzystanie z systemu bankowości internetowej powinno być właściwe przygotowanie komputera oraz zainstalowanego na nim oprogramowania:
    – sprawdź, czy posiadasz uaktualnione oprogramowanie antywirusowe, zainstalowaną zaporę osobistą (ang. personal firewall) oraz oprogramowanie antyspyware;
    – aktualizuj posiadany system operacyjny;”

    Jak to można to sprawdzić na obcym komputerze? Dostanę uprawnienia administracyjne?
    Albo potwierdzenie na piśmie i pieczatką banku odnośnie z bezpieczeństwa komputera którego mam użyć?

    Ja jak zwykle powiem tak:
    Bardzo ale to BARDZO chciałbym zobaczyć analizę ryzyka jaką bank przeprowadził w związku z wdrożeniem tej konkretnej procedury.

    Dlaczego bym chciał ją widzieć? Ano dlatego, że jak znam życie zarządzanie ryzykiem w tym przypadku sprowadziło się do TRANSFERU RYZYKA na potencjalnego klienta. :)
    Zarządzanie ryzykiem można “odfajkować”. ;>

    Wypowiedź p. rzecznika jest hmm, nie na temat. Bo jak zauważył już ktoś dotyczy klientów a nie potencjalnych klientów. Nie jestem prawnikiem, ale z tego co się orientuję to z prawnego puntku widzenia, są to rozłączne zbiory. :>

    Niezmiernie jestem ciekaw jak w regulaminie usługi opisana jest odpowiedzialność Aliora za ewentualne straty (finansowe i nie finansowe – np. związane ze łamaniem regulaminu korzystania z bankowości elektronicznej) wynikłe z udostępnienia dostępu do konta w innym banku?
    Nie znam wszystkich regulaminów wszystkich banków, ale z tego co pamietam (tak, przeczytałem dawno temu ze zrozumieniem) to w moim jest zapis zakazujacy udostępniania systemu elektronicznego osobom trzecim.

    Ja rozumiem chęć rozwoju biznesu i konieczny w związku z tym balans między biznesem a bezpieczeństwem, ale nie kosztem innych!

    Piotrek działaj dalej i wyjaśniaj! “Wyższa kultura bankowości” powinna do czegos zobowiązywać. :)

    • Niestety jak już wczesniej pisałem, mało prawdopodobne ze ujrzysz analizę ryzyka tego procesu.

      Przyjąłem Twoje zdanie w temacie i na tym zakończę.

      Pozdrawiam.

  52. Ale w czym problem? W Alior Banku można założyć konto nie będąc fizycznie w banku, wystarczy wejść na stronę zarejestrować się, wykonać przelew z nr pesel na 1 gr na konto wskazane w @ i macie konto w alior banku. Miałem podobną sytuacje byłem za granica i musiałem otworzyć konto walutowe, przelew na 1gr z nr pesel w tytule i konto otwarte (dużo walut mają do wyboru). W innych bankach musiałbym być fizycznie w Polsce aby otworzyć. Widocznie Pani z banku brakowało do “targetu” i dlatego tak namawiała do zalogowania się. I żeby nie było nie jestem pracownikiem AB ;)

  53. Wszyscy się czepiacie. To takie bankowe B2B, takie niewinne. :)
    Właściwa treść artykułu to komentarze, dzięki wszystkim zaangażowanym, bardzo ciekawe i w sumie frapujące. Sam dokładnie takich doświadczeń nie mam ale różne radości z podawaniem danych to faktycznie plaga.

  54. Pewnie niczego nie weryfikują np. czy na stacji został zainstalowany keyloger bo specjalistyczne ekspertyzy wykazały niewielkie ryzyko wycieku danych z ich banku ;)

  55. To też nie jest dobry sposób. Zakładając, że atakujący przejął kontrolę nad numerem telefonu ofiary i złożył duży przelew i podczas rozmowy odpowie tak jak autor, że nie poda danych ale potwierdza to bank nie powinien puścić takiego przelewu. Powinna być obustronna weryfikacja.

  56. Czy takie działanie które spokojnie można podciągnąć pod socjotechniczne wyciąganie danych jest zgodne z prawem?

  57. Prawdę mówiąc, ciekawi mnie, czy jest szansa, żeby siadając przy takim komputerze wejść na podstawioną stronę (np. wpisując allor.pl wielkimi literami) i wrzucić im jakiś zlosliwy kod. Mam nadzieje, ze o tym pomysleli.

    A strata wizerunkowa (kolejna!) jest spora i moim zdaniem – powinni troszke pokombinowac jak zmienic swoj wizerunek.

  58. Miałem dokładnie tak sam sytuację ostatnio w banku Milenium.

  59. Dokładnie taka sama sytuacja miała miejsce w Credit Agricole, pracownica poprosiła o wyciąg bankowy z ING za 6 ostatnich miesięcy, dając do dyspozycji klawiaturę i myszkę, jednak zabezpieczenia systemu nie pozwoliły na zapisanie pliku na dysku i ostatecznie wyciąg został dosłany pocztą.

  60. Tylko jedno pytanie mam. Czy kiedykolwiek komuś przez to że zalogował się na komputerze w banku i wydrukował potwierdzenia wpływów stała się jakaś zła rzecz?
    Bo nie słyszałem jeszcze o takim przypadku.

  61. SKANDALICZNE i prawdopodobnie NIEZGODNE Z PRAWEM zachowanie banku. Okolo roku 2003 bylem dwa lata posiadaczem konta w mBanku i postanowilem zaaplikowac o konto i zwiazana z nim karte kredytowa o najnizszym zreszta limicie w banku Nordea (chodzily bowiem plotki ze ta karte akceptuje niedostepny wtedy w Polsce Paypal). mBank byl nadal wzgledna nowoscia, a sama idea banku internetowego nie posiadajacego oddzialow byla szokujaca. Pracownik Nordei oswiadczyl ze bede musial przyniesc wydruk operacji z posiadanego konta. Wzruszylem ramionami, i odparlem ze OK, wezme i wydrukuje w domu co trzeba. Pracownik banku zbladl, w ogole zaniemowil, ze jak to, i zaczal rzadac oficjalnych wydrukow z placowki banku, a przynajmniej potwierdzonych przez dyrektora oddzialu pieczatkami itd itp. Wysmialem go mowiac, ze zgodnie z polskim prawem moj “domowy” wydruk ma taka sama wartosc prawna jak “oficjalny” z pieczatka. Pienil sie ale niestety dla niego okazalo sie ze MIALEM RACJE. Falszerstwo to falszerstwo, a wydruk to wydruk. Czy od 2003 az tak zmienily sie przepisy w Polsce?

  62. wstyd mi za ten bank

  63. Toście się obudzili… Alior stosuje tę metodę od początku swojego istnienia tj. od 2008 r. było wtedy trochę o tym w prasie. Ja w 2009 r. wnioskując o kredyt dostałem wybór – albo przynoszę zaświadczenie o zarobkach, albo loguję się u nich do innego banku i pokazuję wpływ wynagrodzenia.

  64. To samo w OpenFinance, chcieli abym się zalogował i pokazał konto a wydrukują sobie co tam będzie im potrzebne. Wyszedłem.

    • Szanowny Panie,

      bardzo serdecznie proszę o zgłoszenie tego faktu, dzwoniąc pod bezpłatny numer infolinii 801 600 200.

      Pozdrawiam, Piotr Szymański
      Online Ekspert Open Finance

    • widzę że wewnętrzne procedury swoje, a “public ralations” swoje. szkoda słów.

    • Logowanie się w Aliorze to mały pikuś w porównaniu z żądaniem podania loginu i hasła do konta internetowego co sygnalizuje w/w link oraz informacja np. na stronie:
      http://www.bankier.pl/wiadomosc/Kredyt-za-login-i-haslo-Nie-podawaj-3164953.html
      Dziwię się BARDZO, że KNF tylko odradza ludziom podawanie hasła – takiemu bankowi który żąda loginu i hasła powinien wlepić solidną karę za nadużycie swojej pozycji wobec klienta, który przyszedł po kredyt.
      Może ktoś poda o jaki bank w tym przypadku chodzi – warto wiedzieć!

  65. Wystarczy mieć w banku hasło maskowane.
    Albo zmienić bank.
    zrjn.

  66. Znalazłem się kilka tygodni temu w bardzo podobnej sytuacji, z tym że w mBanku. Mimo dużych obaw zalogowałem się na komuterze firmowym/pracowniczym pracownika banku bo bardzo zależało mi na załatwieniu sprawy w danym momencie. Jednak po powrocie do domu zmieniłem hasło do banku dla własnego spokoju. Oczywiście, w tym czasie możnabyło przejrzeć całą zawarotść konta w zdłuż i w wszerz wielokrotnie, ale fakt, niesmak został spory.

  67. Ostatnio byłam spytać o kreyd firmowy. Doradczyni zalogowała się na moje konto swoim hasłem i pokazywała mi różne symulacje. Czy to źle, że wszysto odbywało się w niewspieranym już podobno exporerze?

  68. Bank jest instytucją zaufania publicznego. Nie możemy traktować aplikacji , urządzeń banku jako mniej bezpieczne niż nasze…takie podejście klienta to zwykle pajacowanie a nawet uznałbym, że jeżeli to taki wielki problem to znaczy, że klient ma coś za uszami.

Odpowiadasz na komentarz Chaos

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: