17:46
9/8/2022

Przejęcie czyjegoś Profilu Zaufanego nie jest tak łatwe jak rok temu. To dobra wiadomość. Niestety, jeśli ktoś padł ofiarą tego przestępstwa wcześniej, to wciąż będzie zmagać się z jego skutkami…

Uwaga! Ten artykuł będzie dłuższy. Ale warto doczytać go do końca, zwłaszcza jeśli lubicie historię obfitą w opary biurokracji wymieszanej z absurdem, bystrych Czytelników Niebezpiecznika, którzy instrumentalizują prokuraturę i rozwiązują samodzielnie swoją sprawę oraz pracowników poczty, którzy nic nie robią i nic nie można im zrobić :)

Profil Zaufany Profil Zaufany

Przejeli mu Profil Zaufany

Najpierw wprowadzenie w bagno które mamy (mieliśmy?) jeśli chodzi o przejmowanie cudzych Profili Zaufanych. Rok temu pisaliśmy w Niebezpieczniku o przejmowaniu Profili Zaufanych. Nie było to przestępstwo częste, ale skutki dla ofiar były właściwie katastrofalne. Profil Zaufany daje przecież dostęp do danych z rejestru PESEL, danych z rejestru Dowodów Osobistych, punktów karnych, danych zdrowotnych i innych. Pozwala wysyłać do urzędów wnioski w imieniu danej osoby. Nieautoryzowany dostęp do czyjegoś PZ to w zasadzie taki cyfrowy Game Over dla poszkodowanego.

Wydaje się, że PZ powinien być chroniony szczególnie starannie i od początku projektowany z myślą o bezpieczeństwie. Niestety, przez całe lata można było wskazywać pozornie drobne niedoróbki takie jak możliwość nieautoryzowanej zmiany metody autoryzacji, możliwość podrobienia podpisu ePUAP, ujawnianie numeru PESEL użytkownika PZ, niedociągnięcia w 2FA albo brak weryfikacji e-maila. To wszystko łączyło się z niedoróbkami w innych rządowych serwisach, co z kolei pozwalało np. na wyłudzanie pożyczek z “Tarczy” albo dostęp do niejawnych danych przedsiębiorców (to tylko niektóre przykłady).

Owszem, te problemy z czasem usuwano. Ale zawsze mieliśmy wrażenie, że dzieje się to jakoś tak opieszale, że nie jest to priorytetem.

Historia naszych dwóch Czytelników z Pocztą Polską w tle

W roku 2020 opisaliśmy przypadek Kajetana, którego Profil Zaufany został przejęty przez platformę Envelo. Oszust wyrobił sobie konto na Envelo, poszedł na pocztę z fałszywym dowodem, potwierdził konto i użył go do zmiany metody autoryzacji do Profilu Zaufanego Kajetana (na logowanie przez Envelo). Potem oszust wziął na dane Kajetana kredyt w Alior Banku i nie przeszkodził mu w tym fakt, że Kajetan miał już konto w Aliorze a bank nie wykrył fraudu, choć oszust podał we wniosku inne dane kontaktowe.

Przypadek Kajetana nie był jedynym tego rodzaju. Później zgłosił się do nas Radomir, który padł ofiarą bardzo podobnego wyłudzenia. Oszust założył w jego imieniu profil na Envelo w maju 2021 roku (ta data jest dość istotna, zapamiętajcie ją). Potem podobnie jak u Kajetana — 9 prób wyłudzeń, w tym udane zakupy ratalne w Aliorze i wyłudzenie w Allegro/BNP Paribas oraz 3 chwilówki.

Sprawa “profilu nieprawidłowo zweryfikowanego w RDO” (?!)

Dalsza część artykułu dotyczy właśnie przypadku Radomira, bo zaczęła być ona wybitnie ciekawa, kiedy sprawą zajęła się prokuratura. Prokuratura poprosiła o wyjaśnienia Pocztę Polską. A poczta przesłała do prokuratury wyjaśnienia, w których przyznała się do błędu swojego pracownika.

Z wyjaśnień Poczty wynikało, że przy zakładaniu konta Envelo klient najpierw sam podaje swoje dane na koncie, a potem udaje się na pocztę gdzie okazuje dowód osobisty. Następnie pracownik poczty sprawdza dane z dowodu klienta, uzupełnia dane z dowodu w aplikacji Back Office i wtedy następuje weryfikacja tych danych w Rejestrze Dowodów Osobistych (RDO). Radomir pokazał nam dokument z wyjaśnieniami Poczty Polskiej (ale z pewnych względów nie chcemy go, przynajmniej dziś, tutaj publikować).

Radomir po zapoznaniu się z tymi wyjaśnieniami trochę się zdziwił, bo wcześniej czytał w Niebezpieczniku, że przy zakładaniu Profilu Zaufanego na poczcie nie ma żadnej weryfikacji w RDO. Rzeczywiście pisaliśmy o braku tej weryfikacji w roku 2020. Czyżby coś się zmieniło i weryfikacja została z wprowadzona, choć w przypadku Radomira …nie zadziałała.

„Profil został nieprawidłowo zweryfikowany w systemie RDO przez pracownika Poczty Polskiej, gdzie na złożonym wniosku podano nr dowodu osobistego XXXXXXXXX który nigdy nie został wydany”.

Postanowiliśmy zapytać Pocztę Polską od kiedy dokładnie jest ta weryfikacja w RDO? Jak przebiega? I jak, do licha, pracownik mógł coś “nieprawidłowo zweryfikować”?

Poczta Polska Usługi Cyfrowe: “nie powiemy od kiedy weryfikujemy”

Rzecznik Prasowy Envelo (Poczta Polska Usługi Cyfrowe Sp. z o.o.) pani Iwona Kostka-Kwiatkowska, przesłała nam następującą odpowiedź.

(…) możemy potwierdzić, że przekazywane przez użytkownika dane są weryfikowane w Rejestrze Dowodów Osobistych. Z oczywistych powodów nie możemy podać Panu Redaktorowi szczegółów procesu weryfikacji, jednakże informacje  dostępne publicznie  w tym zakresie znajdują się w Regulaminie korzystania ze skrzynki Envelo i niektórych innych naszych usług. Wprowadziliśmy i stale wprowadzamy szereg udoskonaleń, które znacząco podnoszą poziom bezpieczeństwa świadczonych przez nas usług. Od sierpnia 2021 roku Envelo nie odnotowało żadnych zgłoszeń związanych z nadużyciami dotyczącymi Profilu Zaufanego.

Musimy przyznać, że my również nie słyszeliśmy o żadnym przejęciu Profilu Zaufanego przez Envelo po sierpniu 2021 (to nie oznacza, że nie udało się tego zrobić innymi metodami, ale o tym później). To pozytywna informacja. Jednak Poczta Polska Usługi Cyfrowe nie była chętna, aby przekazać nam dodatkowe informacje w tej sprawie.

No cóż, jeśli listonosz nie przyjdzie do skrzynki, to skrzynka przyjdzie do listonosza. Czy coś. W każdym razie, postanowiliśmy o sprawę odpytać KPRM. I tutaj – musimy przyznać – konkretnie i merytorycznie odpisała nam Monika Dębkowska z wydziału cyfryzacji KPRM (której przesłaliśmy dokładnie te same pytania co Poczcie Polskiej).

KPRM: “weryfikację w RDO wprowadzono w sierpniu 2021”

Pani Dębkowska przede wszystkim wyjaśniła, że weryfikacja w RDO następuje tylko na pierwszym etapie, czyli wtedy, gdy klient Poczty Polskiej idzie do placówki “potwierdzić” swoje konto Envelo. Potem, kiedy ten sam klient tworzy Profil Zaufany za pośrednictwem Envelo, weryfikacji w RDO już nie ma (podobnie zresztą jest z bankami – weryfikowani jesteśmy na etapie zawierania umowy z bankiem).

dane weryfikowane w trybie ograniczonej teletransmisji danych o którym mowa w art. 68 ustawy o dowodach osobistych są określone w tych przepisach (art. 68 ust. 2) – porównaniu podlegają:

  1. imię (imiona);
  2. nazwisko;
  3. numer PESEL;
  4. seria i numer dowodu osobistego;
  5. data wydania dowodu osobistego;
  6. termin ważności dowodu osobistego.

Oznacza to, że w trybie ograniczonej teletransmisji danych pracownicy poczty nie „widzą” danych z RDO tylko uzyskują informację o zgodności weryfikowanych danych, bądź nie.

Gdybyście chcieli wiedzieć – szczegóły dotyczące przepisów w tym zakresie znajdziecie w art. 65-71 Ustawy o dowodach osobistych. Niestety, o tym jakie fraudy się zdarzały nigdzie nie przeczytacie, bo “wszelkie zgłoszone lub wykryte incydenty bezpieczeństwa w systemie profilu zaufanego są w KPRM rejestrowane i analizowane. Jednak z uwagi na kwestie bezpieczeństwa nie są one nigdzie publikowane”.

Kto umożliwił oskubanie Radomira?

Wróćmy teraz do przypadku Radomira. Oszust podszył się pod niego i założył konto na Envelo w maju 2021. Z rozmów z rzeczniczkami wiemy jednak, że weryfikację w RDO wprowadzono w sierpniu 2021.

Wygląda więc na to, że Poczta Polska wytłumaczyła się prokuraturze błędem pracownika przy obsłudze RDO, ale …weryfikacji w RDO ten pracownik nie miał w ogóle możliwości wykonać. Niezbyt rzeczowa ta odpowiedź poczty na pismo prokuratury…

Z kronikarskiego obowiązku, żeby nikt nie zarzucił nam, że pastwimy się nad Pocztą Polską, a przecież bankowymi integracjami z PZ też wiele złego uczyniono, to proszę bardzo. Sprawdziliśmy czy coś się w bankach zmieniło od 2020 roku, kiedy to procedura przejęcia PZ trwała 2-3 minuty i co najważniejsze nie wymagała żadnej autoryzacji starą metodą logowania. Wystarczyło by komuś, kto logował się do Profilu Zaufanego przez bank “A”, wejść na konto w banku “B” i skorzystać z opcji rejestracji PZ przez ten bank. Po chwili oszust miał dostęp do PZ ofiary. Śladem po tym ataku był tylko e-mail i SMS, ale nie było żadnej autoryzacji starą metodą.Jeszcze w roku 2021 wydział cyfryzacji KPRM twierdził, że kiedyś to zmieni, ale nie wie kiedy. Co ciekawe, jeden z naszych redaktorów ma jeszcze Profil Zaufany, do którego może się logować przez dwa banki, ale te metody logowania były ustanowione rok temu.

Postanowiliśmy sprawdzić, czy coś się zmieniło. W dniu 3 sierpnia 2022r. wykonaliśmy takie działania na koncie redaktora:

  • unieważnienie Profilu Zaufanego i upewnienie się, że nie ma możliwości logowania do tego Profilu.
  • utworzenie nowego Profilu Zaufanego przez bank “A” (nieistotne jaki),
  • zalogowanie się do banku “B” i skorzystanie z opcji utworzenia PZ przez ten bank,

I tu niespodzianka — redaktor widzi komunikat: “Coś poszło nie tak”. A potem komunikat o tym, że zgłoszenie zostało wysłane. A po kilku godzinach informację w rodzaju: “Używasz Profilu Zaufanego, który nie został założony w [nazwa banku “B”].

To samo przetestowaliśmy jeszcze 2 razy w różnych parach banków. Nie udało się zmienić metody autoryzacji z banku “A” na bank “B” i bardzo dobrze. Ale na powiązane z profilami skrzynki mailowe czy numery SMS dalej nie otrzymaliśmy żadnych komunikatów o próbach zmiany metody autoryzacji.

Dla ostatecznej pewności wysłaliśmy pytania do wydziału cyfryzacji KPRM. Odpowiedzi znów udzieliła nam pani Monika Dębkowska.

Wprowadziliśmy wiele zmian poprawiających bezpieczeństwo zakładania profilu zaufanego. Jedną z nich jest zmiana sposobu integracji banków. Obecnie, zdecydowana większość banków nie ma możliwości założenia PZ z poziomu bankowości elektronicznej (czyli w systemie banku), a przede wszystkim „przejęcia”, „nadpisania” PZ bankiem B banku A. Użytkownik, który chce zmienić PZ z banku A na bank B (lub odwrotnie), musi zalogować się danymi banku A do PZ i skorzystać z opcji „Zmień dostawcę tożsamości” , gdzie po wyborze banku B, autoryzuje się tym bankiem. Jest to jedyna ścieżka zmiany banku z A na B. Oznacza to, że użytkownik musi posiadać dostępy do logowania do bankowości w banku A i w banku B. Opisany przez Pana przypadek, zmiany banku z poziomu bankowości jest jeszcze dostępny w kilku bankach, ale są one na etapie zmiany integracji. Planujemy, aby do końca I kwartału 2023, wszystkie banki dokonały zmian w sposobie integracji. Dodatkowo, w przypadku kiedy użytkownik po zalogowaniu do systemu PZ chce zmienić czynnik uwierzytelnienia jakim jest numer telefonu, wprowadziliśmy dodatkową autoryzację operacji, polegającą na wprowadzeniu kodu autoryzacyjnego wysłanego na stary numer telefonu, a następnie kodu wysłanego na nowy numer. W przypadku kiedy PZ jest powiązany z bankiem A, operacja ta wymaga jeszcze dodatkowo autoryzacji w bankowości A.

Jest więc bezpieczniej, ale czy to powód aby ten artykuł zakończyć happy endem? Oczywiście że nie :)

Zazwyczaj w Niebezpieczniku uwypuklamy problemy, dziury, katastrofy. Tym razem artykuł nie dotyczy pogorszenia a polepszenia mechanizmu, na którym wszyscy musimy polegać. To dobrze, że bezpieczeństwo Profilu Zaufanego wyraźnie wzrosło. Zarówno po stronie integracji z Bankami jak i z Envelo. Weryfikacja w RDO sprawia, że na poczcie oszust nie może już posłużyć byle jaką podróbką dowodu osobistego z dowolnym, nieistniejącym numerem dowodu. To już coś. Uporządkowanie logowania przez banki to też duży plus. A teraz przejdźmy do pozostałych minusów.

Szkoda, że tyle czasu zajęło wprowadzenie tych zmian. I szkoda, że proces zakładania i potwierdzania PZ od początku nie został poprawnie zaprojektowany. Wtedy można by było uniknąć takich sytuacji jak te Radomira czy Kajetana i zapewne dziesiątek innych okradzionych w ten sposób Polaków.

A wracając do Radomira, to zacytujmy fragment jego e-maila:

Sprawa ciągnęła się w upierdliwy sposób – generalnie wszystko ustalałem sam, a tam, gdzie powoływanie się na RODO nie wystarczało (typu serwis Allegro albo sieci GSM) wnioskowałem do prokuratury o uchylenie tajemnicy i zażądanie od podmiotu X informacji Y. Sprawa ciągnęła się ponad rok i została zamknięta z woli prokurator, która po prostu chciała “żeby w papierach się zgadzało”. Z pośpiechu chyba nawet nie przesłuchali pracownicy poczty, która niby źle zweryfikowała w RDO dowód okazany przez oszusta (…).

Z rzeczy trudnych dla mnie do pojęcia było ukrywanie przede mną informacji z powodu tajemnicy telekomunikacyjnej: oszust posługiwał się SIMką z Polkomtela założoną na słupa (z moich ustaleń z Facebooka wynika, że słup zgubił dokumenty jakieś 3 lata temu, potwierdzają to policyjne kartoteki), Polkomtel przesłał prokuraturze zapis aktywności z SIMki w postaci płyty CD (…) Po jakimś czasie zażądałem od prokuratury, żeby ustalili IMEI telefonu oszusta i wystąpili do operatorów GSM o to z jakimi SIMkam był on parowany. Operatorzy tym razem zwrócili wydruki, do których miałem wgląd bo stanowiły część akt, które mogłem fotografować. Z racji śmiesznego zakresu dat wnioskowanego przez prokuraturę miałem tam część zapisu przebiegu [oszustwa], a także zapis całego przekrętu na kolejną ofiarę. I tu ustaliłem 3 kolejne parabanki z którymi oszust się kontaktował podając się za mnie (to potwierdziło słabą analizę wcześniejszych danych przez policję).

Ciekawostka: policja i prokuratura nie próbowały ustalać na kogo był założony kolejny profil zaufany zakładany z tego samego IMEIa na kolejnej SIMce (tym razem z Play) przez tego samego oszusta. Co do samego orania skutków, to rok temu występowałem do wszystkich (fizycznych i wirtualnych) operatorów GSM z zapytaniem o to czy jestem stroną umowy i czy jest zarejestrowana na mnie SIMka. Nie było. Procedura ustalania rachunków bankowych też niczego nie zwróciła.

W toku postępowania ustaliłem łącznie 5 udzielonych pożyczek i zakupów ratalnych (2 banki i 3 parabanki – łączna kwota około 15 tysięcy złotych) oraz znalazłem 6 kolejnych parabanków, w których oszust zakładał konta, ale które nie udzieliły pożyczki. Pięć pierwszych podmiotów zostało z nazwy wymienionych w umorzeniu sprawy, a więc musieliby być niespełna rozumu, aby próbować ze mnie ściągać pieniądze, ale na wszelki wypadek do wszystkich 11 podmiotów wysłałem listem poleconym żądanie wydania oświadczenia o tym, że nie jestem posiadaczem kredytu ani zadłużenia z jakiegokolwiek tytułu. Domagałem się usunięcia wpisów z BIK, BIG i KRD. Dodatkowo żądałem też usunięcia moich danych osobowych z ich baz, bo co do zasady nie wyrażałem zgody na ich przetwarzanie. Do Getin banku, w którym oszust założył konto na mnie, wystosowałem żądanie wystawienia zaświadczenia, że nie jestem stroną żadnej umowy oraz nie jestem posiadaczem żadnego konta. (…)

Od znajomej pracownicy policji uzyskałem informacje, że policja wszystkie tego typu sprawy umarza, a pożyczkodawcy mają to wkalkulowane w koszta lub ubezpieczenia i tyle. Jednakże wolę mieć od każdego pożyczkodawcy pisemne oświadczenie i mieć jednoznaczną sytuację.

Co ciekawe oszust ustalał dane dowodu nie klikając tę opcję dowodów osobistych leżącą na wierzchu po zalogowaniu się do profilu zaufanego, a występował o wgląd do bazy PESEL, a więc poza danymi dowodów osobistych mógł pobrać (i zapewne pobrał) dane prawa jazdy i paszportu. Za problem uważam potencjalną wymianę prawa jazdy bo mam dokument bezterminowy (tak, tak wiem, że dzięki ustawie wdrożonej przez PO ten dokument też ma ustawową datę ważności), ale szkoda mi go wymieniać już tutaj i teraz. A samego paszportu z powodów osobistych na razie nawet nie mogę wymienić.

Jeszcze rok temu w Polsce nie istniał żaden system kredytowy dający pożyczki na paszport, wszędzie wymagali dowodu osobistego, a więc zamiast odbierać nowy dowód osobisty z urzędu, od prawie 2 lat posługuję się tylko i wyłącznie paszportem, który planuję unieważnić pod koniec tego roku i wyrobić sobie nowy. W sumie to nowego dowodu nie odbierałem z urzędu, bo ustaliłem że jeżeli dowód nie ma daty odbioru, to BIK go nie akceptuje, a więc z dużym prawdopodobieństwem żadna instytucja bankowa też go nie zaakceptuje w razie powtórki akcji (założenia kolejnego profilu zaufanego przez kolejnego oszusta).

Także doszedłem do wniosku, że najbezpieczniej w Polsce w kontakcie z własnym bankiem jest posługiwać się paszportem, a dowód osobisty jeżeli jest odebrany z urzędu, to najlepiej go zastrzec w systemie bankowym.

Jeśli myślicie, że Radomir jest świadomym i wyjątkowo aktywnym oraz spokojnym człowiekiem, który wie o co pytać, łączy fakty, których nikt w Polsce jeszcze nie połączył i próbuje ograć system dla własnego bezpieczeństwa korzystając z niekompatybilności procedur jednych organizacji z drugimi… to dobrze myślicie. Tak głębokie zrozumienie przez niego tematu pozwoliło mu zadać odpowiednie pytania i uzyskać (rękami prokuratury) materiał dowodowy, przy pomocy którego rozpykał kilka innych wałów, które można by było przypisać sprawcy, który go okradł. Ale jak widać, tylko on jest tym zainteresowany. Niestety…

Ciekawe, czy pozostałe okradzione osoby, które ujawnił Radomir zaakceptowały stratę i nie walczą. A może walczą, ale gdzieś w innej prokuraturze, w obrębie sprawy o innej sygnaturze, która z tą Radomirową nie spotka się nigdy w naturze…

Aktualizacja 26.11.2020

Poprawiliśmy artykuł, bo wcześniej wdarła się do niego pewna nieścisłość. Panią Iwonę Kostkę-Kwiatkowską nazwaliśmy “rzeczniczką PP” co było błędem z naszej strony. Pani Iwona udzieliła nam odpowiedzi jako Rzecznik Prasowy Envelo (Poczta Polska Usługi Cyfrowe Sp. z o.o.). Jest to osobna spółką wchodzącą w skład grupy kapitałowej Poczty Polskiej.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

55 komentarzy

Dodaj komentarz
  1. Sprawdziłem to na swoim koncie i owszem przy próbie zmiany np z PKO BP na Santander wyskoczył błąd I UWAGA!! konto się przeniosło. Aż byłem w szoku, bo jednocześnie na ekranie widzę komunikat błędu, a na tel dostaje sms i email, że konto się powiązało z nowym bankiem! :O
    Nie wiem o co chodzi, czy te banki jeszcze tego nie wdrożyły, ale jak już wyskakuje błąd, że coś się nie udało, to jednocześnie nie powinno się przenieść. Oczywiście po zalogowaniu wszystko zadziałało poprawnie w drugim banku. Później spróbowałem w drugą stronę i też żadnej autoryzacji starą metodą nie było (chociaż w tym wypadku już żadnego błędu nie było).

    Inna sprawa to dalej brakuje kilku rzeczy, tak na szybko wymieniając:
    – w ZUS dalej brak 2FA, brak możliwości wyłączenia logowania samym hasłem. Co z tego, że oferują bezpieczniejsze logowanie profilem zaufanym, jak nie można wyłączyć mniej bezpiecznych opcji… bez sensu
    -brak powiadomień push z profilu zaufanego. Mam aplikację mObywatel, mam włączone powiadomienia push, a o tak ważnej sprawie jak zmiana banku przypisanego do PZ 0 powiadomień push (tylko email+ sms)
    -brak obsługi kluczy U2F
    -nie w każdym miejscu weryfikują emaila przy zmianie. Nie proszą o kod, ani ze starego ani z nowego emaila :( Ostatnio emaila do PZ zmieniłem i w jednym miejscu musiałem podać kod z nowego e-maila, a w innym wystarczyło emaila wpisać i tyle.

    • ten cały system PZ ma problem już na etapie konstruowania protokołu, i właśnie dlatego jest potrzeba ponownej integracji. to są typowo szkolne projekty projektowe, które są wręcz niedopuszczalne.

      Bank czy jakakolwiek instytucja powinna mieć dwa statusy dostępu do PZ
      1. Wyłącznie weryfikacja tożsamości
      2. Weryfikacja tożsamości, wraz z częściowym zarządzaniem PZ

      Zmiana metody/podmiotu autentykacji powinna być dla instytucji dwuetapowa:
      1. Żądanie zmiany z terminem ważności żądania
      2. Potwierdzenie zmiany, w co wlicza się też odmowa zmiany

      I wtedy całość procesu można zamknąć w samym systemie profilu zaufanego, zaś bank staje się jedynie zdalnym weryfikatorem i autentykatorem.

      Ten system jak widać jest skonstruowany zupełnie inaczej, tak jak pierwsze wersje Outook Exchange, gdzie klinet outlook wysyłał do serwera żądania zwrócenia hasła dla podanego użytkownika, porównywał sobie lokalnie, i do serwera zwracał info “tak, to jestem ja”. sito że hej, i tak wygląda niestety zarządzanie tym całym PZ.

    • “na ekranie widzę komunikat błędu, a na tel dostaje sms i email, że konto się powiązało z nowym bankiem!”
      …Bo to jest komunikat, tylko dla uczciwych ludzi;) Złodziej i tak wie, żeby go ignorować.

  2. Same banki też powinny się nieco poprawić i dodatkowo same powiadamiać o zmianach dotyczących PZ (np utworzenie konta PZ za pomocą danych z banku X, nowe logowanie itd.)

    W przypadku nowego logowania np Santander w ogóle nie wysyła żadnych powiadomień (chyba, że wpiszemy błędne hasło). +jakiś czas temu jak jeszcze korzystałem z PZ utworzonego w Santanderze to zazwyczaj do logowania używali tylko login + hasło bez 2FA, a raz na x logowań prosili o autoryzacje. (nigdy nie dodaje przeglądarek do zaufanych + z bankowości zawsze korzystam z karty prywatnej).

    Za to już PKO BP wysyła zawsze powiadomienia email o logowaniu do PZ + ZAWSZE wymagają 2FA. Za to w PKO wkurza mnie, że przy logowaniu nie proszą o PIN, wystarczy tylko w aplikacji kliknąć zezwalam. Dopiero przy autoryzacji operacji proszą o PIN

  3. Ile jeszcze osób musi ucierpieć zanim doczekamy się opcji włączenia credit freeze i obowiązku weryfikacji tego statusu przy każdej umowie pożyczki (nawet między osobami fizycznymi), kredytu lub sprzedaży ratalnej?

    • Zastanawiałem się nad tym nie raz. Wychodzi mi, że zbyt wielu ważniakom (albo ważnym firmom, ale chyba raczej konkretnym typkom mającym w nich swoje interesy) musi się opłacać by tego credit freeza nie było, więc pomysł w ogóle nie wchodzi pod dyskusję. Więc postawiłbym pytanie bardziej, jak to zrobić, by prawa normalnego człowieka do ochrony przed standardowymi oszustami były w ogóle uwzględniane przez polityków.

    • Nie wazne czy to twoj kredyt, czy cudzy – wazne ze strony systemu czy jestes umoczony. Bo o to chodzi: o dobicie Kowalskich pod korek. Im wyzsze zadluzenie spoleczenstwa, tym… no kto zgadnie?.. wyzsza wartosc udzialow banku w posiadaniu aktywow i pasywow Kowalskich. Idealem jest, gdzie banki posiadaja 100% wartosci panstwa, bo w tym momencie to one sa panstwem. To bandyckie towarzystwo dazy do tego celu z uporem od lat. W USA juz im sie udalo: dlug publiczny jest wyzszy od produktu krajowego brutto – walniecie w 2008-2010 i szopka covidowa doprowadzily do zadluzenia na poziomie 130%. Tak, 130% – to nie pomylka. Pierwsze panstwo wirtualne w historii. Jednak w pewnym momencie trzeba utrwalic zysk, wiec co sie robi, aby dalej drenowac kieszenie pospolstwa? Ano wywoluje globalna wojne, szanowni panstwo. Juz trzy razy ten manewr wykonano: woja domowa w USA, IWS i IIWS – za kazdym razem banki odniosly sukces! Serio. To wszystko swietnie widac na wykresach. Istna schizofrenia, a glupawe normy jak zwykle niczego nie rozumieja. Ktos powie: ale kogo obchodzi jeden Smith? Jeden faktycznie nie, ale kilkaset milionow juz tak.

    • @p0k3m0n

      Myślę nad tym co napisałeś i generalnie bym się z tym zgodził. Tylko jeszcze dodałbym drugi aspekt, tzn działanie państw/a polegające na tym by zebrać od człowieka jak najwięcej danin, po czym wydzielać mu kieszonkowe na przeżycie. I te dwa mechanizmy bywają powiązane. Znaczy będąc u podstawy tych dwóch piramid mamy prze… yyy… teges.

    • @stukot

      To chodzi o udzielanie kredytów na akord. Jak będą ograniczenia, wymagania dokładniejszej weryfikacji, to udzielonych pożyczek będzie mniej i plan nie będzie wykonany, kierownik będzxie się musiał tłumaczyć przed dyrektorem a dyrektor przed oberdyrektorem itd. A tak najwyżej jakiś frajer się będzie pałował po sądach i udowadniał ze nie jest ufoludkiem. Przecież w sądzie będzie mu bardzo trudno udowaodnić brak należytej staranności, a i tak mamy lepszych prawników.

  4. Pan “Radomir” całkiem mocno zna procedury, czyżby był prawnikiem, albo pracownikiem sądownictwa, ewentualnie policji – być może byłym? Zazdroszczę oczywiście, bo próżno szukać takich informacji na sieci…

    • Nie trzeba być ze służb, czy z “obszaru prawa”. Wystarczy pracować na co dzień z PZ. Generalnie temat ładnie rozklepany i gratki dla Radomira.
      Mi już się odechciewa z systemem walczyć, bo cały system ma na nas wywalone jak coś jest “nie halo”.
      Ja już się boksowałem z UODO, policją, US, ZUS, prokuraturą. Za każdym razem jak wskazywałem nieprawidłowości funkcjonowania Firm, instytucji, urzędów to mieli to w głębokiej d…

    • @slajerski
      Załóż stronę www/profil na FB ze wszystkimi takimi tematami i wysyłaj linki z opisami do wszystkich polityków i organizacji watchdog. Jak się zrobi szum to i priorytety się zmienią… ;))

  5. I tutaj, drogi Niebezpieczniku, otwiera się dla Was żyła złota. Powinniście zaproponować komercyjnie wykonanie takiego śledztwa i zabezpieczenia interesów okradzionego, połączone od razu z pomocą prawną sądowego wyciągnięcia kosztów tej operacji od winnego zaniedbania, czyli w tym przypadku Poczty Polskiej.

    Szacun dla Radomira, że udało mu się przez to wszystko przejść. Ciekawe, ile czasu na to poświęcił.

  6. A tak w skrócie ? Bo nie chce mi sie czytac, ale uwielbiam komentowac. Czy chodzi moze o to , ze nigdy nie bylismy i nigdy nie bedziemy bezpieczni ?

    • @Slawoslaw

      Tym razem nie, raczej o to że inteligencją, rekonesansem i wytrwałością można znaleźć działające obejście w niedziałającym systemie :-)

    • W skrocie: ktos podpial swoj telefon na karte SIM na slupa (nikt nie sprawdzil), przejal profil zaufany na Poczcie (tez bez weryfikacji) poszedl do szanownych bankow – pewnie getin, mbank, polbank, city i inny masowy chlam (oczywiscie znow nikt nie sprawdzal), bo kredyt = prowizja i wirtualna kasa wyplynela przylepiajac sie do bohatera opowiadania. Oprocz tego wszyscy maja to w d…, bo tu reka reke myje, a Poczta, banki i operatorzy i zachodnie korpa sa swietymi krowami w Polsce. Po drodze bylo co najmniej kilka punktow kontroli i *wszystkie* zawiodly: panstwowe, prywatne i korporacyjne. I jak tu sie nie smiac z tego panstwa z dykty i papieru?

  7. Bardzo ciekawy artykuł. Jestem pod wrażeniem pracy, którą wykonał Radomir. Przydałby się jeszcze komentarz policji i prokuratury. Może poprosicie obie instytucje aby odniosły się do tej sprawy?

  8. Jakis czas temu pisalem do was emaila z moja sprawa. Tez padłem ofiara wyludzenia, ale knnym mechanizmem. Niestety nic nie odpisaliscie :(

    • Napisz jeszcze raz na redakcja2@nbzp.cz – bo jeśli pisales z tego maila co ten komentarz to nic nie mamy.

  9. Niestety, nasza władza sądownicza i Policja są strukturami, które rozlicza się za wyrabianie norm. Więc najlepiej umorzyć, nie znaleźć i nie móc umieć, bo wtedy sprawa szybko się kończy i można odfajkować kolejną zakończoną sprawę.

    A szukanie powiązań, analiza danych, wiedza merytoryczna, poświęcenie czasu i pracy ludzi – to się po prostu nie kalkuluje.

  10. Wiecie może, albo możecie dopytać, jak tym 11 podmiotom szło wydawanie tego oświadczenia? Radomir musiał użerać się by wyjść na swoje czy jednak było lepiej niż zgaduję?

  11. Dlaczego nie złożyć zażalenia do sądu na postanowienie prokuratury o umorzeniu śledztwa podając jako argument sposoby prowadzenia tej sprawy? Sąd nakaże sprawdzenie faktów, których nie sprawdzono, a dodatkowo warto by zawiadomić o możliwości popełnienia przestępstwa na rzecz innych pokrzywdzonych i też złożyć zażalenie w sytuacji umorzenia postępowania w tamtej sprawie.

    Papierowe państwo .

  12. To niestety dowodzi o tym iż Policja NIE WYKONUJE NALEŻYCIE SWOJEJ PRACY. A przecież składali przysięgę służyć i chronić a tu taka wtopa całego wymiaru sprawiedliwości. Ja nie wiem czy tam najzwyczajniej nie ma ludzi kompetentnych, w sensie w Policji a w Prokuraturze biegłych, czy też to po prostu są sprawy nie na ich głowy i tak jak napisano, aby papiery się zgadzały, umarza się te sprawy, co w efekcie zachęca do OSZUKIWANIA I WYŁUDZANIA W TEN SPOSÓB. Państwo i instytucje Państwowe nie powinny działać a raczej NIE DZIAŁAĆ w ten sposób. Dla mnie osobiście zadziwiające jest jak mając uprawnienia i moc Policji nie są w stanie przeanalizować i zwracać się o logi do kolejnych firm – kiedyś w ten sposób namierzyłem chłopa, który włamał się na mojego gmaila poza PL tylko analizując logi a nie mam uprawnień policji czy prokuratury. Może to najwyższy czas zapytać DLACZEGO TAKIE SPRAWY SĄ UMARZANE i kto ma w tym największą korzyść? Pora to zbadać bo afera podkarpacka została sprytnie zamieciona pod dywan a z niektórych banków spółdzielczych znikało tam 5 mln i nie słyszałem żeby kogoś skazali a aż strach myśleć z kim to się wiąże w tym kraju. Śledzenie z uprawnieniami Policji nie może być aż tak trudne zwłaszcza jak tu pokazuje przykład, obywatel jest to w stanie zrobić to lepiej niż Policja z Prokuraturą razem wzięci…(kiepski daje to obraz tych organów ścigania) Może Policja powinna poszukać lepszych specjalistów i lepiej im płacić ponieważ oni sami do Policji raczej nie pójdą, może warto samemu coś w tym kierunku zrobić a nie czekać aż skapnie…

    • Sprawa jest bardzo prosta i znana od lat:

      1. Niewystarczająca ilość policjantów do prowadzenia postępowań, jeśli dany funkcjonariusz jednocześnie prowadzi 30-40 i więcej spraw, do tego dyżury zdarzeniowe, do tego wykonywanie czynności procesowych dla innych jednostek z kraju, to nie będzie dyskutował z prokuratorem nadzorującym dane postępowanie jak ten poleci mu je umorzyć, po prostu będzie miał jedną rzecz mniej do roboty.

      2. Statystyka, zarówno Policja jak i prokuratura opierają się na statystyce, w jednej i drugiej instytucji liczy się liczbę spraw w prowadzeniu i liczbę spraw zakończonych w danym okresie i chodzi o to by spraw w prowadzeniu było jak naj mniej, a zakończonych jak najwięcej, co prawda Policję interesują jeszcze sprawy gdzie jest ustalony sprawca, ale nikt nie będzie dyskutował z prokuraturą.

      3. Szkolenia funkcjonariuszy, a raczej ich brak, funkcjonariuszy mających odpowiedznią wiedzę ze świecą szukać, bazuja na doświadczeniach kolegów, w prokuraturze jest podobnie.

  13. a mnie zawsze zadziwia to, że oszust w ciągu kilku chwil bierze kredyt czy raty zupełnie bez problemu, mimo nieposiadania właściwych dokumentów itp.
    a ja raz w życiu chciałem w swoim banku wziąć coś na raty, to formularz wymagał tak szczegółowych danych, że zanim zdołałem go wypełnić się przedawnił… coś tu chyba jest nie tak, nie uważacie? coś się nie spina

    • Przede wszystkim to tego typu przestępcy raczej nie biorą kredytów w bankach a jedynie tzw. chwilówki, które świadczy multum firm w Polsce.

    • Pożyczkę się bierze u znajomego pracownika banku, który dostaje swoją dolę. Tak samo w salonach telekomów dają ajfony na raty słupom. Niby pracownik nie widzi, że menel podpisuje umowę na telefonza 6k w towarzystwie jakiś sebiksów. Niestety, ale bank/telekom musiałby sam założyć sprawę agy ścigać takich kolesi a to niedobra dla interesów jest o tym mówić, więc sprawy zmiata się pod dywan.i takie gnojki są praktycznie bezkarne

  14. Drogi Niebezpieczniku, zadam dość ogólne pytanie. Czemu poza waszą redakcją, nikt nie chce podjąć tematu w mediach innych niż kierunkowe (fachowe)? Temat niewygodny dla systemów państwa, ale może ktoś się jeszcze temu przyjrzy, dziennikarstwo śledcze?

    “Ciekawe, czy pozostałe okradzione osoby, które ujawnił Radomir zaakceptowały stratę i nie walczą. A może walczą, ale gdzieś w innej prokuraturze, w obrębie sprawy o innej sygnaturze, która z tą Radomirową nie spotka się nigdy w naturze…”

    Zakładam, że osoby poszkodowane walczą w mniejszym lub większym stopniu , ale sprawdzane drzwi się im szybko zamyka:(

    • ScamAdviser.com zrobił ankietę wśród 2575 ofiar oszustw z całego świata i okazało się, że 68,8% osób nie próbowało odzyskać utraconych pieniędzy.

      68.8% of Scam Victims Make No Effort to Recover Their Money
      https://www.scamadviser.com/scam-reports/research-reports/4616/688-of-scam-victims-make-no-effort-to-recover-their-money

    • Odpowiedź jest prosta – brak wiedzy prawnej i $$$. Miałem jedną sprawę sądową o niezwróconą kasę, ja pozywałem drugą stronę. Bez pomocy prawnika, nigdy w życiu nie poradziłbym sobie z napisaniem pozwu a co dopiero przestawianiem dowodów czy podważaniem kolejnych, kłamliwych twierdzeń strony pozwanej. Trzeba wiedzieć jak formułować zdania, znać “bełkot prawny”, za taką wiedzę prawnika trzeba też niestety płacić a reprezentowanie nas przez prawnika na rozprawach też kosztuje (Państwo zwraca tylko koszty prawnika z pierwszej rozprawy, później płacisz już sam). Wyrok zapadł na moją korzyść, prawomocny, został wyegzekwowany a po tym fakcie… decyzję uchylono “bo znalazł się sprzeciw pozwanego z błędnym numerem sprawy”. Istny cyrk żeby cofać prawomocny wyrok.

    • @visitor
      Kiedyś mnie oszukali na Allegro. Na wyroku, którego kopię dostałem, było 30 poszkodowanych. Tymczasem, na Allegro posypało się około 200 negatywów. Ludzie woleli wyżywać się w komentach niż pójść na milicję. Skutek: minimalna kara, bo chłopina oszukiwał w dobrej wierze. Nawet z opłat sądowych go zwolnili.

  15. Artykuł super, ale… poprawcie proszę wszystkie błędy ortograficzne i interpunkcyjne, bo pod tym względem to najgorszy artykuł Niebezpiecznika w historii…

  16. I ja mam wierzyć policji i prokuraturze, że w każdej tego typu sprawie, złodziej tak dobrze się pilnował, że nie idzie znaleźć żadnej wpadki w łańcuchu SIM-IMEI-SIM-IMEI-SIM-IMEI…? Że żadna kamera nic nie nagrała podczas zakupu? Pewnie nawet nie próbowali sprawdzić.

  17. O, wreszcie pojawił się tu jakiś ciekawy artykuł – dziękuję!
    Szkoda, że ostatnio tak niewiele się tutaj dzieje.

    • Mamy wakacje :-) Ale zapraszamy wszystkich chętnych do nadsyłania swoich artykułów, nawet zwykłych newsów i poradników. Płacimy prawdziwymi pieniędzmi. Albo szamańskimi bębnami syberyjskimi – co kto woli :)

  18. Radomir różne rzeczy jakimiś pismami ustalał. Zbudował sobie też “bazę” parabanków i operatorów. Wystosowywał żądania, powoływał się na RODO.

    Taki specjalistyczny serwis o bezpieczeństwie, mógłby mieć aktualizowaną “wiki” z przykładami takich pism i innymi konkretami jak żyć. Szkoda, że ta historia to tylko ciekawostka, a nie coś do reużytku.

  19. hmm, ta akcja z nowym, nieaktywnym dowodem jest zacna, czy ja w ogóle potrzebuje dowód? Rozwiązanie z posługiwaniem się tylko paszportem jest ciekawe. Pewnie testowanie tego na sobie skończy się, że nie ma mnie i nic nie załatwię i “co Pan nam zrobi”.

    a tak btw to banki dają kasę wszystkim nie tylko tym co chcą i mogą ale też chorym, biednym, zadłużonym, oszustom itp. to jest dla nich kasa i nie będą się ograniczać bo ktoś tam został oszukany. Jak się dał oszukać niech teraz płaci jak się nie umie wybronić a jak umie to zapłaci ubezpieczyciel.

    trochę straszne

    • Czy można mieć nieodebrany dowód, ale działającego mObywatela?

    • @hoek

      Obstawiałbym że z paszportem da się przetrwać bez odebranego dowodu. W większości systemów polskich jest opcja żeby podać nr paszportu. Z kolei w wielu systemów zagranicznych można posłużyć się prawem jazdy. Ale chętnie bym poczytał wynik takiego eksperymentu.

    • Nie. Jak nie odbierzesz dowodu to mObywatela nie odpalisz.

    • Ja funkcjonowałem parę lat z zastrzeżonym dowodem. Musiałem go zostawić w jednym miejscu, więc natychmiast zastrzegłem. Potem miałem problem jedynie z wzięciem pewnej zabawki na raty w X-komie, musiałem zapłacić gotówką. Do końca ważności dowodu dojechałem z zastrzeżonym dokumentem. Generalnie jest tak że zastrzeżenie w bankach nie ma wpływu na jego status w urzędach państwowych.

  20. Z każdym dniem utwierdzam się w przekonaniu, że system, który dla niepoznaki nazywa się “wymiarem sprawiedliwości” nie broni obywateli przed przestępcami tylko państwo przed obywatelami.

    • Przeciez wlasnie o to chodzi. O obrone rzadzacych przed buntem spleczenstwa.

  21. Kilka słów o Policji i Prokuraturze.
    Każdy musi sam dbać o swoje sprawy, bo ww. instytucje niewiele robią i najchętniej umarzają postępowania.
    Grożono mi śmiercią, zgłosiłem na Policji, kilka osób przesłuchanych i od 1,5 r cisza. Policja zbywa i nie chce udzielić informacji.
    Byłem u Prokuratora, zdziwiony, że po takim czasie nie ma u niego sprawy. Czas na to, aby samemu pilotować tok postępowania i złożyć skargę na bezczynność. Mogę dostać odszkodowanie od państwa.
    Dykta i paździerz, tyle jeśli chodzi o dzisiejsze rządy.

  22. Na moje oko błąd pracownika poczty polegał na tym, że sprawdził dane dowodu na środowisku testowym, które akurat wtedy przyklepywało każde dane.
    Bo jak od sierpnia sprawdzanie działało produkcyjnie, to szkolenia na środowisku testowym w maju mogli już robić.

  23. “Także doszedłem do wniosku, że najbezpieczniej w Polsce w kontakcie z własnym bankiem jest posługiwać się paszportem”

    Radził bym uzyskać pisemne potwierdzenie od banku, że nie będzie robił problemu przy posługiwaniu się paszportem. W teorii nic nie stoi na przeszkodzie, ale praktyka jest już inna.
    Banki lubią traktować swoje regulaminy z wyższym priorytetem niż obowiązujące prawo i np. uznają tylko dowód osobisty jako dokument potwierdzający tożsamość. Dla mnie to duży problem, bo mieszkam za granicą i nie używam dowodu, więc jego nieważność nie przeszkadzała mi zbytnio… ale mBankowi już tak. Uzeralem się z nimi z 2 lata aż zablokowali mi dostęp do środków! Byłem nawet osobiście w oddziale banku i nie uznali ani paszportu ani książeczki wojskowej, kuriozalnie powołując się na ustawę o przeciwdziałaniu terroryzmowi i praniu brudnych pieniędzy… która zresztą wspomina, jak mnie pamięć nie myli, o weryfikacji tożsamości zgodnie z ustawą o dowodach osobistych. Gdy nie odpuszczałem tematu i poprosiłem o rozmowę z kierownikiem, ten stwierdził, że ich regulamin uznaje tylko dowód osobisty. Co jest śmieszne, odblokowano mi konto po okazaniu potwierdzenia złożenia wniosku o dowód osobisty. To tak ku przestrodze.

    • mBank to nie bank, a parabank, wie skad zdziwienie?

  24. Nie jasnej jest wciąż czy PZ można przejąć wyłącznie jeśli został on już raz utworzony czy też oszust może go utworzyć za nas od zera?

    • Dokładnie. Też się nad tym zastanawiałem. I dalej nie wiem, czy jak ktoś już ma profil to taki atak mu nie straszny, czy przeciwnie – może zostać przejęty. I czy jest w stanie jakoś ograniczyć ryzyko. Czyli historia ciekawa, ale brak wniosków. Znaczy wnioski są – że organy śledcze mają wywalone. Ale to wiedzą wszyscy. Dlatego wolałbym poradę jak nie dopuścić do sytuacji, by koniecznym było korzystanie z ich usług.
      Inna sprawa – wspomniano o słupie, który zgubił dokumenty kilka lat temu. I tyle. Ale też brakuje informacji, czy jego dokumenty wykorzystano, bo ich nie zastrzegł, czy ktoś znowu czegoś nie zweryfikował? Dla mnie o tyle istotne, że nie tak dawno mi skradli dokumenty. Szybko je zastrzegłem, ale zastanawiam się, czy nie odbije mi się to i tak czkawką za jakiś czas.

  25. Może się mylę, ale na stronie envelo.pl nie ma żadnej informacji o dwuskładnikowym uwierzytelnieniu. Znalazłem tylko informację, że kod wysłany na numer telefonu jest potrzebny do założenia konta zaufanego i Profilu Zaufanego:

    UWIERZYTELNIENIE KONTA ENVELO DO KONTA ZAUFANEGO I KORZYSTANIE Z PROFILU ZAUFANEGO
    https://www.envelo.pl/wp-content/uploads/2022/01/instrukcja-uwierzytelnienia-konta-envelo.pdf
    →Numer telefonu jest niezbędny dla uwierzytelnienia konta – Klient podczas pierwszego logowania otrzyma kod autoryzacyjny

    Jakim cudem konto bez 2FA daje dostęp do Profilu Zaufanego?

  26. same przypadki…
    poczta wykonuje lewe dokumenty, banki wykonują lewe przelewy, policji znikają dowody przestępstw…

  27. No niestety ja nie jestem taki kumaty jak Radomir i nie połączyłem wystarczająco kropek po przeczytaniu tego artykułu. Mianowicie – nie wiem co w takim układzie posiadacz PZ powinien zrobić. Wyłączyć możliwość logowania przez bank? Czy to kompletnie w tym kontekście nie ma znaczenia, bo jeśliby nie wdrożyli odpowiednich zabezpieczeń to ktoś i tak logując się przez konto bankowe byłby w stanie przejąć PZ? Ja osobiście mam logowanie przez mObywatela, albo przez własne hasło. Natomiast żona – własne hasło i bank.

  28. […] Obawiamy się, że oszuści zrobią więcej np. aby spróbować przejmować profile zaufane, co niestety w przeszłości się zdarzało. Ewentualne luki w takich systemach jak ePUAP jak dotąd nie byłyusuwane szybko. Oby to się […]

  29. mam hasło email nazwa użytkownika pesel czy można ominąć 2FA z telefonu na email?
    do email mam hasło. do gabinet . gov . pl znam hasło i wszystko oprócz nr telefon.
    pisz o zarobek email michalcegielkowski684@gmail.com

Odpowiadasz na komentarz Paweł

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: