11:32
15/7/2022

W ostatnim czasie rynek (nie tylko) finansowy dotyka plaga wszelkiego rodzaju oszustw i scamów. Parę tygodni temu odezwało się do nas XTB, czyli znany w Polsce dom maklerski. By lepiej chronić swoich klientów, pracownicy XTB chcieli sprawdzić, czy to co obserwuje redakcja Niebezpiecznik.pl w tym obszarze pokrywa się z problemami zgłaszanymi przez klientów brokera. Po naszym spotkaniu zgodziliśmy się, że liczba incydentów wzrasta, a cyberprzestępcy są coraz sprytniejsi i modyfikują swoje scenariusze ataków. Dlatego postanowiliśmy, że wspólnie spróbujemy im trochę pokrzyżować plany.

Poniżej publikujemy wywiad z Jakubem Kubackim – członkiem zarządu XTB. Dowiecie się z niego na co zwrócić uwagę w kwestii bezpieczeństwa w świecie finansów. Zarówno z punktu widzenia firm jak i każdego, kto korzysta z usług finansowych online. Liczymy na to, że te rady pozwolą wam lepiej przygotować się na ataki, które na nieszczęście wszystkich, przybierają na sile.

Niebezpiecznik: Zacznijmy od czegoś, co w ostatnich latach rosło szybciej niż inflacja: liczba ataków ransomware’owych. Jako fintech przetwarzacie sporo danych. Jak chronicie się przed atakami ransomware’owych gangów?

Jakub Kubacki: O atakach ransomware jest rzeczywiście głośno w ostatnim czasie – ich odnotowana liczba wzrosła w 2021 roku dwukrotnie, co sprawia, że są to to jedne z największych zagrożeń bezpieczeństwa, z jakimi borykają się firmy na całym świecie. W dodatku światowe dane pokazują, że tego typu atakami są zagrożone praktycznie wszystkie firmy, bez względu na skalę czy rodzaj działalności.

W XTB od lat budujemy platformę, za pomocą której obsługujemy transakcje inwestycyjne klientów. Liczba osób korzystających z naszych usług, zwłaszcza teraz, rośnie – mamy już w tej chwili ponad 500 tysięcy klientów, a tym samym transakcje liczymy w setkach tysięcy. To oczywiście przekłada się na ilość danych, które przechowujemy i przetwarzamy. Dlatego kwestia obrony nie tylko przed atakami ransomware, ale także przeżywającymi ostatnio renesans atakami DDoS jest dla nas kluczowa. Niedostępność naszej infrastruktury oznaczałaby realne straty.

Mamy oczywiście procedury, zarówno własne jak i takie które są wymagane przepisami, bo branża finansowa jest dość ściśle regulowana. Mamy zabezpieczenia sprzętowe. Ale najmocniej stawiamy na nasz zespół i jego edukację, szkolenia, wymianę doświadczeń. W przypadku aktualnych zagrożeń w cyberprzestrzeni istotnym jest, aby trzymać rękę na pulsie. Nikt w branży nie uniknie ataków, dlatego kluczowe jest monitorowanie i szybkie reagowanie. Sprzęt i oprogramowanie to tylko dodatek. Niezbędny, ale nic nie zastąpi czujności. A tę cechę trzeba regularnie pielęgnować.

Ataki ransomware, a zwłaszcza ich ostatnie warianty, kiedy to przestępcy przekupują pracowników aby uruchomili złośliwe oprogramowanie na swoich komputerach, to ataki które są niebezpiecznie blisko innego zagrożenia. Zagrożenia, w którym to nie pracownik, ale kontraktor, np. dostawca CRM wypuszcza złośliwą aktualizację, która też dociera do zaufanego segmentu firmowej sieci. Jak się przed tym zabezpieczacie?

Współpracujemy wyłącznie z renomowanymi dostawcami oprogramowania. To minimalizuje ryzyko takich ataków, choć oczywiście go nie eliminuje. Dlatego dodatkowo wszelkie zmiany systemowe czy aktualizacje są przez nas testowane przed ich wprowadzeniem.

To pomaga także w wykryciu tych aktualizacji, które może nie są groźne, ale powodują różnego rodzaju niestabilności niezwiązane z atakami. Wszyscy znamy historie o aktualizacjach, które przez niezbyt dokładne przetestowanie przez producenta położyły na kilka godzin systemy klientów.

Trzeci popularny atak to DDoS-y, o których już wspomniałeś. Ostatnio, ze względu na wojnę, chętnie stosowane przez osoby, które o bezpieczeństwie nie mają wiele pojęcia. Wchodzą na stronę i tyle. Czy spotkaliście się z próbami takich ataków?

Z oczywistych względów nie chcemy publicznie mówić o takich próbach, czy o tym jak dokładnie sobie z takimi atakami radzimy. Jesteśmy jednak przygotowani również na takie sytuacje, a nasza polityka nakazuje nie negocjować z osobami wysuwającymi różnego rodzaju żądania czy groźby dotyczące takich ataków.

Ataki o których do tej pory rozmawialiśmy to coś, co jest obecne na rynku od lat. Ale wybiegnijmy teraz w przyszłość. Ataki z wykorzystaniem sztucznej inteligencji – deepfake. Często słyszy się o tym głównie w wariancie, kiedy do pracownika dzwoni prezes, a tak naprawdę ktoś, kto za pomocą różnych algorytmów rozmawia z pracownikiem głosem prawie takim samym jak głos prezesa… i namawia do wykonania transakcji finansowej.

Sami nie spotkaliśmy się jeszcze z tego typu atakiem, aczkolwiek mamy świadomość, że wraz z rozwojem technologii audiowizualnych, próby podszywania się pod inną osobę mogą być coraz częściej wykorzystywane nie tylko do różnego rodzaju manipulacji, ale także podczas ataków na firmy finansowe.

Skoro jednak mowa o podszywaniu się pod kogoś innego, to warto wspomnieć tu o innej wersji takiego ataku, z którą najczęściej się spotykamy i która jest coraz częściej obserwowana w sektorze finansowym.

To próby podszycia się przez oszustów pod naszą firmę w trakcie rozmów telefonicznych.

Osoba dzwoniąca do klienta potrafi się przedstawić w pozornie bardzo wiarygodny sposób – podaje nazwę firmy, swoje nazwisko oraz stanowisko. Często korzysta w tym celu z danych prawdziwych pracowników, które wyszukuje np. na portalach społecznościowych. Następnie wciąga nas w rozmowę, w trakcie której próbuje wydobyć od nas poufne informacje, dane osobowe czy dostępowe.

W takich przypadkach klienci powinni zachować szczególną czujność, zwłaszczajeśli odbierają telefon od nieznanej osoby, dzwoniącej z nieznanego numeru telefonu. Pamiętajmy, że prawdziwy konsultant nigdy nie będzie prosił nas o takie dane jak login, hasło czy kody PIN. Jeśli mamy jakiekolwiek wątpliwości dotyczące tego, z kim rozmawiamy, przerwijmy rozmowę i sami skontaktujmy się bezpośrednio z firmą finansową, która rzekomo ma do nas jakąś sprawę.

Jakie jeszcze ataki wymierzone w klientów obserwujecie?

Najczęściej pojawiającym się zagrożeniem są wszelkie próby wykradzenia danych od klientów. Od typowych ataków phishingowych, mających na celu podszycie się pod firmę bądź najbliższe otoczenie klienta, poprzez ataki typu smishing z wykorzystaniem fałszywych wiadomości SMS, czy wspomniany już vishing, czyli próbę pozyskania danych w trakcie rozmowy z oszustem podającym się za pracownika firmy. Nieustannie uczulamy więc klientów, by zwracali uwagę na wszelkie budzące podejrzenia maile, SMSy, nie logowali się nigdzie za pomocą linków w SMSach, a przede wszystkim nie podawali żadnych danych poza oficjalnymi systemami do obsługi.

Zagrożeniem, na które rzadko zwraca się uwagę – a szkoda – jest tzw. shoulder surfing, czyli podpatrzenie danych przez oszusta w trakcie korzystania przez klienta np. z usług online. To zjawisko jest szczególnie niebezpieczne w dobie rosnącej popularności aplikacji na urządzenia mobilne. To bardzo wygodne, kiedy możemy, korzystając ze smartfona, sprawdzić stan konta czy portfel naszych inwestycji w dowolnym miejscu i czasie. Trzeba jednak zachować szczególną ostrożność, robiąc to w miejscach publicznych: w kawiarni czy w autobusie lub metrze. Może się bowiem okazać, że naszym danym finansowym wyświetlanym na ekranie przypatruje się z boku ktoś jeszcze.

Mieliście przykłady, kiedy ktoś o niecnych zamiarach, dane pozyskał właśnie przez takie podglądanie?

Trudno monitorować takie przypadki, bo w przypadku shoulder surfingu klient zazwyczaj w ogóle nie jest świadomy, że ktoś podgląda jego ekran. Oczywiście samym spojrzeniem na monitor naszego laptopa czy ekran telefonu nikt nie wykona żadnej transakcji na naszym rachunku. Ale może w ten sposób pozyskać ważne informacje, które będzie mógł wykorzystać do oszustwa. Wyobraźmy sobie sytuację, kiedy oszust podglądając nasz ekran widzi np. stan rachunku, nasze pozycje inwestycyjne czy numer identyfikacyjny klienta. Później, kontaktuje się z nami, podszywając się pod pracownika firmy i używa tych informacji żeby się “uwiarygodnić”. Trudno nam będzie rozpoznać oszusta, jeśli ten podaje nasze prawdziwe dane. Wiele osób myśli później, że dane zostały w jakiś sposób wykradzione z firmy, gdy tymczasem – przez naszą własną nieostrożność – sami możemy je podać oszustom jak na tacy.

Warto tu więc wspomnieć, że pomimo wszystkich zabezpieczeń, każdy powinien zachować czujność – nie otwierać dokumentów zawierających dane wrażliwe w publicznych miejscach i nie pozostawiać urządzeń bez opieki w miejscach publicznych.

To może na wszelki wypadek, lepiej do spraw finansowych korzystać z osobnego urządzenia? Komputera, który stoi w zaufanym miejscu, w naszym domu a nie smartfona, którego zabieramy ze sobą i którego większość osób niezbyt dobrze zabezpiecza?

Aplikacje mobilne powstały po to, żeby ułatwiać nam dostęp do usług i umożliwić korzystanie z nich w dowolnym miejscu i czasie. W przypadku usług inwestycyjnych ma to szczególne znaczenie. Rynki finansowe są dziś globalne, działają 24 godziny na dobę, szybko reagują na wydarzenia. Dlatego aktywny inwestor chce mieć na bieżąco dostęp do swoich inwestycji.

Jednak to nie same aplikacje ani urządzenia, na których z nich korzystamy, stanowią ryzyko, ale sposób w jaki to robimy. Dlatego absolutną koniecznością jest zabezpieczenie smartfona przynajmniej w zakresie skonfigurowania na nim ekranu blokady za pomocą hasła (im dłuższe tym lepiej) lub biometrii (np. skanu palca). W taki sam sposób można zabezpieczyć dostęp do aplikacji.

Skąd przestępcy mają dane klientów instytucji finansowych? Czy zdobywają je wyłącznie przez złośliwe oprogramowanie, które wykrada dane wprost z przeglądarek użytkowników?

Przestępcy najczęściej korzystają z danych klientów zdobytych za pomocą bezpośrednich ataków o których wspominałem wcześniej. Klient wtedy w pewnym sensie okrada się sam, bo w rozmowie telefonicznej kierowany przez oszusta sam wykonuje operacje na swoim koncie lub umożliwia oszustom zdalny dostęp do swojego urządzenia, uważając, że po drugiej stronie znajduje się zaufany pracownik instytucji finansowej.

Klient może również nie wiedzieć, że na swoim komputerze ma zainstalowany keylogger, który np. wykrada jego hasła oraz inne dane wrażliwe. Sposobów na jego umieszczenie na sprzęcie ofiary jest wiele – nie tylko tzw. cracki czy pirackie oprogramowanie.

Istnieją również exploity w różnego rodzaju oprogramowaniu klienckim, które ułatwiają przestępcom dostanie się do naszego urządzenia bez konieczności instalowania przez nas czegokolwiek. Jednak dostawcy oprogramowania na bieżąco usuwają dziury, które na takie ataki pozwalają, dlatego właśnie tak ważna jest aktualizacja wszystkich urządzeń,produktów oraz usług z których korzystamy.

W tych tematach wiele jeszcze można przekazać rad. Gdzie nasi czytelnicy mogą poczytać więcej o bezpieczeństwie w świecie finansów?

Przede wszystkim zapraszamy na naszą stronę “Bezpieczeństwo w sieci”, gdzie piszemy o zagrożeniach związanych z korzystaniem z usług finansowych świadczonych drogą elektroniczną.

Jeżeli chodzi o bezpieczeństwo trochę bardziej ukierunkowane na świat finansów, to zachęcam do obserwacji działań Komisji Nadzoru Finansowego, która wystartowała również niedawno z własną kampanią pt. Uwaga! Cyberoszust.

Warto też śledzić konto sektorowego zespołu cyberbezpieczeństwa KNF na Twitterze, na którym publikowane są ostrzeżenia przed nowymi rodzajami ataków i cyberzagrożeń i odwiedzać serwisy poświęconych bezpieczeństwu w sieci, takie jak np. Niebezpiecznik.

I po tym miłym akcencie, postawmy kropkę.

Przygotowanie i publikacja tego materiału została sfinansowana przez XTB. XTB jest jednym z największych domów maklerskich w Polsce, który oferuje możliwość inwestowania za pomocą internetowej aplikacji w wiele rodzajów aktywów: akcje spółek notowanych zarówno na GPW jak i giełdach zagranicznych, ETFy, czy instrumenty CFD oparte o surowce, pary walutowe i kryptowaluty. XTB to fintech, którego celem jest ułatwienie klientom zarządzania swoimi inwestycjami, tak by było ono nie tylko możliwie proste, ale jednocześnie bardzo bezpieczne. Firma stawia na stałe podnoszenie świadomości zagrożeń wszystkich zainteresowanych inwestowaniem przez internet, czego wynikiem jest między innymi ta publikacja.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

11 komentarzy

Dodaj komentarz
  1. Ataki z użyciem naturalnej głupoty są najgorsze ;)

  2. Że “zjawisko” się nasila zgoda. I dla finansów Niebezpiecznika to może wydawać się “korzystne”. Warto jednak się zastanowić co/kto jest motorem napędowym tego “zjawiska”. Ja wskazywałbym nie na technologię, ale na postępujące (demokratyczne w sensie wiekszościowym) zidiocenie tzw. klienta-konsumenta. Jeśli ktoś chce jedynie konsumować “zdobycze technologii” bez jej zrozumienia, to będzie ponosił tego konsekwencje. Podobno mamy wolność wyboru, ale nie jesteśmy wolni od konskwencji tych wyborów. Dlatego AI powinno być postzregane jako Adavancing Idiocy. Coś co nazywacie DeepFake jest nie tylko próbą “oszustwa”, ale i bardzo dobrym testem na poziom myślenie i zrozumienia tzw. konsumento-użytkownika. Czy próbować mu w tej sytuacji “pomagać” i jednocześnie “chronić” przed zauważeniem swojej ignorancji i (nie)odpowiedzialności? Tworzyć chroniące go przepisy? Czy raczej potraktować jako osobę odpowiedzialną i suwerenną, która potrafi myśleć i uczyć się? jedno buduje bezradnych, błagających o “ochronę” niewolników konsumentów. Drugie (choć czasem bolesne) odpowiedzialnych, samodzielnych i suwerennych ludzi. Wygląda jednak na to, że demokratyczna (czyli ilościowa, nie jakościowa) większość już wybrała kierunek AI. I dalej go nakręca…

  3. Takie narzekanie na “glupote” klientow mocno czuc finansowcami zapinajacymi ‘pupo’chrony, po tym jak narobili bubu ograniczajac opcje bezpieczenstwa tranzakcji i wlazac do lozka zawsze nieskazitelnej moralnie branzy reklamowej i walczac jak lwy zeby to tak przepchnac w umowie, chociaz powinni robic dokladnie odwrotnie.

    Z wlasnego doswiadczenia z powaznym miedzynarodowym bankiem (przynajmniej na czas zakladania konta):

    Dawno, dawno, temu, kiedy banki byly szanowanymi instytucjami, informacje dotyczace problematycznosci zgod marketingowych nie byly dostepna a “nie wyrazam zgody” czasem nie bylo nawet opcja, przegapilem ze moj bank sobie zaznaczyl przekazywanie informacji reklamodawca – rozszadny czlowiek pomyslalby ale na pewno “nie wszystko wszystkim” a wyglada na to ze tak sobie to wlasnie zintepretowali bo w pewnym momencie zaczalem dostawac reklamy ewidentnie zbudowane tylko i wylacznie na informacjach z banku dotyczacych moich osobistych danych, stanu konta i tranzakcji, wlaczajac w to drobne niezgodnosci z stanem faktycznym i brak jakichkolwiek nawet najbardziej podstawowych informacji jesli nie bylo to cos dostepne dla banku (np. bank widzial ze cos poszlo do posrednika platnosci ale tego sie potem stalo nie byl swiadomy chociaz zazwyczaj zakupy sledzi sie od strony tranzakcji). Zadnych informacji ktore mogly by wycieknac odemnie tez nie mieli.

    TL;DR: W niedlugim czasie po tym jak te reklamy rzucily mi sie w oczy – bylem celem spear phishingu wykorzystujacego informacje ktore widzialem u reklamodawcow (nie zdziwilbym sie gdyby dalo sie je tez bezproblemowo zgarnac z samych reklam, bo kto wysyla/prezentuje reklamy zabezpieczonymi kanalami? przeciez to praktycznie sprzeczne z ich natura :p ). Nie sledzilem tego dokladnie ale ale nie jestem typem osoby ktora zostawila by im cokolwiek ponad absolutme minimum, po zobaczeniu tego typu informacji w de facto spamie.

    • A jak inaczej nazwiesz niż “głupotą” podanie wszystkich danych logowania/danych karty przy akcjach w stylu na olx/allegro/dopłatę? A potem płacz i w majestacie prawa bank ma oddać pieniądze.
      Prywatnie nigdy nie miałem problemu ze zgodami marketingowymi, moje banki umożliwiały zawsze zaznaczenie “nie wyrażam zgody”.

    • @Piotr,
      Co to wogole za argument ze ktos tam (niby) cos podaje? Nagle wolno krasc “bo tam taki jeden spod pcimia dla spadku to wujka zabil”?

      Po pierwsze – celem olbrzymia przewaga ktora rzady obdarzyly lub umozliwily dla instutucji finansowych nie jest motytowane usprawnienie dojenia klientow tylko stworzenie wzglednie bezpiecznego modelu funkcjonowania. A zupelnie czym innym jest atakowanie przypadkowego sprzedawcy ktory zaakceptowal gotowke jesli banknoty sa dobrze zabezpieczone, a informacja o tym jak dokladnie wygladaja prawdziwe i jak nalezy je sprawdzac jest dostepna dla wszystkich i sie nie zmienia tylko dlatego ze nowy kierownik mennicy ma aspiracje i gust podrozniko-awanturnika szlacheckiego pochodzenia ktory spedzil mlodosc explorujac afryke. A czym innym jesli owy egzotyczny kierownik dostaje outlet dla rozwoju swoich pasji, a sama mennica zleca projektowanie i drukowanie banknotow co rusz nowym punktom ksero w przetargach ktorego jedynym kryterium jesc cena…

      Po drugie – nawet jesli podal wszystkie dane, to czy instutucje finansowe nie wymagaja dokladnie tego przy kazdej najdurniejszej okazji? Nie wiem jak jest teraz, ale nie tak dawno temu szanowane instutucje wymagaly* (z gwiazdka) podawania przezemnie wszystkich mozliwych informacji przy wykonywaniu bezpiecznie autoryzowanych przezemnie tranzakcji, i umieszczajac je potem w owej tranzakcji ktora wedrowala przez buk wie ile rąk ktore to dane nie byly nikomu do niczego potrzebne bo o ile znalazly sie w niej 2 dosc dlugie cyfry, tranzakcja przechodzila niezaleznie od nich – zakladam, ze chodzilo o jakies marketingowe profilowanie zachowan czy inne tajne usciski dloni.

      Po trzecie – odnosnie “podaja wszystkie dane logowania” przestepcom… Owszem, wielu ludzi na widok okazji w mozgach wysiadaja korki ale kto ich do tego wytresowal? Czy mieli realna mozliwosc zauwazyc oszustwo? Kto jeszcze nie tak dawno orał im mozgi ta durna “zielona klodeczka” ale kompletnie olał poprawne zabezpieczenie systemu czy stwozenie analogu dedykowanego instytucja finansowym? Rownie dobrze mozesz sprzedawac ludziom drzwi zamykane skobelkiem a potem atakowac ludzi, ze go nie trzymali w miejscu jak wlamywacz sie im wbijal w nocy na chate. Nie wspominajac wciskanie mozliwosci prawnych drastycznie przewyzszajace mozliwosci kompetencyjne osob ktore je dostaja (patrz: kredyty w frankach). Co nastepne, konta maklerskie dla ludzi w spiaczce przecisniete jako rechabilitacja i wielkia bulwersacja jak oszusci sie wbija przez nieznienione po wycieku hasla i narobia debetow?

  4. @Piotr,
    Ps. Akurat w jeszcze tym roku otwieralem nowe konto. Gdy przyszlo co do czego i “zachcialo mi sie” wersji formulaza w ktorym pola marketingowe NIE BYLY JUZ WYDRUKOWANE OD RAZU ZAZNACZONE NA TAK. I drama normalnie jak na filmie przygodowym z lat 80tych, sztuczki psychologiczne i nieciekawe zagrania, brakowalo tylko jeszcze zeby babka z obslugi przywdziala jutowy worek i zaczela sie biczowac, wybierajac ktore z jej dzieci bedzie musialo sprobowac szczescia w dzungli – podczas gdy 5 klucznikow przedzieralo sie przez pulapki w oswietlonych pochodniami podziemiach zeby 10 kluczami otwozyc Wrota Naznaczonej Drukarki i w asyscie makabrycznych krzykow, szumu konflagracji i strzelania biczy wydobywajacych ze z za drugich drzwi do pomieszczenia, wydrukowac caly 1 egzemplarz rzadanej strony, z powrotem naladowac na podajnik ludzkiej skory i przestawic tryb drukowania na krew, zeby pracownik instutucji z ktora drukarka jest dzielona znowu wkurzony nie naparzal waszych wrot rogami bo sie zamki blokuja…

    Takze daj sobie laskawie spokoj z tymi twoimi fantazjami. “Brak problemu z zgodami marketingowymi” dobre. Chociaz reklamy sa prawdziwym blogoslawienstwem, to dobrze ze nikt ich nigdy na sile nie wciska xD Swoja droga, dobry zart w ustach osoby broniacej finansowych molochow – ty wiesz ze im tez to nigdy nie przeszkadza? Nie wazne jak kozystne dla ich portfeli byly warunki ktore udalo by sie im wcisnac “wypelnione”, kazde dodatkowe pieniadze przyjma bez narzekania, altruisci. Patrz jaki zbieg okolicznosci.

    A to i tak byla najlepsza oferta na rynku, poprzedzona dlugim researchem i wlasnym i wypatrzonym u profesjonalistow…

  5. Niech XTB najpierw wprowadzi 2FA, a potem poucza o bezpieczeństwie…

  6. @gvko, dokładnie. Od dłuższego czasu też czekam na 2FA

    • Co ciekawe kiedyś zapytany przez opiekuna klienta w xtb jakie są moje wrażenia z używania xtb i co bym zmienił, wspomniałem o braku 2FA. Otrzymałem odpowiedź, że xtb nie widzi potrzeby aby je wprowadzcić i że jedynie Polscy klienci o to dopytują ( więc może edukacja Niebezpiecznika w tym obszarze daję efekty ;)).

      Szkoda, bo zagraniczna konkurencja ( np degiro czy IBKR) dają taka możliwość.

  7. Edukacja w obszarze cyberbezpieństwa powinna być obowiązkowa.

  8. Może i pracownik nie pyta o hasło i login. Ale teraz przestępcy też się wyjaśniło. Pytają nie o login i hasło ale o dane do weryfikacji.
    Aż się prosi o klucz sprzętowy.
    Zapytałem nawet doradcy w dwóch bankach.
    Od jednego usłyszałem, że nie może być klucza, bo może się zdarzyć klient, który sobie z tym nie poradzi. A poza tym to tylko problem klienta jeśli ulegnie atakowi i poda dane, nie banku
    W drugim banku natomiast stwierdził, że jest login oraz hasło i to w zupełności wystarczy. A na dodatek dał mi do zrozumienia, że widziwiam i w ogóle coś sobie wymyślam.

Odpowiadasz na komentarz kruz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: