Fly4free.pl

Co do bezpieczeństwa w różnych bankach:

W PKO BP nie da się mieć zainstalowanej ich aplikacji IKO na dwóch telefonach z tym samym numerem. Trzeba najpierw ręcznie wyrejestrować stary telefon.

Chciałem mieć na dwóch telefonach ale się nie dało, wtedy byłem zły, ale może tak jest jednak lepiej...

_________________
Czy The Office US jest najlepszym serialem komediowym?
Zdania są podzielone. Niektórzy mówią, że tak, inni że owszem.

Każda bank ma wdrożone różne poziomy bezpieczeństwa. Ostatnio dodawałem w telefonie z Androidem kolejny odcisk palca. Niektóre aplikacje wykryły taką zmianę w biometrii i pozwoliły zalogować się tylko za pomocą hasła - trzeba było ponownie włączyć logowanie biometrią w ustawieniach apki. Tak było np. z mBank. Ale niektórym apkom taka zmiana "nie przeszkadza".

Ja nadal obstawiam zainfekowany telefon. Złośliwe oprogramowanie bez problemu potrafi przechwycić SMSy i nie wyświetlić go użytkownikowi. Podstawienie strony logowania praktycznie do dowolnego banku w Polsce jest już od dawna.

Przy iOS i pospolitej kradzieży to mało prawdopodobne.

@michcioj
Jeśli dojdziesz jak do tego doszło podziel się z nami.
Możesz też się skonsultować np. z Niebezpiecznikiem, znają i opisują tego typu oszustwa.

_________________

@Hose wystarczy pobrać "złośliwą" apkę z oficjalnego sklepu, np. jakimś cudem Apple umieścił "złośliwy klon" menedżera haseł Lastpass: https://www.pcmag.com/news/beware-there ... -app-store

EDIT:
Niedawno było głośno o trojanie GoldPickaxe, który wykrada "twarz" użytkownika, aby później wykorzystać ją do uwierzytelniania biometrycznego.
https://www.darkreading.com/application ... s-ai-swaps

@skrzat

To są jednostkowe przypadki na cały świat. Taka złośliwa aplikacja musiałaby nie tylko być nastawiona na polskie banki, to i jednocześnie wykorzystywać jakieś nieznane luki w iOS, bo nigdzie nie słyszałem o lukach pozwalających na dostęp do treści SMS-ów (czytanie, przekazywanie dalej i usuwanie). Ktoś taki prędzej niż kraść kilkaset euro, sprzedałby wiedzę o takiej luce producentowi Pegasusa 😉. Między bajki włożyłbym podmianę strony logowania banku, bo o takiej dziurze w iOS byłoby głośno (musiałabo obchodzić filtr niebezpiecznych domen, ingerować w działanie Safari, może też w działanie usługi DNS).

Hipotetyczna infekcja nie wyjaśnia obejścia punktu 3. z mojego poprzedniego posta.

Jaki bank działał na nowym odcisku palca bez konieczności ponownej aktywacji logowania biometrycznego? Pochwaliłeś mBank, a kogo należy zblame’ować? To jest mega luka, bo wystarczy znać kod do telefonu by wejść do niby zabezpieczonej aplikacji i autoryzować transakcje.

W PKO to nie da się na jednym telefonie zainstalować jednocześnie apki z Inteligo i z PKO (mam w obydwóch tych bankach konto podpięte pod ten sam numer telefonu).
Nie da się - trzeba wybierać.

Nie mowie ze tak bylo, a poza tym juz dawno nie siedze w tych tematach, ale na githubie juz dawno umieszczono stara wersje Pegasusa. Ci co maja knowhow zapewne operuja o wiele nowszymi.
https://github.com/jonathandata1/pegasus_spyware

_________________
navigare necesse est

Pegasus by nie zautoryzował zmiany urządzenia służącego do mobilnej autoryzacji.

BTW ponowna aktywacja aplikacji, po zmianie w biometrii (np. dodanie kolejnego palca lub twarzy) wymaga podania nr tel, nazwiska panieńskiego matki i PESELu. PESEL jest widoczny w KRS dla członków zarządów spółek, fundacji czy stowarzyszeń, a także ich księgowych, biegłych rewidentów czy pełnomocników. Nazwisko panieńskie czasami jest zgodne z nazwiskiem syna/córki.
Oczywiście przychodzi SMS, ale to chyba nie problem na odczytanie go

Sam jestem ciekaw, jaki byl sposób złodziei.

W którym banku zmiana w biometrii telefonu wymusza ponowną aktywację całej aplikacji? Wymusza ponowne włączenie użycia biometrii do logowania i autoryzacji, ale z ponownym parowaniem aplikacji z kontem nigdzie się nie spotkałem.

@ume zrobię w wolnej chwili test apek bankowych/fintechowych po dodaniu kolejnego palca.

PESEL jest też m.in(!)
- w księgach wieczystych dostępnych internetowo
- w wielu ciemniejszych czeluściach netu - głównie w efekcie masowym zassaniu danych z ZUS PUE (długotrwała dziura z ZUS), o czym wielokrotnie pisał Niebezpiecznik

PESEL chyba jest po to, aby jednoznacznie wskazać o którego klienta chodzi, a nie jako coś tajnego, bo sam identyfikator i podane najpopularniejsze nazwisko Nowak dość szybko by pozwoliły trafić poprawną parę. Czyli zabezpieczenie nie tyle konkretnego klienta, lecz systemu banku przed losowym podejmowaniem próby aktywacji. Tak przynajmniej rozumiem użycie PESEL-u podczas aktywacji.

Żadne wszystkie

Do zawiadomienia co najwyżej druk zgody poszkodowanego na zwolnienie z tajemnicy bankowej.

@michcioj nie zdziwię się jak zabezpieczą do badań przez biegłego twojego Apple iPhone.
Ktoś tu nieco miesza czy nie pisze całej prawdy.

@ume są banki, które do chargeback nie wymagają zawiadomienia o przestępstwie.

A jakie nie?

Napisałem, tylko ten jeden.
Dostanie co najwyżej potwierdzenie złożenia zawiadomienia, choć powinien czekać na formalne powiadomienie o wszczęciu postępowania.

Jak bank nie wymaga zwykłe marnowanie czasu.
Do tego można nawet na kilka miesięcy zostać bez smartfona, laptopa itp.

Napisałeś, że:

Nie rozumiem, co ty znowu wypisujesz. Podpisze tam wszystkie dokumenty, jakie na tym etapie są potrzebne. A reklamację w banku przecież już złożył i została odrzucona.

Nie umiesz czytać ze zrozumieniem to trudno.

Nie składa się reklamacji tylko pisemny wniosek o chargeback.

Nie rozumiem na co jakaś zgoda poszkodowanego, skoro prokurator zwalnia z tajemnicy i żadna zgoda mu nie jest do tego potrzebna. Ale mniejsza o to.

@dg72
Pisałem o zgłoszeniu jako o czymś równoległym, bez związku przyczynowo-skutkowego.

Z telefonem wyłożyłeś kawę na ławę, ja tylko próbowałem nakierować @michcioj na trop. Wymienionych przeze mnie 3 zabezpieczeń nie obejdzie się bez zaawansowanego trojana na poziomie Pegasusa lub czegoś znacznie prostszego: znajomości lub obserwacji „ofiary” oraz fizycznego dostępu do telefonu. Niestety, słyszałem o takich przypadkach z realu, gdy domownik lub współpracownik dokonał kradzieży podglądając wcześniej PIN (do nich można dodać inne przypadki, np. telefon zostawiony w szafce na basenie itp).

@boots
Relację @michcioj zrozumiałem tak, że reklamacja jeszcze nie została ostatecznie rozwiązana, bo brakuje konkretów, które powinny znaleźć się w odpowiedzi, np.
- w jaki sposób i na jakim urządzeniu aktywowano drugą aplikację,
- w jaki sposób ta aktywacja została zautoryzowana (jak mniemam SMS-em, ale to wymaga jednoznacznego potwierdzenia przez bank)
- jak doszło do zmiany urządzenia służącego do mobilnej autoryzacji (potrzeba do tego dotychczasowej aplikacji),
- jak następnie dokonano autoryzacji założenia karty, a później transakcji w mPay i Revolucie.

Dużo tego, więc samo stwierdzenie, że nie widzą problemu, bo była autoryzacja to bardzo ogólna odpowiedź, jeśli takiej udzielili to trzeba się odwołać i domagać powyższych szczegółów.

@ume

Dla banku pisemna zgoda strony umowy czyli poszkodowanego jest równie ważna czy wiążąca jak prokuratora.

Do tego, co jest mega ważne, znacznie przyśpiesza bieg postępowania.