Fly4free.pl

@ume

Odpowiedź na reklamację nie musi zawierać tych informacji, o których piszesz. Teoretycznie wystarczy nawet samo nie bo nie. Odwołać się oczywiście można, ale z punktu widzenia formalno-prawnego nie powoduje to żadnych dodatkowych skutków. Na odwołanie nie muszą nawet reagować.

@dg72
.
Ale zgoda na co i o jakim postępowaniu w banku piszesz?

W związku z złożonym, w tym przypadku w jednostce Policji, zawiadomieniem o przestępstwie.

Ja preferuję jeśli muszę pisemne zawiadomienie o podejrzeniu popełnienia przestępstwa bezpośrednio w prokuraturze.

Już pisałem, że wystarczy podpisanie zgody przy zgłaszaniu sprawy policji. Upoważnienie zrobione bezpośrednio w banku absolutnie niczego nie przyśpiesza.

@michcioj "namieszałeś" czy też enigmatycznie przedstawiłeś co tak naprawdę zaistniało to napisz w końcu co uczyniłeś. Poza reklamacją w banku.

A i czy do zawiadomienia, gdy je złożyłeś , zabezpieczono Ci do badań biegłego Apple iPhone 12.

na policji narazie nie bylem. jak bede to dam znac co potem.

@michcioj
Wydajesz się najmniej zainteresowany tą dyskusją, a szkoda, bo może Tobie by ona coś wyjaśniła, a i jej konkluzje może innych by na przyszłość przed czymś przestrzegły.

W komentarzu wlamanie-na-konto-bankowe,181,177287?start=0#p1706428 opisałem co musiało się wydarzyć, zadałem kilka pytań m.in. o status autoryzacji mobilnej, zasugerowałem o co warto byś zapytał w banku, a co sam spróbował sobie przypomnieć. Odpowiesz, czy może nasza pomoc jest Ci zbędna?

1. tak przychodza smsy.
2. tak caly czas pin dzialal
3. nie wiem, po telefonie do banku wszystko bylo wykasowane.

co do revoluta, to chyba jest w stanie sprawdzic kto jest wlascicielem karty i czyli konto bylo doladowane ?

Aby ta kradzież się udała:
1. Aktywacja drugiej aplikacji musiała być potwierdzona SMS-em wysłanym na Twój numer (zakładam, że potwierdzasz, iż go złodziej nie zmienił w banku), a złodziej musiał znać nazwisko rodowe Twojej matki jakie zadeklarowałeś w BNP
2. Wydanie karty oraz późniejsze płatności w mPay i Revolut musiały być zautoryzowane aplikacją mobilną
3. Czyli albo były autoryzowane przy użyciu Twojego telefonu, albo wcześniej doszło do zmiany głównego telefonu służącego do autoryzacji mobilnej (a to wymagało potwierdzenia w aplikacji na Twoim telefonie).

Stawiam więc hipotezę, że albo jest jakaś kolosalna dziura w systemach BNP, albo kradzieży dokonał ktoś kto miał Twój telefon fizycznie w ręku i widział Twoje PIN-y (np. podejrzane lub nagrane kamerą). Pomijam już kwestię PIN-u, gdyż to pisałem z pamięci sprzed kilku lat i może dziś jest inaczej (lecz jeśli nie jest, to kolejna poszlaka, że ktoś podejrzał PIN-y).

Jeśli chodzi o Revolut, to on nie wie z czyjej karty doładowano, a jedynie czyje imię i nazwisko zostało podane z innymi danymi karty. Zresztą nawet gdyby wiedzieli (a nie wiedzą), to nie mają Ciebie jak zweryfikować, więc nie będą z Tobą rozmawiać, a jedynie z policją lub MasterCardem.

Jak to wykasowane? Kto i co wykasował?

support zresetowal appke tj. wykasowal inne polaczenia z innymi telefonami.

dobra, odzywam sie dopiero teraz bo musialem ochlonac.

na poczatku dziekuje wszystkim za chec pomocy.

sprawdzilem raz jeszcze telefony i rzeczywiscie na stary telefon przyszedl sms kod potwierdzajacy
aktywacje aplikacji gomobile na iphonie. kliknalem na jakiegos lipnego maila (wygladal bardzo podobnie do orginalnego
z banku), poczym sie zalogowalem i wpisalem kod sms. w ten sposob zlodziej aktywowal apke na swoim telefonie,
wygenerowal jakas lipna karte debetowa i wyczyscil konto.

tak wiec niestety jest to moja wina wynikajaca z mojej glupoty.

obawiam sie ze wizyta w banku i kolejna reklamacja nic nie da. ale pewnie tak zrobie czyli teraz ,zloze kolejna reklamacje w
banku, potem pojde na policje (i tak nic nie zrobia ) i potem jeszcze sie przejda do banku i poprosze o charge back (to moze akurat przejdzie).

sam nie wiem, nic mi innego nie przychodzi do glowy.
macie jakies pomysly @ume @boots i inni ?

Reklamuj, zgłaszaj oszustwo policji.
Może to nic nie da, ale nie zaszkodzi. Generalnie trzeba tak zrobić.

Trochę się zgubiłem w kolejności zdarzeń. Tak żeby uporządkować jak tego typu oszustwa działają.
Wspomniałeś stary telefon, iPhone, SMS z kodem i fałszywy mail z banku. Jak to wszystko się łączyło?
Dostałeś maila w którym coś kliknąłeś (co to w ogóle za mail?), zalogowałeś się na „stronie banku” wtedy przyszedł kod sms i go przepisałeś? Tyle wystarczy w bnp?

@michcioj

To dużo wyjaśnia, ale nie wszystko (o tym za chwilę).

Dałeś się nabrać na klasyczny phishing, stary jak świat. Policja i bank: zgłaszaj tu i tu równolegle, podaj im treść maila wraz z dokładnym brzmieniem linku, w który kliknąłeś (przyślij mi go też proszę na PW, choć pewnie niewiele się z niego dowiem, ale lepiej tego linka nie publikować wszem i wobec). Z maila od jakiej firmy/portalu korzystasz?

Kiedyś Millennium szczyciło się tym, że w ogóle nie wysyłało maili do klientów. Tym sposobem każdy mail niby od nich był nietypowy. Chyba to się u nich nie zmieniło. Tyle dygresji.

Phishing nadal nie wyjaśnia sposobu autoryzacji:
1. założenia nowej karty
2. dwóch płatności (no chyba, że zostały wykonane przez ApplePay lub GooglePay, ale wtedy autoryzacji wymagało ich dodanie do któregoś z tych portfeli)
lub zmiany telefonu używanego do autoryzacji, bo to trzeba potwierdzić dotychczasowym telefonem.

Jest więc nadal sporo niejasności, choć może uda Ci się coś jeszcze nietypowego przypomnieć. Ja do dziś pamiętam jak kiedyś (a było to ponad 20 lat temu) VW bank przy logowaniu nagle zażądał ode mnie podania w kolejno kilku wskazań tokena (a jak zapewne pamiętacie, wpisując kod z tokena nie widzimy co tak naprawdę potwierdzamy) oraz mojego PIN-u. Ile osób się na to nabrało i od razu podało kody trudno określić. Mnie zapaliła się lampka i zadzwoniłem do banku gdzie usłyszałem, że takie coś czasem może się pojawić w celu synchronizacji tokena z serwerem banku (lecz próżno było szukać o tym informacji na stronie). Sorry za drugą dygresję 😉

-- 27 Cze 2024 23:51 --

no tak. przyszedl mail z banku, jak jeden z wielu, z prosba o jakies potwierdzenie danych. wygladal normalnie, bardzo podobnie.
przez swoja glupote zalogowalem sie moimi danymi, przyszedl sms przepisalem go i zlodzieje przejeli to i tymi danymi zainstalowali appke z moimi danymi.
probowali przelac kase (potem widzialem 2 odrzucone przelewy) ale wygenerowali wirtualna debetowke i w ten sposob wyplacili pieniadze na revoluta i mpay.

i to wystarczylo w BNP Paribas zeby przejac konto.

reszte znacie.

-- 27 Cze 2024 23:54 --


to mozna wyklikac w appke i wygenerowac karte debetowa. bez zadnej koniecznosci potwierdzenia.

-- 27 Cze 2024 23:55 --


majac numer karty debetowej podajesz jej numer do platnosci i zlodziej potwierdzil to przejeta appka.


az nie moge uwierzyc w to ze tak sie latwo dalem zrobic.

Mocny punkt: wydanie karty bez autoryzacji. Mozesz to maglować w każdej reklamacji, wspomnieć w zgłoszeniu przestępstwa i ewentualnej późniejszej korespondencji z Rzecznikiem lub Arbitrem.

Słaby punkt: aby użyć nowej aplikacji do potwierdzenia płatności, powinieneś wcześniej potwierdzić zmianę domyślnego urządzenia (potwierdzasz starą aplikacją), to wynika z tego co piszą na swojej stronie

Najlepiej będzie jeśli sam odtworzysz ten „atak” używając drugiego telefonu: ściągasz na niego apkę, aktywujesz ją z użyciem SMS-a, wyrabiasz kartę, płacisz nią gdzieś w internecie albo dajesz niewielką darowiznę jakiejś fundacji. Dzieki temu zwryfikujesz:
- czy dostaniesz jakieś powiadomienie o aktywacji aplikacji
- czy po aktywacji drugiej apki PIN nadajesz do niej nowy czy używasz starego
- czy wyrobienie karty wymaga jakiegokolwiek potwierdzenia lub np. powoduje wysłanie jakiegoś powiadomienia lub np. cennika na email
- jak przebiega potwierdzenie płatności kartą gdy autoryzację masz aktywną nadal na pierwszym telefonie
- czy Twoje naiwne podanie oszustom danych logowania i kodu z SMS-a wystarczyło do takiej kradzieży

Sugestia z zasymulowaniem/odtworzeniem ataku na innym telefonie jest bardzo dobra. W 100% potwierdzi ew. dziurę w procedurach/zabezpieczeniach banku i będzie mocniejsza podstawa do ew. uznania reklamacji.
A swoją drogą ataki phishingowe to od kilku lat plaga. Wspomnę tylko kilka ostatnich które pamiętam i byly podobne do powyzszego: ing, citi, enea, inea, dpd, ups, allegro, poczta, US (urząd skarbowy) i pewnie jeszcze z 10 innych. Na początku o mało sam się nie dałem złapać na jeden z nich.
A skala przechwycen nr kart platniczych też się nasila. Od poczatku uzywania kart miałem chyba 1 przypadek. A w ciągu ostatnich 2 lat, 2 przypadki. Uratowały mnie dobre algorytmy antyfraudowe w citi.

_________________
navigare necesse est

@michcioj
Podczas tego „testu” notuj każdy krok (a może nagraj?). Chyba najbardziej istotna będzie odpowiedź na pytanie: ile razy będziesz musiał sięgnąć po stary telefon? Z Twojego opisu wiemy, że świadomy jesteś obecnie, iż był to tylko jeden raz na podanie SMS-a.

@jaco027
To gdzie Ty płacisz tymi kartami? Ja używam kart dokładnie od 2000, mam około 1000 płatności rocznie (w internecie kilkadziesiąt) i dotąd ani razu czegoś takiego nie spotkałem. Odpukuję w niemalowane w tym momencie 😉.

@ume jak to gdzie? wszedzie...
Tez mam z 1000-2000 transakcji rocznie na wszystkich kartach, ale o dziwo tylko citi jest "kradziona" i na szczescie blokowana przez bank. Co tez niestety jest problemem bo zostaje bez glownej karty z pelnym pakietem ubezpieczn podczas dluzszych eskapad (a jeszce niedawno wystawienie nowej KK i niby automatyczne dowiazanie wirtualnej do momementu odebrania fizycznej nie dzialalo). A moze... to jednak jest przypadek i o innych transakcjach blokowanych przez innych wystawcow sie nie dowiaduje. Ogolnie te 3 przypadki, ktore teraz sobie przypominam zawsze byly po jakis dluzszych wojazach zagranicznych. Ten stary przypadek byl po USA, chyba przechwycony nr karty po placeniu za boingo do lotniskowego wifi (jak kiedys takei uslugi byly jszcze platne). A 2 ostatnie po kilkumisiecznych wojazach w Amer. Pd., Afryce i Azji. Tam zas platnosci w roznych normalnych ale tez i dziwnych miejscach plus kupno lokalnie roznych uslug online itp... wiec okazji do przechwycenia danych karty bylo pelno. A co ciekawe 3D secure i 2FA wcale nie jest wymagane jeszcze czesto i gesto , nawet placac karta z EU (nawet FR w nocy czasami nawala z ta usluga). Wcale bym sie nie zdziwil, gdyby w niektorych egzotycznych miejscach/serwisach jeszcze nie wprowadzili PCI-DSS i podobnych standardow nawet w wersji pierwszej/podstawowej...

_________________
navigare necesse est

To prawda, nie dalej jak wczoraj płaciłem kartą mBanku na stronie obsługiwanej przez Stripe i udało się bez 3DS. Za to Citi rzeczywiście stał się bardzo wrażliwy, bo ostatnio płacąc w aplikacji Allegro miałem 3DS przy płatności ApplePay.

Tym bardziej dziwne, że złodzieje, którzy okradli @michcioj użyli karty w mPay i Revolucie, gdzie 3DS jest.