W dniu 04.03.2017 o 15:59, Camis pisze:

chociaż nie udało się precyzyjnie ustalić jak dokonano kradzieży.

Gdzieś dziś czytałem jak. Kolesie ukradli (nie wiem czy liczba mnoga jest zasadna) tożsamość kobity, najpierw zablokowali dostęp przez internet, a potem telefonicznie zmienili numer komórki z powiadamianiem SMS. No i natychmiast przelali. Pani dostała wiadomość o zmianie około 11-tej, ale nie odczytała aż do wieczora, kiedy stwierdziła, że to musi być jakiś błąd, i olała.

--
Alf/red/

Alf/red/ <alf_1702@ump.waw.pl> writes:

Gdzieś dziś czytałem jak. Kolesie ukradli (nie wiem czy liczba mnoga
jest zasadna) tożsamość kobity,

No ale co dokładnie "ukradli"?

najpierw zablokowali dostęp przez
internet, a potem telefonicznie zmienili numer komórki z
powiadamianiem SMS. No i natychmiast przelali.

No ale najpierw podobno zalogowali się przez Internet. To mógł być
rzeczywiście np. key logger lub inna strona wyłudzająca hasła,
i w związku z tym klientka przyczyniła się do całej sprawy. Z tym, że
to bank wybrał takie a nie inne możliwości identyfikacji klienta
(najtańsze dla niego), typowy klient nie jest w stanie żadnym sposobem
zapewnić bezpieczeństwa tym informacjom (login + pojedyncze hasło).
Zresztą nietypowy także nie, włamania dotyczą przecież nawet firm
specjalizujących się w bezpieczeństwie.

Później poszło już z górki? Przestępcy potrzebowali już tylko danych,
które można względnie łatwo zdobyć (np. nazwisko panieńskie matki).

Dostęp telefoniczny ustawili sobie przez Internet?

Pani dostała wiadomość
o zmianie około 11-tej, ale nie odczytała aż do wieczora, kiedy
stwierdziła, że to musi być jakiś błąd, i olała.

Zresztą było już "po ptokach", bez znaczenia, ale oczywiście to był jej
kolejny błąd, którego nie powinna robić.

Wniosek jest IMHO taki, że procedury banku były (są?) wadliwe. Jeśli
hasła jednorazowe są wymagane do zapewnienia bezpieczeństwa
niezdefiniowanych przelewów (bo sam login + hasło nie są wystarczająco
bezpieczne) - to wszelkie możliwości "obejścia" konieczności podania
hasła jednorazowego (bez podawania np. lepiej strzeżonych danych) są
dziurą w procedurze.

Jeśli ktoś zgubi listę haseł jednorazowych, nie będzie miał telefonu
o zdefiniowanym numerze itp. - no to trudno, może niestety powinien
pofatygować się z dowodem osobistym do oddziału banku? To oczywiście
także jest jakieś ryzyko banku (normalne ryzyko prowadzenia działalności
gospodarczej), ale jednak jest ono znacznie mniejsze niż w przypadku
pytań o jakieś nazwiska panieńskie itp.
--
Krzysztof Hałasa

W dniu 2017-03-07 o 15:22, Krzysztof Halasa pisze:

Alf/red/ <alf_1702@ump.waw.pl> writes:

Gdzieś dziś czytałem jak. Kolesie ukradli (nie wiem czy liczba mnoga
jest zasadna) tożsamość kobity,

No ale co dokładnie "ukradli"?

Tak się mówi. https://pl.wikipedia.org/wiki/Kradzie%C5%BC_to%C5%BCsamo%C5%9Bci

--
Liwiusz

Liwiusz <lmalin@bez.tego.poczta.onet.pl> writes:

No ale co dokładnie "ukradli"?

Tak się mówi.
https://pl.wikipedia.org/wiki/Kradzie%C5%BC_to%C5%BCsamo%C5%9Bci

Wiem że tak się mówi, ale zapytałem co KONKRETNIE ukradli.
--
Krzysztof Hałasa

W dniu 2017-03-13 o 17:04, Krzysztof Halasa pisze:

Liwiusz <lmalin@bez.tego.poczta.onet.pl> writes:

No ale co dokładnie "ukradli"?

Tak się mówi.
https://pl.wikipedia.org/wiki/Kradzie%C5%BC_to%C5%BCsamo%C5%9Bci

Wiem że tak się mówi, ale zapytałem co KONKRETNIE ukradli.

Przecież Alfred wyraźnie napisał, że tożsamość, czyli użyli jej danych osobowych.

"najpierw zablokowali dostęp przez
internet, a potem telefonicznie zmienili numer komórki z
powiadamianiem SMS."

Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to ja bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o przywrócenie buuu".

--
Liwiusz

Dnia Tue, 14 Mar 2017 10:26:17 +0100, Liwiusz napisał(a):

"najpierw zablokowali dostęp przez
internet, a potem telefonicznie zmienili numer komórki z
powiadamianiem SMS."

Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to ja bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o przywrócenie buuu".

Nie żadna bidna odcięta kobita buuu, tylko "Dzień dobry, mówi Iksińska,
właśnie zmieniłam telefon na nowy, uprzejmie proszę o aktualizację
mojego numeru telefonu w systemie" ;->

Ciekawe dlaczego ja nadal wolę papierowe hasła SMS...
--
Imka

Dnia Tue, 14 Mar 2017 11:07:57 +0100, Imka napisał(a):

Dnia Tue, 14 Mar 2017 10:26:17 +0100, Liwiusz napisał(a):

"najpierw zablokowali dostęp przez
internet, a potem telefonicznie zmienili numer komórki z
powiadamianiem SMS."

Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to ja bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o przywrócenie buuu".

Nie żadna bidna odcięta kobita buuu, tylko "Dzień dobry, mówi Iksińska,
właśnie zmieniłam telefon na nowy, uprzejmie proszę o aktualizację
mojego numeru telefonu w systemie" ;->

Ciekawe dlaczego ja nadal wolę papierowe hasła SMS...

"zamiast SMS" ;->

--
Imka

Dnia Tue, 14 Mar 2017 11:07:57 +0100, Imka napisał(a):

Dnia Tue, 14 Mar 2017 10:26:17 +0100, Liwiusz napisał(a):

Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to ja bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o przywrócenie buuu".

Nie żadna bidna odcięta kobita buuu, tylko "Dzień dobry, mówi Iksińska,
właśnie zmieniłam telefon na nowy, uprzejmie proszę o aktualizację
mojego numeru telefonu w systemie" ;->

Ciekawe dlaczego ja nadal wolę papierowe hasła SMS...

Maja jedna wade - nie wyswietlaja co to za operacja.
Kiedys sie zdziwisz - autoryzowalas operacje na 100zl, a zniknelo 200 tys.

No i druga zapewne - latwo je zmienic na sms :-)

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Maja jedna wade - nie wyswietlaja co to za operacja.
Kiedys sie zdziwisz - autoryzowalas operacje na 100zl, a zniknelo 200 tys.

Jest to wada, ale jej wykorzystanie wymaga dostępu do przeglądarki lub
czegoś ekwiwalentnego. Samo poznanie hasła (głównego) nie wystarczy.

Hasło SMS jednak dużo łatwiej poznać.

No i druga zapewne - latwo je zmienic na sms :-)

Zakładam, że to tylko przypuszczenie, ciekawe jak jest w istocie.
Tak czy owak bank powinien za takie wyłudzenia (jeśli one istotnie tak
wyglądają) odpowiadać bez żadnego gadania. To właściwie karygodne
zaniedbania, a nie sensowne procedury.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Maja jedna wade - nie wyswietlaja co to za operacja.
Kiedys sie zdziwisz - autoryzowalas operacje na 100zl, a zniknelo
200 tys.

Jest to wada, ale jej wykorzystanie wymaga dostępu do przeglądarki lub
czegoś ekwiwalentnego. Samo poznanie hasła (głównego) nie wystarczy.
Hasło SMS jednak dużo łatwiej poznać.

No nie wiem. Jedno i drugie wymaga przejecia kontroli nad komputerem lub telefonem - chyba podobnie skomplikowane.

A moze nie - moze wystarczy namowic klienta na instalacje programu na androidzie - gra, horoskop, cokolwiek.

No i druga zapewne - latwo je zmienic na sms :-)

Zakładam, że to tylko przypuszczenie, ciekawe jak jest w istocie.

Mbank tak naciska na zmiane, ze nie moze utrudniac :-)

Ale chyba az tacy glupi nie sa
https://www.mbank.pl/informacje-dla-klienta/post,3155,zmiana-listy-hasel-jednorazowych-na-hasla-sms.html
wychodzi mi na to, ze bedzie potrzebne haslo z listy.

Tak czy owak bank powinien za takie wyłudzenia (jeśli one istotnie tak
wyglądają) odpowiadać bez żadnego gadania. To właściwie karygodne
zaniedbania, a nie sensowne procedury.

A wtedy to IMO bez znaczenia czy pieniadze byly klienta czy banku :-)

Tylko gdzies tam jeszcze przewija sie haslo, ktore oszusci podali.
Karygodne zaniedbania banku, czy karygodne zaniedbanie klienta ?

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Hasło SMS jednak dużo łatwiej poznać.

No nie wiem. Jedno i drugie wymaga przejecia kontroli nad komputerem
lub telefonem - chyba podobnie skomplikowane.

Hasło SMS można jednak przejąć bez przejęcia kontroli nad telefonem.
Jest wiele metod, które może są trudne, ale nie niemożliwe (i np. dla
specjalisty może to być duuuużo łatwiejsze niż uzyskanie dostępu do
listy papierowych haseł u kogoś np. w domu).

A moze nie - moze wystarczy namowic klienta na instalacje programu na
androidzie - gra, horoskop, cokolwiek.

To także. Telefon można też zgubić, lista haseł wymaga już np. włamania
do domu, i znalezienia jej (włamania do sejfu itp).

A wtedy to IMO bez znaczenia czy pieniadze byly klienta czy banku :-)

Myślę, że to w ogóle bez znaczenia.

Tylko gdzies tam jeszcze przewija sie haslo, ktore oszusci podali.
Karygodne zaniedbania banku, czy karygodne zaniedbanie klienta ?

Klient nie jest profesjonalistą, aczkolwiek to słaby argument. Natomiast
silnym argumentem jest to, że klient nie ma wpływu na wybór zabezpieczeń
(w przeciwieństwie do banku), i nawet klient świadomy słabości
zabezpieczeń nie ma nic do powiedzenia (może poza "do widzenia", ale
jeśli wszystkie banki robią to samo, to nie ma praktycznie wyjścia).

W opisywanym przypadku nie znamy też chyba żadnych twardych faktów, poza
ogólnym zarysem.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3o9x0u9ay.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Hasło SMS jednak dużo łatwiej poznać.

No nie wiem. Jedno i drugie wymaga przejecia kontroli nad komputerem
lub telefonem - chyba podobnie skomplikowane.

Hasło SMS można jednak przejąć bez przejęcia kontroli nad telefonem.
Jest wiele metod, które może są trudne, ale nie niemożliwe (i np. dla
specjalisty może to być duuuużo łatwiejsze niż uzyskanie dostępu do
listy papierowych haseł u kogoś np. w domu).

Ale taki specjalista z dostepem do operatora ?

A moze nie - moze wystarczy namowic klienta na instalacje programu na
androidzie - gra, horoskop, cokolwiek.

To także. Telefon można też zgubić, lista haseł wymaga już np. włamania
do domu, i znalezienia jej (włamania do sejfu itp).

A masz sejf w domu ? Wiec wymaga wlamania do niezamykanej szafki :-)

No i ja nosze w portfelu, mozna zgubic.
Telefon z kolei moze byc zabezpieczony, i nawet po zgubieniu znalazca nie

A wtedy to IMO bez znaczenia czy pieniadze byly klienta czy banku :-)

Myślę, że to w ogóle bez znaczenia.

A tu sad wywiodl z tego cale uzasadnienie. Przynajmniej tak pismaki napisaly.
No coz, moze tak bylo dla sadu prosciej - wystarczy uznac ze klient ma roszczenie (co zreszta zgodne z logika i powszechnie stosowana wykladnia) i ze zlodziej roszczenia nijak nie ukradl.
Moze i faktycznie dla klienta lepiej, bo konsekwencje prawne moga byc dziwne.

Tylko gdzies tam jeszcze przewija sie haslo, ktore oszusci podali.
Karygodne zaniedbania banku, czy karygodne zaniedbanie klienta ?

Klient nie jest profesjonalistą, aczkolwiek to słaby argument.

Zrozumiale, ze hasla nie powinien ujawniac innym osobom.
No chyba, ze bedziemy mieli jeszcze kiedys sprawe, ze ujawnil swiadomie a moze i celowo,
a g* to zmienia - nadal nie on dyspozycje zlozyl, wiec roszczenie pozostaje :-)

Natomiast
silnym argumentem jest to, że klient nie ma wpływu na wybór zabezpieczeń
(w przeciwieństwie do banku)

realizujemy dyspozycje tylko zlozone w banku, podpisane w obecnosci pracownika i po analizie przez grafologa :-)

Ale moze to i dobry kierunek - jak bank chce ulatwic, to juz na wlasne ryzyko :-)

Ewentualnie - mniej bezpieczne sposoby to tylko do 2000 dziennie.
PiS jest za :-)

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Hasło SMS można jednak przejąć bez przejęcia kontroli nad telefonem.
Jest wiele metod, które może są trudne, ale nie niemożliwe (i np. dla
specjalisty może to być duuuużo łatwiejsze niż uzyskanie dostępu do
listy papierowych haseł u kogoś np. w domu).

Ale taki specjalista z dostepem do operatora ?

To jedna z opcji. SMSy przechodzą też przez radio itd.

A masz sejf w domu ? Wiec wymaga wlamania do niezamykanej szafki :-)

No i ja nosze w portfelu, mozna zgubic.

To decyzja klienta, może mieć sejf i nie nosić w portfelu. Za swoje
decyzje klient może ponosić odpowiedzialność.

Telefon z kolei moze byc zabezpieczony, i nawet po zgubieniu znalazca
nie

Nie wiem co nie, ale wystarczy przekonać np. pracownika operatora GSM,
że zgubiło się kartę SIM (np. z telefonem), i potrzebna jest nowa.
Zabezpieczenia telefonu także nie są całkowite, przecież to zwykłe
urządzenie elektroniczne, a przecież nie chodzi nawet o same dane
w telefonie (np. zaszyfrowane), tylko o to, by odebrać SMS. Może
wystarczy podłączyć ("zabezpieczony") telefon do USB i pogadać po
"Hayesie".

No chyba, ze bedziemy mieli jeszcze kiedys sprawe, ze ujawnil
swiadomie a moze i celowo,
a g* to zmienia - nadal nie on dyspozycje zlozyl, wiec roszczenie
pozostaje :-)

Samo roszczenie nie wystarczy, jeśli bank ma odpowiednio mocne
roszczenie w przeciwną stronę.
--
Krzysztof Hałasa

Dnia Wed, 15 Mar 2017 17:20:25 +0100, Krzysztof Halasa napisał(a):

No i druga zapewne - latwo je zmienic na sms :-)

Zakładam, że to tylko przypuszczenie, ciekawe jak jest w istocie.

Z poziomu ST można zmienić sposób potwierdzania na hasła SMS podając kod
z listy.

Czyli ewentualny włamywacz najpierw by musiał pojojczyć na infolinii
'ojejeku, biednam kobita, zgubiłam całą listę' i podać nowy numer
telefonu.
No i "uwierzytelnić" się odpowiedziami na pytania, z których najbardziej
skomplikowanym jest pytanie o nazwisko panieńskie matki.

Cienkie to z każdej strony.

Ciekawe czy mają procedurę wyczuwania tego ciągu wydarzeń - blokada
dostępu, zmiana hasła przy pomocy telekodu, natychmiastowa zmiana numeru
telefonu, wypływ salda.
Ponieważ samo się nasuwa że powinni, to pewnie nie...

--
Imka

Liwiusz <lmalin@bez.tego.poczta.onet.pl> writes:

Wiem że tak się mówi, ale zapytałem co KONKRETNIE ukradli.

Przecież Alfred wyraźnie napisał, że tożsamość, czyli użyli jej danych
osobowych.

Ale rozumiesz co oznacza słowo "konkretnie"?
Konkretnie które dane osobowe ukradli.
Być może wbrew pozorom, jest to zasadnicza różnica.

"najpierw zablokowali dostęp przez
internet, a potem telefonicznie zmienili numer komórki z
powiadamianiem SMS."

Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to
ja bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o
przywrócenie buuu".

Różne rzeczy dla innych oczywiste nie są takimi dla mnie.
Trudno mi uwierzyć, że wyłudzili dostęp do konta podając tylko dane
niechronione, które przy pewnym wysiłku może zdobyć każdy. Ale
oczywiście nie wykluczam takiej możliwości, chciałbym jednak konkretnego
potwierdzenia, że właśnie tak było i np. że w dalszym ciągu może tak być.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m337eey0qs.fsf@pm.waw.pl...
Liwiusz <lmalin@bez.tego.poczta.onet.pl> writes:

Wiem że tak się mówi, ale zapytałem co KONKRETNIE ukradli.

Przecież Alfred wyraźnie napisał, że tożsamość, czyli użyli jej danych
osobowych.

Ale rozumiesz co oznacza słowo "konkretnie"?
Konkretnie które dane osobowe ukradli.
Być może wbrew pozorom, jest to zasadnicza różnica.

I co oznacza slowo "ukradli" :-)

Oczywistym jest, że wpierw telefonicznie zidentyfikowali się jako "to
ja bidna kobieta zostałam odcięta od wszystkich kanałów, proszę o
przywrócenie buuu".

Różne rzeczy dla innych oczywiste nie są takimi dla mnie.
Trudno mi uwierzyć, że wyłudzili dostęp do konta podając tylko dane
niechronione, które przy pewnym wysiłku może zdobyć każdy.

No ale jakos tak to dziala.
Co mam podac - haslo, ktorego nie uzywalem od 10 czy wiecej lat ?

Zawsze mozna zaprosic z dowodem do oddzialu, ale pamietaj ze mbank staral sie zlikwidowac kontakt z oddzialami.

J.

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3efy92ml2.fsf@pm.waw.pl...
Alf/red/ <alf_1702@ump.waw.pl> writes:

Gdzieś dziś czytałem jak. Kolesie ukradli (nie wiem czy liczba mnoga
jest zasadna) tożsamość kobity,

No ale co dokładnie "ukradli"?

najpierw zablokowali dostęp przez
internet, a potem telefonicznie zmienili numer komórki z
powiadamianiem SMS. No i natychmiast przelali.

No ale najpierw podobno zalogowali się przez Internet. To mógł być
rzeczywiście np. key logger lub inna strona wyłudzająca hasła,
i w związku z tym klientka przyczyniła się do całej sprawy. Z tym, że
to bank wybrał takie a nie inne możliwości identyfikacji klienta
(najtańsze dla niego), typowy klient nie jest w stanie żadnym sposobem
zapewnić bezpieczeństwa tym informacjom (login + pojedyncze hasło).

Jak widac - nie tylko na tym bank polega.

Później poszło już z górki? Przestępcy potrzebowali już tylko danych,
które można względnie łatwo zdobyć (np. nazwisko panieńskie matki).
Dostęp telefoniczny ustawili sobie przez Internet?

Raczej telefonicznie - ale nowa strona ma tez mozliwosc polaczenia chat/audio/video.
Na telefoniczny kontakt jest dodatkowe haslo ... ale kto by je pamietal.

Na tym przez internet chyba haslo telefoniczne nie potrzebne.

Pani dostała wiadomość
o zmianie około 11-tej, ale nie odczytała aż do wieczora, kiedy
stwierdziła, że to musi być jakiś błąd, i olała.

Zresztą było już "po ptokach", bez znaczenia, ale oczywiście to był jej
kolejny błąd, którego nie powinna robić.

Trudno wymagac od czlowieka, aby siedzial wgapiony w swoj telefon.

Wniosek jest IMHO taki, że procedury banku były (są?) wadliwe.

Chyba tak, skoro zmienili telefon do autoryzacji.

Z drugiej strony ... a jak poprosze wspolnika, zeby zadzwonil do infolinii i poprosil o zmiane numeru ?
Na haslo odpowie "oj, tego to nie pamietam", a reszte niezbyt trudnych do zdobycia danych mu podpowiem ...

Jeśli
hasła jednorazowe są wymagane do zapewnienia bezpieczeństwa
niezdefiniowanych przelewów (bo sam login + hasło nie są wystarczająco
bezpieczne) - to wszelkie możliwości "obejścia" konieczności podania
hasła jednorazowego (bez podawania np. lepiej strzeżonych danych) są
dziurą w procedurze.

W zasadzie tak.
Z drugiej strony - chcemy autoryzacje przez sms, to trzeba przewidziec, ze utrata telefonu sie czasem zdarza.

Jeśli ktoś zgubi listę haseł jednorazowych, nie będzie miał telefonu
o zdefiniowanym numerze itp. - no to trudno, może niestety powinien
pofatygować się z dowodem osobistym do oddziału banku?

Owszem ... tylko pamietaj, ze mBank wyrosl izolujac klienta od oddzialow (ktorych BRE mial jednak troche).
Teraz jest inaczej ... ale do oddzialu klient moze miec daleko.

Z kolei taki Lukas przy resecie hasla zazyczyl sobie w oddziale dwoch dokumentow ze zdjeciem.
No i tak sie zaczalem zastanawiac - paszport nie jest jeszcze w kraju obowiazkowy, PJ tez nie, legitymacje pracownicze w duzej czesci sie skonczyly, ksiazeczki zdrowia znikly  ... co by tu pokazac.

A kradzieze portfeli sie zdarzaja i klient moze zostac bez niczego - bez dowodu, bez telefonu, bez kart, i daleko od domu ...

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

No ale najpierw podobno zalogowali się przez Internet. To mógł być
rzeczywiście np. key logger lub inna strona wyłudzająca hasła,
i w związku z tym klientka przyczyniła się do całej sprawy. Z tym, że
to bank wybrał takie a nie inne możliwości identyfikacji klienta
(najtańsze dla niego), typowy klient nie jest w stanie żadnym
sposobem
zapewnić bezpieczeństwa tym informacjom (login + pojedyncze hasło).

Jak widac - nie tylko na tym bank polega.

No ale w tym przypadku wygląda na to, że tylko ta "tajna" informacja
(hasło do konta) wystarczyła.

Trudno wymagac od czlowieka, aby siedzial wgapiony w swoj telefon.

Jasne, ale jeśli ktoś już zobaczył, że coś jest nie tak, to powinien
upewnić się, że to tylko błąd. To może pomóc.

Z drugiej strony ... a jak poprosze wspolnika, zeby zadzwonil do
infolinii i poprosil o zmiane numeru ?
Na haslo odpowie "oj, tego to nie pamietam", a reszte niezbyt trudnych
do zdobycia danych mu podpowiem ...

Jest to ryzyko banku. Dokładnie tak samo te dane może mieć ktoś zupełnie
obcy.

W zasadzie tak.
Z drugiej strony - chcemy autoryzacje przez sms, to trzeba
przewidziec, ze utrata telefonu sie czasem zdarza.

Jasne, ale wtedy typowo klient kupuje nowy telefon i otrzymuje nową
kartę SIM, ze starym numerem. Zwłaszcza jeśli od tego zależą jakieś
niesymboliczne pieniądze na koncie.

Owszem ... tylko pamietaj, ze mBank wyrosl izolujac klienta od
oddzialow (ktorych BRE mial jednak troche).
Teraz jest inaczej ... ale do oddzialu klient moze miec daleko.

Takie życie - możliwości jest więcej.

Z kolei taki Lukas przy resecie hasla zazyczyl sobie w oddziale dwoch
dokumentow ze zdjeciem.
No i tak sie zaczalem zastanawiac - paszport nie jest jeszcze w kraju
obowiazkowy, PJ tez nie, legitymacje pracownicze w duzej czesci sie
skonczyly, ksiazeczki zdrowia znikly  ... co by tu pokazac.

Domyślam się że możliwości także było więcej. Tyle że np. mogły nie być
tak szybkie.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3efy1w414.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

No ale najpierw podobno zalogowali się przez Internet. To mógł być
rzeczywiście np. key logger lub inna strona wyłudzająca hasła,
i w związku z tym klientka przyczyniła się do całej sprawy. Z tym, że
to bank wybrał takie a nie inne możliwości identyfikacji klienta
(najtańsze dla niego), typowy klient nie jest w stanie żadnym
sposobem
zapewnić bezpieczeństwa tym informacjom (login + pojedyncze hasło).

Jak widac - nie tylko na tym bank polega.

No ale w tym przypadku wygląda na to, że tylko ta "tajna" informacja
(hasło do konta) wystarczyła.

Nawet nie wiem czy bylaby potrzebna, ale cytujac

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło w bankowości internetowej. Dostęp do serwisu transakcyjnego został zablokowany.
-Nieznany sprawca zalogował się do serwisu bankowości telefonicznej (podając numer klienta i telekod) i ustalił nowe hasło do bankowości internetowej.
-Złodziej połączył się z infolinią banku, zalogował się i podając się za posiadacza rachunku zlecił pracownikowi dokonanie zmiany numeru telefonu, na który przesyłane są hasła jednorazowe SMS.
-Pracownik infolinii zweryfikował dane podawane przez połączoną osobę, uzyskał poprawne odpowiedzi i ręcznie zaktualizował numer telefonu.
-Nieznany sprawca zalogował się do serwisu bankowości internetowej i zlecił przelew na ponad 120 tys. zł.

Wychodzi na to, ze poznal telekod. Dziwne to troche, bo jego sie niemal nie uzywa.
Klientka niefrasobliwie udostepnila ? (*)

A gdyby tak niefrasobliwie udostepnila telefon, na ktory przychodza SMS ?
Albo ksiazeczke czekowa ?
Albo dowod osobisty ...

Trudno wymagac od czlowieka, aby siedzial wgapiony w swoj telefon.

Jasne, ale jeśli ktoś już zobaczył, że coś jest nie tak, to powinien
upewnić się, że to tylko błąd. To może pomóc.

Ale juz za pozno :-)

Z drugiej strony ... a jak poprosze wspolnika, zeby zadzwonil do
infolinii i poprosil o zmiane numeru ?
Na haslo odpowie "oj, tego to nie pamietam", a reszte niezbyt trudnych
do zdobycia danych mu podpowiem ...

Jest to ryzyko banku. Dokładnie tak samo te dane może mieć ktoś zupełnie
obcy.

Jakies to niesymetryczne mi sie wydaje.
Moze i tak ma byc ... a moze w razie wykrycia oszustwa powinno byc 10 lat dla obu.

Tylko co znaczy "wykrycia" - bank zglosi, a sedzia rejonowy uzna, ze jest wystarczajaco prawdopodobne :-)

W zasadzie tak.
Z drugiej strony - chcemy autoryzacje przez sms, to trzeba
przewidziec, ze utrata telefonu sie czasem zdarza.

Jasne, ale wtedy typowo klient kupuje nowy telefon i otrzymuje nową
kartę SIM, ze starym numerem. Zwłaszcza jeśli od tego zależą jakieś
niesymboliczne pieniądze na koncie.

Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa juz chyba jest w miare normalna.

Owszem ... tylko pamietaj, ze mBank wyrosl izolujac klienta od
oddzialow (ktorych BRE mial jednak troche).
Teraz jest inaczej ... ale do oddzialu klient moze miec daleko.

Takie życie - możliwości jest więcej.

Oby sie tylko nie skonczylo ze "pieniedzy nikt nie ukradl, ale dostep ma do nich tylko osoba znajaca haslo".
I ciekawe, czy sad cos tu moze pomoc, skoro taka umowa :-)

Z kolei taki Lukas przy resecie hasla zazyczyl sobie w oddziale dwoch
dokumentow ze zdjeciem.
No i tak sie zaczalem zastanawiac - paszport nie jest jeszcze w kraju
obowiazkowy, PJ tez nie, legitymacje pracownicze w duzej czesci sie
skonczyly, ksiazeczki zdrowia znikly  ... co by tu pokazac.

Domyślam się że możliwości także było więcej. Tyle że np. mogły nie być
tak szybkie.

Moglem wpisac kod do kontaktow z oddzialem ... tylko kto by go pamietal przez tyle lat nieuzywania :-)

J.

W dniu 2017-03-13 o 17:38, J.F. pisze:

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło w
bankowości internetowej. Dostęp do serwisu transakcyjnego został
zablokowany.

Tego nie rozumiem. Nie "zalogować się", tylko "zmienić hasło". No to znał to hasło czy nie?

   MJ

Użytkownik "Michał Jankowski"  napisał w wiadomości grup
W dniu 2017-03-13 o 17:38, J.F. pisze:

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło w
bankowości internetowej. Dostęp do serwisu transakcyjnego został
zablokowany.

Tego nie rozumiem. Nie "zalogować się", tylko "zmienić hasło". No to znał to hasło czy nie?

Widac nie znal.
Byc moze ... przejal otwarta sesje ?

Albo znow sie pismaki pomylily, i probowal zalogowac.

Po czym ... ustalil nowe haslo internetowe, korzystajac z infolinii - tam jest inne haslo.

Ciekawe - znal je, czy odczytal ze strony internetowej.
A moze wrecz tam ustawil ?

2012 ... to mogl byc jeszcze stary interfejs.

Jest jeszcze jedna mozliwosc - co rusz mi dzwonia z mbanku "nazywam sie Kowalska, dzwonie z mbank, moja tozsamosc moze pan potwierdzic na (infolinii chyba), chcialam przedstawic nowa swietna oferte, ale musze zweryfikowac tozsamosc".


J.

Dnia Mon, 13 Mar 2017 19:04:45 +0100, Michał Jankowski napisał(a):

W dniu 2017-03-13 o 17:38, J.F. pisze:

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło w
bankowości internetowej. Dostęp do serwisu transakcyjnego został
zablokowany.

Tego nie rozumiem. Nie "zalogować się", tylko "zmienić hasło". No to znał to hasło czy nie?

To tylko autor artykułu napisał jak mu się wydawało.

Powinno być "nieznany sprawca trzykrotnie podał błędne hasło do
bankowości internetowej powodując zablokowanie dostępu. Po zablokowaniu
dostępu skorzystał z możliwości ustalenia nowego hasła przy pomocy
numeru klienta i telekodu."

Akurat parę dni temu sama się zablokowałam w mBanku i przerobiłam tę
ścieżkę. Wystarczy numer klienta i telekod żeby zmienić hasło do ST.

Nieznany sprawca nie znał hasła do rachunku poszkodowanej, natomiast
znał telekod. Albo wyłapał ten telekod podczas jego ostatniej zmiany,
albo faktycznie łatwo go było zgadnąć.
Jeśli telekod był nietypowy, to nadal pozostaje pytanie - jakim cudem
sprawca poznał tylko telekod a nie hasło?

Swoją drogą... rodzą się nowe pytania.
Ciekawe czy można w ten sam sposób zmienić hasło przy niezablokowanym
dostępie oraz po ilu próbach podania odpowiednich cyferek telekodu bank
zaczyna się orientować, że coś tu nie gra?

--
Imka

Imka w <news:yae72y3jgsr9.1ws3nywk7x8za$.dlg40tude.net>:

Swoją drogą... rodzą się nowe pytania.
Ciekawe czy można w ten sam sposób zmienić hasło przy niezablokowanym
dostępie oraz po ilu próbach podania odpowiednich cyferek telekodu bank
zaczyna się orientować, że coś tu nie gra?

Owszem, nie bank tylko teleoperator:

Nie podałem telekodu, więc obyła sie dodatkowa weryfikacja -- pesle, adresy,
imiona/ nazwiska ojca/matki w tym panieńskie...

Porażka -- kiedyś za aprobatą siedzącego obok przyjaciela załatwiłem za
niego reklamację w banku, znając jego date urodzenia, imiona i nazwiska
rodziców, i inne takie -- telefony wtedy nie były powszechne, ale to i teraz
nie problem, da się bez problemu zmienić, nie pytajcie jak, nie odpowiem ;P

--
'Tom N'

007 <news@intf.dyndns.org.invalid> writes:

Owszem, nie bank tylko teleoperator:

Nie podałem telekodu, więc obyła sie dodatkowa weryfikacja -- pesle, adresy,
imiona/ nazwiska ojca/matki w tym panieńskie...

No ale to nie bank. Gdyby tak jednak było w banku...

Inna sprawa, że w wielu krajach takie coś pewnie przejdzie także
w banku. Nawet bez tak wielu pytań.
--
Krzysztof Hałasa

W dniu 2017-03-13 o 21:14, Imka pisze:

Jeśli telekod był nietypowy, to nadal pozostaje pytanie - jakim cudem
sprawca poznał tylko telekod a nie hasło?

Np. podsłuchał uchem lub podsłuchem.

W dniu 2017-03-13 o 21:14, Imka pisze:

Akurat parę dni temu sama się zablokowałam w mBanku i przerobiłam tę
ścieżkę. Wystarczy numer klienta i telekod żeby zmienić hasło do ST.

Wystarczy jeszcze telefon właściciela, z którego on dzwoni. Nie uda się ta sztuczka złodziejowi.


--
animka

Imka <spamtrapimki@gazeta.pl> writes:

Nieznany sprawca nie znał hasła do rachunku poszkodowanej, natomiast
znał telekod. Albo wyłapał ten telekod podczas jego ostatniej zmiany,
albo faktycznie łatwo go było zgadnąć.
Jeśli telekod był nietypowy, to nadal pozostaje pytanie - jakim cudem
sprawca poznał tylko telekod a nie hasło?

Telekod można łatwo podsłuchać. Wystarczy, że ktoś tego używa
(np. telefonem analogowym, albo w ogóle radiowym analogiem). Problem
w tym, że tego prawie nikt nie używa, ale może tu było inaczej.
--
Krzysztof Hałasa

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło
w bankowości internetowej. Dostęp do serwisu transakcyjnego został
zablokowany.

Wydaje mi się, że to do czegoś było potrzebne. Tzn. zablokowanie konta
internetowego - no bo jeśli przestępca znał hasło, to mógł także je
zmienić (skutecznie).

-Nieznany sprawca zalogował się do serwisu bankowości telefonicznej
(podając numer klienta i telekod) i ustalił nowe hasło do bankowości
internetowej.
-Złodziej połączył się z infolinią banku, zalogował się i podając się
za posiadacza rachunku zlecił pracownikowi dokonanie zmiany numeru
telefonu, na który przesyłane są hasła jednorazowe SMS.
-Pracownik infolinii zweryfikował dane podawane przez połączoną osobę,
uzyskał poprawne odpowiedzi i ręcznie zaktualizował numer telefonu.
-Nieznany sprawca zalogował się do serwisu bankowości internetowej i
zlecił przelew na ponad 120 tys. zł.

Wychodzi na to, ze poznal telekod. Dziwne to troche, bo jego sie
niemal nie uzywa.

Przypuszczalnie "telekod" został ustawiony przez Internet, jeszcze przed
zablokowaniem. Późniejsze działania to może jakaś procedura awaryjna (na
wypadek zablokowania konta w sieci) - dziurawa niestety.
Możliwe też że opis jest niedokładny.

A gdyby tak niefrasobliwie udostepnila telefon, na ktory przychodza
SMS ?

oraz jednocześnie hasło do konta - no to byłby problem. Jest to
prawdopodobne, jeśli włamanie nastąpiłoby na "telefon" (tablet z GSM
itp) używany do dostępu do konta oraz do haseł SMS. Dlatego nie powinno
się tego robić.
Dodatkowo SMSy nie gwarantują tajności, to też jest problem.

Albo ksiazeczke czekowa ?

Jak to było? 1000 zł * liczba czeków przez 24 godziny od momentu
zastrzeżenia (w tym samym oddziale)? A może 48 godzin, nie pamiętam.
Alternatywnie, 300 zł na poczcie.

Albo dowod osobisty ...

No to akurat nie powinno oznaczać automatycznie wielkiego zagrożenia,
tam jest zdjęcie i w przypadku przynajmniej istotnych operacji powinno
się na nie patrzeć, we własnym interesie. Nie daje to całkowitej
gwarancji zresztą.

Jasne, ale jeśli ktoś już zobaczył, że coś jest nie tak, to powinien
upewnić się, że to tylko błąd. To może pomóc.

Ale juz za pozno :-)

Tu tak, ale w innym przypadku może nie.

Jakies to niesymetryczne mi sie wydaje.
Moze i tak ma byc ... a moze w razie wykrycia oszustwa powinno byc 10
lat dla obu.

A to swoją drogą.

Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa juz
chyba jest w miare normalna.

Tak, ale wtedy trzeba zmienić numer w banku wcześniej. Albo oddział itp.

Oby sie tylko nie skonczylo ze "pieniedzy nikt nie ukradl, ale dostep
ma do nich tylko osoba znajaca haslo".
I ciekawe, czy sad cos tu moze pomoc, skoro taka umowa :-)

Możliwości są. Zawsze można się pofatygować osobiście do oddziału, każdy
bank działający w Polsce ma tu chyba oddział?

Moglem wpisac kod do kontaktow z oddzialem ... tylko kto by go
pamietal przez tyle lat nieuzywania :-)

Oczywiście. Tak w ogóle, takie kody używane raz na 10 lat są bez sensu.
Chyba że sprawa jest naprawdę ważna a kody dobrze chronione.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło
w bankowości internetowej. Dostęp do serwisu transakcyjnego został
zablokowany.

Wydaje mi się, że to do czegoś było potrzebne. Tzn. zablokowanie konta
internetowego - no bo jeśli przestępca znał hasło, to mógł także je
zmienić (skutecznie).

Byc moze po to, aby infolinia bez podejrzen "odblokowala dostep".

A gdyby tak niefrasobliwie udostepnila telefon, na ktory przychodza
SMS ?

oraz jednocześnie hasło do konta - no to byłby problem. Jest to
prawdopodobne, jeśli włamanie nastąpiłoby na "telefon" (tablet z GSM
itp) używany do dostępu do konta oraz do haseł SMS. Dlatego nie powinno
się tego robić.
Dodatkowo SMSy nie gwarantują tajności, to też jest problem.

Albo ksiazeczke czekowa ?

Jak to było? 1000 zł * liczba czeków przez 24 godziny od momentu
zastrzeżenia (w tym samym oddziale)? A może 48 godzin, nie pamiętam.
Alternatywnie, 300 zł na poczcie.

Ale czy tak od razu zauwazy brak ksiazeczki. Albo czy codziennie liczy w niej czeki :-)

Albo dowod osobisty ...

No to akurat nie powinno oznaczać automatycznie wielkiego zagrożenia,
tam jest zdjęcie i w przypadku przynajmniej istotnych operacji powinno
się na nie patrzeć, we własnym interesie. Nie daje to całkowitej
gwarancji zresztą.

I mowisz, ze nie da sie podstawic podobnej osoby ?
Szczegolnie, jak zdjecie sprzed 10 lat ...

Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa juz
chyba jest w miare normalna.

Tak, ale wtedy trzeba zmienić numer w banku wcześniej. Albo oddział itp.

No to dzwonisz, zmieniasz, i banku to nie dziwi :-)

Oby sie tylko nie skonczylo ze "pieniedzy nikt nie ukradl, ale dostep
ma do nich tylko osoba znajaca haslo".
I ciekawe, czy sad cos tu moze pomoc, skoro taka umowa :-)

Możliwości są. Zawsze można się pofatygować osobiście do oddziału, każdy
bank działający w Polsce ma tu chyba oddział?

A tam "nie wyplacamy na dowod, wyplacacamy na haslo" :-)

J.

Dnia Tue, 14 Mar 2017 11:17:14 +0100, J.F. napisał(a):

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło
w bankowości internetowej. Dostęp do serwisu transakcyjnego został
zablokowany.

Wydaje mi się, że to do czegoś było potrzebne. Tzn. zablokowanie konta
internetowego - no bo jeśli przestępca znał hasło, to mógł także je
zmienić (skutecznie).

Byc moze po to, aby infolinia bez podejrzen "odblokowala dostep".

Żadna infolinia z podejrzeniami - do odblokowania dostępu w mBanku jest
automat. Podaje się numer klienta, telekod, nowe cyferkowe hasło i
pozamiatane.

--
Imka

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Byc moze po to, aby infolinia bez podejrzen "odblokowala dostep".

To mogło być coś takiego chyba.

Jak to było? 1000 zł * liczba czeków przez 24 godziny od momentu
zastrzeżenia (w tym samym oddziale)? A może 48 godzin, nie pamiętam.
Alternatywnie, 300 zł na poczcie.

Ale czy tak od razu zauwazy brak ksiazeczki. Albo czy codziennie liczy
w niej czeki :-)

Ale wtedy mniejszy, że się tak wyrażę, "zysk".

[DO]

I mowisz, ze nie da sie podstawic podobnej osoby ?
Szczegolnie, jak zdjecie sprzed 10 lat ...

Dlatego to jest ryzyko banku. Tzn. klienta także, bo jak później
udowodnić, że nie jest wielbłądem. Zwłaszcza, gdy nagranie z CCTV
"ulegnie zniszczeniu".

Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa
juz
chyba jest w miare normalna.

Tak, ale wtedy trzeba zmienić numer w banku wcześniej. Albo oddział
itp.

No to dzwonisz, zmieniasz, i banku to nie dziwi :-)

Ale wtedy dzwonię ze starego numeru.

Możliwości są. Zawsze można się pofatygować osobiście do oddziału,
każdy
bank działający w Polsce ma tu chyba oddział?

A tam "nie wyplacamy na dowod, wyplacacamy na haslo" :-)

Kto mówi o wypłacie - chodzi tylko o formalności.
Wypłaty na hasło to chyba nigdzie w oddziale nie ma. Bez hasła, gdy obie
strony się znają, łatwiej.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3tw6uwlre.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Jak to było? 1000 zł * liczba czeków przez 24 godziny od momentu
zastrzeżenia (w tym samym oddziale)? A może 48 godzin, nie pamiętam.
Alternatywnie, 300 zł na poczcie.

Ale czy tak od razu zauwazy brak ksiazeczki. Albo czy codziennie liczy
w niej czeki :-)

Ale wtedy mniejszy, że się tak wyrażę, "zysk".

Ale kwestia odpowiedzialnosci klienta za niefrasobliwosc podobna.

A nie mozna czeku na wyzsza kwote wypisac ?

Nawet jak nie wyplaca gotowki od reki, to sprobowac na konto wplacic .... zalozone na slupa.

[DO]

I mowisz, ze nie da sie podstawic podobnej osoby ?
Szczegolnie, jak zdjecie sprzed 10 lat ...

Dlatego to jest ryzyko banku. Tzn. klienta także, bo jak później
udowodnić, że nie jest wielbłądem. Zwłaszcza, gdy nagranie z CCTV
"ulegnie zniszczeniu".

Wiecznie nagran nie przechowuja.
Choc fotki przy wiekszych transakcjach by mogli.

Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa
juz chyba jest w miare normalna.

Tak, ale wtedy trzeba zmienić numer w banku wcześniej. Albo oddział
itp.

No to dzwonisz, zmieniasz, i banku to nie dziwi :-)

Ale wtedy dzwonię ze starego numeru.

Hm, skoro mam juz nowy numer ... a stary juz niekoniecznie ...

Możliwości są. Zawsze można się pofatygować osobiście do oddziału,
każdy bank działający w Polsce ma tu chyba oddział?

A tam "nie wyplacamy na dowod, wyplacacamy na haslo" :-)

Kto mówi o wypłacie - chodzi tylko o formalności.
Wypłaty na hasło to chyba nigdzie w oddziale nie ma. Bez hasła, gdy obie
strony się znają, łatwiej.

A tam to samo "dowod nie jest wystarczajacym potwierdzeniem tozsamosci, prosze podac umowione haslo " :-)

W sumie ... mozna by jeszcze na odcisk palca.

J.

On Wed, 15 Mar 2017 18:21:26 +0100, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Ale kwestia odpowiedzialnosci klienta za niefrasobliwosc podobna.

A dlaczego nikt nie zakłada, że "poszkodowana" działała że złodziejem wspólnie i w porozumieniu?

--
Marek

Dnia Thu, 16 Mar 2017 19:30:15 +0100, Marek napisał(a):

A dlaczego nikt nie zakłada, że "poszkodowana" działała że złodziejem wspólnie i w porozumieniu?

Jak to "nikt"?

Przecież bank tak założył, odmawiając poszkodowanej przez cztery lata
zwrotu zdeponowanych u niego pieniędzy.



--
Imka

On Thu, 16 Mar 2017 21:25:31 +0100, Imka <spamtrapimki@gazeta.pl> wrote:

Jak to "nikt"?

No wszyscy tutaj dyskutują jak to się stało, że "złodziej" znał.telekod...

--
Marek

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Ale czy tak od razu zauwazy brak ksiazeczki. Albo czy codziennie
liczy
w niej czeki :-)

Ale wtedy mniejszy, że się tak wyrażę, "zysk".

Ale kwestia odpowiedzialnosci klienta za niefrasobliwosc podobna.

W sensie kwoty, to odpowiednio mniejsza.

A nie mozna czeku na wyzsza kwote wypisac ?

Można, ale nie wypłacali (chyba że podpis będzie podobny do tego na
karcie wzorów, i będą środki na koncie). Do 1000 zł w oddziale oraz do
300 zł na poczcie - bez sprawdzania czegokolwiek, tylko na podstawie
blankietu.

Tak oczywiście było wtedy, gdy tego używałem.

Dlatego to jest ryzyko banku. Tzn. klienta także, bo jak później
udowodnić, że nie jest wielbłądem. Zwłaszcza, gdy nagranie z CCTV
"ulegnie zniszczeniu".

Wiecznie nagran nie przechowuja.
Choc fotki przy wiekszych transakcjach by mogli.

W każdym razie, to do banku należy, przynajmniej teoretycznie, dowód, że
klient zawarł umowę. Nie dokument klienta, ani nie dokument podobny do
dokumentu klienta, ale konkretna osoba.

A tam to samo "dowod nie jest wystarczajacym potwierdzeniem
tozsamosci, prosze podac umowione haslo " :-)

W sumie ... mozna by jeszcze na odcisk palca.

Nie jestem pewien, czy umowa może ograniczyć możliwość uznania danej
osoby za nią samą, jeśli jest obecna osobiście, i posiada dokument
potwierdzający urzędowo jej tożsamość.

Bank mógłby znaleźć jakąś wadę dokumentu (np. zdjęcie przedstawiające
inną osobę, dokument przerobiony itp). Jeśli jednak takiej wady nie
widzi, to słabo widzę np. możliwość nieuznania oświadczenia woli
np. w sprawie wypowiedzenia umowy.
--
Krzysztof Hałasa

P.S.  Samcik opisywal troche przypadkow

http://samcik.blox.pl/2014/02/Tak-internetowi-zlodzieje-kradna-nasze-pieniadze.html
ciekawe, ze wszedzie mbank

Jeden ciekawszy bardziej
"10 stycznia 2013 r. doszło do omyłkowego przelewu z mojego konta na konto złodzieja. Wykryliśmy to, gdy pieniądze wyszły z naszego konta na konto oszusta, ale prawdopodobnie jeszcze przed ich zaksięgowaniem. Zgłosiliśmy wszystko do prokuratury i na policję. Prawdopodobnie mBank zawiadomił równolegle BZ WBK (na konto w tym banku poszły środki), by zablokował pieniądze (ok.  27.000 zł). Prokurator po trzech miesiącach poinformował nas, że osoba, która jest właścicielem konta w BZ WBK, nie została zidentyfikowana i nie ma powodu, by blokować ten rachunek. Tym samym straciliśmy środki, łapiąc złodzieja praktycznie za rękę. Kuriozalna sytuacja. Zwróciliśmy się do banków o pomoc i do KNF o interwencję. Ale na razie bezskutecznie"


Az sie sprawa zajela KNF. Tzn ogolnie - nie powyzsza
http://samcik.blox.pl/2017/03/Zgubiles-albo-zmieniles-telefon-Czeka-cie-wyprawa.html
" W najnowszych wytycznych dla banków KNF zaleca, by nie można było zdalnie zmienić numeru telefonu przypisanego do danego klienta na etapie podpisywania umowy. Każdy z nas, gdy zakłada konto w banku, podaje jakiś numer telefonu do kontaktu oraz do wysyłania SMS-ów autoryzacyjnych. KNF-owi chodzi o to, by nie dało się go później zmienić bez fizycznego pokazania się w placówce banku lub bez innej, równie wiarygodnej formie weryfikacji. Bank ma mieć 100% pewności, że to klient, a nie złodziej, chce teraz przekierować SMS-y autoryzacyjne na nowy numer. "

Ciekawe - problem stal sie taki istotny, ze KNF musi za banki dbac o ich pieniadze ? :-)

A moze na zlecenie CBA/Ziobry organizuja tajny dostep dla sluzb - teraz bedzie mozna u operatora sprawdzic kto komu ile przelewa.

Czy moze KNF sie obawia, ze jakis zmasowany atak moze doprowadzic do bankructwa banku - a tego nikt nie chce ...

J.