Jedyne sensowne co widzę to coś w rodzaju aktywnego tokena w telefonie - takiego, który oprócz challenge ze strony banku wymagałby też np. fragmentu numeru konta (BTW, coraz więcej bankow zabezpiecza się przed copy-paste albo nie pozwalając wkleić nr konta ze schowka - albo np usuwając niektóre cyfry). Co nie zmienia faktu, że jak ktoś pwnuje waszą przeglądarkę, to pwnuje wasze konto.
A swoją drogą dalej chyba łatwiej próbować podstawić lewy numer
osoba wykrywa, że wirus podmienia numery kont i co dalej, na antywirusa nie ma co liczyć, jak znaleźć i usunąć wirusa bez robienia reinstalacji systemu?
@AppleDash: 1) Na żadnego antywirusa działającego "w tle" nie ma co liczyć - to pic na wodę wykrywający tylko najbardziej prymitywne i leciwe zagrożenia... 2) ...dlatego właśnie, gdy już stwierdzono infekcję warto jest przeskanować jakimś av z bootowalnej płytki. Zazwyczaj wykrywa i rozwiązuje przynajmniej część problemów.
Ja miałem podobny przypadek, akurat mam konto w Alior Banku. Miałem szczęście, że akurat robiłem przelew do ZUS i zdziwiło mnie, że numer konta jest w jakimś prywatnym banku. Odbiorca zapisany i zdefiniowany jako zaufany, więc nie kopiowałem i wklejałem numeru Okazało się, że wystarczyło przejechać kursorem przez okienko w którym był numer konta odbiorcy i numer się podmieniał. Normalnie czary mary ale na szczęście nie straciłem pieniędzy. Oczywiście nie winię Aliora,
@Cinzano: Kłódka w adresie oznacza bezpieczeństwo podczas podróży Twojego zlecenia z Twojego komputera do serwera bankowego. A tu atak następuje zanim przelewik wyruszy w tę podróż.
@raffi74: Rozumiem proces, chodziło mi o to, że często banki mocno podkreślają ważność kłódki, usypiając tym samym czujność czy nie informując o możliwych innych typach zagrożeń. Powinna być jasna informacja: to że widzisz kłódkę nie oznacza, że możesz w pełni bezpiecznie korzystać z bankowości internetowej.
Nie wiem czy padło to pytanie ale co jeżeli hasła do konta mam wydrukowane na karcie do zdrapania? Czy wtedy nie ma szans uchronić się przed tego typu wyłudzeniem ?
Jedno rozwiązanie bardzo proste mogłoby się sprawdzić. Bank wysyła jak zwykle sms, oprócz wygenerowanych kilku cyfr kodu dodane są np 4 ostatnie cyfry numeru konta. Po wpisaniu kodu na stronie www, dostajemy porównanie 4 ostatnich cyfr na stronie banku i w smsie. Z technicznego punktu widzenia niewiele to zmienia ale wygodne porównanie przed kliknięciem akceptuj by się przydało. Nie wiem na ile możliwe i bezpieczne byłoby automatyczne porównanie przez mechanizm strony 4
@krzemas: Wybacz ale nie rozumiem co to zmienia... Skoro wirus czy cokolwiek siedzi na komputerze może ingerować w treści wyświetlane w przeglądarce, wówczas wszelkie zabezpieczenia zakładające weryfikację "wzrokową" przez użytkownika bazującą na danych wyświetlanych w oknie przeglądarki - są niewiarygodne. Weryfikacja automatyczna po stronie banku będzie zaś zawsze poprawna - o to dba wirus. Jedyne sensowne zabezpieczenie bazuje na użyciu dwóch odrębnych kanałów kontaktu z klientem - dane wyświetlane w
w Irlandii w bank daje do pobrania dodatkowy antywirus, do potwierdzenia przelewu potrzebny jest kod z "kalkulatora " do którego wkładam kartę wpisuję kod ze strony do kalkulatora, z kalkulatora na stronę po weryfikacji strona się odświeża i dwa razy trzeba potwierdzić, potem przychodzi SMS z zapytaniem czy to ja robiłem przelew, trzeba tylko bezpłatnie odpisać tak lub nie
@arturfartur: I też byś się dał okraść, bo w tej sprawie to właściciel rachunku robił przelew, a wirus miąchał tylko przy numerze rachunku odbiorcy ;-) To nie kalkulator, tylko token, takie urządzenia są też w Polskich bankach dostępne :)
Komentarze (394)
najlepsze
A swoją drogą dalej chyba łatwiej próbować podstawić lewy numer
Komentarz usunięty przez moderatora
2) ...dlatego właśnie, gdy już stwierdzono infekcję warto jest przeskanować jakimś av z bootowalnej płytki. Zazwyczaj wykrywa i rozwiązuje przynajmniej część problemów.
Okazało się, że wystarczyło przejechać kursorem przez okienko w którym był numer konta odbiorcy i numer się podmieniał. Normalnie czary mary ale na szczęście nie straciłem pieniędzy.
Oczywiście nie winię Aliora,
Weryfikacja automatyczna po stronie banku będzie zaś zawsze poprawna - o to dba wirus.
Jedyne sensowne zabezpieczenie bazuje na użyciu dwóch odrębnych kanałów kontaktu z klientem - dane wyświetlane w
I też byś się dał okraść, bo w tej sprawie to właściciel rachunku robił przelew, a wirus miąchał tylko przy numerze rachunku odbiorcy ;-) To nie kalkulator, tylko token, takie urządzenia są też w Polskich bankach dostępne :)