Lubisz BLIK-a? Oszuści też! Przykład podatności niezałatanej od maja [cz. 1/3]
![Lubisz BLIK-a? Oszuści też! Przykład podatności niezałatanej od maja [cz. 1/3]](https://wykop.pl/cdn/c3397993/link_16647297901S3Ll3fvNwZ7N24zMzhsNa,w300h194.jpg)
tl;dr: mBank nie wymusza SCA dla nieaktywnych numerów telefonu, co uniemożliwia namierzenie oszusta przyjmującego przelewy na BLIK
- #
- #
- #
- #
- #
- #
- 10
- Odpowiedz
Treści powiązane (1)
Hity
tygodnia
Komentarze (10)
najlepsze
Moim zdaniem problem nieco na wyrost. Jaki problem zrobić nawet aktywny numer na słupa? Pieniądze z klika jakoś wypłacić trzeba.
Numer telefonu można ukraść poprzez socjotechnikę i wyrobienie duplikatu sim.
W jaki sposób aktywna karta podnosi bezpieczeństwo? Wrzucasz taką do modemu podpiętego do raspbery pi i możesz obsługiwać z końca świata.
Wiesz, żeby to oceniać wypadałoby przeprowadzić analizę ryzyka. Od tego są specjaliści w bankowości i mogą po prostu wyliczyć jakie są potencjalne straty wynikające z tego przypadku brzegowego.
Tak na dobrą sprawę pieniądze i tak muszą trafić na konto bankowe. To konto podlega restrykcyjnym procesom identyfikacji wiec przestępca musi mieć słupa. Jak
@potezny_konfederata: Dobre security polega na tym, żeby nie było upierdliwe dla zwykłych użytkowników. Wszyscy wprost uwielbiają przepisywać smsy żeby potwierdzać to czy tamto.
Dobre security jest tez dostosowane do chronionej wartości. Możesz sobie zainstalować drzwi pancerne klasy IV w szopie na miotły tylko chyba się to nie opłaca.
Ile jest
2) aktywny numer telefonu dla przelewów na blik można mieć tylko w 1 banku i to jest "klucz" (paypal ma np maila). W interesie kogoś kto chce odbierać przelewy jest przypięcie odpowiedniego numeru tel. do rachunku.
3) Mechanizmy weryfikacji numeru nie pomogą dla tych co wysyłają pieniądze przelewem na telefon, szczególnie
@albin_kolano: Dlatego właśnie maila wysłałem m.in. do firmy Polski Standard Płatności Sp. z o.o., jest to widoczne w polu "Do:"
@albin_kolano: Nie kwestionowałem tego, brzmi logicznie. Problem nie polega na tym, że można znaleźć bank po numerze tylko na tym, że nie można znaleźć właściciela
@potezny_konfederata: I bardzo dobrze. Nikt nie powinien mieć możliwości po numerze telefonu pozyskania informacji kim jestem, a tym bardziej w jakim banku mam usługę.