Aktywne Wpisy
hdeck +1168
Czołem Mirasy i Mirabele!
Nadszedł czas podsumowań po 3 miesiącach zmagań #grubyzaklad. Na szybko to można napisać, że był chłop, nima chłopa. Był bebech, został bebeszek, były cyce, są cycunie.
Poniżej podsumowanie mojej strony wyzwania. @buchajacy_rog ma w innym terminie wstawić swoje.
Waga w czwartek o poranku to 83 kg! Jest to mój absolutny dołek z 3 miesięcy, nie wierzyłem że to jest możliwe w tak krótkim czasie. Ostatni raz tyle
Nadszedł czas podsumowań po 3 miesiącach zmagań #grubyzaklad. Na szybko to można napisać, że był chłop, nima chłopa. Był bebech, został bebeszek, były cyce, są cycunie.
Poniżej podsumowanie mojej strony wyzwania. @buchajacy_rog ma w innym terminie wstawić swoje.
Waga w czwartek o poranku to 83 kg! Jest to mój absolutny dołek z 3 miesięcy, nie wierzyłem że to jest możliwe w tak krótkim czasie. Ostatni raz tyle
źródło: PSX_20240201_081412
Pobierz
Kopyto96 +378
My tu pitu pitu o spadku dzietności, a teraz pytanie brzmi: Jak niby para ma mieć dziecko, skoro w tym raju dla deweloperów, żeby mieć dzieciaka, trzeba mieć mieszkanie 3 pokojowe, które kosztuje 800.000 - 1.000 000 zł ? XD Przecież w Polsce buduje się ustrój feudalistyczny i następuje zwijanie się społęczeństwa.
I teraz wyobraźmy sobie, że mówimy o związku Strażaka z Pielęgniarką, którzy razem zarabiają z 12k XD No nie wolno
I teraz wyobraźmy sobie, że mówimy o związku Strażaka z Pielęgniarką, którzy razem zarabiają z 12k XD No nie wolno
Data: Apr 5, 2022
Do: kontakt @mbank, sygnaly #knf, redakcja #niebezpiecznik, kontakt #blik
Szanowni Państwo![1]
Wydaje mi się, że odkryłem podatność systemów bezpieczeństwa mBanku, którą mogą wykorzystywać oszuści internetowi do "pracy". Proszę o informację [2], czy opisane przeze mnie niedopatrzenia naprawdę mają miejsce, czy i kiedy nastąpi poprawa oraz kontakt z właściwymi organami w zakresie: pomocy pokrzywdzonym, zweryfikowania zgodności z regulacjami, edukacji w dziedzinie bezpieczeństwa, poinformowania klientów o możliwych konsekwencjach.
Błąd jest trywialny i nie tkwi w szczegółach implementacji Państwa systemów, a na poziomie decyzji projektowych. Polega on na tym, że numer telefonu wykorzystywany do przelewów BLIK nie jest weryfikowany więcej niż raz (przy rejestracji).
Dlaczego to jest problem? Posłużę się dwoma przypadkami użycia:
1. Mariola kupuje przez internet szafkę. Sprzedawca kontaktuje się z nią na Whatsappie z numeru xxx xxx xxx [3], ustalają cenę i inne warunki zakupu, po czym sprzedawca prosi Mariolę o wykonanie przelewu BLIK. Mariola wpłaca żądaną kwotę, po czym kontakt się urywa, została oszukana. Okazuje się, że nr xxx xxx xxx już od kilku miesięcy jest nieaktywny, według danych operatora był użyty tylko raz, w puszczy Kampinoskiej, w telefonie ze sztucznym ("zespoofowanym") numerem IMEI. Policja jest bezradna, nie może wykryć sprawcy. Zanim zdążą zablokować konto bankowe powiązane z tym numerem, środki są już dawno wypłacone przez sprawcę w bankomacie / kupiono za nie kryptowaluty.
2. Stanisław jest profesjonalnym dostawcą usług elektronicznych dla oszustów takich jak ten z przypadku nr 1. Za niewiele powyżej 800 zł oferuje konto bankowe "na słupa", do którego obsługi udostępnia klientowi aplikację bankową z obsługą BLIK-ów. Stanisław nie musi fizyczynie przekazywać karty SIM klientowi, ponieważ klient nie potrzebuje periodycznie potwierdzać w mBanku, że posługuje się tym numerem telefonu. Ba, klient Stanisława nawet nie musi używać tej aplikacji bankowej, ona jest potrzebna tylko do rejestracji BLIK-a, potem można już robić wszystko przez www.
Jak to robią inne banki? Otóż na nr telefonu do BLIK-ów przychodzą najczęściej również kody potwierdzające przelewy. Nie działa numer - nie można zbytnio korzystać z konta, gdyż zgodnie z obowiązującą dyrektywą PSD2, silne uwierzytelnianie tą metodą chroni właśnie między innymi przed takimi sytuacjami. Problem polega na tym, że mBank oferuje oprócz kodów SMS mobilną autoryzację[4] (to samo w sobie nie jest złe), która przy umiejętnym korzystaniu z telefonu (podtrzymywanie sesji, nieresetowanie do ustawień fabrycznych itp.) pozwala miesiącami unikać ponownej weryfikacji SMS.
Jak to naprawić?
Primo, natychmiast deaktywować[5] SCA z użyciem mobilnej autoryzacji dla osób, które od powiedzmy dwóch tygodni nie posługiwały się swoim numerem telefonu do jakiegokolwiek kontaktu z bankiem - udane wpisanie kodu SMS, kontakt z infolinią, itp. Ewentualnie można jeszcze sprytniej: wytypować podejrzane konta, tj. te które dostają dużo przelewów blikiem od różnych osób, a nie robią tego co zwykli ludzie (pensja, płatności kartą) i spróbować do nich zadzwonić - konta których telefon nie działa ("nie ma takiego numeru") lub zgłasza się poczta, natychmiast blokować do wyjaśnienia.
Secundo, jakiś mechanizm na przyszłość. Tutaj przyda się inwencja:
a) Można zrobić coś takiego jak Apple w usłudze iMessage - aplikacja ma stały dostęp do sms przychodzących i po prostu w razie potrzeby bank coś jej tam wysyła, jeśli nie uda się doręczyć wiadomości, deaktywacja BLIK-a do czasu ponowienia rejestracji.
b) Wymusić raz w miesiącu SCA z użyciem sms dla każdego konta BLIK.
c) Deaktywacja BLIK-a w przypadku długiego niekorzystania z aplikacji, lub w przypadku istotnych różnic w geolokacji IP używanego w przeglądarce www oraz aplikacji (np. Stanisław aktywuje aplikację w Rzeszowie a jego klient jest z Olsztyna i tylko stamtąd robi przelewy).
d) Trudniejsze - pozbyć się kont "na słupa" - niestety nie jestem na bieżąco, nie wiem jak aktualnie je zakładają. Czy wykorzystują dowód kolekcjonerski, przelewy weryfikujące czy jeszcze coś innego. Ale wystarczy że nie będą mogli robić BLIK-ów i już świat stanie się nieco piękniejszy.
e) Trudniejsze, bo wymagałoby zmian w całym BLIK-u - skomplikować nieco procedurę przelewów na telefon. Otóż to nie jest dobry pomysł, żeby każdy, kto zna czyjś nr telefonu, mógł wykonać przelew na kwotę 1 zł do tej osoby i w ten sposób poznać jej nr konta. Lepszym pomysłem byłoby 2-stronne dodawanie się "do znajomych", przekazywanie w toku tej procedury danych adresowych (tak jak ma to miejsce w polu "nadawca" przelewu) i dopiero gdy Mariola będzie zadowolona z porównania danych sprzedawcy z ogłoszenia z danymi jego konta, wyśle płatność.
f) Nieco prostsze niż e - przed wysłaniem BLIK-a na numer telefonu, z którym do tej pory nigdy nie robiliśmy transakcji, niech aplikacja zażąda od mBanku wysłania mu kodu SMS, który następnie ma nam podać i wpisujemy go w aplikacji.
f) Dopiero trudne - stworzyć "BLIK-owe Pogotowie", infolnię lub stronę www, na której można zgłaszać numery telefonu używane do oszustw. Trzy zgłoszenia i ciach - deaktywacja BLIK-a na danym numerze i cichy alert do banku posiadacza konta.
Osobną kwestią jest, że sądząc choćby po artykułach na Niebezpieczniku, oszustwa na BLIK-a z użyciem kodów jednorazowych stanowią istną plagę i zdumiewa mnie, że brak jest podobnych inicjatyw w tamtym zakresie. Tym też mam się ja zająć?
Przypisy:
1. Z doświadczenia w podobnych sprawach wiem, że kopia do KNF i Niebezpiecznika pomaga w nadaniu sprawie biegu i zabezpieczeniu systemów. Nie wykluczam także, że podobny problem dotyczy innych banków, ja tylko wiem że mBanku na pewno.
2. Mogę w razie potrzeby podpisać stosowne NDA. W przypadku braku jakiejkolwiek reakcji w ciągu miesiąca, ponieważ chciałbym ze względu na dobro obywateli publikować tej sprawy, będę zmuszony podzielić się swoimi podejrzeniami z prokuraturą.
3. Ten numer naprawdę spotkałem na swojej drodze. Nie sprzedaje wprawdzie szafek, ale i tak proponuję na niego zadzwonić celem sprawdzenia ("nie ma takiego numeru") i zerknąć do swojej aplikacji bankowej - ma aktywnego BLIK-a. Mogę dostarczyć jeszcze kilka podobnych numerów do sprawdzenia / zablokowania. Ze względu na ich ilość podejrzewam działania na masową skalę i zajście przypadku nr 2.
4. Która tak naprawdę jest autentykacją, ale nie wymagajmy od polskich banków zatrudniania fachowców takich jak ja. Jednak jeśli otrzymam linka do oferty pracy na stanowisku zajmującym się podobnymi problemami, rozważę swoją kandydaturę.
5. Czyli nie zablokować trwale, a po prostu wymusić ponowną aktywację z użyciem sms lub wizyty w oddziale/kontaktu z infolinią.