Widzę, że problem nie został dostatecznie poważnie potraktowany (podany numer nadal ma blika), w takim razie eskaluję dalej i będę eskalować aż do skutku. Oszustwo "na blika" jest obecnie jednym z najpopularniejszych w kraju i tym samym oczekuję realnych, audytowalnych działań w celu jego zapobieżeniu.
Jaskrawym przykładem opisanego przeze mnie wcześniej schematu nr 1 jest użytkownik numeru xxx xxx xxx - jak opisano, sam numer jest zawsze niedostępny, służy jedynie do odbierania blików lub kontaktu na (rosyjskiej zresztą) aplikacji Telegram. Użytkownik numeru zamieścił go (a więc odebrał sms weryfikacyjny od portalu na ten numer) w swoim ogłoszeniu pod adresem https://bdsm.pl/user.php?id=379461 - a więc portalu, nazwijmy to, randkowym, gdzie podaje się za dominującą panią, która zawsze podczas rozmowy żąda "zaliczki", oczywiście blikiem, a następnie blokuje kontakt tuż po otrzymaniu wpłaty (co wypełnia znamiona czynu z art. 286 kk). Kto nie wierzy, niech sam sprawdzi, "pani" urzęduje prawie całą dobę (skrypt jakiś czy praca zmianowa?). Zdjęcie, choć nie udało mi się znaleźć jego pochodzenia, pochodzi z jednego z rosyjskich portali typu vkontakte, oszuści w ostatnim czasie wyewoluowali na tyle, że na zdjęciach takich podmieniają za pomocą sztucznej inteligencji twarze na jakieś inne - tak aby wyszukiwarki obrazków nie potrafiły ich odnaleźć (wiem to, ponieważ ja dziennie takich wyszukiwań robię dziesiątki i niektóre mimo to udaje się odanaleźć, mogę na poczekaniu wskazać zainteresowanym redaktorom przykłady). Oszuści ci również wręcz szczycą się, że "nie da się im udowodnić" oszustwa identyfikacją osoby na zdjęciu, kłamią (co wiadomo choćby stąd, że po wpłacie blokują kontakt) że są tymi osobami, za które się podają i skoro nie widać jak na dłoni oszustwa, to oszustem jest osoba żądająca przed wpłatą weryfikacji głosowej lub wideo. Na marginesie należy zaznaczyć, że polska mentalność niestety często pozwala oszustowi odwrócić podejrzenia na "niedowiarka" samą tylko bezczelnością, bez jakiegokolwiek merytorycznego argumentu, dla którego należy tej osobie zaufać.
Należy zwrócić uwagę na modus operandi (dziesiątek) oszustów z tego portalu, żerują oni bowiem na ukrytych, często wstydliwych pragnieniach mężczyzn niedopieszczonych w małżeństwie lub po prostu nieszczęśliwych, często grożąc pokrzywdzonemu "wezwaniem całej rodziny na rozprawę" lub zawiadomieniem małżonki o niedyskrecjach w przypadku prób odzyskania zrabowanych środków. Jest to zjawisko, które w połączeniu z wtórną wiktymizacją ofiar zasługuje na szczególną dezaprobatę, świadczy bowiem o głębokiej demoralizacji sprawców. Natomiast szczytem karygodności jest już fakt, że w przypadku napisania do użytkownika wyżej przytoczonego, że np. znajdę go po numerze konta lub zgłoszę administratorowi jego bezprawną aktywność (o tym, dlaczego to nic nie daje, znajdą państwo osobny wątek "bdsm.pl przekręty" na forum Garsoniera - polecam w szczególności zacytowany tam tutorial o tym jak oszukiwać - https://www.garsoniera.com.pl/forum/topic/150032-bdsmpl-przekrety/?p=1658716 ), użytkownik ten, zamiast odczuć skruchę, bojaźń przed wymiarem sprawiedliwości czy chociaż wstyd, że komuś udało się go przyłapać na kłamstwie, odpisuje, uwaga uwaga, że "oni mają całą grupę" wymieniającą się poradami, namierzającą pokrzywdzonych celem szantażu, ocenami "klientów" celem skupiania swojej oraz "kolegów" uwagi na najbardziej podatnych, innymi słowy prowadzą na szeroką skalę zorganizowaną grupę przestępczą.
Nie chciałbym jednak państwa zanudzać szczegółami tego procederu, nie o to przecież tutaj chodzi. Jednak oprócz pójścia "śladem przestępców" można także podążać "śladem pieniędzy" i o tym jest mój e-mail. Dająca się zauważać niedbałość (oczywiście w przypadku dalszego ignorowania mojego zgłoszenia również po publikacji w mediach ogólnopolskich można będzie mówić już o zmowie) instytucji finansowych w celu zapobieżenia podobnym przestępstwom na podstawie opisanego przeze mnie już miesiąc temu schematu rodzi pytania, czy nasze pieniądze są przez banki dostatecznie chronione, czy podstawowa funkcja systemu bankowego, jaką jest możliwość ustalenia, nawet po 5 latach, kto był (rzeczywistym) odbiorcą przelewu nie jest jedynie pozorna.
Niech mi będzie wolno wskazać także inny ciekawy schemat działania oszustów z użyciem Blika. Firma Przelewy24 udostępnia możliwość zapłacenia za usługę (np. kupna biletów czy realizacji zakupów w sklepie internetowym) za pomocą Blika. My skupmy się na doładowywaniu konta na stronie https://www.efortuna.pl/ - zakładach bukmacherskich. Oszust z portalu bdsm.pl, który nie chce, aby poszkodowany miał w historii przelewów jego numer konta, żąda od niego "kodu blik", czyli ciągu 6-cyfrowego działającego w oparciu o Time-based OTP, po czym wpisuje go w Przelewach24 jako swój, a poszkodowany klika w swojej aplikacji bankowej guzik finalizujący transakcję. I tutaj pojawiają się następujące ciekawostki:
1. Transakcja nie jest w ogóle traktowana jako blik tylko jako przelew. Np. mój bank nie ma w swoich rejestrach informacji innych niż numer konta firmy Przelewy24. Pracownik infolinii mojego banku był aż zdziwiony tym, co zobaczył, gdy go o to pytałem. 2. Login użytkownika Fortuny wykorzystywany do transakcji, choć wyświetla się w chwili zatwierdzania przelewu (większość aplikacji bankowych nie pozwala wykonać zrzutu ekranu), jednak nie zapisuje się na wyciągu bankowym. 3. Fortuna pozwala, szybciej niż śledczy są w stanie uzyskać zwolnienie z tajemnicy bankowej, na wypłatę środków na "konto na słupa" oraz kupienie za nie kryptowalut (dalej to już chyba nie trzeba tłumaczyć, dlaczego przestępcy pozostają bezkarni). 4. Przelewy24 na żądanie poszkodowanego nie udostępnia żadnych informacji, ponieważ, uwaga, nie jest on stroną transakcji. Owszem, to jego pieniądze zostały zrabowane, ale klientem Przelewów24 jest Fortuna i z ich punktu widzenia transakcja została zrealizowana prawidłowo. 5. Złodziej również nie widzi danych wpłacającego (dlatego ta metoda bywa preferowana nad "blik na telefon", gdzie zostają numery kont i informacja o przelewie), zatem choćby chciał oddać środki, nie jest w stanie tego zrobić na podstawie danych, które posiada.
W tym miejscu postawię odważniejszą tezę niż poprzednio. Być może tych usterek systemu BLIK nie da się naprawić. Być może rozwiązania, które miałem na myśli, powodują nowe problemy bądź czynią cały interes nieopłacalnym. Zastanawia, dlaczego inne kraje nie zdecydowały się na podobne rozwiązania. Czy naprawdę chodzi o wyjątkową błyskotliwość polskich finansistów? Nie sądzę. Może po prostu system w tym kształcie jest po prostu wadliwy prawnie i należy go zdelegalizować. Być może wygoda użytkowania nie może przesłaniać wymagań stawianych przez ustawę "Prawo bankowe", np. art. 63c, który wymaga przecież, aby wierzyciel posiadał konto bankowe, na które wykonywany jest przelew, lub, ipso facto, aby dało się ustalić, kto posiadał dany rachunek w chwili dokonania przelewu.
Pozwolę sobie zawołać @adrian1702, ponieważ temat go zainteresował. @PrawieJakBordo zadał pytanie, na które odpowiedzieliśmy z komentatorami w znalezisku. @IvanBarazniew, ponieważ uznał poprzednią podatność za "na wyrost", ciekaw jestem więc, co sądzi o dzisiejszych. @albin_kolano, ponieważ postulował, że banki nie są winne, a raczej sam Blik lub użytkownicy - pytam zatem, czy dzisiaj nie widzi, że problem jest nieco szerszy.
Pomijając emocjonalną historię z portalem bdsm, najeży zwrócić uwagę na prosty fakt: numeru blik nie najeży nikomu podawać. Kropka. Każde podanie numeru osobie trzeciej jest proszeniem się o kłopoty podobnie jak podanie danych karty kredytowej albo opłacenie szemranej usługi za kogoś.
Tu nie ma mowy o żadnym złamaniu zabezpieczeń, to zwykła socjotechnika i wyłudzenie danych wrażliwych. Nie wiem czego oczekujesz, blik to super usługa do tego bezpieczna
@IvanBarazniew: Szefie, ale jak istnieje techniczna możliwość podania kodu blik do wypłaty z bankomatu osobie znajdującej się 500 km dalej, to ktoś to zrobi. Na tym polega zabezpieczenie, żeby tego się nie dało zrobić, pomimo zastosowania socjotechniki.
bo nie ma chargebacka
@IvanBarazniew: A dlaczego nie ma? Karty płatnicze też kiedyś nie miały, ale już mają. Czy to za duże wymaganie, żeby firma BLIK ścigała
Możesz podawać, I ja Czasem tak robię jak mi dzieciak dzwoni że chce coś kupić. Kumpla też kiedyś poratowałem na stacji benzynowej jak zatankował i zapomniał portfela. Mi się też kiedyś coś takiego zdarzyło i prosiłem o numer BLIK. Ale ZAWSZE weryfikuję sytuację (czyli dzwonię i pytam co i jak) oraz patrzę na kwotę i opis jakie się wyświetlają przy finalizowaniu transakcji. Czy się
@IvanBarazniew: no dokładnie tak - jedyna podatność jaką widzę jest zlokalizowana między klawiaturą, a fotelem.
@lurker: Powtarzam: takie podejście to negowanie istnienia bezpieczeństwa IT w ogólności. Użytkownicy zawsze będą popełniali błędy i winne zawsze będą systemy, które takie błędy umożliwiały, propagowały lub nie pozwalały ich naprawić post factum. Ponadto w przypadku przestępstwa oszustwa jest to zwyczajna https://pl.wikipedia.org/wiki/Wiktymizacja#Wt%C3%B3rna_wiktymizacja i powinieneś się wstydzić, jako obywatel, że tak w ogóle pomyślałeś.
Szefie, ale jak istnieje techniczna możliwość podania kodu blik do wypłaty z bankomatu osobie znajdującej się 500 km dalej, to ktoś to zrobi. Na tym polega zabezpieczenie, żeby tego się nie dało zrobić, pomimo zastosowania socjotechniki.
@potezny_konfederata: Blik ma zabezpieczenie w postaci zatwierdzenia transakcji w telefonie. Ale to zabezpieczenie niestety nie jest idiotoodporne.
Możesz podawać, I ja Czasem tak robię jak mi dzieciak dzwoni że chce coś kupić.
@odomdaphne5113: I tutaj wchodzi ciekawostka. Przyznajesz, że robisz de facto przelew do tej osoby. I prawo bankowe ma sporo regulacji o tym, co to jest przelew i jak to ma działać. BLIK przelewem formalnie nie jest i stąd pochodzą jego deficyty, o których piszę. Dlaczego da się zrobić nieprzelew do innej osoby?
Na tym polega zabezpieczenie, żeby tego się nie dało zrobić, pomimo zastosowania socjotechniki.
@potezny_konfederata: Numer karty kredytowej tez da się podać, kartę bankomatową da się skopiować, kartę SIM da się ukraść przez wyrobienie duplikatu u operatora na lewe dokumenty. Mino tego wszystkie te technologie są w użyciu.
Kod blik może być wygenerowany tylko przez właściciela rachunku, potem musi być przekazany i wykorzystany w 2 min. Do tego aby go użyć właściciel
@IvanBarazniew: WSZYSCY, których znam, mają 3d secure, sam numer karty nic ci nie da, chyba że na Paypalu itp., które mają mocne programy typu chargeback, więc tam ewentualny scam uda się cofnąć.
kartę bankomatową da się skopiować
@IvanBarazniew: Kartę z paskiem, bo chipa nie skopiujesz. Karty z samym paskiem obsługuje tylko marginalna ilość terminali. No i w takim przypadku, jak wyżej, zgłosisz to
@sha128: Łał, pięć osób, zresztą z argumentami tak słabymi, że bez zastanowienia każdy skontrował. Czekam na wypowiedź specjalistów z dziedziny bezpieczeństwa IT, osób które padały ofiarami podobnych oszustw, organów ścigania.
i powinieneś się wstydzić, jako obywatel, że tak w ogóle pomyślałeś.
@potezny_konfederata: Każda technologia jak zaawansowana by nie była, wymaga minimum inteligencji. Żeby zapalić światło trzeba wiedzieć jak działa włącznik. Blik jest najbardziej odporną a jednocześnie wygodną i niosąca małe ryzyko technologią do płacenia.
1. Nie wymaga logowania i podawania permanentnych wrażliwych danych. 2. Używa prostego do przekazania kodu. 3. Używa osobnego kanału do potwierdzenia 4. Transakcja ma ustalony limit czasu
@IvanBarazniew: Chłopie, absolutne podstawy. Nigdzie nie napisałem, że BLIK w ogólności się nie nadaje, tylko wskazałem konkretne podatności w nim i oczekuję ich naprawienia. Powtórzę: nie powinno się dać zrobić blika na nieczynny numer telefonu, nie powinno dać się zrobić blika osobie nieznajomej, której potem nie będzie mogła znaleźć policja, bądź do usługi, z której nie będzie się ich dało odzyskać po stwierdzeniu oszustwa. Są to podstawowe właściwości wynikające z prawa
Czekam na wypowiedź specjalistów z dziedziny bezpieczeństwa IT, osób które padały ofiarami podobnych oszustw, organów ścigania
@potezny_konfederata: Blika opracowało do spółki 6 banków. Wszyscy możliwi spece od bezpieczeństwa już się wypowiedzieli. Blik jest dostępny również na terminalach płatniczych i w bankomatach.
Jasne mimo tego co wymieniłem dziury mogą się znaleść, natomiast jak dotąd poza socjotechniką najniższych lotów nie znam sposobu na złamanie tego systemu.
@IvanBarazniew: Taki dajmy na to szwajcarski Twint https://www.twint.ch/en/ wymaga przy płatności w sklepie zeskanowania kodu QR. Przy płatnościach P2P weryfikujesz dane odbiorcy jakie podał bankowi. Ma także support, w którym możesz zgłosić podejrzanego odbiorcę.
wymaga przy płatności w sklepie zeskanowania kodu QR
@potezny_konfederata: O co, nie można tego kodu zakleić innym? Poza tym aplikacja musi mieć dostęp do aparatu. Bikiem też możesz zapłacić w sklepie, i w dowolnym innym miejscu i to przez istniejące terminale wiec bardzo łatwo wdrożyć ten system sprzedawcom.
Myslales, ze w niedziele juz bedzie 12 stopni i spoko? A WLASNIE #!$%@? ZE NIE, #!$%@? akurat deszcz w czasie najwyzszej temperatury, zebys sie zesrał od tej szarugi i nie wychodził z domu.
Data: May 7, 2022
Do: kontakt @mbank, sygnaly #knf, redakcja #niebezpiecznik, kontakt #blikomania
Oraz do: adam @ZaufanaTrzeciaStrona, press @Bezprawnik redakcja #bankierpl
Widzę, że problem nie został dostatecznie poważnie potraktowany (podany numer nadal ma blika), w takim razie eskaluję dalej i będę eskalować aż do skutku. Oszustwo "na blika" jest obecnie jednym z najpopularniejszych w kraju i tym samym oczekuję realnych, audytowalnych działań w celu jego zapobieżeniu.
Jaskrawym przykładem opisanego przeze mnie wcześniej schematu nr 1 jest użytkownik numeru xxx xxx xxx - jak opisano, sam numer jest zawsze niedostępny, służy jedynie do odbierania blików lub kontaktu na (rosyjskiej zresztą) aplikacji Telegram. Użytkownik numeru zamieścił go (a więc odebrał sms weryfikacyjny od portalu na ten numer) w swoim ogłoszeniu pod adresem https://bdsm.pl/user.php?id=379461 - a więc portalu, nazwijmy to, randkowym, gdzie podaje się za dominującą panią, która zawsze podczas rozmowy żąda "zaliczki", oczywiście blikiem, a następnie blokuje kontakt tuż po otrzymaniu wpłaty (co wypełnia znamiona czynu z art. 286 kk). Kto nie wierzy, niech sam sprawdzi, "pani" urzęduje prawie całą dobę (skrypt jakiś czy praca zmianowa?). Zdjęcie, choć nie udało mi się znaleźć jego pochodzenia, pochodzi z jednego z rosyjskich portali typu vkontakte, oszuści w ostatnim czasie wyewoluowali na tyle, że na zdjęciach takich podmieniają za pomocą sztucznej inteligencji twarze na jakieś inne - tak aby wyszukiwarki obrazków nie potrafiły ich odnaleźć (wiem to, ponieważ ja dziennie takich wyszukiwań robię dziesiątki i niektóre mimo to udaje się odanaleźć, mogę na poczekaniu wskazać zainteresowanym redaktorom przykłady). Oszuści ci również wręcz szczycą się, że "nie da się im udowodnić" oszustwa identyfikacją osoby na zdjęciu, kłamią (co wiadomo choćby stąd, że po wpłacie blokują kontakt) że są tymi osobami, za które się podają i skoro nie widać jak na dłoni oszustwa, to oszustem jest osoba żądająca przed wpłatą weryfikacji głosowej lub wideo. Na marginesie należy zaznaczyć, że polska mentalność niestety często pozwala oszustowi odwrócić podejrzenia na "niedowiarka" samą tylko bezczelnością, bez jakiegokolwiek merytorycznego argumentu, dla którego należy tej osobie zaufać.
Należy zwrócić uwagę na modus operandi (dziesiątek) oszustów z tego portalu, żerują oni bowiem na ukrytych, często wstydliwych pragnieniach mężczyzn niedopieszczonych w małżeństwie lub po prostu nieszczęśliwych, często grożąc pokrzywdzonemu "wezwaniem całej rodziny na rozprawę" lub zawiadomieniem małżonki o niedyskrecjach w przypadku prób odzyskania zrabowanych środków. Jest to zjawisko, które w połączeniu z wtórną wiktymizacją ofiar zasługuje na szczególną dezaprobatę, świadczy bowiem o głębokiej demoralizacji sprawców. Natomiast szczytem karygodności jest już fakt, że w przypadku napisania do użytkownika wyżej przytoczonego, że np. znajdę go po numerze konta lub zgłoszę administratorowi jego bezprawną aktywność (o tym, dlaczego to nic nie daje, znajdą państwo osobny wątek "bdsm.pl przekręty" na forum Garsoniera - polecam w szczególności zacytowany tam tutorial o tym jak oszukiwać - https://www.garsoniera.com.pl/forum/topic/150032-bdsmpl-przekrety/?p=1658716 ), użytkownik ten, zamiast odczuć skruchę, bojaźń przed wymiarem sprawiedliwości czy chociaż wstyd, że komuś udało się go przyłapać na kłamstwie, odpisuje, uwaga uwaga, że "oni mają całą grupę" wymieniającą się poradami, namierzającą pokrzywdzonych celem szantażu, ocenami "klientów" celem skupiania swojej oraz "kolegów" uwagi na najbardziej podatnych, innymi słowy prowadzą na szeroką skalę zorganizowaną grupę przestępczą.
Nie chciałbym jednak państwa zanudzać szczegółami tego procederu, nie o to przecież tutaj chodzi. Jednak oprócz pójścia "śladem przestępców" można także podążać "śladem pieniędzy" i o tym jest mój e-mail. Dająca się zauważać niedbałość (oczywiście w przypadku dalszego ignorowania mojego zgłoszenia również po publikacji w mediach ogólnopolskich można będzie mówić już o zmowie) instytucji finansowych w celu zapobieżenia podobnym przestępstwom na podstawie opisanego przeze mnie już miesiąc temu schematu rodzi pytania, czy nasze pieniądze są przez banki dostatecznie chronione, czy podstawowa funkcja systemu bankowego, jaką jest możliwość ustalenia, nawet po 5 latach, kto był (rzeczywistym) odbiorcą przelewu nie jest jedynie pozorna.
Niech mi będzie wolno wskazać także inny ciekawy schemat działania oszustów z użyciem Blika. Firma Przelewy24 udostępnia możliwość zapłacenia za usługę (np. kupna biletów czy realizacji zakupów w sklepie internetowym) za pomocą Blika. My skupmy się na doładowywaniu konta na stronie https://www.efortuna.pl/ - zakładach bukmacherskich. Oszust z portalu bdsm.pl, który nie chce, aby poszkodowany miał w historii przelewów jego numer konta, żąda od niego "kodu blik", czyli ciągu 6-cyfrowego działającego w oparciu o Time-based OTP, po czym wpisuje go w Przelewach24 jako swój, a poszkodowany klika w swojej aplikacji bankowej guzik finalizujący transakcję. I tutaj pojawiają się następujące ciekawostki:
1. Transakcja nie jest w ogóle traktowana jako blik tylko jako przelew. Np. mój bank nie ma w swoich rejestrach informacji innych niż numer konta firmy Przelewy24. Pracownik infolinii mojego banku był aż zdziwiony tym, co zobaczył, gdy go o to pytałem.
2. Login użytkownika Fortuny wykorzystywany do transakcji, choć wyświetla się w chwili zatwierdzania przelewu (większość aplikacji bankowych nie pozwala wykonać zrzutu ekranu), jednak nie zapisuje się na wyciągu bankowym.
3. Fortuna pozwala, szybciej niż śledczy są w stanie uzyskać zwolnienie z tajemnicy bankowej, na wypłatę środków na "konto na słupa" oraz kupienie za nie kryptowalut (dalej to już chyba nie trzeba tłumaczyć, dlaczego przestępcy pozostają bezkarni).
4. Przelewy24 na żądanie poszkodowanego nie udostępnia żadnych informacji, ponieważ, uwaga, nie jest on stroną transakcji. Owszem, to jego pieniądze zostały zrabowane, ale klientem Przelewów24 jest Fortuna i z ich punktu widzenia transakcja została zrealizowana prawidłowo.
5. Złodziej również nie widzi danych wpłacającego (dlatego ta metoda bywa preferowana nad "blik na telefon", gdzie zostają numery kont i informacja o przelewie), zatem choćby chciał oddać środki, nie jest w stanie tego zrobić na podstawie danych, które posiada.
W tym miejscu postawię odważniejszą tezę niż poprzednio. Być może tych usterek systemu BLIK nie da się naprawić. Być może rozwiązania, które miałem na myśli, powodują nowe problemy bądź czynią cały interes nieopłacalnym. Zastanawia, dlaczego inne kraje nie zdecydowały się na podobne rozwiązania. Czy naprawdę chodzi o wyjątkową błyskotliwość polskich finansistów? Nie sądzę. Może po prostu system w tym kształcie jest po prostu wadliwy prawnie i należy go zdelegalizować. Być może wygoda użytkowania nie może przesłaniać wymagań stawianych przez ustawę "Prawo bankowe", np. art. 63c, który wymaga przecież, aby wierzyciel posiadał konto bankowe, na które wykonywany jest przelew, lub, ipso facto, aby dało się ustalić, kto posiadał dany rachunek w chwili dokonania przelewu.
Pomijając emocjonalną historię z portalem bdsm, najeży zwrócić uwagę na prosty fakt: numeru blik nie najeży nikomu podawać. Kropka. Każde podanie numeru osobie trzeciej jest proszeniem się o kłopoty podobnie jak podanie danych karty kredytowej albo opłacenie szemranej usługi za kogoś.
Tu nie ma mowy o żadnym złamaniu zabezpieczeń, to zwykła socjotechnika i wyłudzenie danych wrażliwych. Nie wiem czego oczekujesz, blik to super usługa do tego bezpieczna
@IvanBarazniew: no dokładnie tak - jedyna podatność jaką widzę jest zlokalizowana między klawiaturą, a fotelem.
@IvanBarazniew: Szefie, ale jak istnieje techniczna możliwość podania kodu blik do wypłaty z bankomatu osobie znajdującej się 500 km dalej, to ktoś to zrobi. Na tym polega zabezpieczenie, żeby tego się nie dało zrobić, pomimo zastosowania socjotechniki.
@IvanBarazniew: A dlaczego nie ma? Karty płatnicze też kiedyś nie miały, ale już mają. Czy to za duże wymaganie, żeby firma BLIK ścigała
Możesz podawać, I ja Czasem tak robię jak mi dzieciak dzwoni że chce coś kupić. Kumpla też kiedyś poratowałem na stacji benzynowej jak zatankował i zapomniał portfela.
Mi się też kiedyś coś takiego zdarzyło i prosiłem o numer BLIK.
Ale ZAWSZE weryfikuję sytuację (czyli dzwonię i pytam co i jak) oraz patrzę na kwotę i opis jakie się wyświetlają przy finalizowaniu transakcji. Czy się
Komentarz usunięty przez autora
@lurker: Powtarzam: takie podejście to negowanie istnienia bezpieczeństwa IT w ogólności. Użytkownicy zawsze będą popełniali błędy i winne zawsze będą systemy, które takie błędy umożliwiały, propagowały lub nie pozwalały ich naprawić post factum. Ponadto w przypadku przestępstwa oszustwa jest to zwyczajna https://pl.wikipedia.org/wiki/Wiktymizacja#Wt%C3%B3rna_wiktymizacja i powinieneś się wstydzić, jako obywatel, że tak w ogóle pomyślałeś.
@potezny_konfederata: Blik ma zabezpieczenie w postaci zatwierdzenia transakcji w telefonie. Ale to zabezpieczenie niestety nie jest idiotoodporne.
@odomdaphne5113: I tutaj wchodzi ciekawostka. Przyznajesz, że robisz de facto przelew do tej osoby. I prawo bankowe ma sporo regulacji o tym, co to jest przelew i jak to ma działać. BLIK przelewem formalnie nie jest i stąd pochodzą jego deficyty, o których piszę. Dlaczego da się zrobić nieprzelew do innej osoby?
@potezny_konfederata: Numer karty kredytowej tez da się podać, kartę bankomatową da się skopiować, kartę SIM da się ukraść przez wyrobienie duplikatu u operatora na lewe dokumenty. Mino tego wszystkie te technologie są w użyciu.
Kod blik może być wygenerowany tylko przez właściciela rachunku, potem musi być przekazany i wykorzystany w 2 min. Do tego aby go użyć właściciel
@sha128: Pokaż mi jak działają oszuści bez użycia BLIK-a w 2022 roku.
Komentarz usunięty przez autora
@IvanBarazniew: WSZYSCY, których znam, mają 3d secure, sam numer karty nic ci nie da, chyba że na Paypalu itp., które mają mocne programy typu chargeback, więc tam ewentualny scam uda się cofnąć.
@IvanBarazniew: Kartę z paskiem, bo chipa nie skopiujesz. Karty z samym paskiem obsługuje tylko marginalna ilość terminali. No i w takim przypadku, jak wyżej, zgłosisz to
@sha128: Łał, pięć osób, zresztą z argumentami tak słabymi, że bez zastanowienia każdy skontrował. Czekam na wypowiedź specjalistów z dziedziny bezpieczeństwa IT, osób które padały ofiarami podobnych oszustw, organów ścigania.
@potezny_konfederata: Każda technologia jak zaawansowana by nie była, wymaga minimum inteligencji. Żeby zapalić światło trzeba wiedzieć jak działa włącznik. Blik jest najbardziej odporną a jednocześnie wygodną i niosąca małe ryzyko technologią do płacenia.
1. Nie wymaga logowania i podawania permanentnych wrażliwych danych.
2. Używa prostego do przekazania kodu.
3. Używa osobnego kanału do potwierdzenia
4. Transakcja ma ustalony limit czasu
Komentarz usunięty przez autora
@potezny_konfederata: Blika opracowało do spółki 6 banków. Wszyscy możliwi spece od bezpieczeństwa już się wypowiedzieli. Blik jest dostępny również na terminalach płatniczych i w bankomatach.
Jasne mimo tego co wymieniłem dziury mogą się znaleść, natomiast jak dotąd poza socjotechniką najniższych lotów nie znam sposobu na złamanie tego systemu.
źródło: comment_1664809062rhuAfCLjq8pSWbGBfc9cyK.jpg
Pobierz@potezny_konfederata: O co, nie można tego kodu zakleić innym? Poza tym aplikacja musi mieć dostęp do aparatu. Bikiem też możesz zapłacić w sklepie, i w dowolnym innym miejscu i to przez istniejące terminale wiec bardzo łatwo wdrożyć ten system sprzedawcom.