Wpis z mikrobloga

Ciąg dalszy z:
cz. 1: https://www.wykop.pl/link/6842803/lubisz-blik-a-oszusci-tez-przyklad-podatnosci-niezalatanej-od-maja-cz-1-3/
cz. 2: https://www.wykop.pl/link/6844025/lubisz-blik-a-oszusci-tez-przyklad-podatnosci-niezalatanej-od-maja-cz-2-3/

Data: Jun 19, 2022
Do: kontakt @mbank, sygnaly #knf, redakcja #niebezpiecznik, kontakt #blikomania
Oraz do: adam @ZaufanaTrzeciaStrona, press @Bezprawnik redakcja #bankierpl
A nawet do: redakcja #businessinsider, pomoc #olx, przemysław #spidersweb, serwis #przelewy24

Wczoraj pan Jacek Frączyk popełnił ciekawy artykuł o oszustwach "na Blika". OLX wydaje się być żywo zaangażowane w rozwiązanie problemu oszustw. Spidersweb zrobił nawet filmik "instruktażowy" dla użytkowników, jak nie dać się oszukać. Do Przelewy24 też jeszcze nie pisałem, a są stroną w sprawie. Być może ci adresaci wreszcie okażą się godnymi mojego wysiłku. Jeśli tak się nie stanie, to po prostu założę sobie stronę oszustwa-na-blik.pl i tam po prostu opiszę, to co w tym wątku, roześlę linka po dyrektorach banków na Linkedin, zrobię znalezisko na wykopie i przeniesiemy debatę z grona kameralnego na forum publiczne. Mam wręcz wrażenie, że traktuje się mnie jak bzyczącą muchę, a przecież Blik przynosi wszystkim zainteresowanym odpowiednie zyski, z tym że chyba zapomniano, że całą zabawę sponsorują użytkownicy i ich interes tutaj cierpi najbardziej.

Dyskutowałem pomysł o sprawdzaniu lokalizacji klienta z GPS w telefonie podczas próby wypłaty z bankomatu i zabranianiu wypłaty, jeśli ów klient znajduje się od niego zbyt daleko. Pomysł odbierany jest jako genialnie prosty, z tym że trzeba (choć jest to słaby wektor ataku) zablokować również spoofing tejże lokalizacji (na Androidzie jest to proste, np. Tinder tak działa). Z definicji przecież wypłata z bankomatu nie jest funkcją mającą pozwalać na przekazywanie środków (od tego jest przelew, np. jeśli ojciec chce coś przekazać córce, to niech jej założy konto w banku i przeleje, choćby i przelewem błyskawicznym, a potem ona sama sobie to wypłaca z bankomatu), choćby dlatego nie jest właściwie monitorowany (co przestępcy, jak widać, wykorzystują) i po prostu powinno się podejmować wysiłek, żeby użytkownicy tak nie robili. Jeszcze innym sposobem byłoby, aby to bankomat przy próbie podjęcia wypłaty z Blika wyświetlał kod QR, który aplikacja bankowa klienta ma zeskanować (niech się zmienia nawet co sekundę, oszust nie zdąży przekazać go klientowi) i podać kod do wypłaty działający tylko na tym bankomacie. No albo można w ogóle zrezygnować wtedy z tego kodu, prawda? Poza tym jest to wygodniejsze w użyciu niż takie bawienie się z cyferkami. Pomysły można mnożyć, ja już mówiłem, że mogę przyjść do takiego banku i chwilę dla niego popracować. No powiedzmy UoP, czas określony 6 miesięcy, gaża 28k brutto, bardziej bym to robił dla wpisu do CV niż pieniędzy. Ale na pewno chłopcy po politechnikach też są w stanie rozwiązać te problemy, po prostu zacznijcie ich słuchać.

Co się zaś tyczy "telefonów z banku", to problem wydaje mi się trywialny, PKO BP już go nawet rozwiązało. W przypadku wątpliwości co do tożsamości konsultanta, prosimy go o weryfikację i po sekundzie w aplikacji iko dostajemy powiadomienie z jego danymi, z których możemy go przepytać, więcej info: https://iko.pkobp.pl/funkcje/weryfikacja-pracownika-banku/ - Taka metoda powinna być może stać się obowiązkową, przy czym klienci powinni być regularnie upominani o możliwości z niej skorzystania.

Na deser dziś załączam parę zrzutów ekranu z forum, na którym właśnie ci omawiani oszuści wymieniają się poradami i usługami. Nawet oni uważają Blika za niebezpieczną metodę płatności. Świetny tytuł na nowy artykuł, nieprawdaż? Inną informacją od nich jest to, że często stosują "bramki blik", czyli coś pokroju Przelewów24 omawianych w poprzednim mailu. Nawet niekoniecznie zespoofowanych, gdyż pośrednik ten założy przecież konto każdemu, kto poda mu jakiś NIP sklepu warzywnego i pozwoli przyjmować "przelewy Blik" oraz błyskawicznie zamieniać je na kryptowaluty - zanim oszustwo zostanie zgłoszone i przeprocedowane przez policję, konto już dawno zostaje porzucone i zapomniane przez oszusta. Screen przeze mnie załączony aż się prosi, żeby po prostu zorganizować prowokację i dowiedzieć się więcej o modus operandi pana melonameloniastego. Na trzecim screenie widzimy oferenta takich bramek, bierze tylko 30%, przystępnie. Weźcie się w końcu wszyscy do roboty, serio.