temat Re.: Hasła SMS w Bankowość internetowa

Hasła SMS

sud1 — Tue, 02 Feb 2016 07:18:09 GMT

W ostatnim czasie pojawiły się w sieci ostrzeżenia o groźnym trojanie, podmieniającym numer konta odbiorcy po zleceniu przelewu w systemie bankowości internetowej (podobno problem dotyczy wielu banków). Jednym ze sposobów ochrony ma być weryfikacja numeru konta odbiorcy poprzez porównanie go z numerem konta wpisanym w haśle SMS, otrzymanym z banku do autoryzacji transakcji (na komputerze wyświetla nam się cały czas numer konta, który wpisaliśmy, a w haśle SMS pojawia się numer konta, na który bank zrealizuje przelew i może to być numer podmieniony już przez trojana).

W związku z tą sytuacją mam pytanie jak wygląda sprawa z autoryzacją przelewów w ING ? Hasła SMS otrzymujemy do wybranych przez bank transakcji. Jaki jest algorytm wg. którego bank żąda zatwierdzenia przelewu hasłem SMS. Zdarzało mi się autoryzować hasłem SMS transakcje na numery rachunków, na które wielokrotnie wykonywałem przelewy, przy przelewach wzorcowych, a były też przypadki, że hasło nie było wymagane przy zleceniu przelewu na rachunek, na który nigdy wcześniej nie dokonywałem transakcji. Jak tak losowy system autoryzacji przelewów ma się do bezpieczeństwa klientów, na którym podobno tak bankowi zależy ?

Re.: Hasła SMS

GrzegorzG — Tue, 02 Feb 2016 14:41:12 GMT

Jest bezpieczny. A czynników pod którym sprawdzane są transakcje jest wiele. Dla przykładu: jeśli cykliczne przelewy wykonywałem na swoim komputerze, i będę go chciał zrobić na innym komputerze pojawi się kod autoryzacyjny, bo nigdy wcześniej nie były przelewy z innego komputera robione. Dlatego tak ważne jest, aby nie korzystać z bankowości w niezaufanuch kafejkach internetowych. Kto wie co poprzednik pozostawił na komputerze korzystając przed nami.

Re.: Hasła SMS

sud1 — Wed, 03 Feb 2016 15:17:35 GMT

Nie pytałem o korzystanie z niezaufanych kafejek internetowych.

Moje pytanie pozostaje w dalszym ciągu bez odpowiedzi.

Re.: Hasła SMS

GrzegorzG — Wed, 03 Feb 2016 16:38:10 GMT

Pytasz o algorytm weryfikacji przelewów, to jakbyś zapytał Coca-Colę o podanie ich tajnej receptury na colę.

Algorytm jest tak napisany, i tak wiele czynników jest sprawdzane, że jak przyjdzie Ci kod autoryzacyjny, to na pewno ze słusznej przyczyny.
Czy pierwszy przelew do obcej osoby, jest aby napewno losowy? Nie. Przeważyła większość danych, dzięki którym system uznał, że przelew wykonujesz Ty i jest on kierowany w konkretnym celu do świadomego odbiorcy.

Re.: Hasła SMS

AgnieszkaBin — Thu, 04 Feb 2016 14:47:31 GMT

@sud1 Stosujemy szereg zabezpieczeń przed próbami ataków. Przypominamy również, że ważne jest, aby stosować się do zasad bezpieczeństwa.

Algorytm wysyłania SMS-ów do klienta nie jest informacją jawną. Jest on tworem dość dynamicznym, uwzgledniającym różne warunki zarówno w skali jednego klienta, jak i całego banku. Uwzględnia on również informacje spływające na bieżąco o istniejącym w danym momencie zagrożeniu dla klientów bankowości internetowej.

Re.: Hasła SMS

Konto usunięte — Fri, 05 Feb 2016 11:41:25 GMT

sud1 chodzi o przypadek gdy przygotowana dyspozycja przelewu wyświetlana na ekranie nie odzwierciedla faktycznie złożonej dyspozycji. Obecne wersje wirusa działają tak, że podmieniają dane (numer NRB) i przesyłają dyspozycję na inny rachunek niż widoczny na ekranie. Także przy skorzystaniu z opcji „wykonaj ponownie”. W ING ta opcja przepuszcza przelew bez konieczności autoryzacji. W takim przypadku, jeżeli doszłoby do podmiany numeru NRB, wydaje mi się, że jedyna forma reklamacji to udowodnienie, że wykonano przelew przez „wykonaj ponownie”. Pytanie czy system monitoruje takie działanie użytkownika? Pewnie tak, ale czy bank przyjmie taką reklamację?
Osobiście byłbym za tym aby móc samodzielnie decydować o tym czy chce takich autoryzacji lub nie. Dziś szybkość wykonania przelewu jest mniej ważna od zapewnienia bezpiecznej realizacji takiej dyspozycji. Przynajmniej dla mnie.