(Nie)bezpieczna bankowość elektroniczna

grzel · 17 Lutego 2006

Zespół Bezpieczeństwa PCSS (Poznańskiego Centrum Superkomputerowo - Sieciowego) opublikował dość szokujący raport dotyczący bezpieczeństwa polskich banków elektronicznych.

Autorzy raportu przekonują, że w większości zbadanych przypadków stan zabezpieczeń nie spełniał standardów, jakich należałoby oczekiwać od bankowości, nie tylko tej stricte elektronicznej. Niezaktualizowane oprogramowanie, źle zaprojektowane bezpieczne (w założeniu...) kanały dostępowe, zła konfiguracja serwerów, warstwy sieciowej i systemów IDS to tylko niektóre zarzuty. Warto przeczytać i zwrócić uwagę, na ile nasze pieniądze w naszym banku faktycznie są na tyle bezpieczne, by podobne raporty traktować jako ciekawostkę przyrodniczą.

Niestety mój mbank wypadł dość mizernie

Natomiast drugi z którego korzystam (VWBank) ma się bardzo dobrze

e_banking_polska_ssl_report.pdf

radradish · 17 Lutego 2006

Wydaje mi się, że te raporty, testy itd. nie spełniają swojej roli, bo banki nie wprowadzają zmian w funkcjonowaniu swoich usług. Ciągle wytykane są te same błędy :blink:

Lampka · 17 Lutego 2006

Przerażające.

Mój bank (PKO BP), który szczyci się najlepszym kontem internetowym, jest jak widzę, wg tego raportu, jednym z najgorszych. Panienki z okienek bankowych codziennie zachęcają mnie do obsługi konta przez Internet. Jak do tej pory nie dałem się namówić. Widzę, że intuicja dobrze mi podpowiadała. Ale niestety bankowość elektroniczna jest bardzo wygodna... Bieganie z każdym przelewem do banku zaczęło mnie już męczyć. Czas może bank zmienić.

Dzięki w każdym razie za raport.

BTW. To są zalecenia dla banków. Przydałyby się jeszcze jakieś zalecenia dla klientów. Czy np wyłączenie w przeglądarce SSL 2.0 cokolwiek zmienia? Chyba nie, bo to przecież ten trzeci komunikuje się z bankiem na poziomie SSL 2.0. Przydałby się jakiś tutorial bezpiecznego korzystania z bankowości elektronicznej od strony klienta.

Edytowane 17 Lutego 2006 przez Lampka

krystian_koza · 17 Lutego 2006

I oczywiście jeżeli ktoś złamie zabezpieczenia elektroniczne konta to wina będzie leżeć po stronie klienta bo przecież serwery banków to istna twierdza nie do zdobycia

BBwro · 17 Lutego 2006

BTW. To są zalecenia dla banków. Przydałyby się jeszcze jakieś zalecenia dla klientów. Czy np wyłączenie w przeglądarce SSL 2.0 cokolwiek zmienia?

Oczywiście że trzeba wyłączyć.

20 Lutego 2006

Banki same nas roluja i nie trzeba hakera.

Dostalem z ZUS zajecie komornicze na 4400 . Bank zablokowal mi 5400 . Po interwencji wiem tylko tyle ze to z ZUS-u . Roznice 1000 zl miedzy tym co bank chce mi sciagnac a tym co ZUS chce, bank nie ma zamiaru wytlumaczyc . Zrobil blokade 5400 i nic mi do tego na ile bo ma tytul z ZUS. Poczta przyszlo pismo ze na 4400 .

Ponadto bank zablokowal wszystkie moje konta i ten 1000 to moze za te blokady?

Ironman · 20 Lutego 2006

Oczywiście że trzeba wyłączyć.

moze glupie pytanie... ale gdzie to sie wylacza? (w IE6 z nakladka Maxthon) :unsure: Co prawda na koncie i tak mam juz maksymalny debet i pukam w dno od spodu, ale podobno strzezonego pan Bog strzeze

grzel · 21 Lutego 2006

moze glupie pytanie... ale gdzie to sie wylacza? (w IE6 z nakladka Maxthon) Co prawda na koncie i tak mam juz maksymalny debet i pukam w dno od spodu, ale podobno strzezonego pan Bog strzeze

W IE6: Narzędzia\opcje internetowe\zaawansowane i tam znajdź SSL 2.0

Bielack · 21 Lutego 2006

Mam konto Iteligo, i do tej pory spałem spokojnie. Dalej będę spał spokojnie, bo żadko się trafia jakas większa gotówka na koncie, ale niesmak pozostał...

A co do banków i elektroniki, choc już mniej internetowej - moja matka chciała pobrać 900pln z bankomatu PKO w Zamościu. Okazało się, że nie ma tyle gotówki i pozwoliło na wybranie tylko 300pln. Zdenerwowana poszła do okinka wyjaśniać sprawę, bo wiedziała, że pieniądze są. Albo, powinny być.

Pani w okienku jej powiedziała, że przecież pobrała te 900pln, a 6 minut później jeszcze 300pln.

Na nic zdały się tłumaczenia i reklamacje. Pobrała i już. Odwoływała się do centrali banku, ale nic z tego nie wychodzi, bo wszystko się zgadza - tak twierdzi bank. Niestety, nie ma kamer i monitoringu w Zamościu, dlatego nie można zobaczyć jak to ona pobiera te pieniądze. I tyle. Co by się nie przytrafiło, to i tak nasza wina - bank jest bez zarzutu. Bo to przecież Bank, nie?

:-(

21 Lutego 2006

Mam konto Iteligo, i do tej pory spałem spokojnie. Dalej będę spał spokojnie, bo żadko się trafia jakas większa gotówka na koncie, ale niesmak pozostał...
A co do banków i elektroniki, choc już mniej internetowej - moja matka chciała pobrać 900pln z bankomatu PKO w Zamościu. Okazało się, że nie ma tyle gotówki i pozwoliło na wybranie tylko 300pln. Zdenerwowana poszła do okinka wyjaśniać sprawę, bo wiedziała, że pieniądze są. Albo, powinny być.

Pani w okienku jej powiedziała, że przecież pobrała te 900pln, a 6 minut później jeszcze 300pln.

Na nic zdały się tłumaczenia i reklamacje. Pobrała i już. Odwoływała się do centrali banku, ale nic z tego nie wychodzi, bo wszystko się zgadza - tak twierdzi bank. Niestety, nie ma kamer i monitoringu w Zamościu, dlatego nie można zobaczyć jak to ona pobiera te pieniądze. I tyle. Co by się nie przytrafiło, to i tak nasza wina - bank jest bez zarzutu. Bo to przecież Bank, nie?

:-(

Przeciez takie rzeczy mozna sprawdzic poprzez przeliczenie faktycznej gotowki w bankomacie!

Wyszloby, ze jest za duzo o 900 PLN...

21 Lutego 2006

Mialem podobnie w inteligo . W trakcie realizacji transakcji wystapil blad . Gotowki bankomat nie wyplacil ale zaznaczyl na koncie ze pobrano . do tygodnia bez mojej interwencji pieniadze znowu byly dostepne . Nie przyszlo potwierdzenie transakcji z bankomatu i dlatego odblokowali to co bankomat zablokowal . Od tego czasu zawsze chce za potwierdzeniem .

Bankomary rozliczane sa przez inna firme niz bank ktorego on jest . Takze inny system .

Edytowane 21 Lutego 2006 przez zbig

Bielack · 21 Lutego 2006

Przeciez takie rzeczy mozna sprawdzic poprzez przeliczenie faktycznej gotowki w bankomacie!
Wyszloby, ze jest za duzo o 900 PLN...

Dlatego byłem spokojny o gotówkę matuli. Ale okazało się, że jest zupełnie inaczej.

W banku jej powiedzieli, że pobrała te 900pln a 6 minut później te 300pln. Kiedy tłumaczyła, że przecież szła właśnie do bankomatu, to jak miała pobrać wczesniej, powiedzieli jej, że może kartę jej ktoś ukradł. A pewnie za chwilkę jej oddał.

W banku w Zamościu mają 4 operacje na koncie, a w Lublinie już tylko 3. I nikomu to nie przeszkadza. Matka napisała odwołanie, ale wątpię, by cokolwiek z tego wyszło.

Rzecz jasna, dostała potwierdzenie z bankomatu, że pobrała 300pln. Ale, że pobrała 900 potwierdzenia już nie ma - bo jej bankomat nie dał kasy (więc i potwierdzenia). Ale w oddziale w Zamościu twierdzą, że kwit został doręczony. Taka nieprzyjemna sprawa, bo 900 pln z emerytury to jest bardzo, bardzo dużo...

21 Lutego 2006

Przy korzystaniu z bankomatów trzeba bardzo uważać.

Podam kilka podstawowych rad dla użytkowników kart w odniesieniu do korzystania z bankomatów:

1. Korzystamy TYLKO z bankomatów, które znamy lub usytuowanie których nie budzi żadnych wątpliwości co do tego, że mogą być "podstawione" (np. w siedzibie banku). Omijamy dalekim łukiem bankomaty ustawione na ulicy, w centrach handlowych itp.

2. Zwracamy szczególną uwagę, czy czytnik ze szczeliną, gdzie się wkłada kartę nie odstaje dziwnie od obudowy bankomatu - może to świadczyć o zamontowaniu urządzenia do nielegalnego skopiowania karty.

3. Wprowadzając PIN pamiętajmy, że musimy tą operację wykonywać nie tylko zasłaniając się przezd wzrokiem "ciekawskich". Obok bankomatu może być zainstalowana kamera, która śledzi proces wpisywania pinu - dlatego najlepiej w trakcie jego wprowadzania zasłonić rękę drugą ręką, portfelem itp.

4. Nie zostawiamy w pobliżu bankomatu potwierdzeń zrealizowanych lub niezrealizowanych transakcji - zabieramy je ze sobą.

Stosowanie się do tych rad nie uchroni na pewno w 100% przed problemami, ale na pewno zminimalizuje ryzyko ich zaistnienia.

Polecam przyglądniecie się przykładowi.

Zdjęcia pokazują specjalną nakładkę na bankomat do czytania kart. W pojemniku na ulotki znajduje się zamontowana kamera.

Skutek pobrania pieniędzy w takim bankomacie jest łatwy do przewidzenia.

Edytowane 21 Lutego 2006 przez Benedykt

21 Lutego 2006

Cyt:" W banku w Zamościu mają 4 operacje na koncie, a w Lublinie już tylko 3. I nikomu to nie przeszkadza." Bankomat zarejestrowal transakcje lecz nie potwierdzil jej wyzej , bo byla jakas awaria . Najpierw bankomat blokuje kase na kacie i dopiero pozniej po jej potwierdzeniu jest sciagana ze stanu kata. Mnie po zablokowaniu konta na wybierana kwote ulegl awarii . Jak zrobil to pozniej to trudniej dowiesc swego. Powinna kasa w bankomacie nadbywac, ale to ludzie z innej firmy obsluguja . Tzw. zysk nadzwyczajny.

Na pewno byla jakas awaria bo nie zarejestrowal potwierdzenia transakcji w Lublinie .

U mnie byla jednorazowa awaria, za mna ludzie bez problemu wybierali pienadze . Ja tez moglem ale to 400 co niby pobralem takze mialem jako wybrane.

Konrad · 21 Lutego 2006

Bodajze w czerwcu ubieglego roku jakis sprytny polski haker przejal dane dotyczace konta internetowego jakiegos jegomoscia i oskubal go na jakies milion zlotyszy. Szczegolow juz nie pamietam (bylo to opisane w ktoryms z numerow ComputerWorlda), ale koles dostal zwrot gotowki, choc przestepstwo wynikalo raczej z jego nieuwagi. Bank BPH ponoc wydal dodatkowo sporo kasy na to, zeby informacja ta nie wyplynela do pracy publicznej (chyba to sie udalo, bo w zasadzie mozna bylo o tym przeczytac tylko w pismei specjalistycznym jako "plotka").

Przypadek ten jest dobra nauczka i kaze zachowac ostroznosc przy transakcjach internetowych, bo nie kazdy moze miec tyle szczescia, ze dostanie zwrot gotowki.

MarekC · 22 Lutego 2006

Moi drodzy, troszke dystansu.

1. Najwiekszym zagrozeniem nie jest wlam na konto czy tez wadliwe dzialanie bankomatu. Zdecydowanie wieksze jest prawdopodobienstwo otrzymania po odejsciu od bankomatu strzalu w zeby i utraty portfela. Ale tego jakos nikt sie nie boi. No coz, ludzkosc miala pare tysiecy lat zeby sie do tego typu rabunkow przyzwyczaic i juz tego nie zauwaza.

2. Wlezie wam haker na konto. NO I CO Z TEGO? Popatrzy i pojdzie. Najwyzej zaplaci z wyprzedzeniem Wasz rachunek za telefon (korzystajac z "przelewow zdefiniowanych", do "dowolnych" trzeba podac kod z listy/tokena). To zawsze mozna jakos odzyskac.

Wole to niz wdychanie aromatu naftaliny i cudzych nieswiezych oddechow w bankowych kolejkach.

BBwro · 22 Lutego 2006

Bodajze w czerwcu ubieglego roku jakis sprytny polski haker przejal dane dotyczace konta internetowego jakiegos jegomoscia i oskubal go na jakies milion zlotyszy. Szczegolow juz nie pamietam (bylo to opisane w ktoryms z numerow ComputerWorlda), ale koles dostal zwrot gotowki, choc przestepstwo wynikalo raczej z jego nieuwagi. Bank BPH ponoc wydal dodatkowo sporo kasy na to, zeby informacja ta nie wyplynela do pracy publicznej (chyba to sie udalo, bo w zasadzie mozna bylo o tym przeczytac tylko w pismei specjalistycznym jako "plotka").

Przypadek ten jest dobra nauczka i kaze zachowac ostroznosc przy transakcjach internetowych, bo nie kazdy moze miec tyle szczescia, ze dostanie zwrot gotowki.

Nie z nieuwagi, tylko dlatego, że BPH miał (lub nadal ma) wyjątkowo kiepskie zabezpieczenia do swojego systemu: jedno hasło do logowania, drugie do autoryzacji przelewów. Wystarczył mały programik, tzw. keylogger, który w momencie, gdy ktoś wpisał w przeglądarkę odpowiednie słowo-klucz (np "bank") zaczynał zbierać wszyskie naciśnięcia klawiszy i wysyłał je potem swojemu właścicielowi, żeby mieć wszystko, co potrzebne do zalogowania. Dlatego warto zwracać uwagę, czy system banku, z którego korzystamy wykorzystuje przynajmniej hasła jednorazowe lub token do autoryzacji przelewów.

A sprawa była dosyć głośna i komentowana na grupach dyskusyjnych o bankowości i bezpieczeństwie.

grzel · 22 Lutego 2006

Dlatego warto zwracać uwagę, czy system banku, z którego korzystamy wykorzystuje przynajmniej hasła jednorazowe lub token do autoryzacji przelewów.

Zgadzam się, że token i hasła jednorazowe to podstawa.

Ale znam bank gdzie do zalogowania się wymagane jest tylko login i 4 cyfrowe hasło !!!.

To się nazywa bezpieczeństwo. :Boink:

Edytowane 22 Lutego 2006 przez grzel

Konrad · 22 Lutego 2006

Nie z nieuwagi, tylko dlatego, że BPH miał (lub nadal ma) wyjątkowo kiepskie zabezpieczenia do swojego systemu: jedno hasło do logowania, drugie do autoryzacji przelewów. Wystarczył mały programik, tzw. keylogger, który w momencie, gdy ktoś wpisał w przeglądarkę odpowiednie słowo-klucz (np "bank") zaczynał zbierać wszyskie naciśnięcia klawiszy i wysyłał je potem swojemu właścicielowi, żeby mieć wszystko, co potrzebne do zalogowania. Dlatego warto zwracać uwagę, czy system banku, z którego korzystamy wykorzystuje przynajmniej hasła jednorazowe lub token do autoryzacji przelewów.

A sprawa była dosyć głośna i komentowana na grupach dyskusyjnych o bankowości i bezpieczeństwie.

Sorry, ze niescislosci, ale po prostu nie sledze zbytnio ww. grup. Dizeki za sprostowanie.

Konrad

rerekumkum · 22 Lutego 2006

Nie z nieuwagi, tylko dlatego, że BPH miał (lub nadal ma) wyjątkowo kiepskie zabezpieczenia do swojego systemu: jedno hasło do logowania, drugie do autoryzacji przelewów. Wystarczył mały programik, tzw. keylogger, który w momencie, gdy ktoś wpisał w przeglądarkę odpowiednie słowo-klucz (np "bank") zaczynał zbierać wszyskie naciśnięcia klawiszy i wysyłał je potem swojemu właścicielowi, żeby mieć wszystko, co potrzebne do zalogowania. Dlatego warto zwracać uwagę, czy system banku, z którego korzystamy wykorzystuje przynajmniej hasła jednorazowe lub token do autoryzacji przelewów.

A sprawa była dosyć głośna i komentowana na grupach dyskusyjnych o bankowości i bezpieczeństwie.

Nie do końca jest tak obecnie. Wprowadzono w BPH - jakieś 6 -8 miesięcy temu- potwierdzanie przelewów SMSami, generowanymi przez bank. Tylko przelewy uprzednio zdefiniowane można wysłać wstukując hasło do autoryzacji.

grzel · 2 Maja 2006

Jak donosi dzisiejsza Gazeta.pl banki powoli zaczynają poprawiać zabezpieczenia do kont klientów przez internet.

http://gospodarka.gazeta.pl/gospodarka/1,3...006-05-02-04-05

pierzi · 9 Maja 2006

ciutke sie znam na bezpieczenstwie (taka praca;) ) wiec sie moze wypowiem:

podstawowa bariera dla zachowania bezpieczenstwa takowego konta jest niestety glupota/nieuwaga

uzytkownikow - wymslaja proste hasla dostepu nie patrza co otwieraja razem z poczta, nie maja skanera av / firewalla etc co prawda taki "haker" ktory dostanie sie nawet na takie konto nie ma zbyt duzego pola do popisu - w celu zrealizowania przelewu potrzebny jest 6cio cyfrowy token (opisuje na przykladzie inteligo bo sam uzywam) ktory po 3 blednych probach zmienia sie na kolejny - szansa na trafienie jest tak znikoma ze raczej nie ma obaw ze ktos nam sprzatnie kase...