Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
PKO BP IKO - mistrzowie procesu
149 views
Skip to first unread message
janek z pola
Mar 30, 2016, 6:53:29 PM3/30/16
to
Witam,
jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji przelewów
na apce mobilnej IKO:
1. apka próbuje (nieudolnie) wysłać "w tle" SMSa - czyli przez jakieś API
Android (to jest akurat Android) próbuje wypchać z jakiejś karty SIM SMSa.
2. jak SMS dojdzie, to jakiś serwer w PKO BP weryfikuje, czy treść przyszła
z numeru powiązanego z profilem, jeżeli tak to na bankowości internetowej
jest możliwość nadania zaufania tejże instalacji; jednak jeżeli SMS dojdzie
z nieznanego dla banku numeru, to proces przejmuje czynnik białkowy.
Debilizm procesu w PKO BP polega na tym, że jak SMS w ogóle nie przyjdzie,
to nie ma nawet możliwości odpaleniu dalszych kroków na czynniku białkowym.
Nie da się. PKO BP. Nie da się.
Bo okazuje się, że wyświetlenie w apce mobilnej treści tego SMSa, którego
się nie udało - tej nieudolnie napisanej aplikcji - wysłać, przerasta
możliwości PKO BP.
Pytam: jaka jest k**** różnica, czy jakiś losowy ciąg znaków wygenerowany
przez apkę mobilną, zostanie podany do czynnika białkowego głosowo przez
klienta (po uprzednim odczytaniu z ekranu telefonu) czy zostanie przesłany z
tego samego urządzenia przez SMS i czynnik białkowy w banku odczyta go sobie
sam z jakiegoś systemu bankowego. No jaka k**** jest to różnica?
Jednocześnie PKO BP w ten sposób odcina od apki mobilnej wszystkich
klientów, którzy mają ochotę używać jej na urządzeniu mobilnym, które albo w
ogóle nie ma karty SIM, albo ma taką, że nie jest w stanie wysłać SMSa (np.
niektóre tablety Dell mają internet mobilny, ale nie mają apki SMS). Pytam:
w imię k**** czego akurat ci klienci mają nie korzystać z apki mobilnej?
--
Wysłane z pola.
jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji przelewów
na apce mobilnej IKO:
1. apka próbuje (nieudolnie) wysłać "w tle" SMSa - czyli przez jakieś API
Android (to jest akurat Android) próbuje wypchać z jakiejś karty SIM SMSa.
2. jak SMS dojdzie, to jakiś serwer w PKO BP weryfikuje, czy treść przyszła
z numeru powiązanego z profilem, jeżeli tak to na bankowości internetowej
jest możliwość nadania zaufania tejże instalacji; jednak jeżeli SMS dojdzie
z nieznanego dla banku numeru, to proces przejmuje czynnik białkowy.
Debilizm procesu w PKO BP polega na tym, że jak SMS w ogóle nie przyjdzie,
to nie ma nawet możliwości odpaleniu dalszych kroków na czynniku białkowym.
Nie da się. PKO BP. Nie da się.
Bo okazuje się, że wyświetlenie w apce mobilnej treści tego SMSa, którego
się nie udało - tej nieudolnie napisanej aplikcji - wysłać, przerasta
możliwości PKO BP.
Pytam: jaka jest k**** różnica, czy jakiś losowy ciąg znaków wygenerowany
przez apkę mobilną, zostanie podany do czynnika białkowego głosowo przez
klienta (po uprzednim odczytaniu z ekranu telefonu) czy zostanie przesłany z
tego samego urządzenia przez SMS i czynnik białkowy w banku odczyta go sobie
sam z jakiegoś systemu bankowego. No jaka k**** jest to różnica?
Jednocześnie PKO BP w ten sposób odcina od apki mobilnej wszystkich
klientów, którzy mają ochotę używać jej na urządzeniu mobilnym, które albo w
ogóle nie ma karty SIM, albo ma taką, że nie jest w stanie wysłać SMSa (np.
niektóre tablety Dell mają internet mobilny, ale nie mają apki SMS). Pytam:
w imię k**** czego akurat ci klienci mają nie korzystać z apki mobilnej?
--
Wysłane z pola.
Michal 'Amra' Macierzynski
Apr 1, 2016, 12:46:55 PM4/1/16
to
Po co? Dla bezpieczenstwa - czynnik bialkowy moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest klient banku z numerem, ktory jest zarejestrowany w banku - a nie przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim numerze.
Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP - klient potwierdza.
IKO generalnie jest w tej wersji na telefony nie na tablety, wiec... trzeba poczekac na wersje na tablety
Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at) pkobp . pl - podaj tez model telefonu, wersje androida, czy jest zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc.
Pzdr
Kamil Jońca
Apr 1, 2016, 1:08:03 PM4/1/16
to
"Michal 'Amra' Macierzynski" <michal.ma...@gmail.com> writes:
> Jesli bedziesz mial problemy napisz do mnie [...] jest zrootowany
> telefon
A to przepraszam, po co? Czyżbyś uważał (tak jak napisali w jakimś
popularnym portalu) że root-a nie obsługujemy?
KJ (który największe problemy ma ze stockowymi ROM-ami)
--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
Maybe it's time to break that.
-- Larry Wall in <1997103117...@wall.org>
> Jesli bedziesz mial problemy napisz do mnie [...] jest zrootowany
> telefon
A to przepraszam, po co? Czyżbyś uważał (tak jak napisali w jakimś
popularnym portalu) że root-a nie obsługujemy?
KJ (który największe problemy ma ze stockowymi ROM-ami)
--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
Maybe it's time to break that.
-- Larry Wall in <1997103117...@wall.org>
janek z pola
Apr 1, 2016, 4:50:06 PM4/1/16
to
Michal 'Amra' Macierzynski wrote:
> W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola
> napisał:
>> Witam,
>>
>> jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji
>> przelewów na apce mobilnej IKO:
>>
[...]
> W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola
> napisał:
>> Witam,
>>
>> jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji
>> przelewów na apce mobilnej IKO:
>>
>
> Tablet nie moze byc pierwszym urzadzeniem - musi byc jakis pierwszy
> telefon. Potem juz sie da to zrobic - przynajmniej 500k tysiecy klientow
> nie mialo z tym problemow. Po co? Dla bezpieczenstwa - czynnik bialkowy
> moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest
> klient banku z numerem, ktory jest zarejestrowany w banku - a nie
> przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim
że do dzisiejszego dnia mój pogląd na ten proces się zmienił - po pierwsze
po rozmowach z konsultantami PKO BP, a po drugie po przeczytaniu Twojej
odpowiedzi.
Ale po kolei.
Pierwsza sprawa jest taka, że konsultanci PKO BP oddzwaniają o godzinie
07:30. Pozdrawiam. Ponieważ próbowałem aktywować aplikację 2 razy, to potem
drugi telefon był o 08:30. Uznałbym, że to złośliwość pierwszej konsultantki
z którą rozmawiałem... ale telefony o 07:30 miałem i w czwartek i w piątek,
mimo że w czwartek zaznaczyłem w rozmowie, że proszę o kontakt w piątek po
10:00. Rozumiem, że skoro ja śpię o tej godzinie, to prawdopodobnie oznacza,
że nie jestem w profilu typowego klienta PKO BP. Widocznie typowy klient PKO
BP nie śpi o 07:30.
Przechodząc do adremu. Ten proces jest dla mnie jeszcze bardziej zagadkowy.
Teraz piszesz, że "pierwszym urządzeniem nie może być tablet". Czyli
rozumiem, że jako klient PKO BP instalując apkę IKO pierwszy raz i chcąc ją
aktywować, muszę to zrobić z telefonu z kartą SIM. Ale instalując ją kolejny
raz, mogę już to zrobić na tablecie bez karty SIM? To gdzie tu logika,
przecież ten rzekomy przestępca może "atakować" klientów, którzy apkę
mobilną już mają na telefonie - i jak rozumiem w przypadku takich klientów
weryfikacji po SIM już nie ma?
> numerze. Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i
> powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP -
> klient potwierdza. IKO generalnie jest w tej wersji na telefony nie na
> tablety, wiec... trzeba poczekac na wersje na tablety
pisałem tego poprzedniego posta, że proces aktywacji pełnej funkcjonalności
IKO wymaga przesłania SMSa do PKO BP. Niestety nie. Jest gorzej.
Okazuje się, że apka mobilna PKO BP IKO podejmuje na telefonie, na którym
jest wykonywana aktywacja pełnej funkcjonalności, próbę odczytania numeru
telefonu. To jest kuriozum. Zgodnie ze wszelkimi dostępnymi materiałami dla
systemu Android nie ma możliwości pozyskaniu numeru telefonu na systemie
Android. Jest tak, ponieważ karta SIM nie ma takiej funkcjonalności. Karta
SIM ma numer IMSI i tylko operator telekomunikacyjny wie, jaki numer IMSI
wywołać w przypadku gdy ktoś się próbuje dodzwonić na numer telefonu XYZ.
Ale dokumentacja jedno, a praktyka drugie. Mimo, że zgodnie ze standardem
SIM, numer telefonu nie jest zapisany na karcie, to czasami operatorzy
telekomunikacyjni jednak gdzieś go tam umieszczają. I teraz apka PKO BP IKO
wykonuje ekwilibrystykę informatyczną, starając się pozyskać numer MSISDN
(czyli numer telefonu w formie +XX XXX XXX XXX).
Jeżeli aplikacji się to uda, to wykonywane jest zapytanie do API PKO BP.
Takie zapytanie idzie po transmisji danych. Czyli to jest wywołanie
internetowe, które nie ma nic wspólnego z siecią komórkową. Jeżeli na
telefonie jest połączenie WiFi to idzie to po WiFi, a jak jest tylko sieć
komórkowa to idzie po sieci komórkowej. Ale to zapytanie nie jest SMSem ani
próbą połączenia telefonicznego, tylko jest to wywołanie internetowe.
Jednak aplikacji PKO BP IKO wprowadza klienta w błąd, ponieważ na ekranie
urządzenia pojawia się komunikat: "Potwierdź numer telefonu, na którym
będzie aktywowana aplikacja IKO. Aby to zrobić, wyślij SMS nie zmieniając
jego treści." Pod spodem jest przycisk "Wyślij SMS" oraz dodatkowa notatka
"Opłata za SMS zostanie pobrana według stawek Twojego operatora". Otóż nie.
Nie jest wysyłany żaden SMS - tzn. uściślając - w moim przypadku aplikacja
PKO BP IKO dla systemu Android - apka w wersji 3.33.22 dla Androida w wersji
4.2.1 (czyli jest to jak rozumiem tzw. nowsza aplikacji IKO) - okłamuje
klienta, ponieważ wywala na ekran dialog "wyślij SMS" a tak naprawdę
wykonuje pod spodem żądanie API do serwerów PKO BP, które jest wysyłane po
sieci komputerowej i nie ma nic wspólnego z SMSem, który jest wysyłany po
sygnalizacji GSM/UTMS/HSDPA/etc.
Moim zdaniem to jest draństwo ze strony PKO BP. Tym bardziej, że bank jest
tego świadomy. Dzisiaj konsultant w trakcie aktywacji mojej aplikacji
przekazał mi, że bank sobie doskonale zdaje sprawę, że nie jest tam wysyłany
żaden SMS, ale PKO BP używa nazwy "SMS". O ile dobrze rozumiem, to powodem
używania nazwy "SMS" na ten rodzaj komunikacji jest to, że taka nazwa dobrze
się kojarzy klientom. Rozumiem, że klientom jest miło, jak się ich okłamuje,
że będzie wysłany SMS.
>
> Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at)
> pkobp . pl - podaj tez model telefonu, wersje androida, czy jest
> zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc.
informacje, wytnę te cytaty z Twojego posta i prześlę formalnie jako
reklamację do PKO BP. To jest draństwo, żeby żerować nie niewiedzy klientów
i wmawiać im, że aktywacja przebiega poprzez wysłanie SMSa, podczas gdy tak
naprawdę aplikacji wykonuje zapytanie API po sieci komputerowej i przesyła
do PKO BP dane o urządzeniu (numer telefonu jaki zdobyła w sposób wprost
opisany w dokumentacji systemu Android jako nieistniejący).
Stawiacie się na poziomie przestępców, którzy piszą aplikacje przechwytujące
SMSy autoryzacyjne. Tam też jest tak, że aplikacja ma opisane, że robi
czynność A podczas gdy tak naprawdę robi czynność B.
Oczywiście niezależnie od wprowadzania klientów w błąd, sam proces aktywacji
obejmujący niby potwierdzenie numeru telefonu jest moim zdaniem bardzo
przekombinowany. Tym bardziej, że aplikację aktywowałem w rozmowie
telefonicznej na jakiś zupełnie inny numer telefonu. Po prostu nie rozumiem,
dlaczego PKO BP wytacza armatę w postaci opisanego powyżej procesu na
potwierdzanie numeru telefonu, skoro można ten proces obejść używając
dowolnego numeru telefonu poprzez 2-minutową rozmowę telefoniczną z bankiem.
--
Wysłane z pola.
Michal 'Amra' Macierzynski
Apr 2, 2016, 9:20:08 AM4/2/16
to
Aplikacja moze byc instalowana na wiekszej liczbie urzadzen, ale nie jest w dostosowana do aktywacji na tablety - chociaz w wersji pasywanej da sie ja na nim zainstalowac. Jest to przeciez jasno wskazane i nie ma dedykowanej wersji pod tablety. I tak jak pisalem - trzeba poczekac na tablety.
Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z banku, podszywajac sie pod klienta.
Aplikacja jest tak zbudowana, inaczej nie bedzie. Nie wiem jaki masz konkretnie problem (model telefonu) - nie mielismy wczesniej takich reklamacji - stad jesli uwazasz, ze powinno dzialac lub dzialac inaczej - zloz prosze reklamacje - przyjrzymy sie co i jak.
Pzdr
Michal 'Amra' Macierzynski
Apr 2, 2016, 9:22:25 AM4/2/16
to
W dniu piątek, 1 kwietnia 2016 19:08:03 UTC+2 użytkownik Kamil Jońca napisał:
A co do roota - IKO spokojnie dziala, ale na przyklad HCE nie moze - bo to jest wymog organizacji platniczej... I czasami pojawiaja sie zwiazane ztym bledy, jesli ktos probuje "ukryc" rootowanie przed aplikacja.
> "Michal 'Amra' Macierzynski" < writes:
>
> > Jesli bedziesz mial problemy napisz do mnie [...] jest zrootowany
> > telefon
>
> A to przepraszam, po co? Czyżbyś uważał (tak jak napisali w jakimś
> popularnym portalu) że root-a nie obsługujemy?
> KJ (który największe problemy ma ze stockowymi ROM-ami)
Bo wersji androidow jest baaardzo duzo, a jak do tego dodasz roota - to sie okaze, ze taka aplikacja roznie dziala nawet na takim samym telefonie (nie chodzi tylko o root, ale nakladki opartorow, etc).
>
> > Jesli bedziesz mial problemy napisz do mnie [...] jest zrootowany
> > telefon
>
> A to przepraszam, po co? Czyżbyś uważał (tak jak napisali w jakimś
> popularnym portalu) że root-a nie obsługujemy?
> KJ (który największe problemy ma ze stockowymi ROM-ami)
A co do roota - IKO spokojnie dziala, ale na przyklad HCE nie moze - bo to jest wymog organizacji platniczej... I czasami pojawiaja sie zwiazane ztym bledy, jesli ktos probuje "ukryc" rootowanie przed aplikacja.
Michał Jankowski
Apr 2, 2016, 10:24:26 AM4/2/16
to
W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:
>
> Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
> numer 666456456.
Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
MA najmniejszego śladu po rzekomo wysłanym sms.
Różna rzeczy ta aplikacja robi, ale sms nie wysyła.
A wiem, bo niedawno po aktualizacji aplikacji każde uruchomienie
kończyło się komunikatem 'to pole nie może być puste' i musiałem
skasować i zacząć od nowa.
Aktywacja jest nieprawdopodobnie upierdliwa.
1. Zalogować w aplikacji na telefoniku.
2. Podać kod ze zdrapki.
3. Nadać pin.
4. Zgodzić się na rzekomy sms.
5. Zalogować w przeglądarce.
6. Przepisać kod z przeglądarki do aplikacji.
7. Podać kod ze zdrapki w przeglądarce.
8. Chyba już.
Aż się bałem trochę, że ktoś ode mnie wyłudza kody ze zdrapek...
MJ
PS. Może to zależy od tego, czy się używa w przeglądarce zdrapek czy smsów.
>
> Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
> numer 666456456.
MA najmniejszego śladu po rzekomo wysłanym sms.
Różna rzeczy ta aplikacja robi, ale sms nie wysyła.
A wiem, bo niedawno po aktualizacji aplikacji każde uruchomienie
kończyło się komunikatem 'to pole nie może być puste' i musiałem
skasować i zacząć od nowa.
Aktywacja jest nieprawdopodobnie upierdliwa.
1. Zalogować w aplikacji na telefoniku.
2. Podać kod ze zdrapki.
3. Nadać pin.
4. Zgodzić się na rzekomy sms.
5. Zalogować w przeglądarce.
6. Przepisać kod z przeglądarki do aplikacji.
7. Podać kod ze zdrapki w przeglądarce.
8. Chyba już.
Aż się bałem trochę, że ktoś ode mnie wyłudza kody ze zdrapek...
MJ
PS. Może to zależy od tego, czy się używa w przeglądarce zdrapek czy smsów.
J.F.
Apr 2, 2016, 3:39:41 PM4/2/16
to
Dnia Sat, 2 Apr 2016 16:24:16 +0200, Michał Jankowski napisał(a):
> W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:
>> Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
>> numer 666456456.
>
> Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
> MA najmniejszego śladu po rzekomo wysłanym sms.
> Różna rzeczy ta aplikacja robi, ale sms nie wysyła.
A inne aplikacje zostawiaja slad po SMS ?
> W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:
>> Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
>> numer 666456456.
>
> Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
> MA najmniejszego śladu po rzekomo wysłanym sms.
> Różna rzeczy ta aplikacja robi, ale sms nie wysyła.
Bo pamietam jakies gry, ktore strasznie chcialy oplaty pobrac, a sladu
po SMS chyba nie bylo. Tylko, ze sms premium mialem zablokowane.
J.
janek z pola
Apr 3, 2016, 3:56:21 AM4/3/16
to
w moim przypadku brak SMSów stwierdzam po billingach u operatorów
telekomunikacyjnych - tzn. logowałem się do serwisów on-line sieci
komórkowej i nie było tam w billingu żadnych SMSów wysłanych w danych
dniach. Dodam tylko, że bezpłatne SMSy też się ujawniają na billingu.
--
Wysłane z pola.
Wojciech Bancer
Apr 3, 2016, 6:10:17 AM4/3/16
to
On 2016-04-01, Kamil Jońca <kjo...@poczta.onet.pl> wrote:
> popularnym portalu) że root-a nie obsługujemy?
> KJ (który największe problemy ma ze stockowymi ROM-ami)
Tak dla porządku: to że użyjesz nie-stockowego ROMu nie oznacza, że musisz
> popularnym portalu) że root-a nie obsługujemy?
> KJ (który największe problemy ma ze stockowymi ROM-ami)
go mieć zrootowanego. Możesz zawsze wgrać roma nie zrootowanego.
--
Wojciech Bańcer
pro...@post.pl
Wojciech Bancer
Apr 3, 2016, 6:14:12 AM4/3/16
to
On 2016-04-02, Michal 'Amra' Macierzynski <michal.ma...@gmail.com> wrote:
[...]
> Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
> ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
> banku, podszywajac sie pod klienta.
A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
i finito. Bez udziału czynników białkowych.
Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.
--
Wojciech Bańcer
pro...@post.pl
[...]
> Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
> ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
> banku, podszywajac sie pod klienta.
W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
i finito. Bez udziału czynników białkowych.
Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.
--
Wojciech Bańcer
pro...@post.pl
Kamil Jońca
Apr 3, 2016, 6:17:03 AM4/3/16
to
Wojciech Bancer <pro...@post.pl> writes:
> On 2016-04-01, Kamil Jońca <kjo...@poczta.onet.pl> wrote:
>> popularnym portalu) że root-a nie obsługujemy?
>> KJ (który największe problemy ma ze stockowymi ROM-ami)
>
> Tak dla porządku: to że użyjesz nie-stockowego ROMu nie oznacza, że musisz
> go mieć zrootowanego. Możesz zawsze wgrać roma nie zrootowanego.
Prawda. Tylko jeszcze trzeba go mieć :) zwykle łatwiej zrobić roota.
> On 2016-04-01, Kamil Jońca <kjo...@poczta.onet.pl> wrote:
>> popularnym portalu) że root-a nie obsługujemy?
>> KJ (który największe problemy ma ze stockowymi ROM-ami)
>
> Tak dla porządku: to że użyjesz nie-stockowego ROMu nie oznacza, że musisz
> go mieć zrootowanego. Możesz zawsze wgrać roma nie zrootowanego.
KJ
--
http://wolnelektury.pl/wesprzyj/teraz/
"#define QUESTION ((bb) || !(bb))" - Shakespeare.
Michal 'Amra' Macierzynski
Apr 3, 2016, 9:08:03 AM4/3/16
to
A znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w ciagu 20-30 sekund i przepisujesz 4 cyfry. Co do narzedzia autoryzujacego przy nadawaniu PIN do appki - sprawdze i dam znac.
Michal 'Amra' Macierzynski
Apr 3, 2016, 9:15:34 AM4/3/16
to
W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech Bancer napisał:
> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
>
> [...]
>
> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
> > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
> > banku, podszywajac sie pod klienta.
>
> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
> W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
> mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
> i finito. Bez udziału czynników białkowych.
>
> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.
Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu, etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta (a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon komorkowy,. ktory jest w systemie...
>
> [...]
>
> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
> > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
> > banku, podszywajac sie pod klienta.
>
> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
> W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
> mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
> i finito. Bez udziału czynników białkowych.
>
> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.
Michał Jankowski
Apr 3, 2016, 9:55:44 AM4/3/16
to
W dniu 2016-04-03 o 15:08, Michal 'Amra' Macierzynski pisze:
jest napisane:
http://iko.pkobp.pl/aktywacja/
1. Zalogować numerem konta i hasłem (jak do przeglądarki).
2. Nadać pin.
3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś,
co aplikacja nazywa 'wysłanie sms')...
Etc.
> znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w
> ciagu 20-30 sekund i przepisujesz 4 cyfry.
Powiedzmy na potrzeby tej dyskusji, że jestem głuchy. I nie rozumiem,
dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.
MJ
>
> Hmm - gdzie wymagaja od Ciebie SMSa - przy nadawaniu PINu? Moze w
> nowej wersji zostalo to wlaczone, bo nie powinno o to prosic.
Nie rozumiem. Nie wiesz, jak wygląda procedura aktywacji aplikacji? O tu
> Hmm - gdzie wymagaja od Ciebie SMSa - przy nadawaniu PINu? Moze w
> nowej wersji zostalo to wlaczone, bo nie powinno o to prosic.
jest napisane:
http://iko.pkobp.pl/aktywacja/
1. Zalogować numerem konta i hasłem (jak do przeglądarki).
2. Nadać pin.
3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś,
co aplikacja nazywa 'wysłanie sms')...
Etc.
> znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w
> ciagu 20-30 sekund i przepisujesz 4 cyfry.
dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.
MJ
janek z pola
Apr 3, 2016, 11:01:10 AM4/3/16
to
zgodzić. Aplikacja wcale nie wysyła SMSa - może są jakieś przypadki gdy jest
rzeczywiście przesyłany SMS - ale nie w mojej konfiguracji i również
potwierdziły to na tej grupie 2 inne osoby.
Gdyby się pojawiła treść SMSa na ekranie, to bym go wysłał z numeru
zarejestrowanego do wiadomości banku. Tylko, że to się sprowadza do
scenariusza: apka pokazuje na ekranie sekretny ciąg znaków i zadaniem
klienta jest przekazanie tego ciągu znaków do banku - jako SMS z numeru
zaufanego i wówczas bez czynnika białkowego LUB w rozmowie telefonicznej z
pracownikiem banku.
Taki proces zrozumiałbym. Ale nie rozumiem, dlaczego proponujesz nam taką
wersję procesu jako fallback na proces, które jest rzeczywiście
zaimplementowany. Tzn. rozumiem tyle, że według mnie ten zaimplementowany
proces jest wielką armatą, z której trzeba oddać jeden mały strzał. Co
więcej zamiast tego strzału można wyjąć tą kulkę i jako fallback podać
przesłać ją do banku z innej, dużo mniejszej armatki, może nawet pocztą.
Oczywiście nadal mam na uwadze, że ten fallback na wysyłkę SMSa z innego
urządzenia jest niewykonalny, ponieważ tam żaden SMS nie jest wysyłany. Ale
po co ta wielka armata, skoro fallback powoduje ten sam efekt, a wymaga
znacznie mniej implementacji?
--
Wysłane z pola.
Michal 'Amra' Macierzynski
Apr 3, 2016, 1:59:12 PM4/3/16
to
W dniu niedziela, 3 kwietnia 2016 15:55:44 UTC+2 użytkownik Michał Jankowski napisał:
> Nie rozumiem. Nie wiesz, jak wygląda procedura aktywacji aplikacji? O tu
> jest napisane:
> http://iko.pkobp.pl/aktywacja/
> 1. Zalogować numerem konta i hasłem (jak do przeglądarki).
> 2. Nadać pin.
> 3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś,
> co aplikacja nazywa 'wysłanie sms')...
> Etc.
Wiem jak wygląda - dlatego odnosze sie do punktu nr 2 z poprzedniego postu - nadawania kodu ze zdrapki. Nie pisze, ze to nie jest mozliwe - bo taka opcja jest mozliwa do wlaczenia po stronie banku - i tutaj pytanie - czy ktos piszac to pomylil sie, czy przy wdrozeniu nowej wersji appki wymusza ona podanie takiego hasla...
> Nie rozumiem. Nie wiesz, jak wygląda procedura aktywacji aplikacji? O tu
> jest napisane:
> http://iko.pkobp.pl/aktywacja/
> 1. Zalogować numerem konta i hasłem (jak do przeglądarki).
> 2. Nadać pin.
> 3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś,
> co aplikacja nazywa 'wysłanie sms')...
> Etc.
> 1. Zalogować w aplikacji na telefoniku.
> 2. Podać kod ze zdrapki.
> 3. Nadać pin.
> > znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w
> > ciagu 20-30 sekund i przepisujesz 4 cyfry.
>
> Powiedzmy na potrzeby tej dyskusji, że jestem głuchy. I nie rozumiem,
> dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.
Jesli jestes gluchy - to nie kojrzystasz z appi glosowo - i zrobisz to w iPKO lub w oddziale.
> > ciagu 20-30 sekund i przepisujesz 4 cyfry.
>
> Powiedzmy na potrzeby tej dyskusji, że jestem głuchy. I nie rozumiem,
> dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.
SMS weryfikujacy numer jest wymagany tak czy inaczej.
Michal 'Amra' Macierzynski
Apr 3, 2016, 2:06:03 PM4/3/16
to
W ten sposob weryfikujemy powiazanie urzadzenie - telefon z kartoteki klienta.
Jesli instaluejsz appke na telefonie, ktory nie jest w kartotece klienta w banku (sprawdzamy ten numer poprzez wyslanie SMSa) - telefon np. z IVR kierowany jest nie na ten telefon, ale telefon, ktory dodales w oddziale (i jest zarejestrowany w banku). Albo ta "bialkowa" obdzweonka tez jest kierowana na numer z kartoteki.
Zauwaz, ze login i haslo mozna poznac poprzez zwykly phishing - ten kod, ktory generuje telefon i przesyla do banku - mozna podobnie w ten prosty phishing przejac.
Moze Ty tego nie potrzebujesz- ale przy kilku milionach klientow niestety caly czas widac, ze zlodzieje wykorzystuja ludzka naiwnosc.
Jesli aplikacja mobilna ma byc tak samo pelnoprawnym kanalem jak bankowosc internetowa - musi byc bezpieczna.
A to wysylanie SMSow z androida - sprawdze jutro - tak jak pisalem - na swoim androidzie mam wysylane SMSy, a samej platformy nie znam za bardzo i korzystam jako 3ciej przede wszystkim do HCE
Wojciech Bancer
Apr 4, 2016, 12:30:03 AM4/4/16
to
On 2016-04-03, Michal 'Amra' Macierzynski <michal.ma...@gmail.com> wrote:
> W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech Bancer napisał:
>> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
>>
>> [...]
>>
>> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
>> > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
>> > banku, podszywajac sie pod klienta.
>>
>> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
>> W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
>> mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
>> i finito. Bez udziału czynników białkowych.
>>
>> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.
>
> Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to co mowisz jest
> Twoim klientem.
Takie zabezpieczenie wystarcza do potwierdzenia przelewu, a nie wystarcza do autoryzacji
> W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech Bancer napisał:
>> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
>>
>> [...]
>>
>> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
>> > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
>> > banku, podszywajac sie pod klienta.
>>
>> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
>> W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
>> mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
>> i finito. Bez udziału czynników białkowych.
>>
>> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.
>
> Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to co mowisz jest
> Twoim klientem.
aplikacji (z tego samego kanału)?
> Niestety ale i login i haslo i narzedzie autoryzacyjne mozesz przejac.
> A przez ten telefon mozesz przelewac pieniadze, przesylac je on-line do innych
autoryzacyjnych. :)
> bankow, wyplacac z bankomatu, etc. Co oznacza, ze standardowe antyfraudowe
> zabezpieczenia nie maja tyle czasu co w przypadku standardowej bankowosci
> internetowej.
Tylko PKO ma tak upierdliwą procedurę. :)
--
Wojciech Bańcer
pro...@post.pl
0 new messages