400 tysięcy "wyparowało" z mBanku

[el_bigos]

zajmuje się bezpieczeństwem sieci więc mam jakieś pojęcie na ten temat i po
śledzeniu wydarzeń (włamań) muszę stwierdzić, że wszystkie przypadki kradzieży
kasy z banków są winą tylko i wyłącznie użytkowinków, którzy najpier
bezmyślnie otwierają pocztę z wirusami (trojany, backdoory, keyloggery i inne
bardziewie + phising), a potem płaczą, że im kasa z kont umyka

400 tysięcy "wyparowało" z mBanku

[bajt52]

To w końcu ile tych pieniędzy wyparowało?200 , 400 tys.?

[kajak75]

czytaj ze zrozumieniem.

[yellow24]

hehe witam chcialem tylko powiedziec ze pieniadze to nie woda i same nie wyparowały

[michalng]

Pieniadze w banku sa jak najbardziej jak "woda" to ze znikneły komus z konta nie znaczy ze ktos je zapakował w walizke i przeniósł gdzie indziej :P

jak mały Kazio wyobraża sobie "znikanie" lokat

[darr.darek]

michalng napisał:
>Pieniadze w banku sa jak najbardziej jak "woda" to ze znikneły komus z konta ni
>e znaczy ze ktos je zapakował w walizke i przeniósł gdzie indziej :P

To, że "zniknęły z konta" poprzez działania hakerów, to jak najbardziej
oznacza, że złodzieje przelali te pieniądze na inne konta i z tych innych kont
złodziej wybrali je w bankach do walizek i "przenieśli gdzieś indziej".

[tbernard]

Lepiej nie używać słów których znaczenia się nie zna.

400 tysięcy "wyparowało" z mBanku

[mjenta]

Tak niestety zazwyczaj bywa, że człowiek jest najsłabszym ogniwem systemu
informatycznego. Poza tym ze "zwykłych kont" też są kradzione pieniądze, mam
jednak wrażenie, że tego tak mocno się nie nagłaśnia.
Bardziej sensacyjna wydaje się kradzież z konta internetowego.

[manhu]

Bo to jest robione "zdalnie", a nie tak jak przy zwykłej kradzieży trzeba sfałszować dowód i podpis, no wiedzieć w którym banku szukać.

A to że człowiek jest słabym ogniwem to fakt, ale to nie klienci mają się dostosować, ale banki do głupoty klientów. Np. ostatnio w Wiadomościach TVP gość się zachwycał że u niego "na wsi" zazłozyli darmowego hot spota i on robi przelewy bankowe, itp i oczywiście tępak nie wie że hakerzy z łatwością podsłuchają i ukradną mu kasę, a innym dla dowcipu hasła poczty, gg itp. Jak mi to propnowali w banku to na SERIO mówili o "zabezpieczeniu" hasłem:)

[krzs]

Sugerujesz, że Internet bezprzewodowy jest mniej bezpieczny niż kablowy?

Z hasłami GG pewnie masz rację, ale z informacjami przesyłanymi między bankiem, to chyba nie do końca.
Jeśli ktoś potrafi wykorzystać takie dane zdobyte drogą radiową, to przypuszczałbym, że potrafi poradzić sobie też z kablem...

(no ale może mi się tylko wydawać :) )
Pozdrawiam

400 tysięcy "wyparowało" z mBanku

[azebrowski]

Statystycznie dowiadujemy się o kilku procentach takich nadużyć/kradzieży. Zatem straty roczne są na pewno szacowane na kilkanaście milionów w roku (założenie bardzo optymistyczne). W USA na porządku dziennym są straty rzędu 15 miliardów $ rocznie w bankowości elektronicznej. Chcąc podkreślić ten problem, należy sobie zdać sprawę, że banki trzymają w największej tajemnicy kradzież nawet złotówki i rzadko dzielą się szczegółami ataku/kradzieży co utrudnia propagacje wiedzy i stosowanie środków zaradczych. Przepływ wiedzy to warunek sukcesu, inaczej każdy z 20 banków w Polsce prędzej czy później padnie ofiarą scenariusza, którego doświadczył np. mBank. Zresztą, po co są rosnące prowizje? Jakoś trzeba zrekompensować straty:)

[emeryt21]

Oczywistym jest,ze banki ukrywaja kradzieze internetowe.Nalezy jednak
powiedziec o kradziezach samych bankow.Bylem ofiara takiej kombinacji ze strony
banku PKOSA.Tylko zdecydowanej mojej postawie "juz" po kilku miesiacach
odzyskalem pieniadze.Sztuczka polegala na zalozeniu mi dodatkowego konta o
ktorym nic nie wiedzialem,nie pokazywalo sie w moich internetowych
danych.Wszystkie moje dane mieli z kont zalozonych przeze mnie wczesniej.Nie
otrzymywalem zadnych wyciagow z tego "cudownego" konta.Zorientowalem sie
dopiero wtedy,gdy chcialem sprawdzic wplyniecie drobnej kwoty od wyjatkowo
niesolidnego platnika,bale sie,ze podrobil dowod wplaty.Tym razem okazal sie
uczciwy,poszedl ze mna do banku i razem sprawdzalismy gdzie podzialy sie te
jego pieniadze.Nieswiadoma urzedniczka znalazla konto "cud" na moje nazwisko,na
inne haslo,ktorego ja nie znalem.Strzezcie sie takich "drobnych numerow".

[romek67]

ja mam sposób na zabezpieczenie się taki, dysponuję płytą z systemem Linux-
live, odpalam komp z bootowalnej płyty na linuxie i wchodzę na konto z pod
linxa... ale z kim rozmawiałem o tym, to większość ludzi boi się linuxa jak
ognia... druga zasada, nie otwieram "z ciekawości" maili z nieznanych adresów,
od razu je wyrzucam... może nie są to 100% metody na zabezpieczenie, ale chyba
najprostrze i dające lepsze zabezpieczenie niż wchodzenie na konta z wind'sa na
którym serfują ciekawskie dzieci klikające na wszystko co kolorowe...a i dorośli
też są ciekawi co napisała do nich "xxlaska18"...Pzdr dla all

[el_bigos]

niesety przed phisingiem nie zabezpieczy Ciebie nawet linux, jak otworzysz
stronę z linka podanego w mejlu

[ferris.b]

no ale zakladasz ze ktos, kto loguje sie spod linuxa, zeby wejsc do swojego konta, bedzie korzystal z
linkow w mailu. bardzo odwazne zalozenie. wydaje mi sie, ze ktos kto swiadomie loguje sie do konta z
linuxa, np. z live cd, nie robi takich glupot. choc oczywiscie wszystko jest mozliwe.

[rel123]

Zapewniam Cię, że nie trzeba do tego specjalnego linka.
Jeśli ktoś używa statycznego hasła, to żadne zabezpieczenie, SSL itp.
nie pomoże przed podsłuchaniem hasła.

[pafcio.gazeta]

ssl jest szyfrowane asymetrycznie i praktycznie niemozliwe do zlamania z zewnatrz.
jesli ktos uzywa linuxa czystego z kompaktu i otwiera na nim tylko strone z
mbanku to nic mu nie grozi.

nie wypowiadaj sie jak sie nie znasz.

[slawomir.wroblewski]

Możesz mieć rację, jest tylko jedno "ale". Nie wszystkie witryny banków
internetowych działają poprawnie w innych przegladarkach/systemach niż "jedynie
słuszny". Takim przykładem jest jeden z największych banków detalicznych świata
- Citibank. Niestety musisz mieć Internet Explorera i Javę od Microsoftu.
Inaczej się nie zalogujesz. Witryna nie działa też wtedy, gdy te warunki są
spełnione, ale w systemie oprócz javy od MS zostanie zainstalowana inna np. od
Suna lub Oracle'a.

Z kilku różnych źródeł słyszłem, że podobnie się zachowują witryny niektórych
innych banków.

-------------------------------------

[romek67]

Miło zaskoczyła mnie rzeczowa dyskusja na poruszony przeze mnie temat...
oczywiście ja loguję się na mBanku bez dodatkowych linków czy skrótów
zaciąganych z maila, dla znających temat wiadomo że wersja "live" nie potrzebuje
nawet twardego dysku żeby się uruchomiła, więc trudno mówić o tym żebym w RAMie
miał rezydujące wirusy (choć takie są, ale nie przetrwają po dłuższym wyłączeniu
kompa), tym bardziej że nie wiem ( nie słyszałem) o takich które chodzą na
Windzie i na linxach, Na HDD mam zainstalowany Mandriva2006, a wersja live to
aurox. Na mandarynie śmiga net z kablówki bez żadnych problemów, logowanie na
mBanku bezproblemowe, Jedyny problem to że do linuxowej Mozilli trzeba zassać z
netu Flash Playera, na auroxie też można sobie poradzić, nie ma sterowników do
mojego modemu kablówkowego, ale już mam opracowany sposób łączenia się.

[tbernard]

slawomir.wroblewski napisał:

> Możesz mieć rację, jest tylko jedno "ale". Nie wszystkie witryny banków
> internetowych działają poprawnie w innych przegladarkach/systemach niż "jedynie
> słuszny". Takim przykładem jest jeden z największych banków detalicznych świata
> - Citibank. Niestety musisz mieć Internet Explorera i Javę od Microsoftu.
> Inaczej się nie zalogujesz. Witryna nie działa też wtedy, gdy te warunki są
> spełnione, ale w systemie oprócz javy od MS zostanie zainstalowana inna np. od
> Suna lub Oracle'a.
>
> Z kilku różnych źródeł słyszłem, że podobnie się zachowują witryny niektórych
> innych banków.
>
> -------------------------------------

Widać mają gdzieś klientów.
Olać ich po prostu.

[regdos]

A na fotce z boku na komputerze nei widać banku tylko grono :)

[azebrowski]

el_bigos napisał:

> zajmuje się bezpieczeństwem sieci więc mam jakieś pojęcie na ten temat i po
> śledzeniu wydarzeń (włamań) muszę stwierdzić, że wszystkie przypadki kradzieży
> kasy z banków są winą tylko i wyłącznie użytkowinków, którzy najpier
> bezmyślnie otwierają pocztę z wirusami (trojany, backdoory, keyloggery i inne
> bardziewie + phising), a potem płaczą, że im kasa z kont umyka

Zgadzam się w pełni z tobą. Ale spójrzmy na niedawny przypadek z Citibankiem. Zginęło bodajże 2 mln z kont kilkuset osób. Scenariusz taki jak piszesz: zmasowana akcja phisingu, keylogerrow, nadziewanie koniami trojanskimi tysięcy komputerów... I kilka procent komputerow okazało się podatnych. Jaka jest recepta? Mam kilka pomysłów (zawodowych) ale nie będę zdradzał, co by jakiś domorosły haker nie zaczął tego rozpracowywac:) Ale jeden prosty pomysł zdradze: po każdej dyspozycji przelewu (a nie po realizacji przelewu na sesji rozliczeniowej) każdy użytkonwik powinien dostawać sms-em informacje o dokonanych płatnościach/operacjach. To powinno być w standardzie, za darmo i dla wszystkich!!

[el_bigos]

oczywiście racja, ja jednak mam własne i proste sposoby na to, żeby nadal miec
kasę na koncie: Firewall(cała masa na rynku:sygate personal firewall, kerio,
zone alarm, blackice-toporny w konfiguracji, ale chyba najlepszy, antywirus(cała
masa produktów - testowałem większość i najlepiej wypadł nod32 - nie powodował
dziwnych błędów w systemie), antyspyware (do wyboru:ewido, ad-aware, spybot...),
sprawdzanie certyfikatu strony banku i to w zupełności wystarczy, oczywiście
trzeba pilnować aktualizacji antywirusa i antyspyware'a

[x-wing]

Jest jeszcze jedna prosta metoda - nie logowac sie na konta byle gdzie, tylko w
pewnym miejscu i uzywac dodatkowych zabezpieczen, jak chocby tokeny. Ja tam
pilnuje swojego kompa firewall, antywirus i cos do koszenia spyware'ow oraz
podstawowe zasady bezpieczenstwa w internecie i nic jakos mi sie nie stalo, a
transakcje wykonuje przez internet od 5 lat.

pozdrawiam

[el_bigos]

sprawę logowania się w niepewnych miejscach (np kawiarenka) nie poruszałem, bo
wydawała mi się oczywista

[michalng]

A ja loguje sie byle jak i byle gdzie nie mam zabezpieczen na kompie i tez nic mi sie nie stało a konto mam w sieci chyba od 98 roku ;) Moze dlatego ze przez cały ten czas koncie mam głownie debet :)

[tribeca]

michalng napisał:

> A ja loguje sie byle jak i byle gdzie nie mam zabezpieczen na kompie i tez
nic
> mi sie nie stało a konto mam w sieci chyba od 98 roku ;) Moze dlatego ze
przez
> cały ten czas koncie mam głownie debet :)

uważaj, żeby ci go ktoś nie powiększył:)))

[edagr]

taki token smsowy ma BZWBK - opcjonalnie do wyboru - poza tym zwykły fizyczny token

Hasła jednorazowe

[comrade]

w mBanku sa hasła jednorazowe - to tez dobry patent. Nawet jesli ktos sie
zaloguje na konto to jedyne co moze zrobić to pooglądać sobie co tam jest.

[litestep]

Nie, to nie jest dobry patent. Lepszym są hasła jednorazowe, przysyłane smsem,
potwierdzające tranzakcję którą właśnie chcemy wykonać. Zwykłe hasło jednorazowe
kiedyś wpiszesz na komputerze z trojanem, i zostanie wykorzystane do realizacji
operacji hakera, nie twojej.

[adamplaszczyca]

> Nie, to nie jest dobry patent. Lepszym są hasła jednorazowe, przysyłane smsem,
> potwierdzające tranzakcję którą właśnie chcemy wykonać. Zwykłe hasło jednorazowe
> kiedyś wpiszesz na komputerze z trojanem, i zostanie wykorzystane do realizacji
> operacji hakera, nie twojej.

Hasło SMS-owe też można podsłuchać, choć oczywiście wymaga to więcej zachodu,
niźli podsniffowanie hasła na stacji roboczej użytkownika.

A tak BTW: www.mbank.com.pl/przewodnik/bezpieczenstwo/hasla_smsowe.html

[adamplaszczyca]

Zresztą hasło wysłane SMS-em też trzeba wpisać...

[4g63]

dlatego kb24 wymyśliło klawiature ekranową po której można pisać np myszką, i to
uważam że był trfany pomysł
sms (lub hasła jednorazowe) + klawiatura ekranowa = 100% bezpieczeństwa...

Osobiście używam mbank, ale kb24 ma moja girl

[jarek.wojtowicz]

> dlatego kb24 wymyśliło klawiature ekranową po której można pisać np myszką, i
> uważam że był trfany pomysł

E tam.... g. się znasz... a o trojanach 3 generacji już waćpan słyszał?
Nie? To posłuchajcie:
Gdy zauważono, że podczas kradzieży haseł konie trojańskie posługują się
technologiami pozwalającymi im zapisywać to, co użytkownik wpisuje z klawiatury
komputera, część banków zastosowała ich wirtualne odpowiedniki. Wpisywanie
haseł odbywa się więc za pomocą myszy, którą użytkownik klika po przedstawionej
na ekranie klawiaturze.
Trojany 3. generacji potrafią poradzić sobie i z tym problemem. Tego typu
szkodliwy kod potrafi bowiem wykonywać zrzuty ekranowe, które obrazują to, co
użytkownik robi po wejściu na stronę swojego banku. Twórcy koni trojańskich
trzeciej generacji potrafili uczynić je jeszcze trudniejszymi do wykrycia.
Ponadto wyposażyli je w mechanizmy, które pozwalają im nie tylko ukraść hasła,
ale i automatycznie zalogować się na konto poszkodowanego użytkownika i ukraść
z niego pieniądze.

ta? i co mi taki trojan zrobi?

[pacal2]

zrzuci ekran jak będę wpisywał przysłane SMS-em hasło jednorazowe, ważne tylko
do zatwierdzenia danej transakcji? Super.
Wprost się trzęsę.
Nie wspominając o fakcie że najpierw musiałby jakimś cudem wylądować na moim
komputerze, który posiada dobry av, firewall, as i, przede wszystkim właściciela
z dużą dozą zdrowego rozsądku i sporą wiedzą w temacie.

[jarek.wojtowicz]

Łe Jezu.... z takimi jak ty to jest zawsze ciężka dyskusja...

A co jak się na tej klawiaturze wpisuje hasło nie przysłane SMSem?
A co jak jakim cudem wyląduje taki trojan na komputerze? Może nie twoim...
A co jak ktoś nie ma AV, nie ma FW?
A co jak właścicielowi brakuje zdrowego rozsądku i nie ma wiedzy w temacie?

Takich komputerów są miliony... i właścicieli tak samo...
Więc może ty ani ja nie będziemy się bać, ale te miliony mogą...
Bo gdyby pisanie trojanów i łamanie zabezpieczen się nie opłacało, to nikt by
tego nie robił... więc przestan mącić ludziom w głowach...

[pacal2]

> A co jak się na tej klawiaturze wpisuje hasło nie przysłane SMSem?
To znaczy że bank ma słabe zabezpieczenia -> zmienić bank

> A co jak jakim cudem wyląduje taki trojan na komputerze? Może nie twoim...
Hm. Nie otwieram załączników których się nie spodziewam, nawet od osób które
znam. O innych oczywistych zabezpiezcniach nie będę wspominał.
To proste rozwiązanie chyba rozwiązuje problem...

> A co jak ktoś nie ma AV, nie ma FW?
Hm. W tej chwili o to dosyć ciężko. Każdy już się nasłuchał dostatecznie o
prawdziwych czy wyimaginowanych zagrożeniach sieciowych, więc jak ktoś umiał
sobie konto internetowe założyć to i av i firewalla raczej ma.
A jeśli ktoś mimo to nie ma ich na komputerze z którego sprawdza konto, to patrz
niżej punkt dot. braku rozsądku.

> A co jak właścicielowi brakuje zdrowego rozsądku i nie ma wiedzy w temacie?

Wiedza jest tylko dodatkiem. Ja ją akurat mam, ale wystarczy zdrowy rozsądek i
minimum informacji.
Natomiast jeśli ktoś nie ma zdrowego rozsądku - znasz takie powiedzenie "Lepiej
z mądrym zgubić niż z głupim znaleźć"?
Głupi prędzej czy później swoje pieniądze w jakiś sposób
straci/przegra/przepije, na to nie pomoże nawet trzymanie w domowym sejfie...

[jarek.wojtowicz]

I dlatego że:
1. są ludzie którzy nie wiedzą, że bank ma słabe zabezpieczenia (a takie
niestety są),
2. są miliony ludzi, którzy nie wiedzą co to jest AV i FW (a co dopiero to
mieć),
3. ludzie są durni, że strach się bać,
4. nie ma softu bez błedów
5. dopisz tu sobie 100 innych powodów

zawsze będą włamy.

Ty i ja i paręnaście tysięcy ludzi jest bardziej świadoma tych rzeczy i
jesteśmy pewniejsi i bezpieczniejsi. Ale niestety nie 100 procentowo.

[pshem.co]

jak słusznie zauważasz jest wciąż powiększające się grono tych, którzy mają av
i fw, ba z każdym dniem coraz więcej ludzi potrafi je rozróżnić :D
ale tak samo jak z każdym dniem rośnie liczba osób które mogą mnie pocałować,
talk samo z każdym dniem rośnie liczba tych co mogą mi... ( "...no, Jasiu
powiedz co ten typek może panu majstrowi..." :) ).
Jestem pewien swej wiedzy, tak jak i świadom zagrożeń, dlatego bank internetowy
to jedynie aletrnatywa backupowa... i w dobie nowoczesnych technologii jadąc do
czy z pracy zatrzymuję się na kilka minut w banku, zostawiam wypełnione
przelewy a następnego dnia je odbieram prosto szybko i bezpiecznie.
oczywiście w pewnych sytuacjach niezbedne jest posłużenie się kontem w necie,
ale nigdy nie znajdą się tam oszczędności paru lat czy też jakieś duże kwoty...
...właśnie dlatego, że wiem, iż bankowość internetowa jest na dobrą sprawę jak
durszlak i przy obejściu zabezpieczeń może nawet nie strace kasy(przy pewnej
dozie szczęścia udowodnię że to był włam na konto a nie operacja,
którą "autoryzowałem") ... ale na pewno będę miał je porzez jakiś czas
niedostępne.

rozsądek i umiar... ot co!

pozdrawiam

[mdzj]

Poza tym jakoś trzeba uzgodnić z bankiem numer telefonu. Telefonu, na który
mają przychodzić SMS z potwierdzeniami albo z hasłami jednorazowymi.
Jak autoryzować zmianę numeru? Hasłem jednorazowym przysłanym na ten sam
telefon? ;-)

Jeśli już, to wolę listy haseł jednorazowych przysyłane na papierze. A jeszcze
lepiej w formie zdrapki. W ten sposób przynajmniej jeden element łańcucha
pozostaje niezależny od internetu i mozliwości zdalnej kradzieży danych.

[stach.wokulski]

> Hasło SMS-owe też można podsłuchać, choć oczywiście wymaga to więcej zachodu,
> niźli podsniffowanie hasła na stacji roboczej użytkownika.

Podsłuchanie hasła sms nic nie da. Zawiera ono w sobie podpis operacji. Można
nim autoryzować tylko tę operację, do której zostało wygenerowane. Jeśli
zmienisz choć jedną cyferkę (kwotę, nr konta itp.) hasło nie zadziała.
Potencjalny podsłuchiwacz może więc nim autoryzować tylko tę transakcję, którą
przed chwilą sam wstukałeś...

[slawomir.wroblewski]

Nie ma wielkich problemów. Kartę SIM telefonu mozna łatwo sklonować. Wówczas
bardzo łatwo można "przekonać" system telefonii GSM, żeby wszystkie SMSy (i
rozmowy) dochodziły do tej sklonowanej komórki. Teraz wystarczy, żeby ktoś
posługujący się takim telefonem zdobył dostęp do konta w banku internetowym i
może zrobić wszystko. Wymaga to troche wiecej zachodzu, ale nie jest dużo
trudniejsze od stworzenia dobrego trojana, a jeżeli ktoś ma na koncie sporą
gotówkę, to może to stwarzać pokusę.
Jak widzisz, nie jest to zabezpieczenie idealne.

--------------------------------------

[el_bigos]

a po co komu podsnifowane hasło jednorazowe, które po użyciu nie jest już
aktualne, większym zagrożeniem dla hasłe jednorazowych jest atak typu maninthe
middle

[geminix]

litestep napisał:

> Zwykłe hasło jednorazow
> e
> kiedyś wpiszesz na komputerze z trojanem, i zostanie wykorzystane do
realizacji
> operacji hakera, nie twojej.

Ciekawe jak, skoro jest jednorazowe?
Haker nie jest w stanie zasymulować wykonania transakcji na twoim koncie bez
dostępu do systemu baz danych banku. Wyobrażam sobie, że haker musiałby być
pracownikiem banku i w dodatku hakować z banku ale po co wtedy tyle zachodu z
fałszywymi stronkami? Haker na miejscu z dostępem do baz banku = 1 zapytanko
SQL bez wysilania się.

[regdos]

> Ciekawe jak, skoro jest jednorazowe?
> Haker nie jest w stanie zasymulować wykonania transakcji na twoim koncie bez
> dostępu do systemu baz danych banku.

Normalnei przechwytuje Twój login i hasło następnie jak chcesz przeprowadzić
operacje to przechwytuje hasło jednorazowe, ale w ten sposób, że nie dochodzi do
realizacji Twojej operacji więc ma niewykorzystane hasło.

[geminix]

regdos napisał:

> Normalnei przechwytuje Twój login i hasło następnie jak chcesz przeprowadzić
> operacje to przechwytuje hasło jednorazowe, ale w ten sposób, że nie dochodzi
d
> o
> realizacji Twojej operacji więc ma niewykorzystane hasło.

W praktyce niemożliwe do realizacji.
Bo po pierwsze haker musiałby siedzieć z nosem w kompie i czekać na moje
logowanie, w dodatku musiałbym chcieć akurat wykonać przelew dowolny lub inną
transakcję, do której konieczne jest hasło jednorazowe i musiałbym być debilem
czyli nie zareagować na niewykonanie się transakcji. Prawdopodobieństwo takiego
splotu wydarzeń jest takie samo jak to że on po prostu zgadnie moje hasło
jednorazowe.
Wiem, wiem zamiast siedzieć przed kompem mógłby uruchomić jakiś program
śledzący i robota, który wykona przelew, ale hakerzy też są nieomylni i ciekawy
jestem jak go przetestuje - bo nie znam programisty (a znam kilkuset żyjących z
programowania), który napisze program bardziej skomplikowany niż "Hello world"
od razu bez błędu.
Ale to też nie załatwia sprawy, bo albo musiałby mieć konto w mbanku i wtedy po
mojej interwencji taki przelew można zablokować albo jeśli ma konto w innym
banku to sam sobie mogę wycofać taką transakcję póki nie zostanie zrealizowana,
a realizowane są tylko 3 razy na dobę więc musiałby akurat trafić w sesję.

Tak, że ja jestem spokojny o swoje pieniądze w mbanku.

[jarek.wojtowicz]

> W praktyce niemożliwe do realizacji.

Really???

> Bo po pierwsze haker musiałby siedzieć z nosem w kompie i czekać na moje
> logowanie, w dodatku musiałbym chcieć akurat wykonać przelew dowolny lub inną

Ha! Na ciebie na pewno nie, ale na bliżej trudną do oszacowania, a na pewno
dużą liczbę zwykłych, nieokreślonych i niczego nie spodziewających się zwykłych
zjadaczy chleba, to już NA PEWNO!

> transakcję, do której konieczne jest hasło jednorazowe i musiałbym być
> debilem czyli nie zareagować na niewykonanie się transakcji.

Albo nie doceniasz debilizmu i głupoty ludzkiej, albo sam jesteś ograniczony...


> Prawdopodobieństwo takiego takiego
> splotu wydarzeń jest takie samo jak to że on po prostu zgadnie moje hasło
> jednorazowe.

Jeśli chodzi o ciebie to małe, fuckt. Ale jeśli pomnożymy to przez tysiące
(miliony) innych klientów banku to prawdopodobienstwo jest już dużo, dużo
większe, prawda?

> Wiem, wiem zamiast siedzieć przed kompem mógłby uruchomić jakiś program
> śledzący i robota, który wykona przelew, ale hakerzy też są nieomylni i
> ciekawy
> jestem jak go przetestuje - bo nie znam programisty (a znam kilkuset żyjących
> z
> programowania), który napisze program bardziej skomplikowany niż "Hello
> world" od razu bez błędu.

No proszę... To że hakerzy też są omylni, nie oznacza, że takich nie ma. To po
pierwsze.
Po drugie co za problem przetestować takie coś? Nie widzę żadnych problemów.
Chociażby na sobie!? Co za problem założyć sobie konto i włamywać się do siebie?
Po trzecie. Nie rób sobie jaj! Znasz setki programistów? To ty chyba się
nazywasz Gates albo Balmer! Może znasz tysiące, co? Albo miliony?
A nawet jeśli ich znasz, to chyba jakichś kiepskich, skoro piszą programy
trochę bardziej skomplikowane niż "Hello I'm Jan B." i już robią błedy... no
ich jeszcze oczywiście nie testują!

> Tak, że ja jestem spokojny o swoje pieniądze w mbanku.

No i super. Ale nie wszyscy mogą...

[geminix]

jarek.wojtowicz napisał:

> > W praktyce niemożliwe do realizacji.
>
> Really???
>
> > Bo po pierwsze haker musiałby siedzieć z nosem w kompie i czekać na moje
> > logowanie, w dodatku musiałbym chcieć akurat wykonać przelew dowolny lub
> inną
>
> Ha! Na ciebie na pewno nie, ale na bliżej trudną do oszacowania, a na pewno
> dużą liczbę zwykłych, nieokreślonych i niczego nie spodziewających się
zwykłych
>
> zjadaczy chleba, to już NA PEWNO!
>

Jeśli porozmawiasz z jakimś FACHOWCEM z branży informatycznej to dowiesz się że
nie u nas używa się słów: ZAWSZE, NIGDY, NA PEWNO i NA PEWNO NIE

> > transakcję, do której konieczne jest hasło jednorazowe i musiałbym być
> > debilem czyli nie zareagować na niewykonanie się transakcji.
>
> Albo nie doceniasz debilizmu i głupoty ludzkiej, albo sam jesteś
ograniczony...

Debile nie trzymają na kontach 400.000 zł ani żadnej innej kwoty, którą mobliby
zainteresować hakera.

>
>
> > Prawdopodobieństwo takiego takiego
> > splotu wydarzeń jest takie samo jak to że on po prostu zgadnie moje hasło
>
> > jednorazowe.
>
> Jeśli chodzi o ciebie to małe, fuckt. Ale jeśli pomnożymy to przez tysiące
> (miliony) innych klientów banku to prawdopodobienstwo jest już dużo, dużo
> większe, prawda?

Gdy pójdziesz do szkoły to dowiesz się iloczyn prawdopodobieństw jest co
najwyżej równy jego skladnikom (i to tylko jak wszystkie są równe 1)

>
> > Wiem, wiem zamiast siedzieć przed kompem mógłby uruchomić jakiś program
> > śledzący i robota, który wykona przelew, ale hakerzy też są nieomylni i
> > ciekawy
> > jestem jak go przetestuje - bo nie znam programisty (a znam kilkuset żyją
> cych
> > z
> > programowania), który napisze program bardziej skomplikowany niż "Hello
> > world" od razu bez błędu.
>
> No proszę... To że hakerzy też są omylni, nie oznacza, że takich nie ma. To
po
> pierwsze.
> Po drugie co za problem przetestować takie coś? Nie widzę żadnych problemów.
> Chociażby na sobie!? Co za problem założyć sobie konto i włamywać się do
siebie
> ?

Tu Ci przyznam rację, nie wziąłem tego pod uwagę.

> Po trzecie. Nie rób sobie jaj! Znasz setki programistów? To ty chyba się
> nazywasz Gates albo Balmer! Może znasz tysiące, co? Albo miliony?

Chcesz nazwiska? Ale nie za darmo. Możemy się założyć powiedzmy o 1000 $ (albo
lepiej Euro)

> A nawet jeśli ich znasz, to chyba jakichś kiepskich, skoro piszą programy
> trochę bardziej skomplikowane niż "Hello I'm Jan B." i już robią błedy... no
> ich jeszcze oczywiście nie testują!

Nie napisałem "trochę" i nie napisałem że "nie testują". Ale jak się pisze
programy na 50.000 i więcej linii to chyba się można pomylić co?

>
> > Tak, że ja jestem spokojny o swoje pieniądze w mbanku.
>
> No i super. Ale nie wszyscy mogą...

To niech ich tam nie trzymają, tu jeszcze mamy wolny rynek

[jarek.wojtowicz]

> Jeśli porozmawiasz z jakimś FACHOWCEM z branży informatycznej to dowiesz się
> że
> nie u nas używa się słów: ZAWSZE, NIGDY, NA PEWNO i NA PEWNO NIE

Akurat w takim przypadku można zastosować słowo "NA PEWNO". Niezależnie od tego
czy się jest tam jakimś fachowcem czy nie. Chcesz mi powiedzieć, że fachowiec z
branży informatycznej wahałby się powiedzieć zadanie:
"Dziś NA PEWNO kieszonkowcy czychają na kogoś w tramwaju/pociągu/na ulicy żeby
go okraść"???

> Debile nie trzymają na kontach 400.000 zł ani żadnej innej kwoty, którą
> mobliby zainteresować hakera.

Przed chwilą pisałeś, że fachowiec nie używa słowa NIGDY. A następnie piszesz,
że debile nie trzymają na kontach 400000 zł. Naprawdę jesteś taki pewien?

A jeżeli ten ktoś nie jest debilem, a nie zna się akurat na komputerach, a
400000 zł otrzymał akurat w spadku/wygrał w totka, ...., to co? I mamy takich
osób setki albo więcej? To właśnie na takich ludzi czekają hakerzy. No i
dlaczego mówimy o takich wielkich kwotach? Niektórych zadowoli 20000 zł. A tych
co tyle pieniedzy mają jest już znacznie więcej.

> Nie napisałem "trochę" i nie napisałem że "nie testują". Ale jak się pisze
> programy na 50.000 i więcej linii to chyba się można pomylić co?

Aaaa.... 50000 linii to co innego... Ale hakerzy chyba nie muszą chyba pisać
takich kobyłek? Chociaż cholera ich tam wie....

[k.tomek]

> Normalnei przechwytuje Twój login i hasło następnie jak chcesz przeprowadzić
> operacje to przechwytuje hasło jednorazowe, ale w ten sposób, że nie dochodzi d
> o
> realizacji Twojej operacji więc ma niewykorzystane hasło.

Hasło jednorazowe raz użyte bez względu czy dojdzie do operacji, czy nie natychmiast traci swoją ważność.
Trzeba mieć najpierw konto w mBanku i sprawdzić działanie, a potem wypisywać swoje przemyslenia.

[jarek.wojtowicz]

> > Zwykłe hasło jednorazow
> > e
> > kiedyś wpiszesz na komputerze z trojanem, i zostanie wykorzystane do
> realizacji
> > operacji hakera, nie twojej.
>
> Ciekawe jak, skoro jest jednorazowe?

Ponieważ haker może przechwycić to twoje jednorazowe hasełoi je np. podmienić
na inne (oczywiście złe). Transakcja się nie wykona, haker zna Twoje hasło i
jak się pospieszy, to je odpowiednio wykorzysta zanim ty się połapiesz o co
biega...

[geminix]

forum.gazeta.pl/forum/72,2.html?f=902&w=44325199&a=44340052

[pafcio.gazeta]

nie moze przechwycic (ssl).
a nawet gdyby wstawienie zlego powoduje ze te dobre tez juz nie bedzie uzywane,
tak jest w mbanku (chyba nie masz tam konta:)

[jarek.wojtowicz]

A co jak np. przechwyci zanim wejdzie w ten twój SSL?

A poza tym SSL, sresesel. Jesteś w 100% pewien, że jak już masz ten swój SSL to
jesteś bezpieczny? Serio?

[jarek.wojtowicz]

> w mBanku sa hasła jednorazowe - to tez dobry patent. Nawet jesli ktos sie
> zaloguje na konto to jedyne co moze zrobić to pooglądać sobie co tam jest.

Nie znasz się, to się lepiej nie wypowiadaj. Jeszcze ktoś uwierzy te twoje
głupotki. Zapamiętaj sobie, że HJ to wcale nie jest dobre zabezpieczenie.
No ale jak się nie ma co się lubi....

[geminix]

jarek.wojtowicz napisał:

> Nie znasz się, to się lepiej nie wypowiadaj. Jeszcze ktoś uwierzy te twoje
> głupotki. Zapamiętaj sobie, że HJ to wcale nie jest dobre zabezpieczenie.
> No ale jak się nie ma co się lubi....

Stary, nie kompromituj się :) takie teksty to możesz opowiadać kolegom w
piaskownicy.
Za dużo filmów ogladasz :)

[jarek.wojtowicz]

No kolego, to teraz kolega mi wytłumaczy dlaczego to ja się nie znam i się
kompromituję... Tylko ze szczegółami... Tak żebym nie mógł się pozbierać...
NO DALEJ!

[geminix]

przeczytaj sobie moje posty, tam jest napisane dlaczego bez udziału pracownika
banku i/lub katastrofalnych zaniedbań ze strony klienta nie można ukraść
pieniędzy z konta banku internetowego (ani żadnego innego zresztą)

Na koniec jeszcze jedno:

ŻADNE zabebezpieczenia NIE SĄ 100% PEWNE i każde da się złamać. Powstaje tylko
problem - czas i opłacalność takiego przedsięwzięcia.

A hasła jednorazowe są w tym świetle WYSTARCZAJĄCYM zabezpieczeniem

[jarek.wojtowicz]

Zaraz, zaraz ale przechwycenie (nie złamanie) hasła jednorazowego nie należy
chyba do szczególnie trudnych rzeczy, prawda?

[michalng]

A co jak ktos wykonuje np 300 przelewów w 8 godzin :). Mój telefon nie wytrzyma 300 sms-ów :)

[zielonka443]

Co do tych potwierdzen. Mam konto w niemieckim banku i taki potwierdzania
otrzymuje za darmo mailem.

A ile razy kasa wyparowała z kont tradycyjnych ?

[darek183]

Forma elektroniczna nie robi tu żadnej różnicy. Zawsze najsłabszym ogniwem
systemu są klienci i pracownicy banku. Systemy jako takie sa bezpieczne. Czy
komuś się udało tak po prostu przez internet wejśc na serwer mBanku z systemem
Alnova ? Oczywiście nie. A nawet gdyby to musi pokonać jeszcze wiele przeszkód,
żeby przelać pieniądze z jakiegos konta na swoje. Jeśli jednak ktoś czyli klient
poda mu sposób dostępu do swojego konta to tak jakby otworzył drzwi do sejfu.
Podobnie jest z pracowniakami banku, bo niektórzy z nich poprostu muszą mieć
dostęp do wszystkiego w systemie. Ale czy w tradycyjnej bankowości było inaczej,
nc nie ginęło ? Oczywiscie, że ginęły i ciągle giną i to większe niż w przypadku
bankowosci elektronicznej.

[azebrowski]

darek183 napisał:

> Forma elektroniczna nie robi tu żadnej różnicy. Zawsze najsłabszym ogniwem
> systemu są klienci i pracownicy banku. Systemy jako takie sa bezpieczne. Czy
> komuś się udało tak po prostu przez internet wejśc na serwer mBanku z systemem
> Alnova ? Oczywiście nie. A nawet gdyby to musi pokonać jeszcze wiele przeszkód,
> żeby przelać pieniądze z jakiegos konta na swoje. Jeśli jednak ktoś czyli klien
> t
> poda mu sposób dostępu do swojego konta to tak jakby otworzył drzwi do sejfu.
> Podobnie jest z pracowniakami banku, bo niektórzy z nich poprostu muszą mieć
> dostęp do wszystkiego w systemie. Ale czy w tradycyjnej bankowości było inaczej
> ,
> nc nie ginęło ? Oczywiscie, że ginęły i ciągle giną i to większe niż w przypadk
> u
> bankowosci elektronicznej.

Wybacz, ale nie masz racji.
O każdym najmniejszym rabunku, a nawet zbiciu szyby w banku, dowiadujemy sie z prasy/TV, a o kradzieżach elektronicznych tylko szczęśliwym trafem, jak ktoś puści parę z ust. Zabezpieczenia serwerów bankowych są faktycznie ok. Ale chodzi o takie proste elementy jak kradzież tożsamości (przez keyloggery, etc). Tu potrzebne są rozwiązania na miarę problemu. O jednym z nich pisałem powyżej. Po każdej, jakiejkolwiek zmianie na koncie, przelewie dostajesz sms-a i masz czas aby ewentualnie anulować transakcje. A nie dowiedziec się o niej wieczorem po powrocie z pracy, kiedy możesz co najwyżej się postresować, bo żaden bank ci nie pomoże.

[michalng]

I tak nie od dzis wiadomo ze najczestrza metoda jest po prostu napad na osobe wychodzaca z banku/ dochodzaca od bankomatu. Z tym ze zwykły napad nie działa tak na wyobraznie jak skomplikowany rabunek z banku przy uzyciu najnowszej technologii :)

wyważasz otwarte drzwi

[pacal2]

w mBanku już wprowadzono podobne rozwiązanie.
Potwierdzenie każdej (prawie) transakcji SMS-owym kodem ważnym tylko dla danej
transakcji.

Heh, myślisz że banki "marmurowe" rozliczenia wykonują przewożąc między sobą
tony pieniędzy furgonetkami?
Też posiadają systemy informatyczne i też ich używają do rozliczeń i transakcji,
tyle że nie dają do nich modułu obsługowego dla klientów z dostępem z sieci
publicznej...

Tak że ze zwykłego banku również można ukraść parę złotych nie zbijając tej
twojej szyby. Wystarczy mieć/zdobyć prawa/hasła odpowiednio ważnego pracownika.
I dostęp do komputera w instytucji. Nie ma wielkiej różnicy.

[aja74]

"zajmuje się bezpieczeństwem" kto tym bezpieczenstwem sie zajmuje?
A po drugie powinienes wiedziec ze w m-banku jest systme hasel jednorazowych
wiec raczej sama znajomoschasla nie jest wystarczajaca, albo te hasla
jednorazowe to bajeczki?

aja74

[el_bigos]

zajmuje się bezpieczeństwem sieci, wystarczy, a co do hasęł jednorazowych to mam
świadomość ich istnienia, bo mam konto właśnie w mbanku

[el_bigos]

a co do tych haseł jednorazowych to są zupełnie bezwartościowe kiedy np ktoś
znając twój pin ukradnie ci karte i wyczyści ci konto w pierwszym lepszym bankomacie

[aja74]

Ale mowa nie o skradzionej karcie bankomatowej wiec tej sytuacji nie mozemy
brac pod uwage.
I widze tez nie zakapowales o co mi chodzilo, starasz sie pisac z ogonkami a
bylo tam "zajmuje się bezpieczeństwem" a powinno byc "zajmujĘ ...".


AJA

[el_bigos]

nie wiemy z jaką sytuacją mamy do czynienia, nie jest napisane w jaki sposób
kasa zniknęła, a co literówek, no coż, nie zawsze przy szybkim pisaniu jak tak
jak byśmy chcieli:))

hehe no raczej 400 tysięcy z bankomatu

[pacal2]

nie wypłacili :D
Poza tym mBank nie zwróciłby wtedy klientowi pieniędzy, w sytuacji
niezablokowania skradzionej karty właściciel konta sam jest sobie winien (chyba
że wykupi odpowiedni pakiet ubezpieczeniowy).

[bambi7]

po pierwsze - trzeba być baranem żeby komuś swój PIN udostępnić

po drugie - w niektórych bankach jest blokada jednodniowej wypłaty (ja
ustawiłem w opcjach mojego rachunku 2000zł/dzień)

[el_bigos]

ale ty jesteś daremna, przecież nie muszisz nikomu świadomie podawać PIN, żeby
ta osoba weszła w jego posiadanie

a jak mam to zrobić nieświadomie?

[pacal2]

czule wyszeptać złodziejowi na uszko w pijanym zwidzie?

PIN siedzi tylko w mojej głowie, więc nie widzę możliwości żeby ktoś wszedł bez
mojej wiedzy w jego posiadanie, przy dzisiejszym stanie wiedzy o czytaniu w
myślach :D

[el_bigos]

wiele razy spotkałem kobiety, które PIN trzymały w portfelu razem z kartą

[el_bigos]

i jeszcze jedno jeśli chodzi o hasła jednorazowe, poczytaj sobie o ataku typu
maninthemiddle

[aja74]

Ale to ja wlasnie mowie o tych haslach jendorazowych. W koncu to mialo byc
dobre zabezpieczenie i co nie jest? Widac nie. Ech ...

[el_bigos]

owszem, tylko przeprowadzenie takiego ataku nie jest takie proste i byle
gó..arz tego nie zrobi tak ajk w przypadku podesłania trojana czy keyloggera

[pshem.co]

Faktycznie, my, (zwykli zjadacze chlebka codziennego lub bułeczki) dowiadujemy
się o ułamku zdarzeń w sieci. Włamania na serwery bankowe są objęte tajemnicą.
Powiedzmy sobie otwarcie, bank który by się przyznał, że złamano jego system
zabezpieczeń, nastepnego dnia jest już zamknięty.
Dlatego komunikaty na ten temat są bardzo skąpe - o ile jakiekolwiek się
pojawią.
Z drugiej strony my, klienci, musimy zdawać sobie sprawę z faktu, że zarówno
zabezpieczeniami w bankach zajmują się fachowcy jak i pieniądze z kont znikają
dzięki "specjalistom wysokiej klasy".
Niemniej jest kilka drobiazgów na które warto zwrócić uwage w takiej sytuacji:
1/ pojedyńczy fakt zniknięcia kasy z konta nie jest dowodem na złamanie systemu
zabezpieczenia banku. Jeżeli kasa zniknęła jednemu człowiekowi to jest to
zazwyczaj jego wina. dopiero w sytuacji gdy zniknie kasa większej grupie osób
można mówić o złamaniu systemu zabezpieczeń.
2/ nie dajmy się zwariować i nie ufajmy bezgranicznie "wysokiej jakości
zabezpieczeniom". Wszystkie zabezpieczenia stworzył człowiek i mają one
dokładnie jedną wadę taką samą jak człowiek: "nobody's perfect" (by jack lemon
o ile dobrze pamiętam :))) ). Zatem i je można złamać. To kwestia czasu i
czasem pieniędzy.
3/ błąd ludzki jest najczęstszym powodem strat na koncie i powstaje pytanie
tylko jak podnieść wydajność zabezpieczeń (klucze jednorazowe, inne sposoby
identyfikacji). Kiedyś, spotkałem się z taką sytuacją, przelewałem pieniądze z
konta swojego na żony przelewem telefonicznym, w ramach tego samego banku
zresztą. Po 24h nie było pieniędzy na jej koncie więc zaczęliśmy się denerwować.
po dokładnym sprawdzeniu okazało sie, że jedna cyferka była nie taka i kwota
wisiała na rozliczeniach niewyjaśnionych, zanim wróciła na moje konto.
Zanim taka sytuacja wystąpiła dałbym sobie rękę uciąć, że wszystko podałem
panience z infolinii dobrze... ale im dłużej nad tym myslałem tym mniejszą
miałem ochotę na szafowanie członkami.
Zatem Ci, którym znika kasa niech się uderzą w pierś i otwarcie odpowiedzą na
pytanie: bank, bankiem, ale czy ja jestem dobrze zabezpieczony?
Przecież bank ma fundusze , gwarancje, a ja?

pozdrawiam

P.S. tylko niech mnie tu wszyscy naraz nie zaczną zapewniać, że mają doskonałe
zabezpieczenia... śmiech może zabijać :D
________________
huknij w blat, nożyce się odezwą... huknij powiadam! ;)

[michalparadowski]

A ja, oglądając mimowoli, nachalne reklamy telewizyjne owego banku, za każdym
razem stwierdzałem: reklama jest wspaniała, brak tylko informacji, od kiedy (od
jakiej daty) zaczną znikać pieniądze z kont? Teraz już wiem. Bez daty, bo
permanentnie!

[el_p]

Mozecie sobie gadac o nieudolnosci userow, to fakt. Ale czy do obslugi konta
potrzebny jest doktorat z informatyki??
Nie ma co ukrywac, wina bankow sa zle chronione bankomaty w ktorych ktos
instaluje urzadzenia zczytujace info z kart (Wroclaw- Biskupin bank mial cos
takiego w swojej placowce). Wina bankow jest tez chronienie dostepu do konta za
pomoca stalego hasla, ktore sluzy rowniez do przelewow. Zeby obrobic posiadacza
konta w KB24 wystarczy znac jego PESEL, date urodzenia, haslo i PIN, 15min dla
telefonicznego cwaniaka ktory dzowni i podaje sie za pracownika banku.
Osobiscie moge wam tu wkleic haslo i login do mojego konta w Inteligo, nic wam
to nie da, kazdy przelew jest autoryzowany jednorazowym kodem zdrapka. Lukas ma
np. token.
Dochodzi jeszcze kwestia sklepow internetowych, ktore sa rowniez odpowiedzialne
za bezpieczenstwo naszych pieniedzy. Zle zabezpieczone, nieszyfrowana
transmisja, poziom zabezpieczen wolajacy o pomste do O. Dyrektora.

[azebrowski]

Nic prostszego kolego:)
Możemy zrobić tak: ty dokonujesz przelewu, potwierdzasz kodem zdrapką. My cały czas kontrolujemy transmisję. Przechwyujemy twók kod-zdrapkę a tobie wyświetlamy fałszywą stroną z potwierdzeniem przelewu. Prosty phishing. 5 min pozniej robie przelew korzystając z twojej autoryzacji, jednorazowego kodu-zdrapki jaki ci ukradłem i już. Znam juz kilka takich przypadków wykorzystania. Królują kafejki internetowe!

[el_p]

Nie, ok, ale to juz wymaga wiekszych zabiegow, wiedzy i pracy. Moze sie zdarzyc,
ze pracuje na FF, mam zabezpieczonego kompa i bedziesz mial wiekszy problem. Ja
mowie o poziomie 0 zabezpieczen, kiedy wystarczy poznac w prosty sposob kilka
cyfr i jestes panem czyjegos konta.

[tymon99]

azebrowski napisał:

> Nic prostszego kolego:)
> Możemy zrobić tak: ty dokonujesz przelewu, potwierdzasz kodem zdrapką. My cały
> czas kontrolujemy transmisję. Przechwyujemy twók kod-zdrapkę a tobie wyświetlam
> y fałszywą stroną z potwierdzeniem przelewu

rozkodowując w locie transmisję SSL, 128 bitów? no pełen uznania jestem..

[judas1]

"Mimo to specjaliści od bankowości elektronicznej zapewniają, że pieniądze, do
których klienci banków mają dostęp za pośrednictwem Internetu lub telefonu, są
dobrze zabezpieczone. Według nich, trudne systemy ochrony są wręcz niemożliwe do
pokonania przez potencjalnych włamywaczy."

Zabezpieczone... zobaczymy.

[azebrowski]

Kolego! Mówimy o phisingu, a nie o prawdziwym przechwyceniu transmisji SSL, bo to nie miałoby sensu. Dlatego wspomniałem o kafejce. Wybacz, jeśli wyraziłem się nieprzejrzyście. Swoją drogą jest też inna możliwość, nawet łątwe przechwycenie sesji po SSL, ale o tym nie na tym forum.

[ferris.b]

on chyba mowi o phishingu czyli udawanym szyfrowaniu SSL. w takim przypadku to chyba zadna sztuka,
co?

[adamplaszczyca]

> rozkodowując w locie transmisję SSL, 128 bitów? no pełen uznania jestem..

Tunel jest zaterminowany na przeglądarce, a nie na klawiaturze. Pomiędzy
paluszkami użytkownika, a przeglądarką jest jeszcze mnóstwo miejsca na małego
zjadacza cudzych hasełek. Nic też nie stoi na przeszkodzie, żeby zorganizować
jakiś ,,man in the middle'' (ilu luserów sprawdza certyfikaty?).

r.

[jarek.wojtowicz]

> rozkodowując w locie transmisję SSL, 128 bitów? no pełen uznania jestem..

Nie amigo... są inne, prostsze myki...

no to się pochwal, amigo

[pacal2]

tymi prostszymi mykami, którymi w locie przerobisz transmisję SSL pomiędzy
dobrze zabezpieczonym komputerem, z rozsądnym użytkownikiem przy klawiaturze i
serwerem bankowym.

[tksl]

tez myslalem ze tak to dziala,ale w mbanku sa nie tacy glupi informatycy. kod
zdrapka, albo smsowy jest przypisany tylko do konkretnej transakcji, jesli ja
anulujesz, albo wykonasz nowa bez anulowania to potrzebujesz nowego kodu, takze
phishing tu nie zadziala, chyba ze zadzwonisz do uzytkownika i spytasz sie jaki
ma kod w miejscu x, albo wyslesz strone z zadaniem kolejnego kodu do tej samej
transakcji

[azebrowski]

tksl napisał:

> tez myslalem ze tak to dziala,ale w mbanku sa nie tacy glupi informatycy. kod
> zdrapka, albo smsowy jest przypisany tylko do konkretnej transakcji, jesli ja
> anulujesz, albo wykonasz nowa bez anulowania to potrzebujesz nowego kodu, takze
>
> phishing tu nie zadziala, chyba ze zadzwonisz do uzytkownika i spytasz sie jaki
>
> ma kod w miejscu x, albo wyslesz strone z zadaniem kolejnego kodu do tej samej
> transakcji

Faktycznie, dla kodu sms-owego, który wiąże daną transakcję z treścią hasła to nie zadziała. Ale dla zwykłego kodu jednorazowego z listy spokojnie zadziała. Bo liczy się tylko kod jako kolejny numer, a ty z niego i z pomocą podstawionej strony zrobisz operację jaką chcesz. Dlatego dla każdej najmniejszej opereacji powinienes od razu dostawać sms o szczegółąch operacji aby móc ją w każdej chwili sprawdzić i ewentalnie anulować.

tyle zachodu, żeby zwędzić moje 100 pln!!!

[perro69]

bzdura!!! ilu ludzi w mbanku trzyma na koncie 400.000 pln? to ustawione
kradzieże a nie żadne akcje hackerskie z podkradaniem haseł, tożsamości ionnymi
bredniami z filmów.

[jarek.wojtowicz]

Na przykład ja.. I co łyso ci?

haha dobry jesteś

[pacal2]

trzymasz 400 tys. na koncie, zamiast je zainwestować? Gratuluję rozsądku.

[jarek.wojtowicz]

No a to akurat nic cię nie powinno interesować. Dlaczego, ile i z jakich
powodów mam na koncie. No nie? Może mam jakieś inne pomysły? A może te
pieniądze to nie jest dla mnie żadna fortuna, a może nie powinieneś osądzać
ludzi, że nie mają rozsądku, tylko dlatego, że mają trochę pieniędzy na koncie?

[michalng]

> Osobiscie moge wam tu wkleic haslo i login do mojego konta w Inteligo, nic > wam to nie da, kazdy przelew jest autoryzowany jednorazowym kodem zdrapka.

To wklejaj :)

[el_p]

LOL, to taki zart, nie dam wam bo pozniej bedziecie dzwonic i dyszec do
sluchawki albo zobaczycie ile zostawiam w monopolowym....

Uwaga mBank stosuje wymuszenia

[r.glogowski]

Moja sprawa z mBankiem trwa juz ponad 2 lata.

W skrócie:

mBank mimo, że nigdy nie podpisywałem z nim żadnej
umowy przysyła mi informacje o zadłuzeniu za prowadzenie konta.
Ostatnio "urosło" ono do 100 zł. Nie zapłącę im ani grosza.
Bo z jakiej racji?

Z instytucją można połączyć się jedynie telefonicznie a droga do wowiedzenia sie czegokolwiek jest karkołomna. Sytem jest zaprojektowany bardzo niewygodnie,
trzeba ustanawiac milion kodów. Tak, tak - wiem. dla bezpieczeństwa:-(

Widzimi chociazby w tym artykule jak wygląda to bezpieczenstwo.

Ale dotarłem do poziomu gdzie obiecano mi likwidacje konkta
... po kilku miesiacu przyszedł ten sam papier, z tym ze suma była już wyższa.
Zatem sprawe wyjaśniałem ponownie, z tym zę tym razem zażądałem pisemnego potiwerdzenia likwidacji konta. Pani z call center obiecała. Nic nie przeyszło.

Uważam, mBank za firmę juz nie tylko nieretelną, ale nieuczciwą jeśli ktoś wystwia rachunki za usługi których nie było to jak to nazwać?
Jest to wymuszenie. Uwazajcie na mBank.


Swoją sprawę jestem zdecydowany przedstawic przed sądem. Mam te wszystkie papiery od nich. A mojego podpisu oni nie znajdą na żadnej umowie.
Tego jestem pewnien.

Uważajcie na mBank. Taki mamy w Polsce kapitalizm :-(


Rafał Głogowski

[filtr]

Panie Głogowski, Pan chyba pomylił banki. MmBank nie pobiera opłat za prowadzenie konta.
Uważam zatem,że w tym wypadku (nawiązując do Pana postu) jest Pan osobą nierzetelną i nieuczciwą, narusza Pan dobre imię mBanku.

[madcio]

Albo coś ci się pomerdało, albo zwyczajnie kłamiesz. mBank nie pobiera opłat za
prowadzenie żadnego konta w ofercie (ekonto, emax, emax plus, izzykonto).

www.mbank.com.pl/przewodnik/oplaty.html

[szkodnik]

Zgadzam sie z el-bigosem.
Zauwazylem jeszcze jedna ciekawostke. W sondarzu, "czy boisz sie o swoje
pieniadze w banku internetowym" sporo ludzi odpowiedzialo ze TAK. A ja sie
pytam, to po jaka cholere trzymaja tam swoje pieniadze?? Zapieprzac do PKO BP,
PKO SA, BZ WBK i stac w kolejkach. Nikt wam nie kaze trzymac kasy w banku
internetowym skoro sie boicie...lenie smierdzace.

[kotecek7]

Ale oj tam.
Ja bralam kredyt w mbanku. Na 150 tys zl. Rok temu. Wszystko przyznali,
podpisane byly papiery. Ladnie, szybko cycus glancus. No i czekalam na kase i
czekalam. Baba od ktorej mialam kupic mieszkanie za te kase chciala zrywac
umowe. W koncu przyszedl harmonogram splat tego kredytu - na 30 lat, a kasy
wciaz nie bylo. Zadzwonilam wiec do pana co mnie obslugiwal. A on do mnie: - O
Jezu, no sory, zapomnialem wydac dyspozycje przelewu dla pani. Juz to robie.
Ale gniewa sie pani, co?
Nie, k..., skad. Kasa w koncu przyszla. nadmienie, ze pan mnie obslugiwal w
obskurnym pokoiku w jakims wynajetym pomieszczeniu w biurowcu (bo mbank nie ma
swojej siedziby) a na biurku brakowalo tylko kupy, panowal totalny syf,
kanapki, papiery, maskotki, popielniczka. Dramat. Nie dziwne mi bylo wiec ze
pan mnie gdzies zagubil.

[pekapek]

ale ja też się boję i też mam pieniądze w banku internetowym. co więcej, na
pewno do "zwykłego" w najbliższej przyszłości się nie przeniosę. Ale to że się
boję, to to że po prostu jestem (staram się być) ostrożny przy logowaniu
(zawsze sprawdzam certyfikat strony), ochronie haseł itp. A fałszywe
przekonanie o bezpieczeństwie może doprowadzic na manowce poprzez lekceważenie
podstawowych zasad bezpieczeństwa.
wolę się bać i uważać na pieniądze jednocześnie będąc świadomy zagrożeń aniżeli
nie bać sie i gwizdać na wszystko

nic dodać nic ująć :D

[pacal2]

[iwa01]

>wszystkie przypadki kradzieży
> kasy z banków są winą tylko i wyłącznie użytkowinków, którzy najpier
> bezmyślnie otwierają pocztę z wirusami (trojany, backdoory, keyloggery i inne
> bardziewie + phising), a potem płaczą, że im kasa z kont umyka


z tego wynika, że aby pieniądze były bezpieczne na e-koncie, jego własciciel
nie pownien w ogóle korzystać z internetu. Przeciez przy kazdym połaczeniu z
siecią powoduje, że świedomie lub nieswiadomie sciąga na swoje konto
nieszczęście.

[el_bigos]

bzdury wypisujesz i nie zrozumiełeś co napisałem, ja mam konto w mbanku i
korzystam tylko z niego przez internet, chodziło mi tylko o to, że ludzie po
prostu nie zabezpieczają swoich kompów i bezmyslnie klikają w co popadnie, a
zabepieczenie kompa robi się przecież nie tylko ze względu na to, że korzysta
sie z banku internetowego

Bardzo ważne

[mafiapres]

MafiapressPl - Pamietam pierwsze procesy dotyczące wyciągania pieniędzy z kont,
bez udziału właścicieli. Jako ciekawostkę podam, że specjaliści orzekli, iż z
bankomatu (w 2001 r.) istniało blisko 50 sposobów na wyciągnięcie pieniędzy.
Podejrzewam, że z konta internetowego, ta liczba jest wielokrotnie większa. -
MafiapressPl.

[raf4]

a ja uwazam przeciwnie ze prawie zawsze wina jest po stronie banku ktory nie
zabezpiecza swojego serwisu przyzwoicie....przyklad jak mozna jednorazowo
wyczyscic cale konto??? powino to byc niemozliwe limit dzienny- limit
miesieczny chcesz to musisz wykazac dodatkowe haslo lub uwierzytelnic sie
telefonicznie /co zwieksza koszty banku/....kolejna furtka stworzona przez
bank /np:Citibank, ktory juz to poprawil/, jest tylko jedno haslo dostepu i
droga wolna /to na tej furtce tworzone sa falszywe strony www/ po wejsciu
mozesz zrobic wszytko tzn.pkt 1 wyczyscic konto do 0zl.

wszystkie furtki da sie zabezpieczyc ale zwiekszy to koszty utrzymania banku i
nie bedzie miliardowych zyskow a to zarzad tylko interesuje ;)

PS.
to samo dotyczy falszowania kart kredytowych...sa juz systemy ktore "ucza sie
klienta" tzn. gdzie kupuje co i kiedy...a gdy pozniej nagle taki pan kowalski z
Mragowa kupuje drogi sprzecior w Hong Kongu automatycznie to blokuje i prosi
pracownika banku o kontak z klientem ;) to jest drogie ale jak sie szanuje
klienta to jest to oplacalne ale jak wyzej liczy sie tylko kolejny miliard
zysku !!! a takie wlamanie po 6 miesiecznej reklamacji mozna w koncu uznac i
pieniazki biednemu pechowcowi zwrocic ;)

[clough]

Dyskusja w tym wątku ma jedną zaletę, uświadamia klientów banków o
potencjalnych zagrożeniach, ale wszelkie wywody na temat zabezpieczeń mających
dać stuprocentową gwarancję bezpieczeństwa naszej kasy nie ma sensu. Od kilku
lat obsługuję swój rachunek przez internet i po prostu stosuję takie środki
ostrożności na jakie mnie stać. Jeśli trafię na nieuczciwego bankowca to
stwierdzę, że miałem pecha. To tak jak z kierowcą, którego ktoś stuknął. Miał
pecha, że w tej akurat sekundzie znalazł się w tym miejscu. Czy to znaczy, że
ma teraz nie używać samochodu?
Stuprocentową gwarancję daje nie posiadanie gotówki, konta bankowego, dostępu
do internetu itp. Ale żyć trzeba.

[ania.downar]

el_bigos napisał:

> zajmuje się bezpieczeństwem sieci więc mam jakieś pojęcie na ten temat i po
> śledzeniu wydarzeń (włamań) muszę stwierdzić, że wszystkie przypadki kradzieży
> kasy z banków są winą tylko i wyłącznie użytkowinków, którzy najpier
> bezmyślnie otwierają pocztę z wirusami (trojany, backdoory, keyloggery i inne
> bardziewie + phising), a potem płaczą, że im kasa z kont umyka

el_bigos... no zajeb...cie masz fajnie, ze sie zajmujesz bezpieczenstwem sieci,
na pewno jestes super inteligentnym gosciem, dodatkowo bardzo przystojnym...
ale Ci powiem, ze jako klientka banku moge wymagac, zeby zapewnili
bezpieczenstwo mojej forsie bez wzgledu na to z jakich stronek, jakie trojanki
czy inne robaczki mi wejda....

Nie widze powodu, dla ktorego mailabym po nocach siedziec na forach i czytac
porady nabzdyczonych specow od IT, zeby moc byc na biezaco w temacie wszystkich
wirusow swiata i nie martwic sie o kase w banku.

No sorry, no...

[el_bigos]

daruj sobie głąbie tą tanią ironię, jak myślisz, że podstawowe zabezpieczenie
komputera przewyżasza twoje możliwości intelektualne to oddaj go specjaliście i
niech to za ciebie zrobi, poza tym kompa zabepieczasz nie tylko po to żeby
korzystać z usług danego banku

[el_bigos]

poza tym towój komp to twój cyrk i twoje małpy i do tego jestem pewny, że
właśnie należysz do tej rzeszy użytkowników, którzy bezmyślnie klikaja w co popadnie

[ania.downar]

el_bigos napisał:

> poza tym towój komp to twój cyrk i twoje małpy i do tego jestem pewny, że
> właśnie należysz do tej rzeszy użytkowników, którzy bezmyślnie klikaja w co
pop
> adnie

Wiec wlasnie, moj komp to moj cyrk. A bank ma zrobic wszystko, zeby mi forsa z
konta nie zginela.

A za ironie to rzeczywiscie przepraszam, ponioslo mnie troche. Taka
autoamtyczna reakcja, po przeczytaniu jednej z pierwszych odpowiedzi gdzie od
razu jakis madrala zrzuca wine na usera.

[el_bigos]

a co ma bank do tego, jak otworzysz mejla niewiadomego pochodzenia z
załącznikiem, w którym będzie np jakiś trojan lub keylogger, który będzie
wszystko rejestrował co wklepiesz na klawiaturze, łącznie z pinami, hasłami, i
identyfikatorami?
mąrdalą nie jestem, a wiedzę o użytkowikach czerpię z własnego doświadczenia w
pracy, każdy informatyk Ci powie, że największym zagrożeniem dla komputera jest
użytkownik

[ania.downar]

No tak, ale ja po prostu oczekuje ze bank przewidzi to ze moge sobie kliknac w
tego maila. Jesli Ty to przewidujesz, to oni przeciez tez. Niech wprowadza cos,
co nie ogranicza sie tylko do kompa, chocby te smsy o ktorych mowa wyzej... juz
nie moja w tym glowa, od tego sa przeciez specjalisci...

A jak to jest z tymi antywirusami to wiem nawet jako zwykly uzytkownik,
samonapedzajace sie perpetum mobile (wirus, update antyw., nowy wirus, nowy
update... i tak do konca swiata :-)

[el_bigos]

co do tego samonapędzającego się p.m. to pretensje możesz miec jedynie do tych
co piszą wirusy

[geminix]

ania.downar napisała:

> No tak, ale ja po prostu oczekuje ze bank przewidzi to ze moge sobie kliknac
w
> tego maila. Jesli Ty to przewidujesz, to oni przeciez tez. Niech wprowadza
cos,
>
> co nie ogranicza sie tylko do kompa, chocby te smsy o ktorych mowa wyzej...
juz
>
> nie moja w tym glowa, od tego sa przeciez specjalisci...

No jasne czyli jakbyś szła z gołą d... o północy przez park to Państwo
powowinno Ci przydzielić prywatnego policjanta bo jak Cię zgwałcą to przecież
wina Policji, nie Twoja. Oczywiście że bezpośrednim winowajcą jest gwałciciel,
ale tak samo jak ktoś Ci kradnie pieniądze z konta to winny jest złodziej, nie
bank!
Wiesz co?, przestać bo się ośmieszasz

>
> A jak to jest z tymi antywirusami to wiem nawet jako zwykly uzytkownik,
> samonapedzajace sie perpetum mobile (wirus, update antyw., nowy wirus, nowy
> update... i tak do konca swiata :-)

No tak, to jasne - wirusy i trojany piszą firmy produkujące oprogramowanie
antywirusowe, a ja głupi nie wiedziałem. Aha, a co z tymi co rozdają AV za
free, też piszą wirusy (ale debile).

[ania.downar]

Moja propozycja dla Ciebie:
Sam sobie lataj z gola d*pa po parku, onani****o durny. Postaraj sie rozwinac
mozliwie najwieksza predkosc, zeby ewentualne walniecie lbem w drzewo bylo
skuteczne za pierwszym razem.

Drugiej czesci mojej wypowiedzi tez nie zrozumiales, wiec po co zabierasz
glos?...

Poza tym wyobraz sobie, ze oprocz kompow na tym swiecie sa tel. kom oraz tel.
stacjonarne. Wystarczy wymaganie potwierdzenia tranzakcji... Kurna, rece
opadaja....

[geminix]

jesteś chora...

[ania.downar]

Niewatpliwie.
Pozdrowienia.

[el_bigos]

i jeszcze jedno, chcesz się czuć bezpiecznie to stój sobie w kolejakch w banku,
korzystanie z usłg banku zobowiązuje użytkowika to posiadania przynajmniej
minimum wiedzy z zakresu bezpieczeństwa i wcale nie trzeba siedzieć na forach po
nocach

[ania.downar]

el_bigos napisał:

> i jeszcze jedno, chcesz się czuć bezpiecznie to stój sobie w kolejakch w
banku,
> korzystanie z usłg banku zobowiązuje użytkowika to posiadania przynajmniej
> minimum wiedzy z zakresu bezpieczeństwa i wcale nie trzeba siedzieć na forach
p
> o
> nocach

No nie.... teraz Ty troche przesadziles.... moze zdefiniuj to "minimum wiedzy"
i odnies to do statystycznego uzytkownika komputera.

[el_bigos]

potrafisz ściągnąc program antywirusowy (avast jest darmowy) i kliknąć w
setup.exe, a następnie "next", "next" i "next"?bo właśnie do tego się teraz
sprowadza instalacja skanera antywirusowego, do którego po instalacji i
restarcie komputera już nie musisz zaglądać, bo sam za Ciebie wszystko robi,
nawte sam się aktualizuje. Potrafisz ściągnąć ad-aware z internetu (równiez
darmnowy) zaktualizować go i przynajmniej raz na tydzień kliknąć w programie
"scan now"? Jeśli masz windowsa xp z service pack 2 to ścianę ogniową juz masz
(tzw systemowa) i też sie już to nie muszisz martwić. To właśnie nazywam minimum
wiedzy jeśli chodzi o bezpieczeństwo nie tylko połączeniń z bankiem, ale przede
wszystkim Twoich danych na dyskach twardych.

[d.o.s.i.a]

A co to jest avast?
A co to jest adaware?
A co to jest program antywirusowy?

Podaj mi przepis, z godnie z ktorym mam OBOWIAZEK to wiedziec...

[d.o.s.i.a]

oczywiscie mialo byc "zgodnie"...

[ania.downar]

Stoje :-) ale nawet specjalnie kolejek nie ma.... :-D

[jarek.wojtowicz]

No sorry no ... blondyna no ...
Tłumaczy człowiek co i jak, a ty tylko sorry no... i klapki na oczach.

Więc zapamiętaj sobie, że zabezpieczenie systemu jest tak mocne jak najsłabsze
jego ogniwo. Co z tego, że banki będą się zabezpieczały najlepiej jak mogą,
skoro do tego systemu należy jeszcze twój komputer z którego łączysz się z tym
super zabezpieczonym bankiem. To jak masz zabezpieczony komputer i jak się ty
sama na nim zachowujesz, też wpływa BEZPOŚREDNIO na bezpieczenstwo CAŁEGO
systemu. Bo pamiętaj, że nie tylko jest ważny bezpieczny seks, ale surfowanie
w necie tak samo... Dasz się przelecieć gościowi z adidasem bez kondoma, możesz
isć do piachu, oglądasz jakieś niebezpieczne stronki w necie, otwierasz listy
nie wiadomo od kogo i nie wiadomo z czym, łapiesz innego syfa i tym razem
zostajesz na lodzie bez kasy.
No a takie systemy operacyjne, to też tylko programy, które miały, mają i będą
miały błedy i to także wpływa na bezpieczenstwo. I ten biedny bank nic na to
nie może poradzić (może tylko wybrać system który ich ma możliwie jak najmniej -
no ale kto to wie).
Także koleżanko zanim zaczniesz wymagać coś od banku, to zacznij od własnej
ignorancji, poedukuj się trochę i zacznij wymagać od siebie, a dopiero od
innych...

[ania.downar]

Jak sie domyslam kolejny czlowiek z branzy...... zrozum wiec, ze nieustannie
edukowac sie mam zamiar w innej dziedzinie, za ktora mi placa, zebym ja pozniej
mogla placic przykladowo mBankowi za uslugi, ktore mi dostarcza.

Gwoli scislosci, jako takie pojecie mam. Na podejrzane stronki nie wchodze,
linkow z gg nie otwieram, maile niewiadomodokogo wyrzucam, a w ww banku trzymam
kasy tyle ile na comiesieczne przelewy mi potrzeba.

I naprawde jest mi strasznie glupio, ze wymagam czegos najpierw od banku...
zawstydziles mnie...

[jarek.wojtowicz]

Ano z branży... ale nie bankowej jak by co...

No więc zrozum, że żeby system był w 100 procentach bezpieczny to musi stać w
sejfie bankowym, nie uruchomiony i bez dostępu NIKOGO z zewnątrz jak i z
wewnątrz. Są ludzie w banku, którzy mogą zrobić z twoim kontem WSZYSTKO.
Dosłownie wszystko. Nie pracuję w banku tylko w innej firmie i też obsługujemy
MILIONY klientów! I nie przesadziłem! I ja mogę wszystko zrobić. Mogę wykasować
konta na miliony euro, mogę skasować i ludzi i firmy. Prawie jak Bóg!
Zabezpieczenia oczywiście są, no ale nie ma zabezpieczen nie do obejścia... I
dopóki tu pracuję (i inni) też tworzymy niniejszym słabe ogniwo systemu. I tacy
ludzie zawsze byli i chyba będą.
Nie obraź się ale masz takie trochę dziecinne podejście. No bo też wymagasz od
producentów samochodów, żeby robili tylko takie samochody w których nic ci się
nie stanie? Nie znam przepisów drogowych, mam wszystko w d... ale jak wjadę z
podporządkowanej w tira, to producent samochodu ma wbudować radar połączony z
hamulcem, żeby mi to uniemożliwić?! A niech się martwi. Mnie nie ma nic się
stać, a uczenie się KD to strata czasu.

Możesz być pewna, że banki dużo robią w celu zabezpieczenia się. A te które
tego nie robią, mają później problemy. Np. kiepskie zabezpieczenia City Banku
na pewno sie rozeszły i ludzie porezygnowali ze współpracy z nim.
Ale niestety pomysłowość i głupota ludzka nie zna granic! I zawsze będą z
takimi problemy...

[ania.downar]

jarek.wojtowicz napisał:

> Ano z branży... ale nie bankowej jak by co...

Nie musisz prostowac, wyczulam na km...

Mysle, ze moje "dziecinne" podejscie jest podejsciem 90% klientow bankow
internetowych. Nie musze chyba rozwijac dalej tej mysli....
Twoje teksty o samochodach i tirach sa calkiem na poziomie tekstu, ktory mnie
sprowokowal do wyrazenia osobistej opinii.

Dla przypomnienia:
"wszystkie przypadki kradzieży
kasy z banków są winą tylko i wyłącznie użytkowinków, którzy najpier
bezmyślnie otwierają pocztę z wirusami (trojany, backdoory, keyloggery i inne
bardziewie + phising), a potem płaczą, że im kasa z kont umyka".

I tyle w tym temacie.

[jarek.wojtowicz]

> Dla przypomnienia:
> "wszystkie przypadki kradzieży
> kasy z banków są winą tylko i wyłącznie użytkowinków, którzy najpier
> bezmyślnie otwierają pocztę z wirusami (trojany, backdoory, keyloggery i inne
> bardziewie + phising), a potem płaczą, że im kasa z kont umyka".

Bo tak też pewnie jest w 90% przypadków. Smutne i prawdziwe.
I tak na prawdę dałoby się zwiększyć bezpieczenstwo transakcji bankowych, ale
kosztem wygody użytkownika... A tego zwykłe szaraczki już by nie zniosły.
Przenieśli by się pewnie do mniej bezpiecznego banku...

> I tyle w tym temacie.

I z mojej strony też.

[ania.downar]

jarek.wojtowicz napisał:

>A tego zwykłe szaraczki już by nie zniosły.
> Przenieśli by się pewnie do mniej bezpiecznego banku...

Jarku, nie obraz sie, ale masz typowe podejscie informatyka (programisty,
sieciowca, wybierz sam). Nie doceniasz szaraczkow... Jako przecietnie
zorientowany szarak, zostalabym w banku bezpieczniejszym, nawet jesli
oplacilabym to dodatkowymi 15-oma kliknieciami (dobra, zalozmy ze max 7,
hehehe). Ale niech mi potem ktos nie gada, ze to moja wina ze nie zrobilam
odpwiednio wczesniej jakiegos update'a antywirusa albo cos...

To troche tak, jakby ktos poszedl do lekarza z rakiem, a lekarz by
powiedzial: "Oooo... tak mi przykro, pil Pan latami cole light... nie wiedzial
Pan, ze zawiera rakotworczy aspartam??? no sorrki ale trzeba bylo byc na
biezaco..."

[jarek.wojtowicz]

> Jarku, nie obraz sie, ale masz typowe podejscie informatyka (programisty,
> sieciowca, wybierz sam). Nie doceniasz szaraczkow... Jako przecietnie

Nie... nie mam zamiaru się obrażać. Nic a nic. Tylko, że te wszystkie kawały z
serii "wspomnienia informatyka, programisty, sieciowca, administratora ...." to
jest wszystko najprawdziwsza prawda. Ja nie mam problemów z obsługą komputera,
ty może też nie, ale są miliony ludzi, którym jak się tylko wyłączy monitor,
który zawsze był włączony, to będą z tym walczyli przez 3 dni, a później tak
czy tak wylądują z tym problemem w serwisie.

> To troche tak, jakby ktos poszedl do lekarza z rakiem, a lekarz by
> powiedzial: "Oooo... tak mi przykro, pil Pan latami cole light... nie
> wiedzial
> Pan, ze zawiera rakotworczy aspartam??? no sorrki ale trzeba bylo byc na
> biezaco..."

Jak dowodzą ostatnie badania aspartam nie jest rakotwórczy. Uf... Chociaż coli
staram sie nie pić.

[ania.downar]

jarek.wojtowicz napisał:

> ale są miliony ludzi, którym jak się tylko wyłączy monitor,
> który zawsze był włączony, to będą z tym walczyli przez 3 dni, a później tak
> czy tak wylądują z tym problemem w serwisie.
>
Ale wlasnie Ci ludzie tez korzystaja z uslug bankow internetowych. Ja w umowie
z mBankiem sie nie doczytalam, ze powinnam odpowiednio zabezpieczyc komputer...
Przypadki kradziezy tez sa utajniane z wiadomych wzgledow...
A w instrukcji obslugi samochodu mam napisane, jak czesto wymieniac olej.
Nie uwazam, ze to w porzadku ze strony bankow.

>
> Jak dowodzą ostatnie badania aspartam nie jest rakotwórczy. Uf... Chociaż
coli
> staram sie nie pić.

Podobno zamienniki sa drozsze. Wiec na wszelki wypadek nie pij...
Ja staram sie nie wjezdzac pod tiry.

[astaz.piotr]

Przepraszam bardzo ale nie wiesz jak inni podchodza do bezpieczenstwa ja nie
dysponuje wielka kasa ale mimo to dbam o bezpieczenstwo i potrzeba do tego
tylko troche checi nic wiecej nie przesiaduje na forach wystarczy zwykły
pankiet antywirusowy nawet bezpłatny aby miec bezpieczniejszy dostep do konta .

[ania.downar]

No przepraszam bardzo, ale dbasz dokladnie w taki sam sposob jak ja, co jest
gdzies tam watku wyzej.

Problem w tym , ze mimo tego pakietu nie jestes w stanie sie uchronic. I jest
to Twoja wina.

[jarek.wojtowicz]

ania.downar napisała:

> No przepraszam bardzo, ale dbasz dokladnie w taki sam sposob jak ja, co jest
> gdzies tam watku wyzej.
>
> Problem w tym , ze mimo tego pakietu nie jestes w stanie sie uchronic. I jest
> to Twoja wina.

Nie, to nie jego wina. Wina leży jak by co po trzech stonach:
1. Bank dostarcza kiepskiej jakości system,
2. Producent oprogramowania na którym pracuje bank i/lub użytkownik dostarcza
wątpliwej jakości produkt
3. Użytkownik jest niewyedukowany, niepoinformowany na temat zagrożen w necie
albo jest po prostu głupi

To teraz spróbuj sobie wyobrazić, że wszystkie te 3 elementy są w 100%
bezpieczne, co skutkuje bezpiecznym dostępem do pieniędzy. Potrafisz sobie to
wyobrazić? Wszystkie 3 elementy 100% bezpieczne. Ja nie potrafię... i dlatego
właśnie mamy ew. włamy do banków.

[hmmm]

> ale Ci powiem, ze jako klientka banku moge wymagac, zeby zapewnili
> bezpieczenstwo mojej forsie bez wzgledu na to z jakich stronek, jakie trojanki
> czy inne robaczki mi wejda....

a jako klientka producenta torebek możesz wymagać, żeby zapewnił bezpieczeństwo
Twojej forsie bez względu na to czy będziesz nosić ją otwartą z gotówką na
wierzchu w autobusie linii 175 (W-wa) w godzinach szczytu...

dobre dobre

[ania.downar]

No niezupelnie. A Ty wymagasz od producenta torebek, zeby Ci forsa nie zginela?
Jesli tak to tez uwazam, ze to dobre....

Natomiast jakos pewnie Cie nie dziwi, ze np. jak Ci zwina karte kredytowa, to
jakos nikt nie powie ze to Twoja wina bo nosilas ja przy sobie?

[yellow24]

ciekawe co byś powiedział gdyby tak z twojego konta wszystko znikło :)

[el_bigos]

wszystko zależy od tego w jaki sposób by te pieniążki wypłynęły

[el_bigos]

czy ja ci już powyżej nie odpowiadałem na to pytanie??

Interia podaje ze 220 tys.

[zat4ra]

Gdzie jest prawda?

Panie "fachowcu " od zabezpieczen

[jery1]

ludzie -palca ci ciezkie pieniadze za prace wiec nie powinenes ich obrazac -
tylko robic takie zabezpiecznia ktore sa odporne na wszystko - bank powinien
nawet udosteniac zainteresowanym - programy zabezpieczajace kompa przed -
wirusami - przeznaczonymi do sciagania hasel itd

[jarek.wojtowicz]

Twoja IGNORANCJA jest tak porażająco OGROMNA, że nie warto Ci nic odpisywać...

a co z twoja ignorancja?

[beny51]

> Twoja IGNORANCJA jest tak porażająco OGROMNA, że nie warto Ci nic odpisywać...
To moze mi odpisz czemu jego ignorancja jest taka ogromna?
Chetnie podyskutuje z toba na ten temat.

Aby dac ci temat do myslenia zastanow sie nad "prostymi" rozwiazaniami, ktore by
utrudnily niepowolany dostep do danych bankowych. Jest takich rozwiazan kilka
oto one:
1. Bootowalna plytka CD/DVD z zainstalowana przegladarka pozwalajaca otwierac
tylko strony banku. Mozesz miec tysiace wirusow na swoim komputerze, jak dlugo
bedziesz robil wsyzstkie operacje bankowe z tejze plytki jestes znacznie lepiej
chroniony niz gdybys to robil spod swojego systemu operacyjnego. Koszt
przygotowania takiej plytki przez bank to okolo 5/7 dni roboczych (pelen
projekt i wykonanie) Plytka moze byc np. wielkosci karty kredytowej z ladnym
logo banku zeby sie dobrze marketingowo prezentowala.

2. Dedykowany system (program) do wspolpracy z bankiem. System ktory sobie
urzytkownik instaluje na komputerze. System taki musi spelniac kilka zalozen:
- skanowac pamiec na okolicznosc znach wirusow przed swoim uruchomieniem
- skanowac samego siebie na okolicznosc jakiegos niechcianego patcha
- poslugiwac sie tak zwana wirtualna klawiatura na ekranie inaczej mowiac da sie
obslugiwac tylko i wylacznie myszka - klawiatura jest "niepodlaczona" (da sie
oczywiscie przechwycic i pozycje myszki, ale to zawsze kolejne zabezpieczenie)
- poslugiwanie sie do autoryzacji transkacji zwyklymi kluczami RSA SecurityID
(drogie to dziadostwo, ale czemu nie)
itd, itd.

Moglbym mnozyc tutaj jeszcze takich pomyslow, tylko po co jesli ludzie wychodza
z zalozenia ze po co im to - niech sie marwti klient ktory zlozyl pieniadze w banku.

A ludziom obawiajacym sie o swoja kase polecam metoda (1) - zaprzyjazniony
informatyk zrobi wam taka plytke cd w jeden dzien.

[jarek.wojtowicz]

Moja ignorancja mówi mi, że jakby to powiedział Lech Wałęsa, Twoje pomysły są
OK ale do bani...
Jesteś aż takim ignorantem, żeby nie dostrzegać, jaki podniósłby się raban, że
można robić przelewy mając do dyspozycji tylko taką płytkę? To ma być ogólnie
powszechny dostęp do banku a nie ograniczony!
A co jak ci się płytka zarysuje a ty musisz wykonać przelew?
A co jak ktoś chce wykonać przelew w pracy i ma na kompie napęd ale są
poblokowane? A znam takie przypadki!
A co jak ktoś nie ma w ogóle napędu?
A co jak w tej twojej jedynie słusznej przeglądarce odkryją hakerzy 50 dziur?
Zanim bank wytłoczy i roześle nowe płytki, to już zdążą im paru klientów
oskubać. No i będzie oczywiście wielki krzyk!
A co jak mam konta w pięciu bankach? Ja np. mam. I co mam łazić z 5 płytkami?

I ja nie piszę tego z mojego punktu widzenia! Ja piszę to z punktu widzenia
zwykłego śmiertelnika, który nie ma pojęcia np. co to jest płytka bootowalna!

A co jak ten dedykowany system bankowy ma kupę błędów? Bo przetestowało go parę
programistów i biedni klienci banków sami na sobie? Np. błędy MS wychodzą na
światło dzienne dlatego tak szybko, bo jest to produkt popularny i stosują go
miliony ludzi.

Każdy program zainstalowany na komputerze użytkownika (dedykowany czy nie)
można spaczować. Nawet ten który sam sprawdza, czy nie został spaczowany!
Widzisz w tym jakiś problem? Bo ja nie.
A co jak ten twój dedykowany program nie będzie miał w bazie wirusów, nowego
modelu wirusa? I ci ten dedykowany system zarazi?
Wirtualne klawiatury zostały już prawie przez hakerów rozniesone na strzępy.

Możesz sobie mnożyć pomysłów ile chcesz i zawsze znajdzie się ktoś, kto wymyśli
jak to obejść. I nigdy nie będzie systemów 100% bezpiecznych. Choć byś tysiąc
lat myślał i miał 1000 pomysłów. Wszystko to ogranicza się tylko do utrudnienia
hakerowi pracy.

[beny51]

Jasne i dlatego ze kazdy pomysl mozna w ten sposob utracic lepiej nie robic nic,
wytywajac ludzi od ignorantow. Nie bede tutaj podawal kontrargumentow do twoich
uwag bo sam pewnie wiesz ze twoje uwagi maja sie ni jak do rzeczywistosci. Kazdy
swiadomy urzytkownik ( ajesli nie jest swiadomy, to w interesie banku jest go
uswiadomic) wie ze lepiej sie zgodzic na pare utrudnien, ale miec pewnosc ze
nikt nie ruszy kasy, niz beztrosko otwierac drzwi do domu kazdemu kto do nich puka.

> A co jak w tej twojej jedynie słusznej przeglądarce odkryją hakerzy 50 dziur?
> Zanim bank wytłoczy i roześle nowe płytki, to już zdążą im paru klientów
> oskubać.

A no nic. Bo te dziury mozna wykorzystac, w tedy gdy daje sie przekierowac
uzytkownika na sprearowana strone. W tedy gdy mozna zmodyfikowac kod
przegladarki. A w wypadku mojej propozycji nie jest to po prostu mozliwe, tak
dlugo jak dlugo haker nie bedzie dysponowal wejsciem na routery brzegowe.

> I ja nie piszę tego z mojego punktu widzenia! Ja piszę to z punktu widzenia
> zwykłego śmiertelnika, który nie ma pojęcia np. co to jest płytka bootowalna!

I nie musi bank ma mu dostarczyc narzedzie i powiedziec jak je uruchomic.

> A co jak ci się płytka zarysuje a ty musisz wykonać przelew?
to dostane od banku nowa. Jak ci sie zarysuje karta kredytowa tez placzesz?

> A co jak ktoś chce wykonać przelew w pracy i ma na kompie napęd ale są
> poblokowane? A znam takie przypadki!

W pracy sie pracuje, a nie internetuje.

> Jesteś aż takim ignorantem, żeby nie dostrzegać, jaki podniósłby się raban, że
> można robić przelewy mając do dyspozycji tylko taką płytkę? To ma być ogólnie
> powszechny dostęp do banku a nie ograniczony!

Rozumiemi ze masz tylko jeden pin i jedna karte kredytowa/platnicza, ktora
obslugujesz swoje wszystkie konta - gratuluje choc nie wierze.

> Możesz sobie mnożyć pomysłów ile chcesz i zawsze znajdzie się ktoś, kto wymyśli
powtorze to nie powod zeby nie udoskonalac systemow i zeby nie proponowac
klientom cos lepszego. Szczegolnie jesli oni zawierzyli bankowi swoje pieniadze.
A np. monopolistyczne praktyki bankow w ktorych mozna on-line pracowac z jedynie
sluszna przegladarka sa juz nie do zaakceptowania.

[el_bigos]

a jakie to cięzkie pieniądze płacisz drogi użytkowniku w mbanku skoro tam
większość jest za darmo, poza tym przeczytaj co napisałem ani_downar i nie bądz
ignorantem

[pink.freud]

Czy posiadanie 2 windowsów na 2 twardych dyskach, z których 1 jest wkładany tylko na czas łączenia z bankiem i nie wchodzi się z niego na inne strony ani nie używa do niczego innego jest dobrym pomysłem?

[el_bigos]

to zależy, bo jeśli masz te dwa systemy na tym samym dysku to jak dorwiesz
wirusa, który się będzie replikował na inne partycje to klapa, najlepiej
ściągnąć sobie jakiegoś linuxa typu live cd (np knoppix), którego obsługa jest
prosta (jeśli chodzi o internet) - live cd to system, który uruchamia się z CD i
nie potrzebuje dysku twardego

[pink.freud]

Napisałem o 2 Windowsach na 2 twardych dyskach, nie pisałem o partycjach.
Wyjmowalny dysk jest chyba lepszym rozwiazaniem od CD, bo system szybciej się ładuje.
Czy na CD jest od razu przeglądarka czy trzeba ją dogrywać lub wchodzic na twardy dysk?

[el_bigos]

na tym cd jest wszysko, a knoppix wygląda podobnie jak windows, jeśli dobrze
pamietam to jest tam mozilla i pare innych przeglądarek do wyboru, niestey nie
pamiętam jak jest z javą, ale jest to do sprawdzenia

[el_bigos]

zapomniałbym:)) nie wiem na ile legalny jest ten produkt, ale udało mi się
dorwać niedawno live cd windows xp z obsługą sieci, więc i dojściem z internetu,
jedynie problem może być z neostradą, bo tam trzeba instalować ich sofcik, ale
pewnie i na to już są gotowe rozwiązania

[pink.freud]

Czy takie rozwiazanie jest w 100% pewne? Nie ma wtedy żadnej technicznej mozliwości by włamać się na twoje konto?
Czemu wolisz CD od wyjmowalnego twardego dysku? jest pewniejsze?

[el_bigos]

bo jak wrypie się wirus na system uruchomiony z cd to po ponownym uruchomieniu
już go nie ma, poza tym 100% nigdy nie będziesz miał, to ciebie nie uchroni np
przed phisingiem (tzm podstawianie spreparowanych stron łudząco przypominających
oryginalne strony danego banku, ale przed tym można się też zabezpieczyć,
wystarczy sprawdzić certyfikat strony albo po prostu nie logować się na
stronach, z linków, które przychodza na mejla, banki takich mejli nie wysylają

[pink.freud]

Jeśli logujesz sie tylko i wyłacznie na stronę banku i nie odbierasz żadnych maili na tym dysku to nie masz chyba szansy złapać wirusa ani wejść na podstawioną stronę a prościej jest w przyszłości zaktualizować np jawę, jeśli bank tego zażąda niż wypalać nową płytkę.
Rozwiązanie z CD wydaje się pewniejsze, jeśli ktos ma problem z dyscypliną ale taki system chyba się dość długo wgrywa.

[el_bigos]

ok, brniemy dalej:)
zakładamy, ze ktoś ma neostrade i ten dysk z systemem, z którego korzysta tylko
w przypadku podłączenia do banku. Powszechnie wiadomo (?), że w neostradzie
wszyscy maja publiczne IP (nieważne, że przydzielane dynamicznie), czyli
niedoświadczeni użytkowicy są wystawieni bezpośrednio do internetu (a właściwie
ich komp), nie sa za firewallem prowidera a już na pewno nie są za NAT'em. Fakt
ten wykorzystuja pseudohakerzy, którzy skanuja te komputery w poszukiwaniu
niezabezpieczonych kompów ewentualnie szukaja niezałatancyh dziur. Jak znajdzie
ładuje ci backdoora (np jakiegoś exploita), a potem trojana. Jesli nie zdąży
wysłać trojan logowanych "wklepnięć" na klawiaturze to zrobi to przy następnym
połączeniu do neta. Efekty wiadome.
Pomijam tutaj kweste finasowe, bo chyba oczywiste jest co bardziej sie opłaca
poświęcić, dysk czy cd...

[pink.freud]

Nie orientuję się co się dzieję poza moim kompem. Czy jeśli poruszam się tylko i wyłacznie drogą od mojego kompa do strony internetowej banku to mimo to hackerzy są w stanie się podłączyć na tej drodze i ma to znaczenie jeśli jest to neostrada? Czy ma to coś wspólnego z szyfrowaniem czy moim dostawcą? Czy firewalle słuzą też do ocheony w takich przypadkach czy dopiero jak klikam sobie po różnych podejrzanych stronkach czy otwieram maile?

[el_bigos]

Czy jeśli poruszam się tylko
> i wyłacznie drogą od mojego kompa do strony internetowej banku to mimo to hacke
> rzy są w stanie się podłączyć na tej drodze i ma to znaczenie jeśli jest to neo
> strada?
to, że otwierasz tylko stronę z banku nie znaczy, że twój komupter nie jest
wystawiony do internetu na inne usługi (poczytaj o portach, ty łączysz się z
bankiem po porcie 80, zarezerwowanym domyślnie dla http lub https, a portów masz
ok. 65000). Neostrada ma tu ogromne znaczenie, bo tak jak wspominalem wychodząc
na 'świat" masz publiczne IP (nie jestes za np. NAT'em)
"Czy ma to coś wspólnego z szyfrowaniem czy moim dostawcą? "
szyfrowanie to inna bajka, szyfrowane są dane podczas transmisji z bankiem
"Czy firewalle
> słuzą też do ocheony w takich przypadkach czy dopiero jak klikam sobie po różn
> ych podejrzanych stronkach czy otwieram maile?"
w pewnym sensie tak, generalnie firewalle służą do kontroli transmisji danych
wychodzących i wchodzących do twojego komputera, nie rozróznia czy to wirus (nie
ma bazy sygnatur wirusów tak jak skaner antywirusowy) czy to jakiś inny program
tylko patrzy jak się on zachowuje, jeśli łączy się na jakiś (najczęściej) wysoki
port to wtedy blokuje go albo pyta co z nim zrobić. Np, haker zaczyna skanować
twojego kompa i znajduje w nim niezałataną dziurę na jakieś usłudze, jak
znajdzie wtedy ładuje exploita, żeby dostać się na twój dysk (wszystko to
tłumaczę w wielkim skrócie), jak ma dojście do dysku wtedy kopiuje jakiegoś
trojana albo keyloggera, który ma za zadanie "logować" wszystko to co wklepiesz
na klawiaturze i wysłać informacje na podaną skrzynkę. Jest to jedna z metod, a
jest ich cała masa...

[el_bigos]

hehe, zapomiałem skończyć:)
jaka jest w tym przypadku rola firewalla? właśnie taka, że juz na samym początku
dobry firewall powinien takiego hakera zablokować kiedy skanuje porty, dlatego,
żeby haker nie wiedział jakie porty masz otwarte

[el_bigos]

jeśli będą następne pytania to odpowiem na nie dopiero wieczorkiem, ewentualnie
gg:2683969, ale również wieczorkiem:)

[pink.freud]

Dzieki:)
Z tego co piszesz wynika, że w momencie gdy odpalam przeglądarkę otwieram sobie porty po których ktoś może zeskanować mi komputer i umieścić trojana. Jeśli używam systemu na CD może zeskanować ale trojana nie ma gdzie umieścić.
Piszę oczywiście o skrajnych przypadkach, bo chronią mnie antywirusy anty spy, adaware i malware:)
Neostrada jest gorsza od tradycyjnego providera bo u niego chroni mnie dodatkowo firewall i NAT.

[wstawziemniaki]

od kiedy NAT chroni???

[maclaw13]

Zaraz, nie rozumiem, jak to "wyparowało". Przecież bank jest elektroniczny i nie
ma fizycznego dostępu do konta (w sensie realizacji transakcji w okienku). W
związku z tym bank powinien miec pełen zapis skąd i dokąd kasa powędrowała. No
chyba, że ktoś wyciągnął 400tys. z bankomatu albo z terminala płatniczego. Mimo
wszystko dalej nie rozumiem słowa "wyparowało" w kontekście banku elektronicznego.

[jarek.wojtowicz]

No i pewno ma ten zapis. Tylko, że gazeta o tym nic nie wie i pisze wyparowała.
A jak pieniądze "wyparowywują", to sugeruje to, że maczał w tym paluchy ktoś z
banku. Bo ich tam też jakoś sprawdzają. Ale wiadomo jak to jest... dla chcącego
nic trudnego...

mBanku jest kiepski BO: 1. sa hasla zamiast token

[roger45]

i nie dzwonia potwierdzic wiekszych przelewow ( tak jak Inteligo)

[el_bigos]

ale hasła są jednorazowe

Tu nie ma mowy o przelewie tylko o "wyparowaniu"

[roman_tryk]

Czyli pieniądze zniknęły z konta.

Nie zostały przelane na inne konto bo to jest bardzo proste do wykrycia i
odkręcenia (jeżli udowodni się kradzież).
Chyba, że dziennikarze nie wiedzą o czym piszą w tym artykule.

Niektórym zniknęły typowaia w konkursie GazetyWyborczej Mundialmania..
I jakoś nikt się im na konto nie włamał :)

[madcio]

Eee. Mi zadzwonili. Co prawda było to lata tmeu, jak kupowałem wypasiony jak na
owe czasy komp.

Potwierdzam, głupota użytkowników

[lmblmb]

el_bigos napisał:

> zajmuje się bezpieczeństwem sieci więc mam jakieś pojęcie na ten temat i po
> śledzeniu wydarzeń (włamań) muszę stwierdzić, że wszystkie przypadki kradzieży
> kasy z banków są winą tylko i wyłącznie użytkowinków, którzy najpier
> bezmyślnie otwierają pocztę z wirusami (trojany, backdoory, keyloggery i inne
> bardziewie + phising), a potem płaczą, że im kasa z kont umyka

Keyloggery tu nie pomogą - wszystkie banki (za wyjątkiem loserów z ING) mają
dodatkowe zabezpieczenia. Głupota ludzi nie zna granic. Przykład od siebie podam
taki: znalazłem w necie plik DOC z nazwą rodzaju "karta kodów.doc",
"zabezpieczony" hasłem. Zdjęcie hasła zajęło mi ok. 5 minut, po czym oczom moim
ukazał się... las liczb, dokładnie jak na karcie kodów w mBanku.