Niebezpieczny bank
Opublikowano 21 April 2009 autor: Wojciech Bogacz | Kategoria: IT i komputeryzacja, przemyslenia | Komentarze (1)
Jak zwykle kolejna historia z życia wzięta – w tym przypadku mojego.
Jestem nieco zbulwersowany i zaskoczony pewnymi brakami bezpieczeństwa w jednym z banków (celowo nie piszę, o który chodzi, bo ktoś mógłby to wykorzystać).
Przypadek jednak wyglądał bardzo prosto (nawet zbyt prosto).
Chcąc zrobić przelew wszedłem na stronę logowania do banku, wpisałem login i hasło po czym kliknąłem zaloguj – pech chciał, że w tej chwili wystąpił jakiś problem z dostępem do Internetu i strona nie załadowała się. Wszedłem więc ponownie, znowu wpisałem hasło i znowu pech – ponownie to samo. Po kilku minutach jednak okazało się, że z dostępem do Internetu jest OK. i wreszcie udało mi się zalogować.
Bank jednak wymaga co miesiąc zmiany hasła do logowania (co akurat jest moim zdaniem sensownym posunięciem – nieco uciążliwym – ale wg. mnie warto), a że akurat upłynął miesiąc pierwsza rzecz, którą zobaczyłem to właśnie formularz zmiany hasła. Wpisałem co trzeba, kliknąłem OK. i znowu łącze padło.
Kiedy znowu zaczęło działać, okazało się, że moje hasło do banku już mnie nie wpuszcza, stare nic, nowe nic, tak w kółko ze dwa razy i zobaczyłem komunikat, że dostęp mam zablokowany. Nie dziwię się – to normalna procedura.
Dzwonię więc do obsługi technicznej i mówię o co chodzi – po 30 sekundach wyjaśnień pani zapytała o login i hasło jakie pierwotnie podałem na umowie przy aktywacji dostępu do Internet. Wszystko się zgodziło i w tym momencie to był koniec.
Prawdę mówiąc jest to niezwykle niebezpieczne z mojego punktu widzenia, ponieważ wystarczy, że ktoś zrobiłby fotkę takiej umowy i gotowe. Można komuś zablokować konto wpisując wielokrotnie złe hasło po czym zadzwonić do obsługi i podać te dwie rzeczy i robić prawie co mu się podoba. Jedynie przelewu na nowe konto nie zrobi, bo potrzebuje listy haseł jednorazowych. Boję się jednak pomyśleć, co by było jakby tej pani z obsługi dobry kit wcisnąć (dostęp przez Internet mają dopiero od dwóch lat, a bank jest raczej stary na polskim rynku).
Zmniejszyć ryzyko przejęcia konta jest łatwo – wystarczy zapytać np. o pesel, nazwisko panieńskie matki czy coś podobnego. Wtedy jest to kolejny element, który potrzebowałby ktoś, chcący uzyskać nieuprawniony dostęp do naszego konta.
Bardzo dobrym sposobem byłoby też oddzwonienie do właściciela konta, na numer podany (np. w umowie) w celu potwierdzenia czy to on prosił o odblokowanie. Numeru telefonu już tak łatwo nie da się przejąć – wymagałoby to ze strony włamywacza ogromnych wysiłków i pewnie czasu. Całkiem też możliwe, że byłoby wystarczająco kosztowne, że nie byłoby to opłacalne.
Na koniec przytoczę tutaj wypowiedź człowieka z branży zabezpieczeń (nie jest to dokładny cytat) – "Zabezpieczenia muszą być na tyle trudne do obejścia, na tyle, czasochłonne i kosztowne żeby włamywacz uznał to za nieopłacalne".
22 April 2009 o godz. 13:13
To mogło się tylko stać w jakimś banku spółdzielczym:)