Wystarczy takiemu złoczyńcy wyrobić lewy dowód ze swoim zdjęciem i danymi podpisującego i kupić na jego konto telewizor na raty o ile nie zastrzegł peselu. Nie wiem dlaczego rodo, giodo itd. pozwalają na takie coś.
Giodo i rodo to raczej akurat to tego nic nie mają.
A w ogólności, ciężko się zabezpieczyć przed sytuacją, kiedy ktoś posługuje się sfałszowanym dokumentem (obojętnie jakim). W przypadkach szczególnych istnieją pewne mechanizmy weryfikacji, a zastrzeżenie pesel jest jednym z nich (oczywiście, macie wszyscy zastrzeżone pesele? Macie, prawda...?).
Teoretycznie można by wymagać wylegitymowania się dwoma dokumentami (swój pierwszy abonament na komórkę tak kupowałem, dowód + prawo jazdy), ale ludzie by zaraz krzyczeli że to niewygodne i o co chodzi... Poza tym to tylko podnosi poprzeczkę nieco wyżej, bo jak ktoś potrafi sfałszować dowód osobisty, to sfałszuje i prawo jazdy.
„Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna”
Biorąc pod uwagę, że i w KRS i KW są te same dane (tj. imię, nazwisko i PESEL) to jakie to ma znaczenie?
A co do telewizora na raty, to "lewy dowód", nawet jeśli sprzedawca nie zweryfikuje bo będzie idealnie podrobiony, nie będzie się zgadzał z rejestrem, który banki odpytują w locie. Chyba, że jeszcze gdzieś przestępca pozyska numer dowodu osobistego, datę i miejsce wydania.
Mnie nie ma w KRS, a z mojego certyfikatu można poznać mój pesel, co za tym idzie poznać moją datę urodzenia i inne konsekwencje na które nie mam ochoty. Uważam, że to jest słabe.
Kupując na raty z tego co wiem jedynie sprawdzają pesel w BIK i spisują dane z dowodu. Sklepy nie mają dostępu do Rejestru Dowodów Osobistych więc nie są w stanie sprawdzić powiązania danych dowodu z peselem. Numer dowodu można wygenerować tak aby zgadzała się suma kontrolna, numer ten de facto i tak służy do uwiarygodnienia dokumentu a nie danej osoby. Więc jak jakiś sprzedawca czy pożyczkodawca nie będzie zbyt skrupulatny, a dowód "kolekcjonerski" obejrzy pobieżnie, osoba bez zastrzeżonego peselu ma problem.
Rzeczy, które posiadasz w końcu zaczynają posiadać ciebie
Chuck Palahniuk - Fight Club
Kupując na raty z tego co wiem jedynie sprawdzają pesel w BIK i spisują dane z dowodu. Sklepy nie mają dostępu do Rejestru Dowodów Osobistych więc nie są w stanie sprawdzić powiązania danych dowodu z peselem. Numer dowodu można wygenerować tak aby zgadzała się suma kontrolna, numer ten de facto i tak służy do uwiarygodnienia dokumentu a nie danej osoby. Więc jak jakiś sprzedawca czy pożyczkodawca nie będzie zbyt skrupulatny, a dowód "kolekcjonerski" obejrzy pobieżnie, osoba bez zastrzeżonego peselu ma problem.
Z czego wiesz?
Sądzisz, że sklepy mają tyle pieniędzy żeby udzielać kredytów ratalnych?
Twtter is a day by day war
Pewnie duże sieci sklepowe korzystają z banków, ale oszuści i firmy z nimi powiązane lub nierzetelne firmy pożyczkowe lub telekomunikacyjne już nie. Tak czy siak podpis elektroniczny maił być równoznaczny z odręcznym, a przekazuje więcej informacji niż powinien.
Rzeczy, które posiadasz w końcu zaczynają posiadać ciebie
Chuck Palahniuk - Fight Club
Pewnie duże sieci sklepowe korzystają z banków, ale oszuści i firmy z nimi powiązane lub nierzetelne firmy pożyczkowe lub telekomunikacyjne już nie. Tak czy siak podpis elektroniczny maił być równoznaczny z odręcznym, a przekazuje więcej informacji niż powinien.
Zagubiłem się. Pisałeś o braniu telewizora na raty, bo ktoś poznał Twój PESEL, a teraz piszesz o tym, że oszuści otwierają sklep lub firmę pożyczkową. I co dalej? Nie kumam takiego scenariusza. Dadzą komuś telewizor/pożyczkę a wpiszą Ciebie? Czy nie dadzą tego telewizora/pożyczki a wpiszą Ciebie?
Masz mieszkanie własnościowe lub dom? Skoro tak to i tak mogę poznać Twój PESEL. Wystarczy, że wiem jaki masz adres tej nieruchomości. Za 30-50 złotych dostanę numer księgi wieczystej a w niej jest Twój PESEL. Co więcej, jeśli kupiłeś to w kredycie, który jeszcze spłacasz, jest sporo więcej informacji.
Nie szukałbym dziury w całym. PESEL coraz częściej przestaje być daną szczególnie wrażliwą. Wpisujesz go wszędzie, w umowę na prąd, gaz, telefon, telewizję kablową i tak można wymieniać. Podpisów cyfrowych też nie używasz do wszystkiego, w praktyce odbiorcą dokumentu podpisanego cyfrowo jest zazwyczaj ktoś kto i tak dostawał od Ciebie te i więcej danych.
Twtter is a day by day war
Nic takiego nie napisałem. Pisałem ogólnie o możliwości wykorzystywania cudzego peselu odczytanego z certyfikatu przez oszustów do wyłudzania kredytów i innych umów (sposobów w jaki to zrobią jest pewnie bez liku bo takie rzeczy cały czas się zdarzają), nie wszyscy "sprzedawcy" rzetelnie sprawdzają dane lub nie mają takich możliwości albo nie jest to w ich interesie. Bez peselu i przypisanego im imienia i nazwiska by to im się nie udało. Po to m.in. utworzono mechanizm zastrzeżeń pesel w BIK aby to utrudnić.
Z peselu odczytujesz też datę urodzenia, a to też jest informacja osobowa, które uważam, ze powinna być chroniona, a nie rozgłaszana. Powinni przynajmniej tak skonstruować pesel aby nie można było odczytywać tych informacji, coś jak NIP. Sprawa dostępu do danych z KW też jest wg mnie mocno kontrowersyjna.
Podpisami elektronicznymi podpisują dokumenty m. in. przedstawiciele firm, urzędnicy, które robią to masowo do osób, które nie mieli raczej dostępu do ich danych osobowych.
Rzeczy, które posiadasz w końcu zaczynają posiadać ciebie
Chuck Palahniuk - Fight Club
Nic takiego nie napisałem. Pisałem ogólnie o możliwości wykorzystywania cudzego peselu odczytanego z certyfikatu przez oszustów do wyłudzania kredytów i innych umów (sposobów w jaki to zrobią jest pewnie bez liku bo takie rzeczy cały czas się zdarzają), nie wszyscy "sprzedawcy" rzetelnie sprawdzają dane lub nie mają takich możliwości albo nie jest to w ich interesie. Bez peselu i przypisanego im imienia i nazwiska by to im się nie udało. Po to m.in. utworzono mechanizm zastrzeżeń pesel w BIK aby to utrudnić.
Z peselu odczytujesz też datę urodzenia, a to też jest informacja osobowa, które uważam, ze powinna być chroniona, a nie rozgłaszana. Powinni przynajmniej tak skonstruować pesel aby nie można było odczytywać tych informacji, coś jak NIP. Sprawa dostępu do danych z KW też jest wg mnie mocno kontrowersyjna.
Podpisami elektronicznymi podpisują dokumenty m. in. przedstawiciele firm, urzędnicy, które robią to masowo do osób, które nie mieli raczej dostępu do ich danych osobowych.
Poważnie się zagubiłem w tym, co Twoim zdaniem stanowi zagrożenie. Pisałeś o telewizorze, później o fejkowych sprzedawcach/pożyczkodawcach, teraz generalnie piszesz o tym, że są oszustwa.
Tak, są oszustwa, i będą niezależnie od tego czy w podpisie będzie PESEL czy go nie będzie. Nigdy nie analizowałem zasadności istnienia widocznego PESELa w podpisie, ale podejrzewam, że nie jest to tak, że ktoś poszedł na łatwiznę i nie analizował zagrożeń.
Co do zasady, w interesie sprzedawcy jest sprawdzenie rzetelnie danych człowieka, któremu kredytują zakup lub pożyczają środki, bo jeśli tego nie zrobi, to szansa na odzyskanie środków gwałtownie maleje. Prawda jest taka, że z jednej strony trzeba chronić dane wrażliwe, z drugiej w jakiś sposób musisz się móc uwierzytelniać w wielu sytuacjach. Czyli musisz drugiej stronie udostępnić swoje dane. Jeśli udostępnisz, to musisz wierzyć, że druga strona będzie strzegła danych jak oka w głowie. Nie strzeże. Więc Twoje ryzyko rośnie wprost proporcjonalnie do tego jak dużo różnych umów podpisujesz. IMO 99,9% ludzi nawet nie wie gdzie hulają jego dane osobowe, nawet jeśli nie posiadają podpisów cyfrowych.
I wierz mi, że nie jest problemem posiadanie informacji o PESELu i przypisanym imieniu i nazwisku.
Twtter is a day by day war
Prościej nie umiem już napisać. Wydaje mi się, ze cały czas pisze o tym samym (o kontrowersyjnych danych zawartych w certyfikacie i ew. możliwości ich wykorzystania) ale może piszę niezrozumiale więc więcej już się nie udzielam w temacie. Nie pisałem o żadnych fejkowych sprzedawcach.
Rzeczy, które posiadasz w końcu zaczynają posiadać ciebie
Chuck Palahniuk - Fight Club
Wydaje mi się, ze cały czas pisze o tym samym (o kontrowersyjnych danych zawartych w certyfikacie i ew. możliwości ich wykorzystania)
Więc ja próbuję wyjaśnić, że sam PESEL i imię i nazwisko nie są wystarczające, żeby rzeczywiście wyłudzić telewizor, o którym wspominałeś.
Nie pisałem o żadnych fejkowych sprzedawcach.
To może ja źle zrozumiałem ten zapis:
oszuści i firmy z nimi powiązane lub nierzetelne firmy pożyczkowe lub telekomunikacyjne już nie
Chciałem się dowiedzieć jaki scenariusz przewidujesz dla firm założonych przez oszustów (tak rozumiem pojęcie fejkowi sprzedawcy) z wykorzystaniem PESELa i imienia z nazwiskiem.
Twtter is a day by day war
Więc ja próbuję wyjaśnić, że sam PESEL i imię i nazwisko nie są wystarczające, żeby rzeczywiście wyłudzić telewizor, o którym wspominałeś.
Przyjmuję twoje zdanie ale drugiej strony można przeczytać:
https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci
https://businessinsider.com.pl/wiadomosci/pora-zastrzec-pesel-coraz-wiecej-wyludzen-kredytow/5pneb53
Rzeczy, które posiadasz w końcu zaczynają posiadać ciebie
Chuck Palahniuk - Fight Club
Więc ja próbuję wyjaśnić, że sam PESEL i imię i nazwisko nie są wystarczające, żeby rzeczywiście wyłudzić telewizor, o którym wspominałeś.
Przyjmuję twoje zdanie ale drugiej strony można przeczytać:
https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci
https://businessinsider.com.pl/wiadomosci/pora-zastrzec-pesel-coraz-wiecej-wyludzen-kredytow/5pneb53
Mam poważne wątpliwości co do merytoryki tych artykułów.
Pierwszy jest niestety reklamą BIKu, na zasadzie "Pan Jan kupił pastę do zębów Ząbek i od tego czasu ma białe zęby".
Drugi, według mojej wiedzy, a konsultowałem z osobą zajmującą się wyłudzeniami, miesza pojęcia, bo jest różnica między próbą wyłudzenia a wyłudzeniem (tutaj nie ma), jak również liczbą ewentualnych fraudów lub prób fraudów. Nie wiem czy wynika to z niekompetencji dziennikarza czy ZBP podał źle dane, lub złe dane.
Twtter is a day by day war
Podzielę się z Wami dwoma próbami oszustwa z tego tygodnia.
Pierwsze dotyczy Booking.com - rezerwacja zrobiona dawno temu na wyjazd wakacyjny, płatność ustawiona w aplikacji na datę tuż przed wyjazdem (zgodnie z ofertą) i nagle w tej aplikacji pojawia się wiadomość od hotelarza, że rezerwacja zostanie skasowana, jeśli w ciągu 24h nie zostanie dokonana płatność + link. Okazuje się, że hakerzy potrafią włamać się na konta hotelarzy i bez ich wiedzy rozsyłać w ich imieniu takie wezwania do zapłaty. Łatwo się złapać, jeśli nie pamięta się na jakich zasadach była - kiedyś tam - dokonywana rezerwacja.
Druga historia, sprzed 2 dni, księgowy pyta, czy ma już zapłacić za to szkolenie? Jakie szkolenie? No przysłałeś mi fakturę o 5 rano, z twojego (czyli mojego) maila... żeby pilnie zapłacić, bo promocja. Oglądamy dokładnie: kwota dosyć wysoka, kilkanaście tysięcy zł, ale nazwa szkolenia też "poważna i adekwatna". Firma szkoleniowa istnieje, jest dość znana, rzeczywiście oferuje takie szkolenia. Wszystko się zgadza: logo na fakturze, adres, nasze dane... Jedynie numer konta nie widnieje w tzw. białej księdze. Dzwonimy do tej firmy - już wiedzą, wiele osób dostało tego dnia takie faktury.
Co łączy te 2 sprawy? Presja czasu. Bo coś, bo promocja, bo sankcja, bo okazja. Spiesz się więc powoli!
O tym pierwszym pisałam już jakiś czas temu: https://znienacka.com.pl/forum/postid/51819/
Najbardziej irytujące jest to, że pomimo poinformowania i hotelu, i platformy maile powtarzały się przez kilka dni.
Druga historia, sprzed 2 dni, księgowy pyta, czy ma już zapłacić za to szkolenie? Jakie szkolenie? No przysłałeś mi fakturę o 5 rano, z twojego (czyli mojego) maila... żeby pilnie zapłacić, bo promocja. Oglądamy dokładnie: kwota dosyć wysoka, kilkanaście tysięcy zł, ale nazwa szkolenia też "poważna i adekwatna". Firma szkoleniowa istnieje, jest dość znana, rzeczywiście oferuje takie szkolenia. Wszystko się zgadza: logo na fakturze, adres, nasze dane... Jedynie numer konta nie widnieje w tzw. białej księdze. Dzwonimy do tej firmy - już wiedzą, wiele osób dostało tego dnia takie faktury.
To tak zwany VIP albo CFO, CEO fraud. Ale historia pokazuje, że w tym konkretnym przypadku za wyłudzenia biorą się coraz mniej inteligentni ludzie. Kupują za psie pieniądze mechanizm i bazę nazwisk i firm i pchają, żeby się jak najszybciej nachapać. Szkolenie za kilkanaście tysięcy? Nie wiem jak rozrzutny by musiał być szef żeby księgowy zapłacił na podstawie maila. Nie mówiąc o systemie białych list, który szybko weryfikuje odbiorcę kasy.
Pierwsze dotyczy Booking.com - rezerwacja zrobiona dawno temu na wyjazd wakacyjny, płatność ustawiona w aplikacji na datę tuż przed wyjazdem (zgodnie z ofertą) i nagle w tej aplikacji pojawia się wiadomość od hotelarza, że rezerwacja zostanie skasowana, jeśli w ciągu 24h nie zostanie dokonana płatność + link. Okazuje się, że hakerzy potrafią włamać się na konta hotelarzy i bez ich wiedzy rozsyłać w ich imieniu takie wezwania do zapłaty. Łatwo się złapać, jeśli nie pamięta się na jakich zasadach była - kiedyś tam - dokonywana rezerwacja.
Najbardziej irytujące jest to, że pomimo poinformowania i hotelu, i platformy maile powtarzały się przez kilka dni.
Skoro tak, to nie wróżę przyszłości bookingowi. Jest sporo portali z rezerwacjami i IMO booking (mimo że sam korzystam) zaczyna być na fali opadającej. Potężne prowizje od właścicieli hoteli/apartamentów powodują, że coraz więcej osób rezygnuje z wystawiania tam miejscówek, jeśli nadal będą utrzymywać podatności w swoich systemach pozwalające na podszywanie się W SYSTEMIE pod hotelarza, to i klienci zaczną uciekać.
Twtter is a day by day war
Mój wpis o bookingu był z 22 stycznia, czyli przez prawie pół roku nie potrafią tego ogarnąć - albo im to wisi. W obu przypadkach źke o nich świadczy.
Druga historia, sprzed 2 dni, księgowy pyta, czy ma już zapłacić za to szkolenie? Jakie szkolenie? No przysłałeś mi fakturę o 5 rano, z twojego (czyli mojego) maila... żeby pilnie zapłacić, bo promocja. Oglądamy dokładnie: kwota dosyć wysoka, kilkanaście tysięcy zł, ale nazwa szkolenia też "poważna i adekwatna". Firma szkoleniowa istnieje, jest dość znana, rzeczywiście oferuje takie szkolenia. Wszystko się zgadza: logo na fakturze, adres, nasze dane... Jedynie numer konta nie widnieje w tzw. białej księdze. Dzwonimy do tej firmy - już wiedzą, wiele osób dostało tego dnia takie faktury.
Miałem bardzo podobną sytuację w pracy. Mail wysłany o dziwnej godzinie na ogólny adres "księgowość", z poleceniem pilnej zapłaty faktury za jakieś działania promocyjne. I tak, email niby ode mnie ale nie mój bo domena się zgadza, ale jest różnica w adresie, zupełnie nie mój sposób komunikacji (nie komunikuję się w pracy per "ty"), a i tak nie zauważono, że coś jest nie tak. No, ale jest procedura, że fakturę przed zapłatą ktoś musi klepnąć merytorycznie więc w końcu trafiło to do mnie bo nikt nie wiedział czego faktura dotyczy. I tak jak u Ciebie. Firma istniejąca, wie że ktoś próbuje robić przekręty na jej konto. Zgłosiliśmy próbę oszustwa na policję. I tyle z tego, że teraz muszę tam poleźć złożyć zeznania:) Bo przecież nic nie wykryją.
W przypadku bookinga i innych tego typu systemów rezerwacyjnych obawiam się, że najsłabszym elementem jest jednak hasło do panelu użytkownika (hotelarza) czyli mail jako login i kombinacja znaków jako hasło.
Na jakimś szkoleniu widziałem przykłady, że domorosły haker, posługujący się lepszym pecetem, sprawdza miliard haseł na sekundę, przeczesując wszystkie możliwe słowniki i cyfry oraz znaki specjalne.
Jeszcze do niedawna hasła np 6-znakowe nie były niczym dziwnym. Jeśli ktoś użyłby tylko 6 liter (małych i wielkich) - złamanie = 10 sekund. Jeśli dodałby cyfry i wszystkie znaki specjalne (co daje - och łał: 735 miliardów kombinacji!) - złamanie zajmuje 6 minut (ups).
Hasła typu M@ria2012, Mar!a1998, List0pad25 itp. mimo, że trochę dłuższe i na pozór bardziej skomplikowane, też nie stanowią problemu, no może kilka minut dłużej. A jeśli haker nie posługuje się zwykłym kompem, tylko korzysta z potężnej maszyny, o dużej mocy obliczeniowej?
W przypadku bookinga i innych tego typu systemów rezerwacyjnych obawiam się, że najsłabszym elementem jest jednak hasło do panelu użytkownika (hotelarza) czyli mail jako login i kombinacja znaków jako hasło.
ale to nie jest roketsajens żeby wdrożyć logowanie dwuskładnikowe np. oparte o potwierdzenie SMS lub push w aplikacji mobilnej, tym bardziej że booking taką aplikację posiada. Można też wymusić dłuższe hasła a wielokrotne próby logowania z błędnym hasłem blokować od ręki. Przez wielokrotne rozumiem 3 do 5.
Twtter is a day by day war
@pawelk Oczywiście, tylko że ta wiedza nadal do wielu osób (zwłaszcza w starszym wieku), nie dociera, jakoś mało jest kampanii społecznych promujących taką wiedzę, a instytucje które tym się powinny statutowo zajmować, podobno ostatnio miały inne pilne zlecenia 🙂
I dzień w dzień słyszę, że ten czy ta dał/a się złapać na olx itp. A tu powinny codziennie, do bólu, lecieć ostrzegawcze bloki reklamowe we wszystkich mediach.
@pawelk Oczywiście, tylko że ta wiedza nadal do wielu osób (zwłaszcza w starszym wieku), nie dociera, jakoś mało jest kampanii społecznych promujących taką wiedzę, a instytucje które tym się powinny statutowo zajmować, podobno ostatnio miały inne pilne zlecenia 🙂
I dzień w dzień słyszę, że ten czy ta dał/a się złapać na olx itp. A tu powinny codziennie, do bólu, lecieć ostrzegawcze bloki reklamowe we wszystkich mediach.
ale to inny przypadek. Inżynieria socjalna działa od zawsze i będzie działać, tylko scenariusze są inne. Booking natomiast pozwala na uruchomienie scenariusza, który nie powinien zaistnieć i to jest problem.
Twtter is a day by day war
Ostatni Post: Pięć minut z Magdą Najnowszy użytkownik:: Eliza Ostatnie posty Posty nieprzeczytane
