Ciekawy przypadek: Jak zostać słupem? Czyli fałszywe oferty pracy “testera bankowości”. Nie pozostaje nic innego, jak z dużą dozą nieufności realizować jakikolwiek przelew. Bo w końcu skąd mamy wiedzieć, że ten rachunek sprzedawcy na allegro to rzeczywiście jego rachunek, a nie rachunek "techniczny" do aktywacji konta w innym banku? Skąd dane osobowe? Adres dostawy, dane do faktury... Znajdzie się kilka pomysłów.
Mnie pomysł z potwierdzaniem tożsamości przy pomocy przelewu podoba się umiarkowanie. Podejście to zakłada, że:
- posiadacz konta ma nad nim przez cały czas wyłączną kontrolę,
- posiadacz konta wie, co robi,
W ogólności spełnienie tych dwóch powyższych warunków wcale nie jest takie oczywiste. Opisywany atak wykorzystywał social engineering (często najłatwiejszy sposób ataku), ale warto też pamiętać, że przelewy na niewielkie kwoty w części banków nie wymagają autoryzacji (mechanizm heurystyczny decydujący, czy dana transakcja powinna być autoryzowana, czy nie).
Zanim ktoś zacznie tyradę typu "ale głupi ci rzymianie" przypominam, że banki działają zgodnie z prawem, co wspominał dokładnie w komentarzu Piotrek Konieczny. Szczerze mówiąc ciekawy jestem, jak sprawa się rozwinie. Podpisywanie umowy z klientem przez internet jest dla banków wygodne. Te banki, które chcą szybko zbudować sobie bazę klientów z tego typu rozwiązań chętnie korzystają i mam wątpliwości, czy będą z nich chciały zrezygnować. Ciekawy jestem również tego, jak zakończą się ewentualne spory między bankami a ich nie do końca(?) klientami.
pozdrawiam