Szybki rzut okiem na bezpieczeństwo bankowości

Raz, raz, raz. Dobra, chyba mnie słychać. Więc mamy już drugi potwierdzenie, że możemy zaczynać, więc spróbujmy tym razem. Więc moja prezentacja będzie o bankowości. Porozmawiamy sobie tak naprawdę o bezpieczeństwie bankowości jako użytkownicy. Jak banki nas zabezpieczają jak dostawcy kart nas zabezpieczają, jak te transakcje są bezpieczne i itp. Yyy, rano zobaczyłem, że, yy, Adam jakieś d trzy godziny przed moją prezentacją również miał prezentację o bankowości. Tak sobie myślę, kurczę, Adam na pewno zrobi fajną prezentację, tutaj będzie show. No i ciekawe, czy nie opowie tych samych rzeczy co ja i tak dalej. I tak stwierdziłem, że żeby się nie stresować to tak lekko się spóźniłem na jego prezentację, więc nie mam zielonego pojęcia o czym opowiadał, więc jeżeli

się będę powtarzał, a mam nadzieję, że nie, to wybaczcie. Ja nazywam się Mariusz Zaborski, pracuję w firmie Wheel Systems. My robimy takie fajne applianse różnego typu. Jednym z naszych flagowych rozwiązań jest FUDO, które służy do monitorowania ruchu sieciowego, do monitorowania sesji administracyjnych SSH RDP itp. Bez reklamy. Dokładnie. Jeżeli ktoś by chciał porozmawiać, zakupić, to zachęcam. Tutaj oferty są dostępne. Dokładnie. Jestem także komiterem w projekcie FreeBSD, najlepszego systemu operacyjnego jaki jest. To oznacza, że mam bezpośredni dostęp do kodu źródłowego. Mogę go modyfikować na oficjalnym repozytorium y projektu. Więc nasze menu na dziś to jest zaczniemy od autoryzacji transakcji. Porozmawiamy sobie w jaki sposób na dzień dzisiejszy autoryzujemy transakcje bankowe. Potem przejdziemy do bezpieczeństwa kart kredytowych, a na koniec porozmawiamy sobie o takich

różnych smaczkach spoza Polski, które tam gdzieś zasłyszałem, które ktoś mi opowiadał z różnych podróży. No mam nadzieję, że będzie ciekawie. Więc zacznijmy od autoryzacji transakcji. Najpierw taka mała dygresja terminologiczna, że bardzo często uwierzytelnienie i autoryzacja są stosowane zamiennie. Często mówi się, że o uwierzytelniłem transakcje. I tak wydaje mi się, znaczy jest to oczywiście błąd, ponieważ uwierzytelnienie jest przedstawieniem jakiś tam swoich credensiali, hasła, loginu i zalogowanie się do systemu, potwierdzenie, że ma się dostęp do systemu. Autoryzacja polega na pokazaniu, że daną operację możemy wykonać, że że dana operacja w danym systemie jest dozwolona, że możemy daną operację wykonać. I oczywiście często właśnie nawet jak rozmawiam z ludźmi z bezpieczeństwa, te dwa terminy są często zamieniane między sobą. I oczywiście jak

teraz się wymądrzyłem to łapcie mnie za każdym razem gdy będę mylił te dwa dwa dwa terminy. Więc możliwe sposoby ataku. Jednym z najpopularniejszych sposobów ataku jest poprzez podmianę strony www. przedstawienie nam jakiejś fałszywej strony. Użytkownik się loguje, może na przykład przechwycić nasze właśnie dane uwierzytalniające, czyli login, hasło. Czasem może przechwycić jakieś inne inne dane od nas. Y, innym sposobem ataku jest samodzielne, możesz samodzielnie przeprowadzić operacje, czyli ukradł nam jakieś dane, może się zalogować do naszego banku i wykonać operację za nas albo powtórzyć już wykonaną operację, czyli nagrał jakiś ruch, który był na sieci albo y najczęściej ruch, który był na sieci na sieci i wysłać te same pakiety do banku i powtórzyć tą operację albo poprzez

przechwycenie jakiś danych autoryzacyjnych y powtórzyć daną operację. Więc y wyróżniamy takie jakby trzy typy ataków. Może to być zrobione poprzez malware, czyli przez jakieś tam oprogramowanie zainstalowane na naszym komputerze, na naszym telefonie przez fishing, czyli poprzez podstawienie jakiejś tam strony, którą którą ktoś tam sobie sklonował i podstawił pod jakimś innym adresem. na przykład zamiast y podmienił jedną literkę, tak? Zamiast w nazwie banku M podmienił na N i ktoś wszedł przez przypadek i się zalogował yyy i zalogował się danymi. I możemy także mieć atak typu many the middle, gdzie atakujący stoi gdzieś tam pośrodku i podsłuchuje nasz nasz ruch z bankiem. Tutaj też nie przez przypadek yyy wstawiłem taki obrazek, bo nie wiem czy zauważyliście, ale w mediach taka

kolejna dygresja. Często właśnie hakerzy są przedstawiani jako ludzie tam w rękawiczkach i i w maskach. Ja właśnie tak sobie wyobrażam, że jak robimy jakieś testy penetracyjne, to właśnie powinniśmy siedzieć w takich maskach i klikać na komputerach. Jednym z ze z ze sposobów autoryzacji transakcji są karty TAN, tak zwane karty zdrabki. One są wydrukowane z jakimiś tam predefiniowanymi hasłami. Problem z tą metodą jest taki, że hasło nie jest w żaden sposób związane z transakcją. Czyli uwierzytelniamy się w naszym banku, definiujemy jakąś tam yyy transakcję, którą chcemy wykonać i podajemy kolejne hasło z karty tan, którego jeszcze nie wykorzystaliśmy. Jedną z głównych y zasad y, które powinniśmy kierować się przy projektowaniu takiego systemu autoryzacji to jest to, żeby hasło można

było wykorzystać tylko i wyłącznie jeden raz. W ten sposób wykluczymy jakby możliwość powtórzenia tej samej operacji. A tak naprawdę powinniśmy w ogóle unikać tego typu rozwiązań, no bo są one dość słabe, bo są podatne na właśnie fishing. możemy postawić jakąś stronkę yyy banku i zacząć pytać o losowe losowe numery z tej karty i poczekać po prostu, aż użytkownik y banku no dojdzie do tego numerka, który znamy i wtedy wykona wielką transakcję tam na 40 000 zł czy czy coś takiego. Także gdy projektujemy taki system, warto się zastanowić, czy powinniśmy pytać za każdym razem o to samo hasło w momencie kiedy podaliśmy, kiedy użytkownik poda złe hasło. Z jednej strony z punktu widzenia bezpieczeństwa powinniśmy zawsze pytać o to samo hasło

do skutku. Ze względu na to, że może dojść do jakiegoś ataku dedos, po prostu użytkownik atakujący będzie się logował do naszego konta bankowego i zużyje nam wszystkie numery kart i za każdym razem, żeby zrobić jedną transakcję, będziemy musieli czekać na na otrzymanie nowej karty. A z drugiej strony jest to bardzo niewygodne dla użytkownika, bo jeżeli te karty zdrabki są dość łatwo łatwo jest zniszczyć, jak zdrapujemy takie hasło, to możemy przez przypadek zniszczyć jakąś cyfrę, no i wtedy trzeba się komunikować z bankiem, żeby nam odblokował albo przesunął ten ten numerek o następny, żeby pytał nas o następny raz, o następne hasło. Jednym z najbardziej chyba popularnych metod autoryzacji transakcji są tokeny czasowe. Znów nie jest to jakby tam urządzenie,

które generuje nam jakiś krótki krótką liczbę, którą musimy przepisać do do naszego systemu bankowego. Znów mamy problem z tym, że hasło jest totalnie niezwiązane z transakcją. To znaczy, no y nie wiemy tak naprawdę jaką transakcję uwierzytelniamy, autoryzujemy. Y i taka i taka ta metoda jest także podatna na wszelkiego rodzaju many the middle, czyli możemy się gdzieś tam wstawić w środek i na przykład podmienić dane do transakcji albo nasz malware zainstalowany na na komputerze ofiary także może podmienić takie dane i ofiara w żaden sposób nie jest w stanie zweryfikować czy prawidłową transakcję autoryzuje Y, w pewnym momencie popularne były także podpisy cyfrowe, które no są dość drogim rozwiązaniem, ponieważ jest potrzebne zewnętrzne zewnętrzny czytnik do kart, który

zawiera klucz do podpisywania transakcji. Tutaj znów jest problem taki, że yyy niby yyy te dane, które wpisujemy są związane z z transakcją, ale yyy które autoryzujemy są związane z transakcją, ale cały sterownik, cały sprzęt, cały yyy sterownik jest na komputerze ofiary, czyli znowu możemy jakimś malwarem wpływać na to, co tak naprawdę podpisujemy. Jeżeli użytkownik nie jest zbyt zbyt związany z bezpieczeństwem, prawdopodobnie po trzech, czterech dniach zostawi taką kartę w naszym przy komputerze włożoną najprawdopodobniej w ten czytnik kart. No i tutaj znowu możemy próbować albo yyy autoryzować jakieś transakcje yyy bankowe, nawet jeżeli mając tylko dostęp do do komputera, no bo karta jest cały czas włożona. Yyy albo może próbować wykrać w jakiś sposób y nasz y klucz.

Jednym z najbardziej popularnych w tej chwili metod autoryzacji transakcji to są kody SMS albo zwane inaczej MTAN. No tutaj już jest troszeczkę lepiej, bo dane są jakby związane z transakcją, ponieważ w momencie kiedy wykonujemy daną transakcję, bank wysyła nam SMS-a z konkretnymi informacjami na temat tego, gdzie wykonujemy, gdzie wykonujemy przelew. yyy na jaką kwotę wykonujemy przelew. No i otrzymujemy także w końcu to hasło. Yyy niestety ta metoda także nie jest pozbawiona yyy problemów. Jednym z tych y problemów to jest kto jest odpowiedzialny za tego SMS-a. Czy jest to odpowiedzialny bank, czy operator sieci. Jeżeli na przykład do operatora sieci przyjdzie ktoś z podrobionym naszym dowodem osobistym i wyrobi sobie duplikat naszej karty SIM, no to kto

będzie za to odpowiadał, że że została wykonana jakaś inna operacja? No tutaj jakby nie mamy jasności. Możemy też sobie wyobrazić na przykład podstawienie. Jeżeli to jest już bardzo y bardzo y precyzyjny atak na konkretną osobę, możemy wyobrazić sobie nawet podstawienie jakiejś stacji GSM i podłączenie, znaczy wystawienie jej tak, aby telefon ofiary łączył się z naszą stacją GSM, a dopiero po naszej stacji GSM łączył się do stacji operatora. I tutaj znowu nie jest do końca jasne no kto będzie odpowiedzialny za za przechwycenie tego tego hasła. Kolejnym problemem jest to, że pomimo tego, że użytkownik może nic nie wykonał, może nic nie zrobił, nie potwierdził, może nawet nie chciał wykonać tej transakcji, otrzymuje już aktywne hasło. To znaczy już w momencie przyjścia SMS-a

hasło, które otrzymał może zostać użyte do autoryzacji transakcji. No i w takim w ten sposób mamy znowu problem, że na przykład jeżeli mamy jakiegoś operatora w sieci GSM i on sobie patrzy na nasze SMS-y, może zablokować takiego SMS-a i użyć go, jeżeli ma na przykład nasze dane uwierzytelniające, również użyć go do potwierdzenia transakcji. I my nigdy się o tym nie dowiemy. Znaczy dowiemy się, będziemy będziemy mieli mniej pieniędzy na koncie. Tak.

No tak, tak, tak, tak. No i teraz y pytanie. To jest przykład jednego z SMS-ów, które pochodzą z jednego z banków w Polsce. Zresztą można się domyśleć jakiego. Jest tutaj bardzo dużo, dużo informacji i pytanie, czy te informacje są właściwie potrzebne. Tak jest na przykład data transakcji. No właśnie dostałem SMS-a, właśnie chcę wykonać przelew, właśnie dwie linijki wyżej mam aktualną datę, czy potrzebuję tej daty transakcji? No jest to, jest to ciekawe. Hasła marketingowe, tak? Czy wykonujemy przelew M transfers do MBku? Czy to z mku? Czy to też jest nam potrzebne? No właśnie siedzę przed komputerem, robię ten transfer, chyba wiem do jakiego banku jestem zalogowany, jaki transfer chcę wykonać. Chyba, że nie robię. Ty, ale znowu tak,

to są jakby zdefiniowane numery telefonów, tak? Możemy sobie zapisać na przykład w telefonie, że te SMS-y pochodzą z mBanku, tak? i to jakby rozwiązuje problem. A natomiast jest tutaj jakby zużyte te znaki na takie trochę hasła marketingowe. Może MbBank czy informacja z którego banku faktycznie byłaby przydatna, ale na przykład już Mtransfer no jakby nas w ogóle nie interesuje, tak? No co tam czy czy to jest taki typ konta, czy inny typ konta. Numer transakcji. Tutaj są zdania podzielone. Tak. Niektórzy twierdzą, że numer transakcji jest y zbyteczny, że nie powinno go tam być, bo przecież znowu siedzę przy komputerze, właśnie robię tą transakcję, więc no wiem, czekam tylko na tego jednego SMS-a. No tutaj możemy dyskutować, bo y może to

się nam łatwo, y, może być to użyteczna informacja z punktu widzenia użytkownika, że właśnie widzę, który, który kod mam podać. Tak, jeżeli miałem kilka tych SMS-ów, to może się zdarzyć tak, że że muszę zobaczyć, która to była transakcja. Z drugiej strony większość banków zezwala tylko na jedną sesję, tak? Nie nie pozwala otwierać wielu sesji przeglądarkowych do jednego banku, nie pozwala nam otwierać wielu stron. No więc to też jest takie trochę dyskusyjne, ale ale okej. Yyy, no i kolejną kwestią to jest, czy faktycznie jest potrzebny numer źródłowego rachunku w momencie ataku. Yyy, no też nie jestem pewny, czy to jest dla nas najważniejsze, z którego faktycznie rachunku chcemy przelać y pieniądze. Ważne jest, że chcemy przelać pieniądze.

Tak, jeżeli pomyliliśmy się i nie z tego konta chcemy przelać, no to prawdopodobnie prawdopodobnie może nie będziemy mieli dostatecznego salda konta, żeby wykonać ten ten przelewo, no tutaj ktoś mi zwrócił uwagę, że możemy się pomylić i próbować zrobić przelew z rachunku z rachunku prywatnego albo z rachunku firmowego. I tutaj może nastąpić jakaś pomyłka tak? na przykład transakcji transakcji może kiedy SMSy

no do tego masz historię historię transakcji w banku takhm

Tak.

No ale i tak nie potwierdzę żadnej transakcji w tym momencie. Tak.

że możesz podrożzyć takie kodu [Muzyka] to uzasadnia tak jak mówię to jest jakby kwestia kwestie sporne tak niekoniecznie musimy na przykład podawać operacja numer coś tam możemy na przykład dać jeden kropka tak bo ja tutaj do czegoś zmierzam w pewnym momencie i i chodzi mi o generalnie optymalizację treści tego SMSa. Tak,

ale z SMS-u z bazując na SMSie. No okej, okej. Tak jak mówię to są jakby informacje, które są dyskusyjne, czy dana informacja jest potrzebna, czy nie. Ja bym zaproponował pewną modyfikację tego SMS-a na zasadzie upewnij się, że wykonujesz przelew na rachunek [ __ ] z na rachunek xx na kwotę y y i hasło. Tak, no tutaj możemy dodać ewentualnie ten numer transakcji, tak? wciąż się zmieścimy, ale na przykład dla osób starszych, nie wiem, dla osoby, która ma y 50 lat, tak, taka informacja będzie dużo jaśniejsza i czytelniejsza, że mam zweryfikować co jest w tym SMSie, a nie na zasadzie, że mamy dużo informacji informacji marketingowych także i tak naprawdę nie do końca wiadomo do czego

to służy. Tak, to też jest tak, że ta edukacja użytkowników SMS-owych jest no znikoma, tak? Oni nie do końca rozumieją, czemu oni muszą potwierdzić ten tego ten przelew. I w ogóle ta dyskusja wzięła się stąd, że pewnego dnia, nie pamiętam niestety imienia ani nazwiska tej osoby, ale to była dość głośna sprawa na wszystkich portalach plotkarskich. niebezpiecznik i i zaufana trzecia strona i tego typu. I pojawiła się dość spora dyskusja na temat tego, że pan wykonywał sobie przelew, potwierdził go i nagle stracił 40 000 zł. I teraz zwrócił się do banku. No jak to się stało? No przecież przecież no nie robiłem tego przelewu. Tak okazało się, że miał on zainstalowany malware na swoim komputerze, który podmienił mu

dane. SMS przyszedł prawidłowy. Tak, on nie wiedział, że on ma zwrócić uwagę, tak? Dla niego już to było któryś przelew w ciągu dnia, więc wziął kolejny kod i wkleił go. Tak. I bank oczywiście powiedział, że to no nie jest jego problem, tak? Że że to nie on odpowiada za komputer ofiary, tak? że to nie on ma chronić komputer ofiary przed wszelkiego rodzaju malwarem. Więc w tym przypadku wydaje mi się, że moglibyśmy również w tych SMS-ach edukować użytkowników, żeby upewnili się jednak. Tak, bo zamieszczenie informacji na przykład gdzieś tam na stronie banku, że o tutaj te SMS-y przychodzą po to i po to i po to i po to, no nie gwarantuje nam tego, że użytkownik faktycznie wejdzie i

zweryfikuje, że te dane są prawidłowe. Nie wiem, czy też zwróciliście uwagę, to też jest historia tam z portali pródkarskich, że SMS-y od pewnego czasu są poprzedzone wykrzyknikiem. Zostało to zauważone, znaczy nie to, ale został wydany raport przez Cerch, który zauważył pierwsze ataki Kinsa lub Power Zeusa. To są prawdopodobnie dwie nazwy na na ten sam malware, który służył do przechwytywania wszelkiego rodzaju [Muzyka] kodów SMS. Y i oczywiście to było około listopada 2013 zauważone takie pierwsze pierwsze ataki. Oczywiście użytkownik, aby zostać zarażonym musiał przejść przez bardzo bardzo prosty proces instalacji aplikacji, aby wejść w ustawienia, wyłączyć tam zaufane źródła i zainstalować aplikacje. Ale zdarzają się i takie osoby. y przed nimi ich samimi nie obronimy, ale y pomimo to od

2013 roku pojawia się właśnie ten wykrzyknik ze względu na to, że ten Maulware był także zarządzany przez SMS-y, czyli można było mu SMS-em wysłać konkretną komendę, co on tam ma jeszcze ewentualnie zrobić na tym telefonie. I podobno właśnie wykrzyknik powodował to, żeby powiedzieć malwareowi, że ma się usunąć, więc banki nas chronią, nasze telefony przed ewentualnym malwarem. Taka kolejna mała dygresja. Y, nie wiem czy kojarzycie taki takiego pana y Arni Swinen, przepraszam, jeżeli przekręciłem nazwisko. Przeprowadził on ciekawy, ciekawy research na temat właśnie tych wszystkich to factor authentication i wystartował, znaczy zgłosił ten swój BG, który znalazł jako w programie BGMTY. Yyy, polegało to na tym, że zamiast swojego numeru telefonu podawał numer telefonu płatny tam 0700 coś tam i

dostawał potwierdzenia z na przykład z Googlea, że że no tutaj próbujesz się logować, tak? No i Google ściąga z Googlea ściągało tam jakieś 5 zł czy coś takiego. Y, pan dostał y troszkę pieniędzy z Instagrama, troszkę pieniędzy z Microsoftu, natomiast Google powiedział, że no faktycznie jest taki błąd, ale oni tam mają jakiś inny system detekcji, który by zauważył, że upływa zbyt dużo dużo pieniędzy, więc nie przyznał żadnej nagrody. Jednakże jestem może nie zachęcam nie zachęcam, ale może podczas jakiś tam testów penetracyjnych w bankach może komuś się przyda informacja, że może warto sprawdzić, czy bank pozwala wysyłać dane na numery płatne. No i ostatnią taką metodą autoryzacji transakcji są aplikacje mobilne. Tutaj jednym z mamy jakąś tam aplikację,

którą wyprodukował bank, którą którą zarządza bank, czyli tutaj jakby cała odpowiedzialność spada już na bank. możemy zastosować jakiś tam certyfikat pining, czyli możemy mieć jakąś tam pewność, że łączymy się z właściwym bankiem i mamy także co co jest także przewagą nad kartami TAN, to to, że widzimy najpierw informacje na temat widzimy najpierw informacje na temat transakcji, którą chcemy wykonać, a dopiero potem dostajemy kod do autoryzacji takiej transakcji. Jednym z tutaj z dyskusyjnych rzeczy to jest push notification, czyli takie powiadomienie na telefon, że że no coś tam się dzieje w jakieś aplikacji. No i teraz pytanie, czy ten push notification powinien, czy nie powinien zawierać jakiś danych związanych z transakcją. moim zdaniem nie powinien i nie musi

zawierać żadnych danych transakcjom, bo te push notification przechodzą przez tam serwery Googlea, czy tam czy czegoś tam i oni tam mogliby to sobie rejestrować, ale tak naprawdę użytkownika interesuje tylko i wyłącznie fakt, że no telefon, że ma już informacje na temat transakcji, więc mógłby sobie je tam kliknąć i wyświetliłaby mu się informacja na temat transakcji i byłoby okej. E, natomiast powstaje kilka pytań, co jest tutaj jakby wymagane połączenie z siecią, tak żebyśmy dostali push notification, żeby była ta cała komunikacja z bankiem, żeby to nie było jakby znowu uwierzytelnianie autoryzacja transakcji bez bez żadnych tam powiązania z danym logowaniem. Możemy tutaj użyć jakiegoś yyy wszelkiego rodzaju OTP generatorów, czyli onetime password, gdzie no przedstawiamy jakiś challeng challenge z banku. Yyy ten

challenge jest przez nasz naszą aplikację jakiś sposób tam yyy analizowany. wyświetlana jest z tego challengeu yyy numer konta właśnie kwota, wszystkie tego typu informacje. No i wydawan, jeżeli wszystko się zgadza, możemy kliknąć i jest wydawany wtedy jakiś nam kod, który potwierdzi tą konkretną transakcję. I tutaj możemy się też posilić jakimiś QR kodami na przykład, że bank wyświetli nam QR kod, więc nic nie będziemy musieli, nie nic nie musimy przepisywać i będziemy mieli taką informację na temat transakcji. Możemy też zastosować problem jest także tego, czy czy jak zrobić na przykład bezpieczne logowanie offline w takiej aplikacji, czy się w ogóle da. I oczywiście jedną z najbezpieczniejszych metod byłoby po prostu uwierzytelnienie się w w banku i

pobranie tych wszystkich informacji z serwerów banków, jakie tam transakcje oczekują na na potwierdzenie. Ale w przypadku właśnie tego OTP generatora możemy także zastosować logowanie offline, gdzie na przykład ten sekret, na bazie którego jest wydawany kod PIN jest zaszyfrowany i my musimy podać jakiś PIN, który tylko my znamy, aby dostać się do tego, do tego klucza. Oczywiście teraz powstaje pytanie, no jeżeli ja ukradnę komuś telefon i zacznę łamać sobie ten klucz, no to po jakimś czasie dostanę faktyczny klucz. Może tak być. Z drugiej strony możemy to także tak zaprojektować, aby ten klucz za każdym razem był poprawny, żeby był wydawany poprawny klucz, żeby transakcja była możliwość podpisania tej transakcji, ale dopiero na stronie banku, żeby po stronie banku, żeby ten

kod był weryfikowany. Mam nadzieję, że że nie zamotałem za bardzo. No dobrze, to teraz tak

nie, ja jakby nie zachęcam do robienia, przepraszam. Pytanie jest, czy jest mądre rezygnacja z uwierzytelnienia to factor w bankach. Yyy, ja nie proponuję, żeby rezygnować z uwierzytylnienia to Factor, tylko żeby to to Factor było na naszym telefonie. Tak, my nie dostajemy jako yyy niejako yyy yyy informacji, y, nie wykonujemy przelewu, tak, na yyy na w aplikacji, tylko mamy komputer i obok dostajemy push notification czy coś tam, że chce potwierdzić daną transakcję. Czyli, że chodzi o to, że to jest taka taki jakby mobilny token. Tak. Tak, taki mobilny token, tylko że mamy w nim jakby możliwość pobrania informacji na temat transakcji, którą chcemy wykonać. Tak, pobierzemy kwotę, pobierzemy numer konta, pobierzemy wszystko, co jest nam potrzebne do

wykonania danej transakcji. W żadnym wypadku nie proponuję, żeby rezygnować z two factor authentication i i przenieść się tylko i wyłącznie do no na korzystanie z aplikacji mobilnych. Czy są jeszcze jakieś pytania może do tej części? Tak, ja mam pytanie, bo raz mówiliśmy o tym, żeby jakby zrobić tekst SMS-ów bardziej przyjazny dla użytkownika. Dla użytkowników, nie wiem, tam 50, 60 plus. Teraz jest mowa o jakiś qerach. Jak ja bym miał, nie wiem, swoim jasneczne drogi. Jasne. Znaczy to była jakby propozycja jak możemy rozwiązać pewne problemy. Tak, możemy wciąż zachęcić użytkowników, żeby przepisywali te kody, ale jakby moja konkluzja jest taka, że mamy wiele różnych metod, tak? Jedne są lepsze, drugie są gorsze, jakieś są plusy, minusy danej metody, tak? No yyy ciężko

też sobie wyobrazić, żeby nagle zmusić wszystkich użytkowników, aby korzystali ze smartfonów. Tak, na pewno znajdą się tacy użytkownicy, którzy będą korzystać z telefonów sprzed 10 lat. No i tutaj musimy jakby y zastosować jakieś inne techniki autoryzacji transakcji. Yyy to jeszcze tak a propos tego, mój ojciec mieszka i pracuje w Niemczech. W pewnym banku mają taki dziwny trochę system autoryzacji, który polega na tym, że y dostajemy taki specjalny token, w którykamy kartę, wpisujemy pin do karty, a następnie ten token przykładamy w odpowiednie miejsce na monitorze. Okej. Na tym monitorze wychodzi na to, że tam się zmieniają, to znaczy mi to pasuje na wyświetlanie ośmiobitowego jakiegoś ciągu znaków. Mhm. I po tym czasie wyskakuje ciąg liczb, które trzeba dopiero podać. Mhm. Okej.

No czyli to powiedzmy, co sądzisz o takim zabezpieczeniu? Wiesz co, jedyne czego mi brakuje w całej tej operacji, bo brzmi to całkiem, powiedzmy, y użytecznie, tak? Użytkownik no może zostać tego nauczony i jest jakby to w pewien sposób mamy ten drugi faktor bezpieczny. Jedyny problem jaki widzę, że nie ma tej informacji na tym urządzeniu, jaką transakcję potwierdza. Bo jeżeli malware na komputerze zmienił te informacje, tak, jeżeli zmienił numer konta, zmienił kwotę, tak, no to ty potwierdzisz i tak tą samą transakcję, tak? No bo on on był gdzieś w środku, tak? On wysłał do banku inne informacje. Przyszedł token, przyszedł ten kod potwierdzający czy to te ośmiobitowe cyfry i y znowu malware podmienia nam stronę banku, którą my widzimy. Więc

użytkownik będzie widział prawidłową prawidłową treść. Token może być do tej transakcji, którą bank do którą bank faktycznie otrzymał. No i tutaj jakby nie masz weryfikacji, co tak naprawdę autoryzujesz. Czy to jest przelew na 100 zł, czy na 10 000. Tak. No tutaj yyy pomysł jest fajny, tylko dodałbym właśnie ten ten element jakby potwierdzenia yyy kwoty i numeru konta. Jeszcze jakieś pytania na ten chwilę? Wow. Dobra, to teraz przejdziemy do bezpieczeństwa kart y kredytowych generalnie i kredytowych i debetowych. Yyy tutaj yyy jest też ciekawe pole do analizy, ponieważ yyy z tego co mówi się na portalach plotkarskich yyy nasze yyy producenci kart wolą yyy jakby yyy płacić za incydenty niż produkować bezpieczniejsze karty i bezpieczniejsze rozwiązania. Że im jest taniej zapłacić

za jakiś incydent niż masowo zaczęcie produkowania bezpiecznych kart. Jednym z takich przykładów jest są karty NFC, które są chyba w tej chwili bardzo, bardzo popularne. Klonowanie kart jest no możliwe, ale raczej moim zdaniem bardzo skomplikowane i i ciężko osiągalne. Natomiast bardzo prostym atakiem jest takie proksowanie kart, jak ja to sobie nazwałem. I polega to na tym, że mamy jakiegoś naszego przyjaciela w autobusie, który sobie chodzi z naszym skanerem i przykłada powiedzmy panią ten skaner jakoś tam do do torebek, tak? Może tam nie wiem, mieć go z tyłu w kieszeni i tam sobie chodzić po tym autobusie. No z drugiej strony mamy drugiego kolegę, który jest w sklepie i który zapłaci aplikacją, znaczy zapłaci telefonem w tym sklepie.

No i teraz odbywa się normalna transmisja danych, tak jakby w sklepie znajdowała się ta pani z autobusu, tak? No bo jakby proksujemy całą komunikację pomiędzy kartą a faktycznie terminalem płatności. Co jest ciekawe i co często też się spotykam, ludzie yyy uważają, że jeżeli na przykład położą dwie karty y na sobie, to są bezpieczni, bo bo to wszystko jest bo już na przykład nasz telefon nie może tego odczytać, czy y, czy na przykład nasz czytnik w autobusie wariuje, bo już nie wie, które, która karta to jest. Niestety to nie jest do końca prawda, bo te mądrzejsze i te używane przez yyy przez yyy ludzi czytniki mogą spokojnie zidentyfikować z którą kartą chcą rozmawiać i kontynuować tą y transmisję

tylko z wybraną kartą i to jakby jest całkowicie po stronie yyy po stronie tego termina tego urządzenia. Więc jednym z sposobów na pozbycie się jakby możliwości bycia okradniętym przez przez kart przez przy użyciu NFC to jest uszkodzenie karty. Tak naprawdę karta nasza składa się z dwóch elementów, z anteny i z chipa, który który służy właśnie do wymiany tej całej tych wszystkich danych z terminalem. i możemy znaleźć, nie jest to proste, bo każda karta ma troszeczkę inaczej ułożoną tą antenę i chip, ale możemy znaleźć takie miejsce, gdzie właśnie ta karta styka się z anteną i po prostu no zniszczyć naszą kartę i odseparować ten chip od anteny. Kolejnym sposobem na tego typu ataki jest zastosowanie etui,

czyli takich klatek Faredaja. kosztuje jakieś tam 10 zł czy czy coś takiego i jest to tak naprawdę taka aluminiowe etui, które no którym możemy do którego możemy włożyć naszą kartę. Co dla na przykład firm związanych z bezpieczeństwem też może być fajnym gadżetem, żeby rozdawać gdzieś tam na konferencjach, więc może może któraś firma też się yyy nie przypadkiem nie sprzedajemy tego, jeżeli ale jest to też jakiś tam fajny pomysł. można wyłączyć i do tego właśnie zmierzałem, że możemy także ustawić limity na kartach, gdzie po prostu ustawimy, że taka transakcja jest niemożliwa przy użyciu kart, przy użyciu transakcji zbliżeniowych i po prostu my też nie będziemy jakby z tego korzystać, no ale będziemy wtedy w 100% pewni, że

też się nic nie stanie. Sam można przestać jeździć autobusem i wychodzić z domu, także polecam. Raz mi ktoś powiedział, żebym wyszedł z domu i złamałem rękę, więcej, więc unikam, unikam jak tylko mogę. Teraz jest drugi raz. No dobrze. Kolejnym kwestią to jest obciążanie karty, czyli możemy podać w jakimś sklepie na przykład numer naszej karty na te ważności, tam imię, nazwisko, no i nasza karta zostanie obciążona w ten sposób jakąś tam płatnością. Możemy też podać numer CVC. To jest ten nasz numer yyy z tyłu karty. Yyy problem jest taki, że na przykład jeżeli będziemy w sklepie i podamy naszą kartę do do jakiejś tam pani z pani, która tam pracuje, ona może na przykład mieć kamerkę i zrobić sobie piękną odbitkę

tego, co tam widzi. No i pójść do złego internetu, wpisać nasze dane i zrobić jakąś tam transakcję. Więc banki wymyśliły coś może jeszcze zanim banki to jednym z metod które tam chyba Piotrek konieczny na jakiś tam szkoleniach proponował to było właśnie żeby zaklejać ten ten numer jakimś tam plasterkiem czy czymś tam żeby nie było go widać później go jakoś widziałem rok później i opowiadał no tak no ja miałem zaklejony ten ten numer plasterkiem i chciałem zrobić płatność daje pani pani tą kartę pani bierze tą tą kartę i mówi O, coś się przykleiło i zrzuciła ten plasterek. Także nie jest to najbezpieczniejsza metoda. Banki zaproponowały tak zwane czasowo generowane CVC. Ten CVC zmienia się co godzinę. Yyy wiem, że przynajmniej jeden

bank w Polsce oferuje takie takie karty, gdzie no po prostu yyy żeby yyy zautoryzować taką transakcję, no co godzinę mamy inny kod CVC, więc dając tą kartę naszą yyy pani w sklepie, no możemy czuć się troszeczkę bardziej bezpieczni. tej pory mi się, że Getin wydaje takie karty. Jedyny problem z całą tą zabawą jest to, że CVC w transakcjach jest opcjonalny i decyduje o tym sklep. Czyli jeżeli przynajmniej na świecie jest jeden sklep, który uzna, że CVC jest opcjonalny, no to nasz atakujący ma możliwość, znając tylko numer naszej karty i te wszystkie dane z pierwszej strony, wciąż ma możliwość obciążania naszych kart y no jakimiś tam kwotami. Także zabezpieczenia jakieś tam są tworzone, jednak wciąż nie są doskonałe i nie są

dostosowane do do naszych realiów. To teraz takie taki quiz. Niestety wszystkie koszulki zostały wydane. Nie żartuję, nie miałem żadnych koszulek, ale czy ktoś wie yyy co to jest skimer. Do kopiowania kart. Do autoryka. Dobra dobra. Tam ktoś, ktoś dobrze powiedział. W każdym razie to się nazywa Imprinter Credit Card i nie mam niestety nie mam niestety wskaźnika nie widać mniej więcej myszkę. Tutaj są dwie śrubki i do tych dwóch śrubek przy przymocowujemy naszą nasze dane naszej firmy jakieś tam wydrukowane coś tam, że nie wiem tam Mariusz Incorporation coś tam coś tam coś tam i tu na górze O R. Dobra. I tu na górze zamieszczamy kartę naszego klienta. Na to kładziemy kawałek papieru, przejeżdżamy tym walcem. Transakcja zakończona.

Nie wiem, większość, znaczy wszystkie właściwie karty są wypukłe, jeżeli jeszcze nie zwróciliście na to uwagi. Wszystkie cyfry, imię i nazwisko jest wypukłe. Więc to jest jeszcze jakby pozostałość tego, że w ten sposób można płacić. Ja w ogóle się o tym dowiedziałem po jakiejś tam historii, że to w Australii wciąż jest całkiem popularne do używania. także w Stanach Zjednoczonych, w Belgii. Tak, no było kiedyś, ale już jakby całkowicie zostało

No właśnie, ale tak jak ale tak jak widzicie, nie jest potrzebny ani nasz podpis, ani jest potrzebny jakiś kod CVC, ani nic takiego. Wystarczy wyprodukować sobie plastikową kartę z naszymi danymi. Tak ciekawe ile to może kosztować, żeby żeby wyprodukować taki plastik, który będzie imitował nasze dane. Jak tutaj bank zweryfikuje, czy ta transakcja faktycznie doszła do skutku, czy nie. No dobrze, to teraz świat poza Polską. Tutaj już trochę tak y zachyczyliśmy. Tak. Ja mam jeszcze ja mam jeszcze pytanie w sprawie tych kodów CVC, które trzeba było wpisywać, bo ja się spotkałem z usługą, która nazywała się 3D Secure i było coś takiego, że musiałem, żeby zrobić transakcję w internecie, to ta strona mnie przekierowała na zapytanie

jeszcze o jakieś specjalne hasło do płacenia kartą w internecie, które było wydane przez mój bank. Tak. Czy to rozwiązuje ten problem, ale jak widzisz, to jest wciąż opcjonalne, tak? Bo to jest jakby sklep o tym decyduje i jakie zabezpieczenia do tej transakcji chce przyjąć. Jeżeli będzie przynajmniej jeden sklep, nie wiem, w Afryce czy jeden sklep w Szwajcarii, który będzie nie będzie wymagał tego wszystkiego, tak, no to wciąż może atakujący wciąż może wykonać dowolną transakcję swojego konta. Tak. Znaczy jest jeden bardzo dobrze znany wszystkim sklep, który tego nie robi. Znaczy to jest też częściowo zdaje się właśnie takie mniej autoryzowane transakcje są droższe dla sklepu. Natomiast Amazon stwierdził, że chce żeby ludziom było jak najprościej robić

zakupy, w związku z czym nie wymaga takich rzeczy. No także nie trzeba daleko szukać. Duża korporacja. Tak. Ja nie nie widziałem tego. Wydaj wydaje mi się, że jak robiłem przelewy to trzeba było podawać, ale no nie chcę tutaj jakby polemizować. Możliwe, że że tak jest. No nie przemyt, tak? No wystarczy raczej bardziej kupowanie książek na czyść kosz. Tak. No dobra, to teraz takie trochę luźniejsze historie, które gdzieś tam zasłyszałem, ktoś tam mi opowiadał, gdzieś gdzieś widziałem. To jest bardzo fajna historia pomiędzy Rosjaninem Dmitriem i i bankiem TCS. Ja sobie tego pana tak mniej więcej wyobrażam, bo bo to nie jest jakby jego oficjalne zdjęcie, nie nie byłem w stanie znaleźć. Natomiast pan Dimitri dostał ofertę z banku na jakieś super

tam ofertę na kartę debetową. No i tam poczytał, poczytał, poczytał. No stwierdził, że mu się to jednak nie podoba. No i był zirytowany trochę, bo to chyba była tam czwarta czy piąta oferta w tym roku, więc postanowił zrobić sobie żart z bankiem. No i zeskanował tą tą tą umowę. No i pozmieniał ją troszeczkę. Zmienił, że 0% odsetek, że 0 rubli za prowadzenie konta, że za każdym razem, jeżeli ktoś zmieni, jeżeli zostanie zmieniona umowa, to bank musi zapłacić 3 miliony rubli. Jeżeli bank by zerwał umowę 6 milionów rubli. No i ta sprawa tak sobie się toczyła, toczyła. No i pan miał kartę tam, zaczął ją obciążać, bo to była karta debetowa, zaczął ją obciążać. No i po dwóch latach

bank się do niego odzywa: "Co się dzieje? Nie spłacasz tych zadłużeń? No zaraz pójdziemy z tobą do sądu." A pan Dmitri powiedział: "Okej, chodźmy do sądu". Sąd, sąd orzekł, że po musi oddać 19000 rubli i pan Dymitri stwierdził okej, po czym poszedł do sądu i powiedział, że w umowie było, że jeżeli bank zmieni informacje, jeżeli zmieni regulamin, to ma zapłacić mu ma mu zapłacić odszkodowanie. Tak się zdarzyło, że bank zmienił osiem razy. I teraz sprawa toczy się o 24 miliony rubli. Ta sprawa jeszcze niestety się toczy, ale trzymam gorąco kciuki, żeby żeby wyszła, bo to tak naprawdę wychodzi, że banki no nie do końca czytają czytają umowy. Pominąłem jeden mały fakt, że to było tak, że pan nie dokonał żadnego

fałszerstwa, bo to było tak, że bank przysłał mu dwie kopie umowy, z czego miał obie podpisać i one nie były podpisane w żaden sposób przez bank. Czyli w momencie kiedy on wysłał tę umowę do banku, to była jego jakby propozycja tej umowy, więc to nie ma żadnego problemu, że on tam podrobił coś czy czy w tym stylu. Więc no trzymam kciuki, żeby żeby żeby okazało się, że to wypaliło. To jest jakiś tam legenda, którą kolega mi opowiedział, że był, że był w Stanach, zabrakło mu pieniędzy, poszedł do, do bankomatów, wypłacił pieniądze, wraca do Polski, patrzy, no brakuje tam, nie wiem, powiedzmy 1000 zł, no i nie wiedział, co się stało. Zadzwonił do banku, żeby to wyjaśnić. No i tam pani

nie bardzo wiedziała co tam zrobić. Jakoś tak się w końcu stało, że zadzwonił do właścicieli tych tego konkretnego bankomatu, w którym którym wypłacał. Okazało się, że po tym, że jak wypłacił pieniądze, wyjął kartę, mógł wciąż nacisnąć przycisk i kontynuować transakcję, znaczy wybrać kolejne pieniądze. On o tym nie wiedział i odszedł od tego bankomatu. Ktoś podszedł i wybrał kolejne pieniądze w jego imieniu. Y, na szczęście ta sprawa z tego co co mi opowiadał skończyła się tak, że że dostał zwrot z tych pieniędzy, także nie było afery, ale no warto czytać, co się tam pojawia na tych wszystkich mądrych urządzeniach. Dla mnie Stany czy Kanada też są takim niesamowitym krajem, gdzie no w ogóle bardzo długo i wciąż są używane czeki,

ale także przy płatności kartami kredytowymi czy debetowymi jesteśmy proszeni tylko i wyłącznie o złożenie swojego podpisu. Nie ma tam żadnego PINu, nie ma tam żadnego innego, innej autoryzacji. Wystarczy, że przesuniemy kartę, dostaniemy paragon, dostaniemy paragon, który zachowuje, zachowuje sklep, my go podpisujemy i to jest wszystko. Zawsze mnie ciekawiło, jak takie takie transakcje są jak takie transakcje są uwierzytelniane potem po po stronie banku. Także zachęcam może kogoś do do researchu i w następnym roku tak w ogóle no niesamowite moim zdaniem, bo to nawet nie jest tak, że i to jakby i to tak wybiera i to wybiera bank, tak to jakby użytkownik y jeżeli użytkownik by miał jeżeli użytkownik by miał ustawiony pin, to ten ta płatność ten ten to urządzenie do

płatności by zapytało o ten PIN, co prowadzi nas do kolejnej historii, że byliśmy kiedyś z z kolegą w kasynie przez przypadek y i y staliśmy tam sobie sobie w kolejce. No i jak to w kasynie, przed wejściem trzeba wymienić pieniądze na na żetony. No i przed nami szła pani pani z Azji i podała swoją kartę tam kasjer tam przejechał. No i tak patrzę, no nie wchodzi. No jeszcze raz. No nie wchodzi. Jeszcze raz. No. No tutaj pojawia mi się coś o PIN. A PIN 2372. Także pani sobie po prostu podała numer PINu. Natomiast w momencie kiedy my podeszliśmy i chcieliśmy zrobić to samo, no to już było troszeczkę bardziej skomplikowane, no bo tam coś tam o

security kiedyś słyszeliśmy i chcieliśmy podać. No pan chciał szczerze, ale nie mógł tego tego tej tej tego urządzenia do płatności podać nam, bo ono po prostu było przymocowane do jego biurka i nie można było inaczej tego zrobić. Więc mój kolega się uparł i poszedł gdzieś tam jakimiś tam zapleczami, wszedł tam do środka, poprowadzili go w końcu, żeby mógł wpisać swój PIN. Także no stany nie są do końca czasami przygotowane na tego typu rzeczy. No dobrze, to ja bardzo dziękuję za uwagę. Tutaj mam chciałbym podziękować kilku osobom, Pawłowi i Dawidkowi, z którym dużo na ten na różne tematy związane z tą prezentacją dyskutowaliśmy. Pawłowi Goleniowi, który tak naprawdę zrobił świetną prezentację na confidence na temat właśnie

autoryzacji transakcji i Krzysztofowi Kuchcie, który podzielił się ze mną kilkoma historiami. Także dziękuję bardzo. Czy są może jakieś jeszcze pytania?

Już, już. Okej, dobra. Więc tak, chciałbym wrócić trochę jeszcze do tematu CVC. Zwrócić taką uwagę. To jest też coś, co powiedzmy tutaj sam Aha. Wyłącz się. Mogę mówić głośniej na przykład albo O, dobra, dzięki. E i sytuacja wyglądała tak, że m czytałem przeczytałem o tym gdzieś, żeby kod CVC zdrapać i to już było dawno temu. E, i rzeczywiście przypomniało mi się, że jeszcze lat wcześniej miałem kartę, na której kod CVC był na zdrapce i on mi się po prostu zmazał, także w pewnym momencie miałem problem z tym. Natomiast gdy chciałem to chciałem powiedzmy zrobić nową kartą, moim zdaniem to, że była zdrabka to był świetny pomysł. Taki kod powinno się moim zdaniem zapisać sobie trzymać w kipasie, w telefonie czy

gdziekolwiek. Yyy, z nową kartą nie jest tak łatwo, ponieważ ten kod jest wybity. Nie dość, że nie jest to zdrapka, to jak się próbuje zdrapać ten kod, mimo wszystko to on jest wybity i na tej karcie pozostaje. Także jakby ktoś się powiedzmy kartę ukradł, to wciąż może powiedzmy zobaczyć w życiu światła. Odbicie sobie dzięki. Tak. Albo nawet jeżeli jest drapany, to wciąż może wykonywać transakcje w Amazonie. Jeszcze jakieś pytania może? Proszę.

the biggest bank that we have like has like something like 15 millions of clients so what they doing now to they produce cards with no name with and also there are like like really no name so there are no litters that you can push or like to use this techniques on others and there are also no requirements to put any password so you like requirements to have additional CV or transactions like it's a market they sell so you don't have any authentications

Będzie ciężko podać mikrofon, ale w ogóle są dwa modele bezpieczeństwa związane z płatnościami. Jeden model jest taki, że że nie dopuszczamy do płatności takiej, która która jest nieuczciwa, sfałszowana czy cokolwiek. A drugi jest taki, że wykrywamy kto to zrobił i każemy go. Na przykład w Stanach jest tak, że że bardzo dużo płatności się realizuje czekami. I ten czek można bardzo prosto sfałszować. No bo tych banków tam jest setki czy tysiące malusieńkich banków, których każdy wydaje czek. nie sposób znać wszystkie jak wyglądają każde czek. Więc metoda jest taka, że że o ile tam jakieś drobne przestępstwa typu morderstwo czy coś tam są przestępstwami stanowymi, o tyle fałszowanie Czechów czy wszystkie rzeczy, fałszowanie pieniędzy i okolice, to są przestępstwa federalne, za które

się idzie do federalnego więzienia, który jest dużo, dużo cięższe. No tak, jest to jakieś rozwiązanie i i z płatnościami w Stanach w ogóle jest takie podejście, że że się to wykrywa i ten model tych płatności tych kart dotykowych, on właśnie na tym bazuje, że że może nie jest istotne, że że że nie jest tak istotne, żeby żeby zapobiec tegemu, że jakaś karta zostanie obciążona, bo ktoś tam idzie z z przenośnym czytnikiem i i kasuje tam transakcje do 50 zł od wszystkich w tramwaju. Ale o to, że że jeżeli taka zaczną spływać reklamacje, to będzie widać, kto to zrobił, tak? Bo ten czytnik jest zawsze związany z konkretną firmą. To nie są anonimowe czytniki, na które

sobie każdy może A czy wiesz może jak jest właśnie z potwierdzeniem tych czeków? Bo dla mnie to jest naprawdę coś niesamowitego, że po prostu podpisujesz coś i wiesz, jest odłożone, spływaj, spływaj, jak się okaże, że jest bez pokrycia, to wtedy są poważne konsekwencje wobec tej wobec No tak, ale on jest jakby są finanse, tak? Tylko tylko nie ja go wydałem, tak? Mhm. Tylko na przykład wiesz, no ja podpisałem twój czek i co wtedy? Jak to zweryfikować? No idea jest tak,

znaczy ja mam potwierdzenie do swoich wystawionych, tak? Czy dostajesz swoją kartę siebie imiennej? No tak. No ale jeżeli bym na przykład pożyczył no dwie karteczki, tak? No to tak jeszcze gwoli uzupełnienia kwestiach bezpieczeństwa kart transakcji kartami kredytowymi istnieje taka funkcja o nazwie chargeback w sytuacji kiedy prawidłowy prawowity klient wykryje nieprawidłową transakcję na swojej karcie może zgłosić to do banku i z bardzo, bardzo wysokim prawdopodobieństwem ta, ta transakcja zostanie cofnięta. Generalnie banki z tego co słyszałem chętniej zwracają pieniądze niż tam przyznają się do takich no że taka sytuacja miała miejsce. Tak, bo no to oznacza, że no jeż no nie jest to niedobrze to wygląda marketingowo, tak że że o tutaj użytkownik tego banku został okradziony. Po prostu zwróćmy mu

te, nie wiem 10, 20 000. Tak, dla mnie jeszcze jakieś pytanie było czy historia. Wspominałeś o tych atakach na karty zbliżeniowe. Szczególnie chodzi mi o proxy. To jest taki bardzo fajny atak, bardzo ciekawy, często się o nim mówi, ale ja nigdy nie spotkałem się z tym, żeby ktoś go rzeczywiście użył. Czy ty słyszałeś o takich przypadkach, żeby ktoś rzeczywiście tego To znaczy, że są skuteczne badania? Szczer, szczerze mówiąc nie słyszałem, żeby, żeby ktoś, bo tutaj jeszcze dochodzi taki jakby powiedzmy yyy kwestia psychologiczna, tak? No idziemy do sklepu, gdzie są kamery, tak? Wykonujemy transakcje, no i jest to jakiś tam sposób jeszcze możliwe do weryfikacji, tak? Nie słyszałem faktycznie, ale no jest taka metoda, metoda ataku. Pacie tam,

to może ja podam przykład. Akurat nie do kart, ale bardzo popularne to było przy kradzieży nowych samochodów. A to jest dokładnie ta sama technika. 50 zł. No to tym bardziej.

No dobrze, to jeszcze raz bardzo serdecznie dziękuję i do zobaczenia. Yeah.