Link all'Articolo: http://www.businessmagazine.it/articoli/2664/la-truffa-corre-sul-conto-online-ecco-come_index.html

L'esplosione del commercio elettronico porta ancor più alla ribalta il tema della sicurezza informatica, soprattutto nel contesto delle transazioni elettroniche. Partendo da un caso specifico proviamo a spiegare un aspetto spesso trascurato nella sicurezza informatica: il fattore umano

Click sul link per visualizzare l'articolo.

Ormai tante banche utilizzano il metodo di OTP, a me è sempre sembrato sicuro (anche se è un po' una rottura ripetere la pass dopo ogni operazione).
Però se avessi letto meglio l'articolo mi sarei reso conto che mi fregherebbero anche con la OTP ahahah scusate

a quanto ho capito una soluzione semplice potrebbe essere quella di usare un browser dedicato solo per operazioni bancarie..che dite?

Ormai tante banche utilizzano il metodo di OTP, a me è sempre sembrato sicuro (anche se è un po' una rottura ripetere la pass dopo ogni operazione).
Però se avessi letto meglio l'articolo mi sarei reso conto che mi fregherebbero anche con la OTP ahahah scusate

l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.

l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.

beh se ti do' 2 OT password valide e le utilizzi 4 secondi dopo penso che funzionino.

io dubito che un browser su una chiavetta in sola lettura possa non essere compromesso una volta caricato nella ram... sto pensando ad un sistema sicuro senza l'uso degli sms... mmm è difficile

ottimo articolo. molto utile anche perchè sto portando alla maturità questi argomenti. per altro sono un fan di kevin, letti 2 suoi libri questo mese sull'ingegneria sociale.

Ha veramente ragione quando dice che l'anello più debole della sicurezza informatica è proprio l'uomo. Molto piu facile "chiedere" una password che "rubarla". dai, magari a gente esperta non funzionano metodi phishing ma scometto che tutti i vostri parenti-conoscenti non sanno neanche che cos'è.

mi è piaciuto anche il libro Password Perfetta! l'ho letto ieri ve lo consiglio. Come creare una password sicura e come scoprirle. :D
insomma dai, gente esperta con le sole informazioni del profilo facebook vi ruba la password in meno di mezzora. :sofico:

Articolo interessante.
La morale della favola è che, come sempre, l'ignoranza è una brutta bestia.
E visto che l'ingegneria sociale non è intrinsecamente legata alla tecnologia, oltre che con soluzioni tecnologiche, il "problema della sicurezza" andrebbe combattuto sullo stesso piano: con l'informazione (e questa c'è già) ma ancor di più con l'educazione (questa invece manca).

l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.
Con l'attacco MITB, il sistema è infettato a livello browser, in particolare vengono modificati i dati immessi (e visualizzati) per effettuare il bonifico: tu pensi di fare il bonifico di 5,00 € a Marco, in realtà il software intercetta queste informazioni, le modifica con 5.000 € e Pinko Pallino (siamo sempre all'interno del browser) e le spedisce modificate alla banca (all'interno della sessione autenticata che tu hai creato). Quando la banca ti visualizza il riepilogo (5.000 € a Pinko Pallino), ecco che il software reintercetta i dati, li cambia nuovamente con quelli che avevi immesso tu, e te li visualizza correttamente. Tu, quindi, ovviamente confermi la transizione ed inserisci la OTP. L'operazione viene quindi interpretata dalla banca come lecita.
La OTP impedisce ad altri, dai loro sistemi, di utilizzare il tuo account, ottenute le credenziali, per operazioni non autorizzate.

Ma se all'interno del messaggio contenente la OTP vi è riepilogato il reale contenuto della transazione che si sta confermando (5000 euro) ecco scoperto l'inghippo con relativo annullo dell'operazione da parte dell'utente colpito.

Ma se all'interno del messaggio contenente la OTP vi è riepilogato il reale contenuto della transazione che si sta confermando (5000 euro) ecco scoperto l'inghippo con relativo annullo dell'operazione da parte dell'utente colpito.
Qui ti sbagli: quando ti compare la finestra dove immettere la OTP, con il riepilogo della transizione richiesta, i dati visualizzati sullo schermo del cliente SONO GIA' STATI MODIFICATI DAL SOFTWARE, che non fa altro, per esempio, mi mettersi in mezzo tra i componenti comunicazione e i componenti rendering del browser stesso, cambiando i caratteri che il browser visualizzerà. Quindi, la banca ti risponde "5.000 € a Pinko Pallino" per la conferma, i dati arrivano al browser, il malware intercetta (per lui i dati sono in chiaro, in quanto agisce DENTRO il canale cifrato), cambia i dati in quelli originariamente immessi dall'utente "5,00 € a Marco", ed invia i dati al renderer del browser, che visualizza queste ultime info. Il cliente, quindi, verifica i dati immessi, immette la OTP e conferma. Rientra quindi in gioco il malware che riconverte i dati in spedizione alla banca, ovviamente mantenendo intatta la OTP... e per la banca l'operazione è lecita. Il problema è che, tecnicamente, i dati vengono modificati all'esterno del canale cifrato, quando sono in fase di visualizzazione (e quindi in chiaro).

detto cosi' mi sembra un po' troppo facile.

e anche troppo facile introdursi all'interno dei browser degli utenti.

allora il protocollo https a cosa serve? a una cippa?

non è che i programmatori MS o mozilla per arrotondare .....

detto cosi' mi sembra un po' troppo facile.

e anche troppo facile introdursi all'interno dei browser degli utenti.

allora il protocollo https a cosa serve? a una cippa?

non è che i programmatori MS o mozilla per arrotondare .....

mi rispondo da solo.

https scongiura attacchi man-in-the-middle.

qui si parla di altro.

cmq io uso la notifica SMS del bonifico e li c'è scritto anche importo e beneficiario.
a questo punto uno si accorge che l'importo e il beneficiario sono diversi da quelli digitati.

Qui ti sbagli: quando ti compare la finestra dove immettere la OTP, con il riepilogo della transizione richiesta, i dati visualizzati sullo schermo del cliente SONO GIA' STATI MODIFICATI DAL SOFTWARE, che non fa altro, per esempio, mi mettersi in mezzo tra i componenti comunicazione e i componenti rendering del browser stesso, cambiando i caratteri che il browser visualizzerà. Quindi, la banca ti risponde "5.000 € a Pinko Pallino" per la conferma, i dati arrivano al browser, il malware intercetta (per lui i dati sono in chiaro, in quanto agisce DENTRO il canale cifrato), cambia i dati in quelli originariamente immessi dall'utente "5,00 € a Marco", ed invia i dati al renderer del browser, che visualizza queste ultime info. Il cliente, quindi, verifica i dati immessi, immette la OTP e conferma. Rientra quindi in gioco il malware che riconverte i dati in spedizione alla banca, ovviamente mantenendo intatta la OTP... e per la banca l'operazione è lecita. Il problema è che, tecnicamente, i dati vengono modificati all'esterno del canale cifrato, quando sono in fase di visualizzazione (e quindi in chiaro).

Non è cattiveria, ma sei tu che sbagli :D , in quanto io ho scritto, come del resto già spiegato nella news, che l'importo viene riportato DENTRO il messaggio sms contenente la OTP, e quindi sarà questo che, eventualmente, differisce da quanto visualizzato da browser infettato...

Se la banca recepisce 5000 dal malware, sms conterrà 5000, se predisposto a riepilogare i dettagli della transazione, ovviamente!

Non è cattiveria, ma sei tu che sbagli :D , in quanto io ho scritto, come del resto già spiegato nella news, che l'importo viene riportato DENTRO il messaggio sms contenente la OTP, e quindi sarà questo che, eventualmente, differisce da quanto visualizzato da browser infettato...

Se la banca recepisce 5000 dal malware, sms conterrà 5000, se predisposto a riepilogare i dettagli della transazione, ovviamente!
Niente cattiveria, ho capito solo adesso cosa intendevi ;) : ti riferivi al caso in cui la banca fornisca la OTP su richiesta dell'operazione (personalizzando quindi il messaggio che la contiene con i dettagli dell'operazione), io invece facevo riferimento alla soluzione con OTP fornita tramite dispositivo token (RSA o schedina contenente le OTP), soluzione molto diffusa (basti pensare che il gruppo bancario più grande d'Europa usa questo approccio) meno costosa per la banca e, quindi, per l'utente. Nel caso che tu riporti, ovviamente, il problema non si pone, in quanto si sta utilizzando un canale di verifica parallelo su media differente :)

ottimo articolo. molto utile anche perchè sto portando alla maturità questi argomenti. per altro sono un fan di kevin, letti 2 suoi libri questo mese sull'ingegneria sociale.

Ha veramente ragione quando dice che l'anello più debole della sicurezza informatica è proprio l'uomo. Molto piu facile "chiedere" una password che "rubarla". dai, magari a gente esperta non funzionano metodi phishing ma scometto che tutti i vostri parenti-conoscenti non sanno neanche che cos'è.

mi è piaciuto anche il libro Password Perfetta! l'ho letto ieri ve lo consiglio. Come creare una password sicura e come scoprirle. :D
insomma dai, gente esperta con le sole informazioni del profilo facebook vi ruba la password in meno di mezzora. :sofico:
io per generare le password uso questo sito http://www.pctools.com/guides/password/

il problema poi è ricordarsele :D

Io non ho il sistema OTP ma mi arriva un codice via sms con il riepilogo e codice per confermare la trasazione online, e per modificare il numero di cellulare abilitato arriva un sms con il codice sul vecchio cellulare .. insomma non possono fare una cippa solo bucare la banca! :D
Se proprio vogliamo dirla tutta, no non siamo sicuri. Qui il discorso però è che l'hacker deve conoscere esattamente la tua banca e il tuo sistema operativo e avere creato un programma che faccia il tutto, insomma un po' da 007! Tanto per dire è stata risolta pochissimo tempo fa una falla 0day di IE che risaliva ancora a win98 che permetteva di prendere il controllo totale del sistema ... quindi ....

Infatti un browser su una chiavetta non la ritengo sicura ma il fatto che ogni OTP arrivato via sms (con importo e beneficiario) è abbinato esclusivamente ai dati inseriti o alterati e non quelli confermati è li che diventa determinante l'accettazione o l'annullamento dell'operazione.
In questo modo i malviventi non hanno futuro.

io per generare le password uso questo sito http://www.pctools.com/guides/password/

il problema poi è ricordarsele :D


Pessima scelta affidarsi a un qualsiasi algoritmo elettronico, a maggior ragione se segreto, per generare una password.

Ti consiglio DICEWARE.


Per quanto riguarda la sicurezza rispetto a questo tipo di attacco, senza usare un mezzo di comunicazione alternativo, si potrebbe firmare la transazione (es. bonifico).
Dovrei pensarci un po' su per capire se ci posso essere "workaround", ma sicuramente si introduce complessità lato utente.

O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO

Usando la notifica via sms, mi arriva un messaggio immediatamente dopo aver effettuato il bonifico, con importo e destinatario.
Così dovrebbe essere sicuro, no?

Cioè, l'operazione non è sicura in sé, però io sono sicuro di venire immediatamente a conoscenza di eventuali frodi.

Ma non c'è un modo per scoprire se il proprio browser è infetto?

Usando la notifica via sms, mi arriva un messaggio immediatamente dopo aver effettuato il bonifico, con importo e destinatario.
Così dovrebbe essere sicuro, no?

Cioè, l'operazione non è sicura in sé, però io sono sicuro di venire immediatamente a conoscenza di eventuali frodi.

Ma non c'è un modo per scoprire se il proprio browser è infetto?

Non dopo aver effettuato il bonifico ma prima di confermarlo, se vedi dall'sms che i dati inseriti non corrispondono puoi cliccare su annulla oppure non fare niente perche in 2-3 minuti l'operazione in attesa si annulla automaticamente.
Penso che se uno vuole potrebbe confermare anche rispondendo all'sms con "confermo" oppure "annullo"

Ora mi sorge un'altro dubbio... i malviventi potrebbero in qualche modo cracckare Nokia Pc Suite o altri software per intercettare sul momento l'sms ricevuto almeno a quelli che usano il cellulare come modem connesso al pc in bluetooth o cavo....

O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO

si ma su postepay se si furbo, lasci solo un tot. la max si flippano quel tot.

un c/c è diverso... potrebbero esserci molti dindin

Ora mi sorge un'altro dubbio... i malviventi potrebbero in qualche modo cracckare Nokia Pc Suite o altri software per intercettare sul momento l'sms ricevuto almeno a quelli che usano il cellulare come modem connesso al pc in bluetooth o cavo....

un po' + difficile, penso, anche perchè dovrebbero saper il tuo cell collegato al conto.

e chi sono....

e poi gli conviene?

A questo punto anche se avete dato alla banca il numero di cellulare della internet key per ricevere gli sms non è sicuro .... dunque l'sms deve arrivare su un numero che non verra mai usato con il computer allo stesso momento dell'online banking....

Un'altro dubbio... potrebbero craccare Pc Nokia Suite e simili per clonare la sim card (possibile due sim cloni funzionanti allo stesso momento?) oppure accedere al proprio account nel sito degli operatori mobili.
Come possono automatizzare la gestione di tante sim? creando ed emulando con software un ricetrasmettitore gprs con tutte le sim accese allo stesso momento, e se il malware al momento della modifica dei dati nel campo beneficiario ci inserisce un numero identificativo da poterlo riconoscere quando andrà ad analizzare gli sms saprà qual'è l'OTP corrispondente all'operazione.... FANTASCIENZA? mmm potrebbe essere fattibile... allora come difendersi?

IL NUMERO DEL CELLULARE dato alla banca non deve essere mai usato con il computer in nessun modo ammeno che non si è sicuri di avere il pc pulito e ben protetto.

IL NUMERO DEL CELLULARE dato alla banca non deve essere mai usato con il computer in nessun modo ammeno che non si è sicuri di avere il pc pulito e ben protetto.

cosa intendi?

chiavette internet o quant'altro?

altrimenti non capisco....

cosa intendi?

chiavette internet o quant'altro?

altrimenti non capisco....

si, perchè uno per comodità potrebbe fare lo sbaglio di dare alla banca il nr. della sim presente nella chiavetta internet....e il software che gestisce la chiavetta gestisce anche gli sms...... opsssss CAVOLO! ai malviventi non sarebbe necessario neanche clonare le sim.... come ho detto prima gli basta inserire un codice dopo il beneficiario in modo che poi quando arriva l'sms dalla banca sulla chiavetta internet o sul cellulare collegato via cavo o bluetooth al computer con PC Suite e simili lo stesso malware intercetterà l'sms riconoscendo il codice inserito nel campo del beneficiario e di conseguenza saprà il codice OTP.

Questione di attimi e i malviventi ricevono comunque i soldi....:(

Ripeto:
IL NUMERO dato alla banca per mandarvi l'sms non deve essere mai usato con il computer in nessun modo ammeno che non si è sicuri di avere il pc pulito e ben protetto.
Io ho il miglior pacchetto di Sicurezza G-Data Internet Security 2011 acquistato online a 69 € per 5PC e per 2 anni di licenza... super conveniente... è il migliore perchè ha due motori di scansione (Kaspersky+Avast) è pesante ma il mio pc lo sopporta bene e AVComparatives lo dà come migliore:
http://www.av-comparatives.org/images/stories/test/ondret/avc_retro_nov2010.pdf

Comunque Microsoft dovrebbe mettere a disposizione degli utenti mensilmente in formato ISO scaricabile un CD-DVD di avvio (BootCD) per l'utenza inesperta con un programma automatizzato che controlla e rigenera l'MBR+EMBR, svuota la System Volume Information, controlla l'integrità del registro di windows ed anche l'originalita dei file principali di sistema e browser (nel caso li rimpiazza con quelli contenuti nel CD-DVD) e già che ci è ci inserisce anche gli ultimi aggiornamenti, ah se ci mette anche il suo Security Essential sarebbe ancora meglio.
L'ultente accenderà il pc facendolo avviare da CD-DVD e farà tutto da solo.

pero' scusate.

mi sembra che il bonifico non sia proprio immediato e che entro un lasso di tempo possa essere bloccato comunque.
infatti il beneficiario di solito non riceve subito i soldi ma solo dopo qualche gg.

o sbaglio?

Un'altra cosa importante! è bene che le case produttrici di schede madri reinseriscano nel BIOS le due vecchie amate opzioni Attiva/Disattiva per aggiornare il BIOS ed eventuali modifiche all'MBR+EMBR (Partizioni) e già che ci sono anche il nuovo Attiva/Disattiva aggiornamenti FIRMWARE di tutte le periferiche.... tutto questo per evitare i temuti rootkit anche a livello hardware.

Non dopo aver effettuato il bonifico ma prima di confermarlo, se vedi dall'sms che i dati inseriti non corrispondono puoi cliccare su annulla oppure non fare niente perche in 2-3 minuti l'operazione in attesa si annulla automaticamente.
Penso che se uno vuole potrebbe confermare anche rispondendo all'sms con "confermo" oppure "annullo"

Ora mi sorge un'altro dubbio... i malviventi potrebbero in qualche modo cracckare Nokia Pc Suite o altri software per intercettare sul momento l'sms ricevuto almeno a quelli che usano il cellulare come modem connesso al pc in bluetooth o cavo....

Nel mio caso l'sms è solo una notifica, non serve per confermare o annullare, ma solo per informarmi che il bonifico è stato fatto. E mi arriva su un numero di cellulare che non viene mai utilizzato per connettersi a internet.

Per il login e le operazioni bancarie ho una di quelle chiavette che generano una password numerica ogni 4 o 5 secondi. Che però da quanto si evince dall'articolo non è più garanzia di sicurezza a questo punto.

Da circa tre anni - cioè da quando uso un sistema on-line - ho sempre memorizzato gli IBAN ogni volta che facevo un bonifico. In tre anni ho memorizzato non più di una dozzina di IBAN perché i miei "interlocutori" sono più o meno sempre gli stessi.

Ovvio che io (utente privato) non faccio testo, però se l'utente dovesse consegnare "di persona", presso la propria banca, un elenco di IBAN autorizzati (escludendo quindi di accettare qualunque altro IBAN) una parte delle truffe non sarebbe possibile. Anche per i MAV (i cui codici cambiano costantemente) si potrebbe studiare un sistema simile.

Ripeto: il suggerimento può riguardare una ristrettissima cerchia di utenti (sarebbe impensabile applicarlo ad aziende che hanno un elenco di clienti/fornitori e quindi IBAN costantemente mutevole), però almeno una parte dei clienti sarebbe più protetto.

In alternativa, sarei felicissimo se - come suggerito in varie parti dell'articolo - ricevessi un SMS con la descrizione sommaria del bonifico e, soprattutto, con un codice da inserire nella schermata per confermare il versamento.

Pessima scelta affidarsi a un qualsiasi algoritmo elettronico, a maggior ragione se segreto, per generare una password.

Ti consiglio DICEWARE.



grazie per il consiglio. puoi motivare la tua risposta? :) grazie mille
ciao

Marco

Un momento.

Mai sentito parlare di Linux?
Usando un CD Linux live oppure una chiavetta USB con il sistema operativo precaricato ( Mandriva,Ubuntu, Fedora, etc), all'avvio del sistema, linux va tutto in ram volatile, per cui non esiste pericolo di essere stati infettati da alcunchè.

Con il sistema "live" si potrà operare tranquillamente senza troppe complicazioni.

Vedo nei forum che negli USA molti usano questo sistema per i pagamento on line.

grazie per il consiglio. puoi motivare la tua risposta? :) grazie mille
ciao

Marco

Con piacere: in generale qualsiasi algoritmo "casuale" che viene utilizzato dai pc, si basa sulla ripetizione di una serie di numeri pseudo-casuali, per farla semplice immagina un sistema che restituisce: 34, 95, 42, 11, 76 dopodiché ricomincia da 34 e così via.
I numeri all'interno dell'intervallo sono presi in modo casuale, ad esempio tra 0 e 100, ma vengono ripetuti, periodicamente (il periodo può essere anche molto lungo comunque).
La vera "casualità" dipende da dove inizi a prendere i numeri all'interno dell'intervallo, e la sicurezza è influenzata anche dal periodo con cui si ripetono. Immagina che io e te usiamo l'algoritmo pseudo-casuale senza definire un "inizio", tutti i numeri generati saranno identici sia per me che per te, che per chiunque altro lo usi, e di conseguenza le password o chiavi o qualsiasi altra cosa generata a partire dal numero casuale!

Per questo motivo spesso viene richiesto un "seed" casuale per "iniziare" l'algoritmo da un punto casuale del periodo. Questo seed può essere generato ad esempio a partire dai movimenti del mouse sullo schermo, dal clock della cpu, da un'area di memoria, ecc.

Anche i seed però possono essere ovviamente "indovinati" o quantomeno si può restringere il campo, quindi è molto difficile con un pc generare un numero casuale abbastanza "buono", pur seguendo lo stato dell'arte della crittografia, immagina se non lo si segue nemmeno, fatto tutt'altro che infrequente...

Un numero veramente casuale è invece ad esempio quello generato dal lancio di un dado o più dadi (a patto che siano equilibrati...). Per generare una password è un'ottima fonte di casualità, sicura e alla portata di tutti.

Così come nella crittografia la sicurezza della cifratura deve essere riposta nella chiave e non nell'algoritmo usato per cifrare, anche per la generazione di una password casuale la "casualità" deve essere garantita dal "modo" in cui scegliamo il numero casuale alla base piuttosto che nel modo con cui dal numero arriviamo alla password alfanumerica.

Spero di essermi spiegato, ciao ciao!

IMHO il sistema bancoposta dovrebbe evitare questi problemi grazie al lettore che si utilizza.

Ogni transazione online richiede l'inserimento della carta nel lettore, digitare sul lettore il codice dell'operazione che viene fornita sul sito, poi digitare il pin della carta e inseritre sul sito il codice che appare sul lettore.
Certo, è scomodo dover avere il lettore con se.

Secondo voi avere una VM, con un sistema Linux o Windows, dedicata esclusivamente per collegarsi al conto on line, che grado di sicurezza può avere?
Il mio dubbio è: la VM, per collegarsi ad internet, si appoggia al sistema operativo installato sul pc e se questo è infetto...

Secondo voi avere una VM, con un sistema Linux o Windows, dedicata esclusivamente per collegarsi al conto on line, che grado di sicurezza può avere? Il mio dubbio è: la VM, per collegarsi ad internet, si appoggia al sistema operativo installato sul pc e se questo è infetto...
Infatti! Qualunque sistema che si basi su un'unica connessione è destinato ad essere aggirato con relativa facilità.

Un modo più affidabile consiste nel servirsi di due canali distinti e separati.

Esempio: quando si apre un conto corrente si comunica (di persona e non via web) un numero di cellulare "segreto" (che ovviamente non comparirà in nessuna trasazione via web, ma potrà essere eventualmente modificato solo recandosi di persona presso una filiale della banca). Dovendo effettuare un bonifico via web, non solo si preme il pulsante del tipo "Inoltra", ma si invia - via SMS (e da QUEL numero di cellulare) sia l'IBAN che l'importo. Quindi si attende, sempre su quel cellulare, un SMS di risposta contenente la richiesta di conferma (per quel IBAN / Importo) e un codice numerico (che può anche essere un banale numero di quattro cifre). L'utente - che ovviamente è ancora connesso via web durante l'operazione - dovrà digitarlo nell'apposito campo prima di premere un pulsante del tipo "Concludi l'operazione".

Ovvio che sarebbe necessaria una procedura un po' più macchinosa e una serie di costi (SMS) da sostenere, ma io sarei più che felicie di spendere qualche minuto in più e un euro a transazione per avere un sicurezza in più.

E voi? ;)

PS: e non ditemi che digitare l'IBAN in un SMS è scomodo e impraticabile. Ormai quasi tutti i cellulari permettono di fare un copia e incolla da un qualunque documento memorizzato su un PC.

La soluzione è molto + stupida di quello che pensiate:

1) non dare la mail alle proprie banche, vi arrivano mail dalle poste/BCC/ecc? semplice, è pishing, non gli avete dato la vostra mail :D

2) Paypal spedisce le mail con NOME E COGNOME, basta leggere...se c'è scritto: Gentile NOME COGNOME, significa che è originale, non vi fidate?...prima di fare cagate guardate l'url dei link dove putano.

3) SpamAssasins e Thunderbird sono vostri amici :)

4) Eliminare Cookies, Cronologia, Cache e password dal browser (preferibilmente usare la sessione "ospite" oppure "navigazione anonima" che ormai sono in tutti i browser, compreso IE)

5) Evitare i banner "SEI IL MILIONESIMO PIRLA CHE HA VINTO 100000000000€" ecc.

Mi sembra fin troppo semplice...o no?.

La soluzione è molto + stupida di quello che pensiate: (eccetera) Mi sembra fin troppo semplice...o no?.
E' molto semplice per chi - come noi - seguiamo Forum specifici e ci teniamo aggiornati sulla tecnologia.

Il problema è circoscritto - si fa per dire - alle decine di migliaia di persone che usano il web con eccessiva disinvoltura.

Del resto, perfino nei forum di HWUpgrade è possibile leggere post del tipo "Non ho mai usato un antivirus e non mi è mai successo nulla". :doh:

L'unico modo per limitare danni (a persone che, in fin dei conti, se li merirebbero) è quello di "costringere" gli utenti a usare procedure relativamente complesse, che contribuiscono a proteggerli da truffe e raggiri.

In ogni caso, ci sarà sempre un percentuale di persone ingenue che farà entrare falsi ispettorri dell'ENEL per la lettura del contatore, non sapendo che ormai la lettura è informatizzata.

Ma scusate, forse non ho capito io. Ma ricordiamoci che il codice OPT quando viene usato non è possibile riutilizzarlo (anche se la seconda richiesta parte un millisecondo dopo) quindi se parte un mio bonifico con un codice da chiavetta poi il secondo bonifico lanciato dal malware non può essere eseguito con lo stesso codice OPT anche se parte un millisecondo dopo e nella stessa sessione......

Il problema è che il tuo bonifico non parte proprio, viene intercettato e sostituito con quello del criminale, tenendo buona solo la OTP. La banca vede arrivare solo 1 bonifico, quello del criminale.

Il problema è che il tuo bonifico non parte proprio, viene intercettato e sostituito con quello del criminale, tenendo buona solo la OTP. La banca vede arrivare solo 1 bonifico, quello del criminale.

Ok...chiaro. grazie.

Non fatevi tanti problemi ragazzi. Per me la Rete è sinonimo di insicurezza!!

Cito da questo sito: http://www.pillolhacking.net

"Un giorno ad Adrian Lamo venne chiesto come poter proteggere un server dalle incursioni hacker. Adrian, senza aprir bocca, prese il suo coltellino e sicuro taglio di netto il cavo di rete. Esplicita applicazione del vecchio adagio della sicurezza informatica che vuole che il computer più sicuro sia il computer non collegato a nulla."

Chi vi racconta che basta fare questo o basta fare quest'altro e siamo sicuri... Sono balle!!!! non vi fidate, non esiste niente di sicuro.

Sono parzialmente d'accordo, prima di tutto un pc sicuro è un pc spento ;) è vero, così come è impossibile dire che un qualsiasi sistema possa definirsi "sicuro".
Si può solo dire che è più sicuro di altri, o ha un buon livello di sicurezza.

Nell'informatica come nella vita è difficile avere certezze, è vero che non possiamo mai essere sicuri di non essere vittime di un attacco di questo tipo, c'è un piccola probabilità che ci rubino i soldi, ma nessuno smette di uscire di casa perché c'è una piccola probabilità che venga investito per strada o che faccia un incidente.
Si tratta solo di valutare costi e benifici e fare la scelta che ci è più conveniente o comoda.

C'è chi preferisce investire il suo tempo facendo le code allo sportello, rischiando comunque che l'impiegato che esegue il bonifico sia disonesto e gli freghi i soldi (probabilità piccola, ma non da escludere) e chi preferisce investire il suo tempo informandosi e documentandosi per poter eseguire la stessa operazione da casa, senza code, minimizzando il rischio che un malintenzionato gli freghi i soldi via internet.

Sono parzialmente d'accordo, prima di tutto un pc sicuro è un pc spento ;) è vero, così come è impossibile dire che un qualsiasi sistema possa definirsi "sicuro".
Si può solo dire che è più sicuro di altri, o ha un buon livello di sicurezza.


non ho capito su cosa non sei d'accordo. :rolleyes:

Che la rete è sinonimo di insicurezza, non c'è niente di assolutamente sicuro, che sia fuori o dentro dalla rete.

Non fatevi tanti problemi ragazzi. Per me la Rete è sinonimo di insicurezza!!

Chi vi racconta che basta fare questo o basta fare quest'altro e siamo sicuri... Sono balle!!!! non vi fidate, non esiste niente di sicuro.

Ok, non esiste niente di sicuro.
Quindi?

Ok, ottimo articolo però bisogna stare molti attenti che quì si creano vere e proprie scene di panico...
Il problema è vero, è sempre stato reale ma frasi tipo "un computer sicuro è un computer spento" ormai le conosce anche mia nonna.
Faccio attività online e transazioni quasi quotidianamente ed ormai da tanti anni, bisogna sempre avere ovviamente sempre un pò di accortezza quando si gioca con i propri soldi... Magari associando ad un conto bancario una carta ricaricabile (meglio della postepay sono tutte le carte ricaricabili collegate alla propria banca che perdipiù valgono anche all'estero essendo di circuiti popolari) e limitare le transazioni con quella carta magari anche collegata al proprio account paypal.
Se si devono fare bonifici bancari (i più pericolosi ma ovviamente i più diffusi in ambito lavorativo e parlando di grandi cifre) utilizzarli sempre con il servizio sms e OTP. Ovviamente in computer "potenzialmente" il più possibile sicuri, e bla bla...
Questa è la norma in poche parole, poi ovviamente ci sono mille sfumature che variano a seconda della capacità e VOGLIA della persona interessata nell'applicarle... non è tutto sto granchè eh?

Magari associando ad un conto bancario una carta ricaricabile (meglio della postepay sono tutte le carte ricaricabili collegate alla propria banca che perdipiù valgono anche all'estero essendo di circuiti popolari) e limitare le transazioni con quella carta magari anche collegata al proprio account paypal.
Carte ricaricabili che non sono protette dalle truffe...
Con le carte di credito vere male che vada si devono contestare gli addebiti; con le carte ricaricabili i soldi sono persi per sempre!

Carte ricaricabili che non sono protette dalle truffe...
Con le carte di credito vere male che vada si devono contestare gli addebiti; con le carte ricaricabili i soldi sono persi per sempre!

Sai, le carte ricaricabili della stessa banca in cui hai il tuo conto non saprei ora se come dici te non possono essere contestate, non mi è mai capitato e, come tipo di servizio offerto, è relativamente più recente della classica postepay
A prescindere però secondo il mio punto di vista sono comunque più affidabili perchè in qualsiasi momento puoi inserirne il quantitativo che a te serve pagando di norma solo 1 euro di commissione.
Quindi diciamo per le grandi cifre carichi e paghi e se proprio vuoi ci lasci qualcosa per tutte le evenienze secondarie.
Mal che vada se proprio si è vittima di attacchi di questo tipo ci sarebbero problemi di fondi che causerebbero conseguenti errori nelle transazioni.

Se io digito 5 e il malware in verità cerca di prelevare 5000 non ci sarebbe fisicamente denaro. Ci dovrebbe essere allora in quel caso un malware che si fà l'estratto conto della tua carta, vede quanti soldi hai e di conseguenza preleva il massimo consentito (perchè non si parla di carta di credito dove si può andare comodamente sotto la propria quantità di denaro disponibile)

Ci dovrebbe essere allora in quel caso un malware che si fà l'estratto conto della tua carta, vede quanti soldi hai e di conseguenza preleva il massimo consentito (perchè non si parla di carta di credito dove si può andare comodamente sotto la propria quantità di denaro disponibile)
Anche le carte di credito hanno un plafond prefissato oltre al quale non si può andare, tipicamente 1.600 €.

Ritengo comunque che siano tutte seghe mentali, ci si complica la vita e spende soldi in commissioni per niente.

Anche le carte di credito hanno un plafond prefissato oltre al quale non si può andare, tipicamente 1.600 €.

Ritengo comunque che siano tutte seghe mentali, ci si complica la vita e spende soldi in commissioni per niente.

d'accordissimo con te ;)

Alcune banche online prevedono un classico USER NAME e PASSWORD per l'accesso e visualizzazione: per confermare ogni operazione invece, nella pagina del browser compare un codice numerico al momento dell'invio dati. Per autorizzare l'operazione è necessario chiamare entro qualche decina di secondi un numero verde gratuito tramite il solo cellulare registrato, quindi digitare tramite il telefono il codice di autorizzazione.

Per "bucare" il sistema si dovrebbe modificare il numero di telefono, ma è possibile solo con una macchinosa procedura, oppure sarebbe necessario clonare la SIM card del numero di telefono del correntista.

Alcune banche online prevedono un classico USER NAME e PASSWORD per l'accesso e visualizzazione: per confermare ogni operazione invece, nella pagina del browser compare un codice numerico al momento dell'invio dati. Per autorizzare l'operazione è necessario chiamare entro qualche decina di secondi un numero verde gratuito tramite il solo cellulare registrato, quindi digitare tramite il telefono il codice di autorizzazione.

Per "bucare" il sistema si dovrebbe modificare il numero di telefono, ma è possibile solo con una macchinosa procedura, oppure sarebbe necessario clonare la SIM card del numero di telefono del correntista.

Grazie czame, opzione molto interessante che non conoscevo. Molto più sicura della sola chiavetta.

Si, anch'io trovo sia una valida idea: in questo caso per autorizzare è necessario usare un canale differente e disgiunto dal PC (altro hardware, altra connessione dati). Esiste inoltre una ulteriore pass diversi caratteri che serve per altre confermare altre disposizioni: questa non viene richiesta integralmente (mai), sono da utilizzarsi solo un paio di caratteri alla volta, scelti casualmente.

Come dicevo questo non è un sistema impossibile da eludere, ma laborioso al punto da indirizzare altrove l'attenzione di un malintenzionato.

Alcune banche online prevedono un classico USER NAME e PASSWORD per l'accesso e visualizzazione: per confermare ogni operazione invece, nella pagina del browser compare un codice numerico al momento dell'invio dati. Per autorizzare l'operazione è necessario chiamare entro qualche decina di secondi un numero verde gratuito tramite il solo cellulare registrato, quindi digitare tramite il telefono il codice di autorizzazione.

..e io che pensavo di avere inventato un metodo nuovo... :doh: (vedi mio precedente post N. 37).

..e io che pensavo di avere inventato un metodo nuovo... :doh: (vedi mio precedente post N. 37).

Non disperare! Rassicura te stesso invece, riconoscendo il fatto che fra tutti i post inviati in seguito a questo thread il tuo è l'unico, se non uno dei pochissimi, nel quale sia stata proposta una soluzione alternativa e valida... anche se dopo il mio post non è più rivendicabile e brevettabile... :D

Non dopo aver effettuato il bonifico ma prima di confermarlo, se vedi dall'sms che i dati inseriti non corrispondono puoi cliccare su annulla oppure non fare niente perche in 2-3 minuti l'operazione in attesa si annulla automaticamente.
Penso che se uno vuole potrebbe confermare anche rispondendo all'sms con "confermo" oppure "annullo"

Ora mi sorge un'altro dubbio... i malviventi potrebbero in qualche modo cracckare Nokia Pc Suite o altri software per intercettare sul momento l'sms ricevuto almeno a quelli che usano il cellulare come modem connesso al pc in bluetooth o cavo....

Ma lo fanno tutte le banche?E come in automatico o
tramite operatore?
Cavolo io ci vivo di internet banking:muro:

O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO

la postepay è praticamente stata inventata per i truffatori..

e chiamandoli solo truffatori sono stato buonO!

O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO

:doh:

vi risulta che sia possibile disporre un bonifico online truffaldino su un sito bancario che prevede come procedura standard codice utente, password, codice dispositivo e utilizzo token senza che sia stato utilizzato il token ma soltanto le prime tre credenziali? A me è capitato.