Hardware Upgrade Forum - View Single Post - SIM Swapping, cresce l'allarme: ecco perché è pericoloso e quali contromisure adottare

ryan78 · 13-02-2022, 10:50

Quote:

Originariamente inviato da Darkon

L'sms OTP che io sappia nessuna banca lo fa pagare all'utente e comunque anche l'SMS è un sistema ormai in graduale dismissione a favore della notifica in app che non puoi intercettare nemmeno con il sim swapping.

si paga si paga

Lo fanno pagare così scegli l'app che è gratis (non tutte le banche però).

Comunque il problema dell'autenticazione su cellulare si potrebbe risolvere attivando dalla banca un blocco temporaneo dell'account online riattivabile successivamente dall'utente recandosi ad un bancomat ad esempio o in fisicamente in filiale. In fondo è a tutela del proprio conto, avere un paio di giorni offline non è la fine del mondo. Si usano le gambine e si tornano a fare i bonifici dalla banca (se proprio servisse

). Però se ti clonano la carta il problema potrebbe restare anche successivamente (sempre che la sim nuova non venisse spedita direttamente dal provider a mezzo raccomandata tracciabile).

Per superare il problema, per chi ha la linea telefonica a casa, si potrebbe dare la possibilità di attivare una autenticazione a tre fattori con un metà del codice numerico dettato al telefono. Metà via sms, metà tramite telefono di casa. Da usare per le sole operazioni che superino una certa soglia o modifiche dell'area clienti.

C'è una bella differenza tra fare un bonifico di 300 euro e uno di 3000 euro o di più. Avere qualche restrizione in più penso possa solo fare felici gli utenti. Chi non vuole può benissimo usare il sistema tradizionale.

Con le Poste, a causa di problemi di sicurezza, da un po' di tempo richiedono (anche con le carte prepagate) oltre all'sms OTP, anche l'autenticazione con la password dell'area clienti. Ecco questa io la trovo una puttanata perché se la dovessi perdere o qualcuno dovesse sniffare quella password avrebbe accesso all'intera area clienti. Io avrei fatto delle password create nell'area clienti da cambiare ogni 3 mesi (un po' come si fa con yahoo che permette di creare password dedicate per i client di posta). In questo modo l'accesso all'area clienti resta sicuro. Un po' come faceva Ubi, poi Bper con il codice Key6.

Gli accessi all'area Master dovrebbero essere blindatissimi e scomodi (zona modifiche importanti, massimali, anagrafica, operazioni corpose), mentre la zona d'uso comune potrebbe avere accessi più tradizionali.

Questo è il prezzo da pagare per fare tutto a casa, in mobilità e in autonomia. E non è che i canoni annuali siano poi così bassi; forse era meglio prima dove la vera autenticazione era l'utente reale che si recava in banca, conosciuto fisicamente dal bancario presente in filiale.