|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75173
|
Link alla notizia: https://www.hwupgrade.it/news/sicure...re_104742.html
L'FBI lancia l'allarme, ma la minaccia esiste anche in Europa e la polizia spagnola ha appena sgominato un'organizzazione criminale impegnata in questo tipo di attacchi. Ecco di che si tratta Click sul link per visualizzare la notizia. |
![]() |
![]() |
![]() |
#2 |
Senior Member
Iscritto dal: Mar 2013
Messaggi: 3023
|
La miglior difesa non esiste in caso di negozianti collusi con i malviventi. Secondo me la verifica quotidiana del saldo e del funzionamento della sim, può già bastare. In ogni caso se sostituiscono la sim, la maggior parte delle volte smette di funzionare dalle 24. La mia app bancaria richiede un codice di verifica ottenibile solo tramite call center negli orari previsti ogni volta che cambio telefono e la reinstallo, e già questo dovrebbe garantire una maggiore sicurezza
|
![]() |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Dec 2011
Messaggi: 2908
|
Quindi l'articolo sta dicendo semplicemente che l'autenticazione a due fattori fatta con il cellulare fa schifo e se uno è così ingenuo da metterci tutti i propri soldi con a guardia l'autenticazione a due fattori basata su SIM ovvero basata su cellulare allora deve affrontare "una vera e propria corsa contro il tempo difficile da vincere.".
Anche perché un attaccante ha gioco facile ad entrare nel nostro cellulare, quindi impossessarsi solo di dati quali le nostre credenziali di accesso al conto corrente (che abbiamo sul cellulare, il nostro nome e cognome che è sicuramente sul cellulare, il nostro numero di telefono, i dati della nostra carta di identità che sicuramente sono sul nostro cellulare (data di nascita, luogo, residenza, ovvero codice fiscale). Con i solo dati (che sono numeri e lettere), l'attaccante fa lo SIM Swap e ci frega i soldi del conto corrente, tutti e subito. I soldi di una vita andati in fumo solo perché il "cellulare è tanto comodo". Alla faccia...! |
![]() |
![]() |
![]() |
#4 |
Senior Member
Iscritto dal: Nov 2017
Città: Verona (VEROITBC)
Messaggi: 5359
|
Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?
![]() |
![]() |
![]() |
![]() |
#5 | ||
Moderatore
Iscritto dal: Nov 2006
Messaggi: 21683
|
Quote:
Quote:
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 |
||
![]() |
![]() |
![]() |
#6 |
Senior Member
Iscritto dal: Mar 2013
Messaggi: 3023
|
In ogni caso la mia banca permette di annullare i bonifici entro le 19, per cui...certo che se non ti funziona la sim e non ti fai delle domande...
|
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Jul 2009
Messaggi: 439
|
Il problema non è solo l'autenticazione a 2 fattori, ma anche il funzionamento tipico del "recupera password" che si appoggia molto spesso al solo fattore telefonico.
|
![]() |
![]() |
![]() |
#8 | |
Senior Member
Iscritto dal: Nov 2017
Città: Verona (VEROITBC)
Messaggi: 5359
|
Quote:
Tra l'altro, il mio token chiedeva di inserire il bancomat, il PIN del bancomat e poi generava una coppia di codici in risposta a quella richiesta dall'operazione online... A me pareva sicuro ![]() |
|
![]() |
![]() |
![]() |
#9 | |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 7830
|
Quote:
Il numero degli accessi illeciti dovuti a questo tipo di conservazione aveva raggiunto livelli devastanti e quindi han dovuto trovare altro. |
|
![]() |
![]() |
![]() |
#10 | |
Senior Member
Iscritto dal: Dec 2011
Messaggi: 2908
|
Quote:
Riassumendo: credenziali per accedere al conto, token fisico e EMS per confermare l'operazione. Ricordo a un commentatore qui sopra che esistono i bonifici istantanei e che le banche li stanno implementando. Questo significa che dopo un minuto tutti i propri soldi sono sul conto corrente dell'attaccante il quale può prelevarli. Quindi non è più annullabile un bonifico istantaneo.
__________________
Utente Linux: Mageia 7. Sito: www.kensan.it |
|
![]() |
![]() |
![]() |
#11 | |
Senior Member
Iscritto dal: Dec 2011
Messaggi: 2908
|
Quote:
Diciamo le cose come stanno perché poi i soldi di una vita sono i miei e non di quelli che mettono il fogliettino insieme al token.
__________________
Utente Linux: Mageia 7. Sito: www.kensan.it |
|
![]() |
![]() |
![]() |
#12 | |
Senior Member
Iscritto dal: Dec 2011
Messaggi: 2908
|
Quote:
Poi diverse banche forniscono su richiesta il token fisico, basta informarsi e chiedere. Io ho scelto la mia banca sulla base del fatto che mi fornisse il token fisico altrimenti avrei scelto un'altra banca.
__________________
Utente Linux: Mageia 7. Sito: www.kensan.it |
|
![]() |
![]() |
![]() |
#13 | |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 7830
|
Quote:
Allo stesso tempo se non blocchi mai il telefono, usi un pin banale e hai tante info salvate in chiaro puoi avere tutte le sicurezza di questo mondo ma le rendi inefficaci. Diciamo che ad oggi il truffatore medio difficilmente si sbatte con complesse tecniche di hacking dato che spessissimo riescono a farsi dare le credenziali direttamente dalle persone spacciandosi per "antitruffa" ad esempio. |
|
![]() |
![]() |
![]() |
#14 | |
Senior Member
Iscritto dal: Dec 2011
Messaggi: 2908
|
Quote:
Con la C.I. l'attaccante va in un negozio Vodafono e si fa fare la nuova SIM dell'utente ingenuo che ha tutti i propri soldi sul cellulare e glieli preleva con un bonifico istantaneo.
__________________
Utente Linux: Mageia 7. Sito: www.kensan.it |
|
![]() |
![]() |
![]() |
#15 | |
Senior Member
Iscritto dal: Dec 2011
Messaggi: 2908
|
Quote:
C'è ragionevolmente quella percentuale di malfattori che applica tecniche evolute e in tal caso ne sarebbe notevolmente gratificato con un bel bottino. Ricordo che nei conti correnti c'è pure chi ha i soldi per comprarsi casa, non ci sono solo conti in rosso.
__________________
Utente Linux: Mageia 7. Sito: www.kensan.it |
|
![]() |
![]() |
![]() |
#16 |
Senior Member
Iscritto dal: Mar 2013
Messaggi: 3023
|
Sicuramente se devono sbattersi il gioco deve valere la candela, non mettono su un casino per 10000 euro sul conto corrente. Anzi ultimamente si sente di gente che comunica per telefono i codici a sedicenti operatori bancari, senza neanche scomodare i sim swapping. Se sei un p1rla e hai tanti soldi, il problema sei tu, non le misure di sicurezza.
|
![]() |
![]() |
![]() |
#17 | |
Member
Iscritto dal: May 2011
Messaggi: 126
|
Quote:
Comunque non sono un fan delle app bancarie. La app della mia banca (ING) p.e. consente di fare operazioni con la sola impronta digitale. Questo significa che se uno prende il controllo del mio telefono (anche da remoto), può impersonare me. Avrei preferito che ci fosse anche un PIN (tipo quello per l'accesso da web, ma con un codice diverso). Certo le app bancarie non soffrono del problema dello sim swapping, né del problema degli TOTP di cui sopra. |
|
![]() |
![]() |
![]() |
#18 | |
Senior Member
Iscritto dal: Dec 2011
Messaggi: 2908
|
Quote:
Ti bastano solo le informazioni che sono facilmente disponibili se ha una app infetta nel cellulare: numero di telefono e altri dati personali oltre alle credenziali della banca.
__________________
Utente Linux: Mageia 7. Sito: www.kensan.it |
|
![]() |
![]() |
![]() |
#19 |
Senior Member
Iscritto dal: Mar 2013
Messaggi: 3023
|
No, se cambi sim e telefono dopo la reinstallazione su un nuovo telefono l'app ti chiede un codice univoco che solo il call center può dare, solo per la prima installazione.
Credem fa così |
![]() |
![]() |
![]() |
#20 | |
Senior Member
Iscritto dal: Sep 2004
Messaggi: 3731
|
Quote:
Però l'sms lo paghi tu e il cellulare ce lo metti tu ![]()
__________________
CONSTITUTION: Intel Core Ultra 9 285K | ASUS ProArt Z890-CREATOR WIFI | Corsair Vengeance 128 GB DDR5-5600 | ZOTAC GAMING GeForce RTX 5090 SOLID OC 32GB | 3 x Gigabyte M28U 4K | EK Custom watercooling loop |
|
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 13:27.