Brata colpisce anche in Italia: è il pericoloso trojan bancario che resetta il telefono

[Darkon]

Quote:

Originariamente inviato da Svelgen

Io non fare mai home banking con uno smartphone Android.
Quando escono gli aggiornamenti, c'è sempre l'elenco dei dispositivi che verranno aggiornati: alcuni spesso non superano i 2 anni di garanzia del produttore. Figuriamoci quanto sono sicuri...

Guarda che non c'entra niente... sono pochissimi i casi in cui c'è una violazione diretta del dispositivo.

Nella stragrande maggioranza dei casi mandano un sms che sembra inviato dal "numero della banca" in realtà semplicemente c'è l'header modificato.

Tramite quel messaggio ti fanno aprire una pagina clone del login dell'home banking della banca e sperano che ci metti user e prima password.

Successivamente ti chiamano spacciandosi per l'assistenza della banca che deve accertarsi tramite token sms che sei veramente te perché hai subito una intrusione, in realtà sono loro che fanno il login nell'home banking e tantissima gente ci casca e gli legge i token.

I casi di violazione dello smartphone sono una rarità per il semplice fatto che comunque violare lo smartphone anche se è un android non aggiornato richiede mezzi e conoscenze che comunque sono uno sforzo notevole. L'attacco che ho descritto io invece è alla portata di qualsiasi balordo.

Quindi non cambia assolutamente una ceppa se hai l'home banking su android o su altro... tanto salvo andarsele a cercare difficilmente verrai mai realmente attaccato in quel modo.

[gd350turbo]

Quote:

Originariamente inviato da Darkon

Guarda che non c'entra niente... sono pochissimi i casi in cui c'è una violazione diretta del dispositivo.

Nella stragrande maggioranza dei casi mandano un sms che sembra inviato dal "numero della banca" in realtà semplicemente c'è l'header modificato.

Tramite quel messaggio ti fanno aprire una pagina clone del login dell'home banking della banca e sperano che ci metti user e prima password.

Successivamente ti chiamano spacciandosi per l'assistenza della banca che deve accertarsi tramite token sms che sei veramente te perché hai subito una intrusione, in realtà sono loro che fanno il login nell'home banking e tantissima gente ci casca e gli legge i token.

I casi di violazione dello smartphone sono una rarità per il semplice fatto che comunque violare lo smartphone anche se è un android non aggiornato richiede mezzi e conoscenze che comunque sono uno sforzo notevole. L'attacco che ho descritto io invece è alla portata di qualsiasi balordo.

Quindi non cambia assolutamente una ceppa se hai l'home banking su android o su altro... tanto salvo andarsele a cercare difficilmente verrai mai realmente attaccato in quel modo.

Lo sa lo sa...
Lo fa apposta !
https://www.iltempo.it/attualita/202...ncia-25312236/
Ops... hanno rubato dei video sozzi su un iphone, ma non era il massimo della sicurezza ?
Si, ma se si pirla lo sei sia con un android sia con un iphone:
Mi avevano mandato una mail in cui mi chiedevano di accedere al mio account, io pensavo volessero darmi la spunta blu, ho cliccato e me l’hanno rubato. Succede in questo modo.
Come si può vedere la persona che striscia le dita sul cellulare è la prima causa di furto di dati, non la marca/modello del cellulare!

[Sandro kensan]

Quote:

§ 3. La truffa “sim swap” (ovvero tramite sostituzione della sim)

La truffa “sim swap” è una tipologia di frode informatica articolata in vari passaggi:

il punto di partenza è rappresentato dal furto delle credenziali di home banking della vittima, tramite attacco hacker (per cui è indispensabile che i dispositivi elettronici che utilizziamo per accedere ai nostri conti on-line siano adeguatamente protetti da validi antivirus);
il secondo momento di questa frode è rappresentato dal furto di identità: presentando al gestore di telefonia mobile documenti falsi, il truffatore chiede il rilascio di una nuova sim card in sostituzione di quella in uso alla vittima (di cui denuncia falsamente lo smarrimento ovvero la distruzione accidentale);
infine, utilizzando la sim card così ottenuta (e dunque il numero di telefono cellulare della vittima), il truffatore riceve dalla banca le ulteriori credenziali necessarie per operare sul conto corrente online.

Il numero di telefono è, infatti, il canale normalmente utilizzato dalle banche per comunicare codici temporanei da inserire al momento della disposizione bancaria, oltre che per notificare i movimenti e per operare controlli di sicurezza. Una volta ottenuta la sostituzione della sim, però, tutti i messaggi e le chiamate di verifica arrivano a chi sta commettendo il reato, e non al reale intestatario dell’utenza e del conto corrente ad essa collegato.

La pericolosità di questa truffa sta, dunque, nel superamento del secondo fattore di autenticazione, legato al numero di telefono e questo apre il complicato capitolo della individuazione del soggetto tenuto alla restituzione del denaro fraudolentemente sottratto.

https://www.chiarini.com/home-bankin...-risarcimento/

«Quanto accaduto alla coppia assistita dal nostro Studio rivela, invece, la estrema vulnerabilità del sistema, risultato inidoneo ad impedire a terzi di introdursi illecitamente nel rapporto di conto corrente e di eseguire operazioni tali da portare ad uno svuotamento del conto in pochissimo tempo. Né la Banca è stata in grado di individuare e bloccare le operazioni, benché sospette e nonostante la pronta reazione dei titolari del conto.»

Edit: sottolineo la frase dell'avvocato cui i coniugi che hanno avuto il conto corrente svuotato si sono rivolti per sperare di avere i soldi indietro dalla Banca:

estrema vulnerabilità del sistema, risultato inidoneo ad impedire a terzi di introdursi illecitamente nel rapporto di conto corrente e di eseguire operazioni tali da portare ad uno svuotamento del conto in pochissimo tempo

inoltre i conoiugi hanno svolto tutte le operazioni in brevissimo tempo che un utente oculato avrebbe svolto ma... gli hanno svuotato il conto perché semplicemente il sistema è estremamente vulnerabile e quindi inadatto a contenere soldi di una vita.

[gd350turbo]

Questo è un attacco alla persona, studiato apposta per colpire una persona che si presume mantenga una discreta cifra sul conto corrente...
E' come se ti entrano in casa e ti rubano !

[Sandro kensan]

Quote:

Originariamente inviato da gd350turbo

Questo è un attacco alla persona, studiato apposta per colpire una persona che si presume mantenga una discreta cifra sul conto corrente...
E' come se ti entrano in casa e ti rubano !

è un tipo di truffa come le truffe che hanno mostrato altri commentatori, né più e né meno. Sul punto invece che sottolinei ovvero che sul conto corrente ci sono i soldi di una persona, tutti i soldi di una persona scopri l'acqua calda. Lo sanno anche i malviventi che fanno la truffa SIM swap.

[gd350turbo]

Quote:

Originariamente inviato da Sandro kensan

è un tipo di truffa come le truffe che hanno mostrato altri commentatori, né più e né meno. Sul punto invece che sottolinei ovvero che sul conto corrente ci sono i soldi di una persona, tutti i soldi di una persona scopri l'acqua calda. Lo sanno anche i malviventi che fanno la truffa SIM swap.

E' un tipo di truffa studiata sulla persona, come se ti si mettono davanti casa e appena te ne vai, ti entrano in casa.

io sul conto corrente ci tengo i soldi solo per le spese minute...

[Darkon]

Quote:

Originariamente inviato da Svelgen

Ma anche no invece!

https://focustech.it/2017/09/30/bank...classic-153589


Nella stragrande maggioranza dei casi approfittano di una qualche app popolare che ti scarichi dal play store, che è un ricettacolo di malware.
Ripeto: io con un telefono Android non mi fiderei troppo ad usarlo come faccio con tutti gli smartphone Apple che possiedo.
E non sono certo l'unico che ritiene la maggiorate dei telefoni Android a rischio sicurezza...

O sta a vedere che ne sai più te che io che coi servizi bancari ci lavoro.
Quella del malware nell'app famosa ad esagerare ma ti ripeto ad esagerare rappresenterà l'1% di tutte le truffe online. E ripeto che penso di aver esagerato brutalmente.

Nel restante 99% è sempre e solo truffe "social engineering" e cioè modi in cui ti convincono a rivelargli i dati con l'inganno senza nessun hacking complesso.

Sia chiaro non sto dicendo che in assoluto non esistano anche malware ma che rappresentano una parte minima del totale e che ormai non sono vantaggiosi nemmeno per il truffatore. Infatti con il social engineering arrivi prima e su molti più conti che non tramite app che per quanto famose presuppongono che tu la cerchi, la installi, accedi all'home banking e l'home banking sia vulnerabile a quel particolare malware... insomma praticamente un sacco di lavoro anche per creare e distribuire il malware a fronte di un risultato inefficiente (per il truffatore).

Quote:

https://focustech.it/2020/05/11/andr...curezza-281653

Scusami... usare focus come fonte... non dico che l'articolo sia ridicolo anzi buona parte è condivisibile ma per favore usiamo fonti un pochino più autorevoli soprattutto in materia finanziaria.

Quote:

Alla fine dell'articolo, guarda caso, cosa ti consigliano di fare?

Ti consigliano una ovvietà e contemporaneamente una scemenza. Perché allora cosa dovremmo dire a tutti quelli che ancora usano windows XP? se non mi ricordo male è tutt'ora fra il 3 e il 4% del totale. O tutti quelli che usano windows ma crakkato? O tutti quelli che installano il software X crakkato?
NON esiste per definizione un sistema collegato alla rete che possa dirsi sicuro nemmeno se si tratta di un sistema della CIA figuriamoci un dispositivo di Mario Rossi.
La differenza tra un sistema aggiornato e uno non aggiornato incide in maniera determinate in una percentuale risibile di casi in quanto per correre rischi diretti in quel senso quasi sempre significa che si è presi di mira e non che è un attacco a caso nella massa.
Sia chiaro non sto dicendo che allora bisogna fregarsene e non fare gli aggiornamenti ma che nello specifico caso delle credenziali bancarie il 99% della sicurezza dipende dall'utente e non dal dispositivo e avere un android, apple, windows phone o qualsiasi altra cosa ti venga in mente sostanzialmente non cambia una ceppa.

Quote:

Con Android, gli aggiornamenti, nella maggiorate dei casi sono una lotteria: gratti e vinci l'aggiornamento.

Ma finiamola con questi discorsi da hater o peggio da fanboy. La politica degli aggiornamenti è chiara al giorno in cui compri se poi uno non legge le condizioni e compra a casaccio non è colpa di altri se non di chi fa l'acquisto.

[gd350turbo]

Quote:

Originariamente inviato da Darkon

O sta a vedere che ne sai più te che io che coi servizi bancari ci lavoro.
Quella del malware nell'app famosa ad esagerare ma ti ripeto ad esagerare rappresenterà l'1% di tutte le truffe online. E ripeto che penso di aver esagerato brutalmente.

Nel restante 99% è sempre e solo truffe "social engineering" e cioè modi in cui ti convincono a rivelargli i dati con l'inganno senza nessun hacking complesso.

Kevin mitnck, diceva che il modo più semplice di ottenere un informazione era di chiederla !
Basta fare una semplice ricerca delle truffe subite online, che la maggiorparte riguardano filmati sozzi fregati dagli iphone, per scoprire che non il 99% ma il 99,9999999% periodico sono truffe operate con questo sistema e puoi avere il telefono aggiornato ogni giorno che se abbocchi al "sms della banca" non ti salvi !

Io l'ho chiesto tante volte ma nessuno mi ha mai risposto, io vorrei vedere UN caso in cui a causa di un telefono non aggiornato, quindi senza utilizzare il social engineering o app, ma sfruttando solamente le falle del telefono, gli sono entrati in banca e svuotato il conto !
Ovviamente non di focustech, ma un caso dimostrato e certificato.
Se me lo dimostrate, posso prendere in seria considerazione di prendere un telefono aggiornato costantemente.
Altrimenti sono chiacchere da fanboy !

[Darkon]

Quote:

Originariamente inviato da gd350turbo

Kevin mitnck, diceva che il modo più semplice di ottenere un informazione era di chiederla !
Basta fare una semplice ricerca delle truffe subite online, che la maggiorparte riguardano filmati sozzi fregati dagli iphone, per scoprire che non il 99% ma il 99,9999999% periodico sono truffe operate con questo sistema e puoi avere il telefono aggiornato ogni giorno che se abbocchi al "sms della banca" non ti salvi !

E ha ragione... sostanzialmente è la verità. Basti pensare che la gente continua ad abboccare alla mail del principe africano che vuole portare in Italia 50 milioni ma che purtroppo non li sbloccano se non paga X€ e ha scelto te: bifolco qualsiasi senza alcuna competenza per pagare questa tassa e poi regalarti X milioni.
Io ad oggi non mi spiego come la gente ci possa credere che fa ridere anche solo a scriverlo qua eppure ci cascano. Ci cascano al punto di non fargli un solo pagamento ma di insistere più e più volte.

Poi c'è la variante del prestito... ti prestano X€ a tassi stracciati ma diamine prima devi mandargli dei soldi te perché sai... la pratica va istruita.
Gente che fa debiti perché crede di ottenere poi prestiti fuori dal mondo. O peggio a sua volta truffa qualche conoscente convinta poi di potergli restituire tutto.

Per questo continuo a dire che è inutile stare a farsi le segate sugli aggiornamenti quando la più pericolosa vulnerabilità è l'essere umano. Per fare una metafora è come dire che mentre ci va a fuoco casa ci preoccupiamo di più del surriscaldamento globale.

Quote:

Io l'ho chiesto tante volte ma nessuno mi ha mai risposto, io vorrei vedere UN caso in cui a causa di un telefono non aggiornato, quindi senza utilizzare il social engineering o app, ma sfruttando solamente le falle del telefono, gli sono entrati in banca e svuotato il conto !
Ovviamente non di focustech, ma un caso dimostrato e certificato.
Se me lo dimostrate, posso prendere in seria considerazione di prendere un telefono aggiornato costantemente.
Altrimenti sono chiacchere da fanboy !

Spezzo una lancia in suo favore... i casi esistono, per ovvi motivi non te ne posso fornire le prove legalmente ma esistono. Fermo restando che spesso sono comunque frutto di abitudini sbagliate.
Ad esempio vantarsi in giro o peggio sul web di avere molti soldi e di essere uno ganzo che controlla tutto dallo smartphone. Successo davvero.

Di base gli hacking "diretti" posso dire che sono quasi sempre mirati. Non è che fanno hacking di dispositivi a casaccio nella massa.
Negli altri casi la componente umana fa praticamente quasi il 100% del lavoro.

Una persona "normale", anche con un telefono non aggiornato e per non aggiornato intendo di 10 anni fa, se presta un MINIMO di attenzione non corre nessun rischio per il semplice fatto che come ho detto anche in altri post perché dovrebbero perdere tempo con un hacking che richiede conoscenze, competenze e tempo quando possono colpire nella massa e ottenere 10 volte tanto senza nemmeno aver bisogno di particolari competenze tecniche?

[Sandro kensan]

Quote:

Originariamente inviato da Darkon

Una persona "normale", anche con un telefono non aggiornato e per non aggiornato intendo di 10 anni fa, se presta un MINIMO di attenzione non corre nessun rischio per il semplice fatto che come ho detto anche in altri post perché dovrebbero perdere tempo con un hacking che richiede conoscenze, competenze e tempo quando possono colpire nella massa e ottenere 10 volte tanto senza nemmeno aver bisogno di particolari competenze tecniche?

Io non mi sentirei sicuro in questo contesto che descrivi che mi sembra un effetto gregge, ovvero sentirsi sicuri quando c'è un gregge con la particolarità che viene colpito così facilmente il gregge che quello che è un po' esperto a non cadere nei tranelli, si salva. Se non ci fosse il gregge, invece, sarebbe esposto.

Ho capito quel che dici ma non è un motivo per essere esposti con i soldi di una vita al primo che passa ed è un po' furbo e sperare nell'effetto gregge che descrivi. Io non mi espongo.

Tra l'altro dici di lavorare in banca e esponi il caso di persone che sono cadute in questa truffa che si sono vantate di avere molti soldi e di gestirli tramite cellulare, dici anche che questa è una malsana abitudine che suppongo le persone furbe e intelligenti non dovrebbero avere altrimenti si viene truffati e non si sfrutta l'effetto gregge poc'anzi descritto.

Immagino che il vantarsi sia sia fisico che mediante i social ovvero Facebook e altri. C'è da ricordare che alla Regione Lazio e nella USLL Veneta sono stati sottratti ingenti dati sanitari. Non so cosa ci sia dentro ma non mi stupirei che ci siano dati economici li dentro oltre che sanitari. Quindi non è detto che sia necessario vantarsi perche un malvivente sappia che abbiamo soldi nel conto.

Ripeto io non mi sentirei tranquillo a fidarmi dell'effetto gregge.

[Darkon]

Quote:

Originariamente inviato da Sandro kensan

Io non mi sentirei sicuro in questo contesto che descrivi che mi sembra un effetto gregge, ovvero sentirsi sicuri quando c'è un gregge con la particolarità che viene colpito così facilmente il gregge che quello che è un po' esperto a non cadere nei tranelli, si salva. Se non ci fosse il gregge, invece, sarebbe esposto.

Non è tanto l'effetto gregge di per se ma una banalissima analisi probabilistica. Nel mondo esistono persone che uccidono per divertimento? Probabilmente sì. Quant'è la probabilità che una di queste prende di mira me? Praticamente nessuna ma non proprio zero. Ti risulta che tutti facciano corsi di autodifesa e girino armati?

Il punto è che quando un rischio è estremamente basso non importa per quale motivo diventa un rischio che non puoi tenere in considerazione. Pensa che anche nel mondo assicurativo tali rischi sono considerati talmente fuori statistica da non essere assicurabili.

Quote:

Ho capito quel che dici ma non è un motivo per essere esposti con i soldi di una vita al primo che passa ed è un po' furbo e sperare nell'effetto gregge che descrivi. Io non mi espongo.

Ripeto che io ovviamente consiglio di aggiornare il telefono e tutti i device ed è ovvio che è la scelta più opportuna da fare. Semplicemente dissento da chi ne fa un affare di stato differenziando android, apple o altro. Poi è scontato che se ci sono patch di sicurezza sia meglio farle che non farle.

Quote:

Tra l'altro dici di lavorare in banca e esponi il caso di persone che sono cadute in questa truffa che si sono vantate di avere molti soldi e di gestirli tramite cellulare, dici anche che questa è una malsana abitudine che suppongo le persone furbe e intelligenti non dovrebbero avere altrimenti si viene truffati e non si sfrutta l'effetto gregge poc'anzi descritto.

No, il punto non era gestire tutto da smartphone o meno. Il punto è tenere la bocca chiusa. Puoi gestire anche milioni di Euro dallo smartphone ma non vai a raccontarlo in giro. È ovvio che se per fare lo sbruffone lo sbandieri ai 4 venti prima o poi vieni preso di mira.
Lo stesso per chi mette la cassaforte in casa e poi va a raccontarlo a giro. È la stessa identica cosa.

Quote:

Immagino che il vantarsi sia sia fisico che mediante i social ovvero Facebook e altri. C'è da ricordare che alla Regione Lazio e nella USLL Veneta sono stati sottratti ingenti dati sanitari. Non so cosa ci sia dentro ma non mi stupirei che ci siano dati economici li dentro oltre che sanitari. Quindi non è detto che sia necessario vantarsi perche un malvivente sappia che abbiamo soldi nel conto.

Non è questione di sapere se hai o no soldi nel conto. Per quello sicuramente hanno degli "insider" nelle banche e quei dati li recuperano senza bisogno di niente di così complesso.
Il punto è venire a sapere esattamente quale device controlla quale conto. Se te ti vanti che con il tuo ultimo telefonino controlli tutti i tuoi averi è molto più probabile essere presi di mira.

Quote:

Ripeto io non mi sentirei tranquillo a fidarmi dell'effetto gregge.

E quindi? La soluzione quale sarebbe? Ti assicuro che se anche ogni anno comprassi l'ultimissimo modello di smartphone oltre a subire una rapina di altro tipo non saresti chissà quanto più al sicuro.

[Sandro kensan]

Quote:

Originariamente inviato da Darkon

E quindi? La soluzione quale sarebbe? Ti assicuro che se anche ogni anno comprassi l'ultimissimo modello di smartphone oltre a subire una rapina di altro tipo non saresti chissà quanto più al sicuro.

Discorsi ragionevoli quelli che fai. Non rispondo punto si punto ma il discorso sulla sicurezza personale può avere un senso ma coinvolge molti altre aspetti tra cui quello relazionale. Comunque i soldi sul conto sono una realtà oggettiva che prima dei cellulari non era svaligiabile. Dopo l'avvento della PSD2 si è detto che con i sistemi di sicurezza imposti i soldi potevano essere tenuti tranquillamente sul cellulare. Ecco, se leggi i precedenti post che ho scritto allora capirai che per me questo non è vero.

La soluzione? non è certo quello di rassicurarsi di essere un bersaglio poco probabile perché prima di noi vengono molti altri utonti che cliccano dovunque e danno le credenziali a cani e porci tanto che basta chiederglielo tramite una email o un SMS contraffatto.

Io voglio una soluzione tangibile non una soluzione filosofica come quella che ho esposto. Partendo dal presupposto che un Computer sicuro è un computer spento e con la spina staccata tutto il resto viene da se. La soluzione è il 2FA che vuol dire che ci sono due dispositivi fisici uno dei quali craccabile solo fisicamente e un altro esposto on line ma tenuto aggiornato settimana dopo settimana con bassa probabilità di venire attaccato, quindi non always on e con un S.O. non facente parte della massa per avere l'effetto gregge dalla propria parte.

Se mi craccano il PC ho il secondo fattore di autenticazione e sono ok. Il secondo fattore non può essere una SIM la quale è duplicabile con un documento falso. Deve essere qualche cosa in mio esclusivo possesso e che per averne un sostituto sia una procedura lenta e plurisegnalata. Meglio ancora l'autenticazione a tre fattori: Token fisico, SMS su cellulare e PC con le credenziali della banca.

[Darkon]

Quote:

Originariamente inviato da Svelgen

Io ne faccio una questione logica più che di hater e fanboy: un telefono che non viene aggiornato, presenta un lato debole che è facilmente sfruttabile.

È molto, molto relativo questo ragionamento anche perché la stragrande maggioranza delle patch di sicurezza dei telefoni riguarda eventuali danni al telefono stesso e solo in piccolissima parte falle sfruttabili per ottenere accesso all'homebanking comunque come ho già scritto è ovvio che è meglio avere un telefono aggiornato che no.

Quote:

Io tra conti deposito e conti corrente non dico che sono milionario ma non sono manco con le pezze al culo.

Non te lo vorrei dire ma corri più rischi a scrivere in chiaro e su un forum pubblico una frase del genere che non a essere indietro nelle patch di sicurezza. Una frase del genere ha già fatto trapelare 2 informazioni chiave: il tuo nickname, il fatto che hai soldi sul c/c e in misura considerevole e le tue propensioni.
Hai già corso un rischio senza rendertene conto. Sarai preso di mira? La probabilità è bassa ma è comunque più elevata di uno che semplicemente non ha aggiornato il telefono.

Quote:

E voglio essere ragionevolmente sicuro che i miei dati, sono davvero in una sorta di cassaforte dove le chiavi le ho io, e le ha chi deve occuparsi di tenermi aggiornato il telefono.

Ripeto... anche se avessi sempre l'ultimissimo modello e l'ultimissima patch di sicurezza tutto quello che è nel telefono NON è mai al 100% sicuro. NON ESISTE sistema online che sia inviolabile.

[Darkon]

Quote:

Originariamente inviato da Sandro kensan

Discorsi ragionevoli quelli che fai. Non rispondo punto si punto ma il discorso sulla sicurezza personale può avere un senso ma coinvolge molti altre aspetti tra cui quello relazionale. Comunque i soldi sul conto sono una realtà oggettiva che prima dei cellulari non era svaligiabile. Dopo l'avvento della PSD2 si è detto che con i sistemi di sicurezza imposti i soldi potevano essere tenuti tranquillamente sul cellulare. Ecco, se leggi i precedenti post che ho scritto allora capirai che per me questo non è vero.

Non è proprio del tutto giusto... perdonami ma penso sia interessante prendere spunto e raccontare qualche cosa della materia.

Un tempo c'era la così detta sostituzione di persona: in pratica tu avevi il conto alla banca X filiale di Milano. Il malintenzionato andava a ridosso dell'orario di chiusura o con l'aiuto di un complice alla stessa banca ma filiale di Roma. A quel punto mostrava un documento falso ma con tutti i tuoi dati e dicendo che era in vacanza chiedeva di prelevare. Spesso a ridosso dell'orario di chiusura fare i controlli era difficile, il documento era credibile, i dati corrispondevano tutti e ti facevano prelevare.
Una variante è quella del falso circolare che hanno trattato anche a striscia la notizia che è un po' più complessa perché c'è la necessità di un complice in grado di intercettare la chiamata per il bene emissione ma anche questa non era così rara.
In generale le truffe ci sono sempre state anzi prima del digitale erano anche più brutali perché in alcuni casi ti mandavano sconfinato e quindi non solo avevi perso i soldi che avevi ma anche quelli che non avevi.

Quote:

La soluzione? non è certo quello di rassicurarsi di essere un bersaglio poco probabile perché prima di noi vengono molti altri utonti che cliccano dovunque e danno le credenziali a cani e porci tanto che basta chiederglielo tramite una email o un SMS contraffatto.

I più giovani sono passati all'autenticazione biometrica tramite notifica in app che è una bella misura di sicurezza.

Quote:

Io voglio una soluzione tangibile non una soluzione filosofica come quella che ho esposto. Partendo dal presupposto che un Computer sicuro è un computer spento e con la spina staccata tutto il resto viene da se. La soluzione è il 2FA che vuol dire che ci sono due dispositivi fisici uno dei quali craccabile solo fisicamente e un altro esposto on line ma tenuto aggiornato settimana dopo settimana con bassa probabilità di venire attaccato, quindi non always on e con un S.O. non facente parte della massa per avere l'effetto gregge dalla propria parte.

La cosa migliore ad oggi disponibile come ho detto sopra è la notifica in app con autenticazione biometrica. Più login tramite password complessa da cambiare ogni tot giorni ma già qua la gente mette password assurde e talmente facili che spesso le indovini entro 10 tentativi quindi è tutto dire.

Quote:

Se mi craccano il PC ho il secondo fattore di autenticazione e sono ok. Il secondo fattore non può essere una SIM la quale è duplicabile con un documento falso. Deve essere qualche cosa in mio esclusivo possesso e che per averne un sostituto sia una procedura lenta e plurisegnalata. Meglio ancora l'autenticazione a tre fattori: Token fisico, SMS su cellulare e PC con le credenziali della banca.

2FA condivido, 3FA avresti gran parte della gente che rinuncia all'home banking. Già oggi convincerli a usare 2FA è complicato figurati usarne 3 di cui uno fisico. Convinceresti solo pochissimi e quei pochissimi sarebbero quelli particolarmente attenti e quindi quelli a cui probabilmente meno serve.

[gd350turbo]

Quote:

Originariamente inviato da Darkon

E ha ragione... sostanzialmente è la verità. Basti pensare che la gente continua ad abboccare alla mail del principe africano che vuole portare in Italia 50 milioni ma che purtroppo non li sbloccano se non paga X€ e ha scelto te: bifolco qualsiasi senza alcuna competenza per pagare questa tassa e poi regalarti X milioni.
Io ad oggi non mi spiego come la gente ci possa credere che fa ridere anche solo a scriverlo qua eppure ci cascano. Ci cascano al punto di non fargli un solo pagamento ma di insistere più e più volte.

Poi c'è la variante del prestito... ti prestano X€ a tassi stracciati ma diamine prima devi mandargli dei soldi te perché sai... la pratica va istruita.
Gente che fa debiti perché crede di ottenere poi prestiti fuori dal mondo. O peggio a sua volta truffa qualche conoscente convinta poi di potergli restituire tutto.

Per questo continuo a dire che è inutile stare a farsi le segate sugli aggiornamenti quando la più pericolosa vulnerabilità è l'essere umano. Per fare una metafora è come dire che mentre ci va a fuoco casa ci preoccupiamo di più del surriscaldamento globale.

E qui non potrei essere più d'accordo con te...

Quote:

Originariamente inviato da Darkon

Spezzo una lancia in suo favore... i casi esistono, per ovvi motivi non te ne posso fornire le prove legalmente ma esistono. Fermo restando che spesso sono comunque frutto di abitudini sbagliate.
Ad esempio vantarsi in giro o peggio sul web di avere molti soldi e di essere uno ganzo che controlla tutto dallo smartphone. Successo davvero.

Ah bè questo allora è un tizio che se li è voluti far fregare...
Anche qui in paese, si parla di un tizio che vendette la casa della mamma e andava al bar mostrando quanto aveva guadagnato, poi si è fatto avanti il classico finto broker finanziario e ciaone !
Io intendo, prendo un telefono, che ne so con android 5 o 6, ci metto sopra solo l'app della banca/posta, e le classiche app, non ne scarico ne installo, e non rispondoi agli sms, possibilità che mi venga hackerato il telefono ?
Forse meno di quelle di prendere il superenalotto.

Quote:

Originariamente inviato da Darkon

Una persona "normale", anche con un telefono non aggiornato e per non aggiornato intendo di 10 anni fa, se presta un MINIMO di attenzione non corre nessun rischio per il semplice fatto che come ho detto anche in altri post perché dovrebbero perdere tempo con un hacking che richiede conoscenze, competenze e tempo quando possono colpire nella massa e ottenere 10 volte tanto senza nemmeno aver bisogno di particolari competenze tecniche?

Appunto come detto sopra !

io sugli strumenti finanziari sul cellulare ci tengo solo pochi soldi, il minimo.

[Sandro kensan]

Quote:

Originariamente inviato da gd350turbo

io sugli strumenti finanziari sul cellulare ci tengo solo pochi soldi, il minimo.

Ecco questa è pure la mia idea. Io sul cellulare ci tengo solo i soldi per fare un po' di spese correnti. Secondo me è naïve tenere il conto corrente nel cellulare: ti può andare bene ma c'è una bassa probabilità che ti vada male. In quel caso ha perso tutto e ti rimane solo da fare causa alla banca (se hai i soldi per la causa). Quindi a che pro? per fare un bonifico quando sei in auto a guidare? Perché non hai un PC? perché devi pagare i bollettini quando sei al ristorante con il C/C?

Sinceramente non c'è un motivo serio o che valga la candela. La gente tiene il C/C sul cellulare perché gli hanno detto che è sicuro e ci credono e quindi lo fanno. In realtà il prodotto tra i soldi che hanno nel conto e il rischio non è trascurabile.

[gd350turbo]

Quote:

Originariamente inviato da Darkon

Non te lo vorrei dire ma corri più rischi a scrivere in chiaro e su un forum pubblico una frase del genere che non a essere indietro nelle patch di sicurezza. Una frase del genere ha già fatto trapelare 2 informazioni chiave: il tuo nickname, il fatto che hai soldi sul c/c e in misura considerevole e le tue propensioni.
Hai già corso un rischio senza rendertene conto. Sarai preso di mira? La probabilità è bassa ma è comunque più elevata di uno che semplicemente non ha aggiornato il telefono.

Assolutamente vero !
Vai a dire in giro che hai quella certa macchina, quella certa bici, quel certo pc ecc.ecc..
Poi con la mania che c'è ora di postare ogni momento della propria vita sui social, chi ti vuole prendere di mira ha tutti gli strumenti per farlo, non gli serve a nulla che il telefono non sia aggiornato.

[gd350turbo]

Quote:

Originariamente inviato da Sandro kensan

Sinceramente non c'è un motivo serio o che valga la candela. La gente tiene il C/C sul cellulare perché gli hanno detto che è sicuro e ci credono e quindi lo fanno. In realtà il prodotto tra i soldi che hanno nel conto e il rischio non è trascurabile.

Più che altro, la gente non si rende conto che è uno strumento delicato, che va trattato in un certo modo

[Qarboz]

Quote:

Originariamente inviato da Darkon

La cosa migliore ad oggi disponibile come ho detto sopra è la notifica in app con autenticazione biometrica. Più login tramite password complessa da cambiare ogni tot giorni ma già qua la gente mette password assurde e talmente facili che spesso le indovini entro 10 tentativi quindi è tutto dire.

Mi potresti spiegare perché è più sicura un'app che il token fisico con tastiera per PIN? Chiedo da ignorante, non per polemica.

[Sandro kensan]

Quote:

Originariamente inviato da Qarboz

Mi potresti spiegare perché è più sicura un'app che il token fisico con tastiera per PIN? Chiedo da ignorante, non per polemica.

L'app non è più sicura. Al massimo può essere relativamente più sicura, dipende da quanti soldi sei disposto a perdere in cambio di avere il conto corrente sul cellulare. Sarà improbabile come dice Darkon.