La truffa corre sul conto online, ecco come

[ricmadoc]

Usando la notifica via sms, mi arriva un messaggio immediatamente dopo aver effettuato il bonifico, con importo e destinatario.
Così dovrebbe essere sicuro, no?

Cioè, l'operazione non è sicura in sé, però io sono sicuro di venire immediatamente a conoscenza di eventuali frodi.

Ma non c'è un modo per scoprire se il proprio browser è infetto?

[brudicchio]

Quote:

Originariamente inviato da ricmadoc

Usando la notifica via sms, mi arriva un messaggio immediatamente dopo aver effettuato il bonifico, con importo e destinatario.
Così dovrebbe essere sicuro, no?

Cioè, l'operazione non è sicura in sé, però io sono sicuro di venire immediatamente a conoscenza di eventuali frodi.

Ma non c'è un modo per scoprire se il proprio browser è infetto?

Non dopo aver effettuato il bonifico ma prima di confermarlo, se vedi dall'sms che i dati inseriti non corrispondono puoi cliccare su annulla oppure non fare niente perche in 2-3 minuti l'operazione in attesa si annulla automaticamente.
Penso che se uno vuole potrebbe confermare anche rispondendo all'sms con "confermo" oppure "annullo"

Ora mi sorge un'altro dubbio... i malviventi potrebbero in qualche modo cracckare Nokia Pc Suite o altri software per intercettare sul momento l'sms ricevuto almeno a quelli che usano il cellulare come modem connesso al pc in bluetooth o cavo....

[leddlazarus]

Quote:

Originariamente inviato da brudicchio

O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO

si ma su postepay se si furbo, lasci solo un tot. la max si flippano quel tot.

un c/c è diverso... potrebbero esserci molti dindin

[leddlazarus]

Quote:

Originariamente inviato da brudicchio

Ora mi sorge un'altro dubbio... i malviventi potrebbero in qualche modo cracckare Nokia Pc Suite o altri software per intercettare sul momento l'sms ricevuto almeno a quelli che usano il cellulare come modem connesso al pc in bluetooth o cavo....

un po' + difficile, penso, anche perchè dovrebbero saper il tuo cell collegato al conto.

e chi sono....

e poi gli conviene?

[brudicchio]

A questo punto anche se avete dato alla banca il numero di cellulare della internet key per ricevere gli sms non è sicuro .... dunque l'sms deve arrivare su un numero che non verra mai usato con il computer allo stesso momento dell'online banking....

Un'altro dubbio... potrebbero craccare Pc Nokia Suite e simili per clonare la sim card (possibile due sim cloni funzionanti allo stesso momento?) oppure accedere al proprio account nel sito degli operatori mobili.
Come possono automatizzare la gestione di tante sim? creando ed emulando con software un ricetrasmettitore gprs con tutte le sim accese allo stesso momento, e se il malware al momento della modifica dei dati nel campo beneficiario ci inserisce un numero identificativo da poterlo riconoscere quando andrà ad analizzare gli sms saprà qual'è l'OTP corrispondente all'operazione.... FANTASCIENZA? mmm potrebbe essere fattibile... allora come difendersi?

IL NUMERO DEL CELLULARE dato alla banca non deve essere mai usato con il computer in nessun modo ammeno che non si è sicuri di avere il pc pulito e ben protetto.

[leddlazarus]

Quote:

Originariamente inviato da brudicchio

IL NUMERO DEL CELLULARE dato alla banca non deve essere mai usato con il computer in nessun modo ammeno che non si è sicuri di avere il pc pulito e ben protetto.

cosa intendi?

chiavette internet o quant'altro?

altrimenti non capisco....

[brudicchio]

Quote:

Originariamente inviato da leddlazarus

cosa intendi?

chiavette internet o quant'altro?

altrimenti non capisco....

si, perchè uno per comodità potrebbe fare lo sbaglio di dare alla banca il nr. della sim presente nella chiavetta internet....e il software che gestisce la chiavetta gestisce anche gli sms...... opsssss CAVOLO! ai malviventi non sarebbe necessario neanche clonare le sim.... come ho detto prima gli basta inserire un codice dopo il beneficiario in modo che poi quando arriva l'sms dalla banca sulla chiavetta internet o sul cellulare collegato via cavo o bluetooth al computer con PC Suite e simili lo stesso malware intercetterà l'sms riconoscendo il codice inserito nel campo del beneficiario e di conseguenza saprà il codice OTP.

Questione di attimi e i malviventi ricevono comunque i soldi....

Ripeto:
IL NUMERO dato alla banca per mandarvi l'sms non deve essere mai usato con il computer in nessun modo ammeno che non si è sicuri di avere il pc pulito e ben protetto.
Io ho il miglior pacchetto di Sicurezza G-Data Internet Security 2011 acquistato online a 69 € per 5PC e per 2 anni di licenza... super conveniente... è il migliore perchè ha due motori di scansione (Kaspersky+Avast) è pesante ma il mio pc lo sopporta bene e AVComparatives lo dà come migliore:
http://www.av-comparatives.org/image...ro_nov2010.pdf

Comunque Microsoft dovrebbe mettere a disposizione degli utenti mensilmente in formato ISO scaricabile un CD-DVD di avvio (BootCD) per l'utenza inesperta con un programma automatizzato che controlla e rigenera l'MBR+EMBR, svuota la System Volume Information, controlla l'integrità del registro di windows ed anche l'originalita dei file principali di sistema e browser (nel caso li rimpiazza con quelli contenuti nel CD-DVD) e già che ci è ci inserisce anche gli ultimi aggiornamenti, ah se ci mette anche il suo Security Essential sarebbe ancora meglio.
L'ultente accenderà il pc facendolo avviare da CD-DVD e farà tutto da solo.

[leddlazarus]

pero' scusate.

mi sembra che il bonifico non sia proprio immediato e che entro un lasso di tempo possa essere bloccato comunque.
infatti il beneficiario di solito non riceve subito i soldi ma solo dopo qualche gg.

o sbaglio?

[brudicchio]

Un'altra cosa importante! è bene che le case produttrici di schede madri reinseriscano nel BIOS le due vecchie amate opzioni Attiva/Disattiva per aggiornare il BIOS ed eventuali modifiche all'MBR+EMBR (Partizioni) e già che ci sono anche il nuovo Attiva/Disattiva aggiornamenti FIRMWARE di tutte le periferiche.... tutto questo per evitare i temuti rootkit anche a livello hardware.

[ricmadoc]

Quote:

Originariamente inviato da brudicchio

Non dopo aver effettuato il bonifico ma prima di confermarlo, se vedi dall'sms che i dati inseriti non corrispondono puoi cliccare su annulla oppure non fare niente perche in 2-3 minuti l'operazione in attesa si annulla automaticamente.
Penso che se uno vuole potrebbe confermare anche rispondendo all'sms con "confermo" oppure "annullo"

Ora mi sorge un'altro dubbio... i malviventi potrebbero in qualche modo cracckare Nokia Pc Suite o altri software per intercettare sul momento l'sms ricevuto almeno a quelli che usano il cellulare come modem connesso al pc in bluetooth o cavo....

Nel mio caso l'sms è solo una notifica, non serve per confermare o annullare, ma solo per informarmi che il bonifico è stato fatto. E mi arriva su un numero di cellulare che non viene mai utilizzato per connettersi a internet.

Per il login e le operazioni bancarie ho una di quelle chiavette che generano una password numerica ogni 4 o 5 secondi. Che però da quanto si evince dall'articolo non è più garanzia di sicurezza a questo punto.

[SuperSandro]

Da circa tre anni - cioè da quando uso un sistema on-line - ho sempre memorizzato gli IBAN ogni volta che facevo un bonifico. In tre anni ho memorizzato non più di una dozzina di IBAN perché i miei "interlocutori" sono più o meno sempre gli stessi.

Ovvio che io (utente privato) non faccio testo, però se l'utente dovesse consegnare "di persona", presso la propria banca, un elenco di IBAN autorizzati (escludendo quindi di accettare qualunque altro IBAN) una parte delle truffe non sarebbe possibile. Anche per i MAV (i cui codici cambiano costantemente) si potrebbe studiare un sistema simile.

Ripeto: il suggerimento può riguardare una ristrettissima cerchia di utenti (sarebbe impensabile applicarlo ad aziende che hanno un elenco di clienti/fornitori e quindi IBAN costantemente mutevole), però almeno una parte dei clienti sarebbe più protetto.

In alternativa, sarei felicissimo se - come suggerito in varie parti dell'articolo - ricevessi un SMS con la descrizione sommaria del bonifico e, soprattutto, con un codice da inserire nella schermata per confermare il versamento.

[:: Marco ::]

Quote:

Originariamente inviato da Franz83

Pessima scelta affidarsi a un qualsiasi algoritmo elettronico, a maggior ragione se segreto, per generare una password.

Ti consiglio DICEWARE.

grazie per il consiglio. puoi motivare la tua risposta? grazie mille
ciao

Marco

[fjodor39]

Un momento.

Mai sentito parlare di Linux?
Usando un CD Linux live oppure una chiavetta USB con il sistema operativo precaricato ( Mandriva,Ubuntu, Fedora, etc), all'avvio del sistema, linux va tutto in ram volatile, per cui non esiste pericolo di essere stati infettati da alcunchè.

Con il sistema "live" si potrà operare tranquillamente senza troppe complicazioni.

Vedo nei forum che negli USA molti usano questo sistema per i pagamento on line.

[Franz83]

Quote:

Originariamente inviato da :: Marco ::

grazie per il consiglio. puoi motivare la tua risposta? grazie mille
ciao

Marco

Con piacere: in generale qualsiasi algoritmo "casuale" che viene utilizzato dai pc, si basa sulla ripetizione di una serie di numeri pseudo-casuali, per farla semplice immagina un sistema che restituisce: 34, 95, 42, 11, 76 dopodiché ricomincia da 34 e così via.
I numeri all'interno dell'intervallo sono presi in modo casuale, ad esempio tra 0 e 100, ma vengono ripetuti, periodicamente (il periodo può essere anche molto lungo comunque).
La vera "casualità" dipende da dove inizi a prendere i numeri all'interno dell'intervallo, e la sicurezza è influenzata anche dal periodo con cui si ripetono. Immagina che io e te usiamo l'algoritmo pseudo-casuale senza definire un "inizio", tutti i numeri generati saranno identici sia per me che per te, che per chiunque altro lo usi, e di conseguenza le password o chiavi o qualsiasi altra cosa generata a partire dal numero casuale!

Per questo motivo spesso viene richiesto un "seed" casuale per "iniziare" l'algoritmo da un punto casuale del periodo. Questo seed può essere generato ad esempio a partire dai movimenti del mouse sullo schermo, dal clock della cpu, da un'area di memoria, ecc.

Anche i seed però possono essere ovviamente "indovinati" o quantomeno si può restringere il campo, quindi è molto difficile con un pc generare un numero casuale abbastanza "buono", pur seguendo lo stato dell'arte della crittografia, immagina se non lo si segue nemmeno, fatto tutt'altro che infrequente...

Un numero veramente casuale è invece ad esempio quello generato dal lancio di un dado o più dadi (a patto che siano equilibrati...). Per generare una password è un'ottima fonte di casualità, sicura e alla portata di tutti.

Così come nella crittografia la sicurezza della cifratura deve essere riposta nella chiave e non nell'algoritmo usato per cifrare, anche per la generazione di una password casuale la "casualità" deve essere garantita dal "modo" in cui scegliamo il numero casuale alla base piuttosto che nel modo con cui dal numero arriviamo alla password alfanumerica.

Spero di essermi spiegato, ciao ciao!

[NeurORx]

IMHO il sistema bancoposta dovrebbe evitare questi problemi grazie al lettore che si utilizza.

Ogni transazione online richiede l'inserimento della carta nel lettore, digitare sul lettore il codice dell'operazione che viene fornita sul sito, poi digitare il pin della carta e inseritre sul sito il codice che appare sul lettore.
Certo, è scomodo dover avere il lettore con se.

[Tsehfu]

Secondo voi avere una VM, con un sistema Linux o Windows, dedicata esclusivamente per collegarsi al conto on line, che grado di sicurezza può avere?
Il mio dubbio è: la VM, per collegarsi ad internet, si appoggia al sistema operativo installato sul pc e se questo è infetto...

[SuperSandro]

Quote:

Originariamente inviato da Tsehfu

Secondo voi avere una VM, con un sistema Linux o Windows, dedicata esclusivamente per collegarsi al conto on line, che grado di sicurezza può avere? Il mio dubbio è: la VM, per collegarsi ad internet, si appoggia al sistema operativo installato sul pc e se questo è infetto...

Infatti! Qualunque sistema che si basi su un'unica connessione è destinato ad essere aggirato con relativa facilità.

Un modo più affidabile consiste nel servirsi di due canali distinti e separati.

Esempio: quando si apre un conto corrente si comunica (di persona e non via web) un numero di cellulare "segreto" (che ovviamente non comparirà in nessuna trasazione via web, ma potrà essere eventualmente modificato solo recandosi di persona presso una filiale della banca). Dovendo effettuare un bonifico via web, non solo si preme il pulsante del tipo "Inoltra", ma si invia - via SMS (e da QUEL numero di cellulare) sia l'IBAN che l'importo. Quindi si attende, sempre su quel cellulare, un SMS di risposta contenente la richiesta di conferma (per quel IBAN / Importo) e un codice numerico (che può anche essere un banale numero di quattro cifre). L'utente - che ovviamente è ancora connesso via web durante l'operazione - dovrà digitarlo nell'apposito campo prima di premere un pulsante del tipo "Concludi l'operazione".

Ovvio che sarebbe necessaria una procedura un po' più macchinosa e una serie di costi (SMS) da sostenere, ma io sarei più che felicie di spendere qualche minuto in più e un euro a transazione per avere un sicurezza in più.

E voi?

PS: e non ditemi che digitare l'IBAN in un SMS è scomodo e impraticabile. Ormai quasi tutti i cellulari permettono di fare un copia e incolla da un qualunque documento memorizzato su un PC.

[SpyroTSK]

La soluzione è molto + stupida di quello che pensiate:

1) non dare la mail alle proprie banche, vi arrivano mail dalle poste/BCC/ecc? semplice, è pishing, non gli avete dato la vostra mail

2) Paypal spedisce le mail con NOME E COGNOME, basta leggere...se c'è scritto: Gentile NOME COGNOME, significa che è originale, non vi fidate?...prima di fare cagate guardate l'url dei link dove putano.

3) SpamAssasins e Thunderbird sono vostri amici

4) Eliminare Cookies, Cronologia, Cache e password dal browser (preferibilmente usare la sessione "ospite" oppure "navigazione anonima" che ormai sono in tutti i browser, compreso IE)

5) Evitare i banner "SEI IL MILIONESIMO PIRLA CHE HA VINTO 100000000000€" ecc.

Mi sembra fin troppo semplice...o no?.

[SuperSandro]

Quote:

Originariamente inviato da SpyroTSK

La soluzione è molto + stupida di quello che pensiate: (eccetera) Mi sembra fin troppo semplice...o no?.

E' molto semplice per chi - come noi - seguiamo Forum specifici e ci teniamo aggiornati sulla tecnologia.

Il problema è circoscritto - si fa per dire - alle decine di migliaia di persone che usano il web con eccessiva disinvoltura.

Del resto, perfino nei forum di HWUpgrade è possibile leggere post del tipo "Non ho mai usato un antivirus e non mi è mai successo nulla".

L'unico modo per limitare danni (a persone che, in fin dei conti, se li merirebbero) è quello di "costringere" gli utenti a usare procedure relativamente complesse, che contribuiscono a proteggerli da truffe e raggiri.

In ogni caso, ci sarà sempre un percentuale di persone ingenue che farà entrare falsi ispettorri dell'ENEL per la lettura del contatore, non sapendo che ormai la lettura è informatizzata.

[steve73]

Ma scusate, forse non ho capito io. Ma ricordiamoci che il codice OPT quando viene usato non è possibile riutilizzarlo (anche se la seconda richiesta parte un millisecondo dopo) quindi se parte un mio bonifico con un codice da chiavetta poi il secondo bonifico lanciato dal malware non può essere eseguito con lo stesso codice OPT anche se parte un millisecondo dopo e nella stessa sessione......