La truffa corre sul conto online, ecco come

La truffa corre sul conto online, ecco come

L'esplosione del commercio elettronico porta ancor più alla ribalta il tema della sicurezza informatica, soprattutto nel contesto delle transazioni elettroniche. Partendo da un caso specifico proviamo a spiegare un aspetto spesso trascurato nella sicurezza informatica: il fattore umano

di pubblicato il nel canale Software
 
61 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
leddlazarus23 Dicembre 2010, 11:56 #11
detto cosi' mi sembra un po' troppo facile.

e anche troppo facile introdursi all'interno dei browser degli utenti.

allora il protocollo https a cosa serve? a una cippa?

non è che i programmatori MS o mozilla per arrotondare .....
leddlazarus23 Dicembre 2010, 12:00 #12
Originariamente inviato da: leddlazarus
detto cosi' mi sembra un po' troppo facile.

e anche troppo facile introdursi all'interno dei browser degli utenti.

allora il protocollo https a cosa serve? a una cippa?

non è che i programmatori MS o mozilla per arrotondare .....


mi rispondo da solo.

https scongiura attacchi man-in-the-middle.

qui si parla di altro.

cmq io uso la notifica SMS del bonifico e li c'è scritto anche importo e beneficiario.
a questo punto uno si accorge che l'importo e il beneficiario sono diversi da quelli digitati.
furbo23 Dicembre 2010, 12:23 #13
Originariamente inviato da: fdg1
Qui ti sbagli: quando ti compare la finestra dove immettere la OTP, con il riepilogo della transizione richiesta, i dati visualizzati sullo schermo del cliente SONO GIA' STATI MODIFICATI DAL SOFTWARE, che non fa altro, per esempio, mi mettersi in mezzo tra i componenti comunicazione e i componenti rendering del browser stesso, cambiando i caratteri che il browser visualizzerà. Quindi, la banca ti risponde "5.000 € a Pinko Pallino" per la conferma, i dati arrivano al browser, il malware intercetta (per lui i dati sono in chiaro, in quanto agisce DENTRO il canale cifrato), cambia i dati in quelli originariamente immessi dall'utente "5,00 € a Marco", ed invia i dati al renderer del browser, che visualizza queste ultime info. Il cliente, quindi, verifica i dati immessi, immette la OTP e conferma. Rientra quindi in gioco il malware che riconverte i dati in spedizione alla banca, ovviamente mantenendo intatta la OTP... e per la banca l'operazione è lecita. Il problema è che, tecnicamente, i dati vengono modificati all'esterno del canale cifrato, quando sono in fase di visualizzazione (e quindi in chiaro).


Non è cattiveria, ma sei tu che sbagli , in quanto io ho scritto, come del resto già spiegato nella news, che l'importo viene riportato DENTRO il messaggio sms contenente la OTP, e quindi sarà questo che, eventualmente, differisce da quanto visualizzato da browser infettato...

Se la banca recepisce 5000 dal malware, sms conterrà 5000, se predisposto a riepilogare i dettagli della transazione, ovviamente!
fdg123 Dicembre 2010, 12:42 #14
Originariamente inviato da: furbo
Non è cattiveria, ma sei tu che sbagli , in quanto io ho scritto, come del resto già spiegato nella news, che l'importo viene riportato DENTRO il messaggio sms contenente la OTP, e quindi sarà questo che, eventualmente, differisce da quanto visualizzato da browser infettato...

Se la banca recepisce 5000 dal malware, sms conterrà 5000, se predisposto a riepilogare i dettagli della transazione, ovviamente!

Niente cattiveria, ho capito solo adesso cosa intendevi : ti riferivi al caso in cui la banca fornisca la OTP su richiesta dell'operazione (personalizzando quindi il messaggio che la contiene con i dettagli dell'operazione), io invece facevo riferimento alla soluzione con OTP fornita tramite dispositivo token (RSA o schedina contenente le OTP), soluzione molto diffusa (basti pensare che il gruppo bancario più grande d'Europa usa questo approccio) meno costosa per la banca e, quindi, per l'utente. Nel caso che tu riporti, ovviamente, il problema non si pone, in quanto si sta utilizzando un canale di verifica parallelo su media differente
:: Marco ::23 Dicembre 2010, 13:14 #15
Originariamente inviato da: paul_91
ottimo articolo. molto utile anche perchè sto portando alla maturità questi argomenti. per altro sono un fan di kevin, letti 2 suoi libri questo mese sull'ingegneria sociale.

Ha veramente ragione quando dice che l'anello più debole della sicurezza informatica è proprio l'uomo. Molto piu facile "chiedere" una password che "rubarla". dai, magari a gente esperta non funzionano metodi phishing ma scometto che tutti i vostri parenti-conoscenti non sanno neanche che cos'è.

mi è piaciuto anche il libro Password Perfetta! l'ho letto ieri ve lo consiglio. Come creare una password sicura e come scoprirle.
insomma dai, gente esperta con le sole informazioni del profilo facebook vi ruba la password in meno di mezzora.

io per generare le password uso questo sito http://www.pctools.com/guides/password/

il problema poi è ricordarsele
TheThane23 Dicembre 2010, 13:14 #16
Io non ho il sistema OTP ma mi arriva un codice via sms con il riepilogo e codice per confermare la trasazione online, e per modificare il numero di cellulare abilitato arriva un sms con il codice sul vecchio cellulare .. insomma non possono fare una cippa solo bucare la banca!
Se proprio vogliamo dirla tutta, no non siamo sicuri. Qui il discorso però è che l'hacker deve conoscere esattamente la tua banca e il tuo sistema operativo e avere creato un programma che faccia il tutto, insomma un po' da 007! Tanto per dire è stata risolta pochissimo tempo fa una falla 0day di IE che risaliva ancora a win98 che permetteva di prendere il controllo totale del sistema ... quindi ....
brudicchio23 Dicembre 2010, 13:20 #17
Infatti un browser su una chiavetta non la ritengo sicura ma il fatto che ogni OTP arrivato via sms (con importo e beneficiario) è abbinato esclusivamente ai dati inseriti o alterati e non quelli confermati è li che diventa determinante l'accettazione o l'annullamento dell'operazione.
In questo modo i malviventi non hanno futuro.
Franz8323 Dicembre 2010, 13:26 #18
Originariamente inviato da: :: Marco ::
io per generare le password uso questo sito http://www.pctools.com/guides/password/

il problema poi è ricordarsele



Pessima scelta affidarsi a un qualsiasi algoritmo elettronico, a maggior ragione se segreto, per generare una password.

Ti consiglio DICEWARE.


Per quanto riguarda la sicurezza rispetto a questo tipo di attacco, senza usare un mezzo di comunicazione alternativo, si potrebbe firmare la transazione (es. bonifico).
Dovrei pensarci un po' su per capire se ci posso essere "workaround", ma sicuramente si introduce complessità lato utente.
brudicchio23 Dicembre 2010, 13:28 #19
O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO
ricmadoc23 Dicembre 2010, 13:51 #20
Usando la notifica via sms, mi arriva un messaggio immediatamente dopo aver effettuato il bonifico, con importo e destinatario.
Così dovrebbe essere sicuro, no?

Cioè, l'operazione non è sicura in sé, però io sono sicuro di venire immediatamente a conoscenza di eventuali frodi.

Ma non c'è un modo per scoprire se il proprio browser è infetto?
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^