Per depositare denaro nel tuo account, alcuni siti web richiedono di fornire loro molti dettagli sul tuo conto bancario: nome , indirizzo completo e IBAN che include il tuo numero di conto e identifica la banca esatta.
Un cracker esperto può utilizzare queste informazioni per rubare denaro da un account? Quanto è sicuro fornire questi dettagli?
È probabile che questa domanda sia specifica per paese. Negli Stati Uniti, un numero di conto non è generalmente sufficiente per rubare denaro dall'account di qualcuno. È una fortuna, perché ogni volta che si scrive un assegno o si effettua un pagamento bancario a qualcuno, ricevono il numero del proprio account.
Tuttavia, l'apprendimento del numero di conto bancario è sufficiente per imparare il saldo del proprio account. C'è un attacco che non è molto conosciuto:
Ciò consente a un utente malintenzionato che conosce il tuo numero di conto di apprendere il saldo del tuo conto bancario, utilizzando la ricerca binaria. Questa è una violazione della riservatezza che non è ampiamente nota.
Se questo ti infastidisce, potresti essere in grado di proteggere il tuo account contro questo chiamando la tua banca e chiedendo loro di mettere un avviso di frode sul tuo account. Almeno per la mia banca, quando la banca esegue questa operazione, disabilita il servizio di verifica degli assegni commerciali per il tuo conto bancario.
IBAN è usato per identificare un destinatario.
The check digits enable the sending bank (or its customer) to verify the validity of a routing destination and account number from a single string of data at the time of data entry.
Per poter inviare denaro dal tuo account a un altro account, qualcuno deve impersonare la tua identità. Dubito che la tua banca lascerebbe che qualcuno dichiari di essere te stesso e che dia un IBAN e un indirizzo, faccia trasferimento di denaro. Se lo fanno, cambia la tua banca.
È possibile trasferire denaro da un account conoscendo solo il numero di conto, il codice di classificazione e l'indirizzo.
C'era un caso ragionevolmente di alto profilo in cui Jeremy Clarkson, non credendo che fosse così, pubblicò i suoi dati bancari su un giornale. I dettagli sono stati poi utilizzati per inviare denaro a un'organizzazione benefica.
Quanto segue si basa principalmente su US Banking, ma la maggior parte dei paesi ha pratiche di gestione del rischio simili se seguono le Pratiche di Basilea .
Per eseguire un ACH è necessario un numero di routing e un numero di conto.
Tuttavia, per il passaggio di un ACH è necessario che passi i controlli e le schermate interne. La banca è tenuta a monitorare la presenza di eventuali frodi e, nel caso in cui si effettuino transazioni irregolari per il proprio account, è necessario che vengano rilevate. Negli Stati Uniti, si spera che rispettino le raccomandazioni del regolatore federale per implementare i controlli a più livelli FIL-50-2011 , ad es., c'è una porta di sicurezza da attraversare per trasferire denaro (es. un token fuori banda, come un SMS one time). Inoltre, negli Stati Uniti, stai proteggendo contro le frodi di trasferimento di fondi elettronici tramite Regolamento E . La regola E ti consente di presentare un reclamo contro la frode. Spesso la banca può invertire la transazione fraudolenta.
Potresti voler leggere questo documento di Microsoft Research: Tutto ciò che sappiamo sul furto di password è sbagliato? (PDF) Gli indirizzi sono il rischio per gli individui di compromissione del conto bancario.
Normalmente, una banca richiederà una prova di identificazione, come una firma o una password online, prima di consentire a qualcuno di prelevare o trasferire denaro da un account. Inoltre, una banca può chiamare o inviare un'e-mail al titolare del conto prima di effettuare il bonifico o il prelievo, soprattutto se si tratta di un'attività insolita per l'account.
Leggi altre domande sui tag authentication legal access-control