Le banche hanno sollecitato l'uso delle carte di debito per anni, ma le politiche relative al rimborso dopo una transazione fraudolenta sono ampiamente variabili. Una cosa è avere una transazione fraudolenta che si trova su un estratto conto della carta di credito, ma un'altra è quella di non avere denaro contante dal conto corrente e non essere in grado di pagare l'affitto. Incoraggio sempre le persone a utilizzare una buona carta bancomat antiquata senza logo MasterCard / Visa; almeno in questo modo c'è un PIN che ti protegge.
L'idea che la "immagine di sicurezza" durante il login ti protegga da una banca di impostori è stata completamente ridimensionata, ed è una traccia dei precedenti standard FFIEC.
Le banche dicono ai clienti che l'utilizzo di token di sicurezza come SecurID o Vasco può prevenire attacchi basati su malware, ma la realtà è che il malware si trova solo sul computer in attesa di inserire un OTP e poi lo invia all'attaccante in attesa tempo reale. Nessuna protezione lì.
Infine, mentre la sicurezza dell'accesso è importante, non è sufficiente. La maggior parte delle frodi bancarie online sono riconducibili al malware e le cose peggiori si trovano solo lì e ti aspettano per accedere prima di inviare transazioni non richieste. Il login può essere sicuro come vuoi, ma a meno che tu non abbia protetto la transazione stessa, sei ancora vulnerabile.
Un'ultima cosa: le banche continuano a dire agli utenti che i loro token SecurID sono completamente sicuri. Questo probabilmente non è corretto. Se gli attaccanti di marzo hanno fatto fuori tutti i semi, allora le pedine sono praticamente inutili. Se avessero fatto solo un sottoinsieme dei semi, la banca avrebbe dovuto accertarsi se i loro semi fossero stati rubati. Devo ancora sentire qualsiasi banca essere in grado di presentare un reclamo su questo punto in un modo o nell'altro, quindi presumo che ogni SecurID prodotto prima dell'estate sia di proprietà. Questo non vale per Vasco o chiunque altro, solo per RSA.
Molte banche semplicemente non capiscono questi punti, almeno al di fuori dei loro team di sicurezza, quindi l'effettivo consiglio fornito dai rappresentanti del servizio clienti è spesso sbagliato su questi punti. Non penso che siano necessariamente i difetti delle banche; non ci si può aspettare che ogni rappresentante del servizio clienti sia un guru della sicurezza dei dati, ma ciò significa che le banche hanno la responsabilità di fornire un sistema abbastanza sicuro da non avere un cattivo consiglio dal servizio clienti.