Le banche hanno sollecitato l'uso delle carte di debito per anni, ma le politiche relative al rimborso dopo una transazione fraudolenta sono ampiamente variabili. Una cosa è avere una transazione fraudolenta che si trova su un estratto conto della carta di credito, ma un'altra è quella di non avere denaro contante dal conto corrente e non essere in grado di pagare l'affitto. Incoraggio sempre le persone a utilizzare una buona carta bancomat antiquata senza logo MasterCard / Visa; almeno in questo modo c'è un PIN che ti protegge.
L'idea che la "immagine di sicurezza" durante il login ti protegga da una banca di impostori è stata completamente ridimensionata, ed è una traccia dei precedenti standard FFIEC.
Le banche dicono ai clienti che l'utilizzo di token di sicurezza come SecurID o Vasco può prevenire attacchi basati su malware, ma la realtà è che il malware si trova solo sul computer in attesa di inserire un OTP e poi lo invia all'attaccante in attesa tempo reale. Nessuna protezione lì.
Infine, mentre la sicurezza dell'accesso è importante, non è sufficiente. La maggior parte delle frodi bancarie online sono riconducibili al malware e le cose peggiori si trovano solo lì e ti aspettano per accedere prima di inviare transazioni non richieste. Il login può essere sicuro come vuoi, ma a meno che tu non abbia protetto la transazione stessa, sei ancora vulnerabile.
Un'ultima cosa: le banche continuano a dire agli utenti che i loro token SecurID sono completamente sicuri. Questo probabilmente non è corretto. Se gli attaccanti di marzo hanno fatto fuori tutti i semi, allora le pedine sono praticamente inutili. Se avessero fatto solo un sottoinsieme dei semi, la banca avrebbe dovuto accertarsi se i loro semi fossero stati rubati. Devo ancora sentire qualsiasi banca essere in grado di presentare un reclamo su questo punto in un modo o nell'altro, quindi presumo che ogni SecurID prodotto prima dell'estate sia di proprietà. Questo non vale per Vasco o chiunque altro, solo per RSA.
Molte banche semplicemente non capiscono questi punti, almeno al di fuori dei loro team di sicurezza, quindi l'effettivo consiglio fornito dai rappresentanti del servizio clienti è spesso sbagliato su questi punti. Non penso che siano necessariamente i difetti delle banche; non ci si può aspettare che ogni rappresentante del servizio clienti sia un guru della sicurezza dei dati, ma ciò significa che le banche hanno la responsabilità di fornire un sistema abbastanza sicuro da non avere un cattivo consiglio dal servizio clienti.
Puoi dare un'occhiata a quell'articolo di Murdoch and Anderson, in l'argomento dei sistemi di autenticazione online "Verified by VISA" e "MasterCard SecureCode". L'articolo evidenzia diversi problemi in questo sistema, tra cui l'uso di iframe che addestrano gli utenti ad inserire dettagli personali nelle pagine Web, la cui provenienza non è possibile verificare.
Advice which is just, quite simply, incorrect
Westpac si aggrappa ancora alla loro affermazione secondo cui un'immagine Java o Javascript point-at-the-screen-and-click di una tastiera inserire la tua password (monocase alfanumerico, esattamente 6 caratteri) è più sicura che consentire l'uso della tastiera reale. La spallatura è qualcosa che accade solo ai clienti di altre banche, a quanto pare; e i clienti ipovedenti in Australia non godono della protezione dell'ADA.
La loro affermazione si basa sull'errore che "un registratore di tastiera non può vedere ciò che si fa clic sullo schermo", nonostante una vera campagna di phishing diretta a loro e ai loro clienti più di 4 anni fa con un Trojan che ha esattamente quello.
C'è qualche speranza, però: 12 anni fa NAB stava facendo lo stesso reclamo, ma da allora si sono resi conto, e ora usano lo stesso meccanismo di immissione delle password integrato nei browser e utilizzato da ogni organizzazione sana.
Ovviamente, vi è il consiglio su forza della password . Una cosa comune da sentire è l'insistenza su una password con simboli strani. Quando questa insistenza è l'unica cosa comunicata in modo efficace (come se la parte importante sulla lunghezza non viene pubblicata), i clienti finiscono up rendendo password1 e p@ssw0rd le due password più comuni. Oppure, si conclude con l'incidente risibile di una password scritta su un appiccicoso sotto la tastiera perché non può essere ricordata.
Le banche, per la maggior parte, sono pessimisti nell'assicurarsi che i nuovi utenti di carte di credito / debito siano a conoscenza di questo semplice consiglio: non effettuare operazioni bancarie online o utilizzare il numero della carta di credito in un hotspot pubblico . (Per il cliente medio, questa semplice regola può migliorare drasticamente la sicurezza e la consapevolezza personale.)
I clienti devono sapere che, proprio perché un'azienda utilizza una macchina per le transazioni con carta di credito, non è necessariamente sicura. Di 'loro di diffidare delle piccole imprese, non perché siano maliziose, ma perché semplicemente non sono nel business della sicurezza dei pagamenti . E, ad esempio, un piccolo rivenditore online non esperto in sicurezza potrebbe semplicemente utilizzare Paypal o Google Checkout per gestire le loro transazioni.
Il numero di verifica viene utilizzato nelle transazioni online per verificare il proprietario della carta di credito e prevenire le frodi. Bene, secondo le banche ...
Secondome,dovrebbeesserepiùsimileaunPIN(edèqualcosacomeilPINonline).
Leggi altre domande sui tag appsec phishing professional-education