Quali sono le implicazioni sulla sicurezza della tecnica POLi Internet Payments?

6

POLi Payments è un fornitore di servizi di pagamento online australiano che ha iniziato a commerciare in Nuova Zelanda. Sono supportati come opzione di pagamento su alcuni grandi siti eCommerce in Nuova Zelanda, tra cui Air New Zealand, JetStar e The Warehouse.

Fondamentalmente facilita la verifica che, come cliente, hai effettuato un pagamento dal tuo servizio di internet banking, in modo che il venditore possa immediatamente completare la transazione.

È molto interessante, perché le compagnie aeree non applicano una "commissione di pagamento" quando usano POLi (che di solito rappresenta tra $ 10 e $ 20). Sono preoccupato di come ottiene questo.

Come cliente di una banca ANZ, dopo aver visitato il sito web di Air New Zealand, ho scelto l'opzione di pagamento "POLi" e mi sono presentato (mentre ero ancora sul sito di Air New Zealand), con la mia pagina di accesso al servizio di internet banking. Quindi, per essere chiari, la barra degli indirizzi conteneva "airnewzealand.co.nz", che aveva un iframe, il cui indirizzo indicava " link ". Mi aspettavo quindi di accedere al mio Internet banking, a quel punto mi è stata presentata la pagina web di trasferimento bancario ANZ prepopolata, con alcuni campi disabilitati (codice di riferimento, importo ecc.).

Ciò che è stato fatto è che il server POLi stava richiedendo il sito web della banca dal server ANZ, massaggiando l'HTML e passandomi l'HTML. Compilare quindi il modulo, che viene inviato nuovamente al server POLi, che ha poi trasferito nuovamente tali informazioni su ANZ. Questo è stato ripetuto per ogni pagina.

Per questo motivo, POLi è stato in grado di

  1. pre compilare il modulo di pagamento in modo da non ottenere il codice di riferimento o l'importo errato
  2. disabilita i campi in modo che non possa cambiarli
  3. convalidare il pagamento come completato in modo che la transazione possa continuare.

Quali sono le implicazioni tecniche e di sicurezza sociale di questa tecnica?

Grazie a tutti

    
posta Adam 20.08.2013 - 03:51
fonte

4 risposte

8

Stai inserendo le tue credenziali di internet banking in un'interfaccia di proprietà di un commerciante. L'iframe proviene da POLi, ma non c'è un modo semplice per un utente finale di verificarlo e la pagina padre avrebbe comunque l'opportunità di fare confusione con il frame.

Quindi non dovresti inserire le tue credenziali su questa interfaccia a meno che non ti fidi:

  • POLi non per memorizzare o utilizzare impropriamente le credenziali che le stai fornendo;

  • il commerciante non per rimuovere le credenziali, tramite clickjacking o semplicemente puntando il fotogramma su un'altra sorgente (stile di phishing);

  • eventuali provider di script di terze parti utilizzati dal commerciante (ad es. analisi, pubblicità) per non iniettare contenuti di script che eliminerebbero le credenziali;

  • il commerciante per mantenere l'intero sito Web al sicuro da tutte le vulnerabilità XSS che potrebbero consentire a un utente malintenzionato di filtrare le credenziali.

  • POLi non presenta alcuna vulnerabilità in cui altre parti possano ottenere informazioni attraverso l'inclusione della loro interfaccia in un iframe e utilizzando il clickjacking. (Questo è difficile da impedire completamente quando l'interfaccia deve consentire iframing.)

I POLi stanno effettivamente facendo un attacco man-in-the-middle sul tuo banking online e prevedibilmente alcune banche sono sconvolte per questo . Se si soffre di frode (legata o meno all'utilizzo del servizio POLi), la banca potrebbe essere in grado di sostenere che si ha una certa responsabilità, per non tenere il passo con l'affare per mantenere segrete le proprie credenziali bancarie da tutti tranne che banca.

I POLi non sono l'unico partito ad adottare questo approccio: si veda ad esempio il Sofortüberweisung della Germania. Personalmente ritengo che sia un'idea folle, ma non è certo la prima idea folle a prendere piede dal mondo finanziario.

    
risposta data 20.08.2013 - 15:08
fonte
4

Se leggi la loro informativa sulla privacy, più o meno ti dice di dare loro pieno accesso al tuo conto bancario e i diritti alla tua cronologia completa delle transazioni bancarie se usi il servizio. Personalmente lo trovo inaccettabile.

Inoltre non è assolutamente necessario per loro accedere al tuo account e elaborare un pagamento.

Quello che ho fatto in passato è semplicemente copiato il numero di riferimento fornito e inviato manualmente la transazione ad Air New Zealand con il numero di riferimento poli nei dettagli e non ho inserito i miei dettagli nell'interfaccia poli. B-Bay utilizzato in Australia funziona in questo modo.

Vorrei cambiare subito dopo aver usato poly

    
risposta data 17.03.2015 - 04:33
fonte
1

Il punto non è la sicurezza del sistema POLi, è se l'uso invalida tutti o alcuni termini di servizio di Internet Banking di alcune banche. Alcune banche dicono di sì, e - di conseguenza - annullano anche le loro garanzie di ricompensa per le frodi online. Sarebbe difficile convincere un tribunale a ribaltare l'interpretazione delle banche da parte dei propri T & C; quindi la risposta definitiva a tutte le domande di sicurezza e POLi è "caveat emptor".

Ho il mio parere tecnico sulla sicurezza della loro metodologia, ma è, come tutte le valutazioni del genere, irrilevante dal punto di vista operativo.

    
risposta data 25.08.2017 - 01:46
fonte
-1

Queste affermazioni sono in gran parte maligne di se stesse poiché ignorano completamente i rischi intrinseci alla sicurezza su tutta la piattaforma Internet. Le dichiarazioni ignorano la realtà dell'esperienza POLi e gli apparenti processi di sicurezza nei sistemi POLi (che noto in altri articoli possono essere verificati da qualsiasi banca in qualsiasi momento). Questi argomenti teorici vengono trottati di volta in volta senza alcuna evidenza di problemi creati da POLi. I contributori ignorano il rischio in tutte le forme di pagamento (anche in contanti) che devono essere ponderate contro la convenienza. Sembrerebbe sulle prove disponibili, POLi è un sistema molto più sicuro di quello che dicono i sistemi Scheme le carte di credito / debito fornite dalle banche stesse.

    
risposta data 27.10.2016 - 01:53
fonte

Leggi altre domande sui tag