Quanto è sicuro il servizio di banca telefonica?

4

Il fallback per il mio login online banking presso più banche è il servizio di banca telefonica. Sul telefono posso effettuare pagamenti, ma posso anche reimpostare le password e molte altre funzioni di sicurezza importanti. Di solito mi autenticano facendo domande relativamente banali, sulla falsariga delle domande di sicurezza. Le domande di sicurezza non sono buone pratiche di sicurezza per gli accessi al sito web , quindi sembra strano che siano considerate sufficientemente sicure per il telefono bancario.

Oltre all'autenticazione debole, per quanto ne so, le chiamate telefoniche non sono crittografate. Oltre l'intercettazione (che immagino sia come la spartitraffico), immagino che qualcuno possa attingere alla chiamata (MITM passivo) e registrare le risposte alle mie domande di sicurezza o al mio PIN. Recentemente, ho notato che sono stato passato a un servizio di autenticazione automatizzato, ma altrimenti c'è necessariamente un MITM perché il dipendente della banca deve verificare manualmente le mie risposte / PIN. Ciò non significa solo divulgare informazioni sensibili al dipendente, ma implica che i dati potrebbero essere archiviati in modo non criptato.

Quindi, la mia prima domanda sarebbe se la mia comprensione fosse corretta, che le banche telefoniche siano meno sicure di quelle online? Se è così, allora perché è ancora così ampiamente usato, e persino usato come ripiego per il banking online?

    
posta craq 04.08.2017 - 06:21
fonte

1 risposta

2

Questa è una grande domanda.

Il TLDR è; , I call center sono generalmente meno sicuri dei pagamenti online . La ragione di ciò è dovuta al fattore umano intrinseco in un call center - ad es. salvare i dettagli della carta di pagamento nel blocco note per l'elaborazione in seguito perché il servizio di pagamento è inattivo (sul serio !!!).

Ma ci sono un paio di cose da affrontare qui, 1. Sicurezza dei pagamenti e 2. Sicurezza delle chiamate.

Per iniziare con 2. Le chiamate sono crittografate sia sulla loro strada verso la banca dal PBX di Telco, sia quando colpiscono le banche DMZ, con una cosa chiamata SBC (Session Border Controller) . Questo è stato uno standard dalla proliferazione della tecnologia VoIP nell'ambiente aziendale. Detto questo, la qualità di detta crittografia non è eccezionale (Base64 ??) e si basa sul presupposto che sia il team di telco che quello telefonico della banca stiano applicando le patch al loro kit e aggiornandolo quando necessario.

All'indirizzo 1, il settore bancario / dei pagamenti è stato in prima linea nel comprendere l'importanza di ottenere questo diritto a lungo termine perché è un rischio enorme per loro.

Lo standard per i processi di pagamento / infrastruttura / architettura sicuri si chiama PCI DSS . PCI DSS è stato sviluppato appositamente per fornire ai consumatori come noi una maggiore sicurezza durante i pagamenti. Tutti i call center, comprese le banche, devono rispettare i propri standard. Questo vale anche per qualsiasi altro "endpoint" di pagamento, come i pagamenti in negozio o online.

Esistono diversi livelli di conformità PCI in base al numero di pagamenti che vengono elaborati ogni anno. Anche il minimo richiede 4 controlli casuali da eseguire ogni anno affinché un'organizzazione mantenga il proprio certificato di conformità.

In effetti PCI DSS è quasi un settore in questi giorni, con le aziende che sviluppano infrastrutture e servizi di pagamento per portare i servizi di pagamento delle organizzazioni "fuori dagli obiettivi" di PCI DSS possedendo tutti i rischi.

Per rispondere in modo specifico alla tua domanda, alcune delle cose principali delineate da PCI DSS sono:

  1. Mai memorizzare i dati delle carte in testo normale a riposo - La tokenizzazione viene utilizzata per superare questo problema.
  2. Non memorizzi mai ID di verifica della carta come CVV o Pin - Mai e poi mai
  3. Utilizzare il principio del privilegio minimo
    • Per l'accesso ai servizi di rete
    • Per accedere alle GUI di pagamento (agenti del call center)
    • Per accedere alle registrazioni delle chiamate a fini di controllo qualità
  4. Garantire la trasmissione dei dati dei titolari di carta sulle reti pubbliche è crittografato - Con standard come SSL / TLS
  5. Mascheratura DTMF - in modo che se si esegue il punch sul numero della carta dalla tastiera, tutti i segnali acustici sono monotoni

Non ho abbastanza rep per pubblicare più di 2 link, ma per una migliore visione di ciò che è necessario per i pagamenti basati su telefono, controlla questo post di blog .

Quindi, le banche e i call center possono archiviare alcune delle informazioni della carta di pagamento a riposo, a condizione che siano tokenizzate e archiviate in una rete conforme agli standard PCI. Inoltre, si avrà la crittografia di base fornita durante la chiamata e di nuovo all'interno della rete telefonica della banca, oltre al mascheramento DTMF durante i pagamenti della tastiera.

In sintesi, con questi standard e pratiche, sei più sicuro dal punto di vista della tecnologia quando paghi con un servizio automatizzato rispetto a quando parli con un essere umano!

Ci scusiamo per il post lungo! :)

    
risposta data 04.08.2017 - 08:16
fonte

Leggi altre domande sui tag