Gli attacchi all'utilizzo di https nella caffetteria per accedere al conto bancario? [duplicare]

2

Correggimi se ho torto: se usi https, la comunicazione con un server è sicura perché è crittografata. Se il mio computer è connesso a una rete wireless e qualcuno può vedere tutti i dati grezzi / traffico tra me e il router wireless, allora vedono solo le comunicazioni crittografate. L'unica cosa che possono vedere è quale sito web / indirizzo IP a cui mi sono collegato.

È corretto?

Ho sentito un paio di volte che non dovresti ancora accedere al tuo conto bancario in un bar perché gli hacker possono "fare cose" a meno che non si utilizzi una VPN . Questo è, per esempio, menzionato in questo video Youtube .

Nel video collegato a questo proposito viene menzionato che un utente malintenzionato può utilizzare dispositivi e tecniche per ottenere effettivamente molte informazioni.

Le mie domande sono:

  1. Quali tipi di dispositivi e metodi generali possono essere utilizzati per ottenere queste informazioni?
  2. Che tipo di informazioni può estrarre l'autore dell'attacco? Se il traffico è crittografato, in che modo l'attaccante può vedere una di queste comunicazioni? Possono, ad esempio, vedere il saldo sul mio account?
posta Thomas 30.11.2016 - 16:35
fonte

3 risposte

3

Sono terribilmente vaghi nel video collegato, quindi non c'è una vera guida lì. Potrei pensare ai seguenti rischi:

  • Anche se utilizzi HTTPS, i domini visitati saranno visibili agli intercettori. Potresti non volere che il mondo sappia di tutti i domini che visiti ...
  • Certo, tutto va bene finché usi HTTPS. Ma lo stai effettivamente usando? SSLStrip è una cosa reale e, a meno che non ti fidi di te stesso per verificare che la connessione sia sicura ogni volta potresti facilmente cederla.
  • In teoria, il cattivo potrebbe aver trovato un certificato errato in qualche modo o potrebbe esserci qualche bug nell'implementazione TLS del tuo browser. Sebbene non siano comuni, queste cose non sono inaudite.
  • Esistono vulnerabilità note (come POODLE, CRIME e BEAST) nelle vecchie versioni di crittografia SSL. Ma se usi un browser moderno questo non dovrebbe essere un problema (e non sono sicuro che lo sarebbe anche se ne usassi uno vecchio).

Di questi quattro punti, i primi due sono gli unici di cui mi preoccuperei davvero. Ma il primo non si applica realmente al settore bancario e il secondo può essere gestito semplicemente controllando la connessione. Quindi, anche se non farei le operazioni bancarie online in un bar, a meno che non dovessi farlo per qualche motivo, non è la fine del mondo se lo fai.

Nota inoltre che lo show che hai collegato rivela che sono sponsorizzati da una società VPN su la loro home page .

Dovrei anche menzionare che potrebbero esserci problemi legali qui - la tua banca è disposta a rimborsarti nel caso in cui il tuo account venga dirottato se hai effettuato l'accesso al coffee shop Wi-Fi, anche se il motivo per cui il tuo account è stato dirottato ha niente a che fare con questo?

    
risposta data 30.11.2016 - 17:28
fonte
2

HTTPS crittografa la comunicazione da un punto a un altro. Quindi se i due punti sono il tuo dispositivo (laptop / telefono) e l'altro punto è la tua banca, tali informazioni sono criptate. Tuttavia, è abbastanza banale installare un uomo nell'attacco centrale su wifi aperto. L'utente malintenzionato potrebbe configurare un falso punto di accesso Wi-Fi con lo stesso SSID. Se ci si connette a questo, l'utente malintenzionato potrebbe quindi esaminare gran parte del proprio traffico e consentire all'autore dell'attacco di essere il secondo punto in cui avviene la crittografia.

A questo punto, i browser moderni probabilmente identificheranno eventuali certificati SSL utilizzati come discrepanza e avviseranno o bloccheranno.

Oltre a questo ci sono varie altre informazioni raccolte in questo metodo senza un attacco MiTM sulla crittografia SSL. Le banche sono famose per gli standard di sviluppo delle applicazioni meno che ottimali e potrebbero verificarsi anche altri attacchi come il dirottamento di sessione o la perdita di informazioni.

Un utente malintenzionato potrebbe anche utilizzare l'attacco MiTM per costringerti a una pagina Web falsa simile alla pagina di accesso all'account bancario. Potrebbero quindi chiederti di inserire il nome utente e la password e reindirizzare l'utente al sito legittimo. Potresti pensare che qualcosa sia andato storto, ma poi hanno catturato le tue credenziali. L'ingegneria sociale in questo scenario è più probabile rispetto allo snooping su SSL.

L'ananas wifi è un esempio specifico di come questo potrebbe essere realizzato. È possibile utilizzare SSLStrip per provare e obbligare gli utenti a siti non SSL. link

In generale, se non ho il controllo e o sto condividendo una connessione con altre persone che non controllo, non accedo ad alcuna informazione sensibile su quella rete. Non accedo nemmeno alle mie informazioni finanziarie sul mio telefono, a meno che non sia sul mio telefono wifi.

    
risposta data 30.11.2016 - 17:18
fonte
0

Ci sono degli attacchi uomo nel mezzo che possono essere eseguiti, ci sono anche modi per prevenirli.

In primo luogo sta attaccando come si arriva al sito web. se vai a link e vieni reindirizzato al link o fai clic su un link per andare al link quindi i dati link potrebbero essere modificati in modo da non avere mai un collegamento / reindirizzamento per accedere a una pagina https e l'intermediario finge di essere link e ti fornisce le informazioni che ottengono da link e invia tutto alla banca. Questo può essere mitigato digitando link .

L'altro modo è più difficile ma possibile. Se l'intermediario può ottenere un certificato valido per link allora può sedere nella descrizione centrale di ciò che la banca invia a loro con il cert banca e quindi crittografare con il loro certificato e inviandolo a te e poi facendo il contrario quando invii i dati bancari. La migliore attenuazione che puoi fare per questo è in parte molto limitata (ce ne sono centinaia e non li usi tutti) sulle CA che hai come fiducia. La mitigazione che la banca può fare è usare HPKP e HSTS che sono entrambi modi del tuo computer sapere se il certificato è un certificato autorizzato dal sito.

Quali tipi di dispositivi e metodi generali possono essere utilizzati per ottenere queste informazioni?

Un computer, nient'altro è necessario ma aiuta se possiedono la rete ma può anche essere fatto con un computer

Che tipo di informazioni può estrarre l'aggressore? Se il traffico è crittografato, in che modo l'attaccante può vedere una di queste comunicazioni? Possono, ad esempio, vedere il saldo sul mio account?

utilizzando gli attacchi di cui sopra, possono vedere qualsiasi cosa in quanto in entrambi i casi possono decifrare i dati.

    
risposta data 30.11.2016 - 17:07
fonte

Leggi altre domande sui tag