Cosa posso fare come utente per ridurre al minimo il rischio di operazioni bancarie online?

Naviga le tue risposte
2

La mia banca utilizza un sistema di sicurezza basato su un lettore di schede per il banking online. La carta è la stessa utilizzata per gli sportelli automatici e il pagamento nei negozi. Esistono diversi attacchi noti su questo sistema, ad esempio come describato qui e qui .

Non ho informazioni dettagliate sui lettori utilizzati dalla mia banca. Quello che so è:

  • Possono essere utilizzati con o senza cavo USB.
  • I lettori sono intercambiabili, cioè non contengono informazioni personalizzate associate al mio account.

La mia domanda è, cosa posso fare per ridurre al minimo il rischio di frode. I miei pensieri finora sono:

  1. Utilizza Tor per qualsiasi interazione con il sito web della banca.
  2. Usa un'installazione Linux in una VirtualBox (o altra VM), utilizzata solo per i servizi bancari online. Tuttavia, per quanto ho capito, questo non mi avrebbe protetto dai keylogger sul mio PC host. Inoltre, non è chiaro quanto sia grande il pericolo dovuto ai keylogger con un lettore di schede, poiché il PIN è inserito sul lettore, non sul PC.
  3. Se utilizzato con una connessione USB, è necessario utilizzare un driver sul PC host (disponibile solo per Windows, quindi questa non è un'opzione, anche a causa della riduzione implicita della sicurezza). D'altra parte, per quanto ho capito, la connessione USB potrebbe essere utilizzata per aumentare la sicurezza, visualizzando le informazioni specifiche della transazione sul lettore di schede, che l'utente deve confermare. Ma come capisco dagli articoli sopra citati, questo spesso non è implementato correttamente, quindi non so se la modalità non connessa sarebbe effettivamente più sicura?
  4. Le stesse carte vengono utilizzate per l'online banking e per i terminali di pagamento e ATM. Pertanto, sembra che perdere il PIN e le informazioni sul chip della carta (attraverso la scrematura e / o l'osservazione al momento dell'inserimento del PIN) offra automaticamente agli hacker l'accesso al servizio di banking online. Dato che sia io che mia moglie abbiamo una carta per lo stesso conto, ha senso (per quanto possibile) utilizzare una delle carte come "carta bancaria online" e l'altra come "carta bancomat"? Ciò potrebbe ridurre sostanzialmente il rischio o sto trascurando qualcosa?

Potresti chiarire la mia comprensione dei punti che ho descritto, oltre a fornire ulteriori informazioni?

    
posta Simon 16.05.2015 - 13:50
fonte

2 risposte

5

Ho brevemente letto i documenti a cui ti sei collegato e mettono in evidenza diverse vulnerabilità che consentono a un utente malintenzionato di parlare con il lettore per farlo firmare transazioni / richieste di accesso senza richiedere il consenso dell'utente. Tuttavia, questo non è un grosso problema, perché un utente malintenzionato "parla" al lettore la tua macchina deve già essere compromessa e se questo è il caso, nessuna quantità di sicurezza può proteggerti.

D'altra parte, questo sistema di smart card è in realtà piuttosto carino e richiede che la carta sia fisicamente presente per effettuare una transazione, rendendo inutile il furto di numeri di carte. IMO, è così che i pagamenti con le carte online dovrebbero essere stati effettuati sin dall'inizio.

Ora passiamo alla tua lista di controllo:

  • usare Tor non è necessario; non è necessario l'anonimato e la sicurezza è già fornita dal fatto che il sito della banca utilizza HTTPS. Anche nel caso in cui la loro implementazione HTTPS sia difettosa, Tor non ti darà più protezione e a questo punto non dovresti usare il loro sito.

  • usare una VM su un host compromesso è stupido. Se il tuo host è compromesso, l'hacker ha ancora il controllo totale dell'hardware e può persino "parlare" con il lettore per sfruttare le vulnerabilità descritte nei documenti che hai collegato. Inoltre, non sarà possibile installare i driver del lettore e il plug-in del browser in un ambiente Linux.

  • visti i documenti collegati nella tua domanda, direi che la modalità offline potrebbe essere più sicura. Non visualizza le informazioni sulle transazioni, ma d'altra parte consente loro solo di effettuare una singola transazione, dove come nella modalità connessa possono sfruttare una vulnerabilità per far firmare alla carta un numero illimitato di transazioni senza richiedere il consenso dell'utente ( finché la carta è nel lettore).

  • card skimming non consentirà loro di effettuare transazioni online, poiché skimming non ruberà i segreti nel chip e questo sistema EMV-CAP si affida al chip per eseguire operazioni di crittografia. La banda magnetica non è mai coinvolta. Rubare il PIN può dare a un attaccante la possibilità di effettuare pagamenti se anche ruba fisicamente la tua carta. - scremare un chip di smartcard è impossibile.

TL; DR non usare una macchina compromessa e sarai al sicuro. Se sospetti che la tua macchina sia compromessa (perché hai installato software pirata o software proveniente da fonti non attendibili, keygen, "video player" o plugin, ecc.), Reinstallalo da zero e fai più attenzione. Infine, anche se la macchina è compromessa, dubito che gli hacker abbiano aggiornato il loro malware per sfruttare questi lettori - non ne vale la pena (per ora) come semplicemente i numeri delle carte keylogging sono ancora un business succoso e non hanno motivo di dedicare il loro tempo all'aggiornamento malware per il numero davvero basso di persone che usano questi lettori di schede.

    
risposta data 16.05.2015 - 14:49
fonte
0

Considera il PC personale come il tuo PC bancario e mantienilo aggiornato. Non leggere mai e-mail su quel PC. Installa solo Office, Chrome, Flash, Java sulla tua VM. Reindirizza tutte le unità USB a quella VM.

Non utilizzare USB se possibile sul PC o disattivarlo tramite GPO

Re # 4 - Non ho commenti su questo ...

    
risposta data 16.05.2015 - 14:30
fonte

Leggi altre domande sui tag

Come abilitare la lista bianca delle librerie JS che necessitano di una valutazione non sicura Forza della password in Wordpress Network