È sicuro ricevere OTP (One Time Password) sul cellulare su cui è installata l'applicazione di banking online?

0

Supponiamo che un cliente di una banca stia utilizzando un servizio di banking online e sta utilizzando un'applicazione di banking online su dispositivo mobile (Android).

Potrebbe esserci la possibilità che un particolare cellulare possa essere compromesso e lo scopo di avere l'autenticazione a doppio fattore potrebbe essere annullato. L'autore dell'attacco può avviare la transazione online tramite l'applicazione online installata e riceverà l'OTP sullo stesso cellulare.

È sicuro ricevere OTP sullo stesso cellulare in cui viene utilizzata l'applicazione online? O qualsiasi altro modo alternativo di garantire lo scopo dell'autenticazione a doppio fattore?

    
posta Sayan 28.09.2018 - 03:10
fonte

1 risposta

1

L'OTP dei servizi sensibili su un cellulare non è una buona idea. Le banche dovrebbero utilizzare l'hardware OTP o altro.

Il tipico vettore di attacco per OTP è di tre tipi.

Controllo del telefono

Bene. Letteralmente.

I cellulari, anche se non così spesso in questi giorni, sono facilmente compromessi. In particolare, le applicazioni Android possono accedere liberamente ai messaggi SMS (ovviamente con autorizzazione).

Sfruttare la funzione di blocco dello spam SMS

La maggior parte dei gestori ora supporta il blocco automatico dello spam, che blocca lo spam prima di accedere al telefono dell'utente. Gli utenti possono accedere al sistema di controllo dello spamming, impostare i numeri di spam e visualizzare gli SMS di spam.

L'utente malintenzionato utilizza i dati credienziali dai dati violati, imposta il numero di destinazione (ex banca) come numero di spam e ottiene con successo dati OTP dal sistema di controllo dello spam.

Scambio / Copia SIM

One particular vulnerability that has gained popularity with hackers is SIM card fraud. This is basically an attack that essentially dupes your telco into swapping your line of communication to a different SIM card that the hackers have in their possession. This allows a culprit to take over your phone line. Every time you call your GSM provider with any sensitive request, they’ll ask you for some personal data that helps them identify you as the true owner of the line. This is where hackers come in. Armed with personal information on you, a fraudster has the ability to request a SIM change.

Source: https://www.standardmedia.co.ke/business/article/2001296918/sim-card-fraud-why-it-hurts-when-it-hits

    
risposta data 28.09.2018 - 07:21
fonte

Leggi altre domande sui tag