Nuovo caso di furto su conto Widiba
- Creatore Discussione 436734
- Data di inizio
-
Ecco la 66° Edizione del settimanale "Le opportunità di Borsa" dedicato ai consulenti finanziari ed esperti di borsa.
I principali indici azionari hanno vissuto una settimana turbolenta, caratterizzata dalla riunione della Fed, dai dati macro importanti e dagli utili societari di alcune big tech Usa. Mercoledì scorso la Fed ha confermato i tassi di interesse e ha sostanzialmente escluso un aumento. Tuttavia, Powell e colleghi potrebbero lasciare il costo del denaro su livelli restrittivi in mancanza di progressi sul fronte dei prezzi. Inoltre, i dati di oggi sul mercato del lavoro Usa hanno mostrato dei segnali di raffreddamento. Per continuare a leggere visita il link
Coralyne
Nuovo Utente
- Registrato
- 19/5/15
- Messaggi
- 5.367
- Punti reazioni
- 1.687
Per chi vuole evitare di leggere 30 pagine, posto il sunto in cui l'utente che dice di esser stato derubato racconta cos'e' accaduto :
" Scusatemi, non sono stato superficiale..
Il fatto è semplice.
Hai la SIM col numero di qualcuno?
Bene.. recuperi la password di GMAIL e da lì scopri il mondo.
Si ho ricevuto le email di WIDIBA, ma la mia SIM era disattiva e non avevo internet .. sono corso in hotel per capire mentro ero a Bucarest... e lì ho scoperto il cambio sim in area clienti.
Widiba ti riconosce con numero autenticato che non avevo più! E la password ed i PIN dispositivi arrivavano al delinquente...
Cosa c'è che non vi torna?
Il problema è che nessuno capisce cosa è accaduto, neanche le forze dell'ordine e nessuno mi aiuta.
Cosa devo far? "
A quanto pare mentre si trovava all'estero qualcuno si sarebbe recato al centro "3" per chiedere la sostituzione della sua SIM, ottenendo cosi' accesso al numero e recuperando poi la password di accesso alla casella di posta gmail.
" Scusatemi, non sono stato superficiale..
Il fatto è semplice.
Hai la SIM col numero di qualcuno?
Bene.. recuperi la password di GMAIL e da lì scopri il mondo.
Si ho ricevuto le email di WIDIBA, ma la mia SIM era disattiva e non avevo internet .. sono corso in hotel per capire mentro ero a Bucarest... e lì ho scoperto il cambio sim in area clienti.
Widiba ti riconosce con numero autenticato che non avevo più! E la password ed i PIN dispositivi arrivavano al delinquente...
Cosa c'è che non vi torna?
Il problema è che nessuno capisce cosa è accaduto, neanche le forze dell'ordine e nessuno mi aiuta.
Cosa devo far? "
A quanto pare mentre si trovava all'estero qualcuno si sarebbe recato al centro "3" per chiedere la sostituzione della sua SIM, ottenendo cosi' accesso al numero e recuperando poi la password di accesso alla casella di posta gmail.
Ma aveva la password di Widiba memorizzata in gmail o nel cloud? Sennò non ho capito e mi manca un passaggio.
Lupak
Nuovo Utente
- Registrato
- 25/11/06
- Messaggi
- 19.707
- Punti reazioni
- 2.543
Ho letto buona parte di quella discussione e credo che l'autore non abbia spiegato per bene come la cosa sia successa. Pare quasi che basta sapere la tua mail e appropriarsi del tuo numero di cellulare ed hanno accesso immediato a tutti i tuoi account senza limiti. Non credo sia così semplice
Anche se "scomodo", il token OTP è il massimo della sicurezza!
otcbond
Nuovo Utente
- Registrato
- 20/3/15
- Messaggi
- 357
- Punti reazioni
- 19
Non e' possibile sapere la password di widiba e la password di gmail. Per lo piu' come fa il truffatore a sapere il nome utente di widiba? Qualcosa non torna qui.
Per sicurezza io ho il ripristino della password gmail su un altro account virgilio senza nessun passaggio dal cellulare.
Per sicurezza io ho il ripristino della password gmail su un altro account virgilio senza nessun passaggio dal cellulare.
Lupak
Nuovo Utente
- Registrato
- 25/11/06
- Messaggi
- 19.707
- Punti reazioni
- 2.543
Di token fisici e software ne ho usati personalmente tre e non sono per nulla scomodi, anzi, sono molto più comodi ed immediati di sms o codici vari. Per me ogni banca dovrebbe usare i token e dare possibilità ai clienti di scegliere tra quello fisico - magari a pagamento - e quello software.
Indubbiamente la migliore forma di tutela per banca e cliente che spero anche Widiba usi presto.
Tornando all'argomento di discussione, questa vicenda non fa diminuire la mia percezione di sicurezza che ho con questa banca, ma noto che pur non essendo l'unica che usa gli sms dispositivi, è quella che viene presa più di mira. Nel caso in questione ho l'impressione - magari sbagliata - che l'autore ometta qualcosa.
mentat
Nuovo Utente
- Registrato
- 9/5/17
- Messaggi
- 1.799
- Punti reazioni
- 173
Io non capisco, come sono andate le cose è stato spiegato una decina di volte su quel thread e pure lì ciclicamente utenti a cui non torna. Ma li leggete i post? Non te lo dico in modo aggressivo, davvero, è che non capisco.
I truffatori sono andati in un negozio 3 e si sono fatti duplicare la SIM. Ossia: la SIM originale, nelle mani del legittimo proprietario, viene disattivata e al truffatore viene data una SIM nuova sulla quale è attivo il numero del legittimo proprietario. Se questa operazione sia stata fatta interamente sulla fiducia o chiedendo una fotocopia della carta di identità (che oggi siamo costretti a mandare via fax a chiunque, anche solo per attivare ad es. un RID con la compagnia del gas) non si sa.
A questo punto i truffatori hanno di fatto in mano il telefono del truffato. Vanno su gmail, l'indirizzo l'hanno preso in qualche modo, magari lo hanno semplicemente indovinato provando nome.cognome, n.cognome, ecc. Resettano la password mediante la conferma via SMS.
Ora hanno il telefono E la casella gmail.
Tra la posta gmail trovano qualche comunicazione sulla quale c'è il nome utente widiba. A questo punto immagino che widiba consenta il reset della password, con conferma via SMS, o magari chiamando il call center dal numero di telefono registrato e rispondendo a domande tipo data di nascita. Dopodiché l'OTP arriva via SMS ai truffatori.
Per paypal ho appena provato. Per resettare la password devi utilizzare due dei metodi di verifica proposti (domande di sicurezza, ecc.). Due di questi sono appunto ricevi codice via SMS e ricevi codice via e-mail. I truffatori così resettano anche la password paypal.
economist-2017
Nuovo Utente
- Registrato
- 5/3/11
- Messaggi
- 10.733
- Punti reazioni
- 311
Sono pienamente d'accordo.
Leo2015
Nuovo Utente
- Registrato
- 29/1/15
- Messaggi
- 30.304
- Punti reazioni
- 2.281
Per quello che mi risulta il sistema di reset delle password di accesso di cui parli non è più adottato da tempo da Widiba ,ora dove aver cliccato sul pulsante relativo ,si viene contattati da Widiba che chiede di realizzare un video con Whattsapp
P.S. Il buon senso consiglia sempre di destinare una casella di posta elettronica ad hoc per i servizi critici
Ultima modifica:
Lupak
Nuovo Utente
- Registrato
- 25/11/06
- Messaggi
- 19.707
- Punti reazioni
- 2.543
Gmail quindi consente di recuperare l'accesso alla mail semplicemente con un codice inviato via sms? Contento di non aver attivato questo "servizio" quindi
Widiba nelle comunicazioni non scrive il nome utente (tranne ricordo nella prima mail di attivazione del conto, quindi potrebbe esserci) e per recuperare questi dati c'è bisogno di codice fiscale e email, che non è così difficile procurarsi. Nell'altra discussione avevo letto però che la banca aveva reso la procedure di identificazione più difficile e meno automatizzata.
mentat
Nuovo Utente
- Registrato
- 9/5/17
- Messaggi
- 1.799
- Punti reazioni
- 173
Gmail quindi consente di recuperare l'accesso alla mail semplicemente con un codice inviato via sms? Contento di non aver attivato questo "servizio" quindi
Scusa e cos'altro potrebbero fare, mandarti un emissario a casa? Tutta la sicurezza online è basata oggi sull'assunto che il più alto livello di identificazione a distanza sia dato dall'utilizzo del cellulare. E' chiaro che se poi vai in negozio e i geni ti duplicano la SIM ad *******m crolla tutto.
Personalmente trovo scandaloso che la firma digitale sia sostanzialmente utilizzata solo dalla pubblica amministrazione. E poi si fa pure ironia sull'arretratezza della PA rispetto al privato, ah be'. Praticamente ogni compagnia che gestisca un'utenza domestica ha copia del mio documento di identità archiviata con non so quali sistemi di sicurezza, verosimilmente accessibile a qualunque dipendente assunto a contratti trimestrali da 800 euro al mese. Se ti mando il modulo X per e-mail firmato digitalmente anziché via fax con copia doc. id? Non si può.
Le banche anziché inventarsi app della ******* per generare OTP non farebbero prima a implementare nei loro sistemi l'autenticazione tramite CNS/firma digitale?
Sì come dicono sopra utilizzano la videochiamata via whatsapp. A whatsapp i tuffatori avevano accesso avendo la SIM. A quel punto immagino che gli operatori di widiba si siano trovati in videochiamata un tipo che più o meno somigliava alla foto di anni prima presente sulla fotocopia della carta di identità che il truffato aveva allegato al contratto.
mentat
Nuovo Utente
- Registrato
- 9/5/17
- Messaggi
- 1.799
- Punti reazioni
- 173
Sì e-mail e SIM ad hoc. A questo punto o perdi l'immediatezza degli alert o devi monitorare costantemente due indirizzi e-mail anziché uno e girare con due cellulari. Magari uno ha anche una banca che genera OTP con un'app che gira solo su android di ultima generazione, per cui il secondo telefono non può neanche essere uno da quattro soldi, ma deve essere uno smartphone recente. Praticamente vengono scaricati sull'utente gli oneri di un sistema di sicurezza che sta mostrando un po' troppi anelli deboli ultimamente.
Sarebbe opportuno che tutte le banche usassero il token OTP, almeno per le operazioni dispositive.
Oppure il pin dispositivo come fanno UBI e Intesa.
L' OTP via sms è molto pericoloso.
Leo2015
Nuovo Utente
- Registrato
- 29/1/15
- Messaggi
- 30.304
- Punti reazioni
- 2.281
La questione è già dibattuta in altre discussioni ,e ci sono due scuole di pensiero ,quelle che ritengono che la OTP via sms non offra adeguata sicurezza , e quelli ,tra cui appartengo anch'io ,che in realtà la cosa non abbia rilevanza nel senso la OTP ,in generale ,è stata adottata perché alcuni (molti?) non sono in grado di scegliere password robuste che di base ,considerato che la cifra AES128 non presenta vulnerabilità conosciute se non quella ovvia della ricerca esaustiva delle chiavi,è sufficiente a garantire la sicurezza
Invece si. Viene indicato nelle mail di notifica di accesso al conto.
E già qua non torna assolutamente. A parte che se fosse successo sarebbero responsabili e potresti citarli in giudizio riottenendo TUTTO quello che ti è stato trafugato più i danni.
Hai mai fatto un cambio SIM? Lo sai come funziona?
Devi portargli la SIM e fargli leggere quel minuscolo numerino (ICCID) che è stampato nella parte posteriore della SIM Card.
Se è una prepagata a quel punto puoi anche non portare i documenti di colui che ne è intestatario ma direttamente un documento (ORIGINALE, no fotocopia) e il codice fiscale/tessera sanitaria (ORIGINALE) di colui che subentrerà (testato personalmente settimana scorsa con un mio numero che ha preso mia madre).
Se è un abbonamento invece ci vuole l'intestatario di persona.
Quindi perché una cosa del genere sia credibile sti geni del crimine avrebbero dovuto:
1) avere nome e cognome della vittima
2) sapere il suo numero di telefono e la sua compagnia telefonica
3) clonare in modo che sembri vera la carta di identità o la patente o il passaporto
4) clonare la tessera sanitaria
5) clonare la scheda SIM scegliendone una di quella determinata compagnia e sovrascrivendo la scritta l'USIM in modo che non si vedesse la contraffazione. oppure presentare denuncia di smarrimento (altre autenticazioni da fare) e farsela clonare
6) conoscere l'indirizzo e-mail di gmail e sapere che non era presente un autenticazione in due passaggi oppure conoscere le risposte alle domande segrete e avere accesso alla casella e-mail di recupero
7) sapere che la vittima disponeva di un conto home banking per non rischiare di targhettare una persona che ha un conto in banca fisica in cui non potevano comunque operare
8) sapere le risposte per l'autenticazione del cambio password widiba
Poi una volta entrati finalmente nel conto... I soldi come li hanno trafugati?
Non avendo accesso alle tessere i bancomat sono esclusi. Quindi rimane la parte propriamente di e-banking tipo i bonifici. Sì ma per poter fare un bonifico devi dare un IBAN e di ciò rimane traccia, ergo vieni sgamato subito, è un po' come fare un furto e lasciare il biglietto da visita.
Mi pare francamente una situazione fantascientifica.