raccolta TRUFFE & PHISHING (Vol. II) - Pagina 43
Sentiment criptovalute: torna forte l’interesse degli italiani verso il Bitcoin
Il Bitcoin torna a scalare la classifica delle preferenze tra le criptovalute degli italiani. Così emerge dall?ultima indagine condotta da FinanzaOnLine con T-Voice, società che si occupa di opinion mining, …
Cinquina per il Ftse Mib trascinato da banche e oil, Saipem svetta con +3,7%. Sbanda Inwit
Arriva a cinque la striscia positiva di Piazza Affari. L’indice Ftse Mib ha chiuso oggi in rialzo dello 0,68% a 25.296 punti non patendo il crollo delle borse cinesi dovuto …
Idrogeno verde: sfide e opportunità per l?investimento del futuro
L’idrogeno verde, quello prodotto tramite energie rinnovabili, può essere l’investimento del futuro, oltre a ricoprire un ruolo chiave nella transizione energetica del nostro pianeta. È l'elemento chimico più semplice...
Tutti gli articoli
Tutti gli articoli Tutte le notizie

  1. #421
    L'avatar di undertherain
    Data Registrazione
    May 2013
    Messaggi
    5,554
    Mentioned
    29 Post(s)
    Quoted
    3163 Post(s)
    Potenza rep
    42949681
    Citazione Originariamente Scritto da Faldone81 Visualizza Messaggio
    non comunque un problema solo di Paypal non faccio elenco...
    Io direi che è meglio evitare di scrivere "man in the middle" dato che non siamo tutti sul pezzo sulla security quì e nemmeno ci divertiamo ogni giorno con OWASP & Co..
    Detto questo, io direi che basta dire che l'unico sistema sicuro è un OTP tramite software (es. Google Authentication) e che gli SMS causa SIM swap (che dopo la porcata di Ho.Mobile conosco tutti (e se non lo conoscono peggio per loro a questo punto, francamente)) sono inutili.
    Buon sole...

  2. #422
    L'avatar di Checklist
    Data Registrazione
    Oct 2017
    Messaggi
    1,668
    Mentioned
    17 Post(s)
    Quoted
    1138 Post(s)
    Potenza rep
    33874761
    Citazione Originariamente Scritto da emanu37429 Visualizza Messaggio
    Sopra si diceva che si potevano usare app di autenticazioni terze (come Google Authenticator o Authy), quello che non si può fare è disabilitare gli SMS OTP (puoi sempre richiederli al momento dell'accesso, anche se hai un altro metodo di autenticazione attivo)
    Quello che non mi è molto chiaro è: se sono previsti entrambi, un ipotetico malintenzionato che volesse sfruttare il sim swapping bypasserebbe dunque facilmente l'adozione dell'otp software semplicemente richiedendo il metodo otp via sms?

  3. #423

    Data Registrazione
    Nov 2018
    Messaggi
    9,070
    Mentioned
    77 Post(s)
    Quoted
    5915 Post(s)
    Potenza rep
    42949675
    Citazione Originariamente Scritto da Checklist Visualizza Messaggio
    Quello che non mi è molto chiaro è: se sono previsti entrambi, un ipotetico malintenzionato che volesse sfruttare il sim swapping bypasserebbe dunque facilmente l'adozione dell'otp software semplicemente richiedendo il metodo otp via sms?
    Si

  4. #424
    L'avatar di Checklist
    Data Registrazione
    Oct 2017
    Messaggi
    1,668
    Mentioned
    17 Post(s)
    Quoted
    1138 Post(s)
    Potenza rep
    33874761
    Citazione Originariamente Scritto da emanu37429 Visualizza Messaggio
    Si
    Quindi in pratica è del tutto inutile utilizzare un'app come authy se a livello di sicurezza questo è come non utilizzarla (visto che c'è sempre l'alternativa dell'sms). A che serve allora lasciare la doppia scelta? Mi pare una str** immane.. boh

  5. #425
    L'avatar di undertherain
    Data Registrazione
    May 2013
    Messaggi
    5,554
    Mentioned
    29 Post(s)
    Quoted
    3163 Post(s)
    Potenza rep
    42949681
    Citazione Originariamente Scritto da Checklist Visualizza Messaggio
    Quindi in pratica è del tutto inutile utilizzare un'app come authy se a livello di sicurezza questo è come non utilizzarla (visto che c'è sempre l'alternativa dell'sms). A che serve allora lasciare la doppia scelta? Mi pare una str** immane.. boh
    Secondo me non è così.
    Se su un sito è attivo OTP con app tipo Google Authenticator o quello che è, per cambiare modalità accesso sempre quell'OTP devi inserire.

  6. #426

    Data Registrazione
    Nov 2018
    Messaggi
    9,070
    Mentioned
    77 Post(s)
    Quoted
    5915 Post(s)
    Potenza rep
    42949675
    Citazione Originariamente Scritto da Checklist Visualizza Messaggio
    Quindi in pratica è del tutto inutile utilizzare un'app come authy se a livello di sicurezza questo è come non utilizzarla (visto che c'è sempre l'alternativa dell'sms). A che serve allora lasciare la doppia scelta? Mi pare una str** immane.. boh
    Beh, dipende dal servizio. Nel caso di PayPal, si, in altri casi invece una volta attivato l'OTP con app non puoi più accedere con OTP via SMS.

    Citazione Originariamente Scritto da undertherain Visualizza Messaggio
    Secondo me non è così.
    Se su un sito è attivo OTP con app tipo Google Authenticator o quello che è, per cambiare modalità accesso sempre quell'OTP devi inserire.
    Nel caso di PayPal, anche se hai l'OTP attivo via app, c'è sempre la possibilità di richiedere l'OTP via SMS.

  7. #427
    L'avatar di undertherain
    Data Registrazione
    May 2013
    Messaggi
    5,554
    Mentioned
    29 Post(s)
    Quoted
    3163 Post(s)
    Potenza rep
    42949681
    Citazione Originariamente Scritto da emanu37429 Visualizza Messaggio
    Nel caso di PayPal, anche se hai l'OTP attivo via app, c'è sempre la possibilità di richiedere l'OTP via SMS.
    Non ho parole.

  8. #428
    L'avatar di Checklist
    Data Registrazione
    Oct 2017
    Messaggi
    1,668
    Mentioned
    17 Post(s)
    Quoted
    1138 Post(s)
    Potenza rep
    33874761
    Che poi oh, parliamoci chiaro, sono tutti terrorizzati dal sim swapping che per carità, è sicuramente un pericolo sempre presente considerando il mondo in cui viviamo, ma è pur sempre difficile, nel senso che sfruttando il social engineering devono andare mirati a tentare l'attivazione di una nuova sim a nome tuo, in teoria serve il codice della vecchia sim da comunicare all'operatore (quindi fisicamente devono essere in possesso della tua sim o devono averne carpito il codice in qualche modo, cosa non sempre fattibile a seconda dell'hardware/software), devono in teoria anche fornire il documento di identità e/o fare la videochiamata.. Senza contare che devono anche capire esattamente quando avviene il passaggio alla nuova sim e agire in fretta, perché poi apparirà la linea fuori uso sul telefono della vittima, la quale anche senza sospettare nulla si recherà in giornata al centro più vicino per capire cosa è successo e di lì il problema dovrebbe emergere più o meno rapidamente. E tutto questo, ovviamente, previa la conoscenza del secondo fattore di autenticazione, ossia username/password.
    Insomma mi pare comunque un'eventualità non poi così facile o frequente...

  9. #429
    L'avatar di undertherain
    Data Registrazione
    May 2013
    Messaggi
    5,554
    Mentioned
    29 Post(s)
    Quoted
    3163 Post(s)
    Potenza rep
    42949681
    Citazione Originariamente Scritto da Checklist Visualizza Messaggio
    Che poi oh, parliamoci chiaro, sono tutti terrorizzati dal sim swapping che per carità, è sicuramente un pericolo sempre presente considerando il mondo in cui viviamo, ma è pur sempre difficile, nel senso che sfruttando il social engineering devono andare mirati a tentare l'attivazione di una nuova sim a nome tuo, in teoria serve il codice della vecchia sim da comunicare all'operatore (quindi fisicamente devono essere in possesso della tua sim o devono averne carpito il codice in qualche modo, cosa non sempre fattibile a seconda dell'hardware/software), devono in teoria anche fornire il documento di identità e/o fare la videochiamata.. Senza contare che devono anche capire esattamente quando avviene il passaggio alla nuova sim e agire in fretta, perché sul telefono della vittima apparirà poi la linea fuori uso, la quale anche senza sospettare nulla si recherà in giornata al centro più vicino per capire cosa è successo e di lì il problema dovrebbe emergere più o meno rapidamente. E tutto questo, ovviamente, previa la conoscenza del secondo fattore di autenticazione, ossia username/password.
    Insomma mi pare comunque un'eventualità non poi così facile o frequente...
    Insomma... con tutti i dati in giro di tutti i clienti di Ho.Mobile come sappiamo tutti... chissà quanti ce ne sono che non sappiamo.
    Se vogliono fanno tutto quanto.

  10. #430

    Data Registrazione
    Nov 2018
    Messaggi
    9,070
    Mentioned
    77 Post(s)
    Quoted
    5915 Post(s)
    Potenza rep
    42949675
    Citazione Originariamente Scritto da Checklist Visualizza Messaggio
    Che poi oh, parliamoci chiaro, sono tutti terrorizzati dal sim swapping che per carità, è sicuramente un pericolo sempre presente considerando il mondo in cui viviamo, ma è pur sempre difficile, nel senso che sfruttando il social engineering devono andare mirati a tentare l'attivazione di una nuova sim a nome tuo, in teoria serve il codice della vecchia sim da comunicare all'operatore (quindi fisicamente devono essere in possesso della tua sim o devono averne carpito il codice in qualche modo, cosa non sempre fattibile a seconda dell'hardware/software), devono in teoria anche fornire il documento di identità e/o fare la videochiamata.. Senza contare che devono anche capire esattamente quando avviene il passaggio alla nuova sim e agire in fretta, perché poi apparirà la linea fuori uso sul telefono della vittima, la quale anche senza sospettare nulla si recherà in giornata al centro più vicino per capire cosa è successo e di lì il problema dovrebbe emergere più o meno rapidamente. E tutto questo, ovviamente, previa la conoscenza del secondo fattore di autenticazione, ossia username/password.
    Insomma mi pare comunque un'eventualità non poi così facile o frequente...
    Non è necessario documento e ICCID, basta avere un negoziante complice ed è possibile fare il passaggio senza.

Accedi