Mobile banking tramite smartphone, rischi specifici
Tratto l'argomento ormai da vari anni, rimando al thread deicato:
Sistemi di autenticazione e mobile banking, i veri rischi che le banche nascondono
=== FOL /1989032-banche-che-richiedono-una-dipendenza-da-app-su-smarphone-cosa-ne-pensate-4.html
Coralyne 20-01-22, 05:31
#66
Però una domanda sorge spontanea: perchè non posso usare il banking utilizzando *solo* un PC e invece se entro direttamente dallo smartphone li' si che posso fare tutto ?
Checklist 20-01-22, 11:07
#70
Giustissima osservazione, che era venuta in mente anche a me tempo fa.
Anche quando si fa l'accesso da app arriverebbe il secondo fattore di autenticazione, il problema è che va inserito nello stesso dispositivo (lo smartphone) da cui si sta già operando il primo fattore di autenticazione.
Verrebbe a mancare la netta separazione, almeno dal punto di vista fisico (hardware), dei due fattori.
Unica barriera che mi viene in mente, è che anche per generare l'otp bisogna inserire un pin, cosa che invece non avviene nel caso dell'otp via SMS.
Checklist 20-01-22, 18:24
#74
Sì certo hai perfettamente ragione, ma la questione che ponevo la posso esporre anche nel modo seguente.
Ad un malintenzionato che sappia/carpisse le mie credenziali, se non ci fosse l'otp verso lo smartphone, gli basterebbe operare da un pc remoto per svuotarmi il conto.
Ma mettiamo che uno sprovveduto perda il telefono, e per ipotesi non aveva inserito la psw per il blocco schermo (o ne abbia inserita una facilmente trovabile, ecc.), all'attaccante che trovasse il telefono gli basterebbe aprire l'app, inserire la psw che probabilmente quell'utente aveva lasciato in chiaro negli appunti o scritta su un pezzettino di carta nel portafogli perso con lo smartphone e il gioco è fatto.
Voi direte "eh ma che pirlo però, lasciare il tel non protetto e con la psw in chiaro da qualche parte..", vero, ma non sono ipotesi poi così remote considerando anche il grado medio di tecnologia degli utenti e la loro comprensione su alcune misure di sicurezza.
Inoltre spesso nelle app si lasciano memorizzate le credenziali per una questione di comodità, e questo elimina già un ostacolo.
Rand0m 20-01-22, 21:03
#76
Eh, ho capito, ma se lasci le chiavi di casa sulla porta non è che puoi lamentarti.
E' come perdere il bancomat e avere un biglietto con scritto il pin appiccicato al bancomat: capisci bene che chiunque può prelevare o pagare quello che vuole nei negozi.
Comunque nelle app bancarie di solito la password di accesso viene sempre chiesta.
Può rimanere memorizzato il numero del conto o il nome utente, ma la password no, va digitata.
Oppure va usata l'impronta digitale come scorciatoia, che corrisponde a inserire la password, ma è una scorciatoia non applicabile da qualcuno che non sia il possessore del telefono.
Poi comunque, app bancarie a parte, io la quasi totalità delle persone che vedo ha un blocco del telefono quando è in stand by.
Che sia un pin o che sia un segno a schermo (quelli di Android dove va tracciata una linea sulle schermo), che ci sia la scorciatoia dell'impronta digitale o del riconoscimento facciale, io vedo che praticamente tutti evitano di lasciare il telefono senza blocchi.
Anche perchè nel telefono ci sono dati personali come le foto, i messaggi privati etc. E anche l'utente più sprovveduto del mondo, per quanto poco ne possa sapere di sicurezza, non vuole che le sue foto o i suoi messaggi siano visibili dal primo che passa (o, spesso, dalla moglie/fidanzata/marito etc)
Checklist 20-01-22, 21:47
#77
ma ti assicuro che c'è (non poca) gente che va girando tranquillamente con il telefono senza psw, o con psw scritte in fogli di carta ripiegati nel portafogli (magari i più attempati).
Ne conosco personalmente.. Insomma capisci bene che i casi saranno la minoranza, ma ci sono.
Ora, non voglio minimamente giustificare chi lascia chiavi e porta aperta se poi si ritrovano derubati, ma come è stato giustamente osservato gli standard di sicurezza, peraltro imposti, devono tenere conto anche del caso più sprovveduto ed eliminarne, o quanto meno limitarne il più possibile, l'evenienza.
Ora però torniamo un attimo al caso specifico che avevo menzionato e su cui non mi hai risposto.
Se si becca un malware (e qui non diamo tutte le colpe a comportamenti imprudenti perché con lo smartphone facciamo ormai veramente di tutto, dallo scambio di file, video, audio, ecc..) anche con tutte le psw ed accortezze di questo mondo, chi impedirebbe una frode se tutti i fattori di autenticazione sono concentrati su un unico dispositivo?
anelcipa 20-01-22, 22:03
#78
onestamente io con la app di fineco mi trovo bene, anche la versione web è fatta bene, certo che se perdessi il cellulare ho l'autenticazione con l impronta che mi fa stare tranquillo.
Rand0m 21-01-22, 10:20
#80
Frode di che tipo? Un malware può potenzialmente registrare e comunicare i dati e le password, ma per eseguire un operazione serve sempre il possesso fisico dello smartphone.
Se lo smartphone viene rubato siamo sempre lì col punto, è come se ti rubassero la carta di credito, le chiavi dell'auto etc. Senza considerare che i malware in ambito mobile sono molto meno diffusi che in ambito pc (su Android poco, sugli iPhone sono praticamente assenti visto il sistema operativo di Apple, totalmente blindato).
Poi comunque nessun sistema di sicurezza al mondo è da considerarsi al 100% sicuro.
Anche nelle banche fanno le rapine, significa che il 100% di sicurezza non può esistere.
Lo scopo delle misure di sicurezza è ridurre quanto più possibile i rischi, poichè portarli allo zero assoluto non si può.
Checklist 21-01-22, 10:59
#82
Per i malware/virus/trojan, ecc.. sì magari per ora sono meno diffusi, ma appunto, per ora.
Serve il possesso, ok, ma chi può sapere se un domani un virus per smartphone non sia in grado di compiere operazioni autonomamente come se le stesse facendo l'utente?
Secondo me concentrare tutto su un solo dispositivo è concettualmente poco sicuro, poi magari mi sbaglierò.
robertogl 21-01-22, 12:53
#83
Per come sono costruiti i sistemi moderni nei telefoni, un malware non ha accesso a informazioni come password o chiavi private di altre app. Sono proprio protette da un hardware separato all'interno del telefono, e non per nulla Google ti da parecchi soldi se riesci ad hackerare questo sistema (esempio, oltre il milione di dollari:
Google really wants you to hack the Pixel’s Titan M security chip - The Verge
Google really wants you to hack the Pixel’s Titan M security chip - The Verge
Infatti non ho mai sentito nessuno che abbia perso soldi per un malware che 'automaticamente' abbia effettuato pagamenti o simili: gli unici malware che ce la fanno sono quelli che ingannano l'utente, ma questo funziona pure per telefono o per sms.
Detto questo, questi sistemi sono appunto intrinsecamente più sicuri del caro vecchio sms: non soffrono di sim swap, non salvano dati in chiaro sul telefono (un sms lo puoi leggere dal telefono, le chiavi private che generano gli OTP no), in molti casi possono essere aggiornati con aggiornamenti del sistema operativo.