Λήψη μέτρων και συστάσεις στους καταναλωτές για τηλεφωνικές κλήσεις απάτης με μέθοδο «Caller ID Spoofing»

[BlueChris]

Άλλο το pin του εκάστοτε phone banking. Ακομη και σε περίπτωση που υπάλληλος το μάθει όλο, ο μόνος τρόπος να κάνει συναλλαγή είναι μέσω του συστήματος (που θα φανεί ότι την συναλλαγή την έκανε υπάλληλος, χωρίς να υπάρχει κλήση, ή αν πάρει απο έξω ο υπάλληλος και ισχυριστεί ότι είναι ο πελάτης).
Με το web pass όμως, αν μανιπιουλάρεις το σύστημα και μάθεις όλο το password (το ανοίγεις μια, σου ζητάει 1ο και 5ο, ξανα-ανοίγεις, σου ζητάει 2ο και 6ο κτλ), μπαίνεις από όπου θέλεις, και αντε να αποδείξεις ότι δεν έκανες εσύ την συναλλαγή.

Ναι αν παίρνεις συνέχεια τηλέφωνα και η υπάλληλος σημειώνει τα ψηφία κάθε φορά γίνεται αλλά αν πάει να μπει απλά από web δεν θα έχει το 2FA .. αν μπει από την δουλειά της, καρφώνεται οπότε ποιο το νόημα?

[Chingachgook]

Το 2FA είναι by default ενεργό για όλους;

[BlueChris]

Το 2FA είναι by default ενεργό για όλους;

Νομίζω ναι, είτε μέσο SMS είτε μέσω App Notification

[paanos]

Τους το βγάζει το σύστημα χωρίς να βλέπουν όλο το password, ζητούν από τον πελάτη τα 2-3 ψηφία, τα περνάνε εκεί και εφόσον τους πει ΟΚ προχωράνε. Δεν κατάλαβα τι πρόβλημα υπάρχει. Πως αλλιώς θα υπήρχε δλδ κάποιου τύπου ισχυρή ασφάλεια?
Επίσης αυτό είναι μόνο για το PhoneBanking... να πάρεις τηλέφωνο δηλαδή και να σου κάνουν κίνηση αυτοί Online... σε απλές πληροφορίες που παίρνουμε όλοι ή προβλήματα με κάρτες κλπ, σου ζητάνε το PIn του webbanking.
Αυτά θυμάμαι εγώ... αν θυμάμαι λάθος διορθώστε με.

Δεν υπάρχει περίπτωση. Τα ψηφία του phone banking ζητάει. Password το λένε και αυτό.

[netblues]

Σιγουρα ζητάνε ψηφία απο το password? Απιθανο, και σοβαρο security issue. Βεβαια παιζει να εχουν κανει και καποιας μορφης tokenisation ωστε οτι πρεπει να εμφανιστει να μην ειναι καπου αποθηκευμένο χυμα και να παράγεται και αυτό on the fly. Just an idea.

[YAziDis]

Ναι του password ζητάνε. Απλά επειδή αρκετές φορές έχω χρησιμοποιήσει την υπηρεσία, θυμάμαι 100% ότι τις 2 τελευταίες φορές μου είχαν ζητήσει τα συγκεκριμένα ίδια ψηφία, οπότε δεν τίθεται θέμα σοβαρού ζητήματος αν ζητάνε συνέχεια τα ίδια

[BlueChris]

Σιγουρα ζητάνε ψηφία απο το password? Απιθανο, και σοβαρο security issue. Βεβαια παιζει να εχουν κανει και καποιας μορφης tokenisation ωστε οτι πρεπει να εμφανιστει να μην ειναι καπου αποθηκευμένο χυμα και να παράγεται και αυτό on the fly. Just an idea.

Τα του password όπως είπα τα ζητάνε σε συναλλαγές, σε όλα τα άλλα φτάνει το pin.

[tigra23]

Password δεν θα πρέπει να αποθηκεύεται unhashed and unsalted και εδώ και χρόνια θα πρέπει να είναι hashed με bcrypt

[netblues]

Εε τραπεζα ειναι, εχει και HSM, To πιθανοτερο ειναι οτι παιρνει τα salted bcrypt hashes και κανει HMAC με rate limit απο το HSM.
Tα ψηφια αναγνωρισης μπορει απλα να ειναι συγκεκριμενα και απλα να αποθηκευονται κατα το αρχικο encryption για λογους αυτου του verification.
Και επειδη μιλαμε για passwords και οχι για 4/6 numeric pins, απλα μικραινει το passworth length ΑΝ διαρρευσει.
Αλλα με την ιδια λογικη, αν καποιος κοιταει τι γραφεις, μπορει με το ματι να βρει καποιο απο τα ψηφια που πληκτρολογεθς, οχι ομως το pass.

Γενικοτερα, μακαρι να ηταν αυτο το προβλημα μας με την ασφαλεια. Σιγουρα οι τραπεζες δεν ειναι στην πρωτη γραμμη, ουτε καν στη δευτερη.