Pytanie:
Moja obsługa bankowa właśnie poprosiła mnie o dane logowania do bankowości internetowej
sysfiend
2017-08-09 14:10:06 UTC
view on stackexchange narkive permalink

Jak mówi tytuł, poproszono mnie o podanie hasła do bankowości internetowej, gdy byłem w kontakcie z prawdziwą osobą. To jest coś, czego nigdy bym nie zrobił, a świadomość, że rozmowa jest nagrywana (w celu dalszego ulepszania bota, z którym rozmawiałem ), jeszcze bardziej pogarsza sprawę.

Na pewno potem rozłączyłem się i jestem prawie pewien, że jest to naruszenie prywatności, ponieważ jesteś proszony o podanie danych osobowych, a także nie jest to w ogóle szyfrowane.

  • Czy ktoś był o to pytany wcześniej ?
  • Czy to normalna praktyka?
  • Po podaniu mojego numeru identyfikacyjnego bot odniósł się do mnie jako „Pan moja_nazwa_ostatnia ”, więc wydaje mi się, że jest to prawidłowy numer telefonu, ale czy został zhakowany i numer wsparcia porwany?
  • Czy powinienem podjąć jakieś działania?
Zainicjowałeś rozmowę, czy oni?Czy numer telefonu jest prawidłowy?Zazwyczaj masz różne dane uwierzytelniające do bankowości internetowej i telefonicznej, więc z pewnością wygląda to na próbę wyłudzenia informacji.
Zadzwoniłem pod numer telefonu podany na ich stronie internetowej
Czy sprawdziłeś, czy zadzwoniłeś pod właściwy numer i czy była to właściwa strona internetowa?Nie wiem, czy dzieje się tak z numerami pomocy technicznej, ale wiadomo, że phisherzy używają adresów URL zawierających błędy ortograficzne, aby pobrać dane logowania.Jeśli jest to prawidłowy numer telefonu (banku), wydaje się to po prostu (bardzo) złą polityką banku, a nie próbą phishingu.Numer telefonu może zostać przejęty i wykorzystany przez atakującego, ale nie jest to coś dla twojego codziennego dzieciaka od skryptów.
@Tom tak, sprawdziłem wszystko i było dobrze.Numer telefonu był prawidłowy, podobnie jak strona, którą odwiedzałem.Powiedziałbym, że to straszna polityka.
To normalne.Wiele banków to robi.Kiedy dzwonisz na ich linię wsparcia, muszą Cię jakoś uwierzytelnić.Poproszenie o swoje kredyty jest jednym sposobem.Czy to dobry sposób, to zupełnie inna kwestia, ale z pewnością jest to popularny sposób.
Nie powiedziałbym, że to popularny sposób.Jak wspomniałem wcześniej, ** JEŚLI ** jesteś proszony o poświadczenia przez telefon, powinno to dotyczyć tylko określonych poświadczeń związanych z bankowością telefoniczną.Nigdy czegoś takiego nie doświadczyłem i od 15 lat prowadzę bankowość internetową w kilku bankach.Może to różni się w zależności od kraju, ale byłaby to dla mnie nowość.
Mogę korzystać z bankowości przez telefon.Aby się uwierzytelnić, mam hasło do bankowości telefonicznej - inne niż hasło online - które muszę im podać.Jest jakaś szansa, że tak się stało?
@tom, chociaż niektóre banki rzeczywiście mają oddzielne mechanizmy uwierzytelniania bankowości telefonicznej, nie widzę żadnego szczególnego powodu (z punktu widzenia bezpieczeństwa) dla takiego oddzielenia.Z mojego doświadczenia wynika, że kredyty w bankowości telefonicznej są ograniczone przez mechanizm wprowadzania danych, który powoduje, że są one nieco słabsze niż w aplikacji internetowej.bankowych, ale nie jest to bezwzględny wymóg.
@RоryMcCune: Moja osobista teoria była taka, że do bankowości internetowej zazwyczaj potrzebny jest drugi czynnik (np. Token wysłany na Twój telefon), co byłoby dość niepraktyczne podczas robienia bankowości przez telefon, podczas gdy bankowość telefoniczna wymaga tylko jednego (twoje dane logowania).Dlatego - z mojego doświadczenia - zasady dotyczące haseł do bankowości telefonicznej są znacznie surowsze niż w przypadku bankowości internetowej.Ale to po mojej stronie czysta spekulacja.
Czy po prostu poprosił o podanie identyfikatora, czy też hasła?Pierwsza jest stosunkowo nieszkodliwa, druga to straszna polityka.
„Po wypowiedzeniu mojego numeru identyfikacyjnego bot zwrócił się do mnie jako„ Mr. my_last_name ”„ Czy tylko ja widzę tutaj już problem?Chodzi mi o to, że mogłem uzyskać wiedzę o właścicielach kont, po prostu wpisując losowe numery kont.Myślę, że w polityce tych firm jest sporo nie tak.
Czy być może otrzymałeś telefon z banku tuż przed wykonaniem telefonu?Znane jest oszustwo typu „otwarta linia”, w którym ktoś podszywający się pod Twój bank dzwoni na Twój numer stacjonarny i zachęca Cię do oddzwonienia za pośrednictwem oficjalnego numeru telefonu ze strony banku.Nie rozłączają się, pozostawiając otwartą linię - więc kiedy „dzwonisz do banku”, kontynuują udawanie, ponieważ w rzeczywistości nigdy nie opuściłeś ich rozmowy.Zobacz [ten blog] (https://www.herts.police.uk/advice/crime_prevention/protect_your_money/scams_targeting_older_people/scam_police_and_bank_callers.aspx)
We wszystkich bankach, z których kiedykolwiek korzystałem, takie hasło zawsze * różni się * od dowolnego hasła bankowości internetowej (nawet technicznie hasła do telefonów są oczywiście ograniczone tylko do cyfr).Więc tak, ta konfiguracja jest bardzo powszechna, ale nie ma nic wspólnego z danymi logowania online.
Wystarczy wypowiedzieć przypadkowe słowo, aby obalić bota i połączyć się z osobą, która uwierzytelni Cię w bardziej znany sposób
Osiem odpowiedzi:
Rory McCune
2017-08-09 18:57:06 UTC
view on stackexchange narkive permalink

Zakładając, że zadzwoniłeś pod numer opublikowany, powiedziałbym, że brzmi to tak, jakby był to interaktywny system odpowiedzi głosowej (IVR), który jest dość powszechny w świecie bankowym.

Koncepcja polega na tym, że system pobiera dane uwierzytelniające przed przekazaniem ich agentowi centrum obsługi. Zaletą tego z punktu widzenia bezpieczeństwa jest to, że agent w centrum telefonicznym nie musi prosić Cię o uwierzytelnienie przed omówieniem konta.

Prawidłowo zaimplementowane nie powinno być bardziej niebezpieczne niż wpisanie hasła na stronie internetowej. Istnieje zautomatyzowany system przetwarzający dane głosowe i powinien on odpowiednio przechowywać / rejestrować te dane.

Oczywiście, jak zauważyłeś, istnieje ryzyko podsłuchu, ale jeśli przyjmiesz, że twoja linia telefoniczna jest podsłuchiwana , jakakolwiek bankowość telefoniczna jest niebezpieczna, ponieważ muszą Cię w jakiś sposób uwierzytelnić, aby móc omówić z Tobą konto.

EDYTUJ: Aby dodać więcej szczegółów, niż zostawić je rozrzucone po komentarzach, które mogą zostać usunięte.

Zasadniczo banki muszą Cię w jakiś sposób uwierzytelniać, bez względu na kanał (np. internet, telefon, oddział), z którego się z nimi kontaktujesz, i są kompromisy należy wziąć pod uwagę.

Z jednej strony posiadanie dedykowanych danych uwierzytelniających na kanał jest przydatne, ponieważ zmniejsza ryzyko włamania i pozwala uniknąć błądzenia wiadomości „nie podawaj ludziom swojego hasła internetowego”, ale pozostawia użytkowników z większą liczbą poświadczeń do zarządzania i według wszelkiego prawdopodobieństwa wielu resetowań haseł, jeśli użytkownicy rzadko korzystają z określonego kanału błędy, które przyciągają częste resetowania)

Tak więc opcja, która wydaje się, na podstawie dostarczonych informacji, jest tutaj używana, to połączenie poświadczeń dla kanału internetowego i telefonicznego oraz użycie automatycznego systemu IVR w kanale telefonicznym, aby uniknąć przekazywania danych uwierzytelniających agentom centrum kontaktowego . Plusem jest tutaj pojedynczy zestaw kredytów, więc użytkownik ich nie zapomni, a wadą jest scenariusz, w którym wiadomości bankowe „nie podawaj ludziom swojego hasła” prowadzą do problemów w korzystaniu z tego systemu.

Pod względem bezpieczeństwa systemu IVR, jest to w zasadzie jak każdy inny system przetwarzający dane. Musi być odpowiednio zabezpieczony, aby poświadczenia użytkownika nie były ujawniane, nie różni się od kanału internetowego.

Oczywiście system taki jak sprzętowy (nie SMS) 2FA może dobrze działać w tym scenariuszu, ponieważ kody numeryczne są łatwo przekazywane do systemów IVR, ale ma to swoje własne kompromisy pod względem kosztów i doświadczenia użytkownika.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/63620/discussion-on-answer-by-rry-mccune-my-bank-support-just-asked-me-for-my-online).
Jak wymawiasz hasło do zautomatyzowanego systemu?Te rzeczy nie potrafią nawet zrozumieć słów, a teraz hasła?LOL.
Nie dotyczy to faktu, że rozmowa była nagrywana.
Sugerujesz, że telefon i kanały internetowe są zasadniczo takie same, ale nadal bardzo ważne jest, aby podkreślić, że w przypadku standardowej rozmowy głosowej tak naprawdę nie ma dostępnej metody zabezpieczenia jej od końca do końca.W sieci mamy SSL, który może automatycznie ustanawiać szyfrowanie typu end-to-end - gdzie użytkownik widzi ikony i może przeglądać szczegóły certyfikatu.W bankowości telefonicznej prawie wszystko jest jawne i może zostać przechwycone przez kogoś w środku.
@BrianMcCutchon zazwyczaj banki nie rejestrują części połączeń IVR, dokładnie z tego powodu, aby uniknąć niewłaściwego logowania danych uwierzytelniających
@Peter i na tradycyjnych telefonach stacjonarnych nie mamy złośliwego oprogramowania, brakujących poprawek i wielu innych zagrożeń.Tak naprawdę nie powiedziałem, że są takie same, ale że są podobne pod względem faktu, że są to kanały, które wymagają uwierzytelnienia.W przypadku zwykłego klienta bankowego (nie używającego smartfona) sugerowałbym, że ryzyko przechwycenia danych uwierzytelniających do bankowości telefonicznej jest niższe niż ryzyko przechwycenia kredytów kanału internetowego ze względu na rozpowszechnienie złośliwego oprogramowania atakującego komputery PC, które uzyskują dostęp onlinewitryny bankowe.
„Szanowny Panie * Mysz *, wprowadź kod, który właśnie wysłaliśmy SMS-em na Twój zarejestrowany numer telefonu komórkowego, aby porozmawiać z przedstawicielem”.Łatwe i bezpieczne.Wiele banków wdraża silniejsze 2FA, w których słabszy czynnik jest używany do zapytań, tym silniejszy jest zlecanie transakcji
Uwierzytelnianie @usr-local-ΕΨΗΕΛΩΝ SMS nie jest naprawdę bezpieczne, ponieważ GSM jest podatny na ataki podszywania się.
@StockB Zapomniałem „ładny” przed zabezpieczeniem.Mój błąd.W naszym scenariuszu włączania podszywanie się nie stanowi problemu.Jest podsłuchiwanie.Ale musisz kontrolować zarówno sieć GSM, jak i publiczne centrum telefoniczne banku.Wciąż piękna?"Uwaga: Nigdy nie miałem na myśli „mocno” bezpiecznego.
@StockB zamień sms na „kod w Twojej aplikacji do autoryzacji”.Z drugiej strony podszywanie się nie stanowi problemu w tym przypadku użycia, ponieważ jeśli otrzymasz sfałszowany SMS, najgorszym przypadkiem jest to, że wypowiesz na głos kod z tej sfałszowanej wiadomości.Prawdziwym problemem jest to, że ktoś jest w stanie przechwycić sms i użyć tego jednorazowego tokena, zanim to zrobisz, co w zależności od czasu wymaganego do skonfigurowania tego połączenia waha się od mało prawdopodobnego do prawie niemożliwego.W każdym razie jest to prawdopodobnie 100 razy bezpieczniejsze niż głośne wypowiadanie hasła przez kogoś, kto mógłby je usłyszeć.
Słuszne uwagi.SMS może być bezpieczniejszy niż status quo, ale wdrażając nowy, nowoczesny system uwierzytelniania dwuskładnikowego, dążyłbym do bezpieczniejszej implementacji, np.RSA lub Authy.
@BrianMcCutchon,, co jednak oznacza „nagrane”?Czy to koniecznie oznacza, że połączenie jest przechowywane przez dłuższy czas?Ponieważ niektórzy twierdzą, że nagrywaniem jest jakikolwiek rodzaj przechwytywania mikrofonu, co może obejmować boty.Nie wspominając o tym, że nie jest jasne, czy fragmenty bota zostałyby nagrane (nawiasem mówiąc, powoduje to, że zastanawiasz się, czy „ta rozmowa jest nagrywana” zostanie nagrana).
Tom K.
2017-08-09 18:41:35 UTC
view on stackexchange narkive permalink

Obowiązkowe ostrzeżenie:

Nigdy nie podawaj nikomu swojego hasła i nie pozwól, aby ta odpowiedź wpłynęła w jakikolwiek sposób na tego rodzaju zachowanie.

Ponieważ nie sposób poznać wszystkich okoliczności w tym konkretnym przypadku, potrzebna jest odrobina spekulacji, aby odpowiedzieć na to pytanie.

Jeśli wszystko dobrze zrozumiałem, sprawa wygląda następująco:

OP odwiedził witrynę banku, wyszukał numer wsparcia, a następnie zainicjował połączenie. Po podaniu tylko swojego identyfikatora bankowego (?), Bot na końcu linii przywitał OP swoim nazwiskiem, a następnie poprosił o hasło do bankowości internetowej.

Tak, mogła to być próba wyłudzenia informacji przez osobę atakującą. Witryna, którą odwiedziłeś, mogła zostać zmieniona i można było ustawić inny numer pomocy. Po wykonaniu tego wszystkiego osoba atakująca musiała czekać, aż OP odwiedzi witrynę dobrowolnie 1 , a następnie zadzwonić pod ten numer. Atakujący musiałby również skonfigurować telefonicznego bota, który jest w stanie połączyć identyfikator banku z nazwiskiem OP 2 .

To przynajmniej dla mnie - wygląda na to, że samo zdobycie hasła do konta bankowego online to naprawdę duży wysiłek, co nie jest nawet tak cenne przy korzystaniu z typowego systemu bankowości internetowej. Zazwyczaj potrzebujesz drugiego czynnika, aby dokonać jakiejkolwiek transakcji pieniężnej. Nadal jest to przejęcie konta bankowego, ale nic, czego nie można naprawić.

Bardzo wątpię, że jest to próba wyłudzenia informacji. Po prostu nie wydaje mi się to dobrą zasadą, zwłaszcza jeśli nie jest jasne dla użytkowników, że ich hasło online jest również używane do uwierzytelniania przez telefon.

(1) Teoretycznie osoba atakująca mogłaby sfałszować coś w rodzaju sytuacji awaryjnej, co spowodowałoby, że użytkownik zadzwoniłby pod numer pomocy technicznej.

(2) Chyba że OP popełnił błąd i nie podał wcześniej swojego nazwiska podczas rozmowy.

Chcesz wyjaśnić głos przeciw?
Brak głosów, ponieważ po ponownym przeczytaniu generalnie zgadzam się z twoim wnioskiem.Porada „nigdy nie udostępniaj swojego hasła” jest prawie zawsze prawdziwa, ale nie jest w 100%, a biorąc pod uwagę szczegóły sytuacji przedstawionej przez PO, scenariusz phishingu nie jest początkowy.
Więc twoja rada jest taka, aby nigdy nie używać niczego, co wymaga hasła, w tym strony internetowej banku?
Nie wiem, gdzie to przeczytałeś.
@Tom Jak więc * wykonać * bankowość telefoniczną, jeśli nie podasz im swojego hasła?
Naprawdę nie rozumiem, dlaczego muszę to wyjaśniać, ale ponieważ pojawiło się to teraz po raz drugi, zrozumiem.Domyślam się, że w mojej odpowiedzi masz na myśli jedno z dwóch stwierdzeń: 1.) „Nie podawaj swojego hasła ** nikomu ** ...” Pamiętaj, że dotyczy to ** osoby **, a niezautomatyzowany system.Generalnie zgadzam się ze stwierdzeniem Rory: „Jeśli poprawnie zaimplementowano, nie powinno to być bardziej niebezpieczne niż wpisanie hasła na stronie internetowej”.Ale dla mnie to stwierdzenie jest prawdziwe tylko wtedy, gdy zostanie ujawnione użytkownikom, że ich hasło do bankowości internetowej jest również używane do bankowości telefonicznej.
Jeśli więc odnosisz się do tego stwierdzenia: 2.) „Po prostu nie wydaje mi się to dobrą polityką…”.Uważam, że w przypadku oddzielnych systemów należy mieć albo różne hasła, albo - jeśli z jakiegoś powodu nie jest to możliwe - powinno być przynajmniej oczywiste dla użytkowników, że używają tego samego hasła do dwóch różnych usług.Mógłbym bardziej szczegółowo opisać mój sposób myślenia w tej konkretnej kwestii, ale uważam, że wykracza to poza zakres tego pytania.
TheJulyPlot
2017-08-09 14:27:14 UTC
view on stackexchange narkive permalink

Tak, powinieneś podjąć działanie, zgłoś to do swojego banku, najprawdopodobniej była to próba wyłudzenia informacji.

To nie powinno się zdarzyć i nie jest normalną praktyką.

Twój bank nigdy nie poprosi Cię o podanie numeru PIN ani hasła.

EDYTUJ: Po przeczytaniu twoich komentarzy i wyjaśnieniu (opublikowanym za moim awnserem), że kontakt został w całości zainicjowany przez Ciebie, jest możliwe / prawdopodobne, że nie jest to próba wyłudzenia informacji i albo bardzo zła polityka (ponieważ identyfikator głosowy / dane biometryczne nie powinny wymagać tajnego hasła do działania) lub prośby o informacje dostarczone w celu potwierdzenia tożsamości w tego rodzaju scenariuszu.

Tak czy inaczej, skontaktowałbym się z Twoim bankiem (inną metodą niż ten numer telefonu) i wyjaśnij swoje obawy i uzyskaj od nich wyjaśnienie, że ta prośba jest uzasadniona.

Phishing jest zwykle inicjowany przez sprawcę, a nie w momencie, gdy dzwonisz do obsługi klienta witryny.
To nie jest phishing, a uwierzytelnianie osoby dzwoniącej jest normalną praktyką.
OP zadzwonił do banku pod opublikowany numer kontaktowy, dlaczego myślisz, że to był phishing?
Ponieważ OP zadzwonił do banku na swój opublikowany numer kontaktowy, wydaje się bardzo mało prawdopodobne, że jest to phishing (chyba że zakładamy, że jego komputer został zainfekowany złośliwym oprogramowaniem, ale jest to trochę okrężny sposób na wyłudzenie kogoś ...)
Nie było to do końca jasne (przynajmniej przegapiłem to), zanim wyjaśniono to w komentarzach, po tym, jak odpowiedziałem.Po dalszej analizie możliwe jest, że nie jest to próba wyłudzenia informacji i jest to albo bardzo zła polityka, albo prośba o przekazanie informacji w celu potwierdzenia tożsamości w tego rodzaju scenariuszu.
-1
Czy zgłosiłbyś to do banku, gdyby jego strona internetowa wymagała hasła do uwierzytelnienia?Zasadniczo jest tak samo.
@Rory McCune Nigdy tak naprawdę nie musiałem o tym myśleć ani analizować w jakimkolwiek stopniu, ale myślę, że na czele mojej głowy powiedziałbym, korzystając z informacji dostarczonych dla tego scenariusza.Typ i zestaw wspólnych sekretów.Szczerze mówiąc, nie jestem w 100% na rozwiązaniu, ale nadal nie powiedziałbym przez przekazanie uzasadnionego sekretu, który powinien wiedzieć tylko użytkownik, nawet jeśli chodzi o bota.(System Voice ID również nie wymaga tego do działania (o ile mi wiadomo)). To wydaje się złą praktyką, a także uczy użytkowników, aby zaakceptowali fakt, że mogą potrzebować legalnie podać swoje hasła.Co byś polecił?
@TheJulyPlot Cóż, pracowałem w bankowości jako analityk bezpieczeństwa IT, więc to jest ten, z którym miałem do czynienia, chociaż było to jeszcze dzień, zanim biometria głosowa i 2FA były łatwymi opcjami.Masz wybór, albo użyj tych samych kredytów.jak w przypadku kanału internetowego (tak jest tutaj), lub użyj osobnego zestawu kredytów (np. konkretnego hasła bankowego „telefon”).Używanie dwóch zestawów kredytów nie jest idealne, ponieważ użytkownicy prawdopodobnie zapomną zestawu, którego używają rzadziej.Najlepiej byłoby, gdyby oba kanały korzystały ze sprzętowej 2FA, tak aby oprócz hasła wprowadzić jednorazowy token numeryczny.
@9ilsdx 9rvj 0lo Nie powiedziałbym, że to to samo.Nawet jeśli jest poprawnie wdrożony, jest bardziej skomplikowany i dlatego wiąże się z większym ryzykiem niż zwykłe podanie hasła.
@Rory Mcune Tak Miałem zamiar powiedzieć drugi czynnik wraz z innymi informacjami.Wydaje się to mniej ryzykowne, ale jak mówię, nigdy nie musiałem się temu przyglądać dogłębnie.
Kallmanation
2017-08-10 01:39:51 UTC
view on stackexchange narkive permalink

Nie ufałbym temu bankowi. Nawet jeśli ta rozmowa telefoniczna była całkowicie zgodna z ich systemami, to tylko dowodzi, że nie rozumieją konsekwencji dla bezpieczeństwa na co najmniej dwa sposoby:

  1. Jeśli Twoje hasło internetowe jest wystarczająco proste aby robot mógł je wymówić, tak aby mógł je zrozumieć wystarczająco dobrze, aby potwierdzić, że jest to rzeczywiście Twoje hasło, nie jest to wystarczająco bezpieczne hasło dla czegoś tak wrażliwego jak informacje bankowe. Zmuszając użytkowników do wymawiania (lub w jakiś sposób wpisywania go z klawiatury, co szczerze brzmi jak absolutne piekło) swojego hasła, zachęcają do niezabezpieczonych haseł.

  2. Z odpowiedzi Rory:

Prawidłowo zaimplementowane nie powinno być bardziej niebezpieczne niż wpisanie hasła w witrynie internetowej.

i

Jeśli chodzi o bezpieczeństwo systemu IVR, jest to w zasadzie jak każdy inny system przetwarzający dane. Musi być odpowiednio zabezpieczony, aby poświadczenia użytkownika nie były ujawniane, tak samo jak kanał internetowy.

Rozmowa przez telefon BARDZO różni się od komunikacji w kanale internetowym. O ile nie korzystasz z zaszyfrowanej linii telefonicznej od Ciebie do banku, wszystko, co jest przesyłane przez tę linię, może zostać podsłuchane. Natomiast prawidłowo zaimplementowany login sieciowy nie może zostać podsłuchany, ponieważ wykorzystuje szyfrowanie od końca do końca. W rzeczywistości w najlepszych implementacjach Twoje hasło nigdy nie jest przesyłane w formie możliwej do odzyskania, więc nawet jeśli serwer internetowy banku zostałby zainfekowany, nie byłby w stanie wykryć Twojego hasła (mógł jedynie zweryfikować, czy posiadasz poprawne hasło). Oto dyskusja na temat tego, dlaczego ta technika haszowania (oprócz już zaszyfrowanego kanału komunikacyjnego) byłaby lub nie byłaby używana: Dlaczego haszowanie hasła po stronie klienta jest tak rzadkie?

[T] hej muszę Cię jakoś uwierzytelnić, aby móc omówić z Tobą Twoje konto.

To prawda, ale używanie poświadczeń internetowych nie jest właściwym sposobem na to. A z powodów, o których wspomniałem powyżej, komunikacja telefoniczna ma nieodłączną cechę niepewności i nie prowadzę delikatnych interesów przez telefon, jeśli mogę na to poradzić.

Jak we wszystkim, posłuchaj mojej rady z przymrużeniem oka. Prawdopodobieństwo podsłuchania Twojej linii telefonicznej przez osobę lub organizację, która byłaby zainteresowana użyciem Twojego hasła internetowego przeciwko Tobie, jest bardzo niewielkie. Czytelnikowi pozostawiam to, aby rozważył to ryzyko z ryzykiem banku niewłaściwie zabezpieczającym inne kanały komunikacji i zdecydował, jaki poziom ryzyka jest gotów podjąć.

Nigdy nie będziesz w 100% bezpieczny. Ryzyko można ograniczyć tylko do akceptowalnego poziomu.

* „W rzeczywistości w najlepszych implementacjach Twoje hasło nigdy nie jest przesyłane w formie możliwej do odzyskania, więc nawet jeśli serwer sieciowy banku zostałby zainfekowany, nie byłby w stanie wykryć Twojego hasła (może jedynie zweryfikować, czy jesteś w posiadaniuprawidłowe hasło). ”* To nie brzmi dobrze.Potrzebne cytowanie / wyjaśnienie.(Nie jestem ekspertem od kryptowalut, więc jest * możliwe * masz rację, ale z kryptowalut, które * badałem *, nie wiem, jak możesz.)
Oryginalne źródło: osobiście napisałem kilka aplikacji internetowych, które używają tej techniki.Poszukam jednak odniesienia zewnętrznego do zacytowania dla tej sekcji.Dzięki za opinie!
To brzmi zasadniczo niemożliwe.I wygląda na to, że kręcisz własną kryptowalutą.Czekamy na Twoje cytaty.
Zdecydowanie nie jest to niemożliwe.Po prostu _bardzo_ sprytne użycie prostej matematyki.I tak jak w przypadku pytania, do którego się odnosiłem, możemy nie zgodzić się co do jego konieczności i kosztu / korzyści.
„Innymi słowy, chociaż zapewnia pewne pomniejsze zabezpieczenia, z punktu widzenia serwera, hash po stronie klienta powinien być traktowany tak, jakby był bezpośrednim hasłem użytkownika. Nie zapewnia większego ani nie mniejszego bezpieczeństwa * na serwerze* niż gdyby użytkownik bezpośrednio podał swoje hasło i jako taki powinien być chroniony. "Tak, możemy nie zgodzić się również co do tego, jak sprytny jest.:)
Nie sądzę, żebym zgodził się, że dla zwykłych użytkowników ryzyko komunikacji przez standardową linię telefoniczną stanowi znacznie większe ryzyko niż przy użyciu kanału internetowego.W rzeczywistości, biorąc pod uwagę dużą liczbę zagrożeń charakterystycznych dla kanału internetowego (np. Złośliwe oprogramowanie dla komputerów PC, exploity przeciwko serwerom internetowym dostępnym w Internecie), sugerowałbym, że ryzyko * dla standardowego klienta bankowego * będzie prawdopodobnie niższe w przypadku zastosowania prawidłowokanał telefoniczny niż w przypadku korzystania z kanału internetowego.
Rory, praktyczna strona mojego mózgu musiałaby się z tobą zgodzić.Stąd ostatnie dwa zdania w moim przedostatnim akapicie.Po prostu poczułem, że ważne jest, aby wspomnieć o różnicach w ryzyku między linią telefoniczną a komunikacją internetową.
@Wildcard Zobacz [techniki uwierzytelniania typu wyzwanie-odpowiedź] (https://en.wikipedia.org/wiki/Challenge–response_authentication#Cryptographic_techniques).Zasadniczo serwer przechowuje tylko skrót hasła, ale zamiast bezpośrednio prosić Cię o przesłanie skrótu hasła próbowanego w celu uwierzytelnienia, używa metody „wyzwanie i odpowiedź”, w której skrót hasła jest używany jako klucz szyfrowania do pewnego rodzajunonce.
user156500
2017-08-11 00:03:44 UTC
view on stackexchange narkive permalink

Zwykle istnieją różne dane uwierzytelniające do bankowości telefonicznej i internetowej. Pozwala to uniknąć większości pokus i konfliktów interesów, ponieważ bankowość telefoniczną można zainicjować tylko za pośrednictwem zalogowanego operatora telefonicznego, a przynajmniej mój bank dość wyraźnie wskazuje, że jego dane uwierzytelniające online nigdy nie zostaną poproszone ani zaakceptowane przez telefon, właśnie z powodu phishingu.

Gdyby odróżnienie phishingu od prawdziwej głupoty było całkowicie trywialne, phishing byłby mniej istotny. Tak czy inaczej, zaufanie drugiej stronie do Twoich danych uwierzytelniających online wydaje się złym pomysłem.

8DX
2017-08-09 19:12:05 UTC
view on stackexchange narkive permalink

Zastrzeżenie: nigdy nie udostępniaj swoich danych logowania, haseł ani numerów PIN osobiście, przez telefon lub online. Używaj haseł bankowych tylko w zweryfikowanej witrynie banku, sprawdzając informacje bezpieczeństwa przeglądarki (obok https).

Nie nazwałbym tego „naruszeniem prywatności” ponieważ teoretycznie twoje hasło (lub jego hash) to informacje już udostępnione między tobą a bankiem. Ponieważ to ty dzwoniłeś do obsługi klienta, wygląda na to, że odkryłeś błąd lub wyciek bezpieczeństwa w ich systemie.

  • Zostałem poproszony o podanie części mojego numeru PUK lub identyfikatora fabrycznego z tego elementu plastiku moja karta SIM została usunięta przez pracownika obsługi klienta podczas rozmowy w sprawie mojego konta w telefonie komórkowym. I przez kilka cyfr z mojego numeru konta przez pracownika banku, dzwoniąc do banku, nigdy nie podawaj hasła.
  • Nie, to nie jest normalna praktyka, większość banków ostrzega Cię, abyś nigdy nie zapisywał swojego hasła. poinformować o tym komukolwiek i używać go tylko ze swojego komputera podczas logowania się do usługi bankowości internetowej przez HTTPS.
  • Możliwe, że ktoś do nich włamał się (mianowicie oprogramowanie bota używane w ich centrum serwisowym) lub może stanowić nieplanowane zagrożenie bezpieczeństwa / błąd w ich oprogramowaniu. Tak czy inaczej, wypowiedzenie hasła przez telefon jest samo w sobie zagrożeniem bezpieczeństwa, ponieważ możliwe jest, że ktoś Cię podsłucha, przekierowanie połączenia telefonicznego (na przykład zhakowanie telefonu) lub ktoś może przechwytywać i podsłuchiwać rozmowa.
  • Skontaktuj się z bankiem za pośrednictwem innego źródła i zgłoś zagrożenie bezpieczeństwa. Możesz spróbować zgłosić błąd za pośrednictwem formularza kontaktowego / zgłaszania błędów na ich stronie internetowej lub osobiście udać się do lokalnego oddziału. Inną rzeczą do zrobienia byłoby sprawdzenie witryny banku pod kątem stron pomocy związanych z ich usługą telefoniczną. Zwykle opisują one proces wymagany do korzystania z ich linii obsługi klienta, a jeśli ten krok (przekazanie botowi hasła) nie jest uwzględniony, ktoś najprawdopodobniej włamał się do jego oprogramowania bota lub jest to atak phishingowy dokonany przez kogoś z centrum obsługi ten krok jest uwzględniony i najprawdopodobniej jest przeoczonym zagrożeniem bezpieczeństwa. Tak czy inaczej powinieneś to zgłosić, większość usług finansowych potraktuje taką skargę bardzo poważnie.
  • W zależności od wyniku tej skargi może być konieczne skontaktowanie się również z operatorem telefonicznym, ponieważ może to być wynikiem złośliwego oprogramowanie lub zagrożenie bezpieczeństwa u Twojego dostawcy. Aby tymczasowo to wykluczyć, spróbuj skontaktować się z usługą bankową za pomocą innego telefonu w innej sieci.
skrewler
2017-08-13 01:31:17 UTC
view on stackexchange narkive permalink

Nie pytali o Twoje hasło do bankowości internetowej, ale o Twoje hasło / hasło do ich systemu telefonicznego. Bank (nie mówiąc już o jakiejkolwiek firmie / systemie) używający tych samych danych uwierzytelniających do bankowości internetowej i telefonicznej po prostu nie istnieje.

- typowe „bezpieczne” hasło internetowe:

+ o_TH3 -m * 0N2017! który jest następnie przechowywany w bazie danych jako skrót (np. 8dd6ae487b790146f6570cb5b01f7f70224f6706). Aby uwierzytelnić wprowadzoną prawidłową przepustkę, system ponownie zhasowuje wprowadzone dane, a jeśli jest to zgodne, zostaniesz uwierzytelniony.

W przypadku systemów telefonicznych hasła byłyby przechowywane jako zwykły tekst lub automatyczny system wymagałby tylko używania cyfry / litery i podawaj je litera po literze.

Jeśli nie chcesz nam podać informacji o banku, z którego korzystasz, możesz uzyskać większą jasność, dzwoniąc do banku i prosząc o rozmowę z przedstawicielem?

Wreszcie - skoro do nich dzwoniłeś, próba wyłudzenia informacji jest mało prawdopodobna

TriloByte
2017-08-09 14:39:16 UTC
view on stackexchange narkive permalink

Na pierwszy rzut oka wygląda to na oszustwo, ale teraz masz coś do zrobienia:

  1. Kiedy ludzie odbierają takie telefony, zwykle zaleca się skontaktowanie się z centralą banku numer telefonu i poproś prawdziwą osobę o potwierdzenie, czy sprawa jest prawdziwa.

    Ponieważ najprawdopodobniej jest to sztuczka phishingowa, powinieneś im to zgłosić. Pomaga im blokować lub znajdować przestępców.

    • Musisz podać informacje o numerze telefonu lub adresie e-mail, z którego pochodzi.
    • Podaj informacje o godzina połączenia i wszelkie inne podejrzane działania wraz z datami.
    • Podaj informacje o pytanych przez nich informacjach i czy coś im przekazałeś.

  2. Zmień wszelkie możliwe dane, najlepiej dzwoniąc na centralną linię informacyjną, gdzie podajesz im ŚWIEŻY nowy adres e-mail i numer telefonu, pod którym możesz bezpiecznie się komunikować. Najlepiej nie czytać smsów z nieznanych numerów.

    • Zmień nazwę użytkownika, hasło, kod PIN. Ogranicz kwotę do wypłaty, ale szczerze mówiąc, jeśli dawałeś im identyfikator, po prostu poprosiłbym o nowe konto ze względów bezpieczeństwa. To zależy od Twojego banku i jego elastyczności.
    • Po zarejestrowaniu nowego adresu e-mail musisz również zmienić hasło i pytania zabezpieczające na koncie. Jeśli konto wydaje się być bezpieczne, możesz przelać te pieniądze na inne konto lub najlepiej osobiście przekazać je gotówką w banku lub przelać na nowe konto. Powiedz im, że rozdałeś informacje.
    • Nie ufaj żadnym witrynom pojawiającym się na (skompresowanym) adresie e-mail / koncie. Nawet SSL (bezpieczna witryna) może być fałszywa.

  3. Opcjonalnie możesz skontaktować się z policją, ale jest to strata czasu bez żadnych konkretnych informacji.

Niektóre z nich mogą wydawać się przesadne i nieprawdopodobne, ale widziałem wielu sprytnych, podstępnych przestępców. Na co dzień przyjeżdżają z Rosji lub Indii, gdzie organy ścigania nie będą się przejmować władzami w UE / USA.

edytuj komentarz @ questioner

Wydaje się, że nie sprecyzowałeś, jak to się stało. Nie wiem, czy został zredagowany, ale jak zrozumiałem, wyglądało na to, że skontaktowali się z tobą. Jeśli zadzwoniłeś pod numer oficjalnej strony (bez klikania linków e-mailowych), to zrobiłeś to, co powiedziałem. Ale:

  1. ŻADNA z firm, które znałem do tej pory (banki czy IT) nie pytają o hasło przez telefon. Jak powiedziałeś, jest nagrany, niezaszyfrowany i nadający się do użytku bez zgody właściciela. Nie proszą nawet o pełne numery identyfikacyjne!
  2. Wręcz przeciwnie, znam firmy, które mają obowiązek poinformować, że rozmowa jest nagrywana, a pracownikowi ZABRONIONO prosić o jakiekolwiek hasło, a właściciel, aby powiedzieć którymkolwiek z nich. Nawet zautomatyzowane systemy nie proszą o wpisywanie pełnych haseł za pomocą przycisków czy wypowiadanie tego do telefonu, a gdyby to była prawdziwa firma, natychmiast opuściłbym ten bank.
  3. To dokładnie wygląda na oszustwo. „Prawdziwa osoba” to kluczowy element inżynierii społecznej. Oszust zyskuje zaufanie, będąc autentycznym. Tego typu sztuczki zdarzają się na co dzień. To, co opisałem, to oficjalna rutyna profesjonalnych firm. Zgadzam się, to okropna polityka, jeśli to był prawdziwy bank.
nic z tego nie powinno być potrzebne, ponieważ wykonałem telefon pod numer, który podali swoim klientom.
@sysfired Istnieje wiele powodów, dla których numer w ich witrynie nie mógł być wiarygodny.Każdy, kto ma dostęp do twojego komputera lub twojej sieci, może przekierować domenę na fałszywą witrynę i edytować ją na cokolwiek.Mogło nawet dojść do włamania w dowolnym miejscu między Tobą a Twoim dostawcą usług internetowych i ktoś przekierował Cię na fałszywą stronę internetową.O ile certyfikaty sieci web ssl nie były legalne i tak dalej, mogła to być fałszywa witryna internetowa.Tak czy inaczej, Twój bank nie powinien prosić Cię o żadne hasła, ponieważ ostatecznie nie potrzebują ich do robienia czegokolwiek.To samo dotyczy każdego wsparcia online.
Jeśli wyprowadzili nazwisko OP z samego jego / jej identyfikatora, wydaje się, że uzyskanie hasła do bankowości internetowej jest strasznie dużo pracy.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...