Alcuni trucchi:
"Il principale punto debole di Smart-ID è che la sua sicurezza dipende interamente dalla capacità degli utenti di riconoscere le pagine di phishing o di verificare l’identità del chiamante. La maggior parte delle persone non può farlo in modo affidabile. Decenni di ricerche hanno dimostrato che la capacità dell’utente medio di identificare le pagine di phishing è quasi un’ipotesi casuale e che anche gli utenti tecnicamente competenti spesso cadono preda di truffe ben congegnate. Eppure questa realtà viene largamente ignorata nelle discussioni sulla sicurezza degli Smart-ID.
Le banche avvertono i clienti di confermare le richieste Smart-ID durante le chiamate sospette, mentre i loro servizi clienti utilizzano esattamente lo stesso metodo per identificare i clienti. Come dovrebbero gli utenti capire perché è accettabile in un caso ma non in un altro? Nella vita reale, dopo essersi identificati con uno sconosciuto, questi non ha la possibilità di rappresentarci in banca, ma questo è ciò che accade con Smart-ID.
Pubblicamente, le banche tendono a trattare il phishing nella stessa categoria delle truffe che non implicano debolezze tecnologiche, come le truffe sugli investimenti o quelle romantiche, e si comportano come se tutto ciò che possono fare è ascoltare con simpatia le vittime e consigliarle in futuro. "stai più attento". Questo non è vero.
Anche se le banche confermano pubblicamente che proteggere i clienti dalle frodi è per loro molto importante, vale la pena chiedersi perché solo LHV tra le grandi banche estoni ha introdotto la misura di sicurezza Smart-ID, che richiede all’utente di selezionare il codice di verifica corretto tra diverse opzioni. Il motivo è semplice: altre banche considerano anche le minime misure di sicurezza aggiuntive un disagio inaccettabile per i clienti, che può nuocere alla loro competitività.
In realtà, le banche potrebbero fare molto di più per prevenire e individuare tempestivamente le frodi. Le banche elaborano un’enorme quantità di dati che potrebbero essere utilizzati per rilevare attività sospette nell’Internet banking: nuovi dispositivi o posizioni insolite, modifiche dei limiti di pagamento, transazioni atipiche, accesso da un paese diverso da quello in cui si trova il dispositivo Smart-ID, reputazione degli indirizzi IP, ecc. Tuttavia, non esiste prova pubblica che le banche implementino effettivamente queste opzioni. E perché dovrebbero, se le perdite sono a carico dei clienti e non delle banche?
A proposito di responsabilità, le banche sostengono che le vittime debbano assumersi la piena responsabilità della conferma delle richieste di pagamento fraudolente Smart-ID PIN2, ignorando il fatto che la violazione della sicurezza avviene prima della conferma del PIN2, cioè nel momento in cui la banca dà al truffatore l’accesso al conto bancario online della vittima. È proprio questo accesso che consente al truffatore di inviare una richiesta fraudolenta di pagamento PIN2 al dispositivo della vittima.
In sostanza, il rapido successo di Smart-ID si basa in gran parte sulle sofferenze delle vittime del phishing, che hanno sostenuto i costi di un modello di sicurezza orientato alla comodità. Esistono soluzioni di pagamento comode, ma spetta alle banche tenere conto dei rischi tecnologici corrispondenti e adottare misure di protezione, come fanno con i pagamenti senza contatto, che sono soggetti a un limite di transazione di 50 euro.
Il problema non si limita alla mancanza di sicurezza del processo di autenticazione Smart-ID contro le truffe di phishing. Recentemente, i truffatori hanno anche approfittato delle debolezze del processo di emissione degli Smart-ID. La responsabilità di garantire che i dispositivi di identità elettronica raggiungano solo i legittimi proprietari spetta principalmente al fornitore di servizi Smart-ID SK."
https://www.err.ee/1609910149/arnis-parsovs-pangad-ei-kasuta-smart-id-ongitsusrunnete-vastaseid-meetmeid
di riisikas
1 commento
Kaotagu üldse ära ilma kontrollkoodita auth? Duh.