annulla
Visualizzazione dei risultati per 
Cerca invece 
Intendevi dire: 

Truffa SIM swap

Highlighted
Br1

Br1

Principiante

Buongiorno,

da un po' di tempo si parla in rete (e sui quotidiani) della truffa "SIM swap", oppure "SIM Swap Scam". In parole povere, i frodatori, dopo aver fatto il phishing delle credenziali di home banking (codice cliente, data di nascita e PIN), chiedono con documenti falsi il cambio della SIM all'operatore per smarrimento. A quel punto, scaricando l'app della banca su di un diverso smartphone, ma avente lo stesso numero telefonico, possono accedere al pulsante "attiva token". Qualora questa operazione non portasse a risultati, poiché i truffatori non possiedono la "Carta dei Codici", così come il "codice da utilizzare in caso di blocco" (adesso non ricordo se quest'ultimo sia creabile solo al primissimo originario utilizzo dell'app, oppure ogni volta che si cambia telefono), possiedono e rispondono comunque al numero di telefono del cliente ING, con possibilità di richiedere tramite lo stesso i relativi reset.

Quindi la domanda:

il sistema di protezione che utilizziamo (codice cliente, data di nascita, PIN, codice da utilizzare in caso di blocco, token, ecc) può esporre comunque a questo tipo di frode?

Grazie!

7 RISPOSTE 7
Highlighted
Gabriele

Gabriele

Guru

Aborrendo il Token, posso solo dirti che la procedura fraudolenta mi sembra molto, forse troppo articolata, alla luce di ben più semplici frodi.

E non smetterò mai di felicitarmi per aver optato per gli SMS/OTP Smiley Lingua

Highlighted
Clint

Clint

Specialista

Scusate @Br1 @Gabriele se intervengo...premesso che esistera' una soluzione per tutte le occasioni, soprattutto le piu' fraudolente, pero' diventa un poco complicato a chi si vuole intromettere sia con conferme sms /otp / token... le varie operazioni vengono comunque confermate da un solo numero telefonico, cioe' il num di telefono che siamo in possesso solo noi .

Buona serata

Highlighted
finder

finder

Guru

@Br1  ha scritto:

Buongiorno,

da un po' di tempo si parla in rete (e sui quotidiani) della truffa "SIM swap", oppure "SIM Swap Scam". In parole povere, i frodatori, dopo aver fatto il phishing delle credenziali di home banking (codice cliente, data di nascita e PIN), chiedono con documenti falsi il cambio della SIM all'operatore per smarrimento. A quel punto, scaricando l'app della banca su di un diverso smartphone, ma avente lo stesso numero telefonico, possono accedere al pulsante "attiva token". Qualora questa operazione non portasse a risultati, poiché i truffatori non possiedono la "Carta dei Codici", così come il "codice da utilizzare in caso di blocco" (adesso non ricordo se quest'ultimo sia creabile solo al primissimo originario utilizzo dell'app, oppure ogni volta che si cambia telefono), possiedono e rispondono comunque al numero di telefono del cliente ING, con possibilità di richiedere tramite lo stesso i relativi reset.

Quindi la domanda:

il sistema di protezione che utilizziamo (codice cliente, data di nascita, PIN, codice da utilizzare in caso di blocco, token, ecc) può esporre comunque a questo tipo di frode?

Grazie!

 

---

Innanzitutto mi preme precisare che nell'ultima versione di accesso all'account di ING (post PSD2) è sparita la "carta dei codici operativi" sostituita da token via app o da SMS OTP e il "codice di sblocco o puk" che è stato sostituito con risposte preimpostate alle domande segrete!

Fatta questa indispensabile premessa, faccio presente che nonostante ING abbia rafforzato il semplice accesso in consultazione ai propri conti con l'introduzione dell'autenticazione a due fattori, non esiste sistema che non possa essere violato.Smiley Matto

Come del resto non c'è nel mondo off-line abitazione o fortino che, pur rafforzando i propri sistemi contro gli intrusi, non possa comunque ricevere visite indesiderate! Smiley Strizza l'occhio

Viceversa il risultato che si ottiene è semplicemente questo segnalato sul nostro quotidiano finanziario per eccellenza.

Considerato che non esiste e non esisterà mai un sistema di accesso completamente INACCESSIBILE a terzi, l'unico effetto di introdurre ulteriori fattori di autenticazione è quello (a mio personale avviso) di rendere più difficoltoso, irritante ed a volte impossibile l'accesso al proprio domicilio bancario!

In conclusione chi sceglie di operare finanziariamente via Internet banking dovrebbe mettere in conto la possibilità di accessi abusivi, mentre quello che è veramente importante è che questi vengano prontamente segnalati e bloccati: su iniziativa diretta del cliente oppure della Banca stessa.

A questo ultimo proposito approfitto della presente discussione per elogiare il sistema antifrode di ING che, se pure mi ha creato notevoli disagi bloccando per lungo tempo il conto e quindi la disponibilità dei soldi sopra depositati (ormai 4 anni orsono), ha autonomamente stornato un bonifico effettuato da un hacker che aveva utilizzato proprio questa tecnica di swap sim.

Non per farti preoccupare ulteriormente, ma pensa quando prenderanno piede le e-sim sui nuovi telefoni, dove non sarà neanche necessario possedere una sim fisica per attuare questa tecnica! Smiley Indifferente

Highlighted
cdbing

cdbing

Specialista

@finder  ha scritto:

Innanzitutto mi preme precisare che nell'ultima versione di accesso all'account di ING (post PSD2) è sparita la "carta dei codici operativi" sostituita da token via app o da SMS OTP e il "codice di sblocco o puk" che è stato sostituito con risposte preimpostate alle domande segrete!

Fatta questa indispensabile premessa, faccio presente che nonostante ING abbia rafforzato il semplice accesso in consultazione ai propri conti con l'introduzione dell'autenticazione a due fattori, non esiste sistema che non possa essere violato.Smiley Matto

Come del resto non c'è nel mondo off-line abitazione o fortino che, pur rafforzando i propri sistemi contro gli intrusi, non possa comunque ricevere visite indesiderate! Smiley Strizza l'occhio

Viceversa il risultato che si ottiene è semplicemente questo segnalato sul nostro quotidiano finanziario per eccellenza.

---

Per obiettività, magari è il caso quotare questo:

"Il conto del signor L. B., ora regolarmente attivo, era stato temporaneamente bloccato in quanto il Pin inserito dal cliente per l'accesso al conto online è risultato errato, così come sono risultate errate le risposte alle domande di sicurezza necessarie per ripristinare il Pin in completa autonomia e sicurezza. "

Cioè, sbagli il pin e anche le domande di recupero, ci mancherebbe che il conto non venga bloccato...

 

 

A questo ultimo proposito approfitto della presente discussione per elogiare il sistema antifrode di ING che, se pure mi ha creato notevoli disagi bloccando per lungo tempo il conto e quindi la disponibilità dei soldi sopra depositati (ormai 4 anni orsono), ha autonomamente stornato un bonifico effettuato da un hacker che aveva utilizzato proprio questa tecnica di swap sim.

Non per farti preoccupare ulteriormente, ma pensa quando prenderanno piede le e-sim sui nuovi telefoni, dove non sarà neanche necessario possedere una sim fisica per attuare questa tecnica! Smiley Indifferente

---

Tipicamente il sim swap si realizza perché ha senso la richiesta, al gestore, di emissione nuova sim fisica (magari da standard a micro/nano), per poterla poi utilizzare su altro device. Poi commessi sbadati o compiacenti fanno in modo che malintenzionati, conoscendone il numero, se ne approfittino e usino tale stratagemma per ottenere la disponibilità del numero. In ogni caso serve ingegneria sociale per ottenere gli altri dati di accesso, o la sbadataggine degli utenti (ne abbiamo anche qualche esempio qui di chi posta il proprio nome/cognome/nomeutente/email/cellulare etc)

Con le e-sim, però, per quanto è dato sapere ora, si fa direttamente un device swap sul nuovo device tramite lettura del qrcode. Quindi, ad occhio, non vedo come possa acuirsi il fenomeno come tu affermi. Hai info differenti?

 

Highlighted
Patrizia_ING

Patrizia_ING

Moderatore

Ciao @Br1 

l’introduzione della Direttiva PSD2, sui servizi di pagamento ha l’obiettivo di rendere più sicura la gestione dei pagamenti.

La Strong Customer Authentication,  è una modalità di riconoscimento e autenticazione del cliente introdotta dalla Direttiva, che permette alla banca di identificare il cliente in maniera sicura e protetta durante l’accesso alla sua Area Riservata e durante la disposizione delle sue operazioni.

 

Il riconoscimento e l’autenticazione del cliente avviene, in maniera univoca, attraverso due o più fattori:

una caratteristica unica, come l'impronta digitale o il riconoscimento facciale,

un elemento conosciuto, come un codice numerico,

un elemento posseduto come lo Smartphone.

Ulteriori approfondimenti in merito alla " Sicurezza" puoi trovarli qui! 

 

Patrizia_ING

 

Highlighted
finder

finder

Guru

@cdbing  ha scritto:

 

Per obiettività, magari è il caso quotare questo:

"Il conto del signor L. B., ora regolarmente attivo, era stato temporaneamente bloccato in quanto il Pin inserito dal cliente per l'accesso al conto online è risultato errato, così come sono risultate errate le risposte alle domande di sicurezza necessarie per ripristinare il Pin in completa autonomia e sicurezza. "

Cioè, sbagli il pin e anche le domande di recupero, ci mancherebbe che il conto non venga bloccato...

 

---

>>Pur andando leggermente fuori Topic Smiley Strizza l'occhio è ovvio che ING, come tutte le banche con sportello su internet, ha il diritto di introdurre tutte le misure di sicurezza che ritiene utili contro gli accessi abusivi, ma non così numerose e complesse da ostacolare e/o impedire l'accesso agli stessi legittimi titolari dei conti. Misure che, tra l'altro, non mettono di certo al riparo da questo tipo di attacco o no?

Dissento fortemente da questo tipo di Policy: anche se ci fosse un reale tentativo di accesso abusivo, Il conto non va ASSOLUTAMENTE BLOCCATO! la banca ha SOLO il dovere di avvisare, direttamente e/o in maniera automatizzata di tali tentativi e il cliente si attiverà, se del caso, per cambiare le proprie credenziali di accesso!

Mutatis mutandis, non è che dopo che trovi il portoncino forzato e, magari, la casa svaligiata i carabinieri te la sigillano e ti mandano TEMPORANEAMENTE a dormire in albergo (magari pure a spese tue)? Ma stiamo scherzando? Smiley Matto

 

---

Tipicamente il sim swap si realizza perché ha senso la richiesta, al gestore, di emissione nuova sim fisica (magari da standard a micro/nano), per poterla poi utilizzare su altro device. Poi commessi sbadati o compiacenti fanno in modo che malintenzionati, conoscendone il numero, se ne approfittino e usino tale stratagemma per ottenere la disponibilità del numero. In ogni caso serve ingegneria sociale per ottenere gli altri dati di accesso, o la sbadataggine degli utenti (ne abbiamo anche qualche esempio qui di chi posta il proprio nome/cognome/nomeutente/email/cellulare etc)

Con le e-sim, però, per quanto è dato sapere ora, si fa direttamente un device swap sul nuovo device tramite lettura del qrcode. Quindi, ad occhio, non vedo come possa acuirsi il fenomeno come tu affermi. Hai info differenti?

 

---

>> Ottima descrizione della tecnica di attacco! Smiley Felice che conferma come l'attuale sistema di accesso ai conti, seppur rafforzato, non metta al riparo ING e noi suoi clienti da questa tecnica intrusiva, visto che anche il token via App ha un suo "SMS di prima attivazione" su di un numero preregistrato! Smiley Lingua "Aridatece la Carta dei codici operativi"Smiley Lingua

No, non ho info differenti, ma solo la mia immaginazione che la diffusione di questa nuova tipologia di "SIM dematerializzata" possa facilitare l'hacker di turno nel fargli saltare il passaggio di recarsi di persona presso il rivenditore telefonico di turno sbadato e/o compiacente per ottenere una sim fisica con sopra il numero del malcapitato cliente!

 

In conclusione ci tengo a ribadire il mio pensiero sul punto: non deve essere che a forza di rafforzare le misure di sicurezza contro accessi abusivi si finisce per rendere la vita maledetta anche al malcapitato cliente, senza che - tra l'altro - sia pensabile rendere il conto assolutamente inaccessibile a tecniche di attacco presenti e/o future.

Consiglio al CT/ING Smiley Strizza l'occhio: Il cliente ha diritto LUI, se proprio non si sente sicuro, di rafforzare l'accesso al proprio account con le misure che volta per volta la tecnologia e la banca gli mette a disposizione e non viceversa!Smiley Matto

Highlighted
cdbing

cdbing

Specialista

@finder  ha scritto:

>>Pur andando leggermente fuori Topic Smiley Strizza l'occhio è ovvio che ING, come tutte le banche con sportello su internet, ha il diritto di introdurre tutte le misure di sicurezza che ritiene utili contro gli accessi abusivi, ma non così numerose e complesse da ostacolare e/o impedire l'accesso agli stessi legittimi titolari dei conti. Misure che, tra l'altro, non mettono di certo al riparo da questo tipo di attacco o no?

Dissento fortemente da questo tipo di Policy: anche se ci fosse un reale tentativo di accesso abusivo, Il conto non va ASSOLUTAMENTE BLOCCATO! la banca ha SOLO il dovere di avvisare, direttamente e/o in maniera automatizzata di tali tentativi e il cliente si attiverà, se del caso, per cambiare le proprie credenziali di accesso!

---

E magari la banca deve comunque rimborsarti perché anche avendoti solo avvisato tu te ne freghi... La banca giustamente ti tutela ma si tutela anche.

 

>>No, non ho info differenti, ma solo la mia immaginazione

---

Ecco, magari la prossima volta invece di uscirsene con frasi perentorie tipo "pensa quando prenderanno piede le e-sim sui nuovi telefoni, dove non sarà neanche necessario possedere una sim fisica per attuare questa tecnica!", forse è meglio leggere ed informarsi.