Re: [Hackmeeting] sicurezza smartphone ricondizionati e home…

Delete this message

Reply to this message
Autore: Alessandro Spinella
Data:  
To: HackMeeting
Oggetto: Re: [Hackmeeting] sicurezza smartphone ricondizionati e homebanking
come dice Marco : il malware esiste e funziona.

tuttavia, avendoci lavorato ho visto personalmente cosa accade quando
(migliaia di volte al giorno, per una banca medio/piccola) c'e' un SOSPETTO
di truffa; giusto per esemplificare

- il tempo che trascorre tra un "click" ed il successivo non puo' essere
inferiore ad X, altrimenti non sei umano, quindi sei un sw, quindi fai
scattare un allarme ( i malware sono gia' consapevoli di questo e son stati
adeguati, ma resta un buon esempio)

- la presenza di "keywords" gia' mappate come associate a truffe
(conoscendone anche poche puoi tu far scattare allarmi ogni volta che vuoi,
complicando gratuitamente la vita al poveretto che deve poi gestire a mano
la transazione)

- la sequenza dei pacchetti IP ed il loro contenuto possono essere traslati
in grafici, se e quando un allarme scatta all'umano basta un colpo d'occhio
per capire se c'e' qualcosa di strano e puoi scommettere che un IP pkt da
1000 bytes arriva a 10000 quando gli sono state aggiunte tutte le serie di
dati extra (dalla geolocalizzazione in poi)

- il beneficiario : se e' gia' conosciuto come associato a truffe DA UNA
QUALSIASI banca/cartacredito la transazione viene bloccata automaticamente
e sottoposta ad umano (ti garantisco che gia' alla prima truffa andata a
buon fine viene categorizzato come pernicioso, le banche ci tengono proprio
tanto ai loro soldi)

pertanto, con un sistema tarato dignitosamente e' molto piu' facile che
siano bloccate transazioni legittime piuttosto che accettate transazioni
truffaldine.

quanto agli sportelli : scomodi, lenti, ma hanno un vantaggio, non possono
obbligarmi a comprare un vestito che gli faccia comodo; le chiavette RSA (
citate da Giapi ) loro le pagano, quindi ne triplicano il costo e POSSONO
lasciartele usare MA il tutto e' meno conveniente, per la banca, che non
forzare gli utenti ad un unica app. che (per utente) costa praticamente
zero ed e' piu' facilmente manutenzionabile.

per cui tutta questa storia sulla sicurezza e' un velo per non dire : noi
ci guadagniamo di piu', l'incomodo e' tuo, usa la app.

infine un saluto a Raffaele , che puo' cambiare 1000 i nick ma non lo stile
letterario..........

$witch

On Mon, Aug 14, 2023 at 9:15 AM robolo via Hackmeeting <
hackmeeting@???> wrote:

> ciao $witch, ti ringrazio. quindi banalmente usi gli sportelli.
> per il malware io pensavo a qualcosa che banalmente registrasse le tue
> attività e quindi potesse fornire ad altri le credenziali. come si
> accorgono che non sei tu?
> zan zan zan
>
> robolo
> --
> Inviato con Tutanota, goditi email sicure e senza pubblicità.
>
>
>
> 14 ago 2023, 07:03 da weddraa@???:
>
> > buongiorno.
> >
> > mi limito all'esperienza personale
> >
> > 1) in realta' si vive abbastanza bene anche dopo aver mandato a dar via
> il
> > culo la propria banca, homebanking in primis.
> >
> > 2) durante una transazione bancaria (sia di homebank che di altro tipo)
> la
> > quantita' e qualita' delle informazioni disponibili al servizio
> antitruffa
> > e' platealmente enorme, inimmaginabile fino a che non ci si lavora;
> quindi
> > spesso la presenza di malware viene "vista" dai sistemi ed intercettata
> > facendo scattare un qualche tipo di allarme. a seconda della tipologia
> puo'
> > essere richiesto o no l'intervento di un umano per discriminare se
> lasciare
> > o no procedere la transazione.
> >
> >
> > $witch
> >
> >
> >
> >
> > On Sun, Aug 13, 2023 at 8:06 PM giapi <giapi@???> wrote:
> >
> >> ciao,
> >> da quel che so io generare i codici per l'autenticazione a due fattori
> >> su un'app è più sicuro rispetto agli sms perché questi possono
> >> essere intercettati più facilmente, quindi un suo senso lo ha. alcune
> >> banche offrono la possibilità, pagando, di usare una chiavetta ad hoc
> >> per generare i codici, nel caso della mia mi sembra che chiedano 30
> >> euro; se non lo hai già fatto potresti informarti al riguardo,
> >> sicuramente costa meno di comprare un telefono apposta. personalmente a
> >> me non pesa avere bisogno di un'app per accedere a questi servizi, mi
> >> scoccia che per alcuni (banca e spid per esempio) sia necessaria
> >> un'applicazione specifica per il servizio in questione quando si
> >> potrebbe generare tutti i codici sulla stessa.
> >>
> >> per quanto riguarda la scelta del telefono, è vero che gli iphone sono
> >> supportati molto più a lungo di un android medio ma questo non
> >> comporta per forza che siano più convenienti. il sito
> >> privacyguides.org suggerisce una formula per calcolare il "price per
> >> day": costo / (data end-of-life - data di acquisto).
> >> <https://www.privacyguides.org/en/android/#google-pixel>
> >> sulla questione malware pre-installato sui ricondizionati: non ho mai
> >> sentito niente del genere e mi sembra improbabile, però boh.
> >> ---
> >> Public PGP key available at public keyserver: https://keys.openpgp.org
> >> Fingerprint: A872 380A 2093 8D4F 5B17 1E45 F4EB BA41 BA3F 37C7
> >>
> >> On dom, ago 13 2023 at 18:27:37 +0200, robolo via Hackmeeting
> >> <hackmeeting@???> wrote:
> >> > ciao a tutta la lista;
> >> > vi disturbo perchè sto cercando informazioni circa un argomento e
> >> > non trovo risposte che soddisfano. forse sto cercando nei posti
> >> > sbagliati.
> >> > io non sono un gran esperto informatico, conosco le tematiche e
> >> > qualche aspetto ma non sono un programmatore e non ho profonde
> >> > conoscenze hardware.
> >> > sono costretto a cambiare telefono causa homebanking. ho sempre
> >> > snobbato tutto questo girando con un vecchissimo iphone di 10 anni
> >> > fa, regalatomi.
> >> > ora che mi viene chiesto di dover installare un app e non più l'sms,
> >> > su questo telefono non si può fare.
> >> > le domande che volevo porre alla lista sono le seguenti;
> >> > come vi comportereste a riguardo? e perchè?
> >> > cedere al ricatto o ha un senso tattico-securitario?
> >> >
> >> > io nella disperazione avevo pensato quanto segue; recuperare un
> >> > iphone ricondizionato abbastanza recente, uno dei meno costosi, e
> >> > così installarci le app necessarie per i processi identificativi. ho
> >> > pensato ad iphone per il semplice fatto che vengono aggiornati più a
> >> > lungo degli android.
> >> > poi ho pensato, ma se prendendolo ricondizionato rischiassi di
> >> > trovarmi uno smartphone con inserito del malware?
> >> >
> >> > io ho cercato circa tutto questo, senza però trovare risposte
> >> > soddisfacenti.
> >> > scusate il disturbo
> >> >
> >> > robolo
> >> >
> >> > --
> >> > Inviato con Tutanota, goditi email sicure e senza pubblicità.
> >> > _______________________________________________
> >> > Hackmeeting mailing list
> >> > Hackmeeting@??? <mailto:Hackmeeting@inventati.org>
> >> > <https://www.autistici.org/mailman/listinfo/hackmeeting>
> >>
> >> _______________________________________________
> >> Hackmeeting mailing list
> >> Hackmeeting@???
> >> https://www.autistici.org/mailman/listinfo/hackmeeting
> >>
> > _______________________________________________
> > Hackmeeting mailing list
> > Hackmeeting@???
> > https://www.autistici.org/mailman/listinfo/hackmeeting
> >
>
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www.autistici.org/mailman/listinfo/hackmeeting
>