Re: [Hackmeeting] sicurezza smartphone ricondizionati e home…

Delete this message

Reply to this message
Autor: tallytully
Data:  
A: HackMeeting
Assumpte: Re: [Hackmeeting] sicurezza smartphone ricondizionati e homebanking
alessandro grazie per la disamina, questo mi rende più tranquillo, ma invece hai qualche informazione circa la possibilità di ricevere un telefono ricondizionato chessò da swappie o simila, che è stato manipolato a qualche livello fondamentale? del tipo ti arriva con il malware dentro e che neanche un reset alle impostazioni di fabbrica possano renderlo disinfettato? è possibile?

ringrazio anche marco , l'idea che proponi è molto sensata, ma già faccio fatica con uno...




--
Inviato con Tutanota, goditi email sicure e senza pubblicità.



14 ago 2023, 16:36 da weddraa@???:

> come dice Marco : il malware esiste e funziona.
>
> tuttavia, avendoci lavorato ho visto personalmente cosa accade quando
> (migliaia di volte al giorno, per una banca medio/piccola) c'e' un SOSPETTO
> di truffa; giusto per esemplificare
>
> - il tempo che trascorre tra un "click" ed il successivo non puo' essere
> inferiore ad X, altrimenti non sei umano, quindi sei un sw, quindi fai
> scattare un allarme ( i malware sono gia' consapevoli di questo e son stati
> adeguati, ma resta un buon esempio)
>
> - la presenza di "keywords" gia' mappate come associate a truffe
> (conoscendone anche poche puoi tu far scattare allarmi ogni volta che vuoi,
> complicando gratuitamente la vita al poveretto che deve poi gestire a mano
> la transazione)
>
> - la sequenza dei pacchetti IP ed il loro contenuto possono essere traslati
> in grafici, se e quando un allarme scatta all'umano basta un colpo d'occhio
> per capire se c'e' qualcosa di strano e puoi scommettere che un IP pkt da
> 1000 bytes arriva a 10000 quando gli sono state aggiunte tutte le serie di
> dati extra (dalla geolocalizzazione in poi)
>
> - il beneficiario : se e' gia' conosciuto come associato a truffe DA UNA
> QUALSIASI banca/cartacredito la transazione viene bloccata automaticamente
> e sottoposta ad umano (ti garantisco che gia' alla prima truffa andata a
> buon fine viene categorizzato come pernicioso, le banche ci tengono proprio
> tanto ai loro soldi)
>
> pertanto, con un sistema tarato dignitosamente e' molto piu' facile che
> siano bloccate transazioni legittime piuttosto che accettate transazioni
> truffaldine.
>
> quanto agli sportelli : scomodi, lenti, ma hanno un vantaggio, non possono
> obbligarmi a comprare un vestito che gli faccia comodo; le chiavette RSA (
> citate da Giapi ) loro le pagano, quindi ne triplicano il costo e POSSONO
> lasciartele usare MA il tutto e' meno conveniente, per la banca, che non
> forzare gli utenti ad un unica app. che (per utente) costa praticamente
> zero ed e' piu' facilmente manutenzionabile.
>
> per cui tutta questa storia sulla sicurezza e' un velo per non dire : noi
> ci guadagniamo di piu', l'incomodo e' tuo, usa la app.
>
> infine un saluto a Raffaele , che puo' cambiare 1000 i nick ma non lo stile
> letterario..........
>
> $witch
>
> On Mon, Aug 14, 2023 at 9:15 AM robolo via Hackmeeting <
> hackmeeting@???> wrote:
>
>> ciao $witch, ti ringrazio. quindi banalmente usi gli sportelli.
>> per il malware io pensavo a qualcosa che banalmente registrasse le tue
>> attività e quindi potesse fornire ad altri le credenziali. come si
>> accorgono che non sei tu?
>> zan zan zan
>>
>> robolo
>> --
>> Inviato con Tutanota, goditi email sicure e senza pubblicità.
>>
>>
>>
>> 14 ago 2023, 07:03 da weddraa@???:
>>
>> > buongiorno.
>> >
>> > mi limito all'esperienza personale
>> >
>> > 1) in realta' si vive abbastanza bene anche dopo aver mandato a dar via
>> il
>> > culo la propria banca, homebanking in primis.
>> >
>> > 2) durante una transazione bancaria (sia di homebank che di altro tipo)
>> la
>> > quantita' e qualita' delle informazioni disponibili al servizio
>> antitruffa
>> > e' platealmente enorme, inimmaginabile fino a che non ci si lavora;
>> quindi
>> > spesso la presenza di malware viene "vista" dai sistemi ed intercettata
>> > facendo scattare un qualche tipo di allarme. a seconda della tipologia
>> puo'
>> > essere richiesto o no l'intervento di un umano per discriminare se
>> lasciare
>> > o no procedere la transazione.
>> >
>> >
>> > $witch
>> >
>> >
>> >
>> >
>> > On Sun, Aug 13, 2023 at 8:06 PM giapi <giapi@???> wrote:
>> >
>> >> ciao,
>> >> da quel che so io generare i codici per l'autenticazione a due fattori
>> >> su un'app è più sicuro rispetto agli sms perché questi possono
>> >> essere intercettati più facilmente, quindi un suo senso lo ha. alcune
>> >> banche offrono la possibilità, pagando, di usare una chiavetta ad hoc
>> >> per generare i codici, nel caso della mia mi sembra che chiedano 30
>> >> euro; se non lo hai già fatto potresti informarti al riguardo,
>> >> sicuramente costa meno di comprare un telefono apposta. personalmente a
>> >> me non pesa avere bisogno di un'app per accedere a questi servizi, mi
>> >> scoccia che per alcuni (banca e spid per esempio) sia necessaria
>> >> un'applicazione specifica per il servizio in questione quando si
>> >> potrebbe generare tutti i codici sulla stessa.
>> >>
>> >> per quanto riguarda la scelta del telefono, è vero che gli iphone sono
>> >> supportati molto più a lungo di un android medio ma questo non
>> >> comporta per forza che siano più convenienti. il sito
>> >> privacyguides.org suggerisce una formula per calcolare il "price per
>> >> day": costo / (data end-of-life - data di acquisto).
>> >> <https://www.privacyguides.org/en/android/#google-pixel>
>> >> sulla questione malware pre-installato sui ricondizionati: non ho mai
>> >> sentito niente del genere e mi sembra improbabile, però boh.
>> >> ---
>> >> Public PGP key available at public keyserver: https://keys.openpgp.org
>> >> Fingerprint: A872 380A 2093 8D4F 5B17 1E45 F4EB BA41 BA3F 37C7
>> >>
>> >> On dom, ago 13 2023 at 18:27:37 +0200, robolo via Hackmeeting
>> >> <hackmeeting@???> wrote:
>> >> > ciao a tutta la lista;
>> >> > vi disturbo perchè sto cercando informazioni circa un argomento e
>> >> > non trovo risposte che soddisfano. forse sto cercando nei posti
>> >> > sbagliati.
>> >> > io non sono un gran esperto informatico, conosco le tematiche e
>> >> > qualche aspetto ma non sono un programmatore e non ho profonde
>> >> > conoscenze hardware.
>> >> > sono costretto a cambiare telefono causa homebanking. ho sempre
>> >> > snobbato tutto questo girando con un vecchissimo iphone di 10 anni
>> >> > fa, regalatomi.
>> >> > ora che mi viene chiesto di dover installare un app e non più l'sms,
>> >> > su questo telefono non si può fare.
>> >> > le domande che volevo porre alla lista sono le seguenti;
>> >> > come vi comportereste a riguardo? e perchè?
>> >> > cedere al ricatto o ha un senso tattico-securitario?
>> >> >
>> >> > io nella disperazione avevo pensato quanto segue; recuperare un
>> >> > iphone ricondizionato abbastanza recente, uno dei meno costosi, e
>> >> > così installarci le app necessarie per i processi identificativi. ho
>> >> > pensato ad iphone per il semplice fatto che vengono aggiornati più a
>> >> > lungo degli android.
>> >> > poi ho pensato, ma se prendendolo ricondizionato rischiassi di
>> >> > trovarmi uno smartphone con inserito del malware?
>> >> >
>> >> > io ho cercato circa tutto questo, senza però trovare risposte
>> >> > soddisfacenti.
>> >> > scusate il disturbo
>> >> >
>> >> > robolo
>> >> >
>> >> > --
>> >> > Inviato con Tutanota, goditi email sicure e senza pubblicità.
>> >> > _______________________________________________
>> >> > Hackmeeting mailing list
>> >> > Hackmeeting@??? <mailto:Hackmeeting@inventati.org>
>> >> > <https://www.autistici.org/mailman/listinfo/hackmeeting>
>> >>
>> >> _______________________________________________
>> >> Hackmeeting mailing list
>> >> Hackmeeting@???
>> >> https://www.autistici.org/mailman/listinfo/hackmeeting
>> >>
>> > _______________________________________________
>> > Hackmeeting mailing list
>> > Hackmeeting@???
>> > https://www.autistici.org/mailman/listinfo/hackmeeting
>> >
>>
>> _______________________________________________
>> Hackmeeting mailing list
>> Hackmeeting@???
>> https://www.autistici.org/mailman/listinfo/hackmeeting
>>
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www.autistici.org/mailman/listinfo/hackmeeting
>