Re: [Hackmeeting] sicurezza smartphone ricondizionati e home…

Delete this message

Reply to this message
Autore: Alessandro Spinella
Data:  
To: HackMeeting
Oggetto: Re: [Hackmeeting] sicurezza smartphone ricondizionati e homebanking
spiacente, di telefoni so' niente, meglio lasciare la parola ad altri piu'
competenti.

$witch

On Mon, Aug 14, 2023 at 6:40 PM robolo via Hackmeeting <
hackmeeting@???> wrote:

> alessandro grazie per la disamina, questo mi rende più tranquillo, ma
> invece hai qualche informazione circa la possibilità di ricevere un
> telefono ricondizionato chessò da swappie o simila, che è stato manipolato
> a qualche livello fondamentale? del tipo ti arriva con il malware dentro e
> che neanche un reset alle impostazioni di fabbrica possano renderlo
> disinfettato? è possibile?
>
> ringrazio anche marco , l'idea che proponi è molto sensata, ma già faccio
> fatica con uno...
>
>
>
>
> --
> Inviato con Tutanota, goditi email sicure e senza pubblicità.
>
>
>
> 14 ago 2023, 16:36 da weddraa@???:
>
> > come dice Marco : il malware esiste e funziona.
> >
> > tuttavia, avendoci lavorato ho visto personalmente cosa accade quando
> > (migliaia di volte al giorno, per una banca medio/piccola) c'e' un
> SOSPETTO
> > di truffa; giusto per esemplificare
> >
> > - il tempo che trascorre tra un "click" ed il successivo non puo' essere
> > inferiore ad X, altrimenti non sei umano, quindi sei un sw, quindi fai
> > scattare un allarme ( i malware sono gia' consapevoli di questo e son
> stati
> > adeguati, ma resta un buon esempio)
> >
> > - la presenza di "keywords" gia' mappate come associate a truffe
> > (conoscendone anche poche puoi tu far scattare allarmi ogni volta che
> vuoi,
> > complicando gratuitamente la vita al poveretto che deve poi gestire a
> mano
> > la transazione)
> >
> > - la sequenza dei pacchetti IP ed il loro contenuto possono essere
> traslati
> > in grafici, se e quando un allarme scatta all'umano basta un colpo
> d'occhio
> > per capire se c'e' qualcosa di strano e puoi scommettere che un IP pkt da
> > 1000 bytes arriva a 10000 quando gli sono state aggiunte tutte le serie
> di
> > dati extra (dalla geolocalizzazione in poi)
> >
> > - il beneficiario : se e' gia' conosciuto come associato a truffe DA UNA
> > QUALSIASI banca/cartacredito la transazione viene bloccata
> automaticamente
> > e sottoposta ad umano (ti garantisco che gia' alla prima truffa andata a
> > buon fine viene categorizzato come pernicioso, le banche ci tengono
> proprio
> > tanto ai loro soldi)
> >
> > pertanto, con un sistema tarato dignitosamente e' molto piu' facile che
> > siano bloccate transazioni legittime piuttosto che accettate transazioni
> > truffaldine.
> >
> > quanto agli sportelli : scomodi, lenti, ma hanno un vantaggio, non
> possono
> > obbligarmi a comprare un vestito che gli faccia comodo; le chiavette RSA
> (
> > citate da Giapi ) loro le pagano, quindi ne triplicano il costo e POSSONO
> > lasciartele usare MA il tutto e' meno conveniente, per la banca, che non
> > forzare gli utenti ad un unica app. che (per utente) costa praticamente
> > zero ed e' piu' facilmente manutenzionabile.
> >
> > per cui tutta questa storia sulla sicurezza e' un velo per non dire : noi
> > ci guadagniamo di piu', l'incomodo e' tuo, usa la app.
> >
> > infine un saluto a Raffaele , che puo' cambiare 1000 i nick ma non lo
> stile
> > letterario..........
> >
> > $witch
> >
> > On Mon, Aug 14, 2023 at 9:15 AM robolo via Hackmeeting <
> > hackmeeting@???> wrote:
> >
> >> ciao $witch, ti ringrazio. quindi banalmente usi gli sportelli.
> >> per il malware io pensavo a qualcosa che banalmente registrasse le tue
> >> attività e quindi potesse fornire ad altri le credenziali. come si
> >> accorgono che non sei tu?
> >> zan zan zan
> >>
> >> robolo
> >> --
> >> Inviato con Tutanota, goditi email sicure e senza pubblicità.
> >>
> >>
> >>
> >> 14 ago 2023, 07:03 da weddraa@???:
> >>
> >> > buongiorno.
> >> >
> >> > mi limito all'esperienza personale
> >> >
> >> > 1) in realta' si vive abbastanza bene anche dopo aver mandato a dar
> via
> >> il
> >> > culo la propria banca, homebanking in primis.
> >> >
> >> > 2) durante una transazione bancaria (sia di homebank che di altro
> tipo)
> >> la
> >> > quantita' e qualita' delle informazioni disponibili al servizio
> >> antitruffa
> >> > e' platealmente enorme, inimmaginabile fino a che non ci si lavora;
> >> quindi
> >> > spesso la presenza di malware viene "vista" dai sistemi ed
> intercettata
> >> > facendo scattare un qualche tipo di allarme. a seconda della tipologia
> >> puo'
> >> > essere richiesto o no l'intervento di un umano per discriminare se
> >> lasciare
> >> > o no procedere la transazione.
> >> >
> >> >
> >> > $witch
> >> >
> >> >
> >> >
> >> >
> >> > On Sun, Aug 13, 2023 at 8:06 PM giapi <giapi@???> wrote:
> >> >
> >> >> ciao,
> >> >> da quel che so io generare i codici per l'autenticazione a due
> fattori
> >> >> su un'app è più sicuro rispetto agli sms perché questi possono
> >> >> essere intercettati più facilmente, quindi un suo senso lo ha. alcune
> >> >> banche offrono la possibilità, pagando, di usare una chiavetta ad hoc
> >> >> per generare i codici, nel caso della mia mi sembra che chiedano 30
> >> >> euro; se non lo hai già fatto potresti informarti al riguardo,
> >> >> sicuramente costa meno di comprare un telefono apposta.
> personalmente a
> >> >> me non pesa avere bisogno di un'app per accedere a questi servizi, mi
> >> >> scoccia che per alcuni (banca e spid per esempio) sia necessaria
> >> >> un'applicazione specifica per il servizio in questione quando si
> >> >> potrebbe generare tutti i codici sulla stessa.
> >> >>
> >> >> per quanto riguarda la scelta del telefono, è vero che gli iphone
> sono
> >> >> supportati molto più a lungo di un android medio ma questo non
> >> >> comporta per forza che siano più convenienti. il sito
> >> >> privacyguides.org suggerisce una formula per calcolare il "price per
> >> >> day": costo / (data end-of-life - data di acquisto).
> >> >> <https://www.privacyguides.org/en/android/#google-pixel>
> >> >> sulla questione malware pre-installato sui ricondizionati: non ho mai
> >> >> sentito niente del genere e mi sembra improbabile, però boh.
> >> >> ---
> >> >> Public PGP key available at public keyserver:
> https://keys.openpgp.org
> >> >> Fingerprint: A872 380A 2093 8D4F 5B17 1E45 F4EB BA41 BA3F 37C7
> >> >>
> >> >> On dom, ago 13 2023 at 18:27:37 +0200, robolo via Hackmeeting
> >> >> <hackmeeting@???> wrote:
> >> >> > ciao a tutta la lista;
> >> >> > vi disturbo perchè sto cercando informazioni circa un argomento e
> >> >> > non trovo risposte che soddisfano. forse sto cercando nei posti
> >> >> > sbagliati.
> >> >> > io non sono un gran esperto informatico, conosco le tematiche e
> >> >> > qualche aspetto ma non sono un programmatore e non ho profonde
> >> >> > conoscenze hardware.
> >> >> > sono costretto a cambiare telefono causa homebanking. ho sempre
> >> >> > snobbato tutto questo girando con un vecchissimo iphone di 10 anni
> >> >> > fa, regalatomi.
> >> >> > ora che mi viene chiesto di dover installare un app e non più
> l'sms,
> >> >> > su questo telefono non si può fare.
> >> >> > le domande che volevo porre alla lista sono le seguenti;
> >> >> > come vi comportereste a riguardo? e perchè?
> >> >> > cedere al ricatto o ha un senso tattico-securitario?
> >> >> >
> >> >> > io nella disperazione avevo pensato quanto segue; recuperare un
> >> >> > iphone ricondizionato abbastanza recente, uno dei meno costosi, e
> >> >> > così installarci le app necessarie per i processi identificativi.
> ho
> >> >> > pensato ad iphone per il semplice fatto che vengono aggiornati più
> a
> >> >> > lungo degli android.
> >> >> > poi ho pensato, ma se prendendolo ricondizionato rischiassi di
> >> >> > trovarmi uno smartphone con inserito del malware?
> >> >> >
> >> >> > io ho cercato circa tutto questo, senza però trovare risposte
> >> >> > soddisfacenti.
> >> >> > scusate il disturbo
> >> >> >
> >> >> > robolo
> >> >> >
> >> >> > --
> >> >> > Inviato con Tutanota, goditi email sicure e senza pubblicità.
> >> >> > _______________________________________________
> >> >> > Hackmeeting mailing list
> >> >> > Hackmeeting@??? <mailto:Hackmeeting@inventati.org>
> >> >> > <https://www.autistici.org/mailman/listinfo/hackmeeting>
> >> >>
> >> >> _______________________________________________
> >> >> Hackmeeting mailing list
> >> >> Hackmeeting@???
> >> >> https://www.autistici.org/mailman/listinfo/hackmeeting
> >> >>
> >> > _______________________________________________
> >> > Hackmeeting mailing list
> >> > Hackmeeting@???
> >> > https://www.autistici.org/mailman/listinfo/hackmeeting
> >> >
> >>
> >> _______________________________________________
> >> Hackmeeting mailing list
> >> Hackmeeting@???
> >> https://www.autistici.org/mailman/listinfo/hackmeeting
> >>
> > _______________________________________________
> > Hackmeeting mailing list
> > Hackmeeting@???
> > https://www.autistici.org/mailman/listinfo/hackmeeting
> >
>
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www.autistici.org/mailman/listinfo/hackmeeting
>