Para depositar dinero en su cuenta, algunos sitios web requieren que les proporcione muchos detalles sobre su cuenta bancaria: nombre , dirección completa y IBAN que incluye su número de cuenta e identifica el banco exacto.
¿Puede un cracker experto usar esta información para robar dinero de una cuenta? ¿Qué tan seguro es proporcionar estos detalles?
Es probable que esta pregunta sea específica del país. En los Estados Unidos, un número de cuenta generalmente no es suficiente para robar dinero de la cuenta de alguien. Esto es afortunado, porque cada vez que usted hace un cheque o realiza un pago bancario a alguien, recibe su número de cuenta.
Sin embargo, saber el número de cuenta bancaria de alguien es es suficiente para conocer el saldo de su cuenta. Hay un ataque que no es ampliamente conocido:
Esto permite que un atacante que conoce su número de cuenta para conocer el saldo de su cuenta bancaria, mediante la búsqueda binaria. Esta es una violación de la confidencialidad que no se conoce ampliamente.
Si esto le molesta, es posible que pueda proteger su propia cuenta contra esto llamando a su banco y pidiéndoles que pongan una alerta de fraude en su cuenta. Al menos para mi propio banco, cuando el banco hace esto, desactiva el servicio de verificación de cheques comerciales para su cuenta bancaria.
IBAN se utiliza para identificar un destinatario.
Los dígitos de verificación permiten que el banco de envío (o su cliente) verifiquen la validez de un destino de enrutamiento y el número de cuenta de una sola cadena de datos en el momento de la entrada de datos.
Para poder enviar dinero desde su cuenta a otra cuenta, alguien debe hacerse pasar por su identidad. Dudo que su banco permita que alguien que diga que es usted y le da un IBAN y una dirección, haga una transferencia de dinero. Si lo hacen, cambia tu banco.
Es posible transferir dinero de una cuenta si solo conoce el número de cuenta, el código de clasificación y la dirección.
Hubo un caso de perfil razonablemente alto en el que Jeremy Clarkson, que no creía que fuera así, publicó sus datos bancarios en un periódico. Los detalles fueron utilizados para enviar dinero a una organización benéfica.
Lo siguiente se basa principalmente en la Banca de EE. UU., pero la mayoría de los países tienen prácticas similares de gestión de riesgos si siguen Prácticas de Basilea .
Para realizar una ACH se requiere un número de ruta y un número de cuenta.
Sin embargo, para que un ACH pase, debe pasar controles y pantallas internos. El banco debe controlar el fraude y, si realiza transacciones irregulares para su cuenta, deberían detectarlo. En los EE. UU., Esperamos que cumplan con las recomendaciones del regulador federal para implementar controles en capas FIL-50-2011 , por ejemplo, hay una puerta de seguridad por la que pasar para sacar dinero (por ejemplo, un token fuera de banda, como el código de SMS de una sola vez). Además, en los EE. UU., Está protegiendo contra el fraude de transferencia electrónica de fondos a través de Regulación E . El Reglamento E le permite hacer un reclamo contra el fraude. A menudo, el banco puede revertir una transacción fraudulenta.
Es posible que desee leer este documento de Microsoft Research: ¿Está mal todo lo que sabemos sobre robo de contraseñas? (PDF) Se aborda el riesgo para los individuos de compromiso de cuenta bancaria.
Normalmente, un banco requerirá una prueba de identificación, como una firma o una contraseña en línea, antes de permitir que alguien retire o transfiera dinero de una cuenta. Además, un banco puede llamar o enviar un correo electrónico al titular de la cuenta antes de realizar la transferencia o el retiro, especialmente si se trata de una actividad inusual para la cuenta.
Lea otras preguntas en las etiquetas authentication access-control legal