¿Pueden considerarse múltiples transacciones de la misma cantidad en poco tiempo como fraude / corrupción?

3

Volver historia

En Sudáfrica hay un sitio web donde puedo comprar electricidad prepaga en línea para mi apartamento. Al comprar no conseguí el token para usar en mi caja de medidores. Hoy conversé con ellos y me dieron una razón por la que no recibí mi ficha. Pegaré la razón exacta a continuación.

Respuesta del representante de la compañía

  

El motivo del retraso se debe a lo siguiente:

     

Su transacción se retrasará si recibimos una transacción por la misma cantidad con el mismo número de teléfono celular dentro de los 5 días de una transacción anterior. Por favor, cambie ligeramente los montos de su transacción para evitar retrasos. es decir, R200, R210 y luego R220.

     

Esta es una medida de precaución para prevenir el fraude y la corrupción, y protege tanto a usted como a nosotros. Si necesita más electricidad dentro de los 5 días de una transacción anterior, realice una transacción con un monto diferente al de la transacción anterior.

Respondí diciendo que hay un error en su sistema en lo que a mí respecta, esto no es seguridad en mi opinión.

Ahora es un retraso de 12 horas y aparentemente han estado usando esto por algún tiempo.

Pregunta

¿Es realmente cierta la respuesta anterior? Hice seguridad informática en Varsity durante un semestre, pero no estoy muy involucrado. Esta respuesta me da una sensación incómoda. ¿Es esta una de las formas de detectar fraude para una empresa que vende electricidad prepaga?

    
pregunta Touch 10.06.2016 - 12:58
fuente

1 respuesta

1
  

¿Se pueden considerar como fraudulentas / corruptas múltiples transacciones por el mismo monto en poco tiempo?

Sí, es algo que superviso (o más bien un agente que construí monitores).

  

una transacción por el mismo monto con el mismo número de teléfono celular dentro de los 5 días de una transacción anterior

erk?

Personalmente, estoy buscando múltiples eventos que se produzcan en una escala de tiempo de hasta 10 segundos, pero luego estoy seguro de que los sistemas que se monitorean no están sujetos a ataques de repetición. Sin embargo, mencionó los números de teléfonos celulares, lo que implica que existe un alto riesgo de que los SMS se dupliquen en el agregador y en el operador antes de que lleguen al punto final.

es decir, a menos que amplíe la definición de "integridad" como se aplica generalmente en el dominio de Seguridad, su política parece abordar los problemas funcionales en el proceso de transacción.

¿El pago se realiza a través de su proveedor de telefonía celular o simplemente está enviando un mandato a la compañía de electricidad que le factura directamente? El primero proporciona un medio para todo tipo de engaños, en este último caso, no hay un giro de seguridad obvio en esta historia.

  

Respondí diciendo que hay un error en su sistema

Según lo anterior, puede que no sea culpa de la compañía eléctrica. Sin embargo, dado que tuvo que perseguirlos para obtener esta explicación, claramente están más interesados en protegerse contra el fraude que en protegerlo a usted.

Actualizar

Desde entonces, se me ha ocurrido que es posible que el "token" sea más información que física (otra vez muchas conjeturas sobre lo que realmente está sucediendo aquí) y, por lo tanto, podría ser el tema del ataque, o más específicamente el algoritmo por el cual se genera el token.

El servicio todavía apesta.

Y si es posible derivar el algoritmo de varias órdenes por la misma cantidad, entonces la seguridad apesta también.

    
respondido por el symcbean 10.06.2016 - 13:17
fuente

Lea otras preguntas en las etiquetas