¿Qué puedo hacer como usuario para minimizar el riesgo de la banca en línea?

Navega tus respuestas
2

Mi banco usa un sistema de seguridad basado en un lector de tarjetas para la banca en línea. La tarjeta es la misma que se usa para cajeros automáticos y pagos en tiendas. Hay varios ataques conocidos en este sistema, por ejemplo, como se describe en aquí y here .

No tengo información detallada sobre los lectores utilizados por mi banco. Lo que sé es:

  • Se pueden operar con o sin cable USB.
  • Los lectores son intercambiables, es decir, no contienen información personalizada asociada con mi cuenta.

Mi pregunta es, qué puedo hacer para minimizar el riesgo de fraude. Mis pensamientos hasta ahora son:

  1. Utilice Tor para cualquier interacción con el sitio web del banco.
  2. Use una instalación de Linux en un VirtualBox (u otra VM), que se usa solo para la banca en línea. Sin embargo, según tengo entendido, esto no me protegería de los registradores de teclas en mi PC host. Tampoco me queda claro qué tan grande es el peligro debido a los registradores de claves con un lector de tarjetas, ya que el PIN se ingresa en el lector, no en la PC.
  3. Cuando se usa con una conexión USB, es necesario usar un controlador en la PC host (disponible solo para Windows, por lo que en realidad no es una opción, también debido a la disminución implícita de la seguridad). Por otro lado, por lo que entiendo, la conexión USB podría usarse para obtener mayor seguridad, al mostrar información específica de la transacción en el lector de tarjetas, que el usuario tiene que confirmar. Pero como entiendo por los documentos vinculados anteriormente, a menudo esto no se implementa correctamente, así que no sé si el modo no conectado sería realmente más seguro.
  4. Las mismas tarjetas se utilizan para la banca en línea y para los cajeros automáticos y terminales de pago. Por lo tanto, parece que perder el PIN y la información en el chip de la tarjeta (a través de la limpieza y / o ser observado al ingresar el PIN) automáticamente dará a los atacantes acceso a la banca en línea. Ya que mi esposa y yo tenemos una tarjeta para la misma cuenta, ¿tiene sentido (en la medida de lo posible) usar una de las tarjetas como la "tarjeta bancaria en línea" y la otra como una "tarjeta de cajero automático"? ¿Eso disminuiría sustancialmente el riesgo, o estoy pasando por alto algo?

¿Podría aclarar mi comprensión de los puntos que describí, así como proporcionar más información?

    
pregunta Simon 16.05.2015 - 13:50
fuente

2 respuestas

5

Leí brevemente los documentos a los que se vinculó y exponen varias vulnerabilidades, lo que permite que un atacante que puede hablar con el lector le haga firmar las transacciones / solicitudes de inicio de sesión sin requerir el consentimiento del usuario. Sin embargo, esto no es un gran problema, para que un atacante "hable" con el lector, su máquina ya debe estar comprometida y, en ese caso, ninguna seguridad puede protegerlo.

Por otro lado, este sistema de tarjeta inteligente es bastante agradable y requiere que la tarjeta esté físicamente presente para realizar una transacción, haciendo que el robo de números de tarjetas sea inútil. En mi opinión, así es como deberían haberse hecho los pagos en línea desde el principio.

Ahora, revisemos tu lista de verificación:

  • usar Tor no es necesario; no necesita el anonimato, y el hecho de que el sitio del banco usa HTTPS ya proporciona seguridad. Incluso en el caso de que su implementación de HTTPS sea defectuosa, Tor no le dará más protección y en este punto no debería usar su sitio en absoluto.

  • usar una VM en un host comprometido es estúpido. Si su host está comprometido, el atacante aún tiene el control total del hardware e incluso puede "hablar" con el lector para explotar las vulnerabilidades descritas en los documentos que vinculó. Además, no podrá instalar los controladores del lector y el complemento del navegador en un entorno Linux.

  • dados los documentos vinculados en su pregunta, diría que el modo fuera de línea puede ser más seguro. No muestra información de la transacción, pero, por otro lado, solo les permite realizar una sola transacción, donde, en el modo conectado, pueden aprovechar una vulnerabilidad para hacer que la tarjeta firme un número ilimitado de transacciones sin necesidad de consentimiento del usuario ( siempre que la tarjeta esté en el lector).

  • el skimming de la tarjeta no les permitirá realizar transacciones en línea, ya que skimming no robará los secretos en el chip, y este sistema EMV-CAP se basa en el chip para realizar operaciones de cifrado. La banda magnética nunca está involucrada. Robar el PIN puede dar a un atacante la posibilidad de realizar pagos si también roba físicamente su tarjeta. - Es imposible rozar un chip de tarjeta inteligente.

TL; DR no utiliza una máquina comprometida y estará seguro. Si sospecha que su máquina está comprometida (debido a que instaló software pirateado o software proveniente de fuentes no confiables, claves, "reproductores de video" o complementos, etc.), vuelva a instalarlo desde cero y tenga más cuidado. Finalmente, incluso si la máquina está comprometida, dudo que los atacantes hayan actualizado su malware para explotar a estos lectores, simplemente no vale la pena (por ahora), ya que simplemente los números de las tarjetas de registro de teclas siguen siendo un negocio jugoso y no tienen ninguna razón para dedicar su tiempo a actualizar malware para el número realmente bajo de personas que usan estos lectores de tarjetas.

    
respondido por el user42178 16.05.2015 - 14:49
fuente
0

Trate su PC personal como su PC bancaria y manténgala parcheada. Nunca lea el correo electrónico en esa PC. Solo instale Office, Chrome, flash, java en su máquina virtual. Redirige todas las unidades USB a esa máquina virtual.

No use USB si es posible en su PC, o deshabilítelo a través de GPO

Re # 4 - No tengo comentarios sobre este ...

    
respondido por el random65537 16.05.2015 - 14:30
fuente

Lea otras preguntas en las etiquetas

¿PGP o S / MIME son útiles cuando ambos servidores son autocontrolados? Herramientas de modelado de amenazas y amenazas alternativas