Riesgo de keylogger de contraseña de compras en línea

1

Supongamos que hago una compra en línea y me piden que ingrese los detalles de mi tarjeta como el número de cuatro dígitos (independientemente de lo relacionado) y también me piden que ingrese el número PIN.

Si escribo todas estas cosas, ¿no pueden obtener todas mis pulsaciones de teclado a través de Javascript y descifrar mis contraseñas, detalles de la tarjeta, etc.?

Navegué para obtener consejos de seguridad sobre las compras en línea, pocos artículos sugieren verificar si se trata de un sitio web compatible con una capa de sesión segura. Significa SSL. No hay ningún intruso que simule ser yo o algún ataque, ¿qué sucede si la persona del servidor captura estos detalles y crea una tarjeta duplicada o algo así y obtiene todo el dinero, etc.?

Si utilizo transferencias de dinero desde otro servicio como, por ejemplo, (paypal, stripe), entonces está completamente bien porque usan OAuth, pero ¿qué pasa si es para la banca por Internet? Estaré comprando a través de mi cuenta bancaria. El servidor del sitio web de la tienda puede descifrar mis contraseñas, ¿no?

    
pregunta rram 20.07.2014 - 15:51
fuente

2 respuestas

3

Creo que podrías estar mezclando un par de riesgos aquí.

Si está navegando por un sitio y le está comprando productos, inevitablemente tendrán acceso a cualquier información que ingrese en su sitio. Esto incluiría el nombre de usuario / contraseña que usan en el sitio y probablemente cualquier información de la tarjeta de pago que use para pagar las cosas en su sitio. Esto se debe a que esos datos deben transferirse a ellos para completar la transacción (no se necesita JavaScript)

Como usted dice, si utilizan un sitio de terceros (por ejemplo, paypal) para procesar el pago, sus credenciales para el sitio de pago no deberían ser accesibles por el sitio de compras, aunque es aquí donde eran maliciosos, podrían intentar hacer algo como redirigirte a un sitio que se parece a Paypal pero no es ...

Nuevamente, en términos de acceso a sus datos bancarios, siempre que no esté utilizando las mismas credenciales en el sitio bancario que en el sitio de compras, no debería poder acceder a sus credenciales bancarias.

    
respondido por el Rоry McCune 20.07.2014 - 18:37
fuente
1

SSL no solo garantiza que la transacción esté cifrada. También verifica la identidad del sitio web que está visitando. Por lo tanto, si este es un sitio web conocido, robar su información confidencial no sería tan inteligente para su reputación.

Simplemente escriba este tipo de información confidencial en los sitios web en los que confía utilizando el protocolo HTTPS (también asegúrese de que su identidad esté verificada).

Por cierto, también puede auditar el código JS para asegurarse de que no hay un keylogger y monitorear las solicitudes enviadas por su navegador para saber qué información se envía a qué servidor.

    
respondido por el Antoine Pinsard 20.07.2014 - 17:00
fuente

Lea otras preguntas en las etiquetas