¿Cuáles son las implicaciones de seguridad de la técnica de pagos por Internet de POLi?

6

POLi Payments es un proveedor de pagos en línea con sede en Australia que ha comenzado a comerciar en Nueva Zelanda. Se admiten como opción de pago en algunos sitios web de comercio electrónico de gran tamaño en Nueva Zelanda, incluidos Air New Zealand, JetStar y The Warehouse.

Básicamente facilita la verificación de que, como cliente, ha realizado un pago desde su instalación de banca por Internet para que el proveedor pueda completar la transacción de inmediato.

Es muy atractivo, porque las aerolíneas no cobran una 'tarifa de pago' cuando usan POLi (que generalmente cuesta entre $ 10 y $ 20). Me preocupa cómo logra esto.

Como cliente de ANZ bank, después de visitar el sitio web de Air New Zealand, elegí la opción de pago 'POLi' y me presenté (mientras aún estaba en el sitio web de Air New Zealand) con mi página de inicio de sesión de banca por Internet. Entonces, para ser claros, la barra de direcciones contenía "airnewzealand.co.nz", que tenía un iframe, cuya dirección apuntaba a " enlace ". Entonces se esperaba que inicie sesión en mi banca por Internet, momento en el que se me presentó la página web de transferencia bancaria ANZ, con algunos campos desactivados (código de referencia, cantidad, etc.).

Lo que se estaba haciendo es que el servidor POLi solicitaba el sitio web del banco al servidor ANZ, le daba un masaje del HTML y me pasaba el HTML. Luego completo el formulario, que se envía al servidor de POLi, que luego vuelve a pasar esa información a ANZ. Esto se repitió para cada página.

Debido a esto, POLi pudo

  1. rellene el formulario de pago para que no obtenga el código de referencia o la cantidad incorrecta
  2. deshabilitar campos para que no pueda cambiarlos
  3. valide el pago como completado para que la transacción pueda continuar.

¿Cuáles son, si las hay, las implicaciones técnicas y de seguridad social de esta técnica?

Gracias a todos

    
pregunta Adam 20.08.2013 - 03:51
fuente

4 respuestas

8

Está ingresando sus credenciales de banca por Internet en una interfaz que es propiedad de un comerciante. El iframe proviene de POLi, pero no hay una manera fácil para que un usuario final lo verifique, y la página principal aún tendrá la oportunidad de meterse con el marco.

Por lo tanto, no debe ingresar sus credenciales en esta interfaz a menos que confíe en:

  • POLi no almacena ni utiliza mal las credenciales que les está dando;

  • el comerciante no debe robar las credenciales, a través de clickjacking o simplemente apuntando el marco a alguna otra fuente (estilo de phishing);

  • cualquier proveedor de secuencias de comandos de terceros utilizado por el comerciante (por ejemplo, análisis, publicidad) no inyecta el contenido de la secuencia de comandos que robaría las credenciales;

  • el comerciante mantendrá su sitio web completo a salvo de todas las vulnerabilidades de XSS que podrían permitir que un atacante robe las credenciales.

  • POLi no tiene ninguna vulnerabilidad en la que otras partes puedan obtener información al incluir su interfaz en un iframe y usar el clickjacking. (Esto es difícil de evitar completamente cuando su interfaz debe permitir iframing).

POLi está efectivamente realizando un ataque de hombre en el medio en su banca en línea y previsiblemente algunos bancos están molestos por eso . Si sufre de fraude (ya sea relacionado o no con el uso del servicio POLi), su banco podría argumentar que tiene alguna responsabilidad, por no mantener su parte del trato para mantener sus credenciales bancarias en secreto para todos excepto para banco.

POLi no es la única parte que adopta este enfoque; consulte, por ejemplo, la Sofortüberweisung de Alemania. Personalmente, considero que es una idea insana, pero no es la primera idea descabellada para aprovechar el mundo financiero.

    
respondido por el bobince 20.08.2013 - 15:08
fuente
4

Si lees su declaración de privacidad, más o menos dice que les das acceso completo a tu cuenta bancaria y los derechos a tu historial de transacciones bancarias completas si utilizas el servicio. Personalmente me parece inaceptable.

Además, es totalmente innecesario para ellos acceder a su cuenta y procesar un pago.

Lo que he hecho en el pasado es simplemente copiar el número de referencia proporcionado y enviar la transacción manualmente a Air New Zealand con el número de referencia de poli en los detalles y no ingresar mis detalles en la interfaz de poli. B-Bay que se usa en Australia funciona de esta manera.

Te cambiaría inmediatamente después de usar poli

    
respondido por el poli 17.03.2015 - 04:33
fuente
1

El punto no es la seguridad del sistema POLi, es si su uso invalida todos o algunos de los bancos de los términos de servicio de la Banca por Internet. Algunos bancos dicen que sí y, por lo tanto, también anulan sus garantías de recompensa por fraude en línea. Sería difícil conseguir que un tribunal anule la interpretación de los bancos de sus propias T & Cs, por lo que la respuesta definitiva a todas y cualquier pregunta de seguridad con respecto a POLi es "advertencia".

Tengo mi propia opinión técnica sobre la seguridad de su metodología, pero es, como todas esas evaluaciones, irrelevante operativamente.

    
respondido por el Will 25.08.2017 - 01:46
fuente
-1

Estas declaraciones son en gran parte maliciosas de sí mismas ya que ignoran completamente los riesgos de seguridad inherentes en toda la plataforma de Internet. Las declaraciones ignoran la realidad de la experiencia POLi y los procesos de seguridad aparentes en los sistemas POLi (que observo en otros artículos pueden ser auditados por cualquier banco en cualquier momento). Estos argumentos teóricos se sacan de vez en cuando sin evidencia de ningún problema creado por POLi. Los contribuyentes ignoran el riesgo en todas las formas de pago (incluso en efectivo) que deben ponderarse en función de la conveniencia. Al parecer, según las pruebas disponibles, POLi es un sistema mucho más seguro que los sistemas Scheme, es decir, las tarjetas de crédito / débito provistas por los propios bancos.

    
respondido por el Interested observer 27.10.2016 - 01:53
fuente

Lea otras preguntas en las etiquetas