Problemi di sicurezza con IwBank è così anche con le altre banche online?

[laur...@tiscali.it]

Chat InformationTi preghiamo di attendere, un operatore ti risponderà
al più presto.
Chat InformationSei ora in chat con 'Antonio M.'.
Antonio M.: Benvenuto nella nostra chat, in cosa posso esserti utile?
Carlo: Salve Antonio, ho letto che l'helpdesk è operativo sino alle
23, in caso di problematiche urgenti, ad esempio la necessità urgente
di bloccare il conto, furto password e token ad esempio, esiste un
numero da chiamare?
Antonio M.: 800991188 fino alle 22
Carlo: Dopo le 22?
Antonio M.: 8-22
Carlo: Nel caso mi abbiano estorto password e token come blocco il
conto nelle ore notturne?
Antonio M.: caso ipotetico
Antonio M.: ma interessante
Antonio M.: ti consiglio di bloccare sempre il conto
Antonio M.: in uscita
Antonio M.: sezione Bonifici
Antonio M.: per essere sicuri
Antonio M.: che nessuno possa effettuare bonifici in uscita
Antonio M.: detto ciò potrebbe visualizzare il tuo conto
Antonio M.: ma non bonificare
Carlo: come lo riattivo con il pin2?
Antonio M.: PIN1 e PIN2
Carlo: propongo, non sò se sia possibile che a fronte di un canone
annuo aver la possibilità, per le emergenze di un vostro servizio
notturno, se potesse segnalarlo credo sarebbe più funzionale, grazie
dei consigli, buona giornata
Antonio M.: ok
Antonio M.: grazie a te
Antonio M.: Grazie per averci contattato, se necessiti di ulteriori
informazioni non esitare a ricontattarci.

[wh1sp3r]

<laur...@tiscali.it> wrote in message
news:1181742890.4...@z28g2000prd.googlegroups.com...

> Antonio M.: che nessuno possa effettuare bonifici in uscita

Se richiedi il token la vedo dura che qualcuno possa effettuare bonifici dal
tuo conto.
Ma in ogni caso, anche se andando per assurdo qualcuno riuscisse a fare
l'operazione in notturna, avresti tutto il tempo l'indomani per bloccarla
prima che questa venga contabilizzata, e considera che l'sms o la mail di
notifica di addebito per il bonifico ti arriverebbero istantaneamente...

[Rataplan]

wh1sp3r ha scritto:

> Se richiedi il token la vedo dura che qualcuno possa effettuare bonifici dal
> tuo conto.

Grande cosa il token, ma parrebbe che gli esperti lo considerino
una cosa per tranquillizzare il cliente.

> Ma in ogni caso, anche se andando per assurdo qualcuno riuscisse a fare
> l'operazione in notturna, avresti tutto il tempo l'indomani per bloccarla
> prima che questa venga contabilizzata, e considera che l'sms o la mail di
> notifica di addebito per il bonifico ti arriverebbero istantaneamente...

Se l'sms e la mail non vengono disabilitate ;-) e se il giorno dopo
avrai occasione di "entrare" in banca ;-)

Qualcuno propose di ricevere un codice in sms da rinviare per
conferma ad ogni ordine di bonifico.
Mi sembrava una buona idea....forse si fara`...un di`...

[Asappo]

On 13 Giu, 19:33, Rataplan <rataplan_p...@yahoo.it> wrote:
> Grande cosa il token, ma parrebbe che gli esperti lo considerino
> una cosa per tranquillizzare il cliente.

Ma no, dai. A qualcosa serve.

> Qualcuno propose di ricevere un codice in sms da rinviare per
> conferma ad ogni ordine di bonifico.
> Mi sembrava una buona idea....forse si fara`...un di`...

Infatti. Mi pareva un'ottima idea: due sistemi indipendenti per
veicolare l'informazione; praticamente inattaccabile.

[laur...@tiscali.it]

> Se richiedi il token la vedo dura che qualcuno possa effettuare bonifici dal
> tuo conto.

Forse non hai letto bene, entrano a casa tua prendono Token password,
pin1 pin2, e ti abbligano minacciando tuo figlio con un coltello di
fare un bonifico in uscita alle 22:30, poi escono alle 23 da casa tua,
non puoi contattare nessuno di iwbank prima delle 8 del giorno dopo,
come va a finire?

[AndyB72]

> wh1sp3r ha scritto:
>
>> Se richiedi il token la vedo dura che qualcuno possa effettuare bonifici
>> dal tuo conto.
>
> Grande cosa il token, ma parrebbe che gli esperti lo considerino
> una cosa per tranquillizzare il cliente.

Non dirmi così..che su IWPower c'ho un capitale! :)

[Asappo]

On 15 Giu, 09:12, lauras...@tiscali.it wrote:
> ... entrano a casa tua prendono Token password,

> pin1 pin2, e ti abbligano minacciando tuo figlio con un coltello di
> fare un bonifico in uscita alle 22:30, poi escono alle 23 da casa tua,
> non puoi contattare nessuno di iwbank prima delle 8 del giorno dopo,
> come va a finire?

Interessante. E' chiaramente un caso limite, ma interessante.

Sarebbe utile tornare al titolo del 3d: "č cosě anche con le altre
banche online ?"
Io aggiungerei anche le banche non online ma con accesso dispositivo
via WEB.

[ralph hinkley]

laur...@tiscali.it laur...@tiscali.it wrote in message
<1181891522.0...@w5g2000hsg.googlegroups.com>:

> Forse non hai letto bene, entrano a casa tua prendono Token password,
> pin1 pin2, e ti abbligano minacciando tuo figlio con un coltello di
> fare un bonifico in uscita alle 22:30, poi escono alle 23 da casa tua,
> non puoi contattare nessuno di iwbank prima delle 8 del giorno dopo,
> come va a finire?

Che alle 8 chiami e blocchi tutto, tanto prima del giorno dopo non si muove un
bit.
E' più probabile che un sequestratore chieda soldi in contanti, magari
costringendoti ad effettuare un prelievo nella tua banca tradizionale.

[Francesco Potorti`]

ralph hinkley <la_posta...@yahoo.it>:

>> Forse non hai letto bene, entrano a casa tua prendono Token password,
>> pin1 pin2, e ti abbligano minacciando tuo figlio con un coltello di
>> fare un bonifico in uscita alle 22:30, poi escono alle 23 da casa tua,
>> non puoi contattare nessuno di iwbank prima delle 8 del giorno dopo,
>> come va a finire?

Vai alla polizia e fai annullare il bonifico. Il che significa che non
succederà mai.

[Rataplan]

Asappo ha scritto:
...................

> Interessante. E' chiaramente un caso limite, ma interessante.

...................

Un dì lontano il saggio Vinicio scrisse:

" Quante sono le possibilità che un'asteroide colpisca
la terra, generando un disastro epocale?

Bhe...meno che infinitisimali!

Bene, giusto! Adesso vallo a raccontare ai dinosauri "

[Rataplan]

Francesco Potorti` ha scritto:

> Vai alla polizia e fai annullare il bonifico. Il che significa che non
> succederà mai.

Forse non funziona così.
Vai alla polizia e fai denuncia.
Non credo che la polizia possa bloccare alcunchè.
Poi vai dalla banca, con il documento in bocca, e
loro, se sono ancora in tempo, ti bloccano il bonifico.
Chiaro che se puoi dialogare con la banca possono
bloccarti il bonifico sulla parola, in attesa della
denuncia fatta in polizia.Ma, nel nostro caso, è
proprio quello che manca, dopo un certo orario.

[Francesco Potorti`]

Rataplan <ratapl...@yahoo.it>:

>> Vai alla polizia e fai annullare il bonifico. Il che significa che non
>> succederà mai.
>
>Forse non funziona così.
>Vai alla polizia e fai denuncia.
>Non credo che la polizia possa bloccare alcunchè.

Con un po' di pazienza, credo di sì. Sarebbe diversamente se fose un
bonifico su quelche banca dove la polizia non può metter le mani, ma dei
ladri così sofisticati non vengono a casa tua con una pistola, hanno
metodi meno evidenti e che gli lasciano più tempo per farli sparire.

Poi, io non sono un ladro sofisticato, quindi magari mi sbaglio :-)

[Rataplan]

Francesco Potorti` ha scritto:

> Con un po' di pazienza, credo di sě.

Forse facendo intervenire la polizia postale...ma non posso spingermi
in altre ipotesi perché non ho, in merito, nessuna preparazione.

Sarebbe diversamente se fose un

> bonifico su quelche banca dove la polizia non puň metter le mani, ma dei
> ladri cosě sofisticati non vengono a casa tua con una pistola, hanno
> metodi meno evidenti e che gli lasciano piů tempo per farli sparire.

Ne convengo!

> Poi, io non sono un ladro sofisticato, quindi magari mi sbaglio :-)

Ma sei ancora giovane, hai tutta la vita davanti; con un po'
di pazienza e coraggio diventerai il migliore, ne sono sicuro! :-) :-D

[Ivan Pintori]

On Wed, 13 Jun 2007, Rataplan wrote:

> Grande cosa il token, ma parrebbe che gli esperti lo considerino
> una cosa per tranquillizzare il cliente.

E chi sarebbero questi esperti? (E non mi citare Bruce Schneider perchč
non dice certo che i token non siano inutili, ma solo che nel corto
termine non basteranno piů.)

ivan
--

[Rataplan]

Ivan Pintori ha scritto:

> E chi sarebbero questi esperti? (E non mi citare Bruce Schneider perchè

> non dice certo che i token non siano inutili, ma solo che nel corto

> termine non basteranno più.)
>
> ivan

Chiedo umilmente scusa, ma mi sembrava fossi
stato tu, se non è così chiedo anche perdono.

[Boy Net]

<laur...@tiscali.it> ha scritto nel messaggio
news:1181891522.0...@w5g2000hsg.googlegroups.com...

> Forse non hai letto bene, entrano a casa tua prendono Token password,
> pin1 pin2, e ti abbligano minacciando tuo figlio con un coltello di
> fare un bonifico in uscita alle 22:30, poi escono alle 23 da casa tua,
> non puoi contattare nessuno di iwbank prima delle 8 del giorno dopo,
> come va a finire?

Ma che cavolo!
Non si accontentano più della cassaforte+gioielli di
famiglia+contante+ferrarino+barca?
Passino i prelevamenti forzati dal bancomat...

Sti ladri moderni sono proprio tecnologicamente up.to.date: prima di
scegliere le vittime, "hackerizzano" i sistemi di IWBank, scoprendo gli
indirizzi di tutti i clienti con token e poi vanno SOLO da quelli con saldo
che merita a farsi fare bonifici verso i propri conti correnti ...

Certo che se poi cade un asteroide... tutta sta fatica...

:-D

Mirco

[Ivan Pintori]

On Fri, 15 Jun 2007, Rataplan wrote:

> Chiedo umilmente scusa

E il tappeto rosso? Se non stendi pure il tappeto rosso non accetto nulla
;)

> ma mi sembrava fossi stato tu

Io ho detto che oramai non basta più, non che i token servono solo per
rassicurare i clienti ;)

ivan
--

[Rataplan]

Rataplan ha scritto:

> Chiedo umilmente scusa, ma mi sembrava fossi
> stato tu, se non è così chiedo anche perdono.

Mi viene in mente che l'autore di questa espressione
avrebbe potuto intendere che il token serve *anche*
a tranquillizzare il cliente.

[Rataplan]

Ivan Pintori ha scritto:

> Io ho detto che oramai non basta più, non che i token servono solo per
> rassicurare i clienti ;)
>
> ivan

Prendo la la palla al balzo ;-) :
quindi chi ha il token, allo stato dell'arte, ne potrebbe
essere rassicurato....sinceramente spero in qualcosa
di più, sempre nell'attesa che voi vi inventiate qualcosa di
meglio e che le banche tutte (e questo è il più difficile)
l'adottino.;-).
Siccome la sicurezza, come si sa, costa, personalmente
accetterei anche un costo relativo per ogni nuovo dispositivo,
come ha già fatto quella banca: io t'assicuro questo livello
(già buono) di sicurezza, vuoi l'aggeggio per aumentarla?
Costa xxx.
Ognuno poi deciderà cosa fare.

[Ivan Pintori]

On Sat, 16 Jun 2007, Rataplan wrote:

> Mi viene in mente che l'autore di questa espressione avrebbe potuto
> intendere che il token serve *anche* a tranquillizzare il cliente.

Su, su, non formaliziamoci :) I Token, ma non solo quelli, hanno dei
limiti. Nello scenario attuale ci stiamo avvicinando velocemente a tali
limiti. Adesso bisogna pensare alla prossima mossa.

Incidentalmente la colpa è del governo americano. Ti spiego un po' di
storia: nel 2005 Bruce Schneider andò in giro a fare lobbying (in America
la cosa realmente funziona) chiedendo al governo di imporre alle banche un
sistema più sicuro, basato sui 2 factor, per l'accesso ai conti correnti.
Questo perchè era (oddio, lo è ancora se è per questo) convinto che senza
un'imposizione governativa la banche avrebbero continuato ad usare
username e password. E' stato ascoltato e così è nata l'imposizione dei
token (praticamente).

Questo cambiamento ha imposto alla criminalità organizzata di adeguarsi a
sua volta, e hanno cominciato con Citibank (america, guardacato) poi sono
passati a ABN-Amro. Dal mese prossimo Barclays (una delle banche più prese
di mira dal phishing) passa i suoi clienti al token. Quelle che erano
semplici "prove" di fattibilità, ora diventeranno modus operandi
acclarati.

Se a tutto questo si aggiunge un nuovo veicolo di attacco (delle DLL in
IE) praticamente l'utente neanche si accorgerà più di stare sul sito non
della banca, e oggetti come Norton 360 ad oggi si sono dimostrati
completamente inutili contro queste DLL.

ivan
--

[Rataplan]

Ivan Pintori ha scritto:
...................

E' stato ascoltato e così è
> nata l'imposizione dei token (praticamente).

Poveracci. Da noi, in Italia; sarebbe bastato chiedere :-)

..................

> Se a tutto questo si aggiunge un nuovo veicolo di attacco (delle DLL in
> IE) praticamente l'utente neanche si accorgerà più di stare sul sito non
> della banca, e oggetti come Norton 360 ad oggi si sono dimostrati
> completamente inutili contro queste DLL.
>
> ivan

Oddddiooooo....mamma li turchi.... :-(

[Ivan Pintori]

On Sat, 16 Jun 2007, Rataplan wrote:

> Poveracci. Da noi, in Italia; sarebbe bastato chiedere :-)

Però noi ci siamo arrivati senza alcuna imposizione governativa, questo ne
devi dar atto!

> Oddddiooooo....mamma li turchi.... :-(

Secondo te perchè sono 3 settimane che ho l'articolo pronto ma non lo
faccio pubblicare? Proprio perchè non voglio crear panico.

ivan
--

[Rataplan]

>> On Sat, 16 Jun 2007, Rataplan wrote:
>> Poveracci. Da noi, in Italia; sarebbe bastato chiedere :-)

> Ivan Pintori ha scritto:

> Però noi ci siamo arrivati senza alcuna imposizione governativa, questo
> ne devi dar atto!

Non NOI, TU ci sei arrivato e poche altri: io ne conosco solo tre
anche se so bene che ce ne sono altri.

>> Rataplan wrote:
>> Oddddiooooo....mamma li turchi.... :-(
> Ivan Pintori ha scritto:

> Secondo te perchè sono 3 settimane che ho l'articolo pronto ma non lo
> faccio pubblicare? Proprio perchè non voglio crear panico.

Perché, evidentemente con sadico sadismo, volevi crearlo cominciando da
me. :-)

[Ivan Pintori]

On Sat, 16 Jun 2007, Rataplan wrote:

> Non NOI, TU ci sei arrivato e poche altri: io ne conosco solo tre
> anche se so bene che ce ne sono altri.

Mi spiace. Io posso anche ssere il primo ad aver proposto e fatto
accettare i token nelle banche italiane, ma il meritò va ad un certo
Giuseppe Masnaga, all'epoca direttore generale della Banca 24/7 ed oggi
Vice Direttore Generale della BPB, che ebbe la giusta visione di rendere
la banca online sicura e accessibile. Se lui non avesse avuto questa
visione, io oggi non starei qui a chiacchierar con te :)

> Perché, evidentemente con sadico sadismo, volevi crearlo cominciando da me.
> :-)

Ma noooooooooooo E' solo che questo NG vale quanto un bar. E ti assicuro
che io ho una grandissima considerazione dei bar, sopratutto quando fanno
il caffè buono :)

ivan
--

[Narcolessico]

Asappo ha scritto:

>> Qualcuno propose di ricevere un codice in sms da rinviare per
>> conferma ad ogni ordine di bonifico.
>> Mi sembrava una buona idea....forse si fara`...un di`...
> Infatti. Mi pareva un'ottima idea: due sistemi indipendenti per
> veicolare l'informazione; praticamente inattaccabile.

Se puoi loggarti al posto dell'utente, puoi anche modificare il numero di
telefono per gli sms. Anche questa operazione dovrebbe richiedere conferma
sul vecchio numero... E così via. A complicare le cose si aumenta sempre un
po' più il livello di sicurezza, ma l'utente è scontento (se non dispongo
più del mio vecchio numero di cellulare, come lo cambio? Con una
raccomandata?)

Forse delle one-time password consegnate da una filiale o spedite in formato
cartaceo sarebbero più sicure.

[Asappo]

On 1 Lug, 19:22, Narcolessico <ekehostm...@yahoo.it> wrote:
> A complicare le cose si aumenta sempre un
> po' più il livello di sicurezza, ma l'utente è scontento (se non dispongo
> più del mio vecchio numero di cellulare, come lo cambio? Con una
> raccomandata?)

Credo si possa trovare una soluzione per tutto.

> Forse delle one-time password consegnate da una filiale o spedite in formato
> cartaceo sarebbero più sicure.

Il token è un generatore di One Time Password.
Attualmente, a detta degli addetti ai lavori, è il sistema più sicuro
disponibile.
Ciò non toglie che in alcuni casi specifici, per la verità molto rari,
il token (come ogni altro sistema di generazione di OTP) non sia
sufficiente.
Per questo si pensava di integrare il tutto con una conferma spedita
attraverso un canale diverso dal WEB, per esempio appunto gli SMS.